CN117135625A - 数据传输方法和系统及信令安全管理网关 - Google Patents
数据传输方法和系统及信令安全管理网关 Download PDFInfo
- Publication number
- CN117135625A CN117135625A CN202210550259.8A CN202210550259A CN117135625A CN 117135625 A CN117135625 A CN 117135625A CN 202210550259 A CN202210550259 A CN 202210550259A CN 117135625 A CN117135625 A CN 117135625A
- Authority
- CN
- China
- Prior art keywords
- network element
- sinking
- access network
- user
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000011664 signaling Effects 0.000 title claims abstract description 112
- 230000005540 biological transmission Effects 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 2
- 239000000758 substrate Substances 0.000 claims 2
- 239000003795 chemical substances by application Substances 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 6
- 238000007726 management method Methods 0.000 description 106
- 238000010586 diagram Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W56/00—Synchronisation arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W56/00—Synchronisation arrangements
- H04W56/001—Synchronization between nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提出一种数据传输方法和系统及信令安全管理网关,涉及通信与网络安全技术领域。信令安全管理网关接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;与认证通过的所述下沉接入网元建立加密通道;接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。通过信令安全管理网关为下沉接入网元提供准入认证和管理,对核心网网元发来的数据通过加密通道传输给认证通过的下沉接入网元,从而提高核心网网元与下沉接入网元之间传递数据的安全性,降低信息泄露风险。
Description
技术领域
本公开涉及通信与网络安全技术领域,特别涉及一种数据传输方法和系统及信令安全管理网关。
背景技术
在第五代移动通信技术(5th Generation Mobile Communication Technology,简称5G)网络中,根据需要,核心网的一些功能会下沉到接入网。核心网网元与下沉接入网元之间传递数据,存在信息泄露风险。
发明内容
本公开实施例通过信令安全管理网关为下沉接入网元提供准入认证和管理,对核心网网元发来的数据通过加密通道传输给认证通过的下沉接入网元,从而提高核心网网元与下沉接入网元之间传递数据的安全性,降低信息泄露风险。
本公开一些实施例提出一种数据传输方法,包括:
信令安全管理网关接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;
所述信令安全管理网关与认证通过的所述下沉接入网元建立加密通道;
所述信令安全管理网关接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;
所述信令安全管理网关接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
在一些实施例中,信令安全管理网关接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证包括:
信令安全管理网关接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息;
所述信令安全管理网关在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
所述信令安全管理网关在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
所述信令安全管理网关在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
在一些实施例中,所述信令安全管理网关接收所述下沉接入网元发送的用户数据同步请求,所述用户数据同步请求包括所述下沉接入网元的标识和数据网络信息,将所述用户数据同步请求发送到相应的核心网网元,以使得所述核心网网元查找所述下沉接入网元的标识和数据网络信息相应的加密用户数据。
在一些实施例中,还包括:
所述信令安全管理网关接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;
所述信令安全管理网关根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
在一些实施例中,所述信令安全管理网关通知所述下沉接入网元下载新的用户签约数据包括:
所述信令安全管理网关通知所述下沉接入网元下载新的用户签约数据,以使得所述下沉接入网元通过加密通道下载新的用户签约数据并启用;
所述信令安全管理网关接收所述下沉接入网元发送的新的用户签约数据启用成功的消息。
在一些实施例中,所述信令安全管理网关为各个下沉接入网元签发用户卡,每个用户卡内包括所述用户卡的证书。
在一些实施例中,所述核心网网元包括UDM网元、UPF网元、AMF网元、SMF网元。
在一些实施例中,所述下沉接入网元包括UDM网元、UPF网元、AMF网元、SMF网元。
在一些实施例中,所述用户卡包括嵌入式UICC。
本公开一些实施例提出一种信令安全管理网关,包括:
认证模块,被配置为接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;
通道建立模块,被配置为与认证通过的所述下沉接入网元建立加密通道;
信息代理模块,被配置为接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
在一些实施例中,信令安全管理网关还包括:下载管理模块,被配置为接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
在一些实施例中,所述认证模块,被配置为:
接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息;
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
本公开一些实施例提出一种信令安全管理网关,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行各个实施例的数据传输方法。
本公开一些实施例提出一种数据传输系统,包括:各个实施例的信令安全管理网关,核心网网元,被配置为响应用户数据同步请求,发送加密用户数据给所述信令安全管理网关,以及下沉接入网元,被配置为向所述信令安全管理网关发送访问核心网网元的请求,与所述信令安全管理网关建立加密通道,向所述信令安全管理网关发送用户数据同步请求,通过加密通道接收所述信令安全管理网关发送的加密用户数据。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现各个实施例的数据传输方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的安全数据传输系统的示意图。
图2示出本公开一些实施例的安全数据传输方法的示意图。
图3示出本公开另一些实施例的安全数据传输方法的示意图。
图4示出本公开一些实施例的信令安全管理网关的结构示意图。
图5示出本公开另一些实施例的信令安全管理网关的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
除非特别说明,否则,本公开中的“第一”“第二”等描述用来区分不同的对象,并不用来表示大小或时序等含义。
图1示出本公开一些实施例的安全数据传输系统的示意图。
如图1所示,该实施例的安全数据传输系统包括:核心网网元110,信令安全管理网关120,以及下沉接入网元130。
核心网网元110是部署在核心网的各种网元,例如包括通用数据管理(UnifiedData Management,UDM)网元、用户面功能(UPF,User Plane Function)网元、AMF(Accessand Mobility Management Function,接入和移动性管理功能)网元、SMF(SessionManagement Function,会话管理功能)网元等。核心网通过各种核心网网元提供终端的接入和移动性管理,认证鉴权管理,会话管理,策略控制等网络服务。以5G网络为例,5G SA(Stand Alone,独立组网)核心网提供5G终端的接入和移动性管理,认证鉴权管理,会话管理,策略控制等5G网络服务。
信令安全管理网关120包括:网元认证鉴权、嵌入式用户卡远程管理、信息代理等功能。其中,嵌入式用户卡远程管理功能例如包括:与嵌入式用户卡进行数据交互,建立加密通道;实现嵌入式用户卡数据的管理和下载,与嵌入式用户卡交互,将用户签约数据下载到嵌入式用户卡上,实现用户数据的远程配置,满足用户安全灵活地配置管理嵌入式用户卡的需要。利用嵌入式用户卡远程管理的安全能力,提供下沉接入网元的认证管理。其中,用户卡例如包括嵌入式通用集成电路卡(eUICC,embedded Universal IntegratedCircuit Card)等。
其中,用户签约数据例如包括但不限于:用户鉴权相关签约数据,接入管理签约数据,会话管理签约数据等。其中,用户鉴权相关签约数据例如包括但不限于:国际移动用户识别码(IMSI,International Mobile Subscriber Identity),移动用户号码等,移动用户号码例如为MSISDN(Mobile Subscriber International ISDN number,移动用户国际综合业务数字网(Integrated Services Digital Network,ISDN)号码)。接入管理签约数据例如包括但不限于:UE(User Equipment,用户设备)级别上下行带宽、禁止区域数据、业务区域限制数据、RFSP(RAT/Frequency Selection Priority,无线接入类型/频率选择优先级;RAT:Radio Access Technology,无线接入技术)、鉴权方式等。会话管理签约数据例如包括但不限于:S-NSSAI(Single Network Slice Selection Assistance Information,单个网络切片选择辅助信息)、DNN(Data Network Name,数据网络名称)、服务质量、是否默认DNN等。
下沉接入网元130,是指从核心网下沉到边缘接入网的一些功能的网元。下沉接入网元130例如包括UDM网元、UPF网元、AMF网元、SMF网元等。例如,下沉UDM网元是核心网的UDM网元的部分功能下沉到边缘接入网形成的网元。下沉接入网元130需要与核心网网元110进行用户鉴权等数据交互。
下沉接入网元130可设置嵌入式用户卡。嵌入式用户卡可存储卡文件、数据和应用等,可远程下载用户签约数据。用户签约数据例如包括但不限于:用户识别信息和业务信息等。嵌入式用户卡例如包括嵌入式UICC等。
核心网网元110与信令安全管理网关120之间的接口例如包括N4/N8/N10/N12/N14等,信令安全管理网关120与下沉接入网元130之间的接口例如包括N4/N8/N10/N12/N14等。
为了实现安全数据传输,在数据传输系统中,信令安全管理网关120,被配置为接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;与认证通过的所述下沉接入网元建立加密通道;接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元;核心网网元110,被配置为响应用户数据同步请求,发送加密用户数据给所述信令安全管理网关;以及下沉接入网元130,被配置为向所述信令安全管理网关发送访问核心网网元的请求,与所述信令安全管理网关建立加密通道,向所述信令安全管理网关发送用户数据同步请求,通过加密通道接收所述信令安全管理网关发送的加密用户数据。
为了安全下载用户签约数据,在数据传输系统中,信令安全管理网关120,被配置为接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
图2示出本公开一些实施例的安全数据传输方法的示意图。
如图2所示,该实施例的安全数据传输方法包括以下步骤。
在步骤200,信令安全管理网关为各个下沉接入网元签发用户卡,每个用户卡内包括签发的所述用户卡的证书。
在步骤210,信令安全管理网关接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书。
在步骤220,信令安全管理网关根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息,在所述下沉接入网元加载的用户签约数据未过期的情况下,通知所述下沉接入网元无需下载或者停止下载用户签约数据。
其中,根据所述用户卡的标识和证书进行认证包括:如果用户卡的证书的颁发者是信令安全管理网关,且用户卡的证书在有效期内,且用户卡的证书与用户卡的标识是匹配的,认证通过,否则,认证不通过。
在步骤230,所述信令安全管理网关通知所述下沉接入网元下载新的用户签约数据。
在步骤240,所述下沉接入网元通过加密通道下载新的用户签约数据并启用,旧的用户签约数据可以删除。
在步骤250,所述信令安全管理网关接收所述下沉接入网元发送的新的用户签约数据启用成功的消息。
在步骤260,信令安全管理网关接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息。
在步骤270,信令安全管理网关对所述下沉接入网元进行认证,例如包括:
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
认证通过后,才允许执行步骤290~2150。
在步骤280,所述信令安全管理网关发送认证结果给所述下沉接入网元。其中,认证结果例如包括认证通过或认证不通过。
在步骤290,所述信令安全管理网关与认证通过的所述下沉接入网元建立加密通道。
加密通道的建立方法可以参考现有技术。加密通道例如包括通信双方协商的加密密钥信息。加密通道建立后,通信双方可以利用协商的加密密钥传输信息。第三方由于不知道加密密钥,即使截获加密信息,也无从获知传输的信息。
在步骤2100,所述信令安全管理网关接收所述下沉接入网元发送的用户数据同步请求,所述用户数据同步请求包括所述下沉接入网元的标识和数据网络信息。
其中,数据网络信息例如包括但不限于数据网络名称(Data Network name,DNN)。
在步骤2110,所述信令安全管理网关将所述用户数据同步请求发送到相应的核心网网元。
例如,信令安全管理网关将下沉UDM网元的用户数据同步请求转发到核心网UDM网元。
核心网网元对于下沉接入网元来说是隐藏的,下沉接入网元将请求发送到信令安全管理网关,无需发送核心网网元,信令安全管理网关可将请求发送到核心网网元。
在步骤2120,所述核心网网元查找所述下沉接入网元的标识和数据网络信息相应的用户数据并加密得到加密用户数据。
其中,核心网网元可按照与下沉接入网元预先协商好的密钥,对用户数据加密得到加密用户数据。
其中,用户数据例如是用户卡和鉴权数据等,例如,IMSI、KI(Key identifier,密钥标识)等。
在步骤2130,所述信令安全管理网关接收所述核心网网元发送的加密用户数据。
在步骤2140,所述信令安全管理网关将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
在步骤2150,下沉接入网元接收所述加密用户数据,解密得到用户数据,根据业务需要使用用户数据进行业务保障,例如保障业务不中断。
其中,下沉接入网元可按照与核心网网元预先协商好的密钥,对加密用户数据解密得到用户数据。
上述实施例通过信令安全管理网关为下沉接入网元提供准入认证和管理,对核心网网元发来的数据通过加密通道传输给认证通过的下沉接入网元,从而提高核心网网元与下沉接入网元之间传递数据的安全性,降低信息泄露风险。
下面结合图3描述核心网UDM网元与下沉UDM网元通过信令安全管理网关安全传输用户数据的方法。
图3示出本公开另一些实施例的安全数据传输方法的示意图。
如图3所示,该实施例的安全数据传输方法包括以下步骤。
在步骤300,下沉UDM网元具备嵌入式UICC,且该UICC是由信令安全管理网关签发。
在步骤310,下沉UDM网元按时或按需请求接入5G SA网络,通过嵌入式UICC主动连接信令安全管理网关,请求下载用户签约数据(设为Profile),请求中携带嵌入式UICC的EID(Electronic Identity,电子身份标识)和下沉UDM网元的设备ID。
在步骤320,网元接入管理网关收到请求后,根据EID及UICC内证书信息进行安全认证,认证通过后,查询设备ID相应的下沉UDM网元是否已加载Profile;若未加载或Profile已过期,则通知该下沉UDM网元准备进行用户签约数据下载,并将EID和设备ID进行绑定;若已加载Profile且Profile未过期,则通知下沉UDM网元停止下载。
其中,根据EID及UICC内证书信息进行安全认证包括:如果UICC内证书的颁发者是信令安全管理网关,且UICC内证书在有效期内,且UICC内证书与EID是匹配的,认证通过,否则,认证不通过。
在步骤330,信令安全管理网关发送请求到下沉UDM网元,要求建立加密通道、下载并启用Profile。
在步骤340,下沉UDM网元与信令安全管理网关间建立加密通道,通过加密通道下载新的Profile,若之前已加载过期Profile,则删除旧Profile,启用新的Profile。
在步骤350,下沉UDM网元向信令安全管理网关返回Profile启用成功的消息。
在步骤360,下沉UDM网元发起访问5G SA网络中的核心网UDM网元的请求到信令安全管理网关,携带嵌入式UICC的EID,设备ID和Profile内的证书信息。
在步骤370,信令安全管理网关依据下沉UDM网元的请求信息,检查EID和设备ID绑定关系是否正确,若不正确或不存在,则不允许下沉UDM网元接入;若正确,则认证Profile内证书的时效性和合法性,认证通过后,允许下沉UDM网元接入。
在步骤380,认证通过后,信令安全管理网关发送认证通过的通知给下沉UDM网元。
在步骤390,下沉UDM网元利用嵌入式UICC相关安全信息,如EID,与信令安全管理网关建立加密通道。
在步骤3100,下沉UDM网元发送用户数据同步请求至信令安全管理网关,携带DNN、设备ID等信息。
在步骤3110,信令安全管理网关隐藏核心网UDM拓扑信息,将用户数据同步请求转发至相应的核心网UDM网元请求同步用户数据。
在步骤3120,核心网UDM网元接到用户数据同步请求后,根据设备ID及DNN等信息,查找到相关的用户卡数据和鉴权数据等用户数据,如IMSI、KI等数据,并对用户数据进行加密处理,加密密钥由核心网UDM网元与下沉UDM网元预先协商或预先设置。
在步骤3130,核心网UDM网元将加密用户数据传递至信令安全管理网关。
在步骤3140,信令安全管理网关将加密用户数据通过加密通道传递到下沉UDM网元。
在步骤3150,下沉UDM网元解密加密用户数据得到用户数据,依据5G应用场景(如应急通信、紧急通信等)的需求,按需使用用户卡数据及鉴权数据等用户数据,保障5G业务不中断。
上述实施例,不改变现有5G的架构和业务实现流程,利用嵌入式UICC远程配置技术和安全加密技术,对5G下沉UDM等不可信接入网元设备接入5G核心网进行安全认证和管理,有效降低下沉网元对5G核心网的安全交互风险,同时,对请求的5G核心网UDM中的敏感数据(如用户卡数据和鉴权数据)进行数据加密和通道加密传递,有效降低信息泄露安全风险,从而提高5G的网络安全和数据安全。
图4示出本公开一些实施例的信令安全管理网关的结构示意图。
如图4所示,该实施例的信令安全管理网关120包括:
认证模块410,被配置为接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;
通道建立模块420,被配置为与认证通过的所述下沉接入网元建立加密通道;
信息代理模块430,被配置为接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
在一些实施例中,信令安全管理网关120还包括:下载管理模块440,被配置为接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
在一些实施例中,所述认证模块410,被配置为:
接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息;
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
图5示出本公开另一些实施例的信令安全管理网关的结构示意图。
如图5所示,该实施例的信令安全管理网关120包括:存储器510以及耦接至该存储器510的处理器520,处理器520被配置为基于存储在存储器510中的指令,执行前述任意一些实施例中的安全数据传输方法。
其中,存储器510例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
其中,处理器520可以用通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。
信令安全管理网关120还可以包括输入输出接口530、网络接口540、存储接口550等。这些接口530,540,550以及存储器510和处理器520之间例如可以通过总线560连接。其中,输入输出接口530为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口540为各种联网设备提供连接接口。存储接口550为SD卡、U盘等外置存储设备提供连接接口。总线560可以使用多种总线结构中的任意总线结构。例如,总线结构包括但不限于工业标准体系结构(Industry Standard Architecture,ISA)总线、微通道体系结构(MicroChannel Architecture,MCA)总线、外围组件互连(Peripheral Component Interconnect,PCI)总线。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (14)
1.一种数据传输方法,其特征在于,包括:
信令安全管理网关接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;
所述信令安全管理网关与认证通过的所述下沉接入网元建立加密通道;
所述信令安全管理网关接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;
所述信令安全管理网关接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
2.根据权利要求1所述的方法,其特征在于,信令安全管理网关接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证包括:
信令安全管理网关接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息;
所述信令安全管理网关在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
所述信令安全管理网关在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
所述信令安全管理网关在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
3.根据权利要求1所述的方法,其特征在于,
所述信令安全管理网关接收所述下沉接入网元发送的用户数据同步请求,所述用户数据同步请求包括所述下沉接入网元的标识和数据网络信息,将所述用户数据同步请求发送到相应的核心网网元,以使得所述核心网网元查找所述下沉接入网元的标识和数据网络信息相应的加密用户数据。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述信令安全管理网关接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;
所述信令安全管理网关根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
5.根据权利要求4所述的方法,其特征在于,所述信令安全管理网关通知所述下沉接入网元下载新的用户签约数据包括:
所述信令安全管理网关通知所述下沉接入网元下载新的用户签约数据,以使得所述下沉接入网元通过加密通道下载新的用户签约数据并启用;
所述信令安全管理网关接收所述下沉接入网元发送的新的用户签约数据启用成功的消息。
6.根据权利要求1所述的方法,其特征在于,
所述信令安全管理网关为各个下沉接入网元签发用户卡,每个用户卡内包括所述用户卡的证书。
7.根据权利要求2-6任一项所述的方法,其特征在于,
所述核心网网元包括UDM网元、UPF网元、AMF网元、SMF网元;
所述下沉接入网元包括UDM网元、UPF网元、AMF网元、SMF网元;
所述用户卡包括嵌入式UICC。
8.一种信令安全管理网关,其特征在于,包括:
认证模块,被配置为接收下沉接入网元访问核心网网元的请求,对所述下沉接入网元进行认证;
通道建立模块,被配置为与认证通过的所述下沉接入网元建立加密通道;
信息代理模块,被配置为接收所述下沉接入网元发送的用户数据同步请求,将所述用户数据同步请求发送到相应的核心网网元;接收所述核心网网元发送的加密用户数据,将所述加密用户数据通过所述加密通道发送给所述下沉接入网元。
9.根据权利要求8所述的信令安全管理网关,其特征在于,还包括:
下载管理模块,被配置为接收到所述下沉接入网元发送的下载用户签约数据的请求,所述请求包括所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识和证书;根据所述用户卡的标识和证书进行认证,认证通过后,查询所述下沉接入网元加载的用户签约数据,在所述下沉接入网元未加载用户签约数据或者加载的用户签约数据已过期的情况下,通知所述下沉接入网元下载新的用户签约数据,建立所述下沉接入网元的标识和嵌入所述下沉接入网元的用户卡的标识的绑定信息。
10.根据权利要求8所述的信令安全管理网关,其特征在于,所述认证模块,被配置为:
接收下沉接入网元访问核心网网元的请求,其中携带所述下沉接入网元的标识、嵌入所述下沉接入网元的用户卡的标识以及用户签约数据中的证书信息;
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系不正确或不存在的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的用户签约数据中的证书信息的时效性和合法性不满足要求的情况下,判定所述下沉接入网元认证不通过;或者,
在访问请求的所述下沉接入网元的标识与所述用户卡的标识的绑定关系正确且用户签约数据中的证书信息的时效性和合法性满足要求的情况下,判定所述下沉接入网元认证通过。
11.一种信令安全管理网关,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-7中任一项所述的数据传输方法。
12.一种数据传输系统,包括:
权利要求8-11任一项所述的信令安全管理网关,
核心网网元,被配置为响应用户数据同步请求,发送加密用户数据给所述信令安全管理网关,
以及
下沉接入网元,被配置为向所述信令安全管理网关发送访问核心网网元的请求,与所述信令安全管理网关建立加密通道,向所述信令安全管理网关发送用户数据同步请求,通过加密通道接收所述信令安全管理网关发送的加密用户数据。
13.根据权利要求12所述的数据传输系统,其特征在于,
所述核心网网元包括UDM网元、UPF网元、AMF网元、SMF网元;
所述下沉接入网元包括UDM网元、UPF网元、AMF网元、SMF网元。
14.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-7中任一项所述的数据传输方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210550259.8A CN117135625A (zh) | 2022-05-20 | 2022-05-20 | 数据传输方法和系统及信令安全管理网关 |
| PCT/CN2022/140915 WO2023221502A1 (zh) | 2022-05-20 | 2022-12-22 | 数据传输方法和系统及信令安全管理网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210550259.8A CN117135625A (zh) | 2022-05-20 | 2022-05-20 | 数据传输方法和系统及信令安全管理网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117135625A true CN117135625A (zh) | 2023-11-28 |
Family
ID=88834496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210550259.8A Pending CN117135625A (zh) | 2022-05-20 | 2022-05-20 | 数据传输方法和系统及信令安全管理网关 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117135625A (zh) |
| WO (1) | WO2023221502A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147426A (zh) * | 2018-11-05 | 2020-05-12 | 中兴通讯股份有限公司 | 一种承载侧网络系统、移固共存融合系统及其部署方法 |
| CN113068175B (zh) * | 2019-12-12 | 2022-03-11 | 中国电信股份有限公司 | 用户数据分流的方法、下沉用户面功能网元和系统 |
| CN113747515B (zh) * | 2020-05-27 | 2023-03-21 | 华为技术有限公司 | 一种通信方法及装置 |
| CN112788594B (zh) * | 2020-06-03 | 2023-06-27 | 中兴通讯股份有限公司 | 数据传输方法、装置和系统、电子设备、存储介质 |
| CN112422679B (zh) * | 2020-11-17 | 2022-02-22 | 中国联合网络通信集团有限公司 | 一种通信方法及装置 |
-
2022
- 2022-05-20 CN CN202210550259.8A patent/CN117135625A/zh active Pending
- 2022-12-22 WO PCT/CN2022/140915 patent/WO2023221502A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023221502A1 (zh) | 2023-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3567888B1 (en) | Method for updating certificate issuer public key, and related device and system | |
| US11296877B2 (en) | Discovery method and apparatus based on service-based architecture | |
| RU2595904C2 (ru) | Способы и устройство для крупномасштабного распространения электронных клиентов доступа | |
| KR101363981B1 (ko) | 개별 전자 장치를 통한 모바일 사용자를 위한 서비스의 사용, 제공, 맞춤화 및 과금 | |
| US10887300B2 (en) | Operation related to user equipment using secret identifier | |
| CN110476397B (zh) | 用户鉴权方法和装置 | |
| CN109587680B (zh) | 参数的保护方法、设备和系统 | |
| CN109905350B (zh) | 一种数据传输方法及系统 | |
| CN109474650B (zh) | 一种配置文件下载方法及终端 | |
| CN110519753B (zh) | 访问方法、装置、终端和可读存储介质 | |
| US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
| CN110809892B (zh) | 一种认证方法及终端、网络设备 | |
| CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
| CN113938880B (zh) | 一种应用的验证方法及装置 | |
| CN112119651A (zh) | 接入技术不可知的服务网络认证 | |
| US11832348B2 (en) | Data downloading method, data management method, and terminal | |
| CN111654861B (zh) | 一种认证方法、装置、设备及计算机可读存储介质 | |
| CN114223233A (zh) | 用于网络切片管理的数据安全性 | |
| US10721621B2 (en) | Updating policy for a video flow during transitions | |
| WO2020221067A1 (zh) | 用于移动注册的方法和装置 | |
| CN117135625A (zh) | 数据传输方法和系统及信令安全管理网关 | |
| CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
| CN115004634B (zh) | 信息处理方法、装置、设备及存储介质 | |
| US20220322080A1 (en) | Handling of nas container in registration request at amf re-allocation | |
| CN111918292A (zh) | 一种接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |