本發明公開了基于安全網關的通信方法、系統及設備，包括通信終端和安全網關，通信終端與安全網關進行初始化，并分別導入相對應的數字證書和加密密鑰；通信終端與安全網關利用預置的數字身份證書進行身份認證，若認證通過，通信終端與安全網關建立安全隧道；通信終端通過加密密鑰對通信數據包進行加密，并通過通信基站將加密數據包發送至安全網關；安全網關接收加密數據包，并判斷此數據包來源的通信終端是否與自身建立對應安全隧道；安全網關根據判斷結果對數據包進行處理。減輕了系統網關和核心網的業務壓力，在傳統的安全網關的基礎上，引入加密密鑰和數字證書等身份認證，增強了傳統安全網關的安全性，保證通信數據的安全、準確傳輸。

技術領域

本發明涉及通信技術技術領域，具體為基于安全網關的通信方法、系統及設備。

背景技術

隨著互聯網的飛速發展，普通通信終端通過固網寬帶接入到移動核心網，大大拓展了移動通信信號的覆蓋范圍，使得用戶通過通信終端能夠很好地進行日常通信，通信過程中，系統網關和核心網需要對大量的通信數據包進行處理，給系統網關和核心網帶來較大的業務壓力，導致系統網關和核心網的處理能力大幅下降，甚至出現丟包現象，造成通信業務質量較差的問題，且隨著互聯網數據傳輸的便捷性，且傳輸的安全性也會受到攻擊，容易導致通信數據的泄露和誤傳，為此我們提出基于安全網關的通信方法、系統及設備用于解決上述問題。

發明內容

本發明的目的在于提供基于安全網關的通信方法、系統及設備，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：基于安全網關的通信方法，包括如下步驟：

S1、通信終端與安全網關進行初始化，并分別導入相對應的數字證書和加密密鑰；

S2、通信終端與安全網關利用預置的數字身份證書進行身份認證，若認證通過，通信終端與安全網關建立安全隧道；

S3、通信終端通過加密密鑰對通信數據包進行加密，并通過通信基站將加密數據包發送至安全網關；

S4、安全網關接收加密數據包，并判斷此數據包來源的通信終端是否與自身建立對應安全隧道；

S5、安全網關根據S4的判斷結果對數據包進行處理：

S501、若根據身份認證判定通信數據包來源的通信終端沒有與自身建立對應的安全隧道，則直接將通信數據包發送到核心網；

S502、若根據身份認證判定此通信數據包來源的通信終端與自身建立有對應的安全隧道，則通過加密密鑰對數據包進行解密，并通過另一組加密密鑰將數據包加密成目標通信終端相匹配的對應加密數據包，并將其發送至目標通信終端，實現安全通信。

優選的一種實施案例，步驟S1中，所述通信終端與安全網關進行初始化的方法為，所述通信終端與所述安全網關分別在專用密鑰服務器中生成密鑰對、證書請求、證書簽發，以及量子密鑰分發，所述通信終端導入終端證書及網關證書、量子密鑰，所述安全網關導入網關證書及終端證書、量子密鑰。

優選的一種實施案例，一個所述安全網關至少與兩個通信終端間分別形成一個對應加密密鑰和數字證書，從而實現兩個通信終端間的安全通信。

優選的一種實施案例，步驟S2中，所述安全隧道為通信終端與安全網關通過預置的數字證書進行基于SSL協議的單向身份認證或雙向身份認證，并建立VPN加密安全隧道，建立的安全隧道只允許訪問指定服務和特定操作，且所述安全網關的寬帶制式和與所述安全網關建立了安全隧道的通信終端的寬帶制式相同。

優選的一種實施案例，步驟S4中，所述安全網關與通信終端間的安全隧道判斷方法為：

所述通信終端在發送通信數據包時，在預置加密密鑰服務器中隨機選擇加密密鑰并發送加密密鑰編號至安全網關；