CN117062056A - 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 - Google Patents
一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 Download PDFInfo
- Publication number
- CN117062056A CN117062056A CN202310838272.8A CN202310838272A CN117062056A CN 117062056 A CN117062056 A CN 117062056A CN 202310838272 A CN202310838272 A CN 202310838272A CN 117062056 A CN117062056 A CN 117062056A
- Authority
- CN
- China
- Prior art keywords
- network
- service
- data
- terminal
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000005516 engineering process Methods 0.000 title abstract description 7
- 230000004044 response Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种基于IPSEC技术的5G网络业务数据端到端加密方法及系统,主要包括:5G主认证增强、网络层IPSEC建立、业务加密建立、业务数据加密、网络层加密、网络层解密以及业务数据解密等步骤。该系统能够在IPSEC提供的商用5G网络层通信安全防护能力的基础上,进一步增强业务数据的安全保密性。
Description
技术领域
本发明涉及网络空间安全技术领域,特别涉及一种基于IPSEC技术的5G网络业务数据端到端加密方案。
背景技术
移动通信网络的业务数据加解密方案已存在多种解决方案,从业务数据的机密性、完整性和不可否认性等三方面出发,设计了不同的加解密方案。但是,5G垂直用户行业的敏感业务数据的保护,需构建基于统一的终端密码模块的安全数据便捷端到端加解密框架,同时使用网络层加密、应用层加密,并基于终端密码模块,实现终端侧的密钥保存、密钥协商和数据加解密、认证等功能,以实现对多种应用数据混合承载下的5G网络敏感数据安全隔离。
发明内容
本公开针对业务数据保密需求,提供一种基于IPSEC(Internet ProtocolSecurity)技术的5G网络业务数据端到端的加密方法及系统,其能够在IPSEC提供的商用5G网络层通信安全防护能力基础上进一步增强业务数据的安全保密性。
本公开提供的基于IPSEC的5G网络业务数据端到端加密方法,主要包括以下步骤:
S1,移动终端5G接入认证;
S2,移动终端侧和数据网络侧之间的IPSEC建立;
S3,终端侧的业务应用与后台业务系统之间的业务加密建立;
S4,终端应用对业务系统数据明文进行加密,获得业务数据密文;
S5,业务数据密文进行网络层加密,通过5G网络传输;
S6,根据IPSEC隧道信息,对IP加密包进行解密,得到IP明文包;
S7,数据网络侧网络设备将相关IP报文运送到相应的业务系统中,业务系统对业务数据密文进行解密,获得业务系统明文数据。
进一步的,所述步骤S3具体包括:
终端侧的业务应用根据需求向后台业务系统发起密钥协商请求,完成身份认证和密钥协商,获得会话密钥,并将会话密钥保存到终端密码模块中;
向终端返回响应的密钥表示ID。
进一步的,所述步骤S4具体包括:
终端应用根据密钥ID使用终端密码模块保存的会话密钥,对业务系统数据明文进行加密,获得密文。
进一步的,所述步骤S7具体包括:
根据IP明文包的包头信息,由数据网络侧网络设备将相关IP报文运送到相应的业务系统中;
业务系统根据网络栈进行组包操作后,得到业务密文包,根据协商密钥进行解密,获得业务系统明文数据。
本公开还提供了一种应用上述方法的基于IPSEC的5G网络业务数据端到端加密系统,包括:终端密码模块,终端入网代理模块,网络密码模块,以及业务密码模块,其中:
终端密码模块,部署于5G终端侧,用于实现业务数据的端到端加密和密钥协商;
终端入网代理模块,部署于5G终端侧,用以管理使用终端密码模块;
网络密码模块,部署于数据网络侧、业务防火墙前,用于实现网络报文的加解密;
业务密码模块,部署于数据网络侧,用于实现业务数据端到端加密的密钥协商、签名和加解密。
进一步的,所述业务密码模块可基于本地的软、硬件加密或远程调用加解密接口,实现包括密钥协商、签名和加解密在内的密码安全服务。
与现有技术相比,本公开的有益效果是:(1)将网络层和应用层加密结合,实现对多种应用数据混合承载下的5G网络敏感数据安全隔离;(2)系统方案安全便捷,易于实现;(3)通过终端侧的密钥协商以及密钥保存,保证了密钥安全。
附图说明
通过结合附图对本公开示例性实施例进行更详细的描述,本公开的上述以及其它目的、特征和优势将变得更加明显,其中,在本公开示例性实施例方式中,相同的参考标号通常代表相同部件。
图1为根据本公开的示例性5G业务数据端到端加密系统架构;
图2为根据本公开的示例性5G业务数据端到端加密信息流程。
具体实施方式
下面将参照附图更详细地描述本公开的优选实施例。虽然附图中显示了本公开的优选实施例,然而应该理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本公开提供了一种基于IPsec技术的5G网络业务数据端到端加密方法及系统,用于5G业务信息安全增强。根据本公开的一种示例性系统部署模式如附图1所示,其中包括了5G网络业务层加密和网络层加密架构。该架构主要涉及终端密码模块、5G安全终端、终端入网代理、网络密码机、业务密码机等设备,其中:
终端密码模块安装于5G终端侧,用以实现业务数据的端到端加密和密钥协商;
终端入网代理软件安装于5G终端侧,用以管理使用终端密码模块;
网络密码机,部署于数据网络侧,外挂于交换机下,业务防火墙前,用以实现网络报文的加解密;
业务密码机部署于数据网络侧的业务系统中(业务系统是提供具体业务服务的后台,实现密钥协商、签名和加解密等密码安全能力),可基于本地的软、硬件加密或远程调用加解密接口,为业务数据的端到端加密提供密钥协商、签名、加解密等。
本公开还提供了一种基于IPsec技术的5G网络业务数据端到端加密方法,基于上述的系统配置,以两个独立的业务系统为例,对本公开提供的方法进一步说明。如附图2所示,主要包括以下步骤:。
1)5G接入认证
基于SIM卡信息,通过3GPP协议规定的5G AKA/EPS等认证协议,实现终端的入网认证。鉴权认证后,根据用户签约信息,5G网络侧将协调终端建立网络承载,实现终端侧到数据网络侧的IP通信。
2)网络层IPSEC建立
终端密码模块和网络密码机分别部署在5G终端侧和数据网络侧,实现门卫式的终端业务数据的安全加密。
终端密码模块上电后完成自检、用户验证、开机鉴权等处理流程。由终端侧根据业务需求发起IPSEC隧道建立需求,基于终端密码模块内置的IPSEC流程,启动认证流程,通过5G网络的非安全承载与网络密码机通信,完成协商认证和密钥生成后,将SA数据保存在终端密码模块中,使用加密后的IPSEC隧道在5G终端侧和网络密码机间建立网络数据包的安全传输通道。
3)业务加密建立
在实现网络层加密后,不同业务系统业务数据在网络密码机后数据网络仍是以明文进行传输,仍存在信息泄露的风险,不能满足多业务系统的信息隔离需要。因此,为确保各业务系统数据间的隔离,需根据业务需求,基于调用式模式进行业务层数据加密。
具体流程如下:在网络层加密的基础上,基于终端密码模块,由终端侧的业务应用根据需求与后台业务系统发起密钥协商请求,完成身份认证和密钥协商,获得会话密钥,并将会话密钥保存到终端密码模块中,向终端返回响应的密钥表示ID。
4)业务数据加密
终端应用根据密钥ID使用终端密码模块保存的会话密钥,并对业务系统数据明文进行加密,获得密文,确保密钥不出密码卡。
5)网络层加密
将业务数据密文根据网络栈协议进行数据组帧,使用终端密码模块对分组数据包进行加密,获得IP加密包。
6)网络层解密
IP加密包通过5G网络进行传输,到达网络密码机,由网络密码机根据IPSEC隧道信息,对IP加密包进行解密,得到IP明文包。
7)业务数据解密
根据IP明文包的包头信息,由数据网络侧网络设备将相关IP报文运送到相应的业务系统中。业务系统根据网络栈进行组包操作后,得到业务密文包,根据协商密钥进行解密,获得业务系统明文数据。
上述技术方案只是本发明的示例性实施例,对于本领域内的技术人员而言,在本发明公开了应用方法和原理的基础上,很容易做出各种类型的改进或变形,而不仅限于本发明上述具体实施例所描述的方法,因此前面描述的方式只是优选的,而并不具有限制性的意义。
Claims (6)
1.一种基于IPSEC的5G网络业务数据端到端加密方法,包括以下步骤:
S1,移动终端5G接入认证;
S2,移动终端侧和数据网络侧之间的IPSEC建立;
S3,终端侧的业务应用与后台业务系统之间的业务加密建立;
S4,终端应用对业务系统数据明文进行加密,获得业务数据密文;
S5,业务数据密文进行网络层加密,通过5G网络传输;
S6,根据IPSEC隧道信息,对IP加密包进行解密,得到IP明文包;
S7,数据网络侧网络设备将相关IP报文运送到相应的业务系统中,业务系统对业务数据密文进行解密,获得业务系统明文数据。
2.根据权利要求1所述的方法,其特征在于,所述步骤S3具体包括:
终端侧的业务应用根据需求向后台业务系统发起密钥协商请求,完成身份认证和密钥协商,获得会话密钥,并将会话密钥保存到终端密码模块中;
向终端返回响应的密钥表示ID。
3.根据权利要求2所述的方法,其特征在于,所述步骤S4具体包括:
终端应用根据密钥ID使用终端密码模块保存的会话密钥,对业务系统数据明文进行加密,获得密文。
4.根据权利要求2或3所述的方法,其特征在于,所述步骤S7具体包括:
根据IP明文包的包头信息,由数据网络侧网络设备将相关IP报文运送到相应的业务系统中;
业务系统根据网络栈进行组包操作后,得到业务密文包,根据协商密钥进行解密,获得业务系统明文数据。
5.一种基于IPSEC的5G网络业务数据端到端加密系统,应用权利要求1-4中任一所述方法,其特征在于,包括:终端密码模块,终端入网代理模块,网络密码模块,以及业务密码模块,其中:
终端密码模块,部署于5G终端侧,用于实现业务数据的端到端加密和密钥协商;
终端入网代理模块,部署于5G终端侧,用以管理使用终端密码模块;
网络密码模块,部署于数据网络侧、业务防火墙前,用于实现网络报文的加解密;
业务密码模块,部署于数据网络侧,用于实现业务数据端到端加密的密钥协商、签名和加解密。
6.根据权利要求5所述的系统,其特征在于,所述业务密码模块可基于本地的软、硬件加密或远程调用加解密接口,实现包括密钥协商、签名和加解密在内的密码安全服务。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310838272.8A CN117062056A (zh) | 2023-07-10 | 2023-07-10 | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310838272.8A CN117062056A (zh) | 2023-07-10 | 2023-07-10 | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117062056A true CN117062056A (zh) | 2023-11-14 |
Family
ID=88654257
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310838272.8A Pending CN117062056A (zh) | 2023-07-10 | 2023-07-10 | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117062056A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210168174A1 (en) * | 2018-04-10 | 2021-06-03 | Siemens Aktiengesellschaft | Method, apparatuses and computer program product for monitoring an encrypted connection in a network |
CN114222298A (zh) * | 2021-12-14 | 2022-03-22 | 中国电信股份有限公司 | 终端接入方法、装置、网络设备、终端和介质 |
CN114422115A (zh) * | 2021-12-10 | 2022-04-29 | 国网浙江省电力有限公司宁波供电公司 | 一种电网数据加密传输方法、系统、设备及可读存储介质 |
CN116017429A (zh) * | 2022-12-07 | 2023-04-25 | 深圳震有科技股份有限公司 | 5g网络加密组网方法、系统、装置及存储介质 |
-
2023
- 2023-07-10 CN CN202310838272.8A patent/CN117062056A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210168174A1 (en) * | 2018-04-10 | 2021-06-03 | Siemens Aktiengesellschaft | Method, apparatuses and computer program product for monitoring an encrypted connection in a network |
CN114422115A (zh) * | 2021-12-10 | 2022-04-29 | 国网浙江省电力有限公司宁波供电公司 | 一种电网数据加密传输方法、系统、设备及可读存储介质 |
CN114222298A (zh) * | 2021-12-14 | 2022-03-22 | 中国电信股份有限公司 | 终端接入方法、装置、网络设备、终端和介质 |
CN116017429A (zh) * | 2022-12-07 | 2023-04-25 | 深圳震有科技股份有限公司 | 5g网络加密组网方法、系统、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
US9537837B2 (en) | Method for ensuring media stream security in IP multimedia sub-system | |
US8296825B2 (en) | Method and system for a secure connection in communication networks | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
JP4002035B2 (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
Medani et al. | Review of mobile short message service security issues and techniques towards the solution | |
US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
KR20080089500A (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
CN103155512A (zh) | 用于对服务提供安全访问的系统和方法 | |
EP1933498A1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
Tiburski et al. | The role of lightweight approaches towards the standardization of a security architecture for IoT middleware systems | |
KR20070006913A (ko) | 이동 노드에 대한 고속 및 보안 접속성 | |
CN111555879B (zh) | 一种卫星通信网管信道报文加解密方法及系统 | |
CN101572694A (zh) | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 | |
CN113765900B (zh) | 协议交互信息输出传输方法、适配器装置及存储介质 | |
CN117062056A (zh) | 一种基于ipsec技术的5g网络业务数据端到端加密方法及系统 | |
Khan et al. | An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA | |
JP2003244194A (ja) | データ暗号装置及び暗号通信処理方法及びデータ中継装置 | |
He et al. | An asymmetric authentication protocol for M-Commerce applications | |
Mackinnon et al. | Overview of internet protocol security | |
EP4346255A1 (en) | Encrypted satellite communications | |
JP2008078804A (ja) | 駅務システム及びセキュリティ通信方法 | |
Badra et al. | Flexible and fast security solution for wireless LAN |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |