[发明专利]一种通信方法、安全节点网元和终端

说明书

本发明实施例提供了一种通信方法、安全节点网元和终端。该方法包括：安全节点网元从终端接收第一数据包，该第一数据包携带第一用户面数据或第一控制信令，其中，该第一数据包通过第一安全连接或第二安全连接进行传输，该第一安全连接用于传输携带该第一用户面数据的该第一数据包，该第二安全连接用于传输携带该第一控制信令的该第一数据包；若该第一数据包通过该第二安全连接进行传输，则该安全节点网元向控制面功能实体发送该第一控制信令。本发明实施例能够解决现有方案中控制信令在安全节点网元与终端之间传输存在的安全问题。

技术领域

本发明实施例涉及通信领域，尤其涉及一种通信方法、安全节点网元和终端。

背景技术

目前的通信网络中，安全节点网元在接收到终端发送的上行数据包时，需要识别上行数据包中是否携带控制面信令。若上行数据包中携带了控制信令，则安全节点网元将该控制面信令发送给控制面功能(Control Plane Function，CP Function)实体；若上行数据包中未携带控制信令，则安全节点网元将该上行数据包中的用户面数据发送给用户面功能(User Plane Function，UP Function)实体。

现有方案可以通过将数据包的目的因特网协议(Internet Protocol，IP)地址设置为特定目的IP地址的方式来识别出携带控制信令的数据包。然而，这种方式存在安全问题，例如，在实践中，没有携带控制信令的数据包的目的IP地址有可能被终端上的恶意应用设置为特定目的IP地址，这将导致该数据包中携带的用户面数据被当做控制信令发送给CPFunction实体，从而导致错误。

发明内容

本发明实施例提供了通信方法、安全节点网元和终端，以期解决现有方案中控制信令在安全节点网元与终端之间传输存在的安全问题。

第一方面，提供了一种通信方法，包括：安全节点网元从终端接收第一数据包，所述第一数据包携带第一用户面数据或第一控制信令，其中，所述第一数据包通过第一安全连接或第二安全连接进行传输，所述第一安全连接用于传输携带所述第一用户面数据的所述第一数据包，所述第二安全连接用于传输携带所述第一控制信令的所述第一数据包；若所述第一数据包通过所述第二安全连接进行传输，则所述安全节点网元向控制面功能实体发送所述第一控制信令；或者，若所述第一数据包通过所述第一安全连接进行传输，则所述安全节点网元向用户面功能实体发送所述第一用户面数据。

安全节点和终端之间携带的控制信令或用户面数据的数据包分别通过不同的安全连接进行传输，这样安全节点就不需要通过数据包中的恶意应用可修改的目标IP来识别数据包携带控制信令或用户面数据，而是通过非应用层或网络层或传输层的安全连接标识来识别不同的安全连接发送的数据包，通过确定不同安全连接的发送的数据包来识别数据包中携带控制信令或用户面数据，因此可以避免恶意应用的修改，因此提高了用户面数据或控制信令传输的安全性。

应理解，在本发明实施方式中，第一安全连接和第二安全连接中的“第一”和“第二”仅仅是为了区分不同的对象，当然也可以使用第二安全连接传输携带第一用户面数据的第一数据包，和/或使用第一安全连接传输携带第一控制信令的第一数据包，对此本发明不做限定。

结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述安全节点网元通过所述第二安全连接向所述终端发送第二数据包，所述第二数据包携带第二控制信令；或者，所述安全节点网元通过所述第一安全连接向所述终端发送第二数据包，所述第二数据包携带第二用户面数据。

安全节点网元在向终端发送下行数据包，安全节点网元可以通过不同的安全连接发送携带不同内容的下行数据包，携带控制信令的下行数据包和携带用户面数据的下行数据包分别通过不同的安全连接进行传输，因此终端在收到安全节点网元发送的下行数据包后，可以通过确定该下行数据包传输的安全连接是第一安全连接还是第二安全连接来识别该下行数据包中的内容，避免终端中恶意应用的修改，提高了下行传输的安全性。