[发明专利]移动回程网络

说明书

技术领域

本发明涉及通信领域，尤其涉及一种移动回程网络。

背景技术

移动回程网(Mobile Backhaul)的安全威胁主要来自两个方面。一方面由于移动Backhaul网络IP化，将IP网络中的安全威胁引入到了移动Backhaul网络中，例如蠕虫、木马和病毒等；另一方面，由于用户面加密行为在基站终止，数据失去安全性保护。此外核心网安全域并没有包括backhaul网络节点，导致backhaul网元得不到应有的安全保障。因此Backhaul网络安全性脆弱，非常容易受到攻击。如何保障Backhaul网络安全，为数据传输提供安全、高效的回程传输通道是下一代移动通信网络必须解决的问题。

核心网中采用NDS(Network Domain Security，网络域安全)架构保护网络安全，核心网网元之间建立ESP(Encapsulating Security Payload，封装安全负载)连接，核心网网元的数据通过所述ESP连接进行传输。如图1所示，NDS架构中主要有两种接口，分别为Za和Zb。Za接口是配置在安全域之间的接口，在Za接口上ESP连接是强制实现的；Zb接口是配置在同一安全域中NEs(Network Elements，网元)和SEGs(Security Gateway，安全网关)之间，或者NEs之间的接口，在Zb接口ESP连接是可选实现。其中所述ESP连接上使用的密钥是与该ESP连接对应的IKE(Internet Key Exchange，互联网密钥交换协议)协商完成。

目前，第三代合作伙伴计划(3rd Generation Partnership Project，简称为3GPP)中提出将NDS架构应用于移动回程网。然而，NDS是针对核心网的架构建立的，而移动回程网的架构与核心网的架构不同，无法将NDS架构直接应用于移动回程网，需要将NDS机制进行增强，满足移动回程网的安全需求。

发明内容

本发明提供的移动回程网系统基于NDS安全机制对移动回程网之间的通信进行安全保护。

本发明实施例提供一种移动回程网络，所述网络包括接入网网元和核心网网元，所述核心网网元与所述接入网元通过IPsec封装安全负载(IPsecESP)连接进行通信。

进一步的，所述网络还具有如下特点：

所述IPsec ESP连接通过如下方式建立的：

如果所述网络为可信安全域且所述接入网网元和核心网网元支持IPsecESP连接和一种以上版本的互联网密钥交换协议，在所述接入网网元和核心网网元之间配置NDS架构中的Zb接口；

在所述网络为非可信安全域时，所述接入网网元所在第一区域与所述核心网网元所在的第二区域之间配置NDS架构中的Za接口。

进一步的，所述网络还具有如下特点：

通过如下方式判断所述网络为非可信安全域，包括：

判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个不归属于所述网络的运营商；

判断确定所述接入网网元、所述核心网网元以及所述网络中的回程链路中任何一个未配置有安全保护机制。

进一步的，所述网络还具有如下特点：

所述接入网网元的安全保护机制包括安全监控或专人保护，所述回程链路的安全机制包括L2VPN保护或者L3VPN保护等。

进一步的，所述网络还具有如下特点：

确定所述网络中的可信区域和非可信区域；

在所述可信区域的边界配置SEG，所述SEG对所述可信区域的信息进行聚合，并与非可信区域进行通信。

进一步的，所述网络还具有如下特点：

在所述可信区域内的网元之间配置Zb接口，如果所述可信区域内的网元支持IPsec ESP连接和一种以上的互联网密钥交换协议，所述可信区域内的至少两个网元通过IPsec ESP连接进行通信。

进一步的，所述网络还具有如下特点：

当所述非可信区域为第一区域时，为所述第一区域内的接入网网元之间配置Zb接口，如果所述接入网网元支持IPsec ESP连接和一种以上的互联网密钥交换协议，所述至少两个接入网网元通过IPsec ESP连接进行通信。

进一步的，所述网络还具有如下特点：

判断所述第一区域中的接入网网元之间的链路以及接入网网元是否可信；

如果可信，在所述第一区域的边界配置SEG，所述第一区域的SEG对所述第一区域的信息进行聚合，并与第二区域进行通信。

进一步的，所述网络还具有如下特点：