Способ связи, сетевой элемент узла обеспечения безопасности и терминал
Изобретение относиться к области связи. Технический результат заключается в повышении безопасности передачи данных пользовательской плоскости или управляющих служебных сигналов за счет того, что пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно передаются через различные соединения, узел обеспечения безопасности идентифицирует то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования целевого IP-адреса, который находится в пакете данных и который вредоносное приложение может модифицировать, и идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, сетевого уровня или транспортного уровня, пакеты данных, отправленные посредством различных соединений. 8 н. и 30 з.п. ф-лы, 12 ил.
Область техники, к которой относится изобретение
[0001] Варианты осуществления настоящего изобретения относятся к области техники связи и, в частности, к способу связи, к сетевому элементу узла обеспечения безопасности и к терминалу.
Уровень техники
[0002] В современной сети связи, при приеме пакета данных восходящей линии связи, отправленного посредством терминала, сетевой элемент узла обеспечения безопасности должен идентифицировать то, переносит или нет пакет данных восходящей линии связи управляющие служебные сигналы. Если пакет данных восходящей линии связи переносит управляющие служебные сигналы, сетевой элемент узла обеспечения безопасности отправляет управляющие служебные сигналы в объект функции плоскости управления (Control Plane Function - функция плоскости управления, CP-функция); либо если пакет данных восходящей линии связи не переносит управляющие служебные сигналы, сетевой элемент узла обеспечения безопасности отправляет данные пользовательской плоскости в пакете данных восходящей линии связи в объект функции пользовательской плоскости (User Plane Function - функция пользовательской плоскости, UP-функция).
[0003] В существующем решении, пакет данных, переносящий управляющие служебные сигналы, может идентифицироваться способом задания целевого адреса по Интернет-протоколу (по Интернет-протоколу, IP) пакета данных как конкретного целевого IP-адреса. Тем не менее, этот способ имеет проблему безопасности. Например, на практике, целевой IP-адрес пакета данных, не переносящего управляющие служебные сигналы, может задаваться посредством вредоносного приложения в терминале как конкретный целевой IP-адрес. Следовательно, при рассмотрении в качестве управляющих служебных сигналов, данные пользовательской плоскости, переносимые в пакете данных, отправляются в функциональный CP-объект, вызывая ошибку.
Сущность изобретения
[0004] Варианты осуществления настоящего изобретения предоставляют способ связи, сетевой элемент узла обеспечения безопасности и терминал, с тем чтобы разрешать проблему безопасности, существующую, когда управляющие служебные сигналы передаются между сетевым элементом узла обеспечения безопасности и терминалом в существующем решении.
[0005] Согласно первому аспекту, предусмотрен способ связи. Способ включает в себя: прием, посредством сетевого элемента узла обеспечения безопасности, первого пакета данных из терминала, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и отправку, посредством сетевого элемента узла обеспечения безопасности, первых управляющих служебных сигналов в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; или отправку, посредством сетевого элемента узла обеспечения безопасности, первых данных пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
[0006] Пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, узел обеспечения безопасности идентифицирует то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования целевого IP-адреса, который находится в пакете данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, сетевого уровня или транспортного уровня, пакеты данных, отправленные через различные соединения для обеспечения безопасности, и идентифицирует, посредством определения пакетов данных, отправленных через различные соединения для обеспечения безопасности, то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, модификация посредством вредоносного приложения может не допускаться, и безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
[0007] Следует понимать, что в этой реализации настоящего изобретения, "первый" и "второй" в первом соединении для обеспечения безопасности и втором соединении для обеспечения безопасности предназначены просто для того, чтобы различать между различными объектами. Безусловно, альтернативно, первый пакет данных, переносящий первые данные пользовательской плоскости, может передаваться посредством использования второго соединения для обеспечения безопасности, и/или первый пакет данных, переносящий первые управляющие служебные сигналы, может передаваться посредством использования первого соединения для обеспечения безопасности. Это не ограничено в настоящем изобретении.
[0008] В отношении первого аспекта, в некоторых реализациях первого аспекта, способ дополнительно включает в себя: отправку, посредством сетевого элемента узла обеспечения безопасности, второго пакета данных в терминал через второе соединение для обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы; или отправку, посредством сетевого элемента узла обеспечения безопасности, второго пакета данных в терминал через первое соединение для обеспечения безопасности, причем второй пакет данных переносит вторые данные пользовательской плоскости.
[0009] Сетевой элемент узла обеспечения безопасности отправляет пакет данных нисходящей линии связи в терминал. Сетевой элемент узла обеспечения безопасности может отправлять, через различные соединения для обеспечения безопасности, пакеты данных нисходящей линии связи, переносящие различное содержимое. Пакет данных нисходящей линии связи, переносящий управляющие служебные сигналы, и пакет данных нисходящей линии связи, переносящий данные пользовательской плоскости, соответственно, передаются через различные соединения для обеспечения безопасности. Следовательно, после приема пакета данных нисходящей линии связи, отправленного посредством сетевого элемента узла обеспечения безопасности, терминал может идентифицировать содержимое в пакете данных нисходящей линии связи посредством определения того, представляет соединение для обеспечения безопасности для передачи пакета данных нисходящей линии связи собой первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности. Следовательно, модификация посредством вредоносного приложения в терминале может не допускаться, и безопасность передачи по нисходящей линии связи повышается.
[0010] В отношении первого аспекта, в некоторых реализациях первого аспекта, способ дополнительно включает в себя: прием, посредством сетевого элемента узла обеспечения безопасности, вторых управляющих служебных сигналов из объекта функции плоскости управления; или прием, посредством сетевого элемента узла обеспечения безопасности, вторых данных пользовательской плоскости из объекта функции пользовательской плоскости.
[0011] Следует понимать, что в этой реализации настоящего изобретения, "первый" и "второй" в первом соединении для обеспечения безопасности и втором соединении для обеспечения безопасности предназначены только для того, чтобы отличать различные объекты. Безусловно, альтернативно, второй пакет данных, переносящий первые данные пользовательской плоскости, может передаваться через второе соединение для обеспечения безопасности, и/или второй пакет данных, переносящий первые управляющие служебные сигналы, может передаваться через первое соединение для обеспечения безопасности. Это не ограничено в настоящем изобретении.
[0012] В отношении первого аспекта, в некоторых реализациях первого аспекта, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0013] В отношении первого аспекта, в некоторых реализациях первого аспекта, после приема, посредством сетевого элемента узла обеспечения безопасности, первого пакета данных из терминала, способ дополнительно включает в себя: определение, посредством сетевого элемента узла обеспечения безопасности, того, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
[0014] В отношении первого аспекта, в некоторых реализациях первого аспекта, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и определение, посредством сетевого элемента узла обеспечения безопасности, того, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности, включает в себя: когда первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определение, посредством сетевого элемента узла обеспечения безопасности, того, что первый пакет данных передается через второе соединение для обеспечения безопасности; либо когда первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определение, посредством сетевого элемента узла обеспечения безопасности, того, что первый пакет данных передается через первое соединение для обеспечения безопасности.
[0015] В отношении первого аспекта, в некоторых реализациях первого аспекта, первое соединение для обеспечения безопасности может представлять собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности может представлять собой второй IPsec-туннель.
[0016] В отношении первого аспекта, в некоторых реализациях первого аспекта, идентификатор второго соединения для обеспечения безопасности может представлять собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности может представлять собой первое SPI-значение.
[0017] Согласно второму аспекту, предусмотрен способ связи. Способ включает в себя: формирование, посредством терминала, первого пакета данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; и отправку, посредством терминала, первого пакета данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0018] Во втором аспекте, на предмет некоторых реализаций, соответствующих первому аспекту, следует обратиться к описаниям первого аспекта. Подробности не описываются в данном документе.
[0019] Согласно третьему аспекту, предусмотрен другой способ связи. Способ включает в себя: прием, посредством сетевого элемента узла обеспечения безопасности, вторых управляющих служебных сигналов из объекта функции плоскости управления, или прием, посредством сетевого элемента узла обеспечения безопасности, вторых данных пользовательской плоскости из объекта функции пользовательской плоскости; отправку, посредством сетевого элемента узла обеспечения безопасности, второго пакета данных в терминал, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и обработку, посредством терминала, вторых управляющих служебных сигналов посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности, или обработку, посредством терминала, вторых данных пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0020] В отношении третьего аспекта, в некоторых реализациях третьего аспекта, после приема, посредством терминала, второго пакета данных из сетевого элемента узла обеспечения безопасности, способ дополнительно включает в себя: определение, посредством терминала, того, что второй пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности.
[0021] В отношении третьего аспекта, в некоторых реализациях третьего аспекта, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и определение, посредством терминала, того что второй пакет данных передается посредством использования второго соединения для обеспечения безопасности или первого соединения для обеспечения безопасности, включает в себя: когда второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определение, посредством терминала, того, что второй пакет данных передается через второе соединение для обеспечения безопасности; либо когда второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определение, посредством терминала, того, что второй пакет данных передается через первое соединение для обеспечения безопасности.
[0022] В отношении третьего аспекта, в некоторых реализациях третьего аспекта, первое соединение для обеспечения безопасности может представлять собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности может представлять собой второй IPsec-туннель.
[0023] В отношении третьего аспекта, в некоторых реализациях третьего аспекта, идентификатор второго соединения для обеспечения безопасности может представлять собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности может представлять собой первое SPI-значение.
[0024] Согласно четвертому аспекту, предусмотрен сетевой элемент узла обеспечения безопасности. Сетевой элемент узла обеспечения безопасности включает в себя: первый приемный модуль, выполненный с возможностью принимать первый пакет данных из терминала, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и первый отправляющий модуль, причем первый отправляющий модуль выполнен с возможностью отправлять первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; или первый отправляющий модуль выполнен с возможностью отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных через первое соединение для обеспечения безопасности.
[0025] В отношении четвертого аспекта, в некоторых реализациях четвертого аспекта, каждый модуль в сетевом элементе узла обеспечения безопасности дополнительно может выполнять соответствующее действие, выполняемое посредством сетевого элемента узла обеспечения безопасности, связанного с первым аспектом, вторым аспектом или третьим аспектом.
[0026] Согласно пятому аспекту, предусмотрен терминал. Терминал включает в себя: модуль формирования, выполненный с возможностью формировать первый пакет данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; и отправляющий модуль, выполненный с возможностью отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0027] В отношении пятого аспекта, в некоторых реализациях пятого аспекта, каждый модуль в терминале дополнительно может выполнять соответствующее действие, выполняемое посредством сетевого элемента узла обеспечения безопасности, связанного с первым аспектом, вторым аспектом или третьим аспектом.
[0028] Согласно шестому аспекту, предусмотрен другой сетевой элемент узла обеспечения безопасности. Сетевой элемент узла обеспечения безопасности включает в себя: приемный модуль, выполненный с возможностью принимать вторые управляющие служебные сигналы из объекта функции плоскости управления или выполненный с возможностью принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости; и отправляющий модуль, выполненный с возможностью отправлять второй пакет данных в терминал через второе соединение для обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы, или выполненный с возможностью отправлять второй пакет данных в терминал через первое соединение для обеспечения безопасности, причем пакет данных переносит вторые данные пользовательской плоскости.
[0029] В отношении шестого аспекта, в некоторых реализациях шестого аспекта, каждый модуль в сетевом элементе узла обеспечения безопасности дополнительно может выполнять соответствующее действие, выполняемое посредством сетевого элемента узла обеспечения безопасности, связанного с третьим аспектом.
[0030] Согласно седьмому аспекту, предусмотрен терминал. Терминал включает в себя: приемный модуль, выполненный с возможностью принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, причем пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и модуль обработки, причем модуль обработки выполнен с возможностью обрабатывать вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; или модуль обработки выполнен с возможностью обрабатывать вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0031] В отношении седьмого аспекта, в некоторых реализациях седьмого аспекта, каждый модуль в терминале дополнительно может выполнять соответствующее действие, выполняемое посредством сетевого элемента узла обеспечения безопасности, связанного с третьим аспектом.
[0032] Согласно восьмому аспекту, предусмотрен еще один другой сетевой элемент узла обеспечения безопасности. Сетевой элемент узла обеспечения безопасности включает в себя: процессор, запоминающее устройство и приемо-передающее устройство. Приемо-передающее устройство выполнено с возможностью принимать первый пакет данных из терминала, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы. Приемо-передающее устройство дополнительно выполнено с возможностью отправлять первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; или приемо-передающее устройство выполнено с возможностью отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
[0033] Согласно девятому аспекту, предусмотрен еще один другой терминал. Терминал включает в себя: процессор 1101, запоминающее устройство 1102 и приемо-передающее устройство 1103. Процессор 1101 выполнен с возможностью формировать первый пакет данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы. Приемо-передающее устройство 1103 выполнено с возможностью отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0034] Согласно десятому аспекту, предусмотрен еще один другой сетевой элемент узла обеспечения безопасности. Сетевой элемент узла обеспечения безопасности включает в себя: процессор, запоминающее устройство и приемо-передающее устройство. Приемо-передающее устройство выполнено с возможностью принимать вторые управляющие служебные сигналы из объекта функции плоскости управления или выполнено с возможностью принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости. Приемо-передающее устройство дополнительно выполнено с возможностью отправлять второй пакет данных в терминал через второе соединение для обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы, или выполнено с возможностью отправлять второй пакет данных в терминал через первое соединение для обеспечения безопасности, причем второй пакет данных переносит вторые данные пользовательской плоскости.
[0035] Согласно одиннадцатому аспекту, предусмотрен еще один другой терминал. Терминал включает в себя: процессор, запоминающее устройство и приемо-передающее устройство. Приемо-передающее устройство выполнено с возможностью принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности. Процессор выполнен с возможностью обрабатывать вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; или процессор выполнен с возможностью обрабатывать вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0036] Согласно двенадцатому аспекту, предусмотрен компьютерный носитель хранения данных. Компьютерный носитель хранения данных выполнен с возможностью сохранять компьютерную программную инструкцию, используемую посредством вышеприведенного сетевого элемента узла обеспечения безопасности, и компьютерная программная инструкция включает в себя разработанную программу, используемую для того, чтобы выполнять вышеприведенный аспект.
[0037] Согласно тринадцатому аспекту, предусмотрен компьютерный носитель хранения данных. Компьютерный носитель хранения данных выполнен с возможностью сохранять компьютерную программную инструкцию, используемую посредством вышеприведенного терминала, и компьютерная программная инструкция включает в себя разработанную программу, используемую для того, чтобы выполнять вышеприведенный аспект.
[0038] Согласно четырнадцатому аспекту, предусмотрена система связи. Система включает в себя сетевой элемент узла обеспечения безопасности согласно четвертому аспекту и терминал согласно пятому аспекту.
[0039] Согласно пятнадцатому аспекту, предусмотрена система связи. Система включает в себя сетевой элемент узла обеспечения безопасности согласно шестому аспекту и терминал согласно седьмому аспекту.
[0040] Согласно шестнадцатому аспекту, предусмотрена система связи. Система включает в себя сетевой элемент узла обеспечения безопасности согласно восьмому аспекту и терминал согласно девятому аспекту.
[0041] Согласно семнадцатому аспекту, предусмотрена система связи. Система включает в себя сетевой элемент узла обеспечения безопасности согласно десятому аспекту и терминал согласно одиннадцатому аспекту.
[0042] По сравнению с предшествующим уровнем техники, в решениях вариантов осуществления настоящего изобретения, пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, узел обеспечения безопасности идентифицирует то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования целевого IP-адреса, который находится в пакете данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, сетевого уровня или транспортного уровня, пакеты данных, отправленные посредством различных соединений для обеспечения безопасности, и идентифицирует, посредством определения пакетов данных, отправленных посредством различных соединений для обеспечения безопасности, то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, модификация посредством вредоносного приложения может не допускаться, и безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
Краткое описание чертежей
[0043] Чтобы более понятно описывать технические решения в вариантах осуществления настоящего изобретения, далее кратко описаны прилагаемые чертежи, требуемые для описания вариантов осуществления настоящего изобретения. Очевидно, что прилагаемые чертежи в нижеприведенном описании показывают только некоторые варианты осуществления настоящего изобретения, и специалисты в данной области техники по-прежнему могут получать другие чертежи из этих прилагаемых чертежей без творческих усилий.
[0044] Фиг. 1A является принципиальной схемой возможного сценария применения согласно варианту осуществления настоящего изобретения;
[0045] Фиг. 1B является принципиальной схемой возможной сетевой архитектуры согласно варианту осуществления настоящего изобретения;
[0046] Фиг. 2 является принципиальной схемой формата пакета данных пользовательской плоскости, передаваемого посредством использования IPsec-туннеля;
[0047] Фиг. 3 является принципиальной схемой связи для способа связи согласно варианту осуществления настоящего изобретения;
[0048] Фиг. 4 является принципиальной схемой формата пакета данных, переносящего управляющие служебные сигналы, согласно варианту осуществления настоящего изобретения;
[0049] Фиг. 5 является принципиальной схемой формата пакета данных, переносящего данные пользовательской плоскости, согласно варианту осуществления настоящего изобретения;
[0050] Фиг. 6 является принципиальной схемой связи установления первого IPsec-туннеля и второго IPsec-туннеля согласно варианту осуществления настоящего изобретения;
[0051] Фиг. 7 является принципиальной схемой связи для другого способа связи согласно варианту осуществления настоящего изобретения;
[0052] Фиг. 8 является принципиальной блок-схемой сетевого элемента узла обеспечения безопасности согласно варианту осуществления настоящего изобретения;
[0053] Фиг. 9 является принципиальной блок-схемой терминала согласно варианту осуществления настоящего изобретения;
[0054] Фиг. 10 является принципиальной блок-схемой другого сетевого элемента узла обеспечения безопасности согласно варианту осуществления настоящего изобретения; и
[0055] Фиг. 11 является принципиальной блок-схемой другого терминала согласно варианту осуществления настоящего изобретения.
Описание вариантов осуществления
[0056] Чтобы обеспечивать большую понятность целей, технических решений и преимуществ вариантов осуществления настоящего изобретения, далее описываются технические решения в вариантах осуществления настоящего изобретения со ссылкой на прилагаемые чертежи в вариантах осуществления настоящего изобретения.
[0057] Сетевая архитектура и сценарий предоставления услуг, которые описываются в вариантах осуществления настоящего изобретения, предназначены для того, чтобы более ясно описывать технические решения в вариантах осуществления настоящего изобретения, и не составляют ограничения на технические решения, предоставленные в вариантах осуществления настоящего изобретения. Специалисты в данной области техники могут узнавать, что с развитием сетевых архитектур и появлением новых сценариев предоставления услуг, технические решения, предоставленные в вариантах осуществления настоящего изобретения, также являются применимыми к аналогичным техническим проблемам.
[0058] Ниже сначала описываются некоторые возможные сценарии применения и сетевые архитектуры, к которым являются применимыми варианты осуществления настоящего изобретения, со ссылкой на фиг. 1A и фиг. 1B.
[0059] Фиг. 1A показывает сценарий применения, к которому могут быть применимыми варианты осуществления настоящего изобретения. Как показано на фиг. 1A, терминал осуществляет доступ к сети предоставления услуг по Интернет-протоколу (Интернет-протоколу, IP) оператора, такой как сеть по технологии мультимедийной подсистемы (мультимедийной IP-системы, IMS) или сеть по стандарту службы потоковой передачи с коммутацией пакетов (службы потоковой передачи с коммутацией пакетов, сокращенно PSS), посредством использования сети радиодоступа (сети радиодоступа, RAN) и базовой сети (базовой сети, CN). Технические решения, описанные в вариантах осуществления настоящего изобретения, могут быть применимыми к системе по стандарту долгосрочного развития (по стандарту долгосрочного развития, LTE) или к другим системам беспроводной связи, в которых используются различные технологии беспроводного доступа, например, к системам, в которых используются такие технологии доступа, как множественный доступ с кодовым разделением каналов (множественный доступ с кодовым разделением каналов, CDMA), множественный доступ с частотным разделением каналов (множественный доступ с частотным разделением каналов, FDMA), множественный доступ с временным разделением каналов (множественный доступ с временным разделением каналов, TDMA), множественный доступ с ортогональным частотным разделением каналов (множественный доступ с ортогональным частотным разделением каналов, OFDMA) и множественный доступ с частотным разделением каналов с одной несущей (множественный доступ с частотным разделением каналов с одной несущей, SC-FDMA). Кроме того, технические решения могут быть дополнительны применимыми к последующей усовершенствованной системе по отношению к LTE-системе, например, к системе пятого поколения (пятого поколения, 5G). Для ясности, только LTE-система используется в данном документе в качестве примера для описания. В LTE-системе, усовершенствованная сеть универсального наземного радиодоступа (усовершенствованная сеть универсального наземного радиодоступа, E-UTRAN) используется в качестве сети радиодоступа, и усовершенствованное ядро пакетной коммутации (усовершенствованное ядро пакетной коммутации, EPC) используется в качестве базовой сети. Терминал осуществляет доступ к IMS-сети посредством использования E-UTRAN и EPC. Следует отметить, что когда решения вариантов осуществления настоящего изобретения применяются к 5G-системе или другой системе, которая может возникать в будущем, название терминала или сетевого устройства может изменяться, но это не затрагивает реализацию решений вариантов осуществления настоящего изобретения.
[0060] На основе вышеприведенного сценария применения, фиг. 1B показывает возможную сетевую архитектуру, предоставленную в варианте осуществления настоящего изобретения. Как показано на фиг. 1B, сетевая архитектура включает в себя, по меньшей мере: терминал, сеть доступа, сетевой элемент узла обеспечения безопасности, объект функции плоскости управления и объект функции пользовательской плоскости. Терминал осуществляет доступ к сетевому элементу узла обеспечения безопасности посредством использования сети доступа, и сетевой элемент узла обеспечения безопасности соединяется как с объектом функции плоскости управления, так и с объектом функции пользовательской плоскости. Пакеты данных восходящей линии связи и нисходящей линии связи передаются между терминалом и сетевым элементом узла обеспечения безопасности посредством использования соединения для обеспечения безопасности (соединения для обеспечения безопасности), и соединение для обеспечения безопасности может представлять собой туннель на основе протокола безопасности Интернет-протокола (протокола безопасности Интернет-протокола, IPsec) либо может представлять собой другой способ соединения для обеспечения безопасности. Для удобства описания, объект функции плоскости управления также может описываться как CP-функция, и объект функции пользовательской плоскости также может описываться как UP-функция.
[0061] Следует понимать, что технические решения настоящего изобретения не ограничены сетевой архитектурой, показанной на фиг. 1B, и все сетевые архитектуры, в которых управляющие служебные сигналы передаются посредством использования соединения для обеспечения безопасности в пользовательской плоскости, например, LTE-сеть, сеть на основе собственного узла B, мобильная сеть доступа по стандарту высококачественной беспроводной связи (стандарту высококачественной беспроводной связи, Wi-Fi), сеть по стандарту глобальной системы мобильной связи (глобальной системы мобильной связи, GSM), сеть широкополосного множественного доступа с кодовым разделением каналов (широкополосного множественного доступа с кодовым разделением каналов, WCDMA), 5G-сеть или другая сеть, которая может возникать в будущем, являются применимыми к настоящему изобретению.
[0062] В вариантах осуществления настоящего изобретения, термины "сеть" и "система" обычно используются поочередно, но специалисты в данной области техники могут понимать смыслы терминов.
[0063] Терминал, связанный с вариантами осуществления настоящего изобретения, может включать в себя различные карманные устройства, устройства в транспортных средствах, носимые устройства и вычислительные устройства, которые имеют функцию беспроводной связи, или другие обрабатывающие устройства, соединенные с беспроводным модемом, и различные формы абонентского устройства (абонентского устройства, UE), мобильных станций (мобильной станции, MS), терминальных устройств (терминального устройства) и т.п. Для удобства описания, вышеприведенные устройства совместно называются терминалами.
[0064] Сетевой элемент узла обеспечения безопасности, связанный с вариантами осуществления настоящего изобретения, может представлять собой базовый сетевой элемент (например, базовый сетевой не-3GPP-шлюз (базовый сетевой не-3GPP-шлюз, N3CNGW)), функциональный объект связанного с предоставлением доступа не-3GPP-уровня (объект функции связанного с предоставлением доступа не-3GPP-уровня, N3ASF) или шлюз доступа (шлюз доступа, AGW) в мобильной сети не по стандарту Партнерского проекта третьего поколения (партнерского проекта третьего поколения, 3GPP); может представлять собой базовый сетевой элемент в LTE-системе или беспроводной контроллер в облачной сети радиодоступа (облачной сети радиодоступа, CRAN); может представлять собой ретрансляционную станцию, точку доступа, встроенное в транспортное средство устройство или носимое устройство; или может представлять собой сетевое устройство в 5G-сети, сетевое устройство в будущей усовершенствованной наземной сети мобильной связи общего пользования (наземной сети мобильной связи общего пользования, PLMN) и т.п. Это не ограничено в вариантах осуществления настоящего изобретения.
[0065] Очевидно, что в реализациях настоящего изобретения, порядковые номера "первый" и "второй" предназначаются просто для того, чтобы различать между различными объектами, например, различать между различными соединениями для обеспечения безопасности, и не должны составлять ограничение на объем охраны вариантов осуществления настоящего изобретения.
[0066] Ниже подробнее описываются варианты осуществления настоящего изобретения на основе вышеприведенной общности, связанной с вариантами осуществления настоящего изобретения.
[0067] В сетевой архитектуре, показанной на фиг. 1B, когда управляющие служебные сигналы передаются между терминалом и сетевым элементом узла обеспечения безопасности, управляющие служебные сигналы должны передаваться через соединение для обеспечения безопасности в пользовательской плоскости между терминалом и сетевым элементом узла обеспечения безопасности. Например, при приеме пакета данных восходящей линии связи, отправленного посредством терминала, сетевой элемент узла обеспечения безопасности должен идентифицировать то, переносит или нет пакет данных восходящей линии связи управляющие служебные сигналы. Если пакет данных восходящей линии связи переносит управляющие служебные сигналы, сетевой элемент узла обеспечения безопасности извлекает управляющие служебные сигналы и отправляет управляющие служебные сигналы в CP-функцию; либо если пакет данных восходящей линии связи переносит данные пользовательской плоскости, сетевой элемент узла обеспечения безопасности отправляет данные пользовательской плоскости в пакете данных восходящей линии связи в UP-функцию. Для пакета данных нисходящей линии связи, после приема пакета данных нисходящей линии связи, терминал идентифицирует то, переносит или нет пакет данных нисходящей линии связи управляющие служебные сигналы. Если пакет данных нисходящей линии связи переносит управляющие служебные сигналы, терминал извлекает управляющие служебные сигналы и отправляет управляющие служебные сигналы в стек протоколов плоскости управления для обработки, либо если пакет данных нисходящей линии связи переносит данные пользовательской плоскости, терминал извлекает данные пользовательской плоскости и отправляет данные пользовательской плоскости в стек протоколов пользовательской плоскости для обработки.
[0068] В существующем решении, пакет данных, переносящий управляющие служебные сигналы, может идентифицироваться способом задания целевого IP-адреса пакета данных как конкретного целевого IP-адреса. Фиг. 2 показывает формат пакета данных для данных соединения для обеспечения безопасности, передаваемых посредством использования IPsec. С использованием формата пакета данных в качестве примера, в процессе передачи по восходящей линии связи, сетевой элемент узла обеспечения безопасности определяет, посредством идентификации того, включает или нет пакет данных в себя конкретный целевой IP-адрес, то, переносит или нет пакет данных управляющие служебные сигналы, причем конкретный целевой IP-адрес может быть сконфигурирован заранее. Когда сетевой элемент узла обеспечения безопасности идентифицирует то, что пакет данных включает в себя конкретный целевой IP-адрес, сетевой элемент узла обеспечения безопасности может определять то, что пакет данных переносит управляющие служебные сигналы. Тем не менее, этот способ имеет проблему безопасности. Например, на практике, целевой IP-адрес пакета данных, не переносящего управляющие служебные сигналы, может задаваться посредством вредоносного приложения в терминале как конкретный целевой IP-адрес. Следовательно, при рассмотрении в качестве управляющих служебных сигналов, данные пользовательской плоскости, переносимые в пакете данных, отправляются в CP-функцию, вызывая ошибку.
[0069] С учетом этого, варианты осуществления настоящего изобретения предоставляют способ связи и сетевой элемент узла обеспечения безопасности, терминал и систему, которые основаны на способе. Способ включает в себя: формирование, посредством терминала, первого пакета данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; отправку, посредством терминала, первого пакета данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и после того, как сетевой элемент узла обеспечения безопасности принимает первый пакет данных, если первый пакет данных передается через первое соединение для обеспечения безопасности, отправку, посредством сетевого элемента узла обеспечения безопасности, первых управляющих служебных сигналов в объект функции плоскости управления; либо если первый пакет данных передается через второе соединение для обеспечения безопасности, отправку, посредством сетевого элемента узла обеспечения безопасности, первых данных пользовательской плоскости в объект функции пользовательской плоскости.
[0070] Со ссылкой на фиг. 3, далее описываются решения, предоставленные в вариантах осуществления настоящего изобретения.
[0071] Фиг. 3 показывает способ связи, предусмотренный в варианте осуществления настоящего изобретения. Способ, показанный на фиг. 3, может включать в себя часть S310-S330, или способ, показанный на фиг. 3, может включать в себя часть S310, часть S320 и часть S330.
[0072] S310. Терминал формирует первый пакет данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы.
[0073] Необязательно, в некоторых реализациях, первый пакет данных может представлять собой пакет данных в формате IPSec-пакета данных плоскости пользователя, и пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы.
[0074] Следует понимать, что в этой реализации настоящего изобретения, когда терминал должен отправлять первые управляющие служебные сигналы в объект функции плоскости управления, терминал может формировать первый пакет данных, переносящий первые управляющие служебные сигналы; либо когда терминал должен отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, терминал может формировать первый пакет данных, переносящий первые данные пользовательской плоскости.
[0075] S320. Терминал отправляет первый пакет данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0076] В частности, в этой реализации настоящего изобретения, когда первый пакет данных переносит первые управляющие служебные сигналы, терминал может отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности через второе соединение для обеспечения безопасности; либо когда первый пакет данных переносит первые данные пользовательской плоскости, терминал может отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности через первое соединение для обеспечения безопасности.
[0077] Необязательно, в некоторых реализациях, первое соединение для обеспечения безопасности и второе соединение для обеспечения безопасности могут представлять собой различные формы соединения для обеспечения безопасности. Например, первое соединение для обеспечения безопасности и второе соединение для обеспечения безопасности могут представлять собой IPsec-туннели. В частности, первое соединение для обеспечения безопасности может представлять собой первый IPsec-туннель, и второе соединение для обеспечения безопасности может представлять собой второй IPsec-туннель. В качестве другого примера, первое соединение для обеспечения безопасности и второе соединение для обеспечения безопасности могут представлять собой LTE-туннели. В частности, первое соединение для обеспечения безопасности может представлять собой первый LTE-туннель, и второе соединение для обеспечения безопасности может представлять собой второй LTE-туннель. В качестве другого примера, первое соединение для обеспечения безопасности и второе соединение для обеспечения безопасности могут представлять собой различные соединения для обеспечения безопасности. Например, первое соединение для обеспечения безопасности может представлять собой IPsec-туннель, и второе соединение для обеспечения безопасности может представлять собой LTE-туннель.
[0078] Необязательно, в некоторых реализациях, если первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных дополнительно может переносить идентификатор второго соединения для обеспечения безопасности; либо если первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных дополнительно может переносить идентификатор первого соединения для обеспечения безопасности.
[0079] Необязательно, в некоторых реализациях, идентификатор второго соединения для обеспечения безопасности может представлять собой второе значение индекса параметра безопасности (индекса параметра безопасности, SPI), и идентификатор первого соединения для обеспечения безопасности может представлять собой первое SPI-значение.
[0080] Пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, узел обеспечения безопасности идентифицирует пакет данных, переносящий управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования конкретного целевого IP-адреса, который добавляется в пакет данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, пакеты данных, отправленные через различные соединения для обеспечения безопасности, с тем чтобы идентифицировать, на основе пакетов данных, отправленных через различные соединения для обеспечения безопасности, пакет данных, переносящий управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
[0081] Следует понимать, что в этой реализации настоящего изобретения, терминал формирует первый пакет данных, первый пакет данных отправляется в сетевой элемент узла обеспечения безопасности через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, и первый пакет данных может представлять собой пакет данных, соответствующий типу первого соединения для обеспечения безопасности или второго соединения для обеспечения безопасности. Например, когда первое соединение для обеспечения безопасности представляет собой первый IPsec-туннель, или второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель, первый пакет данных, сформированный посредством терминала, имеет формат IPSec-пакета данных плоскости пользователя; либо когда первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности представляет собой LTE-туннель, первый пакет данных, сформированный посредством терминала, имеет формат пакета данных пользовательской плоскости, который соответствует LTE-туннелю.
[0082] Необязательно, в некоторых реализациях, терминал дополнительно может принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости. Когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности. Если второй пакет данных передается через второе соединение для обеспечения безопасности, терминал обрабатывает вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления; либо если второй пакет данных передается через первое соединение для обеспечения безопасности, терминал обрабатывает вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости.
[0083] Необязательно, в некоторых реализациях, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных дополнительно может переносить идентификатор второго соединения для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных дополнительно может переносить идентификатор первого соединения для обеспечения безопасности.
[0084] Необязательно, в некоторых реализациях, после приема второго пакета данных из сетевого элемента узла обеспечения безопасности, терминал дополнительно может сначала определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности. Например, когда второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, терминал может определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности; либо когда второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, терминал может определять то, что второй пакет данных передается через первое соединение для обеспечения безопасности.
[0085] В вышеприведенной реализации, сетевой элемент узла обеспечения безопасности может отправлять второй пакет данных, переносящий вторые управляющие служебные сигналы, в терминал через второе соединение для обеспечения безопасности; или сетевой элемент узла обеспечения безопасности может отправлять второй пакет данных, переносящий вторые данные пользовательской плоскости, в терминал через первое соединение для обеспечения безопасности.
[0086] Необязательно, в некоторых вариантах осуществления, до отправки второго пакета данных в терминал, сетевой элемент узла обеспечения безопасности дополнительно может сначала принимать вторые управляющие служебные сигналы из объекта функции плоскости управления; или сетевой элемент узла обеспечения безопасности дополнительно может сначала принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости.
[0087] Необязательно, в некоторых реализациях, после того, как сетевой элемент узла обеспечения безопасности принимает первый пакет данных из терминала, сетевой элемент узла обеспечения безопасности дополнительно может определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности. Например, когда первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, сетевой элемент узла обеспечения безопасности может определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности; либо когда первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, сетевой элемент узла обеспечения безопасности может определять то, что первый пакет данных передается через первое соединение для обеспечения безопасности.
[0088] Следует отметить, что следующие части S330 и S340 представляют собой необязательные части, и после того, как выполняется часть S320, выполняется часть S330 или часть S340. В частности, если первый пакет данных передается через второе соединение для обеспечения безопасности, выполняется часть S330; либо если первый пакет данных передается через первое соединение для обеспечения безопасности, выполняется часть S340.
[0089] S330. Сетевой элемент узла обеспечения безопасности отправляет первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности.
[0090] В частности, сетевой элемент узла обеспечения безопасности может извлекать первые управляющие служебные сигналы, переносимые в первом пакете данных, и отправлять первые управляющие служебные сигналы в объект функции плоскости управления.
[0091] S340. Сетевой элемент узла обеспечения безопасности отправляет первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
[0092] В частности, сетевой элемент узла обеспечения безопасности может извлекать первые данные пользовательской плоскости в первом пакете данных и отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости.
[0093] В этом варианте осуществления настоящего изобретения, когда первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности; либо когда первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных передается через второе соединение для обеспечения безопасности таким образом, что сетевой элемент узла обеспечения безопасности может определять, на основе соединения для обеспечения безопасности, используемого для того, чтобы передавать первый пакет данных, то, что первый пакет данных переносит первые управляющие служебные сигналы или первые данные пользовательской плоскости. Если первый пакет данных передается через второе соединение для обеспечения безопасности, сетевой элемент узла обеспечения безопасности может определять то, что первый пакет данных переносит первые управляющие служебные сигналы, и отправлять первые управляющие служебные сигналы в объект функции плоскости управления; либо если первый пакет данных передается через первое соединение для обеспечения безопасности, сетевой элемент узла обеспечения безопасности может определять то, что первый пакет данных переносит первые данные пользовательской плоскости, и отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости. Можно выяснять, что в этом варианте осуществления настоящего изобретения, управляющие служебные сигналы и данные пользовательской плоскости передаются через различные соединения для обеспечения безопасности таким образом, что сетевой элемент узла обеспечения безопасности идентифицирует то, переносит или нет пакет данных управляющие служебные сигналы. По сравнению со способом, которым конкретный целевой IP-адрес задается в пакете данных, решение этого варианта осуществления настоящего изобретения повышает безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов.
[0094] Ниже описывается формат первого пакета данных в этом варианте осуществления настоящего изобретения на основе способа, показанного на фиг. 3, посредством использования примера, в котором первое соединение для обеспечения безопасности представляет собой первый IPsec-туннель, и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель, и со ссылкой на фиг. 4 и фиг. 5.
[0095] Фиг. 4 является принципиальной схемой формата первого пакета данных, переносящего первые управляющие служебные сигналы, причем первый пакет данных может иметь формат IPSec-пакета данных плоскости пользователя.
[0096] Когда терминал должен отправлять первые управляющие служебные сигналы в объект функции плоскости управления, терминал формирует первый пакет данных. Первый пакет данных включает в себя индекс параметра соединения для обеспечения безопасности (SPI), к примеру, второй SPI, второго IPsec-туннеля. После приема первого пакета данных, сетевой элемент узла обеспечения безопасности может идентифицировать, посредством использования второго SPI в первом пакете данных, то, что первый пакет данных отправляется посредством терминала через второй IPsec-туннель, с тем чтобы определять то, что первый пакет данных переносит первые управляющие служебные сигналы, и извлекать первые управляющие служебные сигналы из первого пакета данных.
[0097] Фиг. 5 является принципиальной схемой формата первого пакета данных, переносящего первые данные пользовательской плоскости, причем первый пакет данных может иметь формат IPSec-пакета данных плоскости пользователя.
[0098] Когда терминал должен отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, терминал формирует первый пакет данных. Первый пакет данных включает в себя SPI, к примеру, первый SPI, первого IPsec-туннеля. После приема первого пакета данных, сетевой элемент узла обеспечения безопасности может идентифицировать, посредством использования первого SPI в первом пакете данных, то, что пакет данных отправляется через первый IPsec-туннель, с тем чтобы определять то, что первый пакет данных переносит первые данные пользовательской плоскости, и извлекать первые данные пользовательской плоскости из первого пакета данных.
[0099] Сетевой элемент узла обеспечения безопасности может идентифицировать, на основе значения индекса параметра безопасности (SPI), переносимого в первом пакете данных, первый пакет данных, отправленный посредством использования различных IPsec-туннелей, с тем чтобы определять то, переносит первый пакет данных первые управляющие служебные сигналы или первые данные пользовательской плоскости. SPI-значение представляет собой идентификатор соединения для обеспечения безопасности неприкладного уровня. Следовательно, модификация посредством вредоносного приложения может не допускаться, и безопасность передачи повышается.
[0100] Необязательно, в некоторых реализациях, до того, как осуществляется способ, показанный на фиг. 3, способ этого варианта осуществления настоящего изобретения дополнительно может включать в себя: установление первого соединения для обеспечения безопасности и второго соединения для обеспечения безопасности.
[0101] В частности, в вышеприведенной реализации, первое соединение для обеспечения безопасности может представлять собой первый IPsec-туннель, и второе соединение для обеспечения безопасности может представлять собой второй IPsec-туннель. Первый IPsec-туннель может устанавливаться в процессе присоединения терминала, и после того, как устанавливается первый IPsec-туннель, второй IPsec-туннель может продолжать устанавливаться посредством использования ключа и алгоритма, которые согласованы в процессе установления первого IPsec-туннеля.
[0102] Ниже описывается процесс установления первого IPsec-туннеля и второго IPsec-туннеля в варианте осуществления настоящего изобретения посредством использования примера, в котором первое соединение для обеспечения безопасности представляет собой первый IPsec-туннель, второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель, и сетевой элемент узла обеспечения безопасности представляет собой N3CNGW, и со ссылкой на фиг. 6. Следует понимать, что в этой реализации настоящего изобретения, первое соединение для обеспечения безопасности и второе соединение для обеспечения безопасности альтернативно могут представлять собой другую форму туннеля или другую форму соединения для обеспечения безопасности. Это не ограничено в этом варианте осуществления настоящего изобретения, и специалисты в данной области техники могут устанавливать другую форму соединения для обеспечения безопасности без творческих усилий.
[0103] Фиг. 6 является блок-схемой последовательности операций способа установления первого IPsec-туннеля и второго IPsec-туннеля между терминалом и N3CNGW согласно варианту осуществления настоящего изобретения.
[0104] На S1, терминал устанавливает соединение по Интернет-протоколу (Интернет-протоколу, IP) с не-3GPP-сетью доступа.
[0105] На S2, терминал выбирает базовый сетевой не-3GPP-элемент (N3CNGW).
[0106] На S3, терминал выполняет инициализацию соединения для обеспечения безопасности с обменом ключами по Интернету между терминалом и N3CNGW, выбранным на этапе S2.
[0107] На этапе S3, терминал получает индекс параметра безопасности соединения для обеспечения безопасности посредством выполнения взаимодействия по передаче служебных сигналов между терминалом и N3CNGW.
[0108] На S4, терминал отправляет запрос на аутентификацию в N3CNGW, причем запрос на аутентификацию включает в себя идентификатор терминала.
[0109] На S5, N3CNGW отправляет ответ по аутентификации в терминал, причем ответ по аутентификации включает в себя идентификатор N3CNGW.
[0110] На S6, терминал снова отправляет запрос на аутентификацию в N3CNGW, причем запрос на аутентификацию включает в себя передачу служебных EAP-RSP-сигналов, EAP-RSP включает в себя сообщение ответа, используемое для того, чтобы верифицировать в процессе EAP-аутентификации то, является или нет терминал допустимым.
[0111] На S7, N3CNGW отправляет ответ по расширяемому протоколу аутентификации в объект функции плоскости управления, причем ответ по расширяемому протоколу аутентификации включает в себя передачу служебных EAP-RSP-сигналов.
[0112] На S8, объект функции плоскости управления отправляет запрос по расширяемому протоколу аутентификации в N3CNGW, причем запрос по расширяемому протоколу аутентификации включает в себя EAP-RSQ, и EAP-RSQ представляет собой служебные сигналы в процессе EAP-аутентификации.
[0113] На S9, N3CNGW отправляет ответ по аутентификации в терминал, причем ответ по аутентификации включает в себя идентификатор N3CNGW и EAP-RSP, и EAP-RSP представляет собой служебные сигналы в процессе EAP-аутентификации.
[0114] На S10, терминал отправляет запрос на аутентификацию в N3CNGW.
[0115] На S11, N3CNGW отправляет ответ по расширяемому протоколу аутентификации в объект функции плоскости управления.
[0116] На S12, объект функции плоскости управления отправляет служебные сигналы c успешностью расширяемой аутентификации в N3CNGW.
[0117] На S13, объект функции плоскости управления получает информацию контекста безопасности посредством выполнения взаимодействия по передаче служебных сигналов между объектом функции плоскости управления и N3CNGW.
[0118] На S14, N3CNGW отправляет ответ по аутентификации в терминал, причем информация относительно ответа включает в себя сообщение, указывающее то, что первый IPsec-туннель устанавливается успешно.
[0119] На S15, терминал отправляет, в N3CNGW, запрос на установление дочернего соединения для обеспечения безопасности, причем запрос включает в себя SPI-значение второго IPsec-туннеля.
[0120] На S16, N3CNGW отправляет, в терминал, ответ по установлению дочернего соединения для обеспечения безопасности, причем ответ включает в себя SPI-значение второго IPsec-туннеля.
[0121] После того, как выполняются вышеприведенные этапы, первый IPsec-туннель и второй IPsec-туннель устанавливаются между терминалом и N3CNGW. Следует понимать, что в этой реализации настоящего изобретения, второй IPsec-туннель устанавливается на основе первого IPsec-туннеля, т.е. второй IPsec-туннель может устанавливаться посредством использования ключа и алгоритма, которые согласованы в процессе установления первого IPsec-туннеля. Безусловно, специалисты в данной области техники могут легко воспринимать без творческих усилий то, что процесс установления второго IPsec-туннеля может быть идентичным процессу установления первого IPsec-туннеля, т.е. два полностью различных IPsec-туннеля могут отдельно устанавливаться.
[0122] Следует дополнительно понимать, что в этой реализации настоящего изобретения, второй IPsec-туннель может устанавливаться на основе первого IPsec-туннеля. В этом случае, когда пакет данных передается между терминалом и сетевым элементом узла обеспечения безопасности, пакет данных, переносящий управляющие служебные сигналы, может передаваться через первый IPsec-туннель, и/или пакет данных, переносящий данные пользовательской плоскости, может передаваться через второй IPsec-туннель. Это не ограничено в настоящем изобретении.
[0123] Следует дополнительно понимать, что в этой реализации настоящего изобретения, первый IPsec-туннель и второй IPsec-туннель могут устанавливаться независимо друг от друга. В этом случае, порядковые номера "первый" и "второй" предназначаются просто для того, чтобы различать между различными IPsec-туннелями, и не должны составлять ограничение на объем охраны вариантов осуществления настоящего изобретения.
[0124] В сетевой архитектуре, показанной на фиг. 1B, при приеме пакета данных нисходящей линии связи, терминал должен идентифицировать то, переносит или нет пакет данных нисходящей линии связи управляющие служебные сигналы. Если пакет данных нисходящей линии связи переносит управляющие служебные сигналы, терминал извлекает управляющие служебные сигналы и обрабатывает управляющие служебные сигналы посредством использования стека протоколов плоскости управления; либо если пакет данных нисходящей линии связи переносит данные пользовательской плоскости, терминал обрабатывает данные пользовательской плоскости в пакете данных нисходящей линии связи посредством использования стека протоколов пользовательской плоскости. Аналогично передаче пакета данных восходящей линии связи, в существующем решении, целевой IP-адрес пакета данных нисходящей линии связи, не переносящего управляющие служебные сигналы также может задаваться посредством вредоносного приложения в терминале как конкретный целевой IP-адрес. Следовательно, данные пользовательской плоскости, переносимые в пакете данных нисходящей линии связи, обрабатываются посредством использования стека протоколов плоскости управления, вызывая ошибку. С учетом этого, варианты осуществления настоящего изобретения предоставляют другой способ связи и сетевой элемент узла обеспечения безопасности, терминал и систему, которые основаны на способе. Способ включает в себя: прием, посредством сетевого элемента узла обеспечения безопасности, вторых управляющих служебных сигналов из объекта функции плоскости управления, или прием, посредством узла обеспечения безопасности, вторых данных пользовательской плоскости из объекта функции пользовательской плоскости; отправку, посредством сетевого элемента узла обеспечения безопасности, второго пакета данных в терминал, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и обработку, посредством терминала, вторых управляющих служебных сигналов посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности, или обработку, посредством терминала, вторых данных пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0125] Ниже описывается способ связи, предусмотренный в варианте осуществления настоящего изобретения, со ссылкой на фиг. 7. Способ, показанный на фиг. 7, может осуществляться на основе способа, показанного на фиг. 3, или может осуществляться не на основе способа, показанного на фиг. 3. Как показано на фиг. 7, способ связи включает в себя следующие этапы.
[0126] S710. Сетевой элемент узла обеспечения безопасности принимает вторые управляющие служебные сигналы из объекта функции плоскости управления.
[0127] В частности, на S710, когда объект функции плоскости управления должен отправлять вторые управляющие служебные сигналы в терминал, объект функции плоскости управления отправляет вторые управляющие служебные сигналы в сетевой элемент узла обеспечения безопасности. Вторые управляющие служебные сигналы могут включать в себя служебные сигналы не связанного с предоставлением доступа уровня (, NAS) и т.п. Это не ограничено в настоящем изобретении.
[0128] Необязательно, в некоторых реализациях, после того, как сетевой элемент узла обеспечения безопасности принимает вторые управляющие служебные сигналы, отправленные посредством объекта функции плоскости управления, сетевой элемент узла обеспечения безопасности может формировать второй пакет данных, переносящий вторые управляющие служебные сигналы.
[0129] S720. Сетевой элемент узла обеспечения безопасности принимает вторые данные пользовательской плоскости из объекта функции пользовательской плоскости.
[0130] В частности, на S720, когда объект функции пользовательской плоскости должен отправлять вторые данные пользовательской плоскости в терминал, объект функции пользовательской плоскости отправляет вторые данные пользовательской плоскости в сетевой элемент узла обеспечения безопасности.
[0131] Необязательно, в некоторых вариантах осуществления, после того, как сетевой элемент узла обеспечения безопасности принимает вторые данные пользовательской плоскости, отправленные посредством объекта функции пользовательской плоскости, сетевой элемент узла обеспечения безопасности может формировать второй пакет данных, переносящий вторые данные пользовательской плоскости.
[0132] Следует отметить, что вышеприведенные части S710 и S720 представляют собой необязательные части. Когда S710 выполняется, этапы содержимого, соответствующего части S710, выполняются отдельно в следующих частях S730 и S740. Когда часть S720 выполняется, этапы содержимого, соответствующего части S720, выполняются отдельно в следующих частях S730 и S740.
[0133] Необязательно, в некоторых реализациях, после того, как сетевой элемент узла обеспечения безопасности выполняет этап S710 для приема вторых управляющих служебных сигналов, отправленных посредством объекта функции плоскости управления, сетевой элемент узла обеспечения безопасности формирует второй пакет данных на основе вторых управляющих служебных сигналов, причем второй пакет данных переносит вторые управляющие служебные сигналы.
[0134] В частности, после приема вторых управляющих служебных сигналов, отправленных посредством объекта функции плоскости управления, сетевой элемент узла обеспечения безопасности формирует второй пакет данных на основе типа соединения для обеспечения безопасности для передачи второго пакета данных, причем второй пакет данных включает в себя вторые управляющие служебные сигналы, отправленные посредством объекта функции плоскости управления.
[0135] Необязательно, в некоторых вариантах осуществления, после того, как сетевой элемент узла обеспечения безопасности выполняет этап S720 для приема вторых данных пользовательской плоскости, отправленных посредством объекта функции пользовательской плоскости, сетевой элемент узла обеспечения безопасности формирует второй пакет данных на основе вторых данных пользовательской плоскости, причем второй пакет данных переносит вторые данные пользовательской плоскости.
[0136] В частности, после приема вторых данных пользовательской плоскости, отправленных посредством объекта функции пользовательской плоскости, сетевой элемент узла обеспечения безопасности формирует второй пакет данных на основе типа соединения для обеспечения безопасности для передачи второго пакета данных, причем второй пакет данных включает в себя вторые данные пользовательской плоскости, отправленные посредством объекта функции пользовательской плоскости.
[0137] Необязательно, в некоторых реализациях, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных дополнительно может переносить идентификатор первого соединения для обеспечения безопасности. Таким образом, когда S710 выполняется, второй пакет данных, сформированный посредством сетевого элемента узла обеспечения безопасности, дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо когда S720 выполняется, второй пакет данных, сформированный посредством сетевого элемента узла обеспечения безопасности, дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0138] S730. Сетевой элемент узла обеспечения безопасности отправляет второй пакет данных в терминал, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности.
[0139] Необязательно, в некоторых реализациях, после того, как терминал принимает второй пакет данных из сетевого элемента узла обеспечения безопасности, терминал дополнительно может определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности. Например, когда второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, сетевой элемент узла обеспечения безопасности может определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности; либо когда второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, сетевой элемент узла обеспечения безопасности дополнительно может определять то, что второй пакет данных передается через первое соединение для обеспечения безопасности.
[0140] В частности, в этой реализации настоящего изобретения, при идентификации того, что идентификатор соединения для обеспечения безопасности, переносимый во втором пакете данных, представляет собой идентификатор первого соединения для обеспечения безопасности, терминал определяет то, что первое соединение для обеспечения безопасности представляет собой соединение для обеспечения безопасности, используемое посредством сетевого элемента узла обеспечения безопасности для того, чтобы отправлять второй пакет данных; или при идентификации того, что идентификатор соединения для обеспечения безопасности, переносимый в первом пакете данных, представляет собой идентификатор первого соединения для обеспечения безопасности, терминал определяет то, что первое соединение для обеспечения безопасности представляет собой соединение для обеспечения безопасности, используемое посредством сетевого элемента узла обеспечения безопасности для того, чтобы отправлять первый пакет данных.
[0141] S740. Терминал обрабатывает вторые управляющие служебные сигналы или вторые данные пользовательской плоскости во втором пакете данных, причем если второй пакет данных передается через второе соединение для обеспечения безопасности, терминал обрабатывает вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления; либо если второй пакет данных передается через первое соединение для обеспечения безопасности, терминал обрабатывает вторые управляющие служебные сигналы посредством использования стека протоколов пользовательской плоскости.
[0142] В частности, в этой реализации настоящего изобретения, терминал принимает второй пакет данных, отправленный посредством сетевого элемента узла обеспечения безопасности, и определяет, посредством использования идентификатора соединения для обеспечения безопасности во втором пакете данных, то, что второй пакет данных отправляется через второе соединение для обеспечения безопасности или отправляется через первое соединение для обеспечения безопасности. Таким образом, терминал идентифицирует, на основе идентификатора соединения для обеспечения безопасности во втором пакете данных, то, что соединение для обеспечения безопасности для отправки второго пакета данных представляет собой второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности. Когда терминал идентифицирует то, что второй пакет данных отправляется через второе соединение для обеспечения безопасности, терминал получает вторые управляющие служебные сигналы во втором пакете данных и отправляет вторые управляющие служебные сигналы в стек протоколов плоскости управления для обработки; либо когда терминал идентифицирует то, что второй пакет данных отправляется через первое соединение для обеспечения безопасности, терминал получает вторые данные пользовательской плоскости во втором пакете данных и отправляет вторые данные пользовательской плоскости в стек протоколов пользовательской плоскости для обработки.
[0143] Следует отметить, что в способе, показанном на фиг. 7, на предмет содержимого, связанного с первым соединением для обеспечения безопасности, вторым соединением для обеспечения безопасности, идентификатором первого соединения для обеспечения безопасности и идентификатором второго соединения для обеспечения безопасности, следует обратиться к подробным описаниям на фиг. 3. Подробности не описываются в данном документе.
[0144] Данные пользовательской плоскости и управляющие служебные сигналы, соответственно, передаются через два различных соединения для обеспечения безопасности. Когда управляющие служебные сигналы передаются, пакет данных, переносящий управляющие служебные сигналы, передается через второе соединение для обеспечения безопасности, и пакет данных, переносящий данные пользовательской плоскости, передается через первое соединение для обеспечения безопасности. После приема пакета данных, сетевого элемента узла обеспечения безопасности или терминала идентифицирует, посредством использования идентификатора целевого соединения для обеспечения безопасности в пакете данных, целевое соединение для обеспечения безопасности для отправки пакета данных и определяет, на основе целевого соединения для обеспечения безопасности для передачи пакета данных, то переносит пакет данных данные пользовательской плоскости или управляющие служебные сигналы. Идентификатор целевого соединения для обеспечения безопасности представляет собой идентификатор неприкладного уровня, сетевого уровня или транспортного уровня. Следовательно, модификация посредством вредоносного приложения может не допускаться, и безопасность передачи повышается.
[0145] Следует понимать, что в этой реализации настоящего изобретения, порядковые номера в вышеприведенных процедурах не означают последовательность выполнения, и последовательность выполнения процедур должна определяться на основе их функций и внутренней логики и не должна составлять ограничение на процесс реализации этого варианта осуществления настоящего изобретения.
[0146] Выше подробно описываются способы связи в вариантах осуществления настоящего изобретения с точки зрения взаимодействия, а ниже подробно описываются сетевой элемент узла обеспечения безопасности и терминал, используемые для связи в вариантах осуществления настоящего изобретения.
[0147] Фиг. 8 является принципиальной блок-схемой сетевого элемента узла обеспечения безопасности согласно варианту осуществления настоящего изобретения. Функциональные модули сетевого элемента узла обеспечения безопасности, соответственно, могут выполнять этапы и/или процедуры, выполняемые посредством сетевого элемента узла обеспечения безопасности, связанного со способами, показанными на фиг. 3, фиг. 6 и фиг. 7. Сетевой элемент узла обеспечения безопасности включает в себя:
- первый приемный модуль 810, выполненный с возможностью принимать первый пакет данных из терминала, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и
- первый отправляющий модуль 820, причем первый отправляющий модуль выполнен с возможностью отправлять первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; или первый отправляющий модуль выполнен с возможностью отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
[0148] Пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, узел обеспечения безопасности идентифицирует то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования конкретного целевого IP-адреса, который находится в пакете данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, сетевого уровня или транспортного уровня, пакеты данных, отправленные посредством различных соединений для обеспечения безопасности, и идентифицирует, посредством определения пакетов данных, отправленных посредством различных соединений для обеспечения безопасности, то, переносит пакет данных управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, модификация посредством вредоносного приложения может не допускаться, и безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
[0149] Необязательно, в некоторых реализациях, сетевой элемент узла обеспечения безопасности дополнительно включает в себя:
- второй отправляющий модуль, причем второй отправляющий модуль выполнен с возможностью отправлять второй пакет данных в терминал через второе соединение для обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы; или
- второй отправляющий модуль выполнен с возможностью отправлять второй пакет данных в терминал через первое соединение для обеспечения безопасности, причем второй пакет данных переносит вторые данные пользовательской плоскости.
[0150] Необязательно, в некоторых реализациях, сетевой элемент узла обеспечения безопасности дополнительно включает в себя:
- второй приемный модуль, причем второй приемный модуль выполнен с возможностью принимать вторые управляющие служебные сигналы из объекта функции плоскости управления, или второй приемный модуль выполнен с возможностью принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости.
[0151] Необязательно, в некоторых реализациях, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0152] Необязательно, в некоторых реализациях, сетевой элемент узла обеспечения безопасности дополнительно включает в себя:
- модуль определения, выполненный с возможностью: после того, как первый приемный модуль принимает первый пакет данных, определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
[0153] Необязательно, в некоторых реализациях, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и модуль определения, в частности, выполнен с возможностью:
- когда первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности; или
- когда первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определять то, что первый пакет данных передается через первое соединение для обеспечения безопасности.
[0154] Необязательно, в некоторых реализациях, первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
[0155] Необязательно, в некоторых реализациях, идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
[0156] Следует понимать, что сетевой элемент узла обеспечения безопасности в данном документе осуществлен в форме функционального модуля. Термин "модуль" в данном документе может представлять собой специализированную интегральную схему, электронную схему, процессор (например, совместно используемый процессор, специализированный процессор или группу процессоров), выполненный с возможностью выполнять одну или более программно- или микропрограммно-реализованных программ, запоминающее устройство, логическую схему объединения и/или другой соответствующий компонент, поддерживающий описанную функцию. Сетевой элемент узла обеспечения безопасности может быть выполнен с возможностью выполнять процедуры и/или этапы, соответствующие сетевому элементу узла обеспечения безопасности в вышеприведенных вариантах осуществления способа. Чтобы исключать повторение, подробности не описываются снова в данном документе.
[0157] Фиг. 9 является принципиальной блок-схемой терминала согласно варианту осуществления настоящего изобретения. Функциональные модули терминала, соответственно, могут выполнять этапы и/или процедуры, выполняемые посредством терминала, связанного со способами, показанными на фиг. 3, фиг. 6 и фиг. 7. Терминал включает в себя:
- модуль 910 формирования, выполненный с возможностью формировать первый пакет данных, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; и
- отправляющий модуль 920, выполненный с возможностью отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0158] Пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, терминал идентифицирует то, что пакет данных переносит управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования конкретного целевого IP-адреса, который находится в пакете данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, пакеты данных, отправленные посредством различных соединений для обеспечения безопасности, с тем чтобы идентифицировать, на основе пакетов данных, отправленных посредством различных соединений для обеспечения безопасности, пакет данных, переносящий управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
[0159] Необязательно, в некоторых реализациях, терминал дополнительно включает в себя:
- приемный модуль, выполненный с возможностью принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и
- модуль обработки, причем модуль обработки выполнен с возможностью обрабатывать вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; или
- модуль обработки выполнен с возможностью обрабатывать вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0160] Необязательно, в некоторых реализациях, терминал дополнительно включает в себя:
- модуль определения, выполненный с возможностью: после того, как приемный модуль принимает второй пакет данных из сетевого элемента узла обеспечения безопасности, определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
[0161] Необязательно, в некоторых реализациях, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и модуль определения, в частности, выполнен с возможностью:
- когда второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности; или
- когда второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определять то, что второй пакет данных передается через первое соединение для обеспечения безопасности.
[0162] Необязательно, в некоторых реализациях, если первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо если первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0163] Необязательно, в некоторых реализациях, первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
[0164] Необязательно, в некоторых реализациях, идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
[0165] Следует понимать, что терминал в данном документе осуществлен в форме функционального модуля. Термин "модуль" в данном документе может представлять собой специализированную интегральную схему, электронную схему, процессор (например, совместно используемый процессор, специализированный процессор или группу процессоров), выполненный с возможностью выполнять одну или более программно- или микропрограммно-реализованных программ, запоминающее устройство, логическую схему объединения и/или другой соответствующий компонент, поддерживающий описанную функцию. Терминал может быть выполнен с возможностью выполнять процедуры и/или этапы, соответствующие терминалу в вышеприведенных вариантах осуществления способа. Чтобы исключать повторение, подробности не описываются снова в данном документе.
[0166] Фиг. 10 является принципиальной блок-схемой другого сетевого элемента узла обеспечения безопасности согласно варианту осуществления настоящего изобретения. Компоненты сетевого элемента узла обеспечения безопасности, соответственно, могут выполнять этапы и/или процедуры, выполняемые посредством сетевого элемента узла обеспечения безопасности, связанного со способами, показанными на фиг. 3, фиг. 6 и фиг. 7. Сетевой элемент узла обеспечения безопасности включает в себя: процессор 1001, запоминающее устройство 1002 и приемо-передающее устройство 1003. Компоненты сетевого элемента узла обеспечения безопасности соединяются между собой способом связывания. Приемо-передающее устройство 1003 принимает и отправляет данные посредством использования антенны 1004.
[0167] Способы, раскрытые в вышеприведенных вариантах осуществления настоящего изобретения, могут применяться к процессору 1001 или реализуются посредством процессора 1001. Процессор 1001 может представлять собой микросхему с интегральными схемами и имеет характеристики обработки сигналов. В процессе реализации, этапы в вышеприведенных способах могут выполняться посредством использования интегральной логической схемы аппаратных средств в процессоре 1001 или инструкции в форме программного обеспечения. Процессор 1001 может представлять собой процессор общего назначения, внутрикристальную систему (внутрикристальную систему, SOC), процессор полосы модулирующих частот, процессор цифровых сигналов (процессор цифровых сигналов, DSP), специализированную интегральную схему (специализированную интегральную схему, ASIC), программируемую пользователем вентильную матрицу (программируемую пользователем вентильную матрицу, FPGA) либо другое программируемое логическое устройство, дискретный логический элемент или устройство на транзисторной логике или дискретный аппаратный компонент. Процессор может реализовывать или осуществлять способы, этапы и логические блок-схемы, раскрытые в вариантах осуществления настоящего изобретения. Процессор общего назначения может представлять собой микропроцессор, либо процессор может представлять собой любой традиционный процессор и т.п. Этапы способов, раскрытых в вариантах осуществления настоящего изобретения, могут непосредственно выполняться и завершаться посредством аппаратного процессора декодирования либо могут выполняться и завершаться посредством использования комбинации аппаратных и программных модулей в процессоре декодирования. Программный модуль может быть расположен на унаследованном носителе хранения данных в данной области техники, таком как оперативное запоминающее устройство (оперативное запоминающее устройство, RAM), флэш-память, постоянное запоминающее устройство (постоянное запоминающее устройство, ROM), программируемое постоянное запоминающее устройство, электрически стираемое программируемое запоминающее устройство или регистр. Носитель хранения данных расположен в запоминающем устройстве 1002. Процессор 1001 считывает инструкцию в запоминающем устройстве 1002 и выполняет этапы вышеприведенных способов в комбинации с аппаратными средствами процессора.
[0168] Приемо-передающее устройство 1003 выполнено с возможностью принимать первый пакет данных из терминала, причем первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и
- приемо-передающее устройство 1003 дополнительно выполнено с возможностью отправлять первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; или приемо-передающее устройство 1003 выполнено с возможностью отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
[0169] На основе сетевого элемента узла обеспечения безопасности в этой реализации настоящего изобретения, первый пакет данных должен передаваться через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, и первый пакет данных должен верифицироваться с помощью целевого соединения для обеспечения безопасности. Таким образом, когда идентификатор целевого соединения для обеспечения безопасности в первом пакете данных представляет собой идентификатор соединения для обеспечения безопасности, соответствующий первому соединению для обеспечения безопасности, первый пакет данных может передаваться только через первое соединение для обеспечения безопасности; либо когда идентификатор целевого соединения для обеспечения безопасности в первом пакете данных представляет собой идентификатор соединения для обеспечения безопасности, соответствующий второму соединению для обеспечения безопасности, первый пакет данных может передаваться только через второе соединение для обеспечения безопасности. Идентификатор соединения для обеспечения безопасности представляет собой идентификатор неприкладного уровня, сетевого уровня или транспортного уровня, так что можно предотвращать модификацию, посредством вредоносного приложения, идентификатора уровня, и безопасность передачи повышается.
[0170] Необязательно, в некоторых реализациях, приемо-передающее устройство 1003 сетевого элемента узла обеспечения безопасности дополнительно выполнено с возможностью:
- отправлять второй пакет данных в терминал через второе соединение для обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы; или отправлять второй пакет данных в терминал через первое соединение для обеспечения безопасности, причем второй пакет данных переносит вторые данные пользовательской плоскости.
[0171] Необязательно, в некоторых реализациях, приемо-передающее устройство 1003 сетевого элемента узла обеспечения безопасности дополнительно выполнено с возможностью принимать вторые управляющие служебные сигналы из объекта функции плоскости управления; или выполнено с возможностью принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости.
[0172] Необязательно, в некоторых реализациях, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0173] Необязательно, в некоторых реализациях, процессор 1001 сетевого элемента узла обеспечения безопасности выполнен с возможностью: после того, как приемо-передающее устройство 1003 принимает первый пакет данных, определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
[0174] Необязательно, в некоторых реализациях, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и процессор 1001, в частности, выполнен с возможностью:
- когда первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности; или
- когда первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определять то, что первый пакет данных передается через первое соединение для обеспечения безопасности.
[0175] Необязательно, в некоторых реализациях, первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
[0176] Необязательно, в некоторых реализациях, идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
[0177] Следует понимать, что сетевой элемент узла обеспечения безопасности может быть выполнен с возможностью выполнять процедуры и/или этапы, соответствующие сетевому элементу узла обеспечения безопасности в вышеприведенных вариантах осуществления способа. Чтобы исключать повторение, подробности не описываются снова в данном документе.
[0178] Фиг. 11 является принципиальной блок-схемой другого терминала согласно варианту осуществления настоящего изобретения. Функциональные модули терминала, соответственно, могут выполнять этапы и/или процедуры, выполняемые посредством терминала, связанного со способами, показанными на фиг. 3, фиг. 6 и фиг. 7. Терминал включает в себя: процессор 1101, запоминающее устройство 1102 и приемо-передающее устройство 1103. Компоненты терминала соединяются между собой способом связывания. Приемо-передающее устройство 1103 принимает и отправляет данные посредством использования антенны 1104.
[0179] Способы, раскрытые в вышеприведенных вариантах осуществления настоящего изобретения, могут применяться к процессору 1101 или реализуются посредством процессора 1101. Процессор 1101 может представлять собой микросхему с интегральными схемами и имеет характеристики обработки сигналов. В процессе реализации, этапы в вышеприведенных способах могут выполняться посредством использования интегральной логической схемы аппаратных средств в процессоре 1101 или инструкции в форме программного обеспечения. Процессор 1101 может представлять собой процессор общего назначения, внутрикристальную систему (внутрикристальную систему, SOC), процессор полосы модулирующих частот, процессор цифровых сигналов (процессор цифровых сигналов, DSP), специализированную интегральную схему (специализированную интегральную схему, ASIC), программируемую пользователем вентильную матрицу (программируемую пользователем вентильную матрицу, FPGA) либо другое программируемое логическое устройство, дискретный логический элемент или устройство на транзисторной логике или дискретный аппаратный компонент. Процессор может реализовывать или осуществлять способы, этапы и логические блок-схемы, раскрытые в вариантах осуществления настоящего изобретения. Процессор общего назначения может представлять собой микропроцессор, либо процессор может представлять собой любой традиционный процессор и т.п. Этапы способов, раскрытых в вариантах осуществления настоящего изобретения, могут непосредственно выполняться и завершаться посредством аппаратного процессора декодирования либо могут выполняться и завершаться посредством использования комбинации аппаратных и программных модулей в процессоре декодирования. Программный модуль может быть расположен на унаследованном носителе хранения данных в данной области техники, таком как оперативное запоминающее устройство (оперативное запоминающее устройство, RAM), флэш-память, постоянное запоминающее устройство (постоянное запоминающее устройство, ROM), программируемое постоянное запоминающее устройство, электрически стираемое программируемое запоминающее устройство или регистр. Носитель хранения данных расположен в запоминающем устройстве 1102. Процессор 1101 считывает инструкцию в запоминающем устройстве 1102 и выполняет этапы вышеприведенных способов в комбинации с аппаратными средствами процессора.
[0180] Процессор 1101 выполнен с возможностью формировать первый пакет данных, причем первый пакет данных переносит данные пользовательской плоскости или управляющие служебные сигналы; и
- приемо-передающее устройство 1103 выполнено с возможностью отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности, причем первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы.
[0181] Пакет данных, переносящий управляющие служебные сигналы, и пакет данных, переносящий данные пользовательской плоскости, которые находятся между сетевым элементом узла обеспечения безопасности и терминалом, соответственно, передаются через различные соединения для обеспечения безопасности. Таким образом, терминал идентифицирует то, что пакет данных переносит управляющие служебные сигналы или данные пользовательской плоскости, без необходимости использования идентификатора, который добавляется в пакет данных и который вредоносное приложение может модифицировать, но идентифицирует, посредством использования идентификатора соединения для обеспечения безопасности неприкладного уровня, пакеты данных, отправленные посредством различных соединений для обеспечения безопасности, с тем чтобы идентифицировать, на основе пакетов данных, отправленных посредством различных соединений для обеспечения безопасности, пакет данных, переносящий управляющие служебные сигналы или данные пользовательской плоскости. Следовательно, безопасность передачи данных пользовательской плоскости или управляющих служебных сигналов повышается.
[0182] Необязательно, в некоторых реализациях, приемо-передающее устройство 1103 терминала дополнительно выполнено с возможностью принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, причем второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности, либо когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и
- процессор 1101 дополнительно выполнен с возможностью обрабатывать вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; или выполнен с возможностью обрабатывать вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
[0183] Необязательно, в некоторых реализациях, процессор 1101 дополнительно выполнен с возможностью: после того, как приемо-передающее устройство принимает второй пакет данных из сетевого элемента узла обеспечения безопасности, определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
[0184] Необязательно, в некоторых реализациях, второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и процессор 1101, в частности, выполнен с возможностью:
- когда второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности, определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности; или
- когда второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности, определять то, что второй пакет данных передается через первое соединение для обеспечения безопасности.
[0185] Необязательно, в некоторых реализациях, если первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; либо если первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
[0186] Необязательно, в некоторых реализациях, первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
[0187] Необязательно, в некоторых реализациях, идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
[0188] Следует понимать, что терминал может быть выполнен с возможностью выполнять процедуры и/или этапы, соответствующие терминалу в вышеприведенных вариантах осуществления способа. Чтобы исключать повторение, подробности не описываются снова в данном документе.
[0189] Специалисты в данной области техники могут знать, что в комбинации с примерами, описанными в вариантах осуществления, раскрытых в этом подробном описании, блоки и этапы алгоритма могут быть реализованы посредством электронных аппаратных средств или комбинации компьютерного программного обеспечения и электронных аппаратных средств. То, выполняются эти функции посредством аппаратных средств или программного обеспечения, зависит от конкретных вариантов применения и проектных ограничений технических решений. Специалисты в данной области техники могут использовать различные способы для того, чтобы реализовывать описанные функции для каждого конкретного варианта применения, но не следует считать, что такая реализация выходит за пределы объема настоящего изобретения.
[0190] Специалисты в данной области техники могут безусловно понимать, что в целях удобного и краткого описания, на предмет подробного рабочего процесса вышеприведенной системы, устройства и блока следует обратиться к соответствующему процессу вышеприведенных в вариантах осуществления способа, и подробности не описываются повторно в данном документе.
[0191] В нескольких вариантах осуществления, предоставленных в настоящей заявке, следует понимать, что раскрытая система, устройство и способ могут быть реализованы другими способами. Например, описанный вариант осуществления устройства представляет собой просто пример. Например, разделение на блоки является просто разделением по логическим функциям и может быть другим разделением в фактической реализации. Например, множество блоков или компонентов могут комбинироваться или интегрироваться в другую систему, либо некоторые признаки могут игнорироваться или не выполняться. Помимо этого, показанные или поясненные взаимные связи либо прямые связи, либо соединения связи могут быть реализованы посредством использования некоторых интерфейсов. Косвенные связи или соединения связи между устройствами или блоками могут быть реализованы в электрических, механических или других формах.
[0192] Блоки, описанные в качестве отдельных частей, могут быть или не быть физически отдельными, и части, показанные в качестве блоков, могут представлять собой или не представлять собой физические блоки, могут быть расположены в одной позиции либо могут быть распределены по множеству сетевых блоков. Некоторые или все из блоков могут быть выбраны в зависимости от фактических требований для достижения целей решений вариантов осуществления.
[0193] Помимо этого, функциональные блоки в вариантах осуществления настоящего изобретения могут быть интегрированы в процессор, либо каждый из блоков может существовать отдельно физически, либо два или более блоков могут интегрироваться в один модуль.
[0194] Когда функции реализуются в форме программного функционального блока и продаются или используются в качестве независимых продуктов, функции могут сохраняться на считываемом компьютером носителе хранения данных. На основе такого понимания, технические решения настоящего изобретения по существу или часть, вносящая усовершенствование в предшествующий уровень техники либо в некоторые технические решения, могут быть реализованы в форме программного продукта. Компьютерный программный продукт сохраняется на носителе хранения данных и включает в себя несколько инструкций для инструктирования компьютерному устройству (которое может представлять собой персональный компьютер, сервер, сетевое устройство и т.п.) или процессору выполнять все или некоторые этапов способов, описанных в вариантах осуществления настоящего изобретения. Вышеуказанный носитель хранения данных включает в себя: любой носитель, который может сохранять программный код, к примеру, USB-флэш-накопитель, съемный жесткий диск, постоянное запоминающее устройство (ROM, постоянное запоминающее устройство), оперативное запоминающее устройство (RAM, оперативное запоминающее устройство), магнитный диск или оптический диск.
[0195] Вышеприведенное описание представляет собой только конкретные варианты осуществления настоящего изобретения и не имеет намерение ограничивать объем охраны настоящего изобретения. Все изменения или замены, очевидные для специалистов в данной области техники в пределах объема, раскрытого в настоящем изобретении, должны попадать в пределы объема охраны настоящего изобретения. Следовательно, объем охраны настоящего изобретения должен зависеть от объема охраны формулы изобретения.
1. Способ связи, содержащий этапы, на которых:
- принимают, посредством сетевого элемента узла обеспечения безопасности, первый пакет данных из терминала, при этом первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и
- отправляют, посредством сетевого элемента узла обеспечения безопасности, первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; и отправляют, посредством сетевого элемента узла обеспечения безопасности, первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
2. Способ по п. 1, при этом способ дополнительно содержит этапы, на которых:
- принимают, посредством сетевого элемента узла обеспечения безопасности, вторые управляющие служебные сигналы из объекта функции плоскости управления; и
- отправляют, посредством сетевого элемента узла обеспечения безопасности, второй пакет данных в терминал через второе соединение для обеспечения безопасности, при этом второй пакет данных переносит вторые управляющие служебные сигналы.
3. Способ по п. 2, в котором второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности.
4. Способ по п. 1, при этом способ дополнительно содержит этапы, на которых:
- принимают, посредством сетевого элемента узла обеспечения безопасности, вторые данные пользовательской плоскости из объекта функции пользовательской плоскости; и
- отправляют, посредством сетевого элемента узла обеспечения безопасности, второй пакет данных в терминал через первое соединение для обеспечения безопасности, при этом второй пакет данных переносит вторые данные пользовательской плоскости.
5. Способ по п. 4, в котором второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
6. Способ по любому из пп. 1-5, при этом после приема первого пакета данных способ дополнительно содержит этап, на котором:
- определяют, посредством сетевого элемента узла обеспечения безопасности, то, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
7. Способ по п. 6, в котором первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности и определение того, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности, содержит этапы, на которых:
- определяют, посредством сетевого элемента узла обеспечения безопасности, то, что первый пакет данных передается через второе соединение для обеспечения безопасности, в ответ на определение того, что первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; или
- определяют, посредством сетевого элемента узла обеспечения безопасности, то, что первый пакет данных передается через первое соединение для обеспечения безопасности, в ответ на определение того, что первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
8. Способ по п. 7, в котором идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
9. Способ по любому из пп. 1-5, в котором первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
10. Способ связи, содержащий этапы, на которых:
- формируют, посредством устройства, первый пакет данных, при этом первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; и
- отправляют, посредством устройства, первый пакет данных в сетевой элемент узла обеспечения безопасности через первое соединение для обеспечения безопасности, если первый пакет данных переносит первые данные пользовательской плоскости; и отправляют, посредством устройства, первый пакет данных в сетевой элемент узла обеспечения безопасности через второе соединение для обеспечения безопасности, если первый пакет данных переносит первые управляющие служебные сигналы.
11. Способ по п. 10, при этом способ дополнительно содержит этапы, на которых:
- принимают, посредством устройства, второй пакет данных из сетевого элемента узла обеспечения безопасности, при этом второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности либо, когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и
- обрабатывают, посредством устройства, вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; или
- обрабатывают, посредством устройства, вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
12. Способ по п. 11, в котором после приема, посредством устройства, второго пакета данных из сетевого элемента узла обеспечения безопасности способ дополнительно содержит этап, на котором:
- определяют, посредством устройства, то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
13. Способ по п. 12, в котором второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности и определение того, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности, содержит этапы, на которых:
- определяют, посредством устройства, то, что второй пакет данных передается через второе соединение для обеспечения безопасности, в ответ на определение того, что второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; или
- определяют, посредством устройства, то, что второй пакет данных передается через первое соединение для обеспечения безопасности, в ответ на определение того, что второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
14. Способ по любому из пп. 10-13, в котором, если первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности либо, если первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
15. Способ по п. 14, в котором идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
16. Способ по любому из пп. 10-13, в котором первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
17. Сетевой элемент узла обеспечения безопасности, содержащий:
- первый приемный модуль, выполненный с возможностью принимать первый пакет данных из терминала, при этом первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы, первый пакет данных передается через первое соединение для обеспечения безопасности или второе соединение для обеспечения безопасности, первое соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые данные пользовательской плоскости, и второе соединение для обеспечения безопасности используется для того, чтобы передавать первый пакет данных, переносящий первые управляющие служебные сигналы; и
- первый отправляющий модуль, при этом первый отправляющий модуль выполнен с возможностью отправлять первые управляющие служебные сигналы в объект функции плоскости управления, если первый пакет данных передается через второе соединение для обеспечения безопасности; и отправлять первые данные пользовательской плоскости в объект функции пользовательской плоскости, если первый пакет данных передается через первое соединение для обеспечения безопасности.
18. Сетевой элемент узла обеспечения безопасности по п. 17, при этом сетевой элемент узла обеспечения безопасности дополнительно содержит:
- второй приемный модуль, выполненный с возможностью принимать вторые управляющие служебные сигналы из объекта функции плоскости управления; и
- второй отправляющий модуль, выполненный с возможностью отправлять второй пакет данных в терминал через второе соединение для обеспечения безопасности, при этом второй пакет данных переносит вторые управляющие служебные сигналы.
19. Сетевой элемент узла обеспечения безопасности по п. 18, в котором второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности.
20. Сетевой элемент узла обеспечения безопасности по п. 17, при этом сетевой элемент узла обеспечения безопасности дополнительно содержит:
- второй приемный модуль, выполненный с возможностью принимать вторые данные пользовательской плоскости из объекта функции пользовательской плоскости; и
- второй отправляющий модуль, выполненный с возможностью отправлять второй пакет данных в терминал через первое соединение для обеспечения безопасности, при этом второй пакет данных переносит вторые данные пользовательской плоскости.
21. Сетевой элемент узла обеспечения безопасности по п. 20, в котором второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
22. Сетевой элемент узла обеспечения безопасности по любому из пп. 17-21, при этом сетевой элемент узла обеспечения безопасности дополнительно содержит:
- модуль определения, выполненный с возможностью: после того как первый приемный модуль принимает первый пакет данных, определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
23. Сетевой элемент узла обеспечения безопасности по п. 22, в котором первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и модуль определения, в частности, выполнен с возможностью:
- определять то, что первый пакет данных передается через второе соединение для обеспечения безопасности, в ответ на определение того, что первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; или
- определять то, что первый пакет данных передается через первое соединение для обеспечения безопасности, в ответ на определение того, что первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
24. Сетевой элемент узла обеспечения безопасности по п. 23, в котором идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
25. Сетевой элемент узла обеспечения безопасности по любому из пп. 17-21, в котором первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
26. Устройство связи, содержащее:
- модуль формирования, выполненный с возможностью формировать первый пакет данных, при этом первый пакет данных переносит первые данные пользовательской плоскости или первые управляющие служебные сигналы; и
- отправляющий модуль, выполненный с возможностью отправлять первый пакет данных в сетевой элемент узла обеспечения безопасности через первое соединение для обеспечения безопасности, если первый пакет данных переносит первые данные пользовательской плоскости; и отправлять, посредством устройства, первый пакет данных в сетевой элемент узла обеспечения безопасности через второе соединение для обеспечения безопасности, если первый пакет данных переносит первые управляющие служебные сигналы.
27. Устройство по п. 26, при этом устройство дополнительно содержит:
- приемный модуль, выполненный с возможностью принимать второй пакет данных из сетевого элемента узла обеспечения безопасности, при этом второй пакет данных переносит вторые управляющие служебные сигналы или вторые данные пользовательской плоскости, и, когда второй пакет данных переносит вторые управляющие служебные сигналы, второй пакет данных передается через второе соединение для обеспечения безопасности либо, когда второй пакет данных переносит вторые данные пользовательской плоскости, второй пакет данных передается через первое соединение для обеспечения безопасности; и
- модуль обработки, при этом модуль обработки выполнен с возможностью обрабатывать вторые управляющие служебные сигналы посредством использования стека протоколов плоскости управления, если второй пакет данных передается через второе соединение для обеспечения безопасности; и
- модуль обработки выполнен с возможностью обрабатывать вторые данные пользовательской плоскости посредством использования стека протоколов пользовательской плоскости, если второй пакет данных передается через первое соединение для обеспечения безопасности.
28. Устройство по п. 27, при этом устройство дополнительно содержит:
- модуль определения, выполненный с возможностью: после того как приемный модуль принимает второй пакет данных из сетевого элемента узла обеспечения безопасности, определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности или первое соединение для обеспечения безопасности.
29. Устройство по п. 28, в котором второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности или идентификатор первого соединения для обеспечения безопасности, и модуль определения, в частности, выполнен с возможностью:
- определять то, что второй пакет данных передается через второе соединение для обеспечения безопасности, в ответ на определение того, что второй пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности; и
- определять то, что второй пакет данных передается через первое соединение для обеспечения безопасности, в ответ на определение того, что второй пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
30. Устройство по любому из пп. 26-29, в котором, если первый пакет данных переносит первые управляющие служебные сигналы, первый пакет данных дополнительно переносит идентификатор второго соединения для обеспечения безопасности либо, если первый пакет данных переносит первые данные пользовательской плоскости, первый пакет данных дополнительно переносит идентификатор первого соединения для обеспечения безопасности.
31. Устройство по п. 30, в котором идентификатор второго соединения для обеспечения безопасности представляет собой второе значение индекса параметра безопасности (SPI), и идентификатор первого соединения для обеспечения безопасности представляет собой первое SPI-значение.
32. Устройство по любому из пп. 26-29, в котором первое соединение для обеспечения безопасности представляет собой первый туннель по протоколу безопасности Интернет-протокола (IPsec), и второе соединение для обеспечения безопасности представляет собой второй IPsec-туннель.
33. Устройство по любому из пп. 26-29, при этом устройство представляет собой терминал или микросхему в терминале.
34. Сетевой элемент узла обеспечения безопасности, содержащий:
- запоминающее устройство, выполненное с возможностью сохранять исполняемый компьютером программный код; и
- процессор, соединенный с запоминающим устройством, при этом программный код содержит инструкции, и, когда процессор выполняет инструкции, инструкции обеспечивают возможность первому устройству доступа к сети осуществлять способ по любому из пп. 1-9.
35. Устройство связи, содержащее:
- запоминающее устройство, выполненное с возможностью сохранять исполняемый компьютером программный код; и
- процессор, соединенный с запоминающим устройством, при этом программный код содержит инструкции, и, когда процессор выполняет инструкции, инструкции обеспечивают возможность первому устройству доступа к сети осуществлять способ по любому из пп. 10-16.
36. Устройство по п. 35, при этом устройство представляет собой терминал или микросхему в терминале.
37. Считываемый компьютером носитель, на который записана программа, при этом программа при выполнении обеспечивает возможность компьютеру реализовывать способ по любому из пп. 1-9.
38. Считываемый компьютером носитель, на который записана программа, при этом программа при выполнении обеспечивает возможность компьютеру реализовывать способ по любому из пп. 10-16.
