CN117320004A - 基于IPv6扩展头的移动网络零信任系统及方法 - Google Patents
基于IPv6扩展头的移动网络零信任系统及方法 Download PDFInfo
- Publication number
- CN117320004A CN117320004A CN202311192045.9A CN202311192045A CN117320004A CN 117320004 A CN117320004 A CN 117320004A CN 202311192045 A CN202311192045 A CN 202311192045A CN 117320004 A CN117320004 A CN 117320004A
- Authority
- CN
- China
- Prior art keywords
- user identification
- mobile terminal
- message
- authentication
- zero trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000010295 mobile communication Methods 0.000 claims abstract description 24
- 238000004891 communication Methods 0.000 abstract description 11
- 230000008569 process Effects 0.000 description 17
- 239000003795 chemical substances by application Substances 0.000 description 12
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 6
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了基于IPv6扩展头的移动网络零信任系统及方法,属于移动网络通信技术领域,要解决的技术问题为移动通信网络中如何实现移动终端零信任的访问控制。应用于包括移动终端、基站、核心网和数据网络的移动通信网络,移动终端注册于核心网,系统包括移动访问代理、零信任网关和认证平台;通过认证平台对移动终端二次认证后,将移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,移动访问代理发送业务数据时,将加密后的用户标识、零信任信息以及业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关,零信任网关对IP报文进行解析以及安全认证,通过认证后,转发至核心网。
Description
技术领域
本发明涉及移动网络通信技术领域,具体地说是基于IPv6扩展头的移动网络零信任系统及方法。
背景技术
移动通信网络中核心网对移动终端鉴权和IP分配后,就假设移动终端和核心网之间业务为内部网络访问,缺少后续的安全控制。此安全架构会造成身份伪造安全漏洞。
移动通信网络中如何实现移动终端零信任的访问控制,是需要解决的技术问题。
发明内容
本发明的技术任务是针对以上不足,提供基于IPv6扩展头的移动网络零信任系统及方法,来解决移动通信网络中如何实现移动终端零信任的访问控制的技术问题。
第一方面,本发明一种基于IPv6扩展头的移动网络零信任系统,应用于包括移动终端、基站、核心网和数据网络的移动通信网络,移动终端注册于核心网,所述系统包括移动访问代理、零信任网关和认证平台;
所述认证平台用于为移动终端提供认证管理服务,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,所述用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码;
所述移动访问代理部署于移动终端,用于从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码,移动终端二次认证通过后,用于基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关;
所述零信任网关接收IP报文后,用于解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
作为优选,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息;
基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。
作为优选,所述零信任网关用于执行如下以解析IP报文并进行安全认证:
对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
作为优选,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
作为优选,对于未通过认证的IP报文,向认证平台上报告警信息时,告警信息中包括移动终端的用户标识。
第二方面,本发明一种基于IPv6扩展头的移动网络零信任方法,应用于包括移动终端、基站、核心网和数据网络的移动通信网络,用于基于如第一方面任一项所述的一种基于IPv6扩展头的移动网络零信任系统实现移动终端的零信任访问,所述方法包括如下步骤:
移动终端注册于核心网,移动访问代理部署于移动终端,移动访问代理从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码;
移动终端通过核心网向认证平台发起二次认证请求,认证平台通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,所述用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码;
移动终端二次认证通过后,移动访问代理基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关;
零信任网关接收IP报文后,解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
作为优选,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息;
基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。
作为优选,解析IP报文并进行安全认证,包括如下步骤:
对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
作为优选,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
作为优选,对于未通过认证的IP报文,向认证平台上报告警信息时,告警信息中包括移动终端的用户标识。
本发明的基于IPv6扩展头的移动网络零信任系统及方法具有以下优点:
1、通过认证平台对移动终端二次认证后,将移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,移动访问代理发送业务数据时,将加密后的用户标识、零信任信息以及业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关,零信任网关对IP报文进行解析以及安全认证,通过认证后,转发至核心网,实现了移动终端访问数据的细粒度认证,通过每次访问报文上进行身份验证,提供更高级、更精细的网络和系统安全保护;
2、对用户标识进行了加密,保护了移动终端的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
下面结合附图对本发明进一步说明。
图1为实施例1一种基于IPv6扩展头的移动网络零信任系统的流程框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
本发明实施例提供基于IPv6扩展头的移动网络零信任系统及方法,用于解决移动通信网络中如何实现移动终端零信任的访问控制的技术问题。
实施例1:
本发明一种基于IPv6扩展头的移动网络零信任系统,应用于包括移动终端、基站、核心网和数据网络的移动通信网络。该系统包括移动访问代理、零信任网关和认证平台。
移动通信网络是指通过无线技术实现移动设备间通信的网络。它使移动设备(如手机、平板电脑)能够在没有物理连接的情况下进行通信,实现语音通话、短信、数据传输等功能。
移动通信网络由移动通信终端、移动通信基站、传输网络和核心网组成。核心网(Core Network)是移动通信网络的关键组成部分,它负责处理和管理移动通信中的核心功能和服务。核心网具有鉴权功能,其对移动用户的注册和会话请求进行鉴权,确保只有经过授权的用户才能获得特定的服务。
核心网鉴权过程,移动设备与核心网网元之间进行身份验证和安全通信建立的过程。移动设备接入核心网时,通过交换随机数、计算安全函数和验证响应参数等步骤进行身份验证,并确保建立安全的通信连接,以保护用户数据和通信的安全性。
通过核心网鉴权过程后,核心网会给移动终端分配IP地址。移动终端获取核心网分配的IP地址后,使用此IP地址作为网络通信的源地址,与各应用服务进行通信。核心网不再会对已鉴权通过且分配IP地址的移动终端的业务数据进行安全控制。此处理的安全假设同传统网络安全模型,假设移动终端到核心网用户面业务为内部网络,且认为信任移动终端为可信设备。
原有核心网鉴权与IP分配过程存在移动终端身份伪造的安全漏洞。移动终端在鉴权后并不采用分配的IP进行网络通信,移动终端故意使用仿冒IP从而达成伪造其他用户或网络设备身份通信目的。同时,网络攻击方在核心网接入侧直接仿造移动终端接入IP报文进行通信,从而实现身份伪造攻击。
IPv6(Internet Protocol version 6)是互联网协议的第六个版本,旨在取代目前广泛使用的IPv4。它是为了解决IPv4中存在的地址空间不足、安全性、扩展性等问题而引入的新一代协议。IPv6除IP地址空间大于IPv4外,还提供IPv6扩展头机制,基于IPv6扩展头可对网络功能进行扩展。
IPv6扩展头(Extension Header),是IPv6协议中的一种机制,用于在IPv6数据包中添加额外的信息和选项。IPv6扩展头出现在IPv6头部后面,在传输层协议(如TCP或UDP)头部之前。扩展头类型有Hop-by-Hop Options扩展头:用于在中间节点上进行选项处理,如逐跳选项、选项数据等。Destination Options扩展头、Routing扩展头、Fragment扩展头、Destination Options扩展头等。Hop-by-Hop Options扩展头,其用于在中间节点上进行选项处理,如逐跳选项、选项数据等。Destination Options扩展头,用于包含与目的地主机相关的选项。它可以用于路径MTU发现,重定向通知,源站选项等。
本实施例中,移动终端注册于核心网,其中移动终端注册核心网过程,符合现有3GPP定义的注册流程。
认证平台用于为移动终端提供认证管理服务,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码。
其中,二次认证过程,符合现有3GPP定义的二次认证流程。
通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
(1)为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
(2)为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
(3)为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
移动访问代理部署于移动终端,用于从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码,移动终端二次认证通过后,用于基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关。
其中,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息。基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。对称加密算法可选用于AES等。
零信任网关接收IP报文后,用于解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
本实施例中,零信任网关用于执行如下以解析IP报文并进行安全认证:
(1)对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
(2)根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
(3)基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
(4)时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
(5)对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
如图1所示,本实施例该系统的工作流程为:
(1)移动终端注册核心网:注册核心网过程,符合现有3GPP定义的注册流程;
(2)移动终端通过核心网向认证平台发起二次认证过程:二次认证过程,符合现有3GPP定义的二次认证流程;
(3)移动终端通过二次认证获取用户标识和用户描述加密密码信息:认证平台对移动终端进行认证,认证通过后,移动访问代理获取到认证平台认证成功信息,认证成功信息包含移动终端用户标识ID、用户标识加密密码‘’
(4)网关获取移动终端零信任信息:平台认证在移动终端二次认证通过后,把移动终端零信任信息发送给零信任网关,移动终端零信任信息包含移动终端IP、移动终端用户标识ID、用户标识加密密码;
(5)移动访问代理对用户标识封装IPv6扩展头,包含零信任用户标识信息,IPv6扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任用户标识消息,Option Data为用户标识ID加密信息,加密方法为对用户标识ID和当前时间戳进行拼接操作,对拼接的内容采用用户标识加密密码进行加密,加密采用对称加密算法,对称加密算法包含但不限于AES等;
(6a)零信任网关,对IPv6扩展头中零信任用户标识消息进行认证:认证方式根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码。对Hop-by-Hop Options扩展头中的扩展头中Option Type为零信任用户标识消息对应的Option Data内容采用用户标识加密密码进行解密,解密后的移动终端用户标识ID和查询到的用户标识ID进行对比,如果不一致,则判定IP报文为非法报文;如果一致,进行时间戳超时对比;
时间戳超时对比:时间对解密中的时间戳信息与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为此IP为非法IP数据报文;如果差值小于设置的超时阈值,则认为此IP为合法IP数据报文;
对于合法IP数据报文,零信任网关对IP数据根据路由信息进行转发;
6b)零信任网关,对非法IP数据报文,直接丢弃处理并向认证平台产生告警。
实施例2:
本发明一种基于IPv6扩展头的移动网络零信任方法,应用于包括移动终端、基站、核心网和数据网络的移动通信网络,用于基于实施例1公开的系统实现移动终端的零信任访问,该方法包括如下步骤:
S100、移动终端注册于核心网,移动访问代理部署于移动终端,移动访问代理从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码;
S200、移动终端通过核心网向认证平台发起二次认证请求,认证平台通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,所述用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码;
S300、移动终端二次认证通过后,移动访问代理基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关;
S400、零信任网关接收IP报文后,解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
本实施例中,移动终端注册于核心网,其中移动终端注册核心网过程,符合现有3GPP定义的注册流程。
步骤S200二次认证过程,符合现有3GPP定义的二次认证流程。
通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
(1)为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
(2)为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
(3)为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
步骤S300中,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息。基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。对称加密算法可选用于AES等。
零信任网关接收IP报文后,用于解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
本实施例中,解析IP报文并进行安全认证包括如下步骤:
(1)对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
(2)根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
(3)基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
(4)时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
(5)对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。
Claims (10)
1.一种基于IPv6扩展头的移动网络零信任系统,其特征在于,应用于包括移动终端、基站、核心网和数据网络的移动通信网络,移动终端注册于核心网,所述系统包括移动访问代理、零信任网关和认证平台;
所述认证平台用于为移动终端提供认证管理服务,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,所述用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码;
所述移动访问代理部署于移动终端,用于从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码,移动终端二次认证通过后,用于基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关;
所述零信任网关接收IP报文后,用于解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
2.根据权利要求1所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息;
基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。
3.根据权利要求2所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,所述零信任网关用于执行如下以解析IP报文并进行安全认证:
对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
4.根据权利要求1-3任一项所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
5.根据权利要求1-3任一项所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,对于未通过认证的IP报文,向认证平台上报告警信息时,告警信息中包括移动终端的用户标识。
6.一种基于IPv6扩展头的移动网络零信任方法,其特征在于,应用于包括移动终端、基站、核心网和数据网络的移动通信网络,用于基于如权利要求1-5任一项所述的一种基于IPv6扩展头的移动网络零信任系统实现移动终端的零信任访问,所述方法包括如下步骤:
移动终端注册于核心网,移动访问代理部署于移动终端,移动访问代理从移动通信网络建立请求,抽取用户认证标识信息,用户认证标识信息包括用户标识和用户标识加密密码;
移动终端通过核心网向认证平台发起二次认证请求,认证平台通过核心网接收移动终端发起的二次认证请求后,通过认证管理服务向通过认证的移动终端返回用户认证信息,并向零信任网关发送移动终端的零信任信息,所述用户认证信息包括移动终端的用户标识和用户标识加密密码,所述零信任信息包括移动终端的IP、用户标识和用户标识加密密码;
移动终端二次认证通过后,移动访问代理基于用户标识加密密码对用户标识加密,将加密后的用户标识、零信任信息以及待发送的业务数据加入IPv6扩展头作为IP报文,并通过基站将IP报文发送至零信任网关;
零信任网关接收IP报文后,解析IP报文并进行安全认证,对于通过认证的IP报文,将IP报文或IP报文中对应的业务数据发送至核心网,对于未通过认证的IP报文,向认证平台上报告警信息。
7.根据权利要求6所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,IP报文信息中扩展头信息采用Hop-by-Hop Options扩展头类型,扩展头中Option Type为零信任信息,Option Data为加密后的用户标识信息;
基于用户标识加密密码对用户标识加密时,将用户标识和当前时间戳进行拼接操作,并基于用户加密密码、通过对称加密算法对拼接的内容进行加密,得到加密后用户标识。
8.根据权利要求7所述的基于IPv6扩展头的移动网络零信任系统,其特征在于,解析IP报文并进行安全认证,包括如下步骤:
对IP报文进行解析,得到加密后的用户标识、零信任信息以及待发送的业务数据;
根据移动终端发送IP地址查询到对应的用户标识、用户标识加密密码;
基于查询的用户标识加密密码对加密后的用户标识信息进行解密,将解密后得到的用户标识和查询到的用户标识进行对比,如果不一致,则判定IP报文为非法报文,如果一致,则进行时间戳超时对比;
时间戳超时对比时,对解密中得到的时间戳与当前时间戳进行比较,如果差值大于设置的超时阈值,则认为IP报文为非法报文,如果差值小于设置的超时阈值,则认为IP报文为合法报文;
对于合法IP报文,根据路由信息将IP报文或IP报文中对应的业务数据发送至核心网。
9.根据权利要求6-8任一项所述的基于IPv6扩展头的移动网络零信任方法,其特征在于,通过认证管理服务对移动终端的IP、用户标识和用户标识密码进行管理,包括如下操作:
为移动终端分配IP,并对移动终端和IP绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识,并对移动终端和用户标识绑定关系进行添加、修改和删除操作;
为移动终端分配用户标识加密密码,并对移动终端和用户标识加密密码绑定关系进行添加、修改和删除操作。
10.根据权利要求6-8任一项所述的基于IPv6扩展头的移动网络零信任方法,其特征在于,对于未通过认证的IP报文,向认证平台上报告警信息时,告警信息中包括移动终端的用户标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311192045.9A CN117320004A (zh) | 2023-09-15 | 2023-09-15 | 基于IPv6扩展头的移动网络零信任系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311192045.9A CN117320004A (zh) | 2023-09-15 | 2023-09-15 | 基于IPv6扩展头的移动网络零信任系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117320004A true CN117320004A (zh) | 2023-12-29 |
Family
ID=89287624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311192045.9A Pending CN117320004A (zh) | 2023-09-15 | 2023-09-15 | 基于IPv6扩展头的移动网络零信任系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117320004A (zh) |
-
2023
- 2023-09-15 CN CN202311192045.9A patent/CN117320004A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7181012B2 (en) | Secured map messages for telecommunications networks | |
US9768961B2 (en) | Encrypted indentifiers in a wireless communication system | |
CN102347870B (zh) | 一种流量安全检测方法、设备和系统 | |
JP4376711B2 (ja) | アクセス管理方法及びその装置 | |
US20050102514A1 (en) | Method, apparatus and system for pre-establishing secure communication channels | |
EP1374533B1 (en) | Facilitating legal interception of ip connections | |
CA2597763A1 (en) | Context limited shared secret | |
CN113473458B (zh) | 一种设备接入方法、数据传输方法和计算机可读存储介质 | |
JP2008228273A (ja) | データストリームのセキュリティを確保するための方法 | |
US8386783B2 (en) | Communication apparatus and communication method | |
RU2328082C2 (ru) | Способ защиты трафика данных между сетью мобильной связи и сетью ims | |
CN111416824B (zh) | 一种网络接入认证控制系统 | |
Bais et al. | Evaluation of UMTS security architecture and services | |
WO2011131070A1 (zh) | 基于密钥管理服务器的ims媒体安全的合法监听系统 | |
US20030154408A1 (en) | Method and apparatus for secured unified public communication network based on IP and common channel signaling | |
US20050132075A1 (en) | Authentication of mobile communication devices using mobile networks, SIP and Parlay | |
JP2006515698A (ja) | 通信システム | |
Xenakis | Security Measures and Weaknesses of the GPRS Security Architecture. | |
Pütz et al. | Security mechanisms in UMTS | |
CN117320004A (zh) | 基于IPv6扩展头的移动网络零信任系统及方法 | |
US11936634B2 (en) | Method for editing messages by a device on a communication path established between two nodes | |
CN115706977A (zh) | 一种数据传输方法及相关设备 | |
US7694334B2 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
KR100463751B1 (ko) | 무선통신을 위한 패킷데이터 생성 방법과, 이를 이용한무선통신 방법 및 그 장치 | |
US20240097903A1 (en) | Ipcon mcdata session establishment method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |