安全通信方法、相关装置及系统转让专利
申请号 : CN202010694575.3
文献号 : CN114024664B
文献日 : 2022-10-18
发明人 : 邵国强
申请人 : 华为技术有限公司
摘要 :
本申请实施例提供一种安全通信的方法、系统和相关装置。该安全通信方法中,第一SEPP设备不需要和第二SEPP设备直接建立安全链路,而是通过IPX设备向第二SEPP设备发送第一安全请求消息,该第一安全请求消息的目的地址为第二SEPP设备的地址,从而IPX设备可以将第一安全请求消息转发到第二SEPP设备。在随后接收到IPX设备发送的第一安全响应消息后,第一SEPP设备可以根据第一安全响应消息中携带的密钥协商算法来计算加密密钥,并使用所述加密密钥和第二SEPP设备进行安全通信。
权利要求 :
1.一种安全通信方法,其特征在于,包括:
第一安全和边界代理SEPP设备向IP交换服务IPX设备发送第一安全请求消息,所述第一安全 请求消息的目的地址为第二SEPP设备的地址,所述第一安全请求消息用于请求和所述第二SEPP设备建立安全连接;
所述第一SEPP设备接收所述IPX设备发送的第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;
所述第一SEPP设备根据所述密钥协商算法计算加密密钥,使用所述加密密钥和所述第二SEPP设备进行安全通信。
2.如权利要求1所述的方法,其特征在于,还包括:
所述第一SEPP设备在收到所述第一安全响应消息后,向所述IPX设备发送第二安全请求消息,所述第二安全请求消息的目的地址为所述第二SEPP设备的地址;
所述第一SEPP设备接收所述IPX设备发送的第二安全响应消息,所述第二安全响应消息中携带所述第二SEPP设备握手结束的消息。
3.如权利要求1所述的方法,其特征在于,所述第一安全请求消息为应用层安全请求消息,所述应用层安全请求消息中携带所述第一SEPP设备的传输层安全TLS记录请求,所述TLS记录请求用于请求和所述第二SEPP设备建立TLS连接;
所述第一安全响应消息为应用层安全响应消息。
4.如权利要求2所述的方法,其特征在于,第一安全响应消息中携带所述第二SEPP设备分配的会话验证文件,所述第一SEPP设备在向所述IPX设备发送的所述第二安全请求消息中携带所述会话验证文件。
5.如权利要求2所述的方法,其特征在于,所述第一安全响应消息中携带所述第二SEPP设备的安全证书;
所述第一SEPP设备在校验所述第二SEPP设备的安全证书通过后,向所述IPX设备发送所述第二安全请求消息。
6.如权利要求5所述的方法,其特征在于,所述第一SEPP设备发送的所述第二安全请求消息中携带所述第一SEPP设备的安全证书。
7.如权利要求1所述的方法,其特征在于,所述第一SEPP设备根据所述密钥协商算法计算所述加密密钥,使用所述加密密钥和所述第二SEPP设备进行安全通信包括:所述第一SEPP设备根据所述密钥协商算法计算主密钥;
所述第一SEPP设备根据所述主密钥和所述密钥协商算法计算会话密钥;
所述第一SEPP设备使用所述会话密钥加密和所述第二SEPP设备通信的内容。
8.如权利要求7所述的方法,其特征在于,所述第一SEPP设备使用所述会话密钥加密和所述第二SEPP设备通信的内容包括:所述第一SEPP设备向所述IPX设备发送使用所述会话密钥加密的JSON网页加密JWE算法协商请求,所述JWE算法协商请求用于和所述第二SEPP设备协商JWE算法,所述JWE算法协商请求消息的目的地址为所述第二SEPP设备的地址;
所述第一SEPP设备接收所述IPX设备发送的JWE算法协商响应,其中携带所述第二SEPP设备确定的JWE算法。
9.如权利要求7所述的方法,其特征在于,所述第一SEPP设备使用所述会话密钥加密和所述第二SEPP设备通信的内容包括:所述第一SEPP设备使用所述会话密钥对应用层信令消息进行安全保护,向所述第二SEPP设备发送安全保护的应用层信令消息。
10.如权利要求3所述的方法,其特征在于,所述第一安全请求消息中携带所述第一SEPP设备生成的第一密钥参数,所述第一安全响应消息中携带所述第二SEPP设备生成的第二密钥参数;
所述第一SEPP设备根据所述密钥协商算法计算加密密钥包括:所述第一SEPP设备使用所述第一密钥参数、第二密钥参数和所述密钥协商算法计算所述加密密钥。
11.一种安全通信方法,其特征在于,包括:
第二安全和边界代理SEPP设备接收IP交换服务IPX设备发送的第一SEPP设备的第一安全请求消息,所述第一安全请求消息用于请求和所述第二SEPP设备建立安全连接;
所述第二SEPP设备向所述IPX设备发送第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;
所述第二SEPP设备根据所述密钥协商算法计算加密密钥,使用所述加密密钥和所述第一SEPP设备进行安全通信。
12.如权利要求11所述的方法,其特征在于,还包括:
所述第二SEPP设备在向所述第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备的安全证书;
所述第二SEPP设备在校验所述第一SEPP设备的安全证书通过后,向所述IPX设备发送第二安全响应消息,所述第二安全响应消息中携带所述第二SEPP设备握手结束的消息。
13.如权利要求11所述的方法,其特征在于,还包括:
所述第二SEPP设备在向所述第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备握手结束的消息。
14.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时能够完成权利要求1至13任意一项所述的方法。
15.一种安全和边界保护代理SEPP设备,其特征在于,包括:至少一个处理器和相互耦合的存储器,所述存储器中存储了计算机程序代码,所述处理器调用并执行所述存储器中的计算机程序代码,使得所述SEPP设备执行如权利要求1‑13任意一项所述的方法。
16.一种安全通信的系统,其特征在于,包括:
核心网网络功能设备和安全和边界保护代理SEPP设备,所述核心网网络功能设备配置于向所述SEPP设备发送信令消息;
所述SEPP设备配置于执行上述权利要求1‑13任意一项所述的方法,并配置于使用加密密钥向对端SEPP设备发送所述信令消息。
说明书 :
安全通信方法、相关装置及系统
技术领域
[0001] 本申请涉及通信技术领域,尤其涉及安全通信方法、相关的通信装置、系统及相关的计算机可读存储介质。
背景技术
[0002] 目前,第三代合作伙伴计划(3rd Generation Partner Project,3GPP)定义了安全和边界保护代理(Security and Edge Protection Proxy,SEPP)设备作为5G核心网(5G Core,5GC)的一种边界安全网关。SEPP设备是不同运营商网络之间对接的一种代理设备,5G核心网内部的网络功能(Network Function,NF)设备与其他运营商网络之间的信令交互通过SEPP设备转发。
[0003] 其中,不同运营商网络的SEPP设备可以通过IP交换服务(IP exchange service,IPX)网络进行消息转发。IPX网络中的IPX设备可以根据预定义的消息修改策略来修改传输消息,从而隐藏运营商网络的拓扑、增强网络安全。
[0004] 本地运营商网络中的SEPP设备和其他运营商网络的SEPP设备在进行信令消息转发之前,在两个SEPP之间创建直连的安全链路,通过该安全链路进行安全传输。
发明内容
[0005] 本申请实施例提供了安全通信方法、系统和相关装置及计算机可读存储介质,以简化SEPP设备维护的安全链路的数量。
[0006] 第一方面,本申请实施例提供一种安全通信方法,包括如下操作:
[0007] 第一SEPP设备向IPX设备发送第一安全请求消息,该第一安全请求消息的目的地址为第二SEPP设备的地址,第一安全请求消息用于请求和所述第二SEPP设备建立安全连接。然后,第一SEPP设备接收上述IPX设备返回的第一安全响应消息,该第一安全响应消息中携带该第二SEPP设备确定的密钥协商算法,第一SEPP设备可以根据该密钥协商算法计算加密密钥,并使用该加密密钥和第二SEPP设备进行安全通信。
[0008] 在本实施例提供的技术方案中,第一SEPP设备不需要直接向第二SEPP设备发送安全请求消息,不需要和第二SEPP设备直接建立安全链路,而是通过IPX设备向第二SEPP设备发送第一安全请求消息,该第一安全请求消息的目的地址为第二SEPP设备的地址,从而IPX设备可以将第一安全请求消息转发到第二SEPP设备。在随后接收到IPX设备发送的第一安全响应消息后,第一SEPP设备可以根据第一安全响应消息中携带的密钥协商算法来计算加密密钥,并使用所述加密密钥和第二SEPP设备进行安全通信。与现有技术相比,本实施例中的第一SEPP设备不需要和第二SEPP之间维护直连的安全链路,降低了维护成本,简化了第一SEPP上的操作。另外,相对于第二SEPP设备,IPX设备更靠近第一SEPP设备,第一SEPP设备发送给IPX设备的第一安全请求消息传输失败的几率较小,提高了第一SEPP设备和第二SEPP设备之间通信的可靠性。
[0009] 在一个可能的方案中,第一SEPP设备在收到所述第一安全响应消息后,向IPX设备发送第二安全请求消息,该第二安全请求消息的目的地址为所述第二SEPP设备。随后,第一SEPP设备接收IPX设备发送的第二安全响应消息,第二安全响应消息中携带所述第二SEPP设备握手结束的消息。在该方案中,第一SEPP设备和第二SEPP设备之间通过第一安全请求、第一安全响应和第二安全请求进行了三次交互操作,上次三次交互可以称为三次“握手”。在完成三次握手后,第二SEPP设备通过第二安全响应消息向第一SEPP设备发送握手结束的消息。在发送该握手结束的消息后,第二SEPP设备可以使用所述加密密钥和所述第一SEPP设备进行安全通信。通过在第一SEPP设备和第二SEPP设备之间进行三次握手,可以增强上述密钥协商过程的安全性。
[0010] 在一个可能的方案中,第一SEPP设备可对第二SEPP设备发送的握手结束的消息进行校验,校验通过后,使用该加密密钥和第二SEPP设备进行安全通信。如果校验不通过,则重新开始密钥协商过程,即第一SEPP设备重新向IPX设备发送第一安全请求消息。本方案通过对握手结束的消息进行校验可以进一步提升通信的安全。
[0011] 在一个可能的方案中,第一安全请求消息为第一应用层安全请求消息,第一安全响应消息为第一应用层安全响应消息。
[0012] 在一个可能的方案中,第二安全请求消息为第二应用层安全请求消息,第二安全响应消息为第二应用层安全响应消息。
[0013] 在一个可能的方案中,第一应用层安全请求消息中携带第一SEPP设备的传输层安全(Transport Layer Security,TLS)TLS记录请求,所述TLS记录请求用于请求和所述第二SEPP设备建立TLS连接。
[0014] 在一个可能的方案中,第一SEPP设备和IPX设备、IPX设备和第二SEPP设备之间采用应用层安全协议进行通信。
[0015] 在一个可能的方案中,应用层安全协议为约束应用协议(Constrained Application Protocol,CoAP)或超文本传输协议安全(Hypertext Transfer Protocol Secure,https)。
[0016] 在一个可能的方案中,第一应用层安全请求消息为第一CoAP请求消息,第一安全响应消息为第一CoAP响应消息。
[0017] 在一个可能的方案中,第二安全请求消息为第二CoAP请求消息,第二安全响应消息为第二CoAP响应消息。
[0018] 在一个可能的方案中,第一应用层安全请求消息为第一https请求消息,第一安全响应消息为第一https响应消息。
[0019] 在一个可能的方案中,第二安全请求消息为第二https请求消息,第二安全响应消息为第二https响应消息。
[0020] 在一个可能的方案中,第一SEPP设备发送的第一安全请求消息中携带第一SEPP设备请求的密钥协商算法。
[0021] 在一个可能的方案中,第一安全请求消息携带在第一https请求消息或第一CoAP请求消息中发送给所述IPX设备。第一安全响应消息携带在第一https响应消息或第一CoAP响应消息中。
[0022] 在一个可能的方案中,第一https请求消息或第一CoAP请求消息的头部中携带所述第二SEPP设备的地址。本方案通过将第二SEPP设备的地址放在第一https请求消息的头部,可以便于IPX设备根据该地址对该第一https请求消息进行转发。
[0023] 在一个可能的方案中,第二https请求消息的头部中携带所述第二SEPP设备的地址。
[0024] 在一个可能的方案中,第一SEPP设备发送的第一安全请求消息用于请求和第二SEPP设备建立安全连接。例如,建立传输层安全连接或传输层安全链路。
[0025] 在一个可能的方案中,所述第一安全请求消息为超文本传输协议安全https请求消息,https请求消息中携带所述第一SEPP设备的TLS记录请求,该TLS记录请求用于请求和所述第二SEPP设备建立传输层安全TLS连接。
[0026] 在一个可能的方案中,所述第一安全响应消息为超文本传输协议安全https响应消息。
[0027] 在一个可能的方案中,第一SEPP设备发送的第一安全请求消息中携带第一SEPP设备归属的运营商信息、第一SEPP设备的信息或第一SEPP设备对接的IPX设备的信息,从而便于第二SEPP设备获知该第一SEPP归属的运营商。
[0028] 在一个可能的方案中,第一SEPP设备使用所述加密密钥和所述第二SEPP设备进行安全通信包括:第一SEPP设备使用所述加密密钥向所述第二SEPP传输漫游信令消息,从而保障漫游信令消息的加密传输。
[0029] 在一个可能的方案中,第一SEPP发送的漫游信令消息通过IPX设备转发给第二SEPP设备。
[0030] 在一个可能的方案中,第一SEPP设备向IPX设备发送的第二安全请求消息中携带第一SEPP设备握手结束的消息。在发送该握手结束的消息后,第一SEPP设备可以使用所述加密密钥和所述第一SEPP设备进行安全通信。
[0031] 在一个可能的方案中,第一SEPP设备接收的第一安全响应消息中携带所述第二SEPP设备分配的会话验证文件。随后,第一SEPP设备在向所述IPX设备发送的第二安全请求消息中携带所述会话验证文件,该会话验证文件可以用于第一SEPP设备和第二SEPP设备之间维持状态。第二SEPP设备在接收到第二安全请求消息后,可以根据该会话验证文件确定第一SEPP设备的状态,例如第一SEPP设备处于安全连接或认证的第二阶段。
[0032] 在一个可能的方案中,第一SEPP设备接收到的第一安全响应消息中携带第二SEPP设备的安全证书,第一SEPP设备校验第二SEPP设备的安全证书,并在校验通过后,向IPX设备发送第二安全请求消息。本方案增加了第一SEPP设备对第二SEPP的安全证书的校验,可以提高双方通信的安全,避免伪造的设备和第一SEPP设备进行通信。
[0033] 在一个可能的方案中,所述第一SEPP设备发送的所述第二安全请求消息中携带所述第一SEPP设备的安全证书,第二SEPP设备在接收到第二TLS请求后,可以根据第一SEPP设备的安全证书对第一SEPP设备进行校验。
[0034] 在一个可能的方案中,第一安全请求消息中携带第一SEPP生成的TLS记录。其中,TLS记录用于请求和第二SEPP设备建立TLS连接。
[0035] 在一个可能的方案中,第一SEPP设备根据所述密钥协商算法计算加密密钥包括如下操作:第一SEPP设备根据所述密钥协商算法计算主密钥,然后根据所述主密钥来计算会话密钥,所述会话密钥用于和所述第二SEPP设备进行安全通信。例如,第一SEPP设备使用所述会话密钥加密和所述第二SEPP设备通信的内容。在本方案中,第一SEPP设备使用会话密钥来和第二SEPP设备进行加密通信,可以进一步增强通信的安全性。
[0036] 在一个可能的方案中,第一SEPP设备发送的第一安全请求消息中携带第一SEPP设备生成的第一密钥参数,第一安全响应消息中携带第二SEPP设备生成的第二密钥参数。此时,所述第一SEPP设备根据所述密钥协商算法计算加密密钥包括:第一SEPP设备使用所述第一密钥参数、第二密钥参数和所述密钥协商算法计算所述加密密钥。在本方案中,第一SEPP设备通过结合第一密钥参数和第二密钥参数来计算加密密钥,可以增强加密密钥的安全性,提供通信的安全。
[0037] 在一个可能的方案中,上述第一密钥参数和第二密钥参数为不同的随机数或预设值。
[0038] 在一个可能的方案中,所述第一SEPP设备使用所述加密密钥和所述第二SEPP设备进行安全通信包括如下操作:
[0039] 第一SEPP设备向所述IPX设备发送使用所述会话密钥加密的JavaScript对象表示法网页加密(JavaScript object notation Web Encryption,JWE)算法协商请求,所述JWE算法协商请求用于和所述第二SEPP设备协商JWE算法,所述JWE算法协商请求消息的目的地址为所述第二SEPP设备;随后,第一SEPP设备接收到IPX设备发送的JWE算法协商响应,其中携带所述第二SEPP设备确定的JWE算法。
[0040] 在一个可能的方案中,所述第一SEPP设备使用所述加密密钥和所述第二SEPP设备进行安全通信包括如下操作:第一SEPP设备向所述IPX设备发送使用所述会话密钥加密的修改策略协商请求,所述修改策略协商请求用于和所述第二SEPP设备协商信令消息的修改策略,所述修改策略协商请求消息的目的地址为所述第二SEPP设备;随后,第一SEPP设备接收所述IPX设备发送的修改策略协商响应,其中携带所述第二SEPP设备确定的修改策略。
[0041] 在一个可能的方案中,所述消息修改策略包括允许修改第一N32消息的消息头中的第一字段。
[0042] 在一个可能的方案中,所述消息修改策略包括不允许修改第一N32消息的消息头中的第二字段。
[0043] 在一个可能的方案中,所述第一SEPP设备和所述IPX设备之间建立了应用层TLS连接。
[0044] 在一个可能的方案中,所述第一SEPP设备使用加密密钥和所述第二SEPP设备进行安全通信包括:第一SEPP设备使用所述加密密钥和所述第二SEPP设备协商N32对接安全协议上下文。
[0045] 在一个可能的方案中,所述第一SEPP设备使用所述N32对接安全协议上下文以及会话密钥对核心网设备发送的信令消息进行机密性和完整性保护,并向IPX设备发送。
[0046] 在一个可能的方案中,N32对接安全协议上下文包括JWE加密算法。
[0047] 在一个可能的方案中,第一SEPP设备使用所述加密密钥和所述第二SEPP设备进行安全通信包括如下操作:第一SEPP设备向所述IPX设备发送使用所述会话密钥加密的第一IPX交换消息,第一IPX交换消息中携带所述第一SEPP设备的IPX信息,所述第一IPX交换消息的目的地址为所述第二SEPP设备;随后,第一SEPP设备接收所述IPX设备发送的第二IPX交换消息,所述第二IPX交换消息中携带所述第二SEPP设备的IPX信息。
[0048] 在一个可能的方案中,第一SEPP设备的IPX信息包括与第一SEPP设备连接的IPX设备的地址信息和/或标识信息。
[0049] 在一个可能的方案中,第二SEPP设备的IPX信息包括与第二SEPP设备连接的IPX设备的地址信息和/或标识信息。
[0050] 在一个可能的方案中,第一SEPP设备发送的算法协商请求、修改策略协商请求和第一IPX交换消息为https请求消息。
[0051] 在一个可能的方案中,第一SEPP设备接收到的算法协商响应、修改策略协商响应和第二IPX交换消息为https响应消息。
[0052] 在一个可能的方案中,所述第一SEPP设备使用所述会话密钥加密和所述第二SEPP设备通信的内容包括:
[0053] 第一SEPP设备使用所述会话密钥对应用层信令消息进行安全保护,向所述第二SEPP设备发送安全保护的应用层信令消息。
[0054] 在一个可能的方案中,第一SEPP设备向IPX设备发送应用层http2请求消息,所述应用层http2请求消息的消息体中携带使用所述会话密钥加密的信令消息,所述应用层http2请求消息的目的地址为所述第二SEPP设备。
[0055] 在一个可能的方案中,http2消息具体为post消息。
[0056] 第二方面,本申请还提供一种安全通信方法,该方法主要由第二SEPP设备来实现,主要包括:第二SEPP设备接收IPX设备发送的第一SEPP设备的第一安全请求消息,随后第二SEPP设备向所述IPX设备发送第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;第二SEPP设备根据所述密钥协商算法计算加密密钥,使用所述加密密钥和所述第一SEPP设备进行安全通信。
[0057] 在本方面提供的通信方法中,第二SEPP设备接收到的第一安全请求消息来自于IPX设备,第二SEPP设备还通过IPX设备向外发送第一安全响应消息。因此,第二SEPP设备通过维护与IPX设备的正常通信,即可实现与其他的SEPP设备(例如第一SEPP设备)的安全通信。与现有技术相比,第二SEPP不需要维护与其他SEPP设备直连的安全连接。在其他SEPP设备的数量较多的情况下,可以降低第二SEPP设备的维护复杂度,从而降低第二SEPP设备的资源消耗和成本。
[0058] 在本方面提供的通信方法中,第二SEPP设备作为接收到第一安全请求消息的设备,其还可以执行上述第一方面的通信方法,即作为发送第一安全请求消息的设备。
[0059] 在一个可能的方案中,第二SEPP设备在向所述第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备的安全证书。随后,第二SEPP设备校验所述第一SEPP设备的安全证书,在校验通过后向IPX设备发送第二安全响应消息,第二安全响应消息中携带第二SEPP设备握手结束的消息。本方案通过校验第二SEPP设备的安全证书,可以提高第二SEPP设备和第一SEPP设备通信的安全。
[0060] 在一个可能的方案中,第二SEPP设备在向所述第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备握手结束的消息。
[0061] 在一个可能的方案中,第二SEPP设备可对第一SEPP设备发送的握手结束的消息进行校验,校验通过后,使用该加密密钥和第一SEPP设备进行安全通信。本方案可以进一步提升通信的安全。
[0062] 在一个可能的方案中,第二SEPP设备发送的第一安全响应消息中携带第二SEPP设备的的IPX设备的信息,从而便于第一SEPP设备获知该第二SEPP设备对接的IPX设备的信息。
[0063] 第三方面,本申请提供一种安全通信方法,主要包括:
[0064] IPX设备设备接收第一SEPP设备发送的第一安全请求消息,第一安全请求消息的目的地址为第二SEPP设备的地址,IPX设备根据所述第二SEPP设备的地址确定下一跳设备;然后,IPX设备向该下一跳设备发送所述第一安全请求消息。
[0065] 在本方面提供的安全通信方法中,IPX设备可以转发第一SEPP设备的安全请求消息到第二SEPP设备,从而可以避免第一SEPP设备和第二SEPP设备之间直接寻址,降低SEPP设备的复杂度。
[0066] 在一个可能的方案中,IPX设备还接收所述第二SEPP设备发送的第一安全响应消息,并向第一SEPP设备转发所述第一安全响应消息。
[0067] 在一个可能的方案中,IPX设备建立接收到的第一安全请求消息的流标识和发送第一安全请求消息的流标识之间的关联,然后在接收到第一TLS响应后,根据接收到第一TLS响应的流标识(和上述发送第一安全请求消息的流标识相同)和上述关联关系确定发送第一安全响应消息的流标识。
[0068] 第四方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时能够完成第一方面、第二方面和第三方面任意一项及其组合所述的方法。
[0069] 第五方面,本申请实施例提供一种SEPP设备,其包括:至少一个处理器和相互耦合的存储器,所述存储器中存储了计算机程序代码,所述处理器调用并执行所述存储器中的计算机程序代码,使得所述SEPP设备执行以上第一方面、第二方面任意一项及其组合所述的方法。
[0070] 第六方面,本申请实施例提供一种IPX设备,其包括:至少一个处理器和相互耦合的存储器,所述存储器中存储了计算机程序代码,所述处理器调用并执行所述存储器中的计算机程序代码,使得所述IPX设备执行以上第三方面任意一项所述的方法。
[0071] 第七方面,本申请实施例提供一种安全通信的系统,其包括:
[0072] 核心网网络功能设备和SEPP设备,核心网网络功能设备配置于向SEPP设备发送信令消息;
[0073] SEPP设备配置于执行上述第一方面、第二方面任意一项所述的方法,以及配置于使用加密密钥向对端SEPP设备发送信令消息。
[0074] 在一个可能的方案中,上述信令消息为漫游信令消息。
[0075] 在一个可能的方案中,核心网网络功能设备为5G核心网设备或4G核心网设备。
[0076] 第八方面,本申请实施例提供一种SEPP设备,主要包括:第一接收单元、第一处理单元和第一发送单元。
[0077] 其中,第一接收单元、第二接收单元和第一发送单元相互配合以实现上述第一方面提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0078] 在一个可能的方案中,第一接收单元用于接收所述IPX设备发送的第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;
[0079] 第一处理单元用于根据所述密钥协商算法计算加密密钥,并使用所述加密密钥和所述第二SEPP设备进行安全通信;
[0080] 第一发送单元用于向IP交换服务IPX设备发送第一安全请求消息,所述第一请求消息的目的地址为第二SEPP设备的地址,所述第一安全请求消息用于请求和所述第二SEPP设备建立安全连接。
[0081] 在一个可能的方案中,上述SEPP设备中的第一发送单元还用于向所述IPX设备发送第二安全请求消息,所述第二安全请求消息的目的地址为所述第二SEPP设备的地址。第一接收单元还用于接收所述IPX设备发送的第二安全响应消息,所述第二安全响应消息中携带所述第二SEPP设备握手结束的消息。
[0082] 在一个可能的方案中,第一安全响应消息中携带所述第二SEPP设备分配的会话验证文件,所述第一发送单元在向所述IPX设备发送的所述第二安全请求消息中携带所述会话验证文件。
[0083] 在一个可能的方案中,所述第一安全响应消息中携带所述第二SEPP设备的安全证书;
[0084] 所述第一SEPP设备中的第一处理单元在校验所述第二SEPP设备的安全证书通过后,触发第一发送单元向所述IPX设备发送所述第二安全请求消息。
[0085] 第九方面,本申请实施例提供一种SEPP设备,其主要包括:第二接收单元、第二处理单元和第二发送单元。
[0086] 其中,SEPP设备中的第二接收单元、第二处理单元和第二发送单元相互配合以实现上述第二方面提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0087] 在一个可能的方案中,SEPP设备中的第二接收单元用于接收IP交换服务IPX设备发送的第一SEPP设备的第一安全请求消息,所述第一安全请求消息用于请求和所述第二SEPP设备建立安全连接;
[0088] 第二发送单元用于向所述IPX设备发送第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;
[0089] 第二处理单元用于根据所述密钥协商算法计算加密密钥,使用所述加密密钥和所述第一SEPP设备进行安全通信。
[0090] 第十方面,本申请实施例提供一种IPX设备,主要包括:第三接收单元,第三处理单元和第三发送单元。
[0091] 其中,IPX设备中的第三接收单元、第三处理单元和第三发送单元相互配合以实现上述第三方面提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0092] 在一个可能的方案中,第三接收单元用于接收第一SEPP设备发送的第一安全请求消息,第一安全请求消息的目的地址为第二SEPP设备的地址;
[0093] 第三处理单元用于根据所述第二SEPP设备的地址确定下一跳设备;
[0094] 第三发送单元用于向该下一跳设备发送所述第一安全请求请求消息。
[0095] 在本方面提供的方案中,IPX设备可以转发第一SEPP设备的安全请求消息到第二SEPP设备,从而可以避免第一SEPP设备和第二SEPP设备之间直接寻址,降低SEPP设备的复杂度。
[0096] 第十一方面,本申请实施例提供一种通信装置,包括:至少一个输入端、信号处理器和至少一个输出端;其中,所述信号处理器,用于执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
[0097] 第十二方面,本申请实施例提供一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
[0098] 第十三方面,本申请实施例提供一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由SEPP设备执行的任意一种方法的部分或者全部操作。
[0099] 第十四方面,本申请实施例提供一种SEPP设备,其包括相互耦合的存储器和处理器,所述存储器中存储了程序代码,所述处理器调用并执行所述存储器中的程序代码,使得所述SEPP设备执行上述通信方法的部分或全部操作。
[0100] 第十五方面,本申请实施例提供一种通信装置,包括:至少一个输入端、信号处理器和至少一个输出端;其中,所述信号处理器,用于执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
[0101] 第十六方面,本申请实施例提供一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
[0102] 第十七方面,本申请实施例提供一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由IPX设备执行的任意一种方法的部分或者全部操作。
[0103] 第十八方面,本申请实施例提供一种IPX设备,其包括相互耦合的存储器和处理器,所述存储器中存储了程序代码,所述处理器调用并执行所述存储器中的程序代码,使得所述IPX设备执行上述通信方法的部分或全部操作。
[0104] 在以上任一方面提供的方案中,第一安全请求消息可以为第一https请求消息,第一安全响应消息可以为第一https响应。第二安全请求消息可以为第二https请求消息,第二安全响应消息可以为第二https响应。在本方案中,第一SEPP设备和IPX设备之间可以采用应用层的https进行通信,即第一SEPP设备和IPX设备之间可以利用应用层TLS链路来进行安全通信,进而和第二SEPP建立安全连接,本方案增强了第一SEPP设备和IPX设备、第二SEPP设备之间通信的安全。
[0105] 在以上任一方面提供的方案中,上述会话验证文件可以为cookie文件。
[0106] 在以上任一方面提供的方案中,上述第二SEPP设备的地址可以为所述第二SEPP设备的全合格域名(fully qualified domain name,FQDN)。
[0107] 在以上任一方面提供的方案中,第一SEPP设备可以为消费者的SEPP设备,第二SEPP设备可以为生产者的SEPP设备。
附图说明
[0108] 下面将对本申请实施例中所需要使用的附图作简单地介绍。
[0109] 图1a是本申请实施例举例的一种5G网络架构的示意图。
[0110] 图1b是本申请实施例举例的一种漫游场景下的网络架构的示意图。
[0111] 图1c是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
[0112] 图1d是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
[0113] 图1e是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
[0114] 图2a为可以应用本申请安全通信方法实施例的网络架构图。
[0115] 图2b为本申请实施例提供的一种安全通信方法的流程图。
[0116] 图3是本申请实施例提供的另一种通信方法的流程示意图。
[0117] 图4是本申请实施例提供的另一种通信方法的流程示意图。
[0118] 图5是本申请实施例提供的一种SEPP设备的功能示意图。
[0119] 图6是本申请实施例提供的另一种SEPP设备的功能示意图。
[0120] 图7是本申请实施例提供的一种IPX设备的功能示意图。
[0121] 图8是本申请实施例提供的一种通信装置的结构示意图。
[0122] 图9是本申请实施例提供的一种通信装置中单板的接口示意图。
[0123] 图10是本申请实施例提供的SEPP设备和IPX设备的硬件结构图。
具体实施方式
[0124] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0125] 本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
[0126] 参见图1a,图1a是本申请实施例举例的一种5G网络架构的示意图。5G网络对4G网络的某些功能设备(例如移动性管理实体(Mobility Management Entity,MME)等等)进行了一定拆分,并定义了基于服务化架构的架构。在图1a所示网络架构中,类似4G网络中的MME的功能,被拆分成了接入与移动性管理功能(Access and Mobility Management Function,AMF)和会话管理功能(Session Management Function,SMF)等等。
[0127] 下面对5G网络架构中其他一些相关设备/网元/实体进行介绍,这些设备/网元/实体可以使用其各自的缩写来作为其简称。例如,移动性管理功能设备简称为AMF。
[0128] 用户设备(User Equipment,UE)通过接入运营商网络来访问数据网络,使用数据网络(Data Network,DN)上的由运营商或第三方提供的业务。
[0129] 为方便说明,本申请实施例中用户终端、用户设备、终端设备、移动终端或终端等可统称为UE。即,若无特别的说明,本申请实施例后文所描述的UE均可替换为用户终端、用户设备、终端设备、移动终端或终端,当然它们之间也可互换。
[0130] 接入与移动性管理功能(AMF)是3GPP网络中的一种控制面功能设备,主要负责UE接入运营商网络的接入控制和移动性管理。其中,安全锚点功能(Security Anchor Function,SEAF)可以部署于AMF之中,或SEAF也可能部署于不同于AMF的另一设备中,图1a中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时,SEAF和AMF可合称为AMF。
[0131] 会话管理功能(SMF)是3GPP网络中的一种控制面功能设备。其中,SMF主要用于负责管理UE的分组数据单元(Packet Data Unit,PDU)会话。PDU会话是一个用于传输PDU的通道,UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。
[0132] 数据网络也称为分组数据网络(Packet Data Network,PDN),它是位于3GPP网络之外的网络。其中,3GPP网络可接入多个DN,DN上可部署运营商或第三方提供的多种业务。例如,第三方提供的在线视频业务。又例如,某个DN是一个智能工厂的私有网络,安装在智能工厂车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器。UE与控制服务器通信,UE在获取控制服务器的指令之后,可根据这个指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工所使用的终端则可扮演UE的角色,这个UE可以访问公司内部的信息和其他资源。
[0133] 其中,统一数据管理实体(Unified Data Management,UDM)也是3GPP网络中的一种控制面功能设备,UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、凭证(credential)和持久身份标识(Subscriber Permanent Identifier,SUPI)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。此外,UDM还可以融合网络中的归属用户服务器(Home Subscriber Server,HSS)和归属位置寄存器(Home Location Register,HLR)的功能。
[0134] 认证服务器功能(Authentication Server Function,AUSF)也是3GPP网络中的一种控制面功能设备,AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。
[0135] 其中,网络开放功能(Network Exposure Function,NEF)也是3GPP网络之中的一种控制面功能设备。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。
[0136] 其中,网络存储功能(Network Repository Function,NRF)也是3GPP网络中的一种控制面功能设备,主要负责存储可被访问的网络功能(NF)的配置与服务资料(profile),为其他网元提供网络功能的发现服务。
[0137] 用户面功能(User Plane Function,UPF)是3GPP网络与DN通信的网关。
[0138] 策略控制功能(Policy Control Function,PCF)是3GPP网络中的一种控制面功能设备,用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(Quality of Service,QoS)、授权相关策略等。
[0139] 接入网(Access Network,AN)是3GPP网络的一个子网络,UE要接入3GPP网络,首先需要经过AN。在无线接入场景下AN也称无线接入网(Radio Access Network,RAN)。
[0140] SEPP设备作为5G核心网(5GC)的一种边界安全网关,主要作为运营商网络之间对接的代理,5G核心网的内部网络功能(NF)与漫游网络之间的信令消息通过SEPP设备转发。
[0141] 3GPP网络是指符合3GPP标准的网络。其中,图1a中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不局限于5G网络,还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外,在图1a所示架构中的N1、N2、N3、N4、N6等分别代表相关实体/网络功能之间的参照点(Reference Point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。
[0142] 当然,3GPP网络和非3GPP网络可能共存,5G网络的中的一些网元也可能被运用到一些非5G网络中。
[0143] 参见图1b,SEPP设备作为边界安全网关,支持对传输消息进行完整性和机密性保护的同时,还支持IPX网络中的设备(简称IPX设备或IPX)识别并修改传输消息的内容,例如修改传输消息的消息头。
[0144] IPX网络中的设备可包括Diameter路由代理(Diameter routing agent,DRA)设备和域名服务器(domain name server,DNS)等。IPX设备可为IPX网络中的DRA设备或DNS。此外,IPX设备可以称为超文本传输协议(Hyper Text Transfer Protocol,HTTP)代理。
[0145] 本申请实施例中,也可以将SEPP设备简称为SEPP(例如第一SEPP设备简称第一SEPP,第二SEPP设备简称第二SEPP,以此类推),即SEPP和SEPP设备可混用。将IPX设备简称IPX设备(例如第一IPX设备简称第一IPX,第二IPX设备简称第二IPX,以此类推),即,IPX和IPX设备可混用。
[0146] 其中,当UE在不同运营商网络之间漫游时,SEPP设备可以分为拜访SEPP设备(visit SEPP设备,vSEPP设备)和归属SEPP设备(home SEPP设备,hSEPP设备)。
[0147] 参见图1c和图1d,不同运营商网络的SEPP设备之间,可以通过N32接口连接。例如,vSEPP设备和hSEPP设备通过N32‑C(简称N32c)接口直连,vSEPP设备也可以通过N32‑F(简称N32f)接口连接到IPX设备,IPX设备再通过N32‑F接口连接到hSEPP设备。SEPP设备之间可能存在一个IPX设备(例如图1d举例所示),也可能存在多个IPX设备(例如图1c举例所示)。
[0148] 参见图1e,如果按照提供服务和消费服务的角度来看,SEPP设备又可以分为消费者的SEPP设备(consumer's SEPP设备,cSEPP)和生产者的SEPP设备(producer's SEPP设备,pSEPP)。其中,vSEPP设备可能是pSEPP设备而hSEPP设备可能是cSEPP设备。或vSEPP设备也可能是cSEPP设备而hSEPP设备可能是pSEPP设备。
[0149] 其中,当SEPP设备之间存在多个IPX网络,那么与pSEPP设备直连的IPX网络称为pIPX设备;与cSEPP设备直连的IPX网络称为cIPX设备。
[0150] 基于以上的网络架构,如果本地运营商网络的cSEPP设备首先与其他运营商网络的pSEPP之间创建直连的TLS链路。在建立TLS链路时,cSEPP设备获得加密密钥,然后使用加密密钥和其他运营商网络的pSEPP进行安全通信。如果本地运营商网络需要与500个其他运营商网络(或简称漫游伙伴)进行对接,每个运营商网络部署两个SEPP设备,则本地运营商需要维护2000(500*4)个直连的TLS链路,导致运营商网络的部署成本较高。
[0151] 在本申请实施例提供一种在两个SEPP设备之间进行安全通信的实施方案,可以降低运营商网络的部署成本。参见图2a和2b,图2a为可以应用本申请安全通信方法的网络架构图,图2b为本申请实施例提供的安全通信方法的流程图。
[0152] 如图2a所示,拜访地运营商A的网络vPLMN中包括5G核心网(5GC)以及两个SEPP设备,即cSEPP1和cSEPP2,运营商A与250个漫游伙伴对接(编号为1到250)。运营商A和漫游伙伴1之间通过IPX1连接,和漫游伙伴2、漫游伙伴250之间通过cIPX2和pIPX连接。
[0153] 在本实施例以cSEPP2和pSEPP3通信为例来说明本申请实施例提供的安全通信方法的流程。其中,cSEPP2‑cIPX2、cIPX2‑pIPX以及pIPX‑pSEPP3之间可以建立了应用层TLS链路,相互之间通过https进行通信。cSEPP2、cIPX2、pIPX以及pSEPP3之间通过N32‑F接口进行通信,其上均安装了可以进行https通信的应用层软件。
[0154] 如图2b所示,本实施例提供的安全通信方法主要包括如下的操作:
[0155] 201.cSEPP2设备向cIPX2设备发送第一https请求消息,该消息的目的地址为pSEPP3设备的地址。
[0156] 在本实施例中,第一安全请求消息可以为第一https请求消息。
[0157] cSEPP2设备可以在应用层调用TLS协议栈,生成第一TLS记录以创建TLS会话(或称为TLS链路、TLS连接)。随后,cSEPP2设备可以生成第一https请求消息,将第一TLS记录携带在第一https请求消息的消息体中,将pSEPP3的FQDN携带在第一https请求消息的头域(或称消息头)中。其中,上述消息体可以为二进制的,也可以对消息体进行编码,转换为其他格式的,例如进行BASE64编码,转换为字符串格式。
[0158] 此外,cSEPP2还可以将第一https请求消息中的消息类型设置为应用TLS(Application TLS,ATLS),便于pSEPP3设备获知该第一https请求消息的消息类型。第一TLS记录中还可以携带cSEPP2设备请求的密钥协商算法和第一随机数,从而第一https请求消息中也携带了cSEPP2设备请求的密钥协商算法和第一随机数。
[0159] cSEPP2设备在生成第一https请求消息后,通过与cIPX2之间的ATLS链路发给cIPX2设备。
[0160] 其中,上述第一https请求消息具体可以为Post消息。
[0161] 202.cIPX2设备接收第一https请求消息,并转发到pIPX设备。
[0162] 在本实施例中,cIPX2设备接收到第一https请求消息后,根据第一https请求消息的头域中的pSEPP3的FQDN,将该第一https请求消息转发到pIPX设备。
[0163] 此外,pIPX设备可以建立接收到的第一https请求消息的流标识和发送第一https请求消息的流标识之间的关联。
[0164] 203.pIPX设备接收第一https请求消息,并转发到pIPX设备。
[0165] 在本实施例中,pIPX设备接收到第一https请求消息后,根据第一https请求消息的头域中的pSEPP3的FQDN,将该第一https请求消息转发到pSEPP3设备。
[0166] 此外,pIPX设备可以建立接收到的第一https请求消息的流标识和发送第一https请求消息的流标识之间的关联。
[0167] 204.pSEPP3设备接收pIPX设备发送的第一https请求消息,对该第一https请求消息进行处理。
[0168] 在本实施例中,pSEPP3设备从第一https请求消息的消息体中获取cSEPP2设备生成的第一TLS记录,然后将其注入到本地的TLS协议栈,从而生成ATLS会话,并返回第一安全响应消息。第一安全响应消息中携带了pSEPP3设备生成的第二TLS记录。
[0169] 其中,pSEPP3设备生成的第二TLS记录中携带pSEPP3设备确定的密钥协商算法和pSEPP3设备生成的第二随机数。此外,第一安全响应消息中还可以携带pSEPP3设备的安全证书。
[0170] 若第一https请求消息中携带了cSEPP2设备请求的密钥协商算法,则pSEPP3设备可以从cSEPP2设备请求的密钥协商算法中来选择需要使用的密钥协商算法。
[0171] 205.pSEPP3设备向pIPX设备发送第一https响应消息。
[0172] 在本实施例中,pSEPP3设备根据第一https请求消息生成第一https响应消息。pSEPP3设备还将第一安全响应消息放入第一https响应消息的消息体中。第一https响应消息具体可以为200OK消息。
[0173] pSEPP3设备还可以生成会话验证文件,然后将会话验证文件携带在第一https响应消息的头域向pIPX设备发送。该会话验证文件具体可以为cookie文件,携带cookie文件的位置为Set‑cookie头域。
[0174] 206.pIPX设备接收第一https响应消息,向cIPX2设备发送该第一https响应消息。
[0175] 在本实施例中,pIPX设备可以在接收到第一https响应后,根据接收到的第一https响应的流标识(和上述pIPX发送第一https请求消息的流标识相同)和上述关联关系确定发送第一https响应消息的流标识。
[0176] 207.cIPX2设备接收第一https响应消息,向cSEPP2设备发送给第一https响应消息。
[0177] 在本实施例中,cIPX2设备可以在接收到第一https响应后,根据接收到的第一https响应的流标识(和上述cIPX2发送第一https请求消息的流标识相同)和上述关联关系确定发送第一https响应消息的流标识。
[0178] 208.cSEPP2设备接收第一https响应消息,对该响应消息进行处理。
[0179] 在本实施例中,cSEPP2设备从第一https响应消息的消息体中获取pSEPP3设备生成的第二TLS记录,然后将其注入到本地的TLS协议栈,得到第三TLS记录。其中,第三TLS记录中可以携带cSEPP2设备的安全证书以及cSEPP2设备握手结束的消息。携带cSEPP2设备的安全证书的目的是便于pSEPP3设备进行安全校验。
[0180] 随后,cSEPP2设备可以生成第二https请求消息,将第三TLS记录携带在第二https请求消息的消息体中,将pSEPP3的FQDN携带在第二https请求消息的头域中。
[0181] 其中,pSEPP3设备返回的第二TLS记录中可以携带pSEPP3设备的安全证书和pSEPP3设备确定的密钥协商算法。cSEPP2设备可以对pSEPP3设备的安全证书进行校验,校验通过后,向cIPX2发送生成的第二https请求消息。若校验失败,则生成错误响应,结束本次安全通信流程。上述安全证书校验过程可以在cSEPP2设备本地的TLS协议栈中完成。
[0182] cSEPP2设备还然后将第一https响应消息中携带的会话验证文件保存在本地。由于cSEPP2设备可以同时与多个pSEPP3设备建立TLS会话,其可以在本地建立该会话验证文件与TLS会话的标识之间的关联,便于区分不同的TLS会话对应的会话验证文件。
[0183] 在本实施例中,cSEPP2设备发送第一https请求消息到接收到第一https响应消息可以称为第一次来回通信延迟(Round‑trip time,RTT)或第一次握手。
[0184] 209.cSEPP2设备向cIPX2发送第二https请求消息。
[0185] 其中,cSEPP2设备将第一https响应消息中的会话验证文件携带在第二https请求消息向cIPX2设备发送。
[0186] 此外,第二https请求消息中还可以携带cSEPP2设备的安全证书以及握手结束的消息。
[0187] 210.cIPX2设备接收第二https请求消息,向pIPX设备发送该第二https请求消息。
[0188] 211.pIPX设备接收第二https请求消息,向pSEPP3设备发送给第二https请求消息。
[0189] 212.pSEPP3设备接收第二https请求消息,对该请求消息进行处理。
[0190] 在本实施例中,pSEPP3设备从第二https请求消息获取cookie文件,根据该文件查询对应的ATLS会话,然后将cSEPP2设备生成的第三TLS记录注入到本地的TLS协议栈,得到第四TLS记录。
[0191] 随后,cSEPP2设备可以生成第二https响应消息,将第四TLS记录携带在第二https响应消息的消息体中。
[0192] 其中,第三TLS记录中可以携带cSEPP2设备的安全证书,pSEPP3设备可以对cSEPP2设备的安全证书进行校验,校验通过后,向pIPX发送生成的第二https响应消息。若校验失败,则生成错误响应,结束本次安全通信流程。上述安全证书校验过程可以在pSEPP3设备本地的TLS协议栈中完成。第三TLS记录中还可以携带cSEPP2设备握手结束的消息,从而pSEPP3设备可以对该握手结束的消息进行校验,若校验通过,则继续执行后续步骤。若校验不通过,则可以向cSEPP2设备返回错误消息。
[0193] 此外,pSEPP3生成的第四TLS记录中还可以携带握手结束的消息,用于通知cSEPP2设备握手结束。
[0194] 在本实施例中,pSEPP3设备对第二https请求消息进行处理的操作还包括:pSEPP3设备可以在校验cSEPP2设备的安全证书后,根据第一随机数、第一https响应消息中携带的密钥协商算法和第二随机数来计算主密钥,然后根据主密钥和密钥协商算法来计算会话密钥(也可以称为扩展密钥),会话密钥用于cSEPP2设备和pSEPP3设备后续的通信,例如使用会话密钥对cSEPP2设备和pSEPP3设备之间传输的信令消息进行机密性和完整性保护。
[0195] 213.pSEPP3设备向pIPX设备发送第二https响应消息。
[0196] 在本实施例中,pSEPP3设备将之前生成的cookie文件携带在第二https响应消息向pIPX设备发送。
[0197] 214.pIPX设备接收第二https响应消息,向cIPX2设备发送该第二https响应消息。
[0198] 215.cIPX2设备接收第二https响应消息,向cSEPP2设备发送给第二https响应消息。
[0199] 216.cSEPP2设备接收第二https响应消息,对该响应消息进行处理。
[0200] 在本实施例中,cSEPP2设备从第二https响应消息的消息体中获取pSEPP3设备生成的第四TLS记录,然后将其注入到本地的TLS协议栈。
[0201] 由于第四TLS记录中携带了pSEPP3生成的握手结束的消息,cSEPP2可以获知本次TLS握手流程结束。cSEPP2设备可以对该握手结束的消息进行校验,若校验通过,则继续执行后续步骤。若校验不通过,则可以向pSEPP3设备返回错误消息。
[0202] 在本实施例中,cSEPP2设备发送第二https请求消息到接收到第二https响应消息可以称为第二次RTT或第二次握手。
[0203] 在本实施例中,cSEPP2设备和pSEPP3设备之间的握手消息包括第一https请求消息、第一https请求消息、第二https请求消息和第二https响应消息。
[0204] 217.cSEPP2设备计算加密密钥,使用加密密钥和pSEPP3设备进行安全通信。
[0205] 在本实施例中,cSEPP2设备可以根据第一随机数、第一https响应消息中携带的密钥协商算法和第二随机数来计算主密钥,然后根据主密钥和密钥协商算法来计算会话密钥(也可以称为扩展密钥),会话密钥用于cSEPP2设备和pSEPP3设备后续的通信,例如使用会话密钥对cSEPP2设备和pSEPP3设备之间传输的信令消息进行机密性和完整性保护。
[0206] 其中,cSEPP2设备可以在发送第二https请求消息之前计算出主密钥,然后根据主密钥来计算会话密钥。pSEPP3设备可以在接收到第二https请求消息之后计算出主密钥,然后根据主密钥来计算会话密钥。
[0207] 在一个可选的实施例中,pSEPP3设备确定的密钥协商算法可以称为密钥协商算法集合(或称为密钥协商算法套),即其中集合了多个具体的算法。pSEPP3设备和cSEPP2设备在计算会话密钥时选择的算法(称为第二密钥协商算法)可以和计算主密钥时选择的算法(称为第一密钥协商算法)不同,从而进一步增强通信的安全性。
[0208] 在本实施例提供的安全通信方法中,cSEPP2设备通过cIPX2设备、pIPX设备向pSEPP3设备发送第一安全请求消息,该第一安全请求消息的目的地址为pSEPP3设备的地址,从而cIPX2设备、pIPX设备可以将第一安全请求消息转发到pSEPP3设备。在随后接收到cIPX2设备发送的第一安全响应消息后,cSEPP2设备可以根据第一安全响应消息中携带的密钥协商算法来计算加密密钥,并使用所述加密密钥和pSEPP3设备进行安全通信。
[0209] 与现有技术相比,本实施例中的cSEPP2设备不需要和pSEPP3之间维护直连的TLS链路,降低了维护成本,简化了cSEPP2上的操作。以图3所示的组网结构来看。
[0210] 另外,相对于pSEPP3设备,cIPX2设备更靠近cSEPP2设备,cSEPP2设备发送给cIPX2设备的第一安全请求消息传输失败的几率较小,提高了cSEPP2设备和pSEPP3设备之间通信的可靠性。
[0211] 参见图3,图3为本申请实施例提供的另一种安全通信方法的流程示意图。
[0212] 本实施例提供的安全通信方法基于图2所示实施例中cSEPP2和pSEPP3之间建立的安全连接,可以使用上述会话密钥对通信的内容进行加密。
[0213] 在本实施例提供的安全通信方法主要包括:
[0214] 301.cSEPP2设备生成第三https请求消息。
[0215] 在本实施例中,cSEPP2生成第三https请求消息,第三https请求消息的消息体中携带使用所述会话密钥加密的JWE算法协商请求,JWE算法协商请求用于和pSEPP3设备协商JWE算法(或称为JWE算法套件)。第三https请求消息的目的地址为pSEPP3设备。
[0216] 第三https请求消息的消息体中还携带上述cookie文件,便于pSEPP3设备关联该https请求消息。
[0217] 在一个可能的实施例中,cSEPP2设备可以使用会话密钥以及ATLS加密算法来对JWE算法协商请求进行加密。ATLS加密算法可以通过对上述密钥协商算法进行转换或映射得到。本实施例通过使用ATLS加密算法来对需要传输的JWE算法协商请求进行加密,可以增强通信的安全。
[0218] 302.cSEPP2设备向cIPX2发送第三https请求消息。
[0219] 303.cIPX2设备向pIPX设备发送第三https请求消息。
[0220] 304.pIPX设备向pSEPP3设备发送第三https请求消息。
[0221] 305.pSEPP3设备接收第三https请求消息,对该请求消息进行解密,获得其中携带的JWE算法协商请求。
[0222] 其中,pSEPP3设备可以根据第三https请求消息中携带的cookie文件查找到该pSEPP3设备对应的会话密钥。随后,pSEPP3设备使用之前生成的会话密钥对第三https请求消息的消息体进行解密,获得JWE算法协商请求。
[0223] pSEPP3设备根据JWE算法协商请求生成JWE算法协商响应,其中携带pSEPP3设备确定的JWE算法。
[0224] 306.pSEPP3设备向pIPX发送第三https响应消息,其中携带使用会话密钥加密的JWE算法协商响应。
[0225] 307.pIPX设备向cIPX2设备发送第三https响应消息。
[0226] 308.cIPX2设备向cSEPP2设备发送第三https响应消息。
[0227] 309.cSEPP2设备接收第三https响应消息,对该响应消息进行解密,获得其中携带的JWE算法协商响应。
[0228] 其中,cSEPP2设备可以保存JWE算法协商响应中携带的JWE算法。
[0229] 在cSEPP2设备和pSEPP3设备协商完成JWE算法后,两者还可以协商消息修改策略,便于cSEPP2设备和pSEPP3设备根据协商的消息修改策略对发出的消息进行修改。
[0230] 参见图4,图4为本申请实施例提供的一种安全通信方法的流程示意图。
[0231] 本实施例提供的安全通信方法基于图2所示实施例中cSEPP2和pSEPP3之间建立的安全连接,可以使用上述会话密钥对通信的内容进行加密。
[0232] 在本实施例提供的安全通信方法主要包括:
[0233] 401.cSEPP2设备生成第四https请求消息。
[0234] 在本实施例中,cSEPP2生成第四https请求消息,第四https请求消息的消息体中携带使用所述会话密钥加密的修改策略协商请求,修改策略协商请求用于和pSEPP3设备协商消息修改策略(也可以称为修改策略)。第四https请求消息的目的地址为所述pSEPP3设备。消息修改策略包括允许修改N32消息的消息头中的第一字段,不允许修改N32消息的消息头中的第二字段等。
[0235] 第四https请求消息的消息体中还携带上述cookie文件,便于pSEPP3设备关联该https请求消息。
[0236] 在一个可能的实施例中,cSEPP2设备可以使用会话密钥以及ATLS加密算法来对修改策略协商请求进行加密。
[0237] 402.cSEPP2设备向cIPX2发送第四https请求消息。
[0238] 403.cIPX2设备向pIPX设备发送第四https请求消息。
[0239] 404.pIPX设备向pSEPP3设备发送第四https请求消息。
[0240] 405.pSEPP3设备接收第四https请求消息,对该请求消息进行解密,获得其中携带的修改策略协商请求。
[0241] 其中,pSEPP3设备可以根据第四https请求消息中携带的cookie文件查找到该pSEPP3设备对应的会话密钥。随后,pSEPP3设备使用之前生成的会话密钥对第四https请求消息的消息体进行解密,获得修改策略协商请求。
[0242] pSEPP3设备根据修改策略协商请求生成修改策略协商请求,其中携带pSEPP3设备确定的修改策略。
[0243] 406.pSEPP3设备向pIPX发送第四https响应消息,其中携带使用会话密钥加密的修改策略协商响应。
[0244] 在一个可能的实施例中,pSEPP3设备可以使用会话密钥以及ATLS加密算法来对修改策略协商请求进行加密。
[0245] 407.pIPX设备向cIPX2设备发送第四https响应消息。
[0246] 408.cIPX2设备向cSEPP2设备发送第四https响应消息。
[0247] 409.cSEPP2设备接收第四https响应消息,对该响应消息进行解密,获得其中携带的修改策略协商响应。
[0248] 其中,cSEPP2设备可以保存修改策略协商响应中携带的修改策略,便于后续在向pSEPP3设备发送N32消息时根据该修改策略对该N32消息进行修改。
[0249] 以上实施例介绍了cSEPP2和pSEPP3之间使用会话密钥来协商JWE算法和消息修改策略的方案,cSEPP2和pSEPP3还可以使用会话密钥来协商能力集或交换IPX信息。
[0250] 例如,cSEPP2设备可以向cIPX2设备发送第五https请求消息,其中携带使用会话密钥加密的第一IPX交换消息,所述第一IPX交换消息中携带所述cSEPP2设备的IPX信息,第五https请求消息的目的地址为pSEPP3设备的地址。pSEPP3设备向pIPX设备返回对应第五https响应消息,其中携带使用会话密钥加密的第二IPX交换消息,第二IPX交换消息中携带pSEPP3设备的IPX信息。cSEPP2设备接收cIPX2返回的第五https响应消息,对其解密即可获得其中携带的pSEPP3设备的IPX信息。其中,cSEPP2设备的IPX信息中可以包括cSEPP2设备的备用IPX的地址,pSEPP3设备的IPX信息可以包括pSEPP3设备的备用IPX的地址。
[0251] 另外,cSEPP2设备可以向cIPX2设备发送第六https请求消息,其中携带使用会话密钥加密的协商能力集请求消息,所述协商能力集请求消息中携带所述cSEPP2设备的能力集信息,第六https请求消息的目的地址为pSEPP3设备的地址。pSEPP3设备向pIPX设备返回对应第六https响应消息,其中携带使用会话密钥加密的协商能力集响应消息,协商能力集响应消息消息中携带pSEPP3设备确定的能力集信息。cSEPP2设备接收cIPX2返回的协商能力集响应消息,对其解密即可获得其中携带的pSEPP3设备的能力集信息。其中,上述能力集信息可以包括TLS直连能力或N32对接安全协议(Protocol for N32 Interconnect Security,PRINS)能力。本实施例中pSEPP3设备确定的能力集为PRINS能力,从而pSEPP3设备和cSEPP2设备之间采用PRINS模式进行通信。
[0252] 通过以上技术方案,cSEPP2和pSEPP3之间通过https消息协商确定了PRINS安全上下文(包括JWE算法、消息修改策略等),cSEPP2和pSEPP3之间可以使用PRINS上下文进行安全通信。
[0253] 例如,cSEPP2设备接收本地的核心网设备发送的信令消息,然后向IPX设备发送应用层http2请求消息,所述应用层http2请求消息的消息体中携带使用所述会话密钥以及JWE算法加密的信令消息,所述应用层http2请求消息的目的地址为所述pSEPP3设备。具体的,http2请求消息具体为post消息。信令消息为漫游信令消息。相应的,pSEPP3设备在接收到http2请求消息后,使用使用所述会话密钥以及JWE算法解密消息体中的信令消息,将解密后的信令消息发给本地核心网进行处理,在收到本地核心网设备发送的信令响应后,使用所述会话密钥以及JWE算法对信令响应进行加密,然后将加密后的信令响应封装在http2响应消息的消息体中向cSEPP2发送,经过pIPX和cIPX2的转发后,cSEPP2设备接收到该http2响应消息。
[0254] 在本实施例中,cSEPP2设备可以在使用会话密钥加密的消息的数量达到限额时,重新执行上述建立安全连接的过程,即执行上述步骤201的过程,以增强通信的安全。
[0255] 下面介绍一些装置实施例。
[0256] 参见图5,本申请实施例提供的SEPP设备的功能示意图。
[0257] 如图所示,本实施例中的SEPP设备主要包括第一接收单元510、第一处理单元520和第一发送单元530。其中,SEPP设备可以称为本端SEPP设备。
[0258] 其中,第一接收单元510用于接收所述IPX设备发送的第一安全响应消息,所述第一安全响应消息中携带所述对端SEPP设备确定的密钥协商算法;
[0259] 第一处理单元520用于根据所述密钥协商算法计算加密密钥,并使用所述加密密钥和所述对端SEPP设备进行安全通信;
[0260] 第一发送单元530用于向IP交换服务IPX设备发送第一安全请求消息,所述第一请求消息的目的地址为对端SEPP设备的地址,所述第一安全请求消息用于请求和所述对端SEPP设备建立安全连接。
[0261] 其中,第一接收单元510、第一处理单元520和第一发送单元530相互配合以实现上述实施例提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0262] 在一个实施例中,上述SEPP设备中的第一发送单元530还用于向所述IPX设备发送第二安全请求消息,所述第二安全请求消息的目的地址为所述对端SEPP设备的地址。第一接收单元510还用于接收所述IPX设备发送的第二安全响应消息,所述第二安全响应消息中携带所述对端SEPP设备握手结束的消息。
[0263] 在一个实施例中,第一安全响应消息中携带所述对端SEPP设备分配的会话验证文件,所述第一发送单元530在向所述IPX设备发送的所述第二安全请求消息中携带所述会话验证文件。其中,该会话验证文件可以为cookie文件。
[0264] 在一个实施例中,第一接收单元510接收到的第一安全响应消息中携带所述对端SEPP设备的安全证书。此时,第一处理单元520用于对对端SEPP设备的安全证书进行校验,在校验通过后,触发第一发单元530向所述IPX设备发送所述第二安全请求消息。
[0265] 在一个实施例中,第一接收单元510接收到的第一安全请求消息为https请求消息,该https请求消息中携带所述第一SEPP设备的TLS记录请求,所述TLS记录请求用于请求和所述对端SEPP设备建立传输层安全TLS连接。第一接收单元510接收到的第一安全响应消息为https响应消息。
[0266] 在一个实施例中,第一发送单元530发送的所述第二安全请求消息中携带所述SEPP设备的安全证书。
[0267] 在一个实施例中,SEPP设备中的第一处理单元520根据所述密钥协商算法计算所述加密密钥,使用所述加密密钥和所述对端SEPP设备进行安全通信包括:
[0268] 第一处理单元520根据所述密钥协商算法计算主密钥,根据所述主密钥和所述密钥协商算法计算会话密钥,然后使用所述会话密钥加密和所述对端SEPP设备通信的内容。
[0269] 在一个实施例中,SEPP设备中的第一处理单元520使用所述会话密钥加密和所述对端SEPP设备通信的内容包括:
[0270] 所述第一处理单元520使用会话密钥加密JSON网页加密JWE算法协商请求,然后触发第一发送单元530向所述IPX设备发送使用所述会话密钥加密的JWE算法协商请求,所述JWE算法协商请求用于和所述第二SEPP设备协商JWE算法,所述JWE算法协商请求消息的目的地址为所述第二SEPP设备的地址。此时,第一接收单元510还用于接收所述IPX设备发送的JWE算法协商响应,其中携带所述第二SEPP设备确定的JWE算法。
[0271] 在一个实施例中,SEPP设备中第一处理单元520使用所述会话密钥加密和所述第二SEPP设备通信的内容包括:第一处理单元520使用所述会话密钥对应用层信令消息进行安全保护,触发第一发送单元530向所述第二SEPP设备发送安全保护的应用层信令消息。
[0272] 在一个实施例中,第一接收单元510接收到的第一安全请求消息中携带所述第一SEPP设备生成的第一密钥参数,接收到的第一安全响应消息中携带所述第二SEPP设备生成的第二密钥参数。第一处理单元520根据所述密钥协商算法计算加密密钥包括:第一处理单元520用所述第一密钥参数、第二密钥参数和所述密钥协商算法计算所述加密密钥。
[0273] 参见图6,本申请实施例提供的SEPP设备的功能示意图。
[0274] 如图所示,本实施例中的SEPP设备主要包括:第二接收单元610、第二处理单元620和第二发送单元630。
[0275] 其中,SEPP设备中的第二接收单元、第二处理单元和第二发送单元相互配合以实现上述实施例提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0276] 在一个可能的方案中,SEPP设备中的第二接收单元610用于接收IP交换服务IPX设备发送的第一SEPP设备(或称为对端SEPP设备)的第一安全请求消息,所述第一安全请求消息用于请求和所述第二SEPP设备建立安全连接;
[0277] 第二发送单元630用于向所述IPX设备发送第一安全响应消息,所述第一安全响应消息中携带所述第二SEPP设备确定的密钥协商算法;
[0278] 第二处理单元620用于根据所述密钥协商算法计算加密密钥,使用所述加密密钥和所述第一SEPP设备进行安全通信。
[0279] 在一个可能的实施例中,SEPP设备中的第二接收单元610还用于在第二发送单元630向第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备的安全证书。
[0280] 此时,第二处理单元620还用于校验所述第一SEPP设备的安全证书,在校验通过后,触发第二发送单元630向所述IPX设备发送第二安全响应消息,所述第二安全响应消息中携带所述第二SEPP设备握手结束的消息。
[0281] 在一个可能的实施例中,SEPP设备中的第二接收单元610还用于在第二发送单元630向所述第一SEPP设备发送第一安全响应消息后,接收所述IPX设备发送的第二安全请求消息,所述第二安全请求消息中携带所述第一SEPP设备握手结束的消息。
[0282] 参见图7,本申请实施例提供的IPX设备的功能示意图。
[0283] 如图所示,本实施例中的IPX设备主要包括:第三接收单元710,第三处理单元720和第三发送单元730。
[0284] 其中,IPX设备中的第三接收单元710、第三处理单元720和第三发送单元730相互配合以实现上述实施例提供的安全通信方法,具体实现过程和有益效果可以参考上述方面的描述。
[0285] 在一个可能的实施例中,第三接收单元710用于接收第一SEPP设备发送的第一安全请求消息,第一安全请求消息的目的地址为第二SEPP设备的地址;
[0286] 第三处理单元720用于根据所述第二SEPP设备的地址确定下一跳设备;
[0287] 第三发送单元730用于向该下一跳设备发送所述第一安全请求请求消息。
[0288] 在一个可能的实施例中,第一SEPP设备为cSEPP设备,第二SEPP设备为pSEPP设备。在一个可能的实施例中,第一SEPP设备为vSEPP设备,第二SEPP设备为hSEPP设备。
[0289] 参见图8‑9,图8为本申请实施例提供的通信装置的结构示意图,图9为通信装置中的通信单板830的接口示意图。
[0290] 如图所示,该通信装置主要包括机柜800以及安装在机柜内的通信单板830。其中,通信单板830主要由电路板以及安装在电路板上的芯片及电子元器件组成,可以提供通信业务。通信单板830的数量可以根据实际需要增加或减少,本实施例不限定具体的数量。
[0291] 此外,机柜830还包括用于安装散热风扇的风扇框820以及用于管理机柜的机柜管理板810。机柜管理板810用于管理整个机柜的工作状态,例如管理机柜的上电状态、工作温度、告警状态等。
[0292] 如图9所示,通信单板830包括多个输入/输出接口,例如用于外接显示器的显示接口832,连接通信网络的网络接口831、833,通用串行总线(Universal Serial Bus,USB)接口834。上述网络接口833可以为以太网接口,网络接口831可以为光纤接口。
[0293] 此外,通信单板830中还包括连接电源的电源接口836以及用于扩展通信单板830功能的扩展插槽835。
[0294] 上述通信装置通过安装不同的通信单板830实现不同的功能,例如可以实现本申请实施例中SEPP设备或IPX设备的功能。通信单板830上安装有通用处理器/控制芯片/逻辑电路之类的控制元件。通信单板830中也可以安装有存储芯片之类的存储器。上述处理器、存储器可以和相关的通信接口配合以执行本申请实施例中可由SEPP设备或IPX设备执行的任意一种方法的部分或全部操作。
[0295] 参见图10,图10是本发明实施例提供的SEPP设备和IPX设备的硬件结构图。
[0296] 本实施例提供的SEPP设备或IPX设备可以采用通用的计算机,其包括处理器1001、存储器1002、总线1003、输入设备1004、输出设备1005以及网络接口1006。
[0297] 具体的,存储器1002可以包括以易失性和/或非易失性存储器形式的计算机存储媒体,如只读存储器和/或随机存取存储器。存储器1002可以存储操作系统、应用程序、其他程序模块、可执行代码和程序数据。
[0298] 输入设备1004可以用于向SEPP设备或IPX设备输入命令和信息,输入设备1004如键盘或指向设备,如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线1003连接至处理器1001。
[0299] 输出设备1005可以用于SEPP设备或IPX设备输出信息,除了监视器之外,输出设备1005还可以为其他外围输出设各,如扬声器和/或打印设备,这些输出设备也可以通过总线
1003连接到处理器1001。
1003连接到处理器1001。
[0300] SEPP设备或IPX设备可以通过网络接口1006连接到通信网络中,例如连接到局域网(Local Area Network,LAN)。在联网环境下,SEPP设备或IPX设备中存储的计算机执行指令可以存储在远程存储设备中,而不限于在本地存储。
[0301] 当SEPP设备中的处理器1001执行存储器1002中存储的可执行代码或应用程序时,SEPP设备可以执行以上方法实施例中的SEPP设备一侧的方法操作,例如执行操作201、208、301‑302、401‑402等。具体执行过程参见上述方法实施例,在此不再赘述。
[0302] 当IPX设备中的处理器1001执行存储器1002中存储的可执行代码或应用程序时,IPX设备可以执行以上方法实施例中的IPX设备一侧的方法操作,例如执行操作206‑207、210‑211、303‑304、403‑404等。具体执行过程参见上述方法实施例,在此不再赘述。
[0303] 其中,上述计算机可以采用实际的硬件来实现,也可以采取虚拟化的硬件来实现,例如虚拟机。虚拟机提供虚拟的CPU、存储、网络等资源,这些虚拟的资源基于底层的硬件资源虚拟化来获得。
[0304] 此时,SEPP设备或IPX设备对应的软件包可以部署在虚拟机上,SEPP设备或IPX设备可以称为虚拟网络功能(virtualised network function,VNF)设备,这些NFV设备可以与传统的网络功能设备具有相同的功能性行为和外部接口。例如,具有N32‑F接口。
[0305] 在上述实施例中,可全部或部分地通过软件、硬件、固件、或其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0306] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0307] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个系统,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
[0308] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
[0309] 另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,或者也可以采用软件功能单元的形式实现。
[0310] 所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分操作。