专利名称:移动回程网络的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种移动回程网络。
背景技术:
移动回程网(Mobile Backhaul)的安全威胁主要来自两个方面。一方面由于移动 Backhaul网络IP化,将IP网络中的安全威胁引入到了移动Baddiaul网络中,例如蠕虫、木 马和病毒等;另一方面,由于用户面加密行为在基站终止,数据失去安全性保护。此外核心 网安全域并没有包括baddiaul网络节点,导致kicldiaul网元得不到应有的安全保障。因 此Baclchaul网络安全性脆弱,非常容易受到攻击。如何保障Baclchaul网络安全,为数据传 输提供安全、高效的回程传输通道是下一代移动通信网络必须解决的问题。核心网中采用NDS(Network Domain Security,网络域安全)架构保护网络安全, 核心网网元之间建立ESP(Encapsulating Security I^ayload,封装安全负载)连接,核心 网网元的数据通过所述ESP连接进行传输。如图1所示,NDS架构中主要有两种接口,分别 为h和Zb。h接口是配置在安全域之间的接口,在h接口上ESP连接是强制实现的;Zb 接口是配置在同一安全域中 NEs (Network Elements,网元)和 SEGs Security Gateway,安 全网关)之间,或者NEs之间的接口,在Zb接口 ESP连接是可选实现。其中所述ESP连接 上使用的密钥是与该ESP连接对应的IKE (Internet Key Exchange,互联网密钥交换协议) 协商完成。目前,第三代合作伙伴计划(3rd Generation Partnership Project,简称为 3GPP)中提出将NDS架构应用于移动回程网。然而,NDS是针对核心网的架构建立的,而移 动回程网的架构与核心网的架构不同,无法将NDS架构直接应用于移动回程网,需要将NDS 机制进行增强,满足移动回程网的安全需求。
发明内容
本发明提供的移动回程网系统基于NDS安全机制对移动回程网之间的通信进行 安全保护。本发明实施例提供一种移动回程网络,所述网络包括接入网网元和核心网网元, 所述核心网网元与所述接入网元通过If3Sec封装安全负载(II^secESP)连接进行通信。进一步的,所述网络还具有如下特点所述IPsec ESP连接通过如下方式建立的如果所述网络为可信安全域且所述接入网网元和核心网网元支持IPsecESP连接 和一种以上版本的互联网密钥交换协议,在所述接入网网元和核心网网元之间配置NDS架 构中的Zb接口 ;在所述网络为非可信安全域时,所述接入网网元所在第一区域与所述核心网网元 所在的第二区域之间配置NDS架构中的h接口。进一步的,所述网络还具有如下特点
通过如下方式判断所述网络为非可信安全域,包括判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一 个不归属于所述网络的运营商;判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一 个未配置有安全保护机制。进一步的,所述网络还具有如下特点所述接入网网元的安全保护机制包括安全监控或专人保护,所述回程链路的安全 机制包括L2VPN保护或者L3VPN保护等。进一步的,所述网络还具有如下特点确定所述网络中的可信区域和非可信区域;在所述可信区域的边界配置SEG,所述SEG对所述可信区域的信息进行聚合,并与 非可信区域进行通信。进一步的,所述网络还具有如下特点在所述可信区域内的网元之间配置Zb接口,如果所述可信区域内的网元支持 IPsec ESP连接和一种以上的互联网密钥交换协议,所述可信区域内的至少两个网元通过 IPsec ESP连接进行通信。进一步的,所述网络还具有如下特点当所述非可信区域为第一区域时,为所述第一区域内的接入网网元之间配置Zb 接口,如果所述接入网网元支持IPsec ESP连接和一种以上的互联网密钥交换协议,所述至 少两个接入网网元通过IPsec ESP连接进行通信。进一步的,所述网络还具有如下特点判断所述第一区域中的接入网网元之间的链路以及接入网网元是否可信;如果可信,在所述第一区域的边界配置SEG,所述第一区域的SEG对所述第一区域 的信息进行聚合,并与第二区域进行通信。进一步的,所述网络还具有如下特点在所述接入网网元与所述第一区域的SEG之间配置Zb接口,如果所述接入网网元 支持IPsec ESP连接和一种以上的互联网密钥交换协议,所述接入网网元与所述第一区域 的SEG通过IPsec ESP连接进行通信。进一步的,所述网络还具有如下特点当所述IPsec ESP连接是通过接口建立时,所述IPsec ESP连接对该连接上传 输的信息进行认证、完整性保护以及加密;当所述IPsec ESP连接是通过Zb接口建立时,所述IPsec ESP连接对该连接上传 输的信息进行认证和完整性保护。本发明实施例提供的移动回程系统,将NDS架构应用到移动回程系统,并实现对 移动回程网的安全保障,实现方法简单。
图1为现有技术中NDS架构示意图;图2为本发明实施例中提供的长期演进系统的结构示意图;4
图3为实施例一提供的移动回程网的结构示意图;图4为实施例二提供的移动回程网的结构示意图;图5为实施例三提供的移动回程网的结构示意图。
具体实施例方式下面结合附图对本发明实施例提供的技术方案作进一步介绍。本发明实施例以LTE (Long Term Evolution,长期演进)系统为例进行说明,如图 1所示,本发明实施例提供的LTE的网络结构,其中移动回程部分是通过Sl和X2接口完成 的,接入网的演进基站eNBs (Evolved Node B,又称演进节点B)之间通过X2接口连接,eNB 和核心网设备MME/S-GW(Mobility Management Entity/Serving-Gateway,移动管理实体/ 业务网关)通过Sl接口连接。其中所述移动回程网通信的机密性、完整性和真实性保护通过IPsecESP连接实 现,而IPsec SA的协商则通过IKE实现。IPsec ESP连接的实现同具体的移动回程网场景 相关,是否需要实现ESP连接,以及实现机密性、完整性和真实性中的哪些安全性保护在不 同的场景中会有区别。下面对影响网络安全的因素作以介绍不同场景的安全性是由eNB、回程链路和核心网网元是否可信决定的。首先eNB对运营商来说是否可信。由于网络扁平化造成LTE/SAE(Long Term Evolution/System Architecture Evolution,长期演进/系统架构的演进)的安全应用 环境发生变化,LTE/SAE系统的覆盖范围内存在不安全的地点,各个eNB有自己相对独立的 安全区域,各个基站之间的安全既是独立又是相互联系。由于基站大量部署、地理和逻辑位 置高度分散,造成eNB可能位于不安全非信任的环境,且无法集中控制。此外eNB直接向 UE(User Equipment,用户设备)开放,UE的能力大大提高并且处于不完全可控状态,因此 对eNB的安全威胁也大大增加。如果eNB受到破坏,有可能影响回程网络的安全,因此需要 采取相应的安全机制。其次回程链路对运营商来说是否可信。回程链路也可能是不可信的,例如回程信 息通过hternet传输,或者是运营商租用的链路传输等情况下,这些链路对于运营商来说 是不可信。不可信场景下回程链路安全机制和可信回程链路的安全机制应该是不同的。最后核心网网元对运营商来说是否可信。由于核心网网元同eNB相比,其受到攻 击或者发生故障的时候,对网络造成的影响比eNB要严重,因此核心网网元的安全保护机 制一般比eNB需要的安全机制要高,需要将核心网网元和eNB分开部署,将所述核心网网元 部署在高安全的区域,相对应的,eNB部署在低安全的区域。下面以具体的移动回程网场景对IPsec ESP(IPsec Encapsulating Security Payload, II^sec封装安全负载)连接的实现进行进一步介绍实施例一本实施例提供一种移动回程网安全保护的架构,适用于可信回程网络场景。在该场景中,eNBs对于运营商来说是可信的,例如eNBs属于该运营商,并且eNBs 有安全监控或专人保护等物理保护机制。回程链路对于运营商来说也是可信的,例如回程 链路属于该运营商,并且回程链路具有L2VPN或者L3VPN保护。该场景中的核心网网元也属于该运营商,并且具有相应的安全保护机制。在该场景中,eNBsJaclchaul连接和核心网 网元属于同一运营商,它们位于同一安全域,那么该场景对运营商来说是一个可信的回程 网,回程信息保护机制采用可选的安全接口 Zb。此外,运营商可以根据管理和运营的需求, 将该域划分成不同的子域。该架构中包括eNB、MME和S-GW网元以及Zb接口,具体架构如图4所示eNB 用于无线资源管理,移动性和调度的测量和测量报告,为UE选择MME,将用户 平面数据路由到相应的SGW,MME寻呼消息的调度和发送等。如果需要支持IPsec,那么eNB 需要实现If3Sec功能和Zb接口终止功能。MME 用于管理控制面协议,如UE ID的分配、安全性、鉴权和漫游控制等。S-Gff 用于UE用户平面数据的传送、转发和路由切换等。Zb接口 Zb接口位于同一安全域的网元之间,Zb接口选择ESP连接安全保护机 制,Zb接口是可选实现。如果选择实现Zb接口,那么需要支持ESP连接隧道模式,并且至 少支持一种版本的IKE,对ESP连接传输模式的支持是可选的。在Zb接口,ESP连接总是用 于认证和完整性保护,加密是可选的。IKE连接用于密钥交换,在不安全的网络环境(如hternet)中安全地建立或更 新共享密钥,可为If3Sec协商安全关联。IPsec ESP连接用于在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP连 接通过加密需要保护的数据以及在IPsec ESP连接的数据部分放置这些加密的数据来提供 机密性和完整性。ESP连接可以提供机密性、数据源认证、无连接的完整性、抗重播服务(一 种部分序列完整性的形式)和有限信息流机密性服务。实施例二本实施例提供一种移动回程网安全保护的架构,适用于核心网和接入网位于不同 安全域的网络场景。在该场景中,eNBs可能对于运营商来说是不完全可信的,例如eNBs部署在非完 全可信区域,并且缺少物理安全防护;或者从网元的重要性来考虑,没有将接入网网元与 核心网网元进行隔离。回程链路对于运营商来说也可能是不可信的,例如通过租用线路或 ^ternet传输,或者没有对回程链路实现安全保护。该场景对运营商来说是不完全可信的, 因此划分为不同的安全域,不同域之间的信息采用必选的安全接口 ^保护,对于同一安全 域中的回程信息采用可选的安全接口 Zb保护。该架构中包括eNBs、MME和S-GW网元以及和Zb接口,具体架构如图5所示eNB 用于无线资源管理,移动性和调度的测量和测量报告,为UE选择MME,将用户 平面数据路由到相应的SGW,MME寻呼消息的调度和发送等。如果需要支持IPsec,那么eNB 需要实现If3Sec功能,Za和Zb接口终止功能。MME 用于管理控制面协议,如UE ID的分配、安全性、鉴权和漫游控制等。S-Gff 用于UE用户平面数据的传送、转发和路由切换等。h接口 接口保护安全域之间的所有信息流,h是强制实现的接口。在&接 口,认证和完整性保护是强制的,但是加密是推荐使用的。ESP连接用于实现认证、完整性和 加密。&接口通过IKEvl/v2实现安全关联协商、建立和维护。Zb接口 Zb接口位于同一安全域的网元之间,Zb接口选择ESP连接安全保护,Zb接口是可选实现。如果选择实现Zb接口,那么需要支持ESP连接隧道模式,并且至少支持 一种版本的IKE,对ESP连接传输模式的支持是可选的。在Zb接口,ESP连接总是用于认证 和完整性保护,加密是可选的。IKE连接用于密钥交换,在h或者Zb接口安全地建立或更新共享密钥,可为 II^sec协商安全关联。IPsec ESP连接用于在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP连 接通过加密需要保护的数据以及在IPsec ESP连接的数据部分放置这些加密的数据来提供 机密性和完整性。ESP连接可以提供机密性、数据源认证、无连接的完整性、抗重播服务(一 种部分序列完整性的形式)和有限信息流机密性服务。SEG :SEG用于保护安全域,负责安全相关的操作,并且SEG是物理安全的。每个安 全域可能有多个SEG,用于防止单点失败。安全域中的所有流量在进入或者离开安全域时候 必须经过SEG。SEG负责处理&接口的通信,该接口是不同安全域中SEG之间的接口。SEG 应提供在IKEvl和IKEv2中使用的认证密钥的安全存储。实施例三本实施例提供一种移动回程网安全架构,适用于核心网和接入网位于不同安全域 的网络场景。实施例3场景中也划分为两个不同的域,类似于实施例2的场景。不同域之间的 信息采用必选的安全接口 ^保护,对于同一安全域中的回程信息采用可选的安全接口 Zb 保护。但是该场景中eNBs对于运营商来说是可信的,例如eNBs属于该运营商,eNBs有安 全监控或专人保护等物理保护机制。eNBs之间的链路也是可信的。由于部署在同一个安全 域中的eNBs和它们之间的链接是可信的,因此可以在接入网边界部署一个SEG,该SEG对 eNBs的信息流进行聚合,由接入网中的SEG代替eNBs同核心网域中的SEG进行连接,减少 eNBs需要维护的SA (Security Association,安全关联)的数量。该架构中包括eNBs、MME和S-GW网元以及和Zb接口,具体架构如图6所示eNB 用于无线资源管理,移动性和调度的测量和测量报告,为UE选择MME,将用户 平面数据路由到相应的SGW,MME寻呼消息的调度和发送等。如果需要支持IPsec,那么eNB 需要实现If3Sec功能,Za和Zb接口终止功能。MME 用于管理控制面协议,如UE ID的分配、安全性、鉴权和漫游控制等。S-Gff 用于UE用户平面数据的传送、转发和路由切换等。h接口 接口保护安全域之间的所有信息流,h是强制实现的接口。在&接 口,认证和完整性保护是强制的,但是加密是推荐使用的。ESP连接用于实现认证、完整性和 加密。&接口通过IKEvl/v2实现安全关联协商、建立和维护。Zb接口 Zb接口位于同一安全域的网元之间,Zb接口选择ESP连接安全保护,Zb 接口是可选实现。如果选择实现Zb接口,那么需要支持ESP连接隧道模式,并且至少支持 一种版本的IKE,对ESP连接传输模式的支持是可选的。在Zb接口,ESP连接总是用于认证 和完整性保护,加密是可选的。IKE连接用于密钥交换,在h或者Zb接口安全地建立或更新共享密钥,可为 II^sec协商安全关联。IPsec ESP连接用于在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP连7接通过加密需要保护的数据以及在IPsec ESP连接的数据部分放置这些加密的数据来提供 机密性和完整性。所述IPsec ESP连接可以提供机密性、数据源认证、无连接的完整性、抗 重播服务(一种部分序列完整性的形式)和有限信息流机密性服务。SEG 用于保护安全域,负责安全相关的操作,并且是物理安全的。每个安全域可能 有多个SEG,用于防止单点失败。安全域中的所有流量在进入或者离开安全域时候必须经过 SEG0 SEG负责处理&接口的通信,该接口是不同IP安全域SEG之间的接口。SEG应提供 在IKEvl和IKEv2中使用的认证密钥的安全存储。此外接入网的SEGa2还负责对eNBs的信 息流进行聚合,并代表eNBs同核心网边界SEGai进行通信。本发明实施例提供的移动回程系统,将NDS架构应用到移动回程系统,并实现对 移动回程网的安全保障,实现方法简单。本领域普通技术人员可以理解实现上述实施例方法的全部或部分步骤是可以通 过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程 序在执行时,包括方法实施例的步骤之一或其组合。另外,在本发明各个实施例中的各功能单元可以采用硬件的形式实现,也可以采 用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立 的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。
权利要求
1.一种移动回程网络,其特征在于,所述网络包括接入网网元和核心网网元,所述核心 网网元与所述接入网元通过IPsec封装安全负载(II3sec ESP)连接进行通信。
2.根据权利要求1所述的网络,其特征在于,所述IPsecESP连接通过如下方式建立的如果所述网络为可信安全域且所述接入网网元和核心网网元支持IPsec ESP连接和一 种以上版本的互联网密钥交换协议,在所述接入网网元和核心网网元之间配置NDS架构中 的Zb接口 ;在所述网络为非可信安全域时,所述接入网网元所在第一区域与所述核心网网元所在 的第二区域之间配置NDS架构中的h接口。
3.根据权利要求2所述的网络,其特征在于,通过如下方式判断所述网络为非可信安 全域,包括判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个不 归属于所述网络的运营商;判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个未 配置有安全保护机制。
4.根据权利要求3所述的网络,其特征在于,所述接入网网元的安全保护机制包括安 全监控或专人保护,所述回程链路的安全机制包括L2VPN保护或者L3VPN保护等。
5.根据权利要求3所述的网络,其特征在于,还包括确定所述网络中的可信区域和非可信区域;在所述可信区域的边界配置SEG,所述SEG对所述可信区域的信息进行聚合,并与非可 信区域进行通信。
6.根据权利要求4所述的网络,其特征在于,在所述可信区域内的网元之间配置Zb接 口,如果所述可信区域内的网元支持IPsec ESP连接和一种以上的互联网密钥交换协议,所 述可信区域内的至少两个网元通过IPsec ESP连接进行通信。
7.根据权利要求4所述的网络,其特征在于,当所述非可信区域为第一区域时,为所述 第一区域内的接入网网元之间配置Zb接口,如果所述接入网网元支持IPsec ESP连接和一 种以上的互联网密钥交换协议,所述至少两个接入网网元通过IPsec ESP连接进行通信。
8.根据权利要求6所述的网络,其特征在于,还包括判断所述第一区域中的接入网网元之间的链路以及接入网网元是否可信;如果可信,在所述第一区域的边界配置SEG,所述第一区域的SEG对所述第一区域的信 息进行聚合,并与第二区域进行通信。
9.根据权利要求7所述的网络,其特征在于,在所述接入网网元与所述第一区域的SEG 之间配置Zb接口,如果所述接入网网元支持IPsec ESP连接和一种以上的互联网密钥交换 协议,所述接入网网元与所述第一区域的SEG通过IPsec ESP连接进行通信。
10.根据权利要求2至9中任一所述的网络,其特征在于,当所述IPsec ESP连接是通过h接口建立时,所述IPsec ESP连接对该连接上传输的 信息进行认证、完整性保护以及加密;当所述IPsec ESP连接是通过Zb接口建立时,所述IPsec ESP连接对该连接上传输的 信息进行认证和完整性保护。
全文摘要
本发明涉及一种移动回程网络,涉及通信领域,所述移动回程网络包括接入网网元和核心网网元,所述核心网网元与所述接入网元通过IPsec封装安全负载(IPsec ESP)连接进行通信。本发明提供的技术方案,将NDS架构应用到移动回程系统,并实现对移动回程网的安全保障,实现方法简单。
文档编号H04W12/00GK102056155SQ200910209150
公开日2011年5月11日 申请日期2009年10月28日 优先权日2009年10月28日
发明者端时立, 陈书义, 韦银星, 高峰 申请人:中兴通讯股份有限公司