一种通信方法、安全节点网元和终端与流程
本发明实施例涉及通信领域,尤其涉及一种通信方法、安全节点网元和终端。
背景技术:
目前的通信网络中,安全节点网元在接收到终端发送的上行数据包时,需要识别上行数据包中是否携带控制面信令。若上行数据包中携带了控制信令,则安全节点网元将该控制面信令发送给控制面功能(controlplanefunction,cpfunction)实体;若上行数据包中未携带控制信令,则安全节点网元将该上行数据包中的用户面数据发送给用户面功能(userplanefunction,upfunction)实体。
现有方案可以通过将数据包的目的因特网协议(internetprotocol,ip)地址设置为特定目的ip地址的方式来识别出携带控制信令的数据包。然而,这种方式存在安全问题,例如,在实践中,没有携带控制信令的数据包的目的ip地址有可能被终端上的恶意应用设置为特定目的ip地址,这将导致该数据包中携带的用户面数据被当做控制信令发送给cpfunction实体,从而导致错误。
技术实现要素:
本发明实施例提供了通信方法、安全节点网元和终端,以期解决现有方案中控制信令在安全节点网元与终端之间传输存在的安全问题。
第一方面,提供了一种通信方法,包括:安全节点网元从终端接收第一数据包,所述第一数据包携带第一用户面数据或第一控制信令,其中,所述第一数据包通过第一安全连接或第二安全连接进行传输,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包;若所述第一数据包通过所述第二安全连接进行传输,则所述安全节点网元向控制面功能实体发送所述第一控制信令;或者,若所述第一数据包通过所述第一安全连接进行传输,则所述安全节点网元向用户面功能实体发送所述第一用户面数据。
安全节点和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样安全节点就不需要通过数据包中的恶意应用可修改的目标ip来识别数据包携带控制信令或用户面数据,而是通过非应用层或网络层或传输层的安全连接标识来识别不同的安全连接发送的数据包,通过确定不同安全连接的发送的数据包来识别数据包中携带控制信令或用户面数据,因此可以避免恶意应用的修改,因此提高了用户面数据或控制信令传输的安全性。
应理解,在本发明实施方式中,第一安全连接和第二安全连接中的“第一”和“第二”仅仅是为了区分不同的对象,当然也可以使用第二安全连接传输携带第一用户面数据的第一数据包,和/或使用第一安全连接传输携带第一控制信令的第一数据包,对此本发明不做限定。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:所述安全节点网元通过所述第二安全连接向所述终端发送第二数据包,所述第二数据包携带第二控制信令;或者,所述安全节点网元通过所述第一安全连接向所述终端发送第二数据包,所述第二数据包携带第二用户面数据。
安全节点网元在向终端发送下行数据包,安全节点网元可以通过不同的安全连接发送携带不同内容的下行数据包,携带控制信令的下行数据包和携带用户面数据的下行数据包分别通过不同的安全连接进行传输,因此终端在收到安全节点网元发送的下行数据包后,可以通过确定该下行数据包传输的安全连接是第一安全连接还是第二安全连接来识别该下行数据包中的内容,避免终端中恶意应用的修改,提高了下行传输的安全性。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:所述安全节点网元从所述控制面功能实体接收所述第二控制信令;或者,所述安全节点网元从所述用户面功能实体接收所述第二用户面数据。
应理解,在本发明实施方式中,第一安全连接和第二安全连接中的“第一”和“第二”仅仅是为了区分不同的对象,当然也可以使用第二安全连接传输携带用户面数据的第二数据包,和/或使用第一安全连接传输携带控制信令的第二数据包,对此本发明不做限定
结合第一方面,在第一方面的某些实现方式中,当所述第二数据包携带所述第二控制信令时,所述第二数据包还携带所述第二安全连接的标识;或者,当所述第二数据包携带所述第二用户面数据时,所述第二数据包还携带所述第一安全连接的标识。
结合第一方面,在第一方面的某些实现方式中,所述安全节点网元从终端接收第一数据包后,所述方法还包括:所述安全节点网元确定所述第一数据包通过所述第二安全连接或所述第一安全连接进行传输。
结合第一方面,在第一方面的某些实现方式中,所述第一数据包还携带所述第二安全连接的标识或所述第一安全连接的标识,所述安全节点网元确定所述第一数据包通过所述第二安全连接或所述第一安全连接进行传输,包括:当所述第一数据包还携带所述第二安全连接的标识时,所述安全节点网元确定所述第一数据包通过所述第二安全连接进行传输;或者,当所述第一数据包还携带所述第一安全连接的标识时,所述安全节点网元确定所述第一数据包通过所述第一安全连接进行传输。
结合第一方面,在第一方面的某些实现方式中,所述第一安全连接可以为第一因特网协议安全性ipsec隧道,所述第二安全连接可以为第二ipsec隧道。
结合第一方面,在第一方面的某些实现方式中,所述第二安全连接的标识可以为第二安全参数索引spi值,所述第一安全连接的标识可以为第一spi值。
第二方面,提供了一种通信方法,该方法包括:终端生成第一数据包,所述第一数据包携带第一用户面数据或第一控制信令;所述终端向所述安全节点网元发送所述第一数据包,所述第一数据包通过第一安全连接或第二安全连接进行传输,其中,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包。
在第二方面中,与第一方面相对应的一些实施方式可以参照第一方面的描述,此处不作赘述。
第三方面,提供了另一种通信方法,该方法包括:安全节点网元从控制面功能实体接收第二控制信令,或者,安全节点网元从用户面功能实体接收第二用户面数据;所述安全节点网元向终端发送第二数据包,所述第二数据包携带第二控制信令或第二用户面数据,其中,当第二数据包携带第二控制信令时,第二数据包通过第二安全连接进行传输,当第二数据包携带第二用户面数据时,第二数据包通过第一安全连接进行传输;若第二数据包通过第二安全连接进行传输,终端通过控制面协议栈处理第二控制信令,或者,若第二数据包通过第一安全连接进行传输,终端能通过用户面协议栈处理第二用户面数据。
结合第三方面,在第三方面的某些实现方式中,所述终端从所述安全节点网元接收第二数据包后,该方法还包括:所述终端确定所述第二数据包通过所述第一安全连接或所述第二安全连接进行传输。
结合第三方面,在第三方面的某些实现方式中,所述第二数据包还携带所述第二安全连接的标识或所述第一安全连接的标识,所述终端确定所述第二数据包通过所述第二安全连接或所述第一安全连接进行传输,包括:当所述第二数据包还携带所述第二安全连接的标识时,所述终端确定所述第二数据包通过所述第二安全连接进行传输;或者,当所述第二数据包还携带所述第一安全连接的标识时,所述终端确定所述第二数据包通过所述第一安全连接进行传输。
结合第三方面,在第三方面的某些实现方式中,所述第一安全连接可以为第一因特网协议安全性ipsec隧道,所述第二安全连接可以为第二ipsec隧道。
结合第三方面,在第三方面的某些实现方式中,所述第二安全连接的标识可以为第二安全参数索引spi值,所述第一安全连接的标识可以为第一spi值。
第四方面,提供了一种安全节点网元,该安全节点网元包括:第一接收模块,用于从终端接收第一数据包,所述第一数据包携带第一用户面数据或第一控制信令,其中,所述第一数据包通过第一安全连接或第二安全连接进行传输,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包;第一发送模块,用于若所述第一数据包通过所述第二安全连接进行传输,则所述安全节点网元向控制面功能实体发送所述第一控制信令;或者,所述第一发送模块用于若所述第一数据包通过所述第一安全连接进行传输,则所述安全节点网元向用户面功能实体发送所述第一用户面数据。
结合第四方面,在第四方面的某些实现方式中,该安全节点网元中的各个模块还可以执行上述第一方面、第二方面或第三方面所涉及的安全节点网元所执行的对应动作。
第五方面,提供了一种终端,该终端包括:生成模块,用于生成第一数据包,所述第一数据包携带第一用户面数据或第一控制信令;发送模块,用于向所述安全节点网元发送所述第一数据包,所述第一数据包通过第一安全连接或第二安全连接进行传输,其中,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包。
结合第五方面,在第五方面的某些实现方式中,该终端中的各个模块还可以执行上述第一方面、第二方面或第三方面所涉及的安全节点网元所执行的对应动作。
第六方面,提供了另一种安全节点网元,该安全节点网元包括:接收模块,用于从控制面功能实体接收第二控制信令,或者用于从用户面功能实体接收第二用户面数据;发送模块,用于通过第二安全连接向终端发送第二数据包,所述第二数据包携带第二控制信令,或者用于通过第一安全连接向终端发送第二数据包,所述数据包携带第二用户面数据。
结合第六方面,在第六方面的某些实现方式中,该安全节点网元中的各个模块还可以执行上述第三方面所涉及的安全节点网元所执行的对应动作。
第七方面,提供了一种终端,该终端包括:接收模块,用于从安全节点网元接收第二数据包,该数据包携带第二控制信令或第二用户面数据,其中,当所述第二数据包携带所述控制信令时,所述第二数据包通过所述第二安全连接进行传输,当所述第二数据包携带所述第二用户面数据时,所述第二数据包通过所述第一安全连接进行传输;处理模块,用于若所述第二数据包通过所述第二安全连接进行传输,所述处理模块通过控制面协议栈处理所述第二控制信令,或者,若所述第二数据包通过所述第一安全连接进行传输,所述处理模块通过用户面协议栈处理所述第二用户面数据。
结合第七方面,在第七方面的某些实现方式中,该终端中的各个模块还可以执行上述第三方面所涉及的安全节点网元所执行的对应动作。
第八方面,提供了又一种安全节点网元,该安全节点网元包括:处理器,存储器,收发器,其中,所述收发器,用于从终端接收第一数据包,所述第一数据包携带第一用户面数据或第一控制信令,其中,所述第一数据包通过第一安全连接或第二安全连接进行传输,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包;所述收发器还用于若所述第一数据包通过所述第二安全连接进行传输,则所述安全节点网元向控制面功能实体发送所述第一控制信令;或者,所述收发器用于若所述第一数据包通过所述第一安全连接进行传输,则所述安全节点网元向用户面功能实体发送所述第一用户面数据。
第九方面,提供了又一种终端,该终端包括:处理器1101,存储器1102,收发器1103,其中,所述处理器1101,用于生成第一数据包,所述第一数据包携带第一用户面数据或第一控制信令;所述收发器1103,用于向所述安全节点网元发送所述第一数据包,所述第一数据包通过第一安全连接或第二安全连接进行传输,其中,所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包。
第十方面,提供了又一种安全节点网元,该安全节点网元包括:该安全节点网元包括:处理器,存储器,收发器,其中,所述收发器用于从控制面功能实体接收第二控制信令,或者用于从用户面功能实体接收第二用户面数据;所述收发器还用于通过第二安全连接向终端发送第二数据包,所述第二数据包携带第二控制信令,或者用于通过第一安全连接向终端发送第二数据包,所述第二数据包携带第二用户面数据。
第十一方面,提供了又一种终端,该终端包括:处理器,存储器,收发器,其中,所述收发器用于从安全节点网元接收第二数据包,该第二数据包携带第二控制信令或第二用户面数据,其中,当所述第二数据包携带所述第二控制信令时,所述第二数据包通过所述第二安全连接进行传输,当所述第二数据包携带所述第二用户面数据时,所述第二数据包通过所述第一安全连接进行传输;所述处理器用于若所述第二数据包通过所述第二安全连接进行传输,所述处理器通过控制面协议栈处理所述第二控制信令,或者,若所述第二数据包通过所述第一安全连接进行传输,所述处理器通过用户面协议栈处理所述第二用户面数据。
第十二方面,提供了一种计算机存储介质,用于储存为上述安全节点网元所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
第十三方面,提供了一种计算机存储介质,用于储存为上述终端所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
第十四方面,提供了一种通信的系统,包括如第四方面所述的安全节点网元和第五方面所述的终端。
第十五方面,提供了一种通信的系统,包括如第六方面所述的安全节点网元和第七方面所述的终端。
第十六方面,提供了一种通信的系统,包括如第八方面所述的安全节点网元和第九方面所述的终端。
第十七方面,提供了一种通信的系统,包括如第十方面所述的安全节点网元和第十一方面所述的终端。
相较于现有技术,本发明实施例的方案中,安全节点和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样安全节点就不需要通过数据包中的恶意应用可修改的目标ip来识别数据包携带控制信令或用户面数据,而是通过非应用层或网络层或传输层的安全连接标识来识别不同的安全连接发送的数据包,通过确定不同安全连接的发送的数据包来识别数据包中携带控制信令或用户面数据,因此可以避免恶意应用的修改,因此提高了用户面数据或控制信令传输的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获取其它的附图。
图1a是本发明实施例提供的一种可能的应用场景的示意图;
图1b是本发明实施例提供的一种可能的网络架构的示意图;
图2是通过ipsec隧道传输的用户面数据包的格式的示意图;
图3是本发明实施例提供的一种通信方法的通信示意图;
图4是本发明实施例提供的携带控制信令的数据包的格式示意图;
图5是本发明实施例提供的携带用户面数据的数据包的格式示意图;
图6是本发明实施例提供的建立第一ipsec隧道和第二ipsec隧道的通信示意图;
图7是本发明实施例提供的另一种通信方法的通信示意图;
图8是本发明实施例提供的一种安全节点网元的示意性框图;
图9是本发明实施例提供的一种终端的示意性框图;
图10是本发明实施例提供的另一种安全节点网元的示意性框图;
图11是本发明实施例提供的另一种的终端的示意性框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
下面首先结合图1a和图1b对本发明实施例适用的一些可能的应用场景及网络架构进行介绍。
图1a示出了本发明实施例可能适用的一种应用场景。如图1a所示,终端通过无线接入网(radioaccessnetwork,ran)及核心网(corenetwork,cn)接入运营商互联网协议(internetprotocol,ip)业务网络,例如多媒体子系统(ipmultimediasystem,ims)网络、包交换流业务(packetswitchedstreamingservice,简pss)网络等。本发明实施例描述的技术方案可以适用于长期演进(longtermevolution,lte)系统,或其他采用各种无线接入技术的无线通信系统,例如采用码分多址(codedivisionmultipleaccess,cdma)、频分多址(frequencydivisionmultipleaccess,fdma)、时分多址(timedivisionmultipleaccess,tdma)、正交频分多址(orthogonalfrequencydivisionmultipleaccess,ofdma)、单载波频分多址(singlecarrierfrequencydivisionmultipleaccess,sc-fdma)等接入技术的系统。此外,还可以适用于lte系统后续的演进系统,如第五代(5thgeneration,5g)系统等。为清楚起见,这里仅以lte系统为例进行说明。在lte系统中,演进的通用陆地无线接入网(evolveduniversalterrestrialradioaccessnetwork,e-utran)作为无线接入网,演进分组核心网(evolvedpacketcore,epc)作为核心网。终端通过e-utran及epc接入ims网络。需要说明的是,当本发明实施例的方案应用于5g系统或未来可能出现的其他系统时,终端或网络设备的名称可能发生变化,但这并不影响本发明实施例方案的实施。
基于上述应用场景,图1b示出了本发明实施例提供的一种可能的网络架构。如图1b所示,该网络架构至少包括:终端、接入网络、安全节点网元、控制面功能实体和用户面功能实体。终端通过接入网络接入到安全节点网元,而安全节点网元同时连接控制面功能实体和用户面功能实体。终端和安全节点网元之间通过安全连接(securityconnection)传输上下行数据包,该安全连接可以是因特网协议安全(internetprotocolsecurity,ipsec)隧道,也可以是其他安全连接方式。为描述方面,上述控制面功能实体也可以描述为cpfunciton,上述用户面功能实体也可以描述为upfunction。
应理解,本发明的技术方案不仅仅限于图1b所示的网络架构中,对于所有通过用户面安全连接传输控制面信令的网络架构均适用于本发明,例如,lte网络、家庭基站网络、无线保真(wireless-fidelity,wifi)接入的移动网络、全球移动通讯系统(globalsystemformobilecommunication,gsm)网络、宽带码分多址(widebandcodedivisionmultipleaccess,wcdma)网络、5g网络或未来可能出现的其他网络等。
本发明实施例中,名词“网络”和“系统”经常交替使用,但本领域技术人员可以理解其含义。
本发明实施例所涉及到的终端可以包括各种具有无限通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其他处理设备,以及各种形式的用户设备(userequipment,ue),移动台(mobilestation,ms),终端设备(terminaldevice)等等。为方便描述,上面提到的设备统称为终端。
本发明实施例所涉及到的安全节点网元可以是非第三代合作伙伴计划(3rdgenerationpartnershipproject,3gpp)移动网络的核心网网元(例如核心网网关(non-3gppcorenetworkgateway,n3cngw))、非3gpp接入层功能(non-3gppaccessstratumfunction,n3asf)实体或接入网关(accessgateway,agw);也可以是lte系统中的核心网网元或云无线接入网(cloudradioaccessnetwork,cran)中的无线控制器;还可以是中继站、接入点、车载设备或可穿戴设备;还可以是5g网络中的网络设备或未来演进的公共陆地移动网络(publiclandmobilenetwork,plmn)中的网络设备等,对此本发明实施例不作限定。
可以理解的是,在本发明实施方式中,编号“第一”、“第二”仅仅为了区分不同的对象,例如,为了区分不同安全连接等,不应对本发明实施例的保护范围构成任何限定。
下面将基于上面所述的本发明实施例涉及的共性方面,对本发明实施例进一步详细说明。
在图1b所示的网络架构中,控制信令的在终端与安全节点网元之间进行传输时,需要通过二者之间的用户面安全连接来进行传输。例如,安全节点网元在接收到终端发送的上行数据包时,需要识别该上行数据包是否携带控制信令。若该上行数据包携带了控制信令,则安全节点网元提取出该控制信令并发送给cpfunciton;若该上行数据包携带用户面数据,则安全节点网元将该上行数据包中的用户面数据发送给upfunction。对于下行数据包而言,终端在接收到下行数据后识别该下行数据包是否携带控制面信令,如果携带了控制面信令,则提取控制面信令交由控制面协议栈处理,如果携带用户面数据,则提取出用户面数据交给用户面协议栈处理。
现有方案可以通过将数据包中的目的ip地址设置为特定目的ip地址的方式来识别携带控制信令的数据包。图2示出了ipsec传输安全连接数据的数据包格式。以该数据包格式为例,在上行传输过程中,安全节点网元通过识别该数据包中是否包括特定目地的ip地址来判断该数据包是否携带控制信令,其中,该特定目的ip地址可以是预先配置好的。当安全节点网元识别出该数据包中包括该特定目标的ip地址时,安全节点网元可以确定该数据包携带了控制面信令。然而,这种方式存在安全问题。例如,在实践中,没有携带控制信令的数据包的目的ip地址有可能被终端上的恶意应用设置为特定目的ip地址,这将导致该数据包中携带的用户面数据被当做控制信令发送给cpfunction,从而导致错误。
有鉴于此,本发明实施例提供一种通信方法,和基于该方法的安全节点网元、终端和系统。该方法包括:终端生成第一数据包,第一数据包携带第一用户面数据或第一控制信令;终端向安全节点网元发送第一数据包,第一数据包通过第一安全连接或第二安全连接进行传输,其中,第一安全连接用于传输携带第一用户面数据的第一数据包,第二安全连接用于传输携带第一控制信令的第一数据包;安全节点网元接收第一数据包后,若第一数据包通过第一安全连接进行传输,则安全节点网元向控制面功能实体发送第一控制信令;若第一数据包通过第二安全连接进行传输,则安全节点网元向用户面共嫩实体发送第一用户面数据。
下面结合附图3,对本发明实施例提供的方案进行说明。
图3示出了本发明实施例提供的一种通信方法,其中,图3所示的方法可以包括s310部分-s330部分,或者,图3所示的方法可以包括s310部分、s320部分和s330部分。
s310,终端生成第一数据包,第一数据包携带第一用户面数据或第一控制信令。
可选地,在一些实施方式中,该第一数据包可以为ipsec用户面数据包格式的数据包,该数据包中携带第一用户面数据或第一控制信令。
应理解,在本发明实施方式中,当终端需要向控制面功能实体发送第一控制信令时,该终端可以生成携带第一控制信令的第一数据包;当终端需要向用户面功能实体发送用第一户面数据时,该终端可以生成携带第一用户面数据的第一数据包。
s320,所述终端向所述安全节点网元发送所述第一数据包,所述第一数据包通过第一安全连接或第二安全连接进行传输,其中,所述第二安全连接用于传输携带所述第一用户面数据的所述第一数据包,所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包。
具体地,在本发明实施方式中,当该第一数据包携带第一控制信令时,该终端可以通过第二安全连接向安全节点网元发送该第一数据包;当该第一数据包携带第一用户面数据时,该终端可以通过一安全连接向安全节点网元发送该第一数据包。
可选地,在一些实施方式中,第一安全连接和第二安全连接可以为不同的安全连接形式。例如,第一安全连接和第二安全连接可以为ipsec隧道。具体地,第一安全连接可以为第一ipsec隧道,第二安全连接可以为第二ipsec隧道。又例如,该第一安全连接和第二安全连接还可以为lte隧道。具体地,第一安全连接可以为第一lte隧道,第二安全连接可以为第二lte隧道。又例如,第一安全连接和第二安全连接可以为不同的安全连接,例如,第一安全连接可以为ipsec隧道,第二安全连接可以为lte隧道。
可选地,在一些实施方式中,若所述第一数据包携带所述第一控制信令,所述第一数据包还可以携带所述第二安全连接的标识;或者,若所述第一数据包携带所述第一用户面数据,所述第一数据包还可以携带所述第一安全连接的标识。
可选地,在一些实施方式中,第二安全连接的标识可以是第二安全参数索引(securityparameterindex,spi)值,第一安全连接的标识可以是第一spi值。
安全节点网元和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样安全节点就不需要通过数据包中添加的恶意应用可修改的特定目的ip地址来识别携带控制信令或用户面数据的数据包,而是通过非应用层的安全连接标识来识别不同的安全连接发送的数据包,从而根据不同安全连接发送的数据包来识别携带控制信令或用户面数据的数据包,因此提高了用户面数据或控制信令传输的安全性。
应理解,在本发明实施方式中,终端生成第一数据包,该第一数据包通过第一安全连接或第二安全连接发送给安全节点网元,该第一数据包可以为与该第一安全连接或者第二安全连接类型相对应的数据包。例如,当第一安全连接为第一ipsec或第二安全连接为第二ipsec隧道时,终端生成的第一数据包为ipsec用户面数据包格式,当第一安全连接或第二安全连接为lte隧道时,终端生成的第一数据包为与lte隧道相对应的用户面数据包格式。
可选地,在一些实施方式中,终端还可以从安全节点网元接收第二数据包,第二数据包携带第二控制信令或第二用户面数据,其中,当第二数据包携带第二控制信令时,第二数据包通过第二安全连接进行传输,当第二数据包携带所述第二用户面数据时,第二数据包通过第一安全连接进行传输;若第二数据包通过第二安全连接进行传输,终端通过控制面协议栈处理第二控制信令;或者,若第二数据包通过第一安全连接进行传输,终端通过用户面协议栈处理第二用户面数据。
可选地,在一些实施方式中,当上述第二数据包携带第二控制信令时,该第二数据包还可以携带第二安全连接的标识;当上述第二数据包携带第二用户面数据时,该第二数据包还可以携带第一安全连接的标识。
可选的,在一些实施方式中,终端从安全节点网元接收第二数据包后,还可以先确定第二数据包通过第二安全连接或第一安全连接进行传输。例如,当第二数据包还携带第二安全连接的标识时,终端可以确定第二数据包通过第二安全连接进行传输;或者,当第二数据包还携带第一安全连接的标识时,终端可以确定第二数据包通过第一安全连接进行传输。
在上述实施方式中,安全节点网元可以通过第二安全连接向终端发送携带第二控制信令的第二数据包;或者,安全节点网元可以通过第一安全连接向终端发送携带第二用户面数据的第二数据包。
可选的,在一些实施例中,安全节点网元在向终端发送第二数据包之前,还可以先从控制面功能实体接收第二控制信令;或者,安全节点网元还可以先从用户面功能实体接收第二用户面数据。
可选地,在一些实施方式中,安全节点网元从终端接收第一数据包后,该安全节点网元还可以确定该第一数据包通过第二安全连接或第一安全连接进行传输。例如,当第一数据包还携带第二安全连接的标识时,安全节点网元可以确定第一数据包通过第二安全连接进行传输;或者,当第一数据包还携带第一安全连接的标识时,安全节点网元可以确定所述第一数据包通过所述第一安全连接进行传输。
需要说明的是,下面的s330部分、s340部分为可选的部分,在执行完s320部分之后,执行s330部分或s340部分。具体的,若第一数据包通过第二安全连接进行传输,执行s330部分;若第一数据包通过第一安全连接进行传输,执行s340部分。
s330,若第一数据包通过第二安全连接进行传输,则安全节点网元向控制面功能实体发送第一控制信令。
具体地,该安全节点网元可以提取出该第一数据包中携带的第一控制信令,并将该第一控制信令发送给控制面功能实体。
s340,若第一数据包通过第一安全连接进行传输,则安全节点网元向用户面功能实体发送第一用户面数据。
具体地,该安全节点网元可以提取出该第一数据包中的第一用户面数据,并将该第一用户面数据发送给用户面功能实体。
本发明实施例中,当第一数据包携带第一控制信令时,第一数据包通过第一安全连接进行传输,当第一数据包携带第一用户面数据时,第一数据包通过第二安全连接进行传输,从而安全节点网元可以根据传输第一数据包所使用的安全连接确定第一数据包中携带了第一控制信令或第一用户面数据;若第一数据包通过第二安全连接进行传输,则安全节点网元可以确定第一数据包携带第一控制信令,并将该第一控制信令发送给控制面功能实体;若第一数据包通过第一安全连接进行传输,则安全节点网元可以确定第一数据包携带第一用户面数据,并将该第一用户面数据发送给用户面功能实体。可见,本发明实施例中,控制信令和用户面数据通过不同的安全连接进行传输,从而使得安全节点网元识别数据包是否携带控制信令,相比在数据包中设置特定目的ip地址的方式,本发明实施例的方案提高了用户面数据或控制信令传输的安全性。
下面基于图3所示的方法,以第一安全连接为第一ipsec隧道,第二安全连接为第二ipsec隧道为例,结合图4和图5说明本发明实施例中第一数据包的格式。
图4是携带第一控制信令的第一数据包的格式的示意图,该第一数据包可以为ipsec用户面数据包格式。
当终端有第一控制信令需要向控制面功能实体发送时,该终端生成第一数据包,该第一数据包包括第二ipsec隧道的安全连接参数索引spi,例如第二spi,安全节点网元接收到该第一数据包后,可以通过该第一数据包中的第二spi可以识别该第一数据包是终端通过第二ipsec隧道发送的,从而确定该第一数据包中携带第一控制信令,并从该第一数据包中提取出该第一控制信令。
图5是携带第一用户面数据的第一数据包的格式的示意图,该第一数据包可以为ipsec用户面数据包格式。
当终端有第一用户面数据需要向用户面功能实体发送时,该终端生成第一数据包,该第一数据包包括第一ipsec隧道的spi,例如第一spi,安全节点网元接收到该第一数据包后,通过第一数据包中的第一spi可以识别该数据包是通过第一ipsec隧道发送的,从而确定该第一数据包中携带第一用户面数据,并从该第一数据包中提取出该第一用户面数据。
安全节点网元可以根据第一数据包携带的安全参数索引spi值来识别通过不同ipsec隧道发送的第一数据包,从而确定第一数据包中携带的是第一控制信令还是第一用户面数据,该spi值是非应用层的安全标识,可以避免恶意应用修改,因此提高了传输的安全性。
可选地,在一些实施方式中,在执行图3所示的方法之前,本发明实施例的方法还可以包括:建立第一安全连接和第二安全连接。
具体地,在上述实施方式中,第一安全连接可以为第一ipsec隧道,第二安全连接可以为第二ipsec隧道。第一ipsec隧道可以在终端附着过程中建立,第二ipsec隧道可以在第一ipsec隧道建立完成之后,利用第一ipsec建立过程中协商的秘钥和算法,继续建立第二ipsec隧道。
下面将以第一安全连接为第一ipsec隧道,第二安全连接为第二ipsec隧道,安全节点网元为n3cngw为例,结合图6说明本发明实施例中建立第一ipsec隧道和第二ipsec隧道的过程,应理解,在本发明实施方式中,第一安全连接和第二安全连接还可以是其他形式的隧道或其他形式的安全连接,对此本发明实施例不做限定,本领域技术人员可以在不付出创造性劳动的前提下建立其他形式安全连接。
图6是本发明实施例中在终端和n3cngw之间建立第一ipsec隧道和第二ipsec隧道的流程示意图。
在s1中,终端与非3gpp接入网之间建立因特网协议(internetprotocol,ip)连接。
在s2中,终端选取非3gpp核心网网元n3cngw。
在s3中,终端与在步骤s2中选取的n3cngw之间进行因特网秘钥交换安全连接初始化。
在该步骤s3中,终端与n3cngw通过信令交互,获得安全连接的安全参数索引。
在s4中,终端向n3cngw发送鉴权请求,该鉴权请求包括该终端的标识。
在s5中,n3cngw向终端发送鉴权回应,该鉴权回应包括该n3cngw的标识。
在s6中,终端再次向n3cngw发送鉴权请求,该鉴权请求包括eap-rsp信令,该eap-rsp包含应答消息,用于eap鉴权过程中验证终端是否合法。
在s7中,n3cngw向控制面功能实体发送可扩展鉴权协议回应,该可鉴权协议回应包括eap-rsp信令。
在s8中,控制面功能实体向n3cngw发送可扩展鉴权协议请求,该可扩展鉴权协议请求包括eap-rsq,eap-rsq是eap鉴权过程中的信令。
在s9中,n3cngw向终端发送鉴权回应,该鉴权回应包括n3cngw的标识和eap-rsq,eap-rsp是eap鉴权过程中的信令。
在s10中,终端向n3cngw发送鉴权请求。
在s11中,n3cngw向控制面功能实体发送可扩展鉴权协议回应。
在s12中,控制面功能实体向n3cngw发送可扩展鉴权成功信令。
在s13中,控制面功能实体与n3cngw之间通过信令交互获取安全上下文信息。
在s14中,n3cngw向终端发送鉴权回应,该回应信息包括第一ipsec隧道建立成功消息。
在s15中,终端向n3cngw发送建立子安全连接请求,该请求中包括第二ipsec隧道的spi值。
在s16中,n3cngw向终端发送建立子安全连接回应,该回应中包括第二ipsec隧道的spi值。
在经过上述步骤后,终端与n3cngw之间建立了第一ipsec隧道和第二ipsec隧道,应理解,在本发明实施方式中,第二ipsec隧道是在第一ipsec隧道的基础上建立的,也就是说,第二ipsec隧道的建立可以利用第一ipsec隧道建立过程中协商的秘钥和算法。当然,本领域技术人员在不付出创造性劳动的前提下可以很容易想到第二ipsec隧道的建立可以与第一ipsec隧道的建立过程相同,也就是说,可以分别建立两个完全不同的ipsec隧道。
还应理解,在本发明实施方式中,第二ipsec隧道可以在第一ipsec隧道的基础上建立,在此情况下,终端与安全节点网元在传输数据包时,也可以通过第一ipsec隧道传输携带控制信令的数据包,和\或通过第二ipsec隧道传输携带用户面数据的数据包,对此本发明不做限定。
还应理解,在本发明实施方式中,第一ipsec隧道和第二ipsec隧道可以各自独立建立,在此情况下,编号“第一”、“第二”仅仅为了区分不同的ipsec隧道,不应对本发明实施例的保护范围构成任何限定。
在图1b所示的网络架构中,终端在接收到下行数据包时,需要之别该下行数据包是否携带控制信令。若该下行数据包携带了控制信令,则终端提取出该控制信令并通过控制面协议栈进行处理;若该下行数据包携带用户面数据,则终端通过用户面协议栈处理该下行数据包中的用户面数据。类似于上行数据包的传输,现有方案中,没有携带控制信令的下行数据包的目的ip地址也有可能被终端上的恶意应用设置为目的ip地址,这将导下行数据包中携带的用户面数据通过控制面协议栈来处理,从而导致错误。有鉴于此,本发明实施例提供另一种通信方法,和基于该方法的安全节点网元、终端和系统。该方法包括:安全节点网元从控制面功能实体接收第二控制信令,或者,安全节点从用户面功能实体接收第二用户面数据;安全节点网元向终端发送第二数据包,第二数据包携带第二控制信令或第二用户面数据,其中,当第二数据包携带第二控制信令时,第二数据包通过第二安全连接进行传输,当第二数据包携带第二用户面数据时,第二数据包通过第一安全连接进行传输;若第二数据包通过第二安全连接进行传输,终端通过控制面协议栈处理第二控制信令;或者,若第二数据包通过第一安全连接进行传输,终端通过用户面协议栈处理第二用户面数据。
下面结合附图7,对本发明实施例提供的通信方法进行说明,其中,图7所示的方法可以在图3所示方法的基础上执行,也可以不基于图3所示的方法执行。如图7所示,该通信方法包括:
s710,安全节点网元从控制面功能实体接收第二控制信令。
具体地,在s710中,当控制面功能实体有第二控制信令需要向终端发送时,该控制面功能实体向安全节点网元发送该第二控制信令,该第二控制信令可以包括非接入层(non-accessstratum,nas)等,对此本发明不做限定。
可选地,在一些实施方式中,当安全节点网元接收控制面功能实体发送的第二控制信令后,安全节点网元可以生成携带第二控制信令的第二数据包。
s720,安全节点网元从用户面功能实体接收第二用户面数据。
具体地,在s720中,当用户面功能实体有第二用户面数据需要向终端发送时,该用户面功能实体向安全节点网元发送第二用户面数据。
可选地,在一些实施例中,当安全节点网元接收用户面功能实体发送的第二用户面数据后,安全节点网元可以生成携带第二用户面数据的第二数据包。
需要说明的是,上述的s710部分、s720部分为可选的部分,当执行s710时,在后续s730部分与s740部分分别执行与s710部分相对应内容的步骤,当执行s720部分时,在后续s730部分和s740部分分别执行与s720部分相对应的内容的步骤。
可选地,在一些实施方式中,当安全节点网元执行步骤s710接收控制面功能实体发送的第二控制信令后,安全节点网元根据该第二控制信令生成第二数据包,该第二数据包携带第二控制信令。
具体地,安全节点网元接收到控制面功能实体发送的第二控制信令后,根据传输该第二数据包的安全连接的类型,生成第二数据包,该第二数据包包括控制面功能实体发送的第二控制信令。
可选地,在一些实施例中,当安全节点网元执行步骤s720接收用户面功能实体发送的第二用户面数据后,安全节点网元根据该第二用户面数据生成第二数据包,该第二数据包携带第二用户面数据。
具体地,安全节点网元接收到用户面功能实体发送的第二用户面数据后,根据传输该第二数据包的安全连接的类型,生成第二数据包,该第二数据包包括用户面功能实体发送的第二用户面数据。
可选地,在一些实施方式中,当第二数据包携带第二控制信令时,第二数据包还携带所述第二安全连接的标识;或者,当第二数据包携带第二用户面数据时,第二数据包还可以携带第一安全连接的标识。也就是说,当执行步骤s710部分时,安全节点网元生成的第二数据包中还携带第二安全连接标识,或者当执行s720部分时,安全节点网元生成的第二数据包中还携带第一安全连接的标识。
s730,安全节点网元向终端发送第二数据包,第二数据包携带第二控制信令或第二用户面数据。其中,当第二数据包携带第二控制信令时,第二数据包通过第二安全连接进行传输,当第二数据包携带第二用户面数据时,第二数据包通过第一安全连接进行传输。
可选地,在一些实施方式中,终端从安全节点网元接收第二数据包后,终端还可以确定第二数据包通过所述第二安全连接或所述第一安全连接进行传输。例如,当第二数据包还携带第二安全连接的标识时,安全节点网元可以确定第二数据包通过所述第二安全连接进行传输;或者,当第二数据包还携带第一安全连接的标识时,安全节点网元还可以确定第二数据包通过所述第一安全连接进行传输。
具体地,在本发明实施方式中,当终端识别第二数据包中携带的安全连接标识为第一安全连接的标识时,确定第一安全连接是安全节点网元发送第二数据包所使用的安全连接;当终端识别第一数据包中携带的安全连接标识为第一安全连接的标识时,确定第一安全连接是安全节点网元发送第一数据包所使用安全连接。
s740,终端处理第二数据包中的第二控制信令或第二用户面数据,其中,若第二数据包通过第二安全连接进行传输,终端通过控制面协议栈处理该第二控制信令;或者,若第二数据包通过第一安全连接进行传输,终端通过用户面协议栈处理该第二控制信令。
具体地,在本发明实施方式中,终端接收到安全节点网元发送的第二数据包,通过该第二数据包中的安全连接标识,确定该第二数据包是通过第二安全连接发送,或者通过第一安全连接发送。也就是说,终端根据第二数据包中的安全连接标识识别发送该第二数据包的安全连接是第二安全连接或第一安全连接发送的,当终端识别第二数据包是通过第二安全连接发送的,则终端获取第二数据包中的第二控制信令,并交由控制面协议栈处理;等终端识别第二数据包是通过第一安全连接发送的,则终端获取第二数据包中的第二用户面数据,并交由用户面协议栈处理。
需要说明的是,图7所示的方法中,有关第一安全连接、第二安全连接、第一安全连接的标识以及第二安全连接的标识的内容,可以参考图3中的详细介绍,此处不作赘述。
通过两个不同的安全连接,分别传输用户面数据和控制信令,当传输控制信令时,携带控制信令的数据包通过第二安全连接传输,携带用户面的数据包通过第一安全连接传输,安全节点网元或者终端接收到数据包后,通过数据包中的目标安全连接标识来识别发送数据包的目标安全连接,根据传输该数据包的目标安全连接判断该数据包是携带用户面数据还是控制信令,该目标安全连接标识是非应用层或网络层或传输层标识,因此可以避免恶意应用的修改,因此提高了传输的安全性。
应理解,在本发明实施方式中,上述各过程的序号的大小并不意味者执行顺序的先后,各个过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上文从交互的详细说明了本发明实施例的通信方法,下面将详细说明本发明实施例的通信的安全节点网元和终端。
图8是本发明实施例的安全节点网元的示意性框图。该安全节点网元的各个功能模块可以对应执行图3、图6、图7中所示方法中涉及安全节点网元所执行的步骤和/或流程。该安全节点网元包括:
第一接收模块810,用于从终端接收第一数据包,该第一数据包携带第一用户面数据或第一控制信令,其中,该第一数据包通过第一安全连接或第二安全连接进行传输,该第一安全连接用于传输携带该第一用户面数据的该第一数据包,该第二安全连接用于传输携带该第一控制信令的该第一数据包;
第一发送模块820,用于若该第一数据包通过该第二安全连接进行传输,则该安全节点网元向控制面功能实体发送该第一控制信令;或者,该第一发送模块用于若该第一数据包通过该第一安全连接进行传输,则该安全节点网元向用户面功能实体发送该第一用户面数据。
安全节点和终端之间携带控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样安全节点就不需要通过数据包中的恶意应用可修改的特定目的ip地址来识别数据包携带控制信令或用户面数据,而是通过非应用层或网络层或传输层的安全连接标识来识别不同的安全连接发送的数据包,通过确定不同安全连接的发送的数据包来识别数据包中携带控制信令或用户面数据,因此可以避免恶意应用的修改,因此提高了用户面数据或控制信令传输的安全性。
可选地,在一些实施方式中,该安全节点网元还包括:
第二发送模块,用于通过该第二安全连接向该终端发送第二数据包,该第二数据包携带第二控制信令;或者,
该第二发送模块用于通过该第一安全连接向该终端发送第二数据包,该第二数据包携带第二用户面数据。
可选地,在一些实施方式中,该安全节点网元还包括:
第二接收模块,用于从该控制面功能实体接收该第二控制信令;或者,该第二接收模块用于从该用户面功能实体接收该第二用户面数据。
可选地,在一些实施方式中,当该第二数据包携带该第二控制信令时,该第二数据包还携带该第二安全连接的标识;或者,当该第二数据包携带该第二用户面数据时,该第二数据包还携带该第一安全连接的标识。
可选地,在一些实施方式中,该安全节点网元还包括:
确定模块,用于在该第一接收模块接收该第一数据包后,确定该第一数据包通过该第二安全连接或该第一安全连接进行传输。
可选地,在一些实施方式中,该第一数据包还携带该第二安全连接的标识或该第一安全连接的标识,该确定模块具体用于:
当该第一数据包还携带该第二安全连接的标识时,该确定模块确定该第一数据包通过该第二安全连接进行传输;或者,
当该第一数据包还携带该第一安全连接的标识时,该确定模块确定该第一数据包通过该第一安全连接进行传输。
可选地,在一些实施方式中,该第一安全连接为第一因特网协议安全ipsec隧道,该第二安全连接为第二ipsec隧道。
可选地,在一些实施方式中,该第二安全连接的标识为第二安全参数索引spi值,该第一安全连接的标识为第一spi值。
应理解,这里的安全节点网元均以功能模块的形式体现。这里的术语“模块”可以指用于应用特有的集成电路、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器)和存储器、合并络级电路和/或奇特支持所描述的功能的合适组件。该安全节点网元可以用于执行上述方法实施例中与安全节点网元相对应的各个流程和\或步骤,为避免重复,在此不再赘述。
图9是本发明实施例的终端的示意性框图。该终端的各个功能模块可以对应执行图3、图6、图7中所示方法中涉及终端所执行的步骤和/或流程。该终端包括:
生成模块910,用于生成第一数据包,该第一数据包携带用户面数据或控制信令;
发送模块920,用于向该安全节点网元发送该第一数据包,该第一数据包通过第一安全连接或第二安全连接进行传输,其中,该第一安全连接用于传输携带该第一用户面数据的该第一数据包,该第二安全连接用于传输携带该第一控制信令的该第一数据包。
安全节点网元和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样终端就不需要通过在数据包中的恶意应用可修改的特定目的ip地址来识别数据包中携带控制信令或用户面数据,而是通过非应用层的安全连接标识来识别不同的安全连接发送的数据包,从而根据不同安全连接发送的数据包来识别携带控制信令或用户面数据的数据包,因此提高了用户面数据或控制信令传输的安全性。
可选地,在一些实施方式中,该终端还包括:
接收模块,用于从该安全节点网元接收第二数据包,该第二数据包携带第二控制信令或第二用户面数据,其中,当该第二数据包携带该第二控制信令时,该第二数据包通过该第二安全连接进行传输,当该第二数据包携带该第二用户面数据时,该第二数据包通过该第一安全连接进行传输;
处理模块,用于若该第二数据包通过该第二安全连接进行传输,该处理模块通过控制面协议栈处理该第二控制信令;或者,
该处理模块用于若该第二数据包通过该第一安全连接进行传输,该处理模块通过用户面协议栈处理该第二用户面数据。
可选地,在一些实施方式中,该终端还包括:
确定模块,用于在该接收模块从该安全节点网元接收第二数据包之后,确定该第二数据包通过该第二安全连接或该第一安全连接进行传输。
可选地,在一些实施方式中,该第二数据包还携带该第二安全连接的标识或该第一安全连接的标识,该确定模块具体用于:
当该第二数据包还携带该第二安全连接的标识时,该确定模块确定该第二数据包通过该第二安全连接进行传输;或者,
当该第二数据包还携带该第一安全连接的标识时,该确定模块确定该第二数据包通过该第一安全连接进行传输。
可选地,在一些实施方式中,若该第一数据包携带该第一控制信令,该第一数据包还携带该第二安全连接的标识;或者,若该第一数据包携带该第一用户面数据,该第一数据包还携带该第一安全连接的标识。
可选地,在一些实施方式中,该第一安全连接为第一因特网协议安全性ipsec隧道,该第二安全连接为第二ipsec隧道。
可选地,在一些实施方式中,该第二安全连接的标识为第二安全参数索引spi值,该第一安全连接的标识为第一spi值。
应理解,这里的终端均以功能模块的形式体现。这里的术语“模块”可以指用于应用特有的集成电路、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器)和存储器、合并络级电路和/或奇特支持所描述的功能的合适组件。该终端可以用于执行上述方法实施例中与终端相对应的各个流程和\或步骤,为避免重复,在此不再赘述。
图10是本发明实施例提供的另一种安全节点网元的示意性框图,该安全节点网元的各个单元器件可以对应执行图3、图6、图7中所示方法中涉及安全节点网元所执行的步骤和/或流程。该安全节点网元包括:处理器1001,存储器1002,收发器1003,安全节点网元的各个组件通过耦合方式连接在一起,收发器1003通过天线1004接收和发送数据。
上述本发明实施例揭示的方法可以应用于处理器1001中,或者由处理器1001实现。处理器1001可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1001可以是通用处理器、或者是系统级芯片(system-on-a-chip,soc芯片)、基带处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(fieldprogrammablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(randomaccessmemory,ram)、闪存、只读存储器(read-onlymemory,rom)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1002,处理器1001读取存储器1002中的指令,结合其硬件完成上述方法的步骤。
该收发器1003,用于从终端接收第一数据包,该第一数据包携带第一用户面数据或第一控制信令,其中,该第一数据包通过第一安全连接或第二安全连接进行传输,该第一安全连接用于传输携带该第一用户面数据的该第一数据包,该第二安全连接用于传输携带该第一控制信令的该第一数据包该;
该收发器1003,还用于若该第一数据包通过该第二安全连接进行传输,则该安全节点网元向控制面功能实体发送该第一控制信令;或者,该收发器1003用于若该第一数据包通过该第一安全连接进行传输,则该安全节点网元向用户面功能实体发送该第一用户面数据。
在本发明实施方式中的安全节点网元,第一数据包要通过第一安全连接或第二安全连接进行传输,该第一数据包需要与目标安全连接进行验证,也就是说,当第一数据包中的目标安全连接标识是第一安全连接对应的安全连接标识时,该第一数据包仅能够通过第一安全连接进行传输,当第一数据包中的目标安全连接标识是第二安全连接对应的安全连接标识时,该第一数据包仅能够通过第二安全连接进行传输,该安全连接标识是非应用层或网络层或传输层标识,因此可以避免恶意应用的修改层标识,提高传输的安全性。
可选地,在一些实施方式中,该安全节点网元的收发器1003还用于:
用于通过该第二安全连接向该终端发送第二数据包,该第二数据包携带第二控制信令;或者,用于通过该第一安全连接向该终端发送第二数据包,该第二数据包携带第二用户面数据。
可选地,在一些实施方式中,该安全节点网元的收发器1003还用于从该控制面功能实体接收该第二控制信令;或者,用于从该用户面功能实体接收该第二用户面数据。
可选地,在一些实施方式中,当该第二数据包携带该第二控制信令时,该第二数据包还携带该第二安全连接的标识;或者,当该第二数据包携带该第二用户面数据时,该第二数据包还携带该第一安全连接的标识。
可选地,在一些实施方式中,该安全节点网元的处理器1001用于在该第一接收模块接收该第一数据包后,确定该第一数据包通过该第二安全连接或该第一安全连接进行传输。
可选地,在一些实施方式中,该第一数据包还携带该第二安全连接的标识或该第一安全连接的标识,该处理器1001具体用于:
当该第一数据包还携带该第二安全连接的标识时,该确定模块确定该第一数据包通过该第二安全连接进行传输;或者,
当该第一数据包还携带该第一安全连接的标识时,该确定模块确定该第一数据包通过该第一安全连接进行传输。
可选地,在一些实施方式中,该第一安全连接为第一因特网协议安全ipsec隧道,该第二安全连接为第二ipsec隧道。
可选地,在一些实施方式中,该第二安全连接的标识为第二安全参数索引spi值,该第一安全连接的标识为第一spi值。
应理解,该安全节点网元可以用于执行上述方法实施例中与安全节点网元相对应的各个流程和\或步骤,为避免重复,在此不再赘述。
图11是本发明实施例提供的另一种终端的示意性框图。该终端的各个功能模块可以对应执行图3、图6、图7中所示方法中涉及终端所执行的步骤和/或流程。该终端包括:处理器1101、存储器1102和接收器1103,终端中的各个组件通过耦合的方式连接在一起,收发器1103通过天线1104接收和发送数据。
上述本发明实施例揭示的方法可以应用于处理器1101中,或者由处理器1101实现。处理器1101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、或者是系统级芯片(system-on-a-chip,soc芯片)、基带处理器、数字信号处理器(digitalsignalprocessor,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(fieldprogrammablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(randomaccessmemory,ram)、闪存、只读存储器(read-onlymemory,rom)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1102,处理器1101读取存储器1102中的指令,结合其硬件完成上述方法的步骤。
所述处理器1101,用于生成第一数据包,该第一数据包携带用户面数据或控制信令;
该收发器1103,用于向该安全节点网元发送该第一数据包,该第一数据包通过第一安全连接或第二安全连接进行传输,其中,该第一安全连接用于传输携带该第一用户面数据的该第一数据包,该第二安全连接用于传输携带该第一控制信令的该第一数据包。
安全节点网元和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输,这样终端就不需要通过在数据包中添加的恶意应用可修改的标识来识别数据包中携带控制信令或用户面数据,而是通过非应用层的安全连接标识来识别不同的安全连接发送的数据包,从而根据不同安全连接发送的数据包来识别携带控制信令或用户面数据的数据包,因此提高了用户面数据或控制信令传输的安全性。
可选地,在一些实施方式中,该终端的收发器1103还用于从该安全节点网元接收第二数据包,该第二数据包携带第二控制信令或第二用户面数据,其中,当该第二数据包携带该第二控制信令时,该第二数据包通过该第二安全连接进行传输,当该第二数据包携带该第二用户面数据时,该第二数据包通过该第一安全连接进行传输;
该处理器1101还用于若该第二数据包通过该第二安全连接进行传输,该处理模块通过控制面协议栈处理该第二控制信令;或者,该处理模块用于若该第二数据包通过该第一安全连接进行传输,该处理模块通过用户面协议栈处理该第二用户面数据。
可选地,在一些实施方式中,所述处理器1101还用于在该接收模块从该安全节点网元接收第二数据包之后,确定该第二数据包通过该第二安全连接或该第一安全连接进行传输。
可选地,在一些实施方式中,该第二数据包还携带该第二安全连接的标识或该第一安全连接的标识,该处理器1101具体用于:
当该第二数据包还携带该第二安全连接的标识时,该确定模块确定该第二数据包通过该第二安全连接进行传输;或者,
当该第二数据包还携带该第一安全连接的标识时,该确定模块确定该第二数据包通过该第一安全连接进行传输。
可选地,在一些实施方式中,若该第一数据包携带该第一控制信令,该第一数据包还携带该第二安全连接的标识;或者,若该第一数据包携带该第一用户面数据,该第一数据包还携带该第一安全连接的标识。
可选地,在一些实施方式中,该第一安全连接为第一因特网协议安全性ipsec隧道,该第二安全连接为第二ipsec隧道。
可选地,在一些实施方式中,该第二安全连接的标识为第二安全参数索引spi值,该第一安全连接的标识为第一spi值。
应理解,该终端可以用于执行上述方法实施例中与终端相对应的各个流程和\或步骤,为避免重复,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,因此本发明的保护范围应以权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!