CN112714439B - 通信数据的安全传输方法、装置、设备及存储介质 - Google Patents
通信数据的安全传输方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112714439B CN112714439B CN201911023888.XA CN201911023888A CN112714439B CN 112714439 B CN112714439 B CN 112714439B CN 201911023888 A CN201911023888 A CN 201911023888A CN 112714439 B CN112714439 B CN 112714439B
- Authority
- CN
- China
- Prior art keywords
- data
- communication data
- security
- base station
- spd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种通信数据的安全传输方法、装置、设备及存储介质,其中的方法包括:应用于基站侧,在基站侧配置安全网关,安全网关为基于IPsec网络安全协议的VPN安全网关,确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表中获取对应的隧道IP;应用所述隧道IP封装所述通信数据,生成封装后的数据并发送。本发明的有益效果为:实现了在接入网为非安全网时基站间通信数据、基站与核心网间的信令数据和业务数据等的安全传输。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种通信数据的安全传输方法、装置、设备及存储介质。
背景技术
5G网络(5th Generation Network,第五代移动通信网络)的部署工作正在逐渐展开并且投入商业应用,一般地,5G网络的部署包括独立部署方式 SA(Standalone,独立网组)和NSA(Nonstandalone,非独立网组),其中,采用SA部署方式的应用更为广泛。
采用SA部署方式时,5G组网架构RAN(Radio Access Network,无线组网方式)的5G核心网(5GC,5G core network)将控制面和业务面彻底分离,结合图1所示,为现有5G通讯侧gNB基站的数据传输模型,5G基站gNB (5G基站的命名)与5GC间通过独立接口分别实现控制面数据交互N2以及业务面数据交互N3,除此之外,gNB间的数据交互通过Xn接***互,另外,为了一定地域范围内的gNB基站便于管理,还存在一条操作维护链路OM (Operationand Maintenance,操作和维护),用来实现gNB基站的日常维护以及运行日志和告警记录。
现有5G通信基站间通信数据的传输以及基站与核心网之间的数据传输存在一个问题,即其数据安全传输无法得到保证,当接入网为非安全网络时会使数据安全传输问题更为突出,因此无论是接入网出现问题还是数据传输过程中出现问题,均会使通信数据无法安全可行地传输,该问题是目前业界亟需解决的重要课题之一,目前还没有能够解决上述问题的方法或者装置。
发明内容
本发明实施例提供一种通信数据的安全传输方法、装置、设备及存储介质,用以解决现有技术中当接入网为非安全网络时无法保证数据安全传输的缺陷,实现根据需求对通信数据进行安全传输。
第一方面,本发明实施例提供一种通信数据的安全传输方法,所述通信数据的安全传输方法应用于基站侧,在所述基站侧配置安全网关,所述安全网关为基于网络安全协议IPsec的虚拟专用网关VPN,所述方法包括:
确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;
应用所述隧道IP封装所述通信数据,生成封装后的数据并发送。
第二方面,本发明实施例提供一种通信数据的安全传输装置,所述通信数据的安全传输装置应用于基站侧,在所述基站侧配置安全网关,所述安全网关为基于网络安全协议IPsec的虚拟专用网关VPN,所述装置包括:
协商确定模块,用于确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
隧道确定模块,用于确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD 中获取对应的隧道IP;
封装模块,用于将所述隧道IP封装至所述符合所述安全策略表SPD的通信数据以生成完整的报文;
发送模块,用于发送所述封装模块生成的所述报文。
第三方面,本发明实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述通信数据的安全传输方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述通信数据的安全传输方法的步骤。
本发明实施例提供的通信数据的安全传输方法及装置,通过在基站侧利用基站已有架构配置IPsec VPN安全网关,通过安全网关的硬件加速器对基站间通信数据、基站与核心网间的信令数据和业务数据等进行加速后加解密以安全传输,解决了现有技术中当接入网为非安全网络时数据安全无法得到保证的问题,实现了当基站无线接入网为非安全网络时的通信数据安全可靠的传输。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对示例性实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些示例性实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中对不区分接入网是否为安全网络时的数据示意性流程图;
图2为本发明实施例通信数据的安全传输方法的示意性流程图;
图3为本发明实施例通信数据的安全传输方法的安全隧道示意性流程图;
图4为本发明实施例通信数据的安全传输方法的协商报文传输示意性流程图;
图5为本发明实施例通信数据的安全传输方法的上行数据处理示意性流程图;
图6为本发明实施例通信数据的安全传输方法的下行数据处理示意性流程图;
图7为本发明实施例通信数据的安全传输装置的示意性结构图;
图8为应用本发明通信数据的方法的设备示例性实施例示意性结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的示例性实施例是本发明一部分示例性实施例,而不是全部的示例性实施例。基于本发明中的示例性实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他示例性实施例,都属于本发明保护的范围。
本发明涉及一种通信数据的安全传输方法、装置、设备及存储介质,其主要运用于在5G网络中基站与基站间、基站与核心网间的通信数据传输的场景中,其基本思想是:在基站侧利用基站已有架构配置安全网关,所述安全网关为基于IPsec网络安全协议的VPN安全网关,并根据通信数据是否符合SP表的保护段确定是否通过安全网关进行加密的专用隧道IP传输,使得 5G基站与基站间交互的以及基站与5GC核心网间交互的不同类型的通信数据均能够得到安全可行的传输。
本发明实施例可适用于能够根据已有架构配置基于IPsec网络安全协议的VPN安全网关的5G NR(New Radio,新无线)基站中以进行通信数据的安全传输的情况中,该方法可以由VPN安全网关来执行,其中该VPN安全网关可以由软件和/或硬件来实现,一般地可集成于5G基站gNb中,或者由基站侧的中心控制模块来控制,如图2所示,为本发明实施例的通信数据的安全传输方法的基本流程示意图,所述方法应用于基站侧,利用已有架构配置IPsec网络安全协议的VPN安全网关(IPsec VPN安全网关)后,具体包括如下步骤:
在步骤110中,确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
5G基站侧的IKEv2协商模块通过协商通道和VPN网关进行IKEv2协商交互,本发明实施例的一种实施方式中,通过UDP端口号为500的 IKE_SA_INIT报文和UDP端口号为4500的IKE_AUTH报文,协商成功后生成加解密所需要的SAD(Security Association Database)和SPD(Security Policy Database),所述SPD可用于查询报文IP的保护段,当报文IP属于SPD的保护段时确定报文属于受保护的报文,并可根据SAD表中的隧道加密完保算法等信息进行加密,所述SPD、SAD可通过代码的形式表示为一组数据结构;所述SPD可用于查询保护段对应的隧道IP;所述SAD可用于对应隧道IP需要应用的加密完保等算法信息。
在步骤120中,确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;
在步骤130中,应用所述隧道IP封装所述通信数据,生成封装后的数据并发送。
所述通信数据包括多种类型,本发明实施例的实施方式中包括例如OM 数据、信令数据以及业务数据等类型。
本发明实施例的一种实施场景中,基站与核心网之间的5G通信数据进行传输时,通信数据包括基站与核心网交互的信令数据与基站与核心网交互的业务数据两种类型,当所述通信数据需要在基站与基站之间传输时,其还包括基站与基站间交互的传输数据类型,本发明实施例的实施场景中可包括上述三种类型的数据中的任意一种或至少两种以上的组合。
在所述步骤120中确定符合所述安全策略表SPD的通信数据时可对所述通信数据的类型进行判断,判断时可首先判断所述通信数据是否为基站与基站间的通信数据,若是,则所述判断结果直接将所述通信数据标记为第一类型。
当所述通信数据不是基站与基站间的通信数据时判断所述通信数据是否为基站与核心网间的通信数据,并根据具体的传输数据类型的不同,将基站与核心网间的通信数据分为信令数据并标记为第二类型,以及业务数据并标记为第三类型两种。
所述封装可以为将所述通信数据进行映射,映射按照相应的协议填充形成封装协议的数据包,并根据需求完成传输速率的适配,按照需求的传输速度对所述封装后的5G通信数据进行传输,本发明实施例中为按照虚拟专用网关VPN的隧道模式封装协议进行封装。
通信数据(本发明实施例以太报文的形式出现)符合所述安全策略表SPD 的通信数据可能为第一类型、第二类型或第三类型的通信数据,第一类型、第二类型或第三类型的通信数据对应的报文IP属于安全策略表SPD的保护段时即为符合所述安全策略表SPD的通信数据。
从所述SPD中查询符合的通信数据根据其所属类型获取对应的隧道IP,例如第一类型对应第一隧道IP,第二类型对应第二隧道IP,第三类型对应第三隧道IP,等。
对符合SPD保护段查询的通信数据进行隧道封装,隧道封装即对符合 SPD保护段查询的通信数据加密后重新组装报文,将隧道IP填到报文的IP 部分,并填写对应的mac地址,重新组成完整的报文并进行发送。
本发明实施例的方法,在基站侧利用基站现有的架构配置IPsec VPN安全网关,通过所述IPsec VPN安全网关判断通信数据是否受保护段保护,并进而根据传输数据类型确定封装的隧道IP并配置安全隧道进行传输,在该过程中还可加密和解密,使得5G基站与基站间交互的以及基站与5GC核心网间交互的不同类型的通信数据均能够得到安全可行的传输。
结合图3所示,为本发明实施例的安全网关数据传输模型示意图,所述 IPsec VPN安全网关处于隧道模式的情况下,当所述通信数据为第一类型封装报文即基站与基站间交互的传输数据时,所述第一传输隧道对应于图中的Xn 安全隧道,当所述通信数据为第二类型封装报文即基站与核心网间交互的传输数据且为信令数据时,所述第二传输隧道对应于图中的N2安全隧道,当所述通信数据为第三类型封装报文即基站与核心网间交互的传输数据且为业务数据时,所述第三传输隧道对应于图中的N3安全隧道,各隧道中传输的数据均可以为单向或双向的,但本发明仅以交互的数据双向通信作为示例性实施例。
此时所述通信数据为上述三种类型时,其封装和发送过程包括:
当判断所述通信数据为基站与基站间交互的传输数据时,对所述通信数据封装后得到第一类型封装报文;根据所述第一类型封装报文包含的隧道IP 发送所述第一类型封装报文。
当判断所述通信数据为基站与核心网交互的信令数据时,对所述通信数据封装后得到第二类型封装报文;根据所述第二类型封装报文包含的隧道IP 发送所述第二类型封装报文。
当判断所述通信数据为基站与核心网交互的业务数据时,对所述通信数据封装后得到第三类型封装报文;根据所述第三类型封装报文包含的隧道IP 发送所述第三类型封装报文。
本发明实施例的方法,所述IPsec VPN安全网关配置完成后,首先确定基站与核心网之间协商交互且协商成功,然后所述IPsec VPN安全网关建立 IPsec隧道与所述第一类型封装报文、第二类型封装报文以及第三类型封装报文相对应,其建立的隧道可包括:第一类型封装报文对应的第一传输隧道;第二类型封装报文对应的第二传输隧道;第三类型封装报文对应的第三传输隧道,第一~第三传输隧道均为IPsec隧道,各IPsec隧道中传输的上行数据可按照加密的算法进行加密。
本发明实施例的一种可行的实施场景中,所述通信数据类型可以为OM 数据,OM服务器通过对基站侧发送OM指令实现对基站的操作和维护,当判断结果为OM数据时,对所述OM数据进行标记,以区分所述OM数据与所述符合所述安全策略表SPD的通信数据,即对于非加密类型的操作维护 OM数据流与加密类型的业务数据、信令数据以及基站间传输的Xn数据等进行隔离,使得操作维护类型的OM数据在操作和维护时不受影响。
本发明实施例的一种可行的实施方式中,还包括对所述各传输隧道进行加密或者解密的过程,这一过程首先需要基站的安全网关与核心网侧进行交互,具体地,结合图4所示,5G基站侧的IKEv2协商模块通过协商通道和 VPN网关进行IKEv2协商交互,可具体为UDP端口号为500的IKE_SA_INIT 报文和UDP端口号为4500的IKE_AUTH报文进行协商,协商成功后生成加解密所需要的SAD和SPD。
当所述通信数据通过各IPSec隧道进行传输时,对其属于上行数据还是下行数据进行区分,其可以对上行明文数据加密,对下行密文数据解密,本发明实施例的一种实施方式中,所述安全网关还配置有硬件加速器以更快地实现对通信数据的加解密过程,通过启动所述安全网关的硬件加速器使得在所述传输隧道传输对应类型的所述封装数据时,通过所述硬件加速器对所述封装数据进行加解密后传输。
本发明实施例通过硬件加速器实现AES、3DES等加密算法以及SHA-128 等完保摘要算法,以达到对需要保护的通信数据实现密文传输,不需要保护的通信数据实现明文传输,使得需要保护的通信数据及不需要保护的通信数据传输上相互隔离以实现分流,互不干扰。
本发明实施例的一种实施方式中,当所述封装数据为上行数据时,对所述上行数据加密后通过所述封装数据对应的传输隧道进行传输。
结合图5所示,当识别到传输数据为上行数据时,基站侧的NP(NetworkProcessor)网络处理器对所述上行数据进行简单处理如过滤后查询所述SPD,首先判断所述上行数据是否为OM数据,对OM数据进行排除,当判断为是时对所述OM数据进行透传操作,即不对所述OM数据进行加密操作维持原有数据通道进行传输,仅将所述OM数据传输的内容按照其包含的源地址传输至目标地址,不对其业务数据内容进行任何改变,以实现OM数据与受保护的通信数据的第一步分离。对于上行数据是非OM数据(上述提到的基站间数据、信令数据以及业务数据),先查询数据所属的报文IP是否是SP(Security Policy)表中的保护段,属于保护段的报文,通过硬件加速器根据SP中的加密完保算法信息,利用相应的加密算法(如AES、3DES等)对该上行报文进行加密,然后查询SA(Security Association)表,确认该保护段所属的隧道IP,对加密报文进行隧道封装。
本发明实施例的一种实施方式中,当所述封装数据为下行数据时,对所述下行数据解密后通过所述封装数据对应的传输隧道进行传输,结合图6所示,当识别到传输数据为下行数据时,首先识别所述下行数据是否为通过加密算法进行加密的报文,当属于加密数据时通过硬件加速器对所述加密数据进行加速解密所述加速数据,从所述对应的传输隧道剥离所述解密后的下行数据,交由基站侧的NP网络处理器简单处理后交由基站侧处理。
本发明实施例的一种可行的实施方式中,在所述判断通信数据的类型之前,所述方法还包括:
判断所述基站侧的接入网是否为安全网;
当所述接入网为安全网时,取消配置所述安全网关;
当所述接入网为非安全网时,启动配置所述安全网关。
在5G通信数据传输时,可通过黑白名单机制判断接入网是否为安全网,例如接入网属于白名单时为安全网站,可取消配置安全网关以节约基站能耗,接入网属于黑名单时为非安全网站,可启动安全网关以实现数据安全可靠传输,在另一种可行的实施方式中,所述安全网关的取消和启动可根据实际需求进行设置。
图7为本发明实施例提供的一种通信数据的安全传输装置的结构示意图,该装置可由软件和/或硬件实现,一般地集成于基站侧,可通过通信数据的安全传输方法来实现。如图所示,本实施例可以以上述实施例为基础,提供了一种通信数据的安全传输装置,应用于基站侧,在所述基站侧配置安全网关,所述安全网关为基于网络安全协议IPsec的虚拟专用网关VPN,所述装置包括:协商确定模块710、隧道确定模块720、封装模块730以及发送模块740。
其中的协商确定模块710,用于确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
其中的隧道确定模块720,用于根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;
其中的封装模块730,用于应用所述隧道IP封装所述通信数据,生成封装后的数据;
其中的发送模块740,用于发送所述封装模块730生成的所述报文。
本发明实施例的一种实施方式中,所述封装模块730,包括:
第一封装子模块,用于当判断所述通信数据为基站与基站间交互的传输数据时,对所述通信数据封装后得到第一类型封装报文;
第二封装子模块,用于当判断所述通信数据为基站与核心网交互的信令数据时,对所述通信数据封装后得到第二类型封装报文;
第三封装子模块,用于当判断所述通信数据为基站与核心网交互的业务数据时,对所述通信数据封装后得到第三类型封装报文;
所述发送模块740用于:
分别根据所述第一封装子模块、第二封装子模块以及第三封装子模块包含的隧道IP发送所述报文。
本发明实施例的一种实施方式中,所述装置还包括:
维护模块,用于当判断所述通信数据为操作和维护OM数据时,对所述 OM数据进行标记,维持所述OM数据的传输通道。
本发明实施例的一种实施方式中,所述隧道传输模块,用于当所述虚拟专用网关VPN处于隧道模式时:确定所述第一类型封装报文通过第一传输隧道发送;确定所述第二类型封装报文通过第二传输隧道发送;确定所述第三类型封装报文通过第三传输隧道发送。
本发明实施例的一种实施方式中,所述装置包括:
加密模块,用于当所述符合所述安全策略表SPD的通信数据为上行数据时,对所述上行数据进行加速后结合所述安全策略表SPD的加密算法对所述上行数据进行加密。
本发明实施例的一种实施方式中,所述装置包括:
解密模块,用于当所述符合所述安全策略表SPD的通信数据为下行数据时,对所述下行数据进行解密后明文传输。
本发明实施例的一种实施方式中,所述装置还包括:
接入网判断模块,用于判断所述基站侧的接入网是否为安全网;
配置模块,用于当所述接入网为安全网时,取消配置所述安全网关;或,当所述接入网为非安全网时,启动配置所述安全网关。
本发明实施例的一种实施方式中,所述装置还包括:
所述协商确定模块还用于:
获取所述基站与所述安全网关间的协商报文;
根据所述协商报文的协商结果获取所述安全网关的传输隧道加密及解密时的安全关联表SAD和安全策略表SPD。
本发明实施例的一种实施方式中,所述装置还包括:
硬件启动模块,用于启动所述安全网关的硬件加速器;
所述硬件启动模块还用于:在所述传输隧道传输对应类型的所述封装数据时,通过所述硬件加速器对所述封装数据进行加速后传输。
上述实施例中提供的通信数据的安全传输装置可执行本发明中任意实施例中所提供的通信数据的安全传输方法,具备执行该方法相应的功能模块和有益效果,未在上述实施例中详细描述的技术细节,可参见本发明任意实施例中所提供的通信数据的安全传输方法。
如果期望的话,上文所讨论的各步骤并不限于各实施例中的执行顺序,不同步骤可以以不同顺序执行和/或彼此同时执行。此外,在其他实施例中,以上所描述的一个或多个步骤可以是可选的或者可以进行组合。
虽然本发明的各个方面在独立权利要求中给出,但是本发明的其它方面包括来自所描述实施方式的特征和/或具有独立权利要求的特征的从属权利要求的组合,而并非仅是权利要求中所明确给出的组合。
这里所要注意的是,虽然以上描述了本发明的示例实施方式,但是这些描述并不应当以限制的含义进行理解。相反,可以进行若干种变化和修改而并不背离如所附权利要求中所限定的本发明的范围。
本领域普通技术人员应该明白,本发明实施例的装置中的各模块可以用通用的计算装置来实现,各模块可以集中在单个计算装置或者计算装置组成的网络组中,本发明实施例中的装置对应于前述实施例中的方法,其可以通过可执行的程序代码实现,也可以通过集成电路组合的方式来实现,因此本发明并不局限于特定的硬件或者软件及其结合。
本领域普通技术人员应该明白,本发明实施例的装置中的各模块可以用通用的移动终端来实现,各模块可以集中在单个移动终端或者移动终端组成的装置组合中,本发明实施例中的装置对应于前述实施例中的方法,其可以通过编辑可执行的程序代码实现,也可以通过集成电路组合的方式来实现,因此本发明并不局限于特定的硬件或者软件及其结合。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、存储器(memory)820和通信总线830,其中,处理器810,存储器820通过通信总线830完成相互间的通信。处理器810 可以调用存储器820 中的逻辑指令,以执行如下方法:在基站侧配置IPsec VPN安全网关;确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;应用所述隧道IP 封装所述通信数据,生成封装后的数据并发送。
此外,上述的存储器820中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个示例性实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各示例性实施例提供的传输方法,例如包括:在基站侧配置IPsec VPN安全网关;确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;应用所述隧道IP封装所述通信数据,生成封装后的数据并发送。
以上所描述的装置示例性实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本示例性实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个示例性实施例或者示例性实施例的某些部分所述的方法。
最后应说明的是:以上示例性实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述示例性实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各示例性实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各示例性实施例技术方案的精神和范围。
Claims (16)
1.一种通信数据的安全传输方法,其特征在于,所述通信数据的安全传输方法应用于基站侧,在所述基站侧配置安全网关,所述安全网关为基于网络安全协议IPsec的虚拟专用网关VPN,所述方法包括:
确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;
应用所述隧道IP封装所述通信数据,生成封装后的数据并发送。
2.根据权利要求1所述的通信数据的安全传输方法,其特征在于,所述应用所述隧道IP封装所述通信数据,生成封装后的数据并发送,包括:
当判断所述通信数据为基站与基站间交互的传输数据时,对所述通信数据封装后得到第一类型封装报文;
当判断所述通信数据为基站与核心网交互的信令数据时,对所述通信数据封装后得到第二类型封装报文;
当判断所述通信数据为基站与核心网交互的业务数据时,对所述通信数据封装后得到第三类型封装报文。
3.根据权利要求2所述的通信数据的安全传输方法,其特征在于,所述方法还包括:
当判断所述通信数据为操作和维护OM数据时,对所述OM数据进行标记,以区分所述OM数据与所述符合所述安全策略表SPD的通信数据。
4.根据权利要求2所述的通信数据的安全传输方法,其特征在于,所述方法还包括:当所述虚拟专用网关VPN处于隧道模式时:
确定所述第一类型封装报文通过第一传输隧道发送;
确定所述第二类型封装报文通过第二传输隧道发送;
确定所述第三类型封装报文通过第三传输隧道发送。
5.根据权利要求1~4任一所述的通信数据的安全传输方法,其特征在于,所述方法包括:
当所述符合所述安全策略表SPD的通信数据为上行数据时,对所述上行数据进行加速后结合所述安全关联表SAD的加密算法对所述上行数据进行加密。
6.根据权利要求1~4任一所述的通信数据的安全传输方法,其特征在于,所述方法包括:
当所述符合所述安全策略表SPD的通信数据为下行数据时,对所述下行数据进行解密后明文传输。
7.根据权利要求1所述的通信数据的安全传输方法,其特征在于,所述确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD,包括:
获取所述基站与所述安全网关间的协商报文;
根据所述协商报文的协商结果获取所述安全网关的传输隧道加密及解密时的安全关联表SAD和安全策略表SPD。
8.一种通信数据的安全传输装置,其特征在于,所述通信数据的安全传输装置应用于基站侧,在所述基站侧配置安全网关,所述安全网关为基于网络安全协议IPsec的虚拟专用网关VPN,所述装置包括:
协商确定模块,用于确定基站与虚拟专用网关VPN协商成功后生成的安全关联表SAD和安全策略表SPD;
隧道确定模块,用于确定符合所述安全策略表SPD的通信数据,根据所述符合所述安全策略表SPD的通信数据的数据类型从所述安全关联表SAD中获取对应的隧道IP;
封装模块,用于将所述隧道IP封装至所述符合所述安全策略表SPD的通信数据以生成完整的报文;
发送模块,用于发送所述封装模块生成的所述报文。
9.根据权利要求8所述的通信数据的安全传输装置,其特征在于,所述封装模块,包括:
第一封装子模块,用于当判断所述通信数据为基站与基站间交互的传输数据时,对所述通信数据封装后得到第一类型封装报文;
第二封装子模块,用于当判断所述通信数据为基站与核心网交互的信令数据时,对所述通信数据封装后得到第二类型封装报文;
第三封装子模块,用于当判断所述通信数据为基站与核心网交互的业务数据时,对所述通信数据封装后得到第三类型封装报文。
10.根据权利要求9所述的通信数据的安全传输装置,其特征在于,所述装置还包括:
维护模块,用于当判断所述通信数据为操作和维护OM数据时,对所述OM数据进行标记,以区分所述OM数据与所述符合所述安全策略表SPD的通信数据。
11.根据权利要求9所述的通信数据的安全传输装置,其特征在于,所述装置还包括:隧道传输模块,用于当所述虚拟专用网关VPN处于隧道模式时:确定所述第一类型封装报文通过第一传输隧道发送;确定所述第二类型封装报文通过第二传输隧道发送;确定所述第三类型封装报文通过第三传输隧道发送。
12.根据权利要求8~11任一所述的通信数据的安全传输装置,其特征在于,所述装置包括:
加密模块,用于当所述符合所述安全策略表SPD的通信数据为上行数据时,对所述上行数据进行加速后结合所述安全策略表SPD的加密算法对所述上行数据进行加密。
13.根据权利要求8~11任一所述的通信数据的安全传输装置,其特征在于,所述装置包括:
解密模块,用于当所述符合所述安全策略表SPD的通信数据为下行数据时,对所述下行数据进行解密后明文传输。
14.根据权利要求8所述的通信数据的安全传输装置,其特征在于,所述协商确定模块还用于:
获取所述基站与所述安全网关间的协商报文;
根据所述协商报文的协商结果获取所述安全网关的传输隧道加密及解密时的安全关联表SAD和安全策略表SPD。
15.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述通信数据的安全传输方法的步骤。
16.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述通信数据的安全传输方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911023888.XA CN112714439B (zh) | 2019-10-25 | 2019-10-25 | 通信数据的安全传输方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911023888.XA CN112714439B (zh) | 2019-10-25 | 2019-10-25 | 通信数据的安全传输方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112714439A CN112714439A (zh) | 2021-04-27 |
| CN112714439B true CN112714439B (zh) | 2022-08-30 |
Family
ID=75541561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911023888.XA Active CN112714439B (zh) | 2019-10-25 | 2019-10-25 | 通信数据的安全传输方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112714439B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113849271B (zh) * | 2021-09-22 | 2022-10-04 | 北京百度网讯科技有限公司 | 云桌面展示方法、装置、设备、***和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
| CN1943172A (zh) * | 2004-02-20 | 2007-04-04 | 诺基亚公司 | 用于接入至少一个虚拟专用网络的***、方法和计算机程序产品 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和*** |
| CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及*** |
| CN104168173A (zh) * | 2010-08-20 | 2014-11-26 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络*** |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及*** |
| CN108616877A (zh) * | 2016-12-27 | 2018-10-02 | 大唐移动通信设备有限公司 | 一种小型基站的通信方法、***及设备 |
| CN110024432A (zh) * | 2016-11-29 | 2019-07-16 | 华为技术有限公司 | 一种x2业务传输方法及网络设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110113236A1 (en) * | 2009-11-02 | 2011-05-12 | Sylvain Chenard | Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism |
-
2019
- 2019-10-25 CN CN201911023888.XA patent/CN112714439B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7017042B1 (en) * | 2001-06-14 | 2006-03-21 | Syrus Ziai | Method and circuit to accelerate IPSec processing |
| CN1943172A (zh) * | 2004-02-20 | 2007-04-04 | 诺基亚公司 | 用于接入至少一个虚拟专用网络的***、方法和计算机程序产品 |
| CN102098207A (zh) * | 2009-12-09 | 2011-06-15 | 华为技术有限公司 | 建立因特网协议安全IPSec通道的方法、装置和*** |
| CN104168173A (zh) * | 2010-08-20 | 2014-11-26 | 华为技术有限公司 | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络*** |
| CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及*** |
| CN110024432A (zh) * | 2016-11-29 | 2019-07-16 | 华为技术有限公司 | 一种x2业务传输方法及网络设备 |
| CN108616877A (zh) * | 2016-12-27 | 2018-10-02 | 大唐移动通信设备有限公司 | 一种小型基站的通信方法、***及设备 |
| CN108574589A (zh) * | 2017-03-10 | 2018-09-25 | 华为技术有限公司 | 一种互联网协议安全性隧道的维护方法、装置及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112714439A (zh) | 2021-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113630773B (zh) | 安全实现方法、设备以及*** | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及*** | |
| CN110891269B (zh) | 一种数据保护方法、设备及*** | |
| JP2006148982A (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| US8745381B2 (en) | Methods, systems, and computer readable media for performing encapsulating security payload (ESP) rehashing | |
| CN104219217A (zh) | 安全关联协商方法、设备和*** | |
| CN104683304A (zh) | 一种保密通信业务的处理方法、设备和*** | |
| CN108377495A (zh) | 一种数据传输方法、相关设备及*** | |
| WO2018098633A1 (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| EP2919498B1 (en) | Method, device and system for packet processing through a relay | |
| CN111756627A (zh) | 一种电力监控***的云平台安全接入网关 | |
| CN110535748A (zh) | 一种vpn隧道模式优化方法及*** | |
| CN105337954A (zh) | 卫星通信中ip报文的加密、解密方法及装置 | |
| US10313877B2 (en) | Method and system for facilitating participation of an intermediary network device in a security gateway communication between at least one base station and a core network portion in a cellular communication network | |
| CN107786974A (zh) | 一种局域网内手机app与设备安全通信的方法及*** | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| US11006346B2 (en) | X2 service transmission method and network device | |
| CN108966217B (zh) | 一种保密通信方法、移动终端及保密网关 | |
| CN112714439B (zh) | 通信数据的安全传输方法、装置、设备及存储介质 | |
| CN113708928B (zh) | 一种边缘云通信方法及相关装置 | |
| CN109428868B (zh) | 对OSPFv3进行加密的方法、加密装置、加密设备及存储介质 | |
| CN109257388A (zh) | 一种mpls-tp中伪线加密方法 | |
| CN114826748A (zh) | 基于rtp、udp及ip协议的音视频流数据加密方法和装置 | |
| CN107529159B (zh) | 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |