一种通信方法、安全节点网元和终端技术

本发明专利技术实施例提供了一种通信方法、安全节点网元和终端。该方法包括：安全节点网元从终端接收第一数据包，该第一数据包携带第一用户面数据或第一控制信令，其中，该第一数据包通过第一安全连接或第二安全连接进行传输，该第一安全连接用于传输携带该第一用户面数据的该第一数据包，该第二安全连接用于传输携带该第一控制信令的该第一数据包；若该第一数据包通过该第二安全连接进行传输，则该安全节点网元向控制面功能实体发送该第一控制信令。本发明专利技术实施例能够解决现有方案中控制信令在安全节点网元与终端之间传输存在的安全问题。

A Communication Method, Secure Node Network Element and Terminal

【技术实现步骤摘要】
一种通信方法、安全节点网元和终端
本专利技术实施例涉及通信领域，尤其涉及一种通信方法、安全节点网元和终端。
技术介绍
目前的通信网络中，安全节点网元在接收到终端发送的上行数据包时，需要识别上行数据包中是否携带控制面信令。若上行数据包中携带了控制信令，则安全节点网元将该控制面信令发送给控制面功能(ControlPlaneFunction，CPFunction)实体；若上行数据包中未携带控制信令，则安全节点网元将该上行数据包中的用户面数据发送给用户面功能(UserPlaneFunction，UPFunction)实体。现有方案可以通过将数据包的目的因特网协议(InternetProtocol，IP)地址设置为特定目的IP地址的方式来识别出携带控制信令的数据包。然而，这种方式存在安全问题，例如，在实践中，没有携带控制信令的数据包的目的IP地址有可能被终端上的恶意应用设置为特定目的IP地址，这将导致该数据包中携带的用户面数据被当做控制信令发送给CPFunction实体，从而导致错误。
技术实现思路
本专利技术实施例提供了通信方法、安全节点网元和终端，以期解决现有方案中控制信令在安全节点网元与终端之间传输存在的安全问题。第一方面，提供了一种通信方法，包括：安全节点网元从终端接收第一数据包，所述第一数据包携带第一用户面数据或第一控制信令，其中，所述第一数据包通过第一安全连接或第二安全连接进行传输，所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包，所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包；若所述第一数据包通过所述第二安全连接进行传输，则所述安全节点网元向控制面功能实体发送所述第一控制信令；或者，若所述第一数据包通过所述第一安全连接进行传输，则所述安全节点网元向用户面功能实体发送所述第一用户面数据。安全节点和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输，这样安全节点就不需要通过数据包中的恶意应用可修改的目标IP来识别数据包携带控制信令或用户面数据，而是通过非应用层或网络层或传输层的安全连接标识来识别不同的安全连接发送的数据包，通过确定不同安全连接的发送的数据包来识别数据包中携带控制信令或用户面数据，因此可以避免恶意应用的修改，因此提高了用户面数据或控制信令传输的安全性。应理解，在本专利技术实施方式中，第一安全连接和第二安全连接中的“第一”和“第二”仅仅是为了区分不同的对象，当然也可以使用第二安全连接传输携带第一用户面数据的第一数据包，和/或使用第一安全连接传输携带第一控制信令的第一数据包，对此本专利技术不做限定。结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述安全节点网元通过所述第二安全连接向所述终端发送第二数据包，所述第二数据包携带第二控制信令；或者，所述安全节点网元通过所述第一安全连接向所述终端发送第二数据包，所述第二数据包携带第二用户面数据。安全节点网元在向终端发送下行数据包，安全节点网元可以通过不同的安全连接发送携带不同内容的下行数据包，携带控制信令的下行数据包和携带用户面数据的下行数据包分别通过不同的安全连接进行传输，因此终端在收到安全节点网元发送的下行数据包后，可以通过确定该下行数据包传输的安全连接是第一安全连接还是第二安全连接来识别该下行数据包中的内容，避免终端中恶意应用的修改，提高了下行传输的安全性。结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述安全节点网元从所述控制面功能实体接收所述第二控制信令；或者，所述安全节点网元从所述用户面功能实体接收所述第二用户面数据。应理解，在本专利技术实施方式中，第一安全连接和第二安全连接中的“第一”和“第二”仅仅是为了区分不同的对象，当然也可以使用第二安全连接传输携带用户面数据的第二数据包，和/或使用第一安全连接传输携带控制信令的第二数据包，对此本专利技术不做限定结合第一方面，在第一方面的某些实现方式中，当所述第二数据包携带所述第二控制信令时，所述第二数据包还携带所述第二安全连接的标识；或者，当所述第二数据包携带所述第二用户面数据时，所述第二数据包还携带所述第一安全连接的标识。结合第一方面，在第一方面的某些实现方式中，所述安全节点网元从终端接收第一数据包后，所述方法还包括：所述安全节点网元确定所述第一数据包通过所述第二安全连接或所述第一安全连接进行传输。结合第一方面，在第一方面的某些实现方式中，所述第一数据包还携带所述第二安全连接的标识或所述第一安全连接的标识，所述安全节点网元确定所述第一数据包通过所述第二安全连接或所述第一安全连接进行传输，包括：当所述第一数据包还携带所述第二安全连接的标识时，所述安全节点网元确定所述第一数据包通过所述第二安全连接进行传输；或者，当所述第一数据包还携带所述第一安全连接的标识时，所述安全节点网元确定所述第一数据包通过所述第一安全连接进行传输。结合第一方面，在第一方面的某些实现方式中，所述第一安全连接可以为第一因特网协议安全性IPSec隧道，所述第二安全连接可以为第二IPSec隧道。结合第一方面，在第一方面的某些实现方式中，所述第二安全连接的标识可以为第二安全参数索引SPI值，所述第一安全连接的标识可以为第一SPI值。第二方面，提供了一种通信方法，该方法包括：终端生成第一数据包，所述第一数据包携带第一用户面数据或第一控制信令；所述终端向所述安全节点网元发送所述第一数据包，所述第一数据包通过第一安全连接或第二安全连接进行传输，其中，所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包，所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包。在第二方面中，与第一方面相对应的一些实施方式可以参照第一方面的描述，此处不作赘述。第三方面，提供了另一种通信方法，该方法包括：安全节点网元从控制面功能实体接收第二控制信令，或者，安全节点网元从用户面功能实体接收第二用户面数据；所述安全节点网元向终端发送第二数据包，所述第二数据包携带第二控制信令或第二用户面数据，其中，当第二数据包携带第二控制信令时，第二数据包通过第二安全连接进行传输，当第二数据包携带第二用户面数据时，第二数据包通过第一安全连接进行传输；若第二数据包通过第二安全连接进行传输，终端通过控制面协议栈处理第二控制信令，或者，若第二数据包通过第一安全连接进行传输，终端能通过用户面协议栈处理第二用户面数据。结合第三方面，在第三方面的某些实现方式中，所述终端从所述安全节点网元接收第二数据包后，该方法还包括：所述终端确定所述第二数据包通过所述第一安全连接或所述第二安全连接进行传输。结合第三方面，在第三方面的某些实现方式中，所述第二数据包还携带所述第二安全连接的标识或所述第一安全连接的标识，所述终端确定所述第二数据包通过所述第二安全连接或所述第一安全连接进行传输，包括：当所述第二数据包还携带所述第二安全连接的标识时，所述终端确定所述第二数据包通过所述第二安全连接进行传输；或者，当所述第二数据包还携带所述第一安全连接的标识时，所述终端确定所述第二数据包通过所述第一安全连接进行传输。结合第三方面，在第三方面的某些实现方式中，所述第一安全连接可以为第一因特网协议安全性IPSec隧道，所述第二安全连接可以为第二IPSec隧本文档来自技高网...

【技术保护点】
1.一种通信方法，其特征在于，包括：生成待发送的第一数据包；当所述第一数据包携带第一用户面数据时，通过第一安全连接向所述安全节点网元发送所述第一数据包；当所述第一数据包携带第一控制信令时，通过第二安全连接向所述安全节点网元发送所述第一数据包。

【技术特征摘要】
1.一种通信方法，其特征在于，包括：生成待发送的第一数据包；当所述第一数据包携带第一用户面数据时，通过第一安全连接向所述安全节点网元发送所述第一数据包；当所述第一数据包携带第一控制信令时，通过第二安全连接向所述安全节点网元发送所述第一数据包。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：从所述安全节点网元接收第二数据包；确定传输所述第二数据包所使用的安全连接；若所述第二数据包通过所述第一安全连接进行传输，通过用户面协议栈处理所述第二数据包中的第二用户面数据；或者，若所述第二数据包通过所述第二安全连接进行传输，通过控制面协议栈处理所述第二数据包中的第二控制信令。3.根据权利要求2所述的方法，其特征在于，所述确定传输所述第二数据包所使用的安全连接，包括：根据所述第二数据包携带的所述第一安全连接的标识，确定所述第二数据包通过所述第一安全连接进行传输；或者，根据所述第二数据包携带的所述第二安全连接的标识，确定所述第二数据包通过所述第二安全连接进行传输。4.根据权利要求1至3中任一项所述的方法，其特征在于，若所述第一数据包携带所述第一控制信令，所述第一数据包还携带所述第二安全连接的标识；或者，若所述第一数据包携带所述第一用户面数据，所述第一数据包还携带所述第一安全连接的标识。5.根据权利要求1至3中任一项所述的方法其特征在于，所述第一安全连接用于传输携带用户面数据的数据包，所述第二安全连接用于传输携带控制信令的数据包。6.根据权利要求1至3中任一项所述的方法，其特征在于，所述第一安全连接为第一因特网协议安全IPSec隧道，所述第二安全连接为第二IPSec隧道。7.一种通信方法，其特征在于，包括：安全节点网元从终端接收第一数据包；所述安全节点网元确定传输所述第一数据包所使用的安全连接；若所述第一数据包通过第一安全连接进行传输，则所述安全节点网元向用户面功能实体发送第一用户面数据，其中，所述第一用户面数据是包括在所述第一数据包中的用户面数据；或者若所述第一数据包通过第二安全连接进行传输，则所述安全节点网元向控制面功能实体发送第一控制信令，其中，所述第一控制信令是包括在所述第一数据包中的控制信令。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述安全节点网元从所述控制面功能实体接收第二控制信令；所述安全节点网元通过所述第二安全连接向所述终端发送第二数据包，所述第二数据包携带所述第二控制信令。9.根据权利要求8所述的方法，其特征在于，所述第二数据包还携带所述第二安全连接的标识。10.根据权利要求7所述的方法，其特征在于，所述方法还包括：所述安全节点网元从所述用户面功能实体接收所述第二用户面数据；所述安全节点网元通过所述第一安全连接向所述终端发送第二数据包，所述第二数据包携带所述第二用户面数据。11.根据权利要求10所述的方法，其特征在于，所述第二数据包还携带所述第一安全连接的标识。12.根据权利要求7-11任一所述的方法，其特征在于，所述安全节点网元确定传输所述第一数据包所使用的安全连接，包括：所述安全节点网元根据所述第一数据包中携带的第一安全连接的标识，确定所述第一数据包通过所述第一安全连接进行传输所述安全节点网元；或者，根据所述第一数据包中携带的第二安全连接的标识，确定所述第一数据包通过所述第二安全连接进行传输。13.根据权利要求7至11中任一项所述的方法，其特征在于，所述第一安全连接用于传输携带用户面数据的数据包，所述第二安全连接用于传输携带控制信令的数据包。14.根据权利要求7至11中任一项所述的方法，其特征在于，所述第一安全连接为第一因特网协议安全IPSec隧道，所述第二安全连接为第二IPSec隧道。15.一种装置，其特征在于，包括：生成模块，用于生成第一数据包；发送模块，用于当所述第一数据包携带第一用户面数据时，通过第一安全连接向安全节点网元发送所述第一数据包；当所述第一数据包携带第一控制信令时，通过第二安全连接向所述安全节点网元发送所述第一数据包。16.根据权利要求15所述的装置，其特征在于，所述装置还包括：接收模块，用于从所述安全节点网元接收第二数据包；确定模块，还用于确定传输所述第二数据包所使用的安全连接；处理模块，用于在所述确定模块确定所述第二数据包通过所述第一安全连接进行传输的情况下，通过用户面协议栈处...

【专利技术属性】
技术研发人员：诸华林，李欢，靳维生，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44