CN109155913B - 网络连接方法、安全节点的确定方法及装置 - Google Patents

网络连接方法、安全节点的确定方法及装置 Download PDF

Info

Publication number
CN109155913B
CN109155913B CN201680085919.2A CN201680085919A CN109155913B CN 109155913 B CN109155913 B CN 109155913B CN 201680085919 A CN201680085919 A CN 201680085919A CN 109155913 B CN109155913 B CN 109155913B
Authority
CN
China
Prior art keywords
terminal
connection
security
network element
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680085919.2A
Other languages
English (en)
Other versions
CN109155913A (zh
Inventor
诸华林
李�赫
靳维生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN109155913A publication Critical patent/CN109155913A/zh
Application granted granted Critical
Publication of CN109155913B publication Critical patent/CN109155913B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0019Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供网络连接方法、安全节点的确定方法及装置,涉及通信技术领域,用于解决现有技术中网络连接建立比较复杂的问题。所述方法包括:所述网络控制网元在向所述终端发送第一连接参数,以及向所述安全节点发送第二连接参数,以使所述终端与所述安全节点通过所述第一连接参数和所述第二连接参数建立网络连接;其中,所述第一连接参数用于解密通过所述第二连接参数加密的数据;相应的,所述第二连接参数用于解密通过所述第一连接参数加密的数据,所述第一连接参数和所述第二连接参数包含所述终端与所述安全节点建立网络连接时的安全参数。

Description

网络连接方法、安全节点的确定方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及网络连接方法、安全节点的确定方法及装置。
背景技术
随着通信技术的快速发展,出现了越来越多的终端,比如,手机、平板电脑、笔记本电脑、计算机等,这些终端可以与运营商在公共网络中部署的网元设备建立网络连接,从而在网络连接中进行数据的传输。但是,数据在传输过程中,很容易被一些不法分子截取,从而导致数据的泄露,甚至给用户带来重大损失。
目前,为了保证数据在传输过程中的透明性,该透明性是指数据对于传输路径中的中间节点是不可见的,通常需要在终端与网元设备之间建立一个安全的网络连接。在网络连接建立过程中,终端首先需要与建立网络连接的网元设备进行关联;其次,终端与网元设备需要经过多次信令交互,进行安全参数协商,从而确定网络连接的安全参数,该安全参数包括秘钥、加密算法和使用期限等等;最后,终端与网元设备进行认证,比如可以通过加密随机数的方法进行认证,只有认证通过才能保证建立的网络连接的安全性。
但是,在上述建立安全的网络连接的方法中,终端与网元设备之间是通过双方协商的方式进行的,也即是,终端与网元设备需要进行多次大量繁杂的交互信令,才能在终端与网元设备之间建立一个安全的网络连接,从而导致网络连接的建立过程比较复杂。
发明内容
本申请的实施例提供一种网络连接方法、安全节点的确定方法及装置,解决了现有技术中网络连接建立过程比较复杂的问题。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供一种网络连接方法,该方法包括:网络控制网元向该终端发送第一连接参数;网络控制网元向该安全节点发送第二连接参数;其中,第一连接参数用于解密通过第二连接参数加密的数据;相应的,第二连接参数用于解密通过第一连接参数加密的数据,第一连接参数和第二连接参数包含该终端与该安全节点建立网络连接时的安全参数。
第二方面,提供一种网络连接方法,该方法包括:该终端接收网络控制网元发送的包含该终端与安全节点建立网络连接时的安全参数的第一连接参数,该第一连接参数用于解密通过第二连接参数加密的数据;该终端通过第一连接参数与接收第二连接参数的安全节点建立网络连接。
第三方面,提供一种网络连接方法,该方法包括:安全节点接收网络控制网元发送的包含该安全节点与终端建立网络连接时的安全参数的第二连接参数,该第二连接参数用于解密通过第一连接参数加密的数据;该安全节点通过该第二连接参数与接收第一连接参数的终端建立网络连接。
上述技术方案中,通过网络控制网元为该终端分配第一连接参数,为该安全节点分配第二连接参数,以使该终端和安全节点直接通过第一连接参数和第二连接参数建立安全的网络连接,从而无需该终端和该安全节点通过繁杂的信令交互进行协商,简化了网络连接的过程。
可选的,基于第一方面,若该安全节点为独立的网元,该方法还包括:网络控制网元获取与该终端对应的签约数据;该网络控制网元向该安全节点发送包含签约数据的部分或全部内容的第一连接请求,第一连接请求用于使该安全节点向网关设备发送包含签约数据的部分或全部内容的第二连接请求,第二连接请求用于建立该安全节点与该网关设备之间的连接。
可选的,在第一方面,第一响应消息包含该网关设备为该终端分配的IP地址。
可选的,在第一方面,该方法还包括:该网络控制网元接收该安全节点发送的第一响应消息,该第一响应消息中包括该终端的IP地址;该网络控制网元将该终端的IP地址发送给该终端。
对应的,可选的,基于第一方面,该方法还包括:该终端接收该网络控制网元发送的该终端的IP地址。
对应的,可选的,基于第三方面,若该安全节点为独立的网元,该方法还包括:该安全节点接收该网络控制网元发送的包含签约数据的部分或全部内容的第一连接请求;该安全节点向网关设备发送包含该签约数据的部分或全部内容的第二连接请求,第二连接请求用于建立该安全节点与该网关设备之间的连接。
可选的,在第三方面,该方法还包括:该安全节点接收该网关设备发送的第二响应消息,该第二响应消息包含该网关设备为该终端分配的IP地址。
可选的,在第三方面,该方法还包括:该安全节点向该网络控制网元发送第一响应消息,该第一响应消息包含该终端分配的IP地址,以使该网络控制网元将该终端的IP地址发送给该终端。
上述可选的技术方案中,若该安全节点和网关设备之间可以直接进行通信,则该安全节点可以直接向网关设备发送连接请求,以建立该安全节点与网关设备之间的连接,同时将网关设备为该终端分配的IP地址通过网络控制网元发送给该终端,完成终端的IP地址的配置。
可选的,基于第一方面,若该安全节点为独立的网元,该方法还包括:该网络控制网元获取与该终端对应的签约数据;当网络控制网元接收该安全节点经过该网络控制网元向该网关设备发送第三连接请求时,该网络控制网元向网关设备发送第四连接请求,该第四连接请求包含该签约数据的部分或全部内容,第三连接请求和第四连接请求用于建立该安全节点与该网关设备之间的连接。
可选的,在第一方面,该方法还包括:当网络控制网元接收该网关设备经过该网络控制网元向该安全节点发送第四响应消息时,向该安全节点发送第三响应消息,该第三响应消息包含签约数据的部分或全部内容,以在该安全节点与该网关设备之间建立连接。
可选的,在第一方面,该第四响应消息包含该网关设备为该终端分配的IP地址;相应的,该方法还包括:该网络控制网元将该终端的IP地址发送给该终端。
对应的,可选的,基于第二方面,该方法还包括:该终端接收该网络控制网元发送的该终端的IP地址。
对应的,可选的,基于第三方面,若该安全节点为独立的网元,该方法还包括:该安全节点向该网络控制网元发送第三连接请求,第三连接请求用于建立该安全节点与该网关设备之间的连接。
可选的,在第三方面,该方法还包括:该安全节点接收该网络控制网元发送的第三响应消息,以在该安全节点与该网关设备之间建立连接;其中,该第三响应消息包含该签约数据的部分或全部内容添。
可选的,在第三方面,该第三响应消息包含该网关设备为该终端分配的IP地址。
上述可选的技术方案中,若该安全节点和网关设备之间不能直接进行控制面通信,则该安全节点和网关设备可以通过网络控制网元进行通信,以建立该安全节点与网关设备之间的连接,同时将网关设备为该终端分配的IP地址通过网络控制网元发送给该终端,完成终端的IP地址的配置。
可选的,基于第一方面,若该安全节点为独立的网元,该方法还包括:该网络控制网元获取与该终端对应的签约数据;该网络控制网元向该网关设备发送包含该签约数据的部分或全部内容的第五连接请求,第五连接请求用于建立该安全节点与和网关设备之间的连接;网络控制网元接收该网关设备返回的第五响应消息。
可选的,在第一方面,该方法还包括:该网络控制网元向该安全节点发送包含该签约数据的部分或全部内容的第六连接请求,以建立该安全节点与该网关设备之间的连接。
可选的,在第一方面,该第三响应消息包含该网关设备为该终端分配的IP地址;相应的,该方法还包括:该网络控制网元将该终端的IP地址发送给该终端。
对应的,可选的,基于第二方面,该方法还包括:该终端接收该网络控制网元发送的该终端的IP地址。
对应的,可选的,基于第三方面,若该安全节点为独立的网元,该方法还包括:该安全节点接收该网络控制网元发送的包含签约数据的部分或全部内容的第六连接请求,以建立该安全节点与该网关设备之间的连接;其中,第六连接请求包含该签约数据的部分或全部内容,第六连接请求用于请求建立该安全节点与该网关设备之间的连接。
可选的,在第三方面,第六连接请求包含该网关设备为该终端分配的IP地址。
上述可选的技术方案中,若该安全节点和网关设备之间不能直接进行控制面通信,则网络控制网元可以向网关设备发送连接请求,且该安全节点和网关设备可以网络控制网元通过进行通信,以建立该安全节点与网关设备之间的连接,同时将网关设备为该终端分配的IP地址通过网络控制网元发送给该终端,完成终端的IP地址的配置。
对应的,可选的,基于第一方面,网络控制网元向终端发送第一连接参数之前,该方法还包括:网络控制网元确定该安全节点的节点标识;网络控制网元向该终端发送该安全节点的节点标识。
可选的,基于第一方面,在该网络控制网元向该终端发送第一连接参数之前,该方法还包括:网络控制网元接收该终端发送的附着请求或者连接请求,该附着请求或者连接请求用于请求建立PDN连接。
对应的,可选的,基于第二方面,该终端在接收网络控制网元发送的第一连接参数之前,该方法还包括:该终端接收网络控制网元发送的该安全节点的节点标识;该终端根据该安全节点的节点标识确定该安全节点。
可选的,基于第二方面,在该终端在附着过程或者连接建立过程中接收该网络控制网元发送的第一连接参数之前,该方法还包括:该终端向该网络控制网元发送附着请求或者连接请求,该附着请求或者连接请求用于请求建立PDN连接。
上述可选的方案中,通过该终端向网络控制网元发送用于请求建立PDN连接的附着请求或者连接请求的方式,触发网络控制网元进行网络连接,并通过网络控制网元确定的安全节点的节点标识,确定与该终端建立网络连接的安全节点,从而可以根据该终端的需要有效的建立网络连接,提高建立网络连接的成功率。
可选的,在上述第一方面至第三方面的任一方面中,第一连接参数包括以下至少一个:第一安全秘钥、安全加密算法、随机值、安全索引;第二连接参数包括以下至少一个:第二安全秘钥、该安全加密算法、该随机值、该安全索引。
其中,第一安全秘钥用于该终端对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的终端安全秘钥;该安全加密算法为该终端或该安全节点对数据进行加密或解密的算法;该随机值用于产生新的安全秘钥;该安全索引用于识别数据包对应的安全连接;第二安全秘钥用于该安全节点对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的安全节点安全秘钥。
上述可选的技术方案中,通过第一连接参数和第二连接参数对接收和发送的数据进行加密和解密,可以保证传输的数据对于中间节点是透明不可见的,从而保证传输的数据的安全性。
可选的,在上述第一方面至第三方面的任一方面中,该网络控制网元为移动管理实体、或鉴权授权计费服务器。
当网络控制网元为移动管理实体时,本地网络与运营商网络的关系更为紧密,运营商能够更好地控制本地网络的运营;当网络控制网元为鉴权授权计费服务器时,本地网络与运营商网络的关系更为松散,本地网络的部署更为灵活。
可选的,在上述第一方面至第三方面的任一方面中,该安全节点为独立的网元、或与网关设备合一部署的网元,或与移动边缘计算设备合一部署的网元。
当安全节点为独立的网元时,网络设备功能更加模块化,结构更加清晰,但是增加了设备间的传输信令;相反,当安全节点与网关设备合一部署时,网络设备功能复杂多样,但是减少了设备间的传输信令。
另外,在现有技术建立安全的网络连接的方法中,网元设备,也即是,安全节点是由该终端自身进行选择的,该终端没有足够的信息,因此,会存在选择的安全节点不恰当的情况,所以针对上述问题,本申请还提供了安全节点的确定方法。
第四方面,提供一种安全节点的确定方法,该方法包括:网络控制网元在附着过程或连接建立过程中,根据终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,确定安全节点的节点标识;该网络控制网元向该终端发送该安全节点的节点标识,以使该终端通过该安全节点的节点标识确定该安全节点。
可选的,在第四方面,网络控制网元确定该安全节点的节点标识,包括:网络控制网元根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,从多个安全节点中选择一个安全节点,并将选择的安全节点的标识确定为该安全节点的节点标识。
第五方面,提供一种安全节点的确定方法,该方法还包括:终端接收该网络控制网元发送的该安全节点的节点标识;该终端根据该安全节点的节点标识,确定该安全节点。
上述技术方案中,网络控制网元通过该终端的归属域信息、该终端的位置信息、本地网络的位置信息等选择离用户比较近的一个安全节点,可以有效的减少控制面信令以及用户面传输的路径,从而降低传输时延。
可选的,基于第四方面,该终端的归属域信息为通过该终端的归属域标志确定的归属域信息;其中,该归属域标志为国际用户识别码IMSI、或全球唯一临时标识GUTI、或签约标志SI;该终端的位置信息为该终端的经纬度信息、或坐标信息、或该终端接入接入网的标识和/或位置信息;该本地网络的位置信息为该本地网络中管理网元或接入网的标识和/或位置信息。
可选的,在第四方面,该方法还包括:该网络控制网元接收该终端的归属域标志,或该网络控制网元根据接收的该终端在本地网络的标识确定该终端的归属域标志;和/或,该网络控制网元接收该终端的位置信息,或该网络控制网元根据接收的接入网的消息确定终端的位置信息;和/或,该网络控制网元接收该本地网络的位置信息,或该网络控制网元根据接收的本地网络的消息确定该本地网络的位置信息。
对应的,可选的,基于第五方面,该方法还包括:该终端向网络控制网元发送附着请求或者连接请求,该附着请求或者连接请求包含该终端的位置信息,该终端的位置信息为该终端的经纬度信息、或坐标信息、或该终端接入接入网的标识或位置信息。
上述可选的方案中,该终端的归属域信息可以通过多种不同的归属域标志进行确定,该终端的位置信息和本地网络的位置信息可以通过多种不同的方式进行表示,网络控制网元也可以通过多种不同的途径来获取该终端的归属域信息和位置信息、以及本地网络的位置信息等,从而丰富了网络控制网元的实现方法,同时提高了选择该安全节点的精确度。
第六方面,提供一种网络控制网元,该网络控制网元包括存储器、处理器,该存储器中存储代码和数据,该处理器可运行存储器中的代码,该处理器用于执行第一方面所述的网络连接方法,或者第四方面所述的安全节点的确定方法。
第七方面,提供一种终端,该终端包括存储器、处理器,该存储器中存储代码和数据,该处理器可运行存储器中的代码,该处理器用于执行第二方面所述的网络连接方法,或者第五方面所述的安全节点的确定方法。
第八方面,提供一种安全节点,该安全节点包括存储器、处理器,该存储器中存储代码和数据,该处理器可运行存储器中的代码,该处理器用于执行第三方面所述的网络连接方法。
第九方面,提供一种通信***,该通信***包括第六方面所述的网络控制网元、第七方面所述的终端、以及第八方面所述的安全节点。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种网络架构的结构示意图;
图1a为本申请实施例提供的另一种网络架构的结构示意图;
图1b为本申请实施例提供的又一种网络架构的结构示意图;
图2为本申请实施例提供的第一种网络连接方法的流程示意图;
图3为本申请实施例提供的第二种网络连接方法的流程示意图;
图4为本申请实施例提供的第三种网络连接方法的流程示意图;
图5为本申请实施例提供的一种安全节点的确定方法的流程示意图;
图6为本申请实施例提供的一种网元的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例所应用的一种网络架构的结构示意图,如图1所示,该网络架构包括终端101、安全节点102和网络控制网元103。其中,终端101可以为手机、平板电脑、笔记本电脑、计算机、上网本等等,图中以终端101为手机为例进行说明。终端101和安全节点102之间可以进行数据传输。在本申请实施例中,安全节点102用于与终端101之间建立安全的网络连接,通过安全的网络连接传输的数据对于中间节点是透明不可见的,从而可以保证用户数据的安全。网络控制网元103用于管理、控制网络中部署的其他网元,比如,网络控制网元103可以用于管理或控制终端101和安全节点102,且在不同的网络类型中,该网络控制网元103可以是不同的网元设备。
下面以移动网络为例对本申请所应用的网络架构进行详细介绍。
具体的,图1a为移动网络中第二接入长期演进(Second Access Long TermEvolution,SALTE)的网络架构,参见图1a,该网络架构主要包括三部分,分别为终端101、本地网络网元11和公共网络网元12。其中,本地网络网元11为本地部署的网元设备,可以由企业、第三方机构或运营商进行部署,主要包括本地基站111、本地网关(On-site Gateway,On-site GW)112和本地移动性管理实体(on-site Mobility Management Entity,on-siteMME)113。On-site GW 112和on-site MME 113组成本地网络的核心网部分。公共网络网元12为运营商部署的网元设备,主要包括安全节点102、鉴权授权计费服务器或移动管理实体(Authentication Authorization Accounting Server or Mobility ManagementEntity,AAA/MME)1031、网关设备121和归属签约用户服务器(Home Subscriber Server,HSS)122。
在图1a的网络架构中,本地基站111是接入设备,即终端101接入本地网络的设备;On-site GW 112是网关设备,用于传输用户数据;On-site MME113主要负责对本地网络内部进行接入管理,会话管理,移动性管理等工作。AAA/MME 1031为该网络架构中的网络控制网元103,AAA/MME 1031除了管理、控制网络中的网元,还主要负责对用户进行鉴权,业务授权等工作;HHS 122主要负责存储用户的签约数据;网关121是移动网络的网关,是用户数据传输的锚点,可选的,网关121与安全节点102合一部署为一个网元。
图1b为本申请实施例提供的另一种移动网络的网络架构的结构示意图,参见图1b,该网络架构与图1a所示的网络架构不同的是,本地网络网元11中没有On-site MME113网元,其中,公用网络网元12中的AAA/MME1031将代替On-site MME负责完成对本地网络的内部进行接入管理,会话管理,移动性管理等工作。
本领域普通技术人员可以理解,图1a和图1b所示的结构仅为示意,其并不对网络架构的结构造成限定。例如,该网络架构还可包括比图1a和图1b中所示更多或者更少的网元,或者具有与图1a和图1b所示不同的配置。
需要说明的是,图1a和图1b所示的网络架构仅是示例性的,本申请实施例所应用的网络架构除了上述移动网络中的SALTE,还可以是长期演进的LTE网络、非3GPP网络(如WIFI接入的移动网络)、家庭基站网络、全球移动通讯***GSM网络、宽带码分多址WCDMA网络、或者未来的移动网络中的网络架构、MulteFire网络等等,对于其他有类似图1结构的网络架构都适用于本申请实施例,本申请实施例对应用的网络架构不作具体限定。
图2为本申请实施例提供的一种网络连接方法的流程示意图,参见图2,该方法包括以下几个步骤。
步骤201:网络控制网元向该终端发送第一连接参数,以及向安全节点发送第二连接参数,以使该终端与该安全节点通过第一连接参数和第二连接参数建立网络连接。其中,第一连接参数用于解密通过第二连接参数加密的数据;相应的,第二连接参数用于解密通过第一连接参数加密的数据;第一连接参数和第二连接参数包含该终端与该安全节点建立网络连接时的安全参数。
在本申请实施例中,网络控制网元可以在附着过程或者连接建立过程中,向该终端发送第一连接参数,以及向该安全节点发送第二连接参数,也即是,在附着过程或连接建立过程中,都可以在该终端和该安全节点之间建立网络连接。而在实际应用中,该附着过程不仅包括建立网络连接的过程,还可以包括终端和网络设备之间鉴权、授权的过程,且终端和网络设备之间鉴权、授权的过程与现有技术一致,具体可以参考相关技术,本申请实施例对此不作阐述。
需要说明的是,网络控制网元向该终端发送第一连接参数、以及向该安全节点发送第二连接参数时,不分先后顺序,也即是,网络控制网元可以先向终端发送,后向安全节点发送,也可以先向安全节点发送,后向终端发送,当然,也可以同时向该终端和安全节点发送,本申请实施例对此不作限定。
可选的,该网络控制网元可以为移动管理实体MME、或鉴权授权计费服务器AAAServer,可以简写为AAA/MME。当然,在实际应用中,该网络控制网元还可以为其他网络网元,本申请实施例对此不作限定。
当网络控制网元为移动管理实体时,本地网络与运营商网络的关系更为紧密,运营商能够更好地控制本地网络的运营;当网络控制网元为鉴权授权计费服务器时,本地网络与运营商网络的关系更为松散,本地网络的部署更为灵活。
可选的,在网络架构中,该安全节点可以为独立的网元、也可以为与网关设备合一部署的网元,或与移动边缘计算(Mobile Edge Computing,MEC)设备合一部署的网元,也可以与其他核心网网元合一部署,本申请实施例对此不作限定。
当安全节点为独立的网元时,网络设备功能更加模块化,结构更加清晰,但是增加了设备间的传输信令;相反,当安全节点与网关设备合一部署时,网络设备功能复杂多样,但是减少了设备间的传输信令。
进一步的,可选的,在步骤201之前,网络控制网元还可以根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,确定该安全节点的节点标识,并将该安全节点的节点标识发送给该终端,以使该终端通过该安全节点标识确定该安全节点,并通过第一连接参数,与该安全节点建立网络连接。
具体的,当网络控制网元根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息等,从多个安全节点中选择一个距离该终端用户较近的一个安全节点时,可以将选择的安全节点的节点标识发送给该终端,以使该终端根据该节点标识确定该安全节点,进而建立该终端与该安全节点之间的网络连接。
步骤202:该终端接收网络控制网元发送的第一连接参数,第一连接参数用于解密通过第二连接参数加密的数据,第一连接参数包含该终端与该安全节点建立网络连接时的安全参数。
其中,第一连接参数包括以下至少一个:第一安全秘钥、安全加密算法、随机值、安全索引;也即是,第一连接参数可以包括第一安全秘钥、安全加密算法、随机值、安全索引中的一个或者多个,且第一连接参数中的安全加密算法、随机值、安全索引与第二连接参数中的一致。
具体的,第一安全秘钥用于该终端对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的终端安全秘钥;安全加密算法为该终端对数据进行加密或解密的算法;随机值用于产生新的安全秘钥,也即是,该终端可以通过该随机值产生一个新的安全秘钥,之后,该终端可以通过新的安全秘钥对发送的数据进行加密,或对接收的数据进行解密;安全索引用于识别数据包对应的安全连接,也即是,该终端可以同时存在多个安全连接,该终端需要通过该安全索引去确定与该安全节点对应的安全连接,从而通过该安全连接发送和接收数据包。
步骤203:该安全节点接收网络控制网元发送的第二连接参数,第二连接参数用于解密通过第一连接参数加密的数据,第二连接参数包含该安全节点与该终端建立网络连接时的安全参数。
其中,第二连接参数包括以下至少一个:第二安全秘钥、安全加密算法、随机值、安全索引;也即是,第二连接参数可以包括第二安全秘钥、安全加密算法、随机值、安全索引中的一个或者多个,且第二连接参数中的安全加密算法、随机值、安全索引与第一连接参数中的一致。
另外,第二安全秘钥用于该安全节点对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的安全节点安全秘钥;安全加密算法为该安全节点对数据进行加密或解密的算法;随机值用于产生新的安全秘钥,也即是,该安全节点可以通过该随机值产生一个新的安全秘钥,之后,该安全节点可以通过新的安全秘钥对发送的数据进行加密,或对接收的数据进行解密;安全索引用于识别数据包对应的安全连接,也即是,该安全节点可以同时存在多个安全连接,该安全节点需要通过该安全索引去确定与该终端对应的安全连接,从而通过该安全连接发送和接收数据包。
步骤204:该终端和该安全节点通过第一连接参数和第二连接参数建立网络连接。
在附着过程或者连接建立过程中,当该终端接收到第一连接参数、该安全节点接收到第二连接参数后,该终端可以通过第一安全秘钥或者第一安全密钥产生的新的安全密钥或者通过随机值产生的新的安全秘钥,以及安全加密算法对发送的数据进行加密,从而得到加密后的数据包,终端通过安全索引识别与数据包对应的安全连接,通过安全连接将数据包发送给安全节点,当终端接收安全节点发送的数据包时,可以通过安全索引识别对应的安全连接,并从对应的安全连接中接收安全节点发送的数据包,通过第一安全秘钥或者第一安全密钥产生的新的安全密钥或者通过随机值产生的新的安全秘钥,以及安全加密算法对接收的数据包进行解密,得到安全节点发送的数据。同理,该安全节点可以通过第二连接参数包括的第二安全秘钥、安全加密算法、随机值、安全索引中的至少一个,进行发送和接收的数据进行加密或解密,具体过程与该终端的过程一致,本申请实施例在此不再赘述。
本申请实施例中,该终端和该安全节点通过第一连接参数和第二连接参数建立安全的网络连接,可以保证数据在传输过程中对于中间节点是透明不可见的,从而保证数据在传输过程中的安全性。
需要说明的是,一般该终端和该安全节点在发送和接收数据时,需要同时用到安全秘钥、安全加密算法和安全索引进行加密或解密,该安全秘钥可以是第一安全秘钥或第二安全秘钥或者其产生的新的密钥,也可以是通过随机值产生的安全秘钥。
在具体实现中,第一连接参数和第二连接参数可以包含上述安全秘钥、安全加密算法和安全索引中的全部参数,也可以包含其中的部分参数。
当第一连接参数包含全部参数时,该终端可以直接根据上述全部参数对数据进行加密或解密;当第一连接参数仅包含部分参数时,第一连接参数中缺失的参数可以事先进行配置或者事先进行约定,终端同样可以获取上述全部参数,从而根据上述全部参数对数据进行加密或解密。具体实现方式本申请实施例不作限定。
同理,当第二连接参数包含全部参数时,该安全节点可以直接根据上述全部参数对数据进行加密或解密;当第二连接参数仅包含部分参数时,第二连接参数中缺失的参数可以事先进行配置或者事先进行约定,该安全节点同样可以获取上述全部参数,从而根据上述全部参数对数据进行加密或解密。具体实现方式本申请实施例不作限定。
可选的,在步骤201之前,该方法还包括步骤205和步骤206:
步骤205:该终端向网络控制网元发送附着请求或者连接请求,该附着请求或者连接请求用于请求建立PDN(公共数据网,Public Data Network)连接。
在网络控制网元向该终端和该安全节点发送用于建立网络连接的安全参数之前,该终端可以向该网络控制网元发送用于请求建立PDN连接的附着请求或者连接请求,当网络控制网元接收到该附着请求或者连接请求之后,再在该终端和该安全节点之间建立网络连接。其中,PDN连接是指在终端与分组数据网络间建立一个默认承载。
其中,该终端向网络控制网元发送附着请求或者连接请求的过程与网络架构的结构有关,以移动网络的网络架构为例,若网络架构如图1a和图1b所示,则终端可以先将该附着请求或者连接请求发送给本地网络网元,再由本地网络网元将该附着请求或者连接请求转发给网络控制网元。
具体的,在图1a所示的网络架构中,该终端将该附着请求或者连接请求发送给本地基站,本地基站在接收到该附着请求或者连接请求时,将该附着请求或者连接请求发送给On-site MME,由On-site MME将该附着请求或者连接请求发送给网络控制网元。
在图1b所示的网络架构中,该终端将该附着请求或者连接请求发送给本地基站,本地基站在接收到该附着请求或者连接请求时,直接将该附着请求或者连接请求发送给网络控制网元。
在本申请实施例中,该附着请求或者连接请求都可以用于请求建立PDN连接,而在实际应用中,该附着请求不仅用于请求建立PDN连接,还包括请求终端和网络之间的鉴权、授权的过程,且终端和网络之间的鉴权、授权过程与现有技术一致,具体可以参考相关技术,本申请实施例对此不作阐述。
步骤206:网络控制网元接收该终端发送的附着请求或者连接请求。
具体的,网络控制网元接收终端发送的附着请求或者连接请求,在如图1a所示的网络架构中,是指接收由On-site MME转发的附着请求或者连接请求,在如图1b所示的网络架构中,是指接收由本地基站转发的附着请求或者连接请求。
进一步,在建立该终端和该安全节点之间的网络连接后,若该安全节点为独立部署的网元,还可以在该安全节点和网关设备之间建立连接,且可以根据该安全节点与网关设备之间能否直接进行控制面通信分为几种不同的建立方法,具体如下所示。
第一种、该安全节点和网关设备之间可以直接进行控制面通信,在步骤203之后,该方法还包括步骤207a-步骤210a:
步骤207a:网络控制网元获取与该终端对应的签约数据。
网络控制网元在获取与该终端对应的签约数据时,网络控制网元可以向HSS发送签约数据请求,该签约数据请求中包含该终端的标识,HSS在接收到该签约数据请求时,可以将与该终端的标识对应的签约数据发送给网络控制网元。
其中,该签约数据包含该终端在网络中的服务参数,比如,该签约数据可以包括费用特征(Charging Characteristic)、EPS(Evolved Packet System,演进的分组***)签约的Qos文件等等,本申请实施例对此不作具体阐述。
步骤208a:网络控制网元向该安全节点发送包含签约数据的部分或全部内容的第一连接请求。
其中,当网络控制网元获取到与该终端对应的签约数据时,网络控制网元可以向该安全节点发送包含签约数据的部分或全部内容的第一连接请求,当然,该第一连接请求还可以包含该终端的标识,用于表示该签约数据是与该终端对应的签约数据。
步骤209a:当该安全节点接收到第一连接请求时,该安全节点向网关设备发送包含签约数据的部分或全部内容的第二连接请求,该第二连接请求用于请求建立该安全节点与网关设备之间的连接。
当该安全节点接收到第一连接请求时,也即是,该安全节点接收到该签约数据的部分或全部内容,从而该安全节点可以向网关设备发送包含签约数据的部分或全部内容的第二连接请求。当然,在实际应用中,该第二连接请求还可以包含该终端的标识,比如IMSI、GUTI等,以及该安全节点的地址等信息,本申请实施例对此不作限定。
步骤210a:该安全节点接收网关设备发送的第二响应消息,以在该安全节点与网关设备之间建立连接。
当该安全节点将第二连接请求发送给网关设备之后,网关设备可以向该安全节点返回第二响应消息,从而在该安全节点和网关设备之间建立连接,也可以称为在该安全节点和网关设备之间建立隧道。在实际应用中,该第二响应消息可以包含网关设备的地址、Qos应用参数等信息。
进一步的,第二响应消息还包含网关设备为该终端分配的IP地址,相应的,该方法还包括步骤211a-步骤212a:
步骤211a:网络控制网元接收该安全节点发送的第一响应消息,第一响应消息中包括该终端的IP地址。
步骤212a:网络控制网元将该终端的IP地址发送给该终端。
具体的,当该安全节点接收到包含该终端的IP地址的第二响应消息时,该安全节点将包含该终端的IP地址的第一响应消息发送给该网络控制网元,以使该网络控制网元将该终端的IP地址发送给该终端,该终端接收该IP地址,从而实现网关设备为该终端进行IP地址的配置。
第二种、该安全节点和网关设备之间不能直接进行控制面通信,参见图3,在步骤203之后,该方法还包括207b-210b:
207b:网络控制网元获取与该终端对应的签约数据。
步骤207b与上述步骤207a一致,具体参见上述步骤207a的描述,本申请实施例在此不再赘述。
步骤208b:该安全节点向网络控制网元发送第三连接请求,第三连接请求用于建立该安全节点与网关设备之间的连接。
由于该安全节点与网关设备之间不能直接进行控制面通信,因此,当该安全节点请求建立该安全节点与网关设备之间的连接时,该安全节点可以向网络控制网元发送第三连接请求,以使该网络控制网元向网关设备发送第四连接请求。其中,该第三连接请求和第四连接请求可以包含该终端的标识,比如IMSI、GUTI等,以及该安全节点的地址等信息。
步骤209b:当网络控制网元接收到第三连接请求时,网络控制网元向网关设备发送第四连接请求,第四连接请求包含签约数据的部分或全部内容,第三连接请求和第四连接请求用于建立该安全节点与该网关设备之间的连接。
步骤210b:网络控制网元接收网关设备发送的第四响应消息,向该安全节点发送第三响应消息,该第三响应消息包含签约数据的部分或全部内容。
当网关设备接收到用于建立该安全节点与网关设备之间连接的第四连接请求时,网关设备可以向网络控制网元发送第四响应消息,当网络控制网元接收到该第四响应消息时,网络控制网元可以向该安全节点发送第三响应消息,第三响应消息包含签约数据的部分或全部内容,以在该安全节点与网关设备之间建立连接。在实际应用中,网关设备发送的第四响应消息还可以包含网关设备的地址,以及Qos应用参数等信息。
进一步的,第四响应消息还包含网关设备为该终端分配的IP地址,相应的,该方法还包括步骤211b:
步骤211b:网络控制网元将该终端的IP地址发送给该终端。
具体的,当网络控制网元接收到网关设备发送的包含该终端的IP地址的第四响应消息时,网络控制网元从该第四响应消息中获取该终端的IP地址,并将该终端的IP地址发送给该终端,该终端接收该IP地址。
第三种、该安全节点和网关设备之间不能直接进行控制面通信,参见图4,在步骤203之后,该方法还包括步骤207c-步骤209c:
步骤207c:网络控制网元获取与该终端对应的签约数据。
步骤207c与上述步骤207a一致,具体参见上述步骤207a的描述,本申请实施例在此不再赘述。
步骤208c:网络控制网元向网关设备发送包含签约数据的部分或全部内容的第五连接请求,以使网关设备在接收到该第五连接请求时返回第五响应消息。
其中,该第五连接请求用于请求建立该安全节点与网关设备之间的连接,当网关设备接收到网络控制网元发送的第五连接请求时,网关设备可以向网络控制网元发送第五响应消息,以通知网络控制网元成功接收第五连接请求。在实际应用中,该第五连接请求还可以包含该安全节点的地址,第五响应消息还可以包含网关设备的地址、Qos应用参数等信息。
步骤209c:网络控制网元向该安全节点发送包含签约数据的部分或全部内容的第六连接请求,以建立该安全节点与网关设备之间的连接。
当网络控制网元接收到网关设备发送的第五响应消息后,网络控制网元可以向该安全节点发送包含签约数据的部分或全部内容的第六连接请求,从而在该安全节点与网关设备之间建立连接。在实际应用中,第六连接请求还可以包含网关设备的地址、Qos应用参数等信息。
进一步的,参见图4,第五响应消息包含网关设备为该终端分配的IP地址,相应的,该方法还包括步骤210c:
步骤210c:网络控制网元将该终端的IP地址发送给该终端。
具体的,当网络控制网元接收到网关设备发送的包含该终端的IP地址的第五响应消息时,网络控制网元可以从第五响应消息中获取该终端的IP地址,并将该终端的IP地址发送给该终端,该终端接收该IP地址。
相应的,若第五响应消息包含该终端的IP地址,网络控制网元还可以将该终端的IP地址添加在第六连接请求中,从而将该终端的IP地址也发送给该安全节点。
需要说明的是,上述第二种方法和第三种方法的区别在于,第二种方法中是由该安全节点发送用于建立该安全节点和网关设备之间连接的第二连接请求,由网络控制网元将其转发至网关设备,而第三种方法中是直接由网络控制网元向网关设备发送用于建立该安全节点和网关设备之间连接的第三连接请求,安全节点无需向网络控制网元发送连接请求,从而可以减少该安全节点与网络控制网元之间的一次信令交互。
本申请实施例提供的网络连接方法,通过网络控制网元为该终端和安全节点分配一对用于互相加密和解密的安全参数,使该终端和该安全节点通过分配的安全参数建立网络连接并进行数据传输,从而无需该终端和该安全节点通过繁杂的信令交互进行协商确定安全参数,另外,为建立安全节点和网关设备之间的连接,提供了几种不同的连接方法,同时在连接过程中实现了网关设备为该终端进行IP地址的配置,简化了网络连接的过程,提高了建立网络连接的速度。
需要说明的是,在现有技术建立安全的网络连接的方法中,安全节点是由该终端自身进行选择的,由于该终端没有足够的信息,因此,该终端选择的安全节点可能不是最优的安全节点,从而导致数据传输的时延较长,所以针对上述问题,本申请还提供了一种安全节点的确定方法。
图5为本申请实施例提供的一种安全节点的确定方法,参见图5,该方法包括以下几个步骤。
步骤301:网络控制网元根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,确定该安全节点的节点标识。
可选的,网络控制网元根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,从多个安全节点中选择一个安全节点,并将选择的安全节点的标识确定为该安全节点的节点标识。也即是,网络控制网元可以根据该终端的归属域信息、该终端的位置信息、该终端所在的本地网络的位置信息中的任意一个、两个或者全部,从网络包括的多个安全节点中选择一个安全节点,并将选择的安全节点的标识确定为该安全节点的节点标识。
具体的,当网络控制网元从多个安全节点中选择一个安全节点时,通常可以根据上述归属域信息、该终端的位置信息、该终端所在的本地网络的位置信息中的至少一个,选择离该终端比较近的一个安全节点,并将选择的安全节点的标识确定为该安全节点的节点标识,这样可以减少控制面信令以及用户面传输的路径,从而降低传输时延。
其中,该终端的归属域信息可以通过该终端的归属域标志进行确定,若该终端的归属域是运营商的归属域标志,该归属域标志可以为国际用户识别码IMSI、或全球唯一临时标识GUTI,若该终端的归属域不是运营商的归属域标志,该归属域标志可以为签约标志SI(Subscriber Identifier),当然,在实际应用中,该归属域标志也可以为其他一些标志,从而网络控制网元可以根据该终端的归属域标志,确定该终端的归属域信息。
该终端的位置信息可以为该终端的经纬度信息、或坐标信息、或该终端接入网的标识和/或位置信息,比如,在移动网络中,该接入网可以是基站,当终端的位置信息为接入网中基站的标识时,网络控制网元可以根据基站的标识确定基站的位置信息。
本地网络的位置信息可以为本地网络中管理网元或接入网的标识和/或位置信息,比如,在移动网络中,该管理网元可以为On-site MME,该接入网可以为基站,当本地网络的位置信息为管理网元或接入网的标识时,网络控制网元可以根据该标识确定本地网络的位置信息。
进一步的,当网络控制网元获取该终端的归属域信息时,网络控制网元可以通过接收该终端的归属域标志,确定该终端的归属域信息,或者根据接收的该终端在本地网络的标识,先确定该终端的归属域标志,再根据该归属域标志确定该终端的归属域信息;当网络控制网元获取该终端的位置信息时,网络控制网元可以接收该终端上报的位置信息,或者根据接收的接入网的消息,比如基站的消息,来确定该终端的位置信息;当网络控制网元获取本地网络的位置信息时,网络控制网元可以接收本地网络中的网元上报的位置信息,或者根据接收的本地网络的消息来确定本地网络的位置信息。
可选的,该终端向网络控制网元发送附着请求或者连接请求,该附着请求或者连接请求包含该终端的归属域标志、和/或该终端的位置信息。另外,在该附着请求或者连接请求经过接入网、本地网络中的网元时,接入网、本地网络中的网元可以将接入网的标识或位置信息、本地网络标识或位置信息添加在该附着请求或者连接请求中,比如,在图1a所示的网络架构中,该附着请求或者连接请求经过网络中的本地基站和On-site MME到达网络控制网元,本地基站和On-site MME可以将自身的标识或位置信息添加在该附着请求或者连接请求中发送给网络控制网元;在图1b所示的网络架构中,该附着请求或者连接请求只经过本地基站,本地基站可以将基站的标识或位置信息添加在该附着请求或者连接请求中发送给网络控制网元,从而网络控制网元就可以获取该终端的位置信息、本地网络的位置信息。
步骤302:网络控制网元向该终端发送该安全节点的节点标识。
步骤303:该终端接收网络控制网元发送的该安全节点的节点标识,以及根据该安全节点的节点标识确定该安全节点。
具体的,当网络控制网元确定该安全节点的节点标识时,网络控制网元可以将该安全节点的节点标识发送给该终端,当该终端接收到该安全节点的节点标识时,该终端根据该安全节点的节点标识,确定该安全节点,进而根据上述网络连接方法建立该终端与该安全节点之间的网络连接。
本申请实施例提供的安全节点的确定方法,网络控制网元通过根据该终端的归属域信息、位置信息、和/或本地网络的位置信息等,选择离该终端较近的安全节点,并将该安全节点的节点标识发送给该终端,以使该终端与该安全节点建立网络连接,这样当该终端和该安全节点进行数据传输时,可以减少控制面信令以及用户面传输的路径,从而降低传输时延。
图6为本申请实施例提供一种网元,该网元可以为网络控制网元,可以为终端,也可以为安全节点,所述网元包括存储器401、处理器402,电源组件403、输入\输出接口404和通信组件405等。本领域普通技术人员可以理解,图6所示的结构仅为示意,其并不对网元的结构造成限定。例如,该网元还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。
下面对网元的各个构成部件进行具体的介绍:
存储器401可用于存储数据、软件程序以及模块;主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据模型参数融合装置的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器402是网元的控制中心,利用各种接口和线路连接整个网元的各个部分,通过运行或执行存储在存储器401内的软件程序和/或模块,以及调用存储在存储器401内的数据,执行网元的各种功能和处理数据,从而对网元进行整体监控。可选的,处理器402可包括一个或多个处理单元;优选的,处理器402可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作***、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器402中。
电源组件403用于为网元的各个组件提供电源,电源组件403可以包括电源管理***,一个或多个电源,及其他与网元生成、管理和分配电力相关联的组件。
输入\输出接口404为处理器402和***接口模块之间提供接口,比如,***接口模块可以键盘、鼠标等。
通信组件405被配置为便于网元和其他设备之间有线或无线方式的通信。该网元可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合等。
尽管未示出,该网元还可以包括音频组件和多媒体组件等,本申请实施例在此不再赘述。
可选的,当处理器402运行存储器401中的代码,使所述网元用于执行上述图2-图4所示的网络连接方法中网络控制网元的步骤时,所述网络控制网元用于:
向终端发送第一连接参数;
向安全节点发送第二连接参数;
其中,第一连接参数用于解密通过第二连接参数加密的数据;相应的,第二连接参数用于解密通过第一连接参数加密的数据;第一连接参数和第二连接参数包含该终端与该安全节点建立网络连接时的安全参数。
可选的,当处理器402运行存储器401中的代码,使所述网元用于执行上述图2-图4所示的网络连接方法中终端的步骤时,所述终端用于:
接收网络控制网元发送的第一连接参数,第一连接参数用于解密通过第二连接参数加密的数据,第一连接参数包含该终端与安全节点建立网络连接时的安全参数;
通过第一连接参数与接收第二连接参数的安全节点建立网络连接。
可选的,当处理器402运行存储器401中的代码,使所述网元用于执行上述图2-图4所示的网络连接方法中安全节点的步骤时,所述安全节点用于:
接收网络控制网元发送的第二连接参数,第二连接参数用于解密通过第一连接参数加密的数据,第二连接参数包含该安全节点与终端建立网络连接时的安全参数;
通过第二连接参数与接收第一连接参数的终端建立网络连接。
具体的,网络控制网元、终端和安全节点用于执行图2-图4所示的网络连接方法时,详细的网络连接方法参见图2-图4对应的实施例中的描述,本申请实施例在此不再赘述。
本申请实施例提供的网元,当该网元用于执行图2-图4所示的网络连接方法中网络控制网元的步骤时,该网络控制网元通过向终端发送第一连接参数,以及向安全节点发送第二连接参数,第一连接参数用于解密通过第二连接参数加密的数据,第二连接参数用于解密通过第一连接参数加密的数据,以使该终端与该安全节点可以直接通过第一连接参数和第二连接参数建立网络连接,从而无需该终端和该安全节点通过繁杂的信令交互进行协商来确定安全参数,从而简化了网络连接的过程。
可选的,当处理器402运行存储器401中的代码,使所述网元用于执行上述图5所示的安全节点的确定方法中网络控制网元的步骤时,所述网络控制网元用于:
根据该终端的归属域信息、和/或该终端的位置信息、和/或该终端所在的本地网络的位置信息,确定该安全节点的节点标识;
向该终端发送该安全节点的节点标识,以使该终端通过该安全节点的节点标识确定该安全节点。
可选的,当处理器402运行存储器401中的代码,使所述网元用于执行上述图5所示的安全节点的确定方法中终端的步骤时,所述终端用于:
接收网络控制网元发送的该安全节点的节点标识;
根据该安全节点的节点标识,确定该安全节点。
具体的,网络控制网元和终端用于执行图5所示的安全节点的确定方法时,详细的安全节点的确定方法参见图5对应的实施例中的描述,本申请实施例在此不再赘述。
本申请实施例提供的网元,当该网元用于执行图5所示的安全节点的确定方法中网络控制网元的步骤时,该网络控制网元根据该终端的归属域信息、位置信息、和本地网络的位置信息等,选择离该终端较近的安全节点,并将该安全节点的节点标识发送给该终端,从而当该终端和该安全节点进行数据传输时,可以减少控制面信令以及用户面传输的路径,降低传输时延。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (29)

1.一种网络连接方法,其特征在于,所述方法包括:
网络控制网元向终端发送第一连接参数;
所述网络控制网元向安全节点发送第二连接参数;
其中,所述第一连接参数用于解密通过所述第二连接参数加密的数据,所述第二连接参数用于解密通过所述第一连接参数加密的数据;所述第一连接参数和所述第二连接参数包含所述终端与所述安全节点建立网络连接时的安全参数。
2.根据权利要求1所述的方法,其特征在于,所述第一连接参数包括以下至少一个:第一安全秘钥、安全加密算法、随机值、安全索引;所述第二连接参数包括以下至少一个:第二安全秘钥、所述安全加密算法、所述随机值、所述安全索引;
其中,所述第一安全秘钥用于所述终端对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的终端安全秘钥;
所述安全加密算法为所述终端或所述安全节点对数据进行加密或解密的算法;
所述随机值用于产生新的安全秘钥;
所述安全索引用于识别数据包对应的安全连接;
所述第二安全秘钥用于所述安全节点对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的安全节点安全秘钥。
3.根据权利要求1所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述网络控制网元获取与所述终端对应的签约数据;
所述网络控制网元向所述安全节点发送包含所述签约数据的部分或全部内容的第一连接请求,所述第一连接请求用于使所述安全节点向网关设备发送包含所述签约数据的部分或全部内容的第二连接请求,所述第二连接请求用于建立所述安全节点与所述网关设备之间的连接。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述网络控制网元接收所述安全节点发送的第一响应消息,所述第一响应消息中包括所述网关设备为所述终端分配的IP地址;
所述网络控制网元将所述终端的IP地址发送给所述终端。
5.根据权利要求1所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述网络控制网元获取与所述终端对应的签约数据;
当所述网络控制网元接收所述安全节点经过所述网络控制网元向网关设备发送的第二连接请求时,向所述网关设备发送第三连接请求,所述第三连接请求包含所述签约数据的部分或全部内容,所述第二连接请求和所述第三连接请求用于建立所述安全节点与所述网关设备之间的连接。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当网络控制网元接收所述网关设备经过所述网络控制网元向所述安全节点发送的第三响应消息时,向所述安全节点发送第二响应消息,所述第二响应消息包含所述签约数据的部分或全部内容。
7.根据权利要求6所述的方法,其特征在于,所述第二响应消息包含所述网关设备为所述终端分配的IP地址;
所述方法还包括:
所述网络控制网元将所述终端的IP地址发送给所述终端。
8.根据权利要求1所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述网络控制网元获取与所述终端对应的签约数据;
所述网络控制网元向网关设备发送包含所述签约数据的部分或全部内容的第五连接请求,所述第五连接请求用于建立所述安全节点与所述网关设备之间的连接;
所述网络控制网元接收所述网关设备发送的第五响应消息。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述网络控制网元向所述安全节点发送包含所述签约数据的部分或全部内容的第六连接请求,以建立所述安全节点与所述网关设备之间的连接。
10.根据权利要求9所述的方法,其特征在于,所述第五响应消息包含所述网关设备为所述终端分配的IP地址;
所述方法还包括:
所述网络控制网元将所述终端的IP地址发送给所述终端。
11.根据权利要求1-10任一项所述的方法,其特征在于,所述网络控制网元向终端发送第一连接参数之前,所述方法还包括:
所述网络控制网元确定所述安全节点的节点标识;
所述网络控制网元向所述终端发送所述安全节点的节点标识。
12.根据权利要求1-10任一项所述的方法,其特征在于,所述网络控制网元向终端发送第一连接参数之前,所述方法还包括:
所述网络控制网元接收所述终端发送的附着请求或者连接请求,所述附着请求或者连接请求用于请求建立PDN连接,所述附着请求或者连接请求包含所述终端的归属域信息和/或所述终端的位置信息。
13.根据权利要求11所述的方法,其特征在于,所述网络控制网元向终端发送第一连接参数之前,所述方法还包括:
所述网络控制网元接收所述终端发送的附着请求或者连接请求,所述附着请求或者连接请求用于请求建立PDN连接,所述附着请求或者连接请求包含所述终端的归属域信息和/或所述终端的位置信息。
14.一种网络连接方法,其特征在于,所述方法包括:
安全节点接收网络控制网元发送的第二连接参数,所述第二连接参数用于解密通过第一连接参数加密的数据,所述第二连接参数包含所述安全节点与终端建立网络连接时的安全参数;
所述安全节点通过所述第二连接参数与接收第一连接参数的所述终端建立网络连接。
15.根据权利要求14所述的方法,其特征在于,所述第二连接参数包括以下至少一个:第二安全秘钥、安全加密算法、随机值、安全索引;
所述第二安全秘钥用于所述安全节点对发送的数据进行加密,或对接收的数据进行解密,或者用于产生新的安全节点安全秘钥;
所述安全加密算法为所述安全节点对数据进行加密和解密的算法;
所述随机值用于产生新的安全秘钥;
所述安全索引用于识别数据包对应的安全连接。
16.根据权利要求14或15所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述安全节点接收所述网络控制网元发送的包含签约数据的部分或全部内容的第一连接请求;
所述安全节点向网关设备发送包含所述签约数据的部分或全部内容的第二连接请求,所述第二连接请求用于请求建立所述安全节点与所述网关设备之间的连接。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括:
所述安全节点接收所述网关设备发送的第二响应消息,所述第二响应消息包含所述网关设备为所述终端分配的IP地址。
18.根据权利要求17所述的方法,其特征在于,所述方法还包括:
所述安全节点向所述网络控制网元发送第一响应消息,所述第一响应消息包含所述网关设备为所述终端分配的IP地址。
19.根据权利要求14或15所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述安全节点向所述网络控制网元发送第三连接请求,所述第三连接请求用于请求建立所述安全节点与网关设备之间的连接。
20.根据权利要求19所述的方法,其特征在于,所述方法还包括:
所述安全节点接收所述网络控制网元发送的第三响应消息,以在所述安全节点与所述网关设备之间建立连接;其中,所述第三响应消息包含签约数据的部分或全部内容。
21.根据权利要求20所述的方法,其特征在于,所述第三响应消息包含所述网关设备为所述终端分配的IP地址。
22.根据权利要求14或15所述的方法,其特征在于,若所述安全节点为独立的网元,所述方法还包括:
所述安全节点接收所述网络控制网元发送的第六连接请求,所述第六连接请求包含签约数据的部分或全部内容的,所述第六连接请求用于请求建立所述安全节点与网关设备之间的连接。
23.根据权利要求22所述的方法,其特征在于,所述第六连接请求包含所述网关设备为所述终端分配的IP地址。
24.一种安全节点的确定方法,其特征在于,所述方法包括:
网络控制网元根据终端的归属域信息、和/或所述终端的位置信息、和/或所述终端所在的本地网络的位置信息,确定安全节点的节点标识;
所述网络控制网元向所述终端发送所述安全节点的节点标识;
所述网络控制网元向所述终端发送第一连接参数;
所述网络控制网元向安全节点发送第二连接参数;
其中,所述第一连接参数用于解密通过所述第二连接参数加密的数据,所述第二连接参数用于解密通过所述第一连接参数加密的数据;所述第一连接参数和所述第二连接参数包含所述终端与所述安全节点建立网络连接时的安全参数。
25.根据权利要求24所述的方法,其特征在于,所述终端的归属域信息为通过所述终端的归属域标志确定的归属域信息;其中,所述归属域标志为国际用户识别码IMSI、或全球唯一临时标识GUTI、或签约标志SI;
所述终端的位置信息为所述终端的经纬度信息、或坐标信息、或所述终端接入接入网的标识和/或位置信息;
所述本地网络的位置信息为所述本地网络中管理网元或接入网的标识和/或位置信息。
26.根据权利要求24或25所述的方法,其特征在于,所述方法还包括:
所述网络控制网元接收所述终端的归属域标志,或所述网络控制网元根据接收的所述终端在本地网络的标识确定所述终端的归属域标志;和/或,
所述网络控制网元接收所述终端的位置信息,或所述网络控制网元根据接收的接入网的消息确定终端的位置信息;和/或,
所述网络控制网元接收所述本地网络的位置信息,或所述网络控制网元根据接收的本地网络的消息确定所述本地网络的位置信息。
27.一种网络控制网元,其特征在于,所述网络控制网元包括存储器、处理器,所述存储器中存储代码和数据,所述处理器运行存储器中的代码使得所述网络控制网元执行上述权利要求1-13任一项所述的网络连接方法,或者上述权利要求24-26任一项所述的安全节点的确定方法。
28.一种安全节点,其特征在于,所述安全节点包括存储器、处理器,所述存储器中存储代码和数据,所述处理器运行存储器中的代码使得所述安全节点执行上述权利要求14-23任一项所述的网络连接方法。
29.一种通信***,其特征在于,所述通信***包括上述权利要求27所述的网络控制网元、以及权利要求28所述的安全节点。
CN201680085919.2A 2016-06-01 2016-06-01 网络连接方法、安全节点的确定方法及装置 Active CN109155913B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/084385 WO2017206125A1 (zh) 2016-06-01 2016-06-01 网络连接方法、安全节点的确定方法及装置

Publications (2)

Publication Number Publication Date
CN109155913A CN109155913A (zh) 2019-01-04
CN109155913B true CN109155913B (zh) 2021-05-18

Family

ID=60479467

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680085919.2A Active CN109155913B (zh) 2016-06-01 2016-06-01 网络连接方法、安全节点的确定方法及装置

Country Status (4)

Country Link
US (1) US10841792B2 (zh)
EP (1) EP3454583B1 (zh)
CN (1) CN109155913B (zh)
WO (1) WO2017206125A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118176757A (zh) * 2021-11-03 2024-06-11 Oppo广东移动通信有限公司 一种连接建立及数据传输方法、装置、通信设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102695168A (zh) * 2012-05-21 2012-09-26 中国联合网络通信集团有限公司 终端设备、加密网关、无线网络安全通信方法及***
CN102752833A (zh) * 2011-04-22 2012-10-24 中兴通讯股份有限公司 一种选择网关的方法及***
CN104796887A (zh) * 2015-04-14 2015-07-22 大唐移动通信设备有限公司 一种安全信息交互的方法和装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7298847B2 (en) * 2002-02-07 2007-11-20 Nokia Inc. Secure key distribution protocol in AAA for mobile IP
EP1665838B1 (en) * 2003-08-13 2010-03-10 Roamware, Inc. Signaling gateway with multiple imsi with multiple msisdn (mimm) service in a single sim for multiple roaming partners
EP1712058A1 (en) * 2004-02-06 2006-10-18 Telecom Italia S.p.A. Method and system for the secure and transparent provision of mobile ip services in an aaa environment
KR100651716B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
US20090047947A1 (en) * 2007-08-02 2009-02-19 Qualcomm Incorporated Dynamic gateway selection based on data service and roaming protocol
CN101448245B (zh) * 2008-04-01 2011-04-20 中兴通讯股份有限公司 用于归属网ims域获取ue接入信息的方法
US20090285179A1 (en) * 2008-05-16 2009-11-19 Bridgewater Systems Corp. Long-Term Evolution (LTE) Packet Data Network Gateway (PDN-GW) Selection
JP5722228B2 (ja) * 2008-11-17 2015-05-20 クゥアルコム・インコーポレイテッドQualcomm Incorporated ローカルネットワークへのリモートアクセス
JP5611969B2 (ja) * 2008-11-17 2014-10-22 クゥアルコム・インコーポレイテッドQualcomm Incorporated セキュリティゲートウェイを介したローカルネットワークへのリモートアクセス
JPWO2011001628A1 (ja) * 2009-07-03 2012-12-10 パナソニック株式会社 コネクション管理方法、コネクション管理システム、移動端末、パケットデータゲートウェイ並びに移動管理ゲートウェイ
EP2658202B1 (en) * 2012-04-24 2017-10-11 Telefonaktiebolaget LM Ericsson (publ) Identification of an ip-can session in a policy and charging control apparatus
JP6138058B2 (ja) * 2012-07-02 2017-05-31 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America サーバ及び通信端末
US10455414B2 (en) * 2014-10-29 2019-10-22 Qualcomm Incorporated User-plane security for next generation cellular networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752833A (zh) * 2011-04-22 2012-10-24 中兴通讯股份有限公司 一种选择网关的方法及***
CN102695168A (zh) * 2012-05-21 2012-09-26 中国联合网络通信集团有限公司 终端设备、加密网关、无线网络安全通信方法及***
CN104796887A (zh) * 2015-04-14 2015-07-22 大唐移动通信设备有限公司 一种安全信息交互的方法和装置

Also Published As

Publication number Publication date
CN109155913A (zh) 2019-01-04
US20190110194A1 (en) 2019-04-11
EP3454583A4 (en) 2019-03-13
EP3454583B1 (en) 2021-03-03
US10841792B2 (en) 2020-11-17
WO2017206125A1 (zh) 2017-12-07
EP3454583A1 (en) 2019-03-13

Similar Documents

Publication Publication Date Title
CN109922474B (zh) 触发网络鉴权的方法及相关设备
WO2015029945A1 (ja) 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置
CN106134231B (zh) 密钥生成方法、设备及***
US20200228977A1 (en) Parameter Protection Method And Device, And System
KR20160078426A (ko) 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치
US8990555B2 (en) Centralized key management
CN112492580A (zh) 信息处理方法及装置、通信设备及存储介质
WO2019214351A1 (zh) 消息处理方法及装置
CN113784343A (zh) 保护通信的方法和装置
EP3284232B1 (en) Wireless communications
CN108156604B (zh) 集群***的组呼加密传输方法及装置、集群终端和***
WO2022027476A1 (zh) 密钥管理方法及通信装置
EP2557727B1 (en) Method and system for multi-access authentication in next generation network
CN109155913B (zh) 网络连接方法、安全节点的确定方法及装置
CN110830240B (zh) 一种终端与服务器的通信方法和装置
CN105592433B (zh) 设备到设备限制发现业务广播、监听方法、装置及***
KR101500118B1 (ko) 데이터 공유 방법 및 이를 이용한 데이터 공유 시스템
CN111770488B (zh) Ehplmn更新方法、相关设备及存储介质
CN115150075A (zh) 基于共享密钥进行数据通信的方法、装置、设备和介质
US20220322080A1 (en) Handling of nas container in registration request at amf re-allocation
WO2020173451A1 (zh) 一种前向安全实现方法、装置及存储介质
CN108156112B (zh) 数据加密方法、电子设备及网络侧设备
US20230336998A1 (en) Safe mode configuration method, device and system, and computer-readable storage medium
CN109151816B (zh) 一种网络鉴权方法及***
CN110169128B (zh) 一种通信方法、装置和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant