WO2020025028A1

WO2020025028A1 - 数据保护方法、装置及计算机存储介质

Info

Publication number: WO2020025028A1
Application number: PCT/CN2019/098894
Authority: WO
Inventors: 毛玉欣; 闫新成; 秦益飞; 赵红勋
Original assignee: 中兴通讯股份有限公司
Priority date: 2018-08-03
Filing date: 2019-08-01
Publication date: 2020-02-06
Also published as: CN110798437A; CN110798437B

Abstract

提供了一种数据保护方法、装置及计算机存储介质。所述方法包括：第一网元申请得到第二网元安全信息；以及第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。

Description

数据保护方法、装置及计算机存储介质

技术领域

本申请涉及但不限于通信领域。

背景技术

传统2G/3G/4G电信网是由大量专用设备和功能单一的网络节点构成的封闭网络，软件与硬件深度绑定，在物理设备部署之后，通常不会变化，其网络架构可以采用静态配置方式，比如，在无线接入网(RAN)和核心网(CN)之间的互联网协议IP安全(IPSec，Internet Protocol Security)隧道可通过预配置来实现。

5G电信网引入了软件定义和虚拟化技术对传统电信网进行重构，通过软硬件解耦，实现了在通用硬件资源上构建虚拟化弹性网络，并据此提供网络服务，可以根据应用需求对网络容量灵活进行扩缩。相比于传统2G/3G/4G电信网，5G网络是一个动态的弹性网络，比如，可以根据业务需求动态生成新的网元，为了确保在多个网元间数据传输的安全性，需要建立IPSec隧道。对于弹性网络，如果通过预配置来实现IPSec隧道的建立，需要基于业务需求的动态变化进行大量的后期维护(比如，修改预先配置的密钥等)，运维成本高。

发明内容

本公开实施例的一种数据保护方法，包括：第一网元申请得到第二网元安全信息；以及第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道。

本公开实施例的一种数据保护装置，包括：申请单元，其设置为申请得到第二网元安全信息；以及隧道建立单元，其设置为根据所述第二网元安全信息与第二网元建立IP安全隧道。

本公开实施例的一种数据保护装置，包括：存储有计算机程序的存储器；以及处理器，其配置为执行所述计算机程序时实现上述方案所述的方法。

本公开实施例的一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述方案所述的方法。

附图说明

图1为在一些情况下5G网络架构的示意图；

图2为在一些情况下采用网络切片提供服务的示意图；

图3为在一些情况下建立IP安全隧道的示意图；

图4为根据本公开实施例的采用网络切片场景来提供服务的示意图；

图5为根据本公开实施例的一种方法的流程示意图；

图6为根据本公开实施例的方法的实例的流程示意图；

图7为根据本公开实施例的方法的又一实例的流程示意图；

图8为根据本公开实施例的方法的又一实例的流程示意图；

图9为根据本公开实施例的方法的又一实例的流程示意图；

图10为根据本公开实施例的方法的又一实例的流程示意图；

图11为根据本公开实施例的方法的又一实例的流程示意图；

图12为根据本公开实施例的一种装置的组成模块示意图；

图13为根据本公开实施例的一种装置的又一组成模块示意图；以及

图14为根据本公开实施例的一种装置的硬件组成示意图。

具体实施方式

以下结合附图及实施例，对本公开进行还详细说明。应当理解，此处所提供的实施例仅用以解释本公开，并不用于限定本公开。另外，以下所提供的实施例是用于实施本公开的部分实施例，而非提供实施本公开的全部实施例，在不冲突的情况下，本公开实施例记载的技术方案可以任意组合的方式实施。

需要说明的是，在本公开实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元，例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。

例如，本公开实施例提供的数据保护方法包含了一系列的步骤，但是本公开实施例提供的该数据保护方法不限于所记载的步骤，同样地，本公开实施例提供的网元设备包括了一系列单元，但是本公开实施例提供的网元设备不限于包括所明确记载的单元，还可以包括为获取相关信息、或基于信息进行处理时所需要设置的单元。

需要说明的是，本公开实施例所涉及的术语“第一”、“第二”等仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，在允许的情况下“第一”、“第二”等术语可以互换特定的顺序或先后次序。应该理解由“第一”、“第二”等术语区分的对象在适当情况下可以互换，以使本文描述的本公开的实施例能够以除了在本文图示或描述的那些以外的顺序实施。

5G电信网引入了软件定义和虚拟化技术对传统电信网进行重构，通过软硬件解耦，实现了在通用硬件资源上构建虚拟化弹性网络来提供网络服务，并可以根据应用需求对网络容量灵活进行扩缩。5G网络还打破了传统电信网络的封闭模式，将网络服务能力开放给第三方业务(如业务提供商、企业、垂直行业等)，让第三方业务可以按需构建网络切片提供网络服务，以适应各种业务快速发展和不断变化的需求。

5G网络的通信架构如图1所示，网络切片选择功能(NSSF，Network Slice Selection Function)用于网络切片选择，认证服务功能(AUSF，Authenticaiton Server Function)用于用户注册到网络时对用户进行鉴权认证，统一数据管理(UDM，Unified Data Management)主要用于管理用户签约信息，接入和移动性管理功能(AMF，Access and Mobility Management Function)用于接入和移动性管理，会话管理功能(SMF，Session Management Function)用于会话管理，策略控制功能(PCF，Policy Control Function)用于服务质量(QoS，Quality of Service)策略及切片选择策略的管理，应用功能(AF，Application Function)用于提供应用相关的信息，RAN为接入网络，用户面功能(UPF，User Plane Function)主要用于用户和数据网络(DN，Data Network)之间的数据交互，DN为外部数据网络，详细架构和功能可参考5G的系统构架(TS((Technical Specification，技术文档))23.501)描述。图5中的N1、N2……N22等指的是各功能实体之间的参考点。

5G网络可以采用网络切片形式为用户提供网络服务。网络切片是功能完整、逻辑独立、资源共享的虚拟网络。网络切片是可以应用本公开实施例的一种示例性场景。

如图2所示为传统网络中采用网络切片为用户提供服务的示意图，该场景包括用户设备(User Equipment，UE)101、无线接入网络(RAN，Radio Access Network)102和核心网(CN，Core Network)103。RAN是用于第三代无线通信设备的必需的基于地面的基础架构，其包括到因特网的高速移动接入等。CN 103包括：公共网元域1031。用户接入5G网络后使用网络切片为用户提供服务的过程中，通过网络编排管理系统编排以1032标记的网络切片1连接至车联网应用服务器105，以便为车联网业务提供服务，以1033标记的编排网络切片2连接至互联网应用服务器106，以便为互联网业务提供服务。网络切片1与网络切片2之间逻辑隔离，网络切片1与网络切片2中均包含会话管理功能(SMF，Session Management Function)和用户面功能(UDF，User Plane Function)。公共网元域包括被多个切片共享的公共网元，例如AMF、NSSF、AUSF、UDM等。UE如果使用车联网业务，就需要接入网络切片1；如果使用互联网业务，就需要接入网络切片2。

网络编排管理系统可以根据需求创建新的功能网元(即网元实例化)，例如创建新的公共网元或者新的网络切片。当不在需要网络服务时，可终止网络切片，快速释放资源。另外，还可以根据网络流量、用户量等对网络切片容量进行弹性扩缩。因此，相比于传统电信网，5G网络是一个动态的弹性网络。

对于上述系统架构，由于RAN和CN之间的回传网络可能会跨越非信任域，存在数据被窃取的风险。为了保证信令/数据的传输安全，需要在RAN和CN之间部署安全网关功能(SeGW，Security GateWay)，建立IP安全(IPSec，IP Security)隧道，对此部分数据进行加密传输。如图3所示，例如4G网络中，在演进的网络节点(eNB，evolved Network Node)和移动性管理实体(MME，Mobility Management Entity))之间部署SeGW，建立IPSec以实现数据加密传输。图3所示的传统网络由于是静态的，即物理设备部署之后通常不会变化，因此RAN和CN之间的IPSec可通过预配置实现。

如图4所示为5G网络中采用网络切片为用户提供服务的示意图，该场景包括UE 101、无线接入网络(RAN，Radio Access Network)102和核心网(CN，Core Network)103。在RAN 102侧部署安全网关(SeGW)1021。CN 103包括：切片公共网元域1031。用户接入5G网络后使用网络切片为用户提供服务的过程中，通过网络编排管理系统编排以1034标记的网络切片1连接至车联网应用服务器105，以便为车联网业务提供服务，以1035标记的编排网络切片2连接至互联网应用服务器106，以便为互联网业务提供服务。网络切片1与网络切片2之间逻辑隔离，网络切片1与网络切片2中均包含会话管理功能(SMF，Session Management Function)和用户面功能(UDF，User Plane Function)。可以实例化新的安全网关并部署于网络切片中，如在网络切片1中部署SeGW2，在网络切片2中部署SeGW3。公共网元域包括被多个切片共享的公共网元，例如AMF、NSSF、AUSF、UDM等。UE如果使用车联网业务，就需要接入网络切片1；如果使用互联网业务，就需要接入网络切片2。在公共网元域也可以部署安全网关，如SeGW1。在每个网络切片内部署的SeGW可以分别与RAN侧的SeGW建立IPSec。

由于图4所示的5G是弹性网络，因此所述网络可以根据业务需求，动态生成新的核心网元(公网网元和/或网络切片)。为保证数据传输安全性，在新产生的公共网元和/或网络切片与无线接入之间需要对应部署SeGW，以建立IPSec。5G网络支持多个网络切片，因此在RAN和CN之间会存在多条IPSec，且这些IPSec是动态部署的，传统IPSec静态预配置的方式在弹性网络中不再适用。一方面，静态预配置方式下的加密和验证所使用的密钥都是手工配置，为保证IPSec的长期安全，需要经常修改这些密钥，随着RAN和CN之间的IPSec数量增加，密钥的配置和修改工作量越大；另一方面，预配置的方式适用于IPSec两端的SeGW设备部署相对固定的情况，SeGW的IP地址是预先分配的，而弹性网络中的SeGW是动态部署的，地址都是动态分配的，因此弹性网络中不适合使用静态预配置方式建立IPSec，需要使用动态协商方式创建IPSec。

采用本公开实施例，为了协商建立IPSec，加密端(例如RAN侧的SeGW)可以动态获取加密对端(例如CN侧SeGW)的信息，比如加密对端SeGW的IP地址，从而根据加密对端SeGW的IP地址在加密端和加密对端间建立IP安全隧道。

图5示出了根据本公开实施例的一种数据保护方法。如图5所示，所述方法包括：步骤S101-S102。

在步骤S101，第一网元申请得到第二网元安全信息。

该第二网元安全信息存储于网元注册功能实体中。第一网元通过动态申请可以以多种渠道从网元注册功能实体中得到第二网元安全信息。

在步骤S102，第一网元根据所述第二网元安全信息与第二网元建立IP安全(IPSec)隧道。

在网元注册功能实体中存储所有网元安全信息(如安全网关的网关安全信息)，比如，第一网关安全信息，第二关元安全信息或者后续实施例中当实例化新的网关(第三网关)时还存储第三网关安全信息。这些网关安全信息的类型包括但不限于：安全网关功能IP地址、全限定域名(FQDN，Fully Qualified Domain Name)、安全能力等信息。

在一实施例中，第一网元为部署于第一网络侧(无线接入网)的第一网关，第二网元为部署于第二网络侧(核心网)的第二网关，并且该方法包括：步骤S210-S203(未示出)。

在步骤S201，第一网关向网元注册功能实体发起用于查询所述第二网元安全信息的请求。

在步骤S202，第一网关接收所述网元注册功能实体反馈的第二网元安全信息。

第二网元安全信息为由第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息。

在步骤S203，第一网关根据第二网关安全信息与所述第二网关建立所述IPSec隧道。

在一实施例中，第一网元为部署于第一网络侧(无线接入网)的第一网关，第二网元为部署于第二网络侧(核心网)的第二网关，并且该方法包括：步骤S301-S302(未示出)。

步骤S301、在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求后，第一通信网元接收所述第二通信网元反馈的所述第二网元安全信息。

第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息。

步骤S302、第一网关根据第二网关安全信息与第二网关建立所述IPSec隧道。

针对上述两种实施例，一个实例的处理流程如图6所示，该实例包括：步骤501-507。

在步骤501，第二安全网关功能模块向网元注册功能模块申请注册。

注册请求中包含第二安全网关功能信息。

在步骤502，在网元注册功能模块中保存第二安全网关功能信息。

在步骤503a，第一安全网关功能模块向网元注册功能模块查询第二安全网关功能信息。

在步骤504a，网元注册功能模块返回第二安全网关功能信息，如IP地址/FQDN等给第一安全网关功能模块。

在步骤503b，第二通信功能模块向网元注册功能模块查询第二安全网关功能信息，第二通信功能模块接收到网元注册功能实体反馈的第二网元安全信息。第二网元安全信息可以为第二网关IP地址。

在步骤504b，网元注册功能模块发送第二安全网关功能信息，如IP地址/FQDN等给第一通信功能模块。

在步骤505b，第一通信功能模块发送第二安全网关功能信息，如IP地址/FQDN等给第一安全网关功能模块。

在步骤506，第一安全网关功能模块与第二安全网关功能模块间进行IKE SA协商、IPSecSA协商。

在步骤507，建立IPSec隧道后，传输IP报文。

本实例中，第二网元安全信息存储于网元注册功能实体中。第一网元可以通过动态申请以多种渠道从网元注册功能实体中得到第二网元安全信息。比如，通过步骤503a-步骤504a，第一安全网关功能模块可以从网元注册功能模块得到第二安全网关功能信息，如IP地址/FQDN等。又如，通过步骤503b-步骤505b，第一安全网关功能模块可以从第一通信功能模块得到第二安全网关功能信息，如IP地址/FQDN等。

本文中，第二安全网关功能模块可以位于第二网关，第一安全网关功能模块可以位于第一网关或将第一网关功能集成的第一通信网元。第一通信功能模块可以位于第一通信网元，第二通信功能模块可以位于第二通信网元，网元注册功能模块可以位于网元注册功能实体中。第三安全网关功能模块可以位于第三网关，部署于网络切片中，后续不做赘述。

在一实施例中，第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，并且所述方法包括：步骤S401-S406。

在步骤S401，第一通信网元接收到用户设备附着到网络发起的第一注册请求。

在步骤S402，第一通信网元向网元注册功能实体发起AMF发现请求，寻找为用户设备接入服务的AMF。

在步骤S403，第一网关接收所述第一通信网元转发的所述第一注册请求，准备建立IPSec隧道。

在步骤S404，第一网关向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第二注册请求中解析得到的AMF IP地址。

在步骤S405，第一网关接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址。

在步骤S406，第一网关根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。

对于该实施例，一个实例的处理流程如图7所示，该实例描述了用户附着到网络发起的注册流程。RAN和CN之间的IPSec采用网关到网关模式，即在RAN侧(第一通信功能)部署SeGW1(第一安全网关功能)，在公共网元域部署SeGW2(第二安全网关功能)，所述公共网元域网元(例如AMF、AUSF等)为第二通信功能。网络存储功能(NRF，Network Repository Function)用于网元注册。该实例可以包括：步骤601-609。

在步骤601，实例化SeGW2。SeGW2用于部署在CN公共网元侧并注册到NRF，包含IP地址、安全能力(安全能力包括所述SeGW2支持的IKE协议、封装协议、加密算法、验证算法等)。NRF保存SeGW2信息，同时需要保存所述SeGW2信息与被SeGW2保护网元的信息(例如本公开实施例中的通信对端，即AMF、AUSF、UDM(Unified Data Management，统一数据管理)等)的关联关系。

IKE协议可以包括因特网密钥交换协议版本1(IKEv1，Internet Key Exchange version 1)，IKEv2封装协议包括：验证头(AH，Authentication Header)、封装安全载荷(ESP，Encapsulating Security Payload)。

加密算法可以包括：数据加密标准(DES，Data Encryption Standard)、数字加密标准3(3DES，Triple DES)、高级加密标准(AES，Advanced Encryption Standard)。

验证算法可以包括：消息摘要5(MD5，Message Digest 5)、安全哈希算法1(SHA1，Secure Hash Algorithm1)、SHA2。

在步骤601之前，可以在RAN侧部署SeGW1。

在步骤602，下一代用户设备(NG-UE，Next Generation User Equipment)附着到网络，发起RAN请求，所述RAN请求包含签约隐藏标识(SUCI，Subscription Concealed Identifier)/5G全球唯一临时标识(5G-GUTI，5G Globally Unique Temporary Identifier)等信息。

在步骤603，RAN收到注册请求，执行AMF发现程序，寻找为NG-UE接入服务的AMF。NRF根据SUCI/5G-GUTI中的移动国家码(MCC，Mobile Country Code)和移动网络码(MNC，Mobile Network Code)等信息分配AMF，并返回AMF的IP地址或FQDN。

在步骤604，根据NRF返回的AMF信息，RAN向所述AMF转发注册请求。

在步骤605，SeGW1收到所述注册请求消息，准备建立IPSec隧道。SeGW1向NRF发起CN侧SeGW发现请求，请求消息中包含AMF IP地址(即SeGW1所接收的注册请求消息的目的IP地址)。

在步骤606，NRF根据所述AMF IP地址信息、SeGW1的IP地址信息及NRF上保存的SeGW信息与AMFIP地址信息关联关系，查询、分配SeGW2，并将SeGW2的IP地址/FQDN返回给SeGW1。

例如，可以根据SeGW1的IP地址信息，查询SeGW1的安全能力；可以根据AMF IP地址和SeGW的IP地址，并根据SeGW1的安全能力，来查询和AMF IP地址存在关联关系并与SeGW1的安全能力相同的SeGW。当查询到SeGW2符合要求时，则将SeGW2的IP地址/FQDN返回给SeGW1。

在步骤607，SeGW1根据SeGW2的IP地址，和SeGW2进行因特网密钥交换安全联盟(IKE SA，Internet Key Exchange Security Association)和IPSec SA协商，建立IPSec隧道。本公开以IKEv2方式建立IPSec，建立过程如下描述，详细过程可参考RFC7296(Request For Comments 7296)。

IPSec隧道协商建立过程分为安全联盟(IKE SA，Security Association)协商和IPSec SA协商。

IKE SA协商过程可以包括：IKE双方(即SeGW1和SeGW2，下面简称双方)协商采用的IKE版本、封装协议(AH和ESP)、加密算法(DES、3DES、AES)、验证算法(MD5、SHA1、SHA2)、身份认证方法和交换模式、迪菲-赫尔曼秘钥交换(DH，Diffie-Hellman)算法等。IKE双方交换彼此的密钥材料(例如DH公开值、临时随机数等)。IKE双方结合自身配置的身份验证方法各自进行密钥计算(预共享密钥或数据证书参与到密钥计算过程中)。最终计算产生的共享密钥包括三个：K1：用于IKE协商消息完整性验证的密钥；K2：用于IKE协商消息加密的密钥；K3：用于衍生出IPSec报文加密和验证的密钥，其中，K1和K2用于保证后续IKE协商消息的安全性，K3用于保证IPSec封装的数据报文的安全性。

整个密钥交换和计算过程在IKE SA超时时间的控制下以一定的周期进行自动刷新，避免了密钥长期不变带来的安全隐患。

IPSec SA协商用于双方协商被保护的数据流、交换密钥材料以便双方生成用于IPSec SA的密钥。

IKEv2使用IKE SA初始交换和IKE认证交换来完成上述IKE SA和IPSec SA的协商过程，以建立IPSec。

在IKE SA初始交换期间，可以进行IKE SA参数协商，所述参数包括：SA载荷、KE(Key Exchange，密钥交换)载荷、NONCE载荷，其中，SA载荷用于协商双方支持的加密算法、验证算法、伪随机功能、DH值等；KE载荷和NONCE载荷用于交换密钥材料。

IKE SA初始交换之后，双方最终生成三类密钥：K1用于第二条消息(IKE认证交换)的完整性验证，K2用于第二条消息(IKE认证交换)的加密，K3用于为IPSec SA衍生出加密材料。

IKE认证交换用于双方身份认证，并创建IPSec SA。通常有三种身份认证技术：采用预共享密钥方式时，SeGW的身份信息为IP地址或名称；采用数字证书方式时，SeGW的身份信息为证书和通过证书私钥加密的部分消息Hash值(签名)；采用扩展认证协议(EAP，Extensible Authentication Protocol)方式认证之后，衍生密钥：主要通过RADIUS协议进行认证，EAP认证的交换过程属于扩展交换的内容。

创建IPSec SA的过程包括双方协商被保护数据流，通过传输选择器(TS，Traffic Selector)载荷协商。

在步骤608，SeGW1将所述注册请求消息进行IPSec加密后，发送给SeGW2。SeGW2对所述消息进行解密，并发送给AMF。

在步骤609，剩余注册过程参考3GPP TS 23.502注册流程。

上述实施例在RAN侧和CN侧公共网元域建立网关到网关类型的IPSec隧道，实现了RAN和CN侧交互信令使用IPSec传输，保证信令传输安全性。加密端SeGW1通过NRF发现加密对端SeGW2，并协商建立IPSec。

在一实施例中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述方法包括：步聚S501-S506。

在步骤S501，第一通信网元接收到用户设备附着到网络发起的第一注册请求。

在步骤S502，第一通信网元向网元注册功能实体发起AMF发现请求，寻找为用户设备接入服务的AMF。

在步骤S503，第一通信网元启动第一网元功能并准备建立IPSec隧道。

在步骤S504，第一通信网元向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第二注册请求中解析得到的AMF IP地址。

在步骤S505，第一通信网元接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址。

在步骤S506，第一通信网元根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。

针对该实施例，一个实例的具体处理流程如图8所示，该实例描述了用户附着到网络发起的注册流程。RAN和CN之间的IPSec采用点到网关模式，即RAN侧不单独部署SeGW，RAN集成SeGW功能(第一通信功能/第一安全网关功能)，在公共网元域(第二通信功能) 部署SeGW2(第二安全网关功能)。该实例包括：步骤701-707。

在步骤701，实例化SeGW2，所述SeGW2用于部署在CN公共网元侧。

将SeGW2注册于NRF中，注册信息包含IP地址、安全能力(参考步骤601)等，NRF保存所述信息，并建立保存所述SeGW2信息与被所述SeGW2保护的网元的信息(例如AMF IP地址)的关联关系。

在步骤701之前，在RAN侧部署SeGW1。

在步骤702，NG-UE附着到网络，发起RAN请求，所述RAN请求包含SUCI/5G-GUTI等信息。

在步骤703，RAN收到注册请求，执行AMF发现程序，寻找为NG-UE接入服务的AMF。请求消息中携带SUCI/5G-GUTI等信息。

在步骤704，NRF根据SUCI/5G-GUTI中的MCC和MNC等信息分配AMF，并返回AMF的IP地址或FQDN，同时分配SeGW2(查询和分配过程参考步骤607)，并将SeGW2的IP地址或FQDN返回给RAN。

在步骤705，RAN根据SeGW2的IP地址，和SeGW2进行IKE SA和IPSec SA协商，建立IPSec隧道。

在步骤706，RAN将所述注册请求消息进行IPSec加密后，发送给SeGW2。SeGW2对所述消息进行解密，并发送给AMF。

在步骤707，剩余注册过程参考3GPP TS 23.502注册流程。

上述实施例在RAN侧和CN侧公共网元域建立点到网关类型的IPSec隧道，实现了RAN和CN侧交互信令使用IPSec传输，保证信令传输安全性，其中RAN通过AMF发现程序获取SeGW2的地址信息，并协商建立IPSec。

在一实施例中，所述第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述方法包括：步骤S601-S604。

在步骤S601，编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。

在步骤S602，第一网关接收到上行数据报文后判断是否建立IP安全隧道，向网元注册功能实体发起网关发现请求。

网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息。

在步骤S603，第一网关接收网元注册功能实体反馈的与该目的IP地址信息关联的第三网关IP地址。

在步骤S604，第一网关根据所述第三网关IP地址与所述第三网关建立所述IPSec隧道。

对于本实施例，一个实例的具体处理流程如图9所示，所述实例描述了用户附着到网络之后，需要开展业务，从而接入到网络切片的过程。网络编排系统根据需求编排产生新的网络切片。本实例中，网络切片由SMF和UPF组成，同时为了保证RAN和所述网络切片之间数据传输安全性，需建立IPSec，因此在编排所述切片的同时，实例化SeGW3。RAN和所述切片之间采用网关到网关模式，即在RAN(第一通信功能)侧单独部署SeGW1(第一安全网关功能)，在所述网络切片(第二通信功能)内部署SeGW3(第二安全网关功能)。所述实例包括：步骤801-816。

在步骤801，CN公共网元侧部署的SeGW2向NRF发起注册，包含IP地址、安全能力等信息。NRF保存所述SeGW2的信息。

步骤801之前，将SeGW1信息部署于NRF中，所述SeGW1信息包含IP地址以及安全能力等信息。

在步骤802，编排产生网络切片，同时编排产生SeGW3，并部署于所述网络切片内。SeGW3向NRF发起注册请求，所述请求包含IP地址、安全能力等信息，NRF保存所述信息，并建立所述SeGW3的信息与被所述SeGW3保护的网络切片信息(例如UPF IP地址、SMF IP地址等)的关联关系。

在步骤803，在NG-UE注册阶段，已经建立SeGW1和SeGW2之间的IPSec，实现NG-UE与CN公网网元之间交互信令(例如，步骤804和步骤810)的加密传输。

在步骤804，NG-UE发起分组数据单元(PDU，Packet Data Unit)会话建立请求，请求中携带单个网络切片选择辅助信息(S-NSSAI，Single Network Slice Selection Assistance Information)、数据网络名称(DNN，Data Network Name)、PDU会话标识(Session ID)等信息。

在步骤805，AMF收到所述请求消息后，根据S-NSSAI、DNN等信息执行SMF选择。

在步骤806，AMF向SMF发送PDU会话建立请求。

在步骤807，SMF根据S-NSSAI，DNN等信息执行UPF选择。

在步骤808，SMF向UPF下发N4会话建立/修改请求，下发报文检测规则、隧道信息等。

在步骤809，SMF向AMF返回PDU会话建立响应，提供隧道信息、QoS等信息给AMF。

在步骤810，AMF和RAN以及RAN和NG-UE之间完成PDU会话建立过程。

在步骤811，NG-UE发送上行数据报文。

在步骤812，当上行数据到达SeGW1后，根据报文外层目的地址(即UPF IP地址)判断还没有SeGW1和所述UPF对应的网络切片之间建立IPSec隧道。SeGW1向NRF发起所述网络切片对应的SeGW信息查询，所述查询信息中包含所述UPF IP地址。

在步骤813，NRF根据所述网络切片信息(包含UPF IP地址)与SeGW信息的关联关系，分配SeGW3(参考步骤606)，并将SeGW3的IP地址或者FQDN返回给SeGW1。

在步骤814，SeGW1根据SeGW3的信息发起IKE SA和IPSec SA协商，建立IPSec隧道。

在步骤815，SeGW1将所述上行报文经过IPSec加密后，发送给SeGW3。SeGW3对所述消息进行解密，并发送给UPF。

在步骤816，剩余PDU会话建立过程参考3GPP TS 23.502 PDU会话建立流程。

上述实例在RAN侧和CN侧网络切片内建立网关到网关类型的IPSec隧道，实现了RAN和网络切片之间交互数据使用IPSec传输，保证数据传输安全性。SeGW1是在接收到上行数据报文时，触发IPSec协商建立的过程(步骤814)。通过SeGW1向NRF查询SeGW3的IP 地址/FQDN信息，以发起IPSec协商。

在一实施例中，第一网元集成于第一网络侧(无线接入网)内，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述方法包括：步骤S701-S702。

在步骤S701，编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。

在步骤S702，在N4会话建立过程期间，向网元注册功能实体发起网关发现请求，在N4会话建立完成后将第三网关的IP地址返回给认证管理功能AMF；第一通信网元接收所述第三网关的IP地址，第一通信网元根据第三网关IP地址与所述第三网关建立所述IP安全隧道。

对于该实施例，一个实例的具体处理流程如图10所示，所述实例描述了用户附着到网络之后，需要开展业务，从而接入到网络切片的过程。网络编排系统根据需求编排产生新的网络切片(本公开实施例中，网络切片由SMF和UPF组成)，同时为了保证RAN和网络切片之间数据传输安全性，需要建立IPSec，因此在编排所述切片的同时，编排产生SeGW3并部署于所述网络切片内。RAN和所述切片之间采用点到网关模式，即在RAN侧不单独部署SeGW，RAN集成SeGW功能(第一通信功能/第一安全网关功能)，所述切片(第二通信功能)内部署独立SeGW3(第二安全网关功能)。所述实例包括：步骤901-步骤919。

在步骤901，CN公共网元侧SeGW2向NRF发起注册请求，所述请求包含IP地址、安全能力等信息。NRF保存SeGW2信息。

在步骤901之前，RAN侧部署SeGW1。

在步骤902，网络切片内部署SeGW3，例如当实例化新的UPF时，同时实例化新的SeGW3，同时为其分配IP地址。SeGW3向NRF发起注册请求，所述请求包含IP地址、安全能力等，NRF保存所述信息，并建立所述UPF的IP地址和所述SeGW3的IP地址关联关系。

在步骤903，在NG-UE注册阶段，已经建立SeGW1和SeGW2之间的IPSec，实现NG-UE和CN公共网元之间交互控制信令(例如，步骤904、步骤913和步骤915)的加密传输。

在步骤904，NG-UE发起PDU会话建立请求，请求中携带S-NSSAI，DNN，PDU Session ID等信息。

在步骤905，AMF收到所述请求消息后，根据S-NSSAI、DNN等信息执行SMF选择。

在步骤906，AMF向SMF发送PDU会话建立请求。

在步骤907，SMF根据S-NSSAI、DNN等信息执行UPF选择。

在步骤908，SMF向UPF下发N4会话建立/修改请求，下发报文检测规则、隧道信息等。

在步骤909，UPF执行SeGW发现请求，向NRF发起查询，携带UPF IP地址信息。

在步骤910，NRF根据网络切片信息(包含UPF IP地址)与SeGW信息的关联关系，分配SeGW3，并将SeGW3的IP地址或者FQDN返回给所述UPF。

在步骤911，UPF向SMF返回N4会话建立/修改响应，将所述SeGW3的IP地址或者FQDN信息返回给SMF。

在步骤912，SMF向AMF返回PDU会话建立响应，提供SeGW3的IP地址或者FQDN信息、隧道信息、服务质量(QoS，Quality of Service)等信息给AMF。

在步骤913，AMF向RAN发起N2会话建立请求，将所述SeGW3的IP地址或者FQDN信息提供给RAN。AMF和RAN之间发送信息使用步骤903建立的IPSec隧道加密。

在步骤914，RAN和NG-UE之间完成PDU会话无线资源的配置。

在步骤915，RAN向AMF返回N2会话建立响应。

在步骤916，NG-UE发送上行数据报文。

在步骤917，当上行数据到达RAN后，根据SeGW3的信息发起IKE SA和IPSec SA协商，建立IPSec隧道。

在步骤918，RAN将所述上行报文经过IPSec加密后，发送给SeGW3。SeGW3对所述消息进行解密，并发送给UPF。

在步骤919，剩余PDU会话建立过程参考3GPP TS 23.502 PDU 会话建立流程。

上述实施例在RAN侧和网络切片建立点到网关类型的IPSec隧道，实现了RAN和网络切片之间交互的数据使用IPSec传输，保证数据传输安全性。

所述实例实现的是在切片创建阶段，由UPF选择SeGW3的IP地址/FQDN信息，并通过N4、N2会话消息发送给RAN，并由RAN在收到上行数据报文时，触发IPSec建立。需要说明的是，所述IPSec协商建立的过程(步骤917)也可在RAN接收到SeGW3的IP地址/FQDN信息后(即步骤913)触发协商建立。该流程下，如果RAN侧单独部署SeGW1，则RAN还需要通过消息将SeGW3的IP地址/FQDN信息发送给SeGW1。

在一实施例中，第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述方法包括：步骤S801-S803。

在步骤S801，第二网关向网元注册功能实体发起注册请求。

在步骤S802，第一通信网元在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IPSec隧道的建立。

在步骤S803，在第一网关获取第二网关的IP地址后，根据该第二网关IP地址与所述第二网关建立所述IP安全隧道。

对于该实施例，一个实例的具体处理流程如图11所示，上述各实例描述了RAN和CN之间的IPSec隧道都是由SeGW1接收到CP(Control Plane，控制面)/UP(User Plane，用户面)报文触发建立。这种IPSec隧道建立方式会影响报文交互的时延。本实例描述了在SeGW实例化后(例如实例化新的AMF，或者实例化产生新的网络切片时)，随即启动RAN侧和CN侧之间的IPSec建立过程。所述建立过程可以由网元管理功能触发建立，这种建立方式不会影响报文交互时延。本实例包括：步骤1001-步骤1006。

在RAN(第一通信功能)侧部署SeGW1(第一安全网关功能)。

在步骤1001，SeGW2向NRF注册。

CN侧实例化新的网络切片(本公开实施例中以UPF代表)或者实例化新的公共网元域(本公开实施例中以AMF代表)时(第二通信功能)，实例化新的SeGW2(第二安全网关功能)。SeGW2向NRF发起注册，包含IP地址、安全能力等信息，NRF保存所述信息，并建立UPF/AMF的IP地址和SeGW2信息的关联关系。

在步骤1002，网元管理功能(负责对部署网元的运营、管理、维护，例如EMS(F1ement Management System，网元管理系统)、OMS(Operation Management System，运营管理系统)、MANO(Management ANd Orchestration，管理和编排)等管理网元)向SeGW1下发消息，要求建立和CN侧的IPSec。

在步骤1003，SeGW1发起SeGW2发现请求，向NRF查询CN侧SeGW信息。

在步骤1004，NRF将SeGW2的IP地址/FQDN信息返回给SeGW1。

在步骤1005，SeGW1根据SeGW2的IP地址发起IKE SA和IPSec SA协商，建立IPSec。

在步骤1006，用户注册流程或接入网络切片流程中发生的CP/UP报文在经过RAN和CN之间时使用所述IPSec隧道进行加密。所述注册流程、接入切片流程参考TS 23.502。

本实例是通过NRF保存SeGW的信息，以及所述信息和被保护网元信息的关联关系，供其他网元查询。除此之外，也可以通过DNS机制在DNS(Domain Name System，域名系统)上保存SeGW信息和所述关联关系，供其他网元查询以便选择合适的SeGW。

在本公开实施例中还提供了一种数据保护装置，该装置用于实现上述各实施例或实例。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。以下实施例所描述的装置可以以软件来实现，但是硬件或者软件和硬件的组合的实现也是可能并被构想的。

图12是根据本公开实施例的数据保护装置的结构框图，该数据保护装置包括：申请单元51，应用于第一网元，并设置为申请得到第二网元安全信息；以及隧道建立单元52，应用于第一网元，并设置为根据所述第二网元安全信息与第二网元建立IPSec隧道。

在一实施例中，如图13所示，第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：查询单元53，其设置为向网元注册功能实体发起用于查询所述第二网元安全信息的请求；第一接收单元54，其设置为接收所述网元注册功能实体反馈的所述第二网元安全信息，其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息，并且其中，所述隧道建立单元52还设置为根据所述第二网关安全信息与所述第二网关建立所述IPSec隧道。

在一实施例中，所述第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第二接收单元，其设置为在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求后，接收所述第二通信网元反馈的所述第二网元安全信息；其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息；并且其中，所述隧道建立单元还设置为根据所述第二网关安全信息与所述第二网关建立所述IPSec隧道。

在一实施例中，所述第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第一请求单元，其设置为接收到用户设备附着到网络发起的第一注册请求，向所述网元注册功能实体发起AMF发现请求，寻找为用户设备接入服务的AMF。

在一实施例中，所述装置还包括：第三接收单元，其设置为接收所述第一通信网元转发的第一注册请求，准备建立IPSec隧道；第一解析单元，其设置为向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从第一注册请求中解析得到的AMF IP地址；以及第一信息接收单元，其设置为接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；其中，所述隧道建立单元还设置为根据所述第二网关IP地址与所述第二网关建立所述 IPSec隧道。

在一实施例中，第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第二请求单元，其设置为接收到用户设备附着到网络发起的第一注册请求，向所述网元注册功能实体发起AMF发现请求，寻找为用户设备接入服务的AMF。

在一实施例中，所述装置还包括：第一启动单元，其设置为启动第一网元功能并准备建立IPSec隧道；第二解析单元，其设置为向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址；以及第二信息接收单元，其设置为接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；其中，所述隧道建立单元还设置为根据所述第二网关IP地址与所述第二网关建立所述IPSec隧道。

在一实施例中，第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第一切片生成单元，其设置为编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。所述装置还包括：第三请求单元，其设置为接收到上行数据报文后判断是否准备建立IPSec隧道，在判断要建立IP安全隧道的情况下，向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息；第三信息接收单元，其设置为接收所述网元注册功能实体反馈的与该目的IP地址信息关联的第三网关IP地址；其中，所述隧道建立单元还设置为根据所述第三网关IP地址与所述第三网关建立所述IPSec隧道。

在一实施例中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第二切片生成单元，其设置为编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。所述装置还包括：第四请求单元，其设置为在N4会话建立过程期间，向网元注册功能实体发起网关发现请求，在N4会话建立完成后将第三网关的IP地址返回给认证管理功能AMF；以及第四信息接收单元，其设置为接收所述第三网关的IP地址；其中，所述隧道建立单元还设置为根据第三网关IP地址与所述第三网关建立所述IPSec隧道。

在一实施例中，所述第一网元为部署于第一网络侧(无线接入网)的第一网关，所述第二网元为部署于第二网络侧(核心网)的第二网关，所述装置还包括：第五请求单元，其设置为向所述网元注册功能实体发起第一注册请求；以及第二启动单元，其设置为在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IPSec隧道的建立。

在一实施例中，所述隧道建立单元还设置为在第一网关获取第二网关的IP地址后，根据该第二网关IP地址与所述第二网关建立所述IP安全隧道。

本公开实施例还提供一种数据保护装置，如图14所示，所述数据保护装置410包括：处理器81和用于存储能够在处理器上运行的计算机程序的存储器82。当然，实际应用时，如图14所示，数据保护装置410还可以包括至少一个通信接口83。数据保护装置410中的各个组件通过总线系统84耦合在一起。可理解，总线系统84用于实现这些组件之间的连接通信。总线系统84除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图14中将各种总线都标为总线系统84。通信接口83可以设置为与其它设备进行交互。

可以理解，存储器82可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random Access Memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本公开实施例描述的存储器82旨在包括但不限于这些和任意其它适合类型的存储器。

本公开实施例还提供一种计算机可读存储介质，其设置为存储上述实施例中提供的计算程序，当所述程序被执行时，使得实现前述各方法。所述计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器；也可以是包括上述存储器之一或任意组合的各种设备。

需要说明的是，在不冲突的情况下，本公开实施例所记载的各时实施例、实例和技术方案可以任意组合。

尽管以上已经公开了各种示例性实施例，但本领域的技术人员将意识到各种改进、修改和替换也是可能的。因此，本公开的范围应当不限于上述实施例，并且所述各种改进、修改和替换也应当落入本公开的保护范围之内。

Claims

一种数据保护方法，包括：

第一网元申请得到第二网元安全信息；以及

第一网元根据所述第二网元安全信息与第二网元建立互联网协议IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

所述第一网关向网元注册功能实体发起用于查询所述第二网元安全信息的请求；以及

所述第一网关接收所述网元注册功能实体反馈的所述第二网元安全信息；

其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息，

并且其中，所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道的步骤包括：所述第一网关根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求，且所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息之后，第一通信网元接收所述第二通信网元反馈的所述第二网元安全信息；

其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址，

并且其中，所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道的步骤包括：所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

第一通信网元接收到用户设备附着到网络发起的第一注册请求，向网元注册功能实体发起认证管理功能AMF发现请求，寻找为用户设备接入服务的AMF。
根据权利要求4所述的方法，其中，所述方法还包括：

所述第一网关接收所述第一通信网元转发的所述第一注册请求，准备建立IP安全隧道；

所述第一网关向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址；以及

所述第一网关接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；

其中，所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道的步骤包括：所述第一网关根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

第一通信网元接收到用户设备附着到网络发起的第一注册请求，向所述网元注册功能实体发起认证管理功能AMF发现请求，寻找为用户设备接入服务的AMF。
根据权利要求6所述的方法，其中，所述方法还包括：

所述第一通信网元启动第一网元功能并准备建立IP安全隧道；

所述第一通信网元向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址；以及

所述第一通信网元接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；

其中，所述第一网元根据所述第二网元安全信息与第二网元建立IP安全隧道的步骤包括：所述第一通信网元根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。
根据权利要求8所述的方法，其中，所述方法还包括：

所述第一网关接收到上行数据报文后判断是否建立IP安全隧道，在判断要建立IP安全隧道的情况下，向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息；

所述第一网关接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址；以及

所述第一网关根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。
根据权利要求10所述的方法，其中，所述方法还包括：

在N4会话建立过程期间，向网元注册功能实体发起网关发现请求，在N4会话建立完成后将第三网关的IP地址返回给认证管理功能AMF：

第一通信网元接收所述第三网关的IP地址；以及

所述第一通信网元根据第三网关IP地址与所述第三网关建立所述IP安全隧道。
根据权利要求1所述的方法，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述方法还包括：

所述第二网关向所述网元注册功能实体发起注册请求；以及

第一通信网元在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
根据权利要求12所述的方法，其中，所述方法还包括：

在所述第一网关获取所述第二网关的IP地址后，根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
一种数据保护装置，包括：

申请单元，应用于第一网元，并设置为申请得到第二网元安全信息；以及

隧道建立单元，应用于所述第一网元，并设置为根据所述第二网元安全信息与第二网元建立互联网协议IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

查询单元，其设置为向网元注册功能实体发起用于查询所述第二网元安全信息的请求；以及

第一接收单元，其设置为接收所述网元注册功能实体反馈的所述第二网元安全信息；

其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关安全信息；

并且其中，所述隧道建立单元还设置为根据所述第二网关安全信息与所述第二网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第二接收单元，其设置为在第二通信网元向所述网元注册功能实体发起用于查询所述第二网元安全信息的请求，且所述第二通信网元接收到所述网元注册功能实体反馈的所述第二网元安全信息后，接收所述第二通信网元反馈的所述第二网元安全信息；

其中，所述第二网元安全信息为由所述第二网关向所述网元注册功能实体发起注册请求后存储于所述网元注册功能实体的第二网关IP地址；

并且其中，所述隧道建立单元还设置为根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第一请求单元，其设置为接收到用户设备附着到网络发起的第一注册请求，向所述网元注册功能实体发起认证管理功能AMF发现请求，寻找为用户设备接入服务的AMF。
根据权利要求17所述的装置，其中，所述装置还包括：

第三接收单元，其设置为接收所述第一通信网元转发的所述第一注册请求，准备建立IP安全隧道；

第一解析单元，其设置为向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址；以及

第一信息接收单元，其设置为接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；

其中，所述隧道建立单元还设置为根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第二请求单元，其设置为接收到用户设备附着到网络发起的第一注册请求，向所述网元注册功能实体发起认证管理功能AMF发现请求，寻找为用户设备接入服务的AMF。
根据权利要求19所述的装置，其中，所述装置还包括：

第一启动单元，其设置为启动第一网元功能并准备建立IP安全隧道；

第二解析单元，其设置为向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述第一注册请求中解析得到的AMF IP地址；以及

第二信息接收单元，其设置为接收所述网元注册功能实体反馈的与所述AMF IP地址关联的第二网关IP地址；

其中，所述隧道建立单元还设置为根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第一切片生成单元，其设置为编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。
根据权利要求21所述的装置，其中，所述装置还包括：

第三请求单元，其设置为接收到上行数据报文后判断是否建立IP安全隧道，在判断要建立IP安全隧道的情况下，向所述网元注册功能实体发起网关发现请求，所述网关发现请求中包含从所述上行数据报文中解析得到的目的IP地址信息；以及

第三信息接收单元，其设置为接收所述网元注册功能实体反馈的与所述目的IP地址信息关联的第三网关IP地址；

其中，所述隧道建立单元还设置为根据所述第三网关IP地址与所述第三网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元集成于第一通信网元内，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第二切片生成单元，其设置为编排产生网络切片，实例化新的网元得到第三网关，所述第三网关部署于所述网络切片内。
根据权利要求23所述的装置，其中，所述装置还包括：

第四请求单元，其设置为在N4会话建立过程期间，向网元注册功能实体发起网关发现请求，在N4会话建立完成后将第三网关的IP地址返回给认证管理功能AMF；以及

第四信息接收单元，其设置为接收所述第三网关的IP地址；

其中，所述隧道建立单元还设置为根据第三网关IP地址与所述第三网关建立所述IP安全隧道。
根据权利要求14所述的装置，其中，所述第一网元为部署于第一网络侧的第一网关，所述第二网元为部署于第二网络侧的第二网关，所述装置还包括：

第五请求单元，其设置为向所述网元注册功能实体发起第一注册请求；以及

第二启动单元，其设置为在所述第二网关注册到所述网元注册功能实体后由网元管理功能实体触发IP安全隧道的建立。
根据权利要求25所述的装置，其中，所述隧道建立单元还设置为在所述第一网关获取所述第二网关的IP地址后，根据所述第二网关IP地址与所述第二网关建立所述IP安全隧道。
一种数据保护装置，包括：

存储有计算机程序的存储器；以及

处理器，其配置为执行所述计算机程序以实现权利要求1至13中任一项所述的方法。
一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时使得实现权利要求1至13中任一项所述的方法。