CN116132990A - 卫星通信系统、方法、装置、接收方网元及存储介质 - Google Patents
卫星通信系统、方法、装置、接收方网元及存储介质 Download PDFInfo
- Publication number
- CN116132990A CN116132990A CN202111347750.2A CN202111347750A CN116132990A CN 116132990 A CN116132990 A CN 116132990A CN 202111347750 A CN202111347750 A CN 202111347750A CN 116132990 A CN116132990 A CN 116132990A
- Authority
- CN
- China
- Prior art keywords
- security
- data packet
- satellite
- network element
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 104
- 238000000034 method Methods 0.000 title claims description 212
- 238000003860 storage Methods 0.000 title claims description 21
- 238000012545 processing Methods 0.000 claims abstract description 274
- 230000006870 function Effects 0.000 claims description 116
- 230000005540 biological transmission Effects 0.000 claims description 48
- 238000012795 verification Methods 0.000 claims description 27
- 238000007726 management method Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013523 data management Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 30
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000007774 longterm Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Radio Relay Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种卫星通信系统,包括:发送方网元,第一安全模块、接收方网元和第二安全模块;第一安全模块用于基于安全策略对第一数据包进行第一安全处理生成数据包结构包含安全字段的第二数据包发送给发送方网元;第二安全模块用于基于安全策略对第二数据包进行第二安全处理获得包括第一数据包的数据的第三数据包发送给接收方网元;发送方网元用于生成第一数据包和接收SMF发送的安全策略,并发送给第一安全模块以获得第二数据包,并将第二数据包发送给接收方网元;接收方网元用于接收第二数据包并获取安全策略,将第二数据包和安全策略发送至第二安全模块以获取第三数据包。本申请实施例减少安全相关协商开销,降低卫星通信管理复杂度。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种卫星通信系统、方法、装置、接收方网元及存储介质。
背景技术
在通信系统中,从基站至核心网用户面功能(User Plane Function,UPF)对所有用户数据进行机密性和完整性保护时,可以不需要核心网络的干预或配置,因此,当前会话管理功能(Session ManagementFunction,SMF)下发给基站的安全策略不包含有基站与UPF之间的安全策略,并且SMF不向UPF下发任何安全策略,UPF也不处理任何与协议数据单元(Protocol Data Unit,PDU)会话安全相关的内容。
而卫星的通信体制决定了承载网中的数据通信必须分为星间通信和星地通信2段。若直接应用传统的安全机制,目的卫星对信息的加密方式是未知的,无法对信息进行解密获得路由信息,进而无法确定下一跳的地址;若通信双方对信息的加密方式进行协商,复杂的密钥协商过程中通信资源高,卫星通信管理复杂。
发明内容
本申请实施例提供一种卫星通信系统、方法、装置、接收方网元及存储介质,用以解决现有技术中通信资源高,卫星通信管理复杂的缺陷,实现减少了安全相关协商的开销,降低了卫星通信管理的复杂度。
第一方面,本申请实施例提供一种卫星通信系统,包括:
发送方网元,所述发送方网元对应的第一安全模块、接收方网元、和所述接收方网元对应的第二安全模块,其中,所述发送方网元和所述接收方网元通过卫星承载网进行通信;
所述第一安全模块,用于接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成第二数据包,所述第二数据包的数据包结构中包含安全字段,并将所述第二数据包发送给所述发送方网元;
所述第二安全模块,用于接收所述接收方网元发送的所述第二数据包,获取所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第二数据包进行第二安全处理,获得第三数据包,所述第三数据包中包括所述第一数据包的数据,并将所述第三数据包发送给所述接收方网元;
所述发送方网元,用于生成所述第一数据包和接收会话管理功能SMF发送的所述卫星承载网的安全策略,并将所述第一数据包和所述卫星承载网的安全策略发送给所述第一安全模块,以获得所述第二数据包,并将所述第二数据包通过所述卫星承载网发送给所述接收方网元;
所述接收方网元,用于接收所述发送方网元通过所述卫星承载网发送的所述第二数据包,并获取所述卫星承载网的安全策略,并将所述第二数据包和所述卫星承载网的安全策略发送至所述第二安全模块,以获取所述第三数据包。
可选地,根据本申请一个实施例的卫星通信系统,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
可选地,根据本申请一个实施例的卫星通信系统,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
可选地,根据本申请一个实施例的卫星通信系统,所述第一安全模块具体用于:接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第一数据包的第一安全处理,生成所述第二数据包,并将所述第二数据包发送给所述发送方网元。
可选地,根据本申请一个实施例的卫星通信系统,所述第二安全模块具体用于:接收所述接收方网元发送的所述第二数据包,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得所述第三数据包,并将所述第三数据包发送给所述接收方网元。
可选地,根据本申请一个实施例的卫星通信系统,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
可选地,根据本申请一个实施例的卫星通信系统,所述第一数据包的数据包结构包括GTP-U部分和安全字段部分,所述GTP-U部分包括目的网元IP地址部分,源网元IP地址部分,UDP端口部分,GTP-U Header部分,目的IP地址部分、源IP地址部分和Payload部分。
可选地,根据本申请一个实施例的卫星通信系统,处理所述第二数据包的协议层为卫星承载网数据传输协议栈中的安全层,所述安全层在GTP-U层与PDU Layer层之间。
可选地,根据本申请一个实施例的卫星通信系统,所述第一安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文;
若所述安全保护类型包括所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-UHeader部分、所述安全字段部分、所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行完整性保护处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文,在所述机密性保护处理后,对所述第一数据包的数据包结构中的目的网元IP地址部分,所述源网元IP地址部分,所述UDP端口部分,所述GTP-UHeader部分,所述安全字段部分,以及所述密文进行完整性保护。
可选地,根据本申请一个实施例的卫星通信系统,所述第二安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对第二数据包的数据包结构中的密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分;
若所述安全保护类型包括所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、所述目的IP地址部分,所述源IP地址部分以及所述Payload部分进行完整性保护验证处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、以及密文进行完整性保护验证处理,在所述完整性保护验证处理后,对所述密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分。
可选地,根据本申请一个实施例的卫星通信系统,所述第二数据包中的安全字段包含所述卫星承载网的安全策略,所述接收方网元获取的所述卫星承载网的安全策略是被携带在所述第二数据包中由所述发送方网元发送至所述接收方网元的。
可选地,根据本申请一个实施例的卫星通信系统,所述SMF用于向所述发送方网元发送所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的卫星通信系统,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述第二数据包中的安全字段获取的。
可选地,根据本申请一个实施例的卫星通信系统,所述接收方网元获取的所述卫星承载网的安全策略是所述SMF发送给所述接收方网元的。
可选地,根据本申请一个实施例的卫星通信系统,所述SMF用于向所述发送方网元和所述接收方网元发送所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的卫星通信系统,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述接收方网元获取的。
可选地,根据本申请一个实施例的卫星通信系统,所述接收方网元还用于:在所述获取所述卫星承载网的安全策略之后,向所述第二安全模块发送所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的卫星通信系统,所述卫星承载网的安全策略是所述SMF从安全管理实体获取的,所述安全管理实体包括统一数据管理功能UDM。
第二方面,本申请实施例提供一种安全传输方法,应用于接收方网元,所述方法包括:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
可选地,根据本申请一个实施例的安全传输方法,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
可选地,根据本申请一个实施例的安全传输方法,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
可选地,根据本申请一个实施例的安全传输方法,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
可选地,根据本申请一个实施例的安全传输方法,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的安全传输方法,所述方法还包括:
接收SMF发送的所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的安全传输方法,所述获取第三数据包之前,所述方法还包括:
向所述第二安全模块发送所述卫星承载网的安全策略。
第三方面,本申请实施例提供一种接收方网元,包括存储器,收发机,处理器:
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
可选地,根据本申请一个实施例的接收方网元,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
可选地,根据本申请一个实施例的接收方网元,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
可选地,根据本申请一个实施例的接收方网元,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
可选地,根据本申请一个实施例的接收方网元,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的接收方网元,所述操作还包括:
接收SMF发送的所述卫星承载网的安全策略。
可选地,根据本申请一个实施例的接收方网元,所述获取第三数据包之前,所述操作还包括:
向所述第二安全模块发送所述卫星承载网的安全策略。
第四方面,本申请实施例提供一种安全传输装置,所述装置包括:
第一接收模块,用于接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
第一发送模块,用于将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
第五方面,本申请实施例提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行第一方面所述的方法。
本申请实施例提供的卫星通信系统、方法、装置、接收方网元及存储介质,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的卫星通信实体关系图;
图2是本申请实施例提供的PDU会话用户面协议栈的示意图;
图3是本申请实施例提供的星间路由数据包结构的示意图;
图4是本申请实施例提供的卫星通信系统的结构示意图;
图5是本申请实施例提供的数据安全传输方式的流程示意图;
图6是本申请实施例提供的卫星基站至UPF安全流程的示意图;
图7是本申请实施例提供的卫星基站至卫星基站安全流程的示意图;
图8是本申请实施例提供的UPF至卫星基站安全流程的示意图;
图9是本申请实施例提供的卫星通信用户面数据安全架构的示意图;
图10是本申请实施例提供的数据包结构示意图;
图11是本申请实施例提供的数据传输协议栈的示意图;
图12是本申请实施例提供的安全传输方法的流程示意图;
图13是本申请实施例提供的安全传输装置的结构示意图;
图14是本申请实施例提供的接收方网元的结构示意图。
具体实施方式
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了卫星通信系统,用以减少安全相关协商的开销,降低卫星通信管理的复杂度。
本申请实施例提供的技术方案可以适用于多种系统,尤其是5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication,GSM)系统、码分多址(code division multiple access,CDMA)系统、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)通用分组无线业务(general packet radio service,GPRS)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequencydivision duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统、高级长期演进(long term evolution advanced,LTE-A)系统、通用移动系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分,例如演进的分组系统(EvlovedPacket System,EPS)、5G系统(5GS)等。
本申请实施例涉及的终端设备,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中,终端设备的名称可能也不相同,例如在5G系统中,终端设备可以称为用户设备(User Equipment,UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信,无线终端设备可以是移动终端设备,如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobilestation)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(userterminal)、用户代理(user agent)、用户装置(user device),本申请实施例中并不限定。
本申请实施例涉及的网络设备,可以是基站,该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同,基站又可以称为接入点,或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备,或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol,IP)分组进行相互更换,作为无线终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如,本申请实施例涉及的网络设备可以是全球移动通信系统(Global System for Mobile communications,GSM)或码分多址接入(Code Division Multiple Access,CDMA)中的网络设备(Base Transceiver Station,BTS),也可以是带宽码分多址接入(Wide-band Code Division Multiple Access,WCDMA)中的网络设备(NodeB),还可以是长期演进(long term evolution,LTE)系统中的演进型网络设备(evolutional Node B,eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB),也可以是家庭演进基站(Home evolved Node B,HeNB)、中继节点(relaynode)、家庭基站(femto)、微微基站(pico)等,本申请实施例中并不限定。在一些网络结构中,网络设备可以包括集中单元(centralized unit,CU)节点和分布单元(distributedunit,DU)节点,集中单元和分布单元也可以地理上分开布置。
首先对以下内容进行介绍:
(1)图1是本申请实施例提供的卫星通信实体关系图,如图1所示,基于5G技术的卫星通信系统,可以有以下a)-b)共2种通信模式:
a)UE数据通过核心网实现数据转发至目的地,也即数据出网业务。
b)UE数据不通过核心网,直接由卫星实现数据转发至另一个UE,也即卫星T2T(Terminal to Terminal)业务。
当实现数据安全传输时:
出网业务数据安全可分为:UE(起始)-卫星(起始),卫星(起始)-卫星(目的),和卫星(目的)-地面站/核心网等3段。
T2T业务数据安全可分为:UE(起始)-卫星(起始),卫星(起始)-卫星(目的),和卫星(目的)-UE(目的)等3段。
(2)通信网络中PDU会话用户面协议栈;
图2是本申请实施例提供的PDU会话用户面协议栈的示意图,如图2所示。在通信系统中,UPF通常使用GTP隧道来实现。GTP(GPRS tunneling protocol,tunnel endpointidentifier)隧道是双向的,由源IP地址、目的IP地址、UDP端口号、源GTP TEID,目的GTPTEID来标识。
图3是本申请实施例提供的星间路由数据包结构的示意图,如图3所示,星间路由数据包包括:
UE处理的数据包:目的IP地址,源IP地址,Payload;
网元处理的数据包(卫星基站S-gNB或S-UPF/UPF):目的网元IP地址,源网元IP地址,GTP-U Header,UE数据包;
星间路由数据包:L2标签,卫星基站S-gNB或UPF处理的数据包。
(3)UE用户面数据加密保护;
其中,用户面数据分以下两段:
空口部分的用户面数据保护:即UE至基站gNB的机密性和完整性保护。该空口安全基于网络SMF提供给gNB的安全策略决定是否开启,以及开启哪些安全功能。
基站gNB至核心网网元UPF的安全保护:该保护采用IPSec安全机制。网络不提供针对特定UE的安全策略,也即对所有用户数据均提供安全保护。
针对出网业务的用户数据,S-gNB与地面UPF建立GTP-U隧道,用户面数据将在GTP-U隧道里进行传输。用户面数据包格式如图3所示。L2标签用于星间路由。网元IP地址主要用于网元之间的GTP-U隧道的路由。
典型的数据加密方式是采用3段加密方式:UE-卫星,卫星-卫星,卫星-陆地站。也就是说,分别进行3次加解密。其中,UE-卫星可通过已有的UE-基站(S-gNB)安全机制实现;卫星-卫星可通过星间通信安全机制实现,也即,对GTP-U信息进行加密,并利用星间路由机制将信息路由至目的卫星;目的卫星对信息解密后获得GTP-U中的路由信息,据此确定下一跳的目的,然后将GTP-U数据再次加密,并发送至陆地站。这种方式的缺点是增加了卫星资源的消耗。
若实现以PDU会话为单位,按需开启卫星至陆地站之间的安全通信能力,则意味需要将PDU会话安全策略提供给卫星和陆地站,并在两者之间建立安全关联。卫星的通信体制决定了承载网中的数据通信必须分为星间通信和星地通信2段。若直接将3段安全机制中的后2段进行简单合并,则意味着数据到达目的卫星后,因GTP-U中的路由信息加密,目的卫星不能确定下一跳的地址。另外,5G核心网并没有至承载网网元陆地站的接口(陆地站对核心网是透明的),因此PDU会话安全策略不能提供给卫星陆地站。
为了克服上述缺陷,本申请实施例提出了一种卫星通信系统。
图4是本申请实施例提供的卫星通信系统的结构示意图,如图4所示,该系统400包括:发送方网元410,所述发送方网元对应的第一安全模块420、接收方网元430、和所述接收方网元对应的第二安全模块440,其中,所述发送方网元410和所述接收方网元430通过卫星承载网进行通信;其中:
所述第一安全模块420用于接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成第二数据包,所述第二数据包的数据包结构中包含安全字段,并将所述第二数据包发送给所述发送方网元;
所述第二安全模块440用于接收所述接收方网元发送的所述第二数据包,获取所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第二数据包进行第二安全处理,获得第三数据包,所述第三数据包中包括所述第一数据包的数据,并将所述第三数据包发送给所述接收方网元;
所述发送方网元410用于生成所述第一数据包和接收会话管理功能SMF发送的所述卫星承载网的安全策略,并将所述第一数据包和所述卫星承载网的安全策略发送给所述第一安全模块,以获得所述第二数据包,并将所述第二数据包通过所述卫星承载网发送给所述接收方网元;
所述接收方网元430用于接收所述发送方网元通过所述卫星承载网发送的所述第二数据包,并获取所述卫星承载网的安全策略,并将所述第二数据包和所述卫星承载网的安全策略发送至所述第二安全模块,以获取所述第三数据包。
具体地,若实现按需开启卫星承载网的安全通信能力,比如卫星至陆地站之间的安全通信能力,则意味需要将安全策略提供给卫星和陆地站,并在两者之间建立安全关联。因此,为了实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,本申请实施例对SMF功能进行了扩展,SMF在为UE建立PDU会话时可以向与承载网的连接的发送方网元,提供卫星承载网的安全策略,应用于卫星承载网数据传输。
具体地,发送方网元可以首先生成第一数据包,第一数据包中包括发送方网元需要发送的数据;在发送方网元接收到卫星承载网的安全策略后,可以将第一数据包和卫星承载网的安全策略发送第一安全模块;
具体地,该第一安全模块在获取到第一数据包和卫星承载网的安全策略后,可以基于该卫星承载网的安全策略对第一数据包进行第一安全处理,生成第二数据包,所述第二数据包的数据包结构中包含安全字段,该安全字段可以为空或可以包括卫星承载网的安全策略;
具体地,该第一安全模块可以是一个与发送方网元通信连接的实体模块,也可以是一个可以实现上述功能的虚拟模块。
具体地,在第一安全模块生成第二数据包后,可以将所述第二数据包发送给所述发送方网元;发送方网元获取到第二数据包后,可以将第二数据包通过卫星承载网发送给接收方网元;
具体地,本申请实施例中,卫星承载网不参与数据的安全保护相关工作。
具体地,在发送方网元将第二数据包发送给接收方网元后,接收方网元可以将第二数据包发送至第二安全模块;
具体地,第二安全模块可以获取第二数据包,还可以获取卫星承载网的安全策略,则可以基于卫星承载网的安全策略,对第二数据包进行第二安全处理,可以获取第三数据,该第三数据包括第一数据中的数据,即第二安全处理可以理解为对第一安全处理后的数据包的恢复处理。
具体地,本申请实施例通过发送方网元和接收方网元获取到的卫星承载网的安全策略,发送方网元通过第一安全模块基于该卫星承载网的安全策略对向卫星承载网发送的数据包进行第一安全处理,接收方网元通过第二安全模块基于该卫星承载网的安全策略对从承载网接收的数据包进行第二安全处理,即第二安全模块基于卫星承载网的安全策略可以直接确定如何对接收到的第二数据包进行安全处理,从而实现按需提供数据安全传输的能力。
具体地,本申请实施例提供的卫星通信系统可以实现上述流程的数据安全传输方式,使卫星承载网两端的网元不必进行密钥和安全策略协商,即可以对需要传输的数据进行机密性和/或完整性保护。
本申请实施例提供的卫星通信系统,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
可选地,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
具体地,在卫星系统中,由于卫星资源有限,需要按需对用户数据进行机密性和/或完整性保护。
可选地,第一安全处理可以包括机密性保护处理,相应的,第二第二安全处理可以包括解密处理;
可选地,第一安全处理可以包括完整性保护处理,相应的,第二第二安全处理可以包括完整性保护验证处理;
可选地,第一安全处理可以包括机密性保护处理和完整性保护处理,相应的,第二安全处理可以包括解密处理和完整性保护验证处理。
可选地,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
具体地,卫星承载网的安全策略可以包括以下任一项或任意多项:
数据安全策略信息,用于指示第一安全处理包括的安全保护处理类型,所述安全保护处理类型包括以下至少一项:所述机密性保护处理和所述完整性保护处理,即用于指示是否需要对第一数据处理进行机密性保护处理,以及是否对第一数据处理进行完整性保护处理;
或者,
算法信息,用于指示实现所述机密性保护处理的算法和实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和实现所述完整性保护处理的密钥。
可选地,所述第一安全模块具体用于:接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第一数据包的第一安全处理,生成所述第二数据包,并将所述第二数据包发送给所述发送方网元。
具体地,在第一安全模块基于卫星承载网的安全策略,对第一数据包进行第一安全处理,获得第二数据包时,可以基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第一数据包的第一安全处理,生成所述第二数据包。
可选地,所述第二安全模块具体用于:接收所述接收方网元发送的所述第二数据包,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得所述第三数据包,并将所述第三数据包发送给所述接收方网元。
具体地,在第二安全模块基于卫星承载网的安全策略,对第二数据包进行第二安全处理,获得第三数据包时,可以基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得所述第三数据包。
具体地,图5是本申请实施例提供的数据安全传输方式的流程示意图,如图5所示,数据安全传输的流程包括如下步骤(1)-(6):
(1)UE请求建立PDU会话;
(2)SMF依据UE的签约信息获取适用于该PDU会话的卫星承载网的安全策略,该卫星承载网的安全策略描述的信息可以包括承载网安全保护使用不同的算法和密钥信息;
(3)SMF基于获取的适用于该PDU会话的承载网安全策略生成承载网用户面上行和下行数据安全策略,并将安全策略分别发送至PDU会话隧道中与承载网两端连接的3GPP网元,也即S-gNB和/或UPF;
(4)数据发送时,发送方网元执行如下(a)-(c)所示的操作:
(a)生成欲发送至接收方网元的第一数据包;
(b)基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型;
(c)基于所述算法信息中与所述安全保护处理类型对应的算法,和所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第一数据包的第一安全处理,生成第二数据包;
(5)发送方网元将第二数据包发送至接收方网元;
(6)接收方网元执行如下(d)-(e)所示的操作:
(d)基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型;
(e)基于所述算法信息中与所述安全保护处理类型对应的算法,和所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得第三数据包。
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
具体地,本申请实施例中的卫星承载网两端的发送方网元和接收方网元可以至少有一方网元为卫星基站;
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;
图6是本申请实施例提供的卫星基站至UPF安全流程的示意图,如图6所示,其中在步骤1-步骤3为由空口UP安全。为实现卫星承载网部分按需提供数据安全传输,基于SMF提供的卫星承载网的安全策略,在步骤4-步骤5实现对用户面数据(第一数据包)进行第一安全处理获得第二数据包,然后第二数据包在承载网上传输;在UPF处,经步骤11至步骤12,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
可选地,所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;
图7是本申请实施例提供的卫星基站至卫星基站安全流程的示意图,如图7所示,该流程适用于卫星通信环境下的T2T(终端至终端)安全;其中在步骤1-步骤3为由空口UP安全。为实现卫星承载网部分按需提供数据安全传输,基于SMF提供的卫星承载网的安全策略,在步骤4-步骤5实现对用户面数据(第一数据包)进行第一安全处理获得第二数据包,然后第二数据包在承载网上传输;在接收方的卫星基站处,经步骤11至步骤12,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
可选地,所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
图8是本申请实施例提供的UPF至卫星基站安全流程的示意图,如图8所示,其中在步骤1-步骤2为UPF对用户面数据(第一数据包)进行第一安全处理,获得第二数据包,然后在承载网上传输;在卫星基站S-gNB处,经步骤8至步骤9,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
图9是本申请实施例提供的卫星通信用户面数据安全架构的示意图,以图9中的卫星通信用户面数据安全架构为例,如图9所示,卫星通信系统所应用的卫星通信用户面数据安全架构可以由如下功能实体或模块组成:
卫星基站(S-gNB):卫星上实现基站功能的功能实体;
卫星UPF(S-UPF):卫星上实现UPF功能的实体;
星间通信功能:负责卫星间数据通信的功能实体;
星载安全功能模块:卫星上负责卫星承载网安全相关操作的功能实体或虚拟模块;
馈电通信功能:卫星上负责卫星与地面站(信关站)间数据通信的功能实体;
地面站(信关站):地面上负责与卫星进行通信的实体。核心网通过信关站与卫星相连接,并进一步与UE相连接;
核心网或信关站中部署的UPF;
与UPF连接的地面站安全功能模块:地面站负责卫星承载网安全相关操作的功能实体或虚拟模块;
SMF:负责承载网两端3GPP网元用户面安全策略的分发。
可选地,所述第一数据包的数据包结构包括GTP-U部分和安全字段部分,所述GTP-U部分包括目的网元IP地址部分,源网元IP地址部分,UDP端口部分,GTP-U Header部分,目的IP地址部分、源IP地址部分和Payload部分。
具体地,本申请实施例中对第一数据包进行第一安全保护处理获得第二数据包,通过在数据包结构中加入安全字段,对传统的GTP-U数据包结构进行扩展,提出了新的数据包结构。
图10是本申请实施例提供的数据包结构示意图,如图10所示,第一数据包的数据包结构包括GTP-U部分和安全字段部分,所述GTP-U部分包括目的网元IP地址部分,源网元IP地址部分,UDP端口部分,GTP-U Header部分,目的IP地址部分、源IP地址部分和Payload部分。
可选地,处理所述第二数据包的协议层为卫星承载网数据传输协议栈中的安全层,所述安全层在GTP-U层与PDU Layer层之间。
具体地,为实现按需提供卫星通信承载网数据安全传输的能力和减少卫星承载网分段处理数据安全的负担和开销,本申请实施例对传输用户面(UP)数据的网元之间的数据传输协议进行了扩展,可以增加一个安全层,从而使承载网不必处理数据安全相关的事项。
图11是本申请实施例提供的数据传输协议栈的示意图,为实现承载网数据安全传输,对数据传输协议栈增加了一个安全层,该层在GTP-U层与PDU Layer层之间。新的协议栈如图11所示,该层可以由生成和处理第一数据包和/或第二数据包的卫星基站S-gNB和/或UPF处理。
可选地,所述第一安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文;
若所述安全保护类型包括所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-UHeader部分、所述安全字段部分、所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行完整性保护处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文,在所述机密性保护处理后,对所述第一数据包的数据包结构中的目的网元IP地址部分,所述源网元IP地址部分,所述UDP端口部分,所述GTP-UHeader部分,所述安全字段部分,以及所述密文进行完整性保护。
具体地,如图7所示,L2标签用于星间路由;目的网元IP地址和源网元IP地址用于S-gNB和UPF之间路由或者两个S-gNB之间的路由;IP地址,源IP地址和Payload为UE承载,可被机密性保护即加密处理;除L2标签外的其他数据被完整性保护。
可选地,第一安全模块在对第一数据包进行第一安全处理时,若所述安全保护类型包括所述机密性保护处理,则在对第一数据包进行第一安全处理时,可以对所述第一数据包的数据包结构中的目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,即进行加密处理,获得密文;
可选地,第一安全模块在对第一数据包进行第一安全处理时,若所述安全保护类型包括所述完整性保护处理,则对第一数据包的数据包结构中的所述目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行完整性保护处理;
可选地,第一安全模块在对第一数据包进行第一安全处理时,若所述安全保护类型同时包括所述机密性保护处理和所述完整性保护处理,可以先执行机密性处理再执行完整性保护处理,则可以首先对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文;在所述机密性保护处理后,可以再对所述第一数据包的数据包结构中的目的网元IP地址部分,所述源网元IP地址部分,所述UDP端口部分,所述GTP-U Header部分,所述安全字段部分,以及机密性保护处理时获得的密文进行完整性保护。
可选地,所述第二安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对第二数据包的数据包结构中的密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分;
若所述安全保护类型包括所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、所述目的IP地址部分,所述源IP地址部分以及所述Payload部分进行完整性保护验证处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、以及密文进行完整性保护验证处理,在所述完整性保护验证处理后,对密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分。
可选地,第二安全模块在对第二数据包进行第二安全处理时,若安全保护类型包括所述机密性保护处理,则对第二数据包的数据包结构中的密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分;
可选地,第二安全模块在对第二数据包进行第二安全处理时,若所述安全保护类型包括所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、所述目的IP地址部分,所述源IP地址部分以及所述Payload部分进行完整性保护验证处理;
可选地,第二安全模块在对第二数据包进行第二安全处理时,若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,首先进行完整性保护验证处理,再进行解密处理;即首先则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、以及密文进行完整性保护验证处理,在所述完整性保护验证处理后,对所述密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分。
可选地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略,所述接收方网元获取的所述卫星承载网的安全策略是被携带在所述第二数据包中由所述发送方网元发送至所述接收方网元的。
可选地,可以通过第二数据包中的安全字段直接携带卫星承载网的安全策略的方式使卫星承载网的安全策略传输至接收方网元。
具体地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。这种方式需要对安全字段里的内容进行修改。
本申请实施例中,可以通过安全字段将密钥和安全策略(即卫星承载网的安全策略)集成至所传输的第二数据包中。接收方网元可以通过该安全字段确定如何对接收到的第二数据包进行安全处理,从而减少了安全相关协商的开销,降低了卫星通信管理的复杂度。
可选地,所述SMF用于向所述发送方网元发送所述卫星承载网的安全策略。
具体地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。这种方式需要对安全字段里的内容进行修改。相应的,SMF只需要将安全策略发送至数据的发送方即可。接收方网元可以依据第二数据包中包含的安全字段确定如何处理第二数据包中的安全数据。
可选地,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述第二数据包中的安全字段获取的。
可选地,在第二数据包的安全字段中携带卫星承载网的安全策略的情况下,接收方网元在向第二安全模块发送第二数据包后,第二安全模块可以直接从第二数据包的安全字段获取卫星承载网的安全策略。
可选地,所述接收方网元获取的所述卫星承载网的安全策略是所述SMF发送给所述接收方网元的。
具体地,第二数据包中的安全字段可以为空,即第二数据包中不携带卫星承载网的安全策略。因此不需要对第一数据包中的安全字段进行修改。相应的,SMF需要将安全策略分发至数据的发送方和接收方,以便双方能够正确处理相关数据。
具体地,第二数据包中的安全字段也可以不为空,即第二数据包中也可以携带卫星承载网的安全策略。相应地,SMF也可以将安全策略分发至数据的发送方和接收方,以便双方能够正确处理相关数据。
可选地,所述SMF用于向所述发送方网元和所述接收方网元发送所述卫星承载网的安全策略。
具体地,第二数据包中的安全字段可以为空,即第二数据包中不携带卫星承载网的安全策略。因此不需要对第一数据包中的安全字段进行修改。相应的,需要将安全策略分发至发送方网元和接收方网元,以便双方能够正确处理相关数据,且有效避免安全相关协商带来的资源浪费。
可选地,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述接收方网元获取的。
可选地,在第二数据包的安全字段中不携带卫星承载网的安全策略的情况下,接收方网元在向第二安全模块发送第二数据包时,还可以向第二安全模块发送从SMF获取的卫星承载网的安全策略。
可选地,所述接收方网元还用于:在所述获取所述卫星承载网的安全策略之后,向所述第二安全模块发送所述卫星承载网的安全策略。
可选地,接收方网元在接收到从SMF发送的卫星承载网的安全策略之后,可以向第二安全模块发送所述卫星承载网的安全策略,以使第二安全模块基于卫星承载网的安全策略对第二数据包进行第二安全处理。
可选地,所述卫星承载网的安全策略是所述SMF从安全管理实体获取的,所述安全管理实体包括统一数据管理功能UDM。
具体地,安全管理实体包括UDM或其他可以生成卫星承载网的安全策略的网元;
具体地,SMF可以预先从统一数据管理功能UDM或其他可以生成卫星承载网的安全策略的网元获取卫星承载网的安全策略。
本申请实施例提供的卫星通信系统,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
图12是本申请实施例提供的安全传输方法的流程示意图,该方法应用于接收方网元,如图12所示,该方法包括如下流程:
步骤1200,接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
步骤1210,将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
具体地,若实现按需开启卫星承载网的安全通信能力,比如卫星至陆地站之间的安全通信能力,则意味需要将安全策略提供给卫星和陆地站,并在两者之间建立安全关联。因此,为了实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,本申请实施例对SMF功能进行了扩展,SMF在为UE建立PDU会话时可以向与承载网的连接的发送方网元,提供卫星承载网的安全策略,应用于卫星承载网数据传输。
具体地,接收方网元可以接收发送方网元通过卫星承载网发送的第二数据包,其中,第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
具体地,由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得第二数据包的方式可以如下(1)-(3)所示:
(1)发送方网元可以首先生成第一数据包,第一数据包中包括发送方网元需要发送的数据;在发送方网元接收到卫星承载网的安全策略后,可以将第一数据包和卫星承载网的安全策略发送第一安全模块;
(2)该第一安全模块在获取到第一数据包和卫星承载网的安全策略后,可以基于该卫星承载网的安全策略对第一数据包进行第一安全处理,生成第二数据包,所述第二数据包的数据包结构中包含安全字段,该安全字段可以为空或可以包括卫星承载网的安全策略;
该第一安全模块可以是一个与发送方网元通信连接的实体模块,也可以是一个可以实现上述功能的虚拟模块。
(3)在第一安全模块生成第二数据包后,可以将所述第二数据包发送给所述发送方网元;发送方网元获取到第二数据包后,可以将第二数据包通过卫星承载网发送给接收方网元;
具体地,本申请实施例中,卫星承载网不参与数据的安全保护相关工作。
具体地,在接收方网元接收到第二数据包后,接收方网元可以将第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
具体地,由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得第三数据包的方式可以如下所示:
在接收方网元接收到第二数据包后,接收方网元可以将第二数据包发送至第二安全模块,第二安全模块可以获取第二数据包,还可以获取卫星承载网的安全策略,则可以基于卫星承载网的安全策略,对第二数据包进行第二安全处理,可以获取第三数据,该第三数据包括第一数据中的数据,即第二安全处理可以理解为对第一安全处理后的数据包的恢复处理。
其中,第二安全模块基于卫星承载网的安全策略,对第二数据包进行第二安全处理,获取第三数据的方式可以如下所示:
在第二安全模块基于卫星承载网的安全策略,对第二数据包进行第二安全处理,获得第三数据包时,可以基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得所述第三数据包。
具体地,本申请实施例通过发送方网元和接收方网元获取到的卫星承载网的安全策略,发送方网元通过第一安全模块基于该卫星承载网的安全策略对向卫星承载网发送的数据包进行第一安全处理,接收方网元通过第二安全模块基于该卫星承载网的安全策略对从承载网接收的数据包进行第二安全处理,即第二安全模块基于卫星承载网的安全策略可以直接确定如何对接收到的第二数据包进行安全处理,从而实现按需提供数据安全传输的能力。
具体地,本申请实施例提供的卫星通信系统可以实现上述流程的数据安全传输方式,使卫星承载网两端的网元不必进行密钥和安全策略协商,即可以对需要传输的数据进行机密性和/或完整性保护。
本申请实施例提供的卫星通信方法,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
可选地,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
具体地,在卫星系统中,由于卫星资源有限,需要按需对用户数据进行机密性和/或完整性保护。
可选地,第一安全处理可以包括机密性保护处理,相应的,第二第二安全处理可以包括解密处理;
可选地,第一安全处理可以包括完整性保护处理,相应的,第二第二安全处理可以包括完整性保护验证处理;
可选地,第一安全处理可以包括机密性保护处理和完整性保护处理,相应的,第二安全处理可以包括解密处理和完整性保护验证处理。
可选地,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
具体地,卫星承载网的安全策略可以包括以下任一项或任意多项:
数据安全策略信息,用于指示第一安全处理包括的安全保护处理类型,所述安全保护处理类型包括以下至少一项:所述机密性保护处理和所述完整性保护处理,即用于指示是否需要对第一数据处理进行机密性保护处理,以及是否对第一数据处理进行完整性保护处理;
或者,
算法信息,用于指示实现所述机密性保护处理的算法和实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和实现所述完整性保护处理的密钥。
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
具体地,本申请实施例中的卫星承载网两端的发送方网元和接收方网元可以至少有一方网元为卫星基站;
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;
如图6所示,其中在步骤1-步骤3为由空口UP安全。为实现卫星承载网部分按需提供数据安全传输,基于SMF提供的卫星承载网的安全策略,在步骤4-步骤5实现对用户面数据(第一数据包)进行第一安全处理获得第二数据包,然后第二数据包在承载网上传输;在UPF处,经步骤11至步骤12,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
可选地,所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;
如图7所示,该流程适用于卫星通信环境下的T2T(终端至终端)安全;其中在步骤1-步骤3为由空口UP安全。为实现卫星承载网部分按需提供数据安全传输,基于SMF提供的卫星承载网的安全策略,在步骤4-步骤5实现对用户面数据(第一数据包)进行第一安全处理获得第二数据包,然后第二数据包在承载网上传输;在接收方的卫星基站处,经步骤11至步骤12,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
可选地,所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
如图8所示,其中在步骤1-步骤2为UPF对用户面数据(第一数据包)进行第一安全处理,获得第二数据包,然后在承载网上传输;在卫星基站S-gNB处,经步骤8至步骤9,对第二数据包进行第二安全处理,获得数据明文;随后由已有协议继续进行相关处理。
可选地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
具体地,本申请实施例中对第一数据包进行第一安全保护处理获得第二数据包,通过在数据包结构中加入安全字段,对传统的GTP-U数据包结构进行扩展,提出了新的数据包结构。
如图10所示,第一数据包的数据包结构包括GTP-U部分和安全字段部分,所述GTP-U部分包括目的网元IP地址部分,源网元IP地址部分,UDP端口部分,GTP-U Header部分,目的IP地址部分、源IP地址部分和Payload部分。
可选地,处理所述第二数据包的协议层为卫星承载网数据传输协议栈中的安全层,所述安全层在GTP-U层与PDU Layer层之间。
具体地,为实现按需提供卫星通信承载网数据安全传输的能力和减少卫星承载网分段处理数据安全的负担和开销,本申请实施例对传输用户面(UP)数据的网元之间的数据传输协议进行了扩展,可以增加一个安全层,从而使承载网不必处理数据安全相关的事项。
为实现承载网数据安全传输,对数据传输协议栈增加了一个安全层,该层在GTP-U层与PDU Layer层之间。新的协议栈如图11所示,该层可以由生成和处理第一数据包和/或第二数据包的卫星基站S-gNB和/或UPF处理。
可选地,所述方法还包括:
接收SMF发送的所述卫星承载网的安全策略。
具体地,第二数据包中的安全字段可以为空,即第二数据包中不携带卫星承载网的安全策略。因此不需要对第一数据包中的安全字段进行修改。相应的,接收方网元可以接收SMF发送的所述卫星承载网的安全策略,即SMF需要将安全策略分发至数据的发送方和接收方,以便双方能够正确处理相关数据。
具体地,第二数据包中的安全字段也可以不为空,即第二数据包中也可以携带卫星承载网的安全策略。相应的,接收方网元可以接收SMF发送的所述卫星承载网的安全策略,即SMF也可以将安全策略分发至数据的发送方和接收方,以便双方能够正确处理相关数据。
可选地,所述获取第三数据包之前,所述方法还包括:
向所述第二安全模块发送所述卫星承载网的安全策略。
可选地,接收方网元在接收到从SMF发送的卫星承载网的安全策略之后,可以向第二安全模块发送所述卫星承载网的安全策略,以使第二安全模块基于卫星承载网的安全策略对第二数据包进行第二安全处理。
本申请实施例提供的卫星通信系统、方法、装置、接收方网元及存储介质,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
图13是本申请实施例提供的安全传输装置的结构示意图,如图13所示,该装置包括:
第一接收模块1310,用于接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
第一发送模块1320,用于将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
其中,安全传输装置可以通过第一接收模块1310接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;然后可以通过发送模块1320将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的。
可选地,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
可选地,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
可选地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
可选地,所述装置还包括:
第二接收模块,用于接收SMF发送的所述卫星承载网的安全策略。
可选地,所述装置还包括:
第二发送模块,用于在所述获取第三数据包之前,向所述第二安全模块发送所述卫星承载网的安全策略。
本申请实施例提供的卫星通信装置,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图14是本申请实施例提供的接收方网元的结构示意图,如图14所示,所述接收方网元包括存储器1420,收发机1400,处理器1410,其中包括存储器,收发机,处理器:
存储器1420,用于存储计算机程序;收发机,用于在所述处理器1410的控制下收发数据;处理器1410,用于读取所述存储器中1420的计算机程序并执行以下操作:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
本申请实施例提供的接收方网元,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
可选地,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
可选地,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
可选地,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
可选地,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
可选地,处理器1410还用于:
接收SMF发送的所述卫星承载网的安全策略。
可选地,处理器1410还用于:
在所述获取第三数据包之前,向所述第二安全模块发送所述卫星承载网的安全策略。
本申请实施例提供的接收方网元,通过第一安全模块基于发送方网元拥有的卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成数据包结构中包含安全字段的第二数据包,并由发送方网元将其发送至接收方网元,接收方网元接收到第二数据包后,可以通过第二安全模块,基于获取到的卫星承载网的安全策略对第二数据包进行第二安全处理,获取包含第一数据包的数据的第三数据包,进而实现承载网两端的网元不必进行密钥和安全策略协商即可以对需要传输的数据进行保护,减少安全相关协商的开销,降低卫星通信管理的复杂度。
具体地,收发机1400,用于在处理器1410的控制下接收和发送数据。
其中,在图14中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1410代表的一个或多个处理器和存储器1420代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1400可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器1410负责管理总线架构和通常的处理,存储器1420可以存储处理器1410在执行操作时所使用的数据。
处理器1410可以是中央处理器(Central Processing Unit,CPU)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable LogicDevice,CPLD),处理器也可以采用多核架构。
在此需要说明的是,本申请实施例提供的上述接收方网元,能够实现上述执行主体为接收方网元的方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
另一方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行上述各实施例提供的方法,包括:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中,使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (34)
1.一种卫星通信系统,其特征在于,包括:发送方网元,所述发送方网元对应的第一安全模块、接收方网元、和所述接收方网元对应的第二安全模块,其中,所述发送方网元和所述接收方网元通过卫星承载网进行通信;
所述第一安全模块,用于接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第一数据包进行第一安全处理,生成第二数据包,所述第二数据包的数据包结构中包含安全字段,并将所述第二数据包发送给所述发送方网元;
所述第二安全模块,用于接收所述接收方网元发送的所述第二数据包,获取所述卫星承载网的安全策略,并基于所述卫星承载网的安全策略对所述第二数据包进行第二安全处理,获得第三数据包,所述第三数据包中包括所述第一数据包的数据,并将所述第三数据包发送给所述接收方网元;
所述发送方网元,用于生成所述第一数据包和接收会话管理功能SMF发送的所述卫星承载网的安全策略,并将所述第一数据包和所述卫星承载网的安全策略发送给所述第一安全模块,以获得所述第二数据包,并将所述第二数据包通过所述卫星承载网发送给所述接收方网元;
所述接收方网元,用于接收所述发送方网元通过所述卫星承载网发送的所述第二数据包,并将所述第二数据包发送至所述第二安全模块,以获取所述第三数据包。
2.根据权利要求1所述的卫星通信系统,其特征在于,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
3.根据权利要求2所述的卫星通信系统,其特征在于,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
4.根据权利要求3所述的卫星通信系统,其特征在于,所述第一安全模块具体用于:接收所述发送方网元发送的第一数据包和所述卫星承载网的安全策略,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第一数据包的第一安全处理,生成所述第二数据包,并将所述第二数据包发送给所述发送方网元。
5.根据权利要求3所述的卫星通信系统,其特征在于,所述第二安全模块具体用于:接收所述接收方网元发送的所述第二数据包,基于所述卫星承载网的安全策略中的所述数据安全策略信息,确定所述安全保护处理类型,并基于所述算法信息中与所述安全保护处理类型对应的算法,以及所述密钥信息中与所述安全保护处理类型对应的密钥,实现对所述第二数据包的第二安全处理,获得所述第三数据包,并将所述第三数据包发送给所述接收方网元。
6.根据权利要求1-5任一项所述的卫星通信系统,其特征在于,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
7.根据权利要求1-5任一项所述的卫星通信系统,其特征在于,所述第一数据包的数据包结构包括GTP-U部分和安全字段部分,所述GTP-U部分包括目的网元IP地址部分,源网元IP地址部分,UDP端口部分,GTP-U Header部分,目的IP地址部分、源IP地址部分和Payload部分。
8.根据权利要求7所述的卫星通信系统,其特征在于,处理所述第二数据包的协议层为卫星承载网数据传输协议栈中的安全层,所述安全层在GTP-U层与PDU Layer层之间。
9.根据权利要求7所述的卫星通信系统,其特征在于,所述第一安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文;
若所述安全保护类型包括所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-UHeader部分、所述安全字段部分、所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行完整性保护处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对所述第一数据包的数据包结构中的所述目的IP地址部分、所述源IP地址部分和所述Payload部分进行机密性保护处理,获得密文,在所述机密性保护处理后,对所述第一数据包的数据包结构中的目的网元IP地址部分,所述源网元IP地址部分,所述UDP端口部分,所述GTP-U Header部分,所述安全字段部分,以及所述密文进行完整性保护。
10.根据权利要求7所述的卫星通信系统,其特征在于,所述第二安全模块,具体用于以下至少一项:
若所述安全保护类型包括所述机密性保护处理,则对第二数据包的数据包结构中的密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分;
若所述安全保护类型包括所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、所述目的IP地址部分,所述源IP地址部分以及所述Payload部分进行完整性保护验证处理;
若所述安全保护类型包括所述机密性保护处理和所述完整性保护处理,则对第二数据包的数据包结构中的目的网元IP地址部分、所述源网元IP地址部分、所述UDP端口部分、所述GTP-U Header部分、所述安全字段部分、以及密文进行完整性保护验证处理,在所述完整性保护验证处理后,对所述密文进行解密处理,获得所述目的IP地址部分、所述源IP地址部分和所述Payload部分。
11.根据权利要求1-5任一项或8-10任一项所述的卫星通信系统,其特征在于,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
12.根据权利要求11所述的卫星通信系统,其特征在于,所述SMF用于向所述发送方网元发送所述卫星承载网的安全策略。
13.根据权利要求11所述的卫星通信系统,其特征在于,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述第二数据包中的安全字段获取的。
14.根据权利要求1-5任一项或8-10任一项所述的卫星通信系统,其特征在于,所述接收方网元还用于接收所述SMF发送的所述卫星承载网的安全策略。
15.根据权利要求14所述的卫星通信系统,其特征在于,所述SMF用于向所述发送方网元和所述接收方网元发送所述卫星承载网的安全策略。
16.根据权利要求14所述的卫星通信系统,其特征在于,所述第二安全模块获取的所述卫星承载网的安全策略,是从所述接收方网元获取的。
17.根据权利要求16所述的卫星通信系统,其特征在于,所述接收方网元还用于:在所述获取所述卫星承载网的安全策略之后,向所述第二安全模块发送所述卫星承载网的安全策略。
18.根据权利要求12或15所述的卫星通信系统,其特征在于,所述卫星承载网的安全策略是所述SMF从安全管理实体获取的,所述安全管理实体包括统一数据管理功能UDM。
19.一种安全传输方法,其特征在于,应用于接收方网元,所述方法包括:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
20.根据权利要求19所述的安全传输方法,其特征在于,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
21.根据权利要求20所述的安全传输方法,其特征在于,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
22.根据权利要求19-21任一项所述的安全传输方法,其特征在于,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
23.根据权利要求19-21任一项所述的安全传输方法,其特征在于,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
24.根据权利要求19-21任一项所述的安全传输方法,其特征在于,所述方法还包括:
接收SMF发送的所述卫星承载网的安全策略。
25.根据权利要求24所述的安全传输方法,其特征在于,所述获取第三数据包之前,所述方法还包括:
向所述第二安全模块发送所述卫星承载网的安全策略。
26.一种接收方网元,包括存储器,收发机,处理器:
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
27.根据权利要求26所述的接收方网元,其特征在于,所述第一安全处理包括以下至少一项:机密性保护处理和完整性保护处理,所述第二安全处理包括以下至少一项:解密处理和完整性保护验证处理。
28.根据权利要求27所述的接收方网元,其特征在于,所述卫星承载网的安全策略包括以下至少一项:
数据安全策略信息,所述数据安全策略信息用于指示所述第一安全处理包括的安全保护处理类型,其中所述安全保护处理类型包括所述机密性保护处理和/或所述完整性保护处理;或
算法信息,所述算法信息用于指示实现所述机密性保护处理的算法和/或实现所述完整性保护处理的算法;或
密钥信息,所述密钥信息用于指示实现所述机密性保护处理的密钥和/或实现所述完整性保护处理的密钥。
29.根据权利要求26-28任一项所述的接收方网元,其特征在于,所述发送方网元为卫星基站S-gNB,所述接收方网元为用户面功能UPF,所述第一安全模块为星载安全功能模块,所述第二安全模块为地面站安全功能模块;或
所述发送方网元和所述接收方网元均为卫星基站S-gNB,所述第一安全模块和所述第二安全模块均为星载安全功能模块;或
所述发送方网元为用户面功能UPF,所述接收方网元为卫星基站S-gNB,所述第一安全模块为地面站安全功能模块,所述第二安全模块为星载安全功能模块。
30.根据权利要求26-28任一项所述的接收方网元,其特征在于,所述第二数据包中的安全字段包含所述卫星承载网的安全策略。
31.根据权利要求26-28任一项所述的接收方网元,其特征在于,所述操作还包括:
接收SMF发送的所述卫星承载网的安全策略。
32.根据权利要求31所述的接收方网元,其特征在于,所述获取第三数据包之前,所述操作还包括:
向所述第二安全模块发送所述卫星承载网的安全策略。
33.一种安全传输装置,其特征在于,所述装置包括:
第一接收模块,用于接收发送方网元通过卫星承载网发送的第二数据包,其中,所述第二数据包的数据包结构中包含安全字段,所述第二数据包是由第一数据包基于SMF提供的卫星承载网的安全策略经过第一安全处理后获得的;
第一发送模块,用于将所述第二数据包发送至第二安全模块,以获取第三数据包,其中,所述第三数据包中包括所述第一数据包的数据,所述第三数据包是由所述第二数据包基于所述卫星承载网的安全策略经过第二安全处理后获得的;
其中,所述发送方网元和所述接收方网元通过所述卫星承载网进行通信。
34.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行权利要求19至25任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111347750.2A CN116132990A (zh) | 2021-11-15 | 2021-11-15 | 卫星通信系统、方法、装置、接收方网元及存储介质 |
| PCT/CN2022/131721 WO2023083346A1 (zh) | 2021-11-15 | 2022-11-14 | 卫星通信系统、方法、装置、接收方网元及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111347750.2A CN116132990A (zh) | 2021-11-15 | 2021-11-15 | 卫星通信系统、方法、装置、接收方网元及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116132990A true CN116132990A (zh) | 2023-05-16 |
Family
ID=86293747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111347750.2A Pending CN116132990A (zh) | 2021-11-15 | 2021-11-15 | 卫星通信系统、方法、装置、接收方网元及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116132990A (zh) |
| WO (1) | WO2023083346A1 (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102917333B (zh) * | 2012-10-15 | 2015-09-23 | 航天恒星科技有限公司 | 大规模卫星终端的卫星通信系统及卫星终端的接入方法 |
| CN110912854B (zh) * | 2018-09-15 | 2021-03-23 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| US11457360B2 (en) * | 2019-03-08 | 2022-09-27 | Lenovo (Singapore) Pte. Ltd. | Security mode integrity verification |
| WO2021033022A1 (en) * | 2019-08-16 | 2021-02-25 | Lenovo ( Singapore) Pte. Ltd. | Security capabilities in an encryption key request |
| US20210105847A1 (en) * | 2019-10-02 | 2021-04-08 | Apple Inc. | User Plane Integrity Protection Handling Procedures |
| CN113328783B (zh) * | 2021-05-25 | 2022-04-19 | 广州爱浦路网络技术有限公司 | 天地一体化信息网络中的数据传输方法、装置和存储介质 |
-
2021
- 2021-11-15 CN CN202111347750.2A patent/CN116132990A/zh active Pending
-
2022
- 2022-11-14 WO PCT/CN2022/131721 patent/WO2023083346A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023083346A1 (zh) | 2023-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5440696B2 (ja) | ゲートウェイ装置、基地局、移動管理サーバ、通信方法 | |
| EP3378248B1 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| JP2018526869A (ja) | 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ | |
| US8837365B2 (en) | Method and system for securely routing traffic on X2 interface in a 3GPP network | |
| US9801052B2 (en) | Method and system for securing control packets and data packets in a mobile broadband network environment | |
| WO2022148154A1 (zh) | 一种通信方法、装置、设备和可读存储介质 | |
| CN116073881A (zh) | 一种数据传输的方法、卫星基站、信关站及存储介质 | |
| WO2022151917A1 (zh) | 消息处理方法、装置、终端及网络侧设备 | |
| CN114205814B (zh) | 一种数据传输方法、装置、系统、电子设备及存储介质 | |
| CN114828158B (zh) | 信息传输方法、装置、基站及介质 | |
| US20090265550A1 (en) | Method and arrangement for transmitting data in a communication system that employs a multi-hop method | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| CN116783917A (zh) | 一种安全参数的获取方法、装置及系统 | |
| CN113412655A (zh) | 一种信息传输方法及装置、网络设备、用户设备 | |
| EP3384704B1 (en) | Wireless communication device (wcd) forwarding its own wcd context for handover | |
| CN116132990A (zh) | 卫星通信系统、方法、装置、接收方网元及存储介质 | |
| US20210227385A1 (en) | Wireless communication method and device | |
| US20230179996A1 (en) | Selective user plane protection in 5g virtual ran | |
| EP4222919A1 (en) | Distributed unit node, user equipment, and methods in a wireless communications network | |
| WO2023141914A1 (zh) | 信息保护方法和设备 | |
| WO2024060149A1 (zh) | 密钥验证方法、密钥获取方法及设备 | |
| CN115776323A (zh) | 实现卫星星间数据链路安全的方法及系统 | |
| CN118233889A (zh) | 安全认证方法、装置及存储介质 | |
| CN118118161A (zh) | 建立安全关联的方法、设备、装置及存储介质 | |
| CN116709168A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |