【技术实现步骤摘要】
一种数据安全的实现方法及相关设备
本专利技术实施例涉及但不限于弹性网络数据安全领域,更具体的涉及一种数据安全的实现方法及相关设备。
技术介绍
传统2G/3G/4G电信网是由大量专用设备和功能单一的网络节点构成的封闭网络,软件与硬件深度绑定,通常面临建设周期长、维护成本高、扩展性受限等问题,难以适应互联网OTT(OverTheTop)、物联网等业务快速发展的需求。5G(FifthGeneration,第五代移动通信)电信网引入了软件定义和虚拟化技术对传统电信网进行重构,通过软硬件解耦,实现了在通用硬件资源上构建虚拟化网络提供网络服务,并可根据应用需求对网络容量灵活进行扩缩。5G网络还打破了传统电信网络的封闭模式,将网络服务能力开放给第三方业务(如业务提供商、企业、垂直行业等),让第三方业务可以按需构建网络切片提供网络服务,以适应各种业务快速发展和不断变化的需求。通信网络中,RAN(RadioAccessNetwork,无线接入网络)和CN(CoreNetwork,核心网络)之间的回传网络可能会跨越非信任域,存在...
【技术保护点】
1.一种数据安全的实现方法,包括:/n接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;/n根据所述第一信息,所述第一安全网关功能与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。/n
【技术特征摘要】
1.一种数据安全的实现方法,包括:
接入网侧的第一安全网关功能获取第一信息,所述第一信息包括以下至少之一:所述接入网侧网元的IP地址、所述接入网侧的网络拓扑信息;
根据所述第一信息,所述第一安全网关功能与核心网侧的第二安全网关功能之间协商建立IP安全隧道IPSec。
2.根据权利要求1所述的方法,其特征在于,所述第一安全网关功能获取第一信息,包括:
所述接入网侧的第一拓扑管理功能TMF获取并保存所述第一信息;
所述第一TMF获取第一安全网关功能地址信息,并根据所述第一安全网关功能地址信息将所述第一信息发送给所述第一安全网关功能。
3.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
所述第一安全网关功能接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能完成因特网密钥交换安全联盟IKESA协商和IP安全联盟IPSecSA协商,建立IPSec。
4.根据权利要求3所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能将所述注册请求和/或所述注册请求的后续信息进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对接收的所述加密的注册请求和/或所述注册请求的后续信息进行解密后发送给所述核心网侧公共网元域的网元。
5.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能为部署于核心网侧网络切片的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
当用户UE接入所述网络切片后,所述第一安全网关功能接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能完成IKESA协商和IPSecSA协商,建立IPSec。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能将所述上行数据报文进行IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对收到的加密数据报文进行解密后发送给所述网络切片。
7.根据权利要求5所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能接收第二安全网关功能发送的进行了IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
8.根据权利要求1所述的方法,其特征在于,当所述第二安全网关功能为部署于核心网侧并被公共网元域和网络切片共享的安全网关时,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec包括:
所述第一安全网关功能接收用户UE发送的注册请求,并根据所述注册请求发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能之间建立第一子IPSec。
9.根据权利要求8所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能将所述注册请求和/或所述注册请求的后续信息进行第一子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对加密信息进行解密后发送给所述公共网元域的网元。
10.根据权利要求8所述的方法,其特征在于,该方法还包括:
当用户UE接入所述网络切片后,所述第一安全网关功能接收所述UE发送的上行数据报文,并根据所述上行数据报文发现所述第二安全网关功能地址信息,并判断和所述第二安全网关功能之间是否存在第二子IPSec;
如果不存在,则根据所述第二安全网关功能地址信息,所述第一安全网关功能与所述第二安全网关功能之间建立第二子IPSec。
11.根据权利要求10所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能将所述上行数据报文进行第二子IPSec加密后发送给所述第二安全网关功能,以便所述第二安全网关功能对所述加密的上行数据报文进行解密后发送给所述网络切片。
12.根据权利要求8所述的方法,其特征在于,所述第一安全网关功能与所述第二安全网关功能之间协商建立IPSec还包括:
当用户UE接入所述网络切片后且所述第二安全网关功能接收所述网络切片发送的下行数据报文时,所述第一安全网关功能与所述第二安全网关功能之间建立第二子IPSec。
13.根据权利要求12所述的方法,其特征在于,该方法还包括:
所述第一安全网关功能接收第二安全网关功能发送的进行了第二子IPSec加密后的下行数据报文;
对所述加密的下行数据报文进行解密后发送给所述接入网侧网元。
14.根据权利要求1所述的方法,其特征在于,该方法还包括:
当所述网络切片扩容时,所述第一安全网关功能接收所述第二安全网关功能发送的重协商请求,完成IPSecSA重协商;
其中,所述重协商请求包含了所述网络切片扩容后新的IP地址。
15.一种数据安全的实现方法,包括:
核心网侧的第二安全网关功能获取第二信息,所述第二信息包括以下至少之一:所述核心网网元的IP地址、所述核心网公共网元域的网络拓扑信息、网络切片的网络拓扑信息;
根据所述第二信息,所述第二安全网关功能与接入网侧的第一安全网关功能之间协商建立IP安全隧道IPSec。
16.根据权利要求15所述的方法,其特征在于,所述第二安全网关功能获取第二信息,包括:
所述核心网侧的第二拓扑管理功能TMF获取并保存所述第二信息;
所述第二TMF获取第二安全网关功能地址信息,并根据所述第二安全网关功能地址信息将所述第二信息发送给所述第二安全网关功能。
17.根据权利要求15所述的方法,其特征在于,
当所述第二安全网关功能为部署于核心网侧公共网元域的安全网关时,所述第二安全网关功能与所述第一安全网关功能之间协商建立IPSec包括:
当所述第一安全网关功能接收用户UE发送的注册请求时,所述第二安全网关功能与所述第一安全网关功能之间建立IPSec。
<...
【专利技术属性】
技术研发人员:毛玉欣,闫新成,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。