CN117134933A - 加密通信方法、装置、电子设备和存储介质 - Google Patents

加密通信方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN117134933A
CN117134933A CN202310632907.9A CN202310632907A CN117134933A CN 117134933 A CN117134933 A CN 117134933A CN 202310632907 A CN202310632907 A CN 202310632907A CN 117134933 A CN117134933 A CN 117134933A
Authority
CN
China
Prior art keywords
data
network
upf
tunnel
ipsec tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310632907.9A
Other languages
English (en)
Inventor
尤欢
马晓菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Communication Technology Co Ltd
Original Assignee
Inspur Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Communication Technology Co Ltd filed Critical Inspur Communication Technology Co Ltd
Priority to CN202310632907.9A priority Critical patent/CN117134933A/zh
Publication of CN117134933A publication Critical patent/CN117134933A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信技术领域,提供一种加密通信方法、装置、电子设备和存储介质,该方法包括:基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;其中,所述UPF采用非对称加密算法对所述业务数据进行加密得到第一密文,并通过所述IPSEC隧道将所述第一密文发送至所述数据网络。本发明通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。

Description

加密通信方法、装置、电子设备和存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种加密通信方法、装置、电子设备和存储介质。
背景技术
第五代移动通信技术(5th Generation mobile network,5G)网络可用于办公网络,同时在园区生产环境的改造和工业制造、港口码头等基层企业发挥重要作用。5G技术大大提高了数据传输的速率与效率,但在企业应用过程中,由于移动终端需要接入企业内网访问内网资源,如果移动终端与企业内网的数据交互没有安全保障,企业内网的各种内部资源直接暴露于互联网,那么存在极大的数据泄露的风险,因此对于这些需要接入企业内网的移动终端,其需要具备一定的安全能力。
目前,移动终端与企业内网通信主要面临的安全问题有:针对移动通信链路的攻击与威胁,终端自身软硬件漏洞带来的威胁,移动终端被假冒的风险,移动终端存在失窃的隐患。如图2所示,有线组网环境下,5G用户经过会话建立,通过UPF访问数据网络即各企业数据网络。由于IP网络本身的数据传输是透明的,在Internet网络中存在大量的信息窃听、数据篡改、中间人攻击以及拒绝服务攻击等,因此,数据网络有可能被窃取或者网络中断造成数据丢弃,从而影响数据传输可靠性。
发明内容
本发明提供一种加密通信方法、装置、电子设备和存储介质,用以解决用户终端与数据网络通信的安全性问题,通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。
本发明提供一种加密通信方法,包括:
基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;
基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;
其中,所述UPF采用非对称加密算法对所述业务数据进行加密得到第一密文,并通过所述IPSEC隧道将所述第一密文发送至所述数据网络。
在一个实施例中,所述IPSEC隧道包括主用IPSEC隧道和备用IPSEC隧道;
若所述主用IPSEC隧道发生故障,则切换所述备用IPSEC隧道传输所述业务数据。
在一个实施例中,所述基于5G虚拟网络组发起协议数据单元PDU会话请求之前,还包括:
确定核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息;
基于所述核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息,建立所述IPSEC隧道。
在一个实施例中,所述方法,还包括:
基于所述IPSEC隧道向所述数据网络发送数据访问请求,其中,所述数据网络接收到所述数据访问请求后,采用所述非对称加密算法对访问数据进行加密得到第二密文,并通过所述IPSEC隧道将所述第二密文发送至所述UPF;所述UPF对接收到的所述第二密文进行解密得到所述访问数据,并将所述访问数据发送至终端;
接收所述UPF发送的访问数据。
在一个实施例中,基于5G虚拟网络组发起协议数据单元PDU会话请求,包括:
基于5G虚拟网络组向会话管理功能SMF发起PDU会话请求;
其中,所述SMF接收所述PDU会话请求后,基于N4接口指示所述UPF建立内部接口,以基于所述内部接口与所述5G虚拟网络组进行所述业务数据传输。
在一个实施例中,所述基于5G虚拟网络组发起协议数据单元PDU会话请求之后,还包括:
确定与所述PDU会话请求匹配的数据包检测规则和转发操作规则;
基于所述数据包检测规则和所述转发操作规则,对所述业务数据进行转发。
在一个实施例中,所述基于所述核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息,建立所述IPSEC隧道之后,还包括:
基于所述核心网的N6接口的IPSEC隧道与所述数据网络进行三层通信。
本发明还提供一种加密通信装置,包括:
会话请求模块,用于基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;
数据交互模块,用于基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;
其中,所述IPSEC隧道采用非对称加密算法对所述业务数据进行加密得到密文,并将所述密文发送至所述数据网络。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述加密通信方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述加密通信方法。
本发明提供的加密通信方法、装置、电子设备和存储介质,通过基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;其中,所述UPF采用非对称加密算法对所述业务数据进行加密得到第一密文,并通过所述IPSEC隧道将所述第一密文发送至所述数据网络。本发明通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的加密通信方法的流程示意图之一;
图2是现有技术提供的加密通信方法的流程示意图;
图3是本发明提供的加密通信方法的流程示意图之二;
图4是本发明提供的加密通信方法的流程示意图之三;
图5是本发明提供的加密通信装置的结构示意图;
图6是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图6描述本发明的加密通信方法、装置、电子设备和存储介质。
具体地,本发明提供了一种加密通信方法,参照图1,图1是本发明提供的加密通信方法的流程示意图之一。
本发明实施例提供的一种加密通信方法,包括:
S100,基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;
本发明实施例的执行主体为用户终端(User Equipment,UE)。
需要说明的是,5G虚拟网络组(VN Group)由一组使用专用通信的UE组成,用于5G虚拟局域网(Virtual Local Area Network,LAN)类型的服务;协议数据单元(ProtocolData Unit,PDU)是指对等层次之间传递的数据单位;PDU会话是UE和指定数据网络(DataNetwork,DN)之间的一条逻辑连接,为UE提供到DN的用户面连接;用户面功能(User PlaneFunction,UPF)为移动网络和数据网络的连接点,主要负责5G核心网用户面数据包的路由和转发、数据和业务识别、动作和策略执行。
UE接入网络后,例如,UE接入RAN(Radio Access Network,无线接入网)后,通过5G虚拟网络组发起PDU会话请求,然后基于PDU会话请求与用户面功能UPF建立用户面连接,用于传输PDU,该PDU是PDU会话上被运载的终端用户的协议类型,其中,PDU的类型是基于PDU会话的类型确定的,如IP数据包或以太网帧。
S200,基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;其中,UPF采用非对称加密算法对业务数据进行加密得到第一密文,并通过IPSEC隧道将第一密文发送至数据网络。
需要说明的是,数据网路(Data Network,DN)是为UE提供专线服务的全数字传输网络,包括运营商业务,互联网接入或者第三方业务等。
互联网安全协议(Internet Protocol Security,IPSEC),是互联网工程任务组(Internet Engineering Task Force,IETF)制定的一组开放的网络安全协议,它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPSEC用于解决IP层安全性问题的技术,主要包括安全协议AH(Authentication Header)和ESP(EncapsulatingSecurity Payload,封装安全载荷),密钥管理交换协议IKE(Internet Key Exchange)以及用于网络认证及加密的一些算法等。IPSEC主要通过数据加密、完整性验证、身份验证来保护网络通信的安全。IPSEC通过加密与验证等方式,从以下几个方面保障了用户业务数据在Internet中的安全传输:
(1)数据来源验证:接收方验证发送方身份是否合法。
(2)数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加密数据进行解密后处理或直接转发。
(3)数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
(4)抗重放:接收方拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包所进行的攻击。
在IPSEC ESP中,加密部分包括传输控制协议标头值(TCP Header)、数据(data)以及封装安全载荷尾(ESP Tail);认证部分包括封装安全载荷头(ESP Header)、TCP Header、data以及ESP Tail。
非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙:公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。非对称加密算法包括RSA、数字签名算法(Digital Signature Algorithm,DSA)、椭圆曲线加密算法(Elipse Curve Ctytography,ECC)、密钥协商算法(Diffie-Hellman,DH)。
本发明实施例的非对称加密算法采用ECC算法中的SM2 256国密算法。SM2 256加密算法相当于RSA 2048bit及以上的安全性,有公钥、私钥之分,公钥给别人,可以在一定范围内公开,私钥留给自己,必须保密。由私钥可以计算公钥,而由公钥计算私钥则比较复杂。
UE将业务数据上传至IPSEC隧道,业务数据在IPSEC隧道中被加密形成第一密文,第一密文通过IPSEC隧道被发送至网络数据中。
本发明实施例提供的加密通信方法,通过基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;其中,UPF采用非对称加密算法对业务数据进行加密得到第一密文,并通过IPSEC隧道将第一密文发送至数据网络。本发明实施例通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。
基于上述实施例,IPSEC隧道包括主用IPSEC隧道和备用IPSEC隧道;若主用IPSEC隧道发生故障,则切换备用IPSEC隧道传输业务数据。
需要说明的是,UPF上创建了两个隧道接口,通过同一个物理接口的IP地址,分别应用不同的IPSEC安全策略,同时在数据网络的两个物理接口上也分别应用不同的IPSEC安全策略,以创建主用IPSEC隧道和备用IPSEC隧道。
UPF通过主用IPSEC隧道和备用IPSEC隧道连接数据网络,两条IPSEC隧道同时处于保活状态。正常情况下,业务数据通过主用IPSEC隧道传输,当主用IPSEC隧道发生故障时,进行故障告警上报,并切换备用IPSEC隧道传输业务数据。
本发明实施例通过在UPF与数据网络间建立主备两条IPSEC隧道,可有效防止网络中断出现数据丢失。
基于上述实施例,基于5G虚拟网络组发起协议数据单元PDU会话请求之前,还包括:
S101,确定核心网的N6接口IP和隧道参数,以及数据网络的隧道接口IP和路由转发信息;
S102,基于核心网的N6接口IP和隧道参数,以及数据网络的隧道接口IP和路由转发信息,建立IPSEC隧道。
在UPF与数据网络之间建立IPSEC隧道前,需要对相关参数进行配置,具体包括:
(1)建立strongswan的支持SM2国密算法的开源互联网安全协议虚拟专用网络(Internet Protocol Security Virtual Private Network,IPSEC VPN);
(2)添加gmalg插件,用于支持SM2国密算法;
(3)修改公钥基础设施(Public Key Infrastructure,PKI)工具,添加支持SM2国密算法的各种证书生成读取;
(4)PKI工具添加加密(crypto)命令,用于测试国密算法;
(5)strongswan支持使用TUN设备的应用层IPSEC功能和基于内核可扩展功能框架(XFRM)的IPSEC功能;
UE通过IP和隧道参数确定核心网的N6接口、核心网的隧道、数据网络的隧道,并建立IPSEC隧道,具体包括:
(1)基于srongswan-5.9.8部署安装编译;
(2)依据矢量包处理(the Vector Packet Processor,VPP)纳管接口配置,配置核心网的N6接口IPSEC IP及相关参数,该相关参数包括N6接口IP、UE的IP、数据网络IP及服务器虚拟地址等;
(3)添加数据网络的IPSEC隧道接口IP配置及路由转发信息;
(4)启动IPSEC隧道建立:启动程序(IPSEC restart)、建立隧道(IPSEC upinspur)、查看状态(IPSEC statusall)。
在隧道正常建立后,进行数据加密传输。
本发明实施例通过确定N6接口、隧道和路由转发信息,并基于N6接口、隧道和路由转发信息建立IPSEC隧道,有利于快速、准确地建立IPSEC隧道。
基于上述实施例,加密通信方法,还包括:
S300,基于IPSEC隧道向数据网络发送数据访问请求,其中,数据网络接收到数据访问请求后,采用非对称加密算法对访问数据进行加密得到第二密文,并通过IPSEC隧道将第二密文发送至UPF;UPF对接收到的第二密文进行解密得到访问数据,并将访问数据发送至终端;
S400,接收UPF发送的访问数据。
UE通过N6接口IPSEC隧道,向数据网络发送数据访问请求,数据网络接收数据访问请求后,基于数据访问请求确定访问数据,采用SM2国密算法对访问数据进行加密得到第二密文,然后通过IPSEC隧道将第二密文发送至UPF,UPF对第二密文进行解密后得到访问数据,并将访问数据发送至UE。UE通过无线网络接收UPF发送的访问数据。
本发明实施例通过对访问数据进行加密,提高了访问数据在IPSEC隧道中传输的安全性。
基于上述实施例,基于5G虚拟网络组发起协议数据单元PDU会话请求,包括:
S103,基于5G虚拟网络组向会话管理功能SMF发起PDU会话请求;其中,SMF接收PDU会话请求后,基于N4接口指示UPF建立内部接口,以基于内部接口与5G虚拟网络组进行业务数据传输。
UE基于5G虚拟网络组向接入和移动性管理功能(Access and MobilityManagement Function,AMF)发起PDU会话请求。AMF查询选择合适的会话管理功能(SessionManagement Function,SMF),并向所选的SMF发送PDU会话请求,请求建立PDU会话。SMF向统一数据管理(Unified Data Management,UDM)发起会话注册并获取签约信息。SMF向AMF回复PDU会话建立响应,指示会话建立结果。如果建立成功,则将会话上下文的地址信息返回给AMF;如果会话建立失败,则返回拒绝原因。SMF执行策略控制功能(Policy ControlFunction,PCF)选择。SMF与PCF执行会话策略建立流程。PCF下发UPF选择策略信息。SMF为PDU会话选择用户面功能UPF。SMF向选择的UPF发起N4会话建立过程。UPF返回N4会话建立结果。
本发明实施例通过SMF选择并建立UPF,提高了数据传输的效率。
基于上述实施例,基于5G虚拟网络组发起协议数据单元PDU会话请求之后,还包括:
S104,确定与PDU会话请求匹配的数据包检测规则和转发操作规则;
S105,基于数据包检测规则和转发操作规则,对业务数据进行转发。
需要说明的是,数据包检测规则(Protection-Detection-Response,PDR)包含用于指导UPF进行下行数据的检测的PDI(Packet Detection Information,数据包检测信息),以及对匹配上的业务执行对应的动作的规则,如转发操作规则FAR(False AcceptanceRate,FAR)、QoS执行规则(QoS Enforcement Rule,QER)等,其中,PDI包含有多个匹配UPF输入数据包的信息,即过滤数据包的条件。
数据包检测规则与转发操作规则的关联关系为:每个PDR关联一个或者多个FAR。FAR中会包含:(1)Apply Action参数:用于指示UPF是否转发、复制、丢弃或者缓存数据包,以及指示UPF是否接受或拒绝UE加入IP多播组的请求;(2)动作参数,UPF执行Apply Action动作时的转发参数、复制参数或者缓存参数。
可选地,数据包检测规则与其他规则也具有关联关系,例如,每个PDR可以关联零个、一个或者多个QER,QER中包含对用户业务执行QoS的指令;每个PDR可以关联零个、一个或者多个URR(usage reporting rule,使用报告的规则),URR中包含业务测量和上报相关的信息。
在建立PDU会话后,终端与UPF通信的过程中,UPF根据SMF下发的PDR、FAR、QER、URR、BAR(BufferingAction Rule,缓存行为规则)、MAR(Multi-Access Rule,多接入规则)等规则执行数据包的转发。数据包进入UPF后,首先使用PDR,根据PDR中包含的PDI信息与数据包进行匹配,然后对匹配上的数据包执行FAR关联的MAR、FAR、QER中定义的规则,从而实现数据包的转发。
本发明实施例通过所确定的数据包检测规则和转发操作规则对业务数据进行转发,提高了数据包的转发效率。
基于上述实施例,基于核心网的N6接口IP和隧道参数,以及数据网络的隧道接口IP和路由转发信息,建立IPSEC隧道之后,还包括:
S106,基于核心网的N6接口的IPSEC隧道与数据网络进行三层通信。
需要说明的是,在计算机网络中,通信分为三层:应用层、传输层和网络层。三层通信是指在网络层进行的通信,即通过网络地址进行通信,也称为IP层通信,在三层通信中,数据通过路由器进行转发经过不同的网络设备传输,最终到达目标主机。
在本发明实施例中,UE基于核心网的N6接口的IPSEC隧道与数据网络进行三层通信,例如,UE通过N6接口的IPSEC隧道将业务数据的数据包传输至数据网络,或者接收数据网络传输的数据包。同时,还可以通过IP地址标识网络上的不同设备,并选择最佳的路由实现跨越不同局域网的通信。
本发明实施例通过N6接口的IPSEC隧道与数据网络进行三层通信,实现将数据包从源头传输到目的地,提高了数据传输的正确性和完整性。
本发明实施例提供了一种加密通信方法,具体包括如下步骤:
(1)UE通过5G虚拟网络组触发PDU会话建立;
(2)SMF通过N4接口指示UPF建立UPF内部接口(5G虚拟网络)以支持5G虚拟网络组内业务数据包转发;
(3)确定UE对应的PDU会话的N4规则中的PDR及FAR信息;
(4)UE通过N6接口接口隧道与数据网络进行三层通信;
(5)对数据进行IPSEC加密传输;
本发明实施例通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。
图5是本发明提供的加密通信装置的结构示意图,参照图5。本发明实施例提供的一种加密通信装置,包括:
会话请求模块501,用于基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;
数据交互模块502,用于基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;
其中,IPSEC隧道采用非对称加密算法对业务数据进行加密得到密文,并将密文发送至数据网络。
本发明实施例提供的加密通信装置,通过基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;其中,UPF采用非对称加密算法对业务数据进行加密得到第一密文,并通过IPSEC隧道将第一密文发送至数据网络。本发明实施例通过在UPF与数据网络之间建立IPSEC隧道,采用非对称加密算法对业务数据进行加密,并通过IPSEC隧道转发密文,提高了用户终端与数据网络之间通信的安全性。
在一个实施例中,IPSEC隧道包括主用IPSEC隧道和备用IPSEC隧道;若主用IPSEC隧道发生故障,则切换备用IPSEC隧道传输业务数据。
在一个实施例中,会话请求模块501还包括:确定核心网的N6接口IP和隧道参数,以及数据网络的隧道接口IP和路由转发信息;基于核心网的N6接口IP和隧道参数,以及数据网络的隧道接口IP和路由转发信息,建立IPSEC隧道。
在一个实施例中,加密通信装置还包括:基于IPSEC隧道向数据网络发送数据访问请求,其中,数据网络接收到数据访问请求后,采用非对称加密算法对访问数据进行加密得到第二密文,并通过IPSEC隧道将第二密文发送至UPF;UPF对接收到的第二密文进行解密得到访问数据,并将访问数据发送至终端;接收UPF发送的访问数据。
在一个实施例中,会话请求模块501还包括:基于5G虚拟网络组向会话管理功能SMF发起PDU会话请求;其中,SMF接收PDU会话请求后,基于N4接口指示UPF建立内部接口,以基于内部接口与5G虚拟网络组进行业务数据传输。
在一个实施例中,会话请求模块501还包括:确定与PDU会话请求匹配的数据包检测规则和转发操作规则;基于数据包检测规则和转发操作规则,对业务数据进行转发。
在一个实施例中,会话请求模块501还包括:基于核心网的N6接口的IPSEC隧道与数据网络进行三层通信。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(CommunicationsInterface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行加密通信方法,该方法包括:
通过基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;其中,UPF采用非对称加密算法对业务数据进行加密得到第一密文,并通过IPSEC隧道将第一密文发送至数据网络。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的加密通信方法,该方法包括:
通过基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于PDU会话请求与用户面功能UPF建立用户面连接;基于UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至数据网络;其中,UPF采用非对称加密算法对业务数据进行加密得到第一密文,并通过IPSEC隧道将第一密文发送至数据网络。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种加密通信方法,其特征在于,包括:
基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;
基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;
其中,所述UPF采用非对称加密算法对所述业务数据进行加密得到第一密文,并通过所述IPSEC隧道将所述第一密文发送至所述数据网络。
2.根据权利要求1所述的加密通信方法,其特征在于,所述IPSEC隧道包括主用IPSEC隧道和备用IPSEC隧道;
若所述主用IPSEC隧道发生故障,则切换所述备用IPSEC隧道传输所述业务数据。
3.根据权利要求1所述的加密通信方法,其特征在于,所述基于5G虚拟网络组发起协议数据单元PDU会话请求之前,还包括:
确定核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息;
基于所述核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息,建立所述IPSEC隧道。
4.根据权利要求1所述的加密通信方法,其特征在于,所述方法,还包括:
基于所述IPSEC隧道向所述数据网络发送数据访问请求,其中,所述数据网络接收到所述数据访问请求后,采用所述非对称加密算法对访问数据进行加密得到第二密文,并通过所述IPSEC隧道将所述第二密文发送至所述UPF;所述UPF对接收到的所述第二密文进行解密得到所述访问数据,并将所述访问数据发送至终端;
接收所述UPF发送的访问数据。
5.根据权利要求1所述的加密通信方法,其特征在于,基于5G虚拟网络组发起协议数据单元PDU会话请求,包括:
基于5G虚拟网络组向会话管理功能SMF发起PDU会话请求;
其中,所述SMF接收所述PDU会话请求后,基于N4接口指示所述UPF建立内部接口,以基于所述内部接口与所述5G虚拟网络组进行所述业务数据传输。
6.根据权利要求1所述的加密通信方法,其特征在于,所述基于5G虚拟网络组发起协议数据单元PDU会话请求之后,还包括:
确定与所述PDU会话请求匹配的数据包检测规则和转发操作规则;
基于所述数据包检测规则和所述转发操作规则,对所述业务数据进行转发。
7.根据权利要求3所述的加密通信方法,其特征在于,所述基于所述核心网的N6接口IP和隧道参数,以及所述数据网络的隧道接口IP和路由转发信息,建立所述IPSEC隧道之后,还包括:
基于所述核心网的N6接口的IPSEC隧道与所述数据网络进行三层通信。
8.一种加密通信装置,其特征在于,包括:
会话请求模块,用于基于5G虚拟网络组发起协议数据单元PDU会话请求,以基于所述PDU会话请求与用户面功能UPF建立用户面连接;
数据交互模块,用于基于所述UPF与数据网络之间的互联网安全协议IPSEC隧道,将业务数据发送至所述数据网络;
其中,所述IPSEC隧道采用非对称加密算法对所述业务数据进行加密得到密文,并将所述密文发送至所述数据网络。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述加密通信方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述加密通信方法。
CN202310632907.9A 2023-05-31 2023-05-31 加密通信方法、装置、电子设备和存储介质 Pending CN117134933A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310632907.9A CN117134933A (zh) 2023-05-31 2023-05-31 加密通信方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310632907.9A CN117134933A (zh) 2023-05-31 2023-05-31 加密通信方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN117134933A true CN117134933A (zh) 2023-11-28

Family

ID=88857208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310632907.9A Pending CN117134933A (zh) 2023-05-31 2023-05-31 加密通信方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN117134933A (zh)

Similar Documents

Publication Publication Date Title
US8788805B2 (en) Application-level service access to encrypted data streams
US9350708B2 (en) System and method for providing secured access to services
US9197616B2 (en) Out-of-band session key information exchange
US8327129B2 (en) Method, apparatus and system for internet key exchange negotiation
CN110719248B (zh) 用户数据报协议报文的转发方法及装置
US8650397B2 (en) Key distribution to a set of routers
EP2437531B1 (en) Security service control method and wireless local area network terminal
CN104219217B (zh) 安全关联协商方法、设备和系统
WO2010003335A1 (zh) IPv6网络中协商SA的方法、系统和设备
CN101110672A (zh) 通信系统中建立esp安全联盟的方法和系统
WO2011041962A1 (zh) 一种支持合法监听的端到端会话密钥协商方法和系统
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US11006346B2 (en) X2 service transmission method and network device
CN113726795A (zh) 报文转发方法、装置、电子设备及可读存储介质
US20080133915A1 (en) Communication apparatus and communication method
US8094634B2 (en) Sender and/or helper node modifications to enable security features in cooperative wireless communications
CN117134933A (zh) 加密通信方法、装置、电子设备和存储介质
Haitao et al. The security issues and countermeasures in Mobile IP
CN117896178B (zh) 一种基于加密协议伪装的隐蔽通信方法及装置
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
Rao et al. Pseudo-System Protocol for Information Transfer
KR101989147B1 (ko) 비대칭 키 교환을 이용한 mptcp의 핸드 셰이크 방법
Fuchs et al. Hardening opportunistic HIP
EP3832949A1 (en) Method for securing a data communication network
CN115766172A (zh) 基于dpu和国密的报文转发方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination