一种蜂窝移动通信网分组数据网保护方法技术

本发明专利技术公开一种蜂窝移动通信网分组数据网保护方法，其特征在于，该方法包括：S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界；S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关；S3.向专用终端及边界保护网关提供密码服务；S4.在所述密码服务功能的支持下，在边界保护网关与专用终端之间建立点到点安全协议；S5.根据所述密码服务功能及所述点到点安全协议，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。

Method for protecting packet data network in cellular mobile communication network

The invention discloses a cellular mobile communication network packet data network protection method, which is characterized in that the method comprises the following steps: S1., between the cellular mobile communication network and packet data network in cellular mobile communication network dedicated terminal internal safety boundary; safety boundary between the cellular mobile communication network and packet data network S2. boundary protection gateway settings; S3. provides cryptographic services to special terminals and border protection gateway; S4. support in the cryptogram service function, establishing point-to-point security protocol between the gateway and the boundary protection special terminal; S5. according to the cryptographic service function and the point-to-point security protocol, through the boundary protection gateway complete boundary protection cellular mobile communication network packet data network.

【技术实现步骤摘要】
一种蜂窝移动通信网分组数据网保护方法
本专利技术涉及移动通信领域，具体涉及一种蜂窝移动通信网分组数据网保护方法。
技术介绍
随着蜂窝移动通信网由以语音为中心的网络向以数据为中心的网络过渡，蜂窝移动通信网构成计算机网络的物理层和数据链路层，蜂窝移动通信网不再直接向用户提供具体的服务。蜂窝移动通信网覆盖范围大，系统设备数量众多，很难采取物理和信息技术手段进行保护。来自蜂窝蜂窝移动通信网络的攻击对用户的分组数据内网构成安全威胁。针对来自蜂窝移动通信网络的安全威胁，分组数据内网可以在计算机网络的网络层采取安全抵御措施加以防护，例如IPSec技术。IPSec等网络层安全协议通常在计算机操作系统内实现。支持这些协议的操作系统包括WINDOWS、UNIX、LINUX等。在计算机网络层实现的安全协议，由于计算机操作系统代码量庞大，安全漏洞的搜索和排查很难在较短的时间内完成，因此在产品的生命周期内，仅靠计算机网络层安全协议很难保证计算机内网的安全。虽然，蜂窝移动通信网络自身提供了安全措施，抵御多种安全威胁，特别是蜂窝移动通信网络提供终端鉴别机制和空中信道的机密性、完整性保护，但是蜂窝移动通信网是商用移动通信系统，用户数据在移动通信网的核心网仍然采用明文传送，蜂窝移动通信网的终端鉴别和密码保护强度都不能满足高安全级别用户的要求。特别是蜂窝移动通信网的设备都没有经过高级别的安全保证评估，这些设备的安全功能是否正确实现并没有充分可靠的证据进行证明。因此，对于高安全级别的专用的计算机网络，无论依靠计算机网络层的安全协议还是依靠移动通信网络的安全措施都不能满足用户的安全要求。专利技术内容本专利技术所要解决的技术问题是现有的蜂窝移动通信网络的安全措施无法满足高安全级别用户要求的问题。为此目的，本专利技术提出一种蜂窝移动通信网分组数据网保护方法，该方法包括：S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界；S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关；S3.向专用终端及边界保护网关提供密码服务；S4.在所述密码服务功能的支持下，在边界保护网关与专用终端之间建立点到点安全协议；S5.根据所述密码服务功能及所述点到点安全协议，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。其中，在步骤S1中，蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口，分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内；蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口，专用终端TE内受保护的资产位于终端安全边界内。其中，在步骤S2中，所述设置边界保护网关包括：在所述交互的接口设置分组数据网关；在所述分组数据网关内增加数据链路层密码机，所述边界保护网关为内含数据链路层密码机的分组数据网关。其中，所述步骤S3包括：在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能，所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。其中，在步骤S4中，专用终端的点到点安全协议设置在数据链路层的分组数据汇聚协议PDCP和网络层的因特网协议IP之间，边界保护网关的点到点安全协议设置在数据链路层。其中，所述步骤S5包括：S51.所述边界保护网关与所述专用终端通过所述密码服务功能完成双向鉴别；S52.判断双向鉴别是否成功，如果成功，则专用终端通过边界保护网关获得生成工作密钥所需的预设参数，执行步骤S53，否则，边界保护网关或专用终端提示鉴别失败；S53.所述边界保护网关与所述专用终端通过所述密码服务功能在数据链路层对专用终端或分组数据网发起的上层会话进行保护。其中，所述步骤S51包括：S511.所述边界保护网关接收并处理专用终端发送的上行数据，所述上行数据包括专用终端的密码服务功能数据；S512.所述边界保护网关向专用终端发送下行数据，所述专用终端处理接收到的下行数据，所述下行数据包括专用终端的密码服务功能数据。其中，所述步骤S53包括：所述边界保护网关与所述专用终端依照数据链路层预设的安全功能策略，对传送的数据链路层净荷提供机密性和完整性保护。较佳的，该方法进一步包括：S6.所述边界保护网关根据用户的数据链路层身份标识即用户使用的终端的访问令牌标识、用户的网络层标识即IP地址、用户数据的网络层安全属性以及三者之间保持的预设的访问控制规则或预设的信息流控制规则，控制访问动作的实施或信息的流动，所述安全属性包括目的地址和数据的类型。相比于现有技术，本专利技术提供的方法的有益效果是：与网络层安全协议相比，本专利技术所用的数据链层安全协议具有协议简单、实现方便、运算及协议开销小的技术优势，特别是在信息安全领域，更适合满足高保证安全要求。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出了一种蜂窝移动通信网分组数据网保护方法流程图；图2示出了实施例2中在蜂窝移动通信网与分组数据网之间确定安全边界的示意图图3示出了实施例2中在蜂窝移动通信网中的专用终端内部确定安全边界以及密码服务功能的示意图；图4示出了实施例2中在边界保护网关与专用终端之间建立点到点安全协议的示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。实施例1本专利技术实施例公开一种蜂窝移动通信网分组数据网保护方法，如图1所示，该方法包括：S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界；S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关；S3.向专用终端及边界保护网关提供密码服务；S4.在所述密码服务功能的支持下，在边界保护网关与专用终端之间建立点到点安全协议；S5.根据所述密码服务功能及所述点到点安全协议，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。其中，在步骤S1中，蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口，分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内；蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口，专用终端TE内受保护的资产位于终端安全边界内。其中，在步骤S2中，所述设置边界保护网关包括：在所述交互的接口设置分组数据网关；在所述分组数据网关内增加数据链路层密码机，所述边界保护网关为内含数据链路层密码机的分组数据网关。其中，所述步骤S3包括：在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能，所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。其中，在步骤S4中，本文档来自技高网...

【技术保护点】
一种蜂窝移动通信网分组数据网保护方法，其特征在于，该方法包括：S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界；S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关；S3.向专用终端及边界保护网关提供密码服务；S4.在所述密码服务功能的支持下，在边界保护网关与专用终端之间建立点到点安全协议；S5.根据所述密码服务功能及所述点到点安全协议，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护；在步骤S1中，蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口；在步骤S2中，所述设置边界保护网关包括：在所述交互的接口设置分组数据网关；在所述分组数据网关内增加数据链路层密码机，所述边界保护网关为内含数据链路层密码机的分组数据网关。

【技术特征摘要】
1.一种蜂窝移动通信网分组数据网保护方法，其特征在于，该方法包括：S1.在蜂窝移动通信网与分组数据网之间、蜂窝移动通信网中的专用终端内部确定安全边界；S2.在蜂窝移动通信网与分组数据网之间的安全边界设置边界保护网关；S3.向专用终端及边界保护网关提供密码服务；S4.在所述密码服务功能的支持下，在边界保护网关与专用终端之间建立点到点安全协议；S5.根据所述密码服务功能及所述点到点安全协议，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护；在步骤S1中，蜂窝移动通信网与分组数据网之间的安全边界为蜂窝移动通信网与分组数据网的交互接口；在步骤S2中，所述设置边界保护网关包括：在所述交互的接口设置分组数据网关；在所述分组数据网关内增加数据链路层密码机，所述边界保护网关为内含数据链路层密码机的分组数据网关。2.根据权利要求1所述的方法，其特征在于，分组数据网中受到保护的资产位于蜂窝移动通信网与分组数据网间的安全边界内；蜂窝移动通信网中的专用终端内部的安全边界为终端设备TE与移动终端MT之间交互的接口，专用终端内受保护的资产位于终端安全边界内。3.根据权利要求1所述的方法，其特征在于，所述步骤S3包括：在专用终端内部终端设备TE的网络层之下增加数据链路层密码服务功能，所述密码服务功能处于终端设备TE的网络层路由功能与移动终端MT的数据链路层通信功能之间。4.根据权利要求1所述的方法，其特征在于，在步骤S4中，专用终端的点到点安全协议设置在数据链路层的分组数据汇聚...

【专利技术属性】
技术研发人员：李健巍，刘国庆，胡静，朱晖，
申请(专利权)人：兴唐通信科技有限公司，
类型：发明
国别省市：北京,11