CN108701195A - 一种数据安全保护方法及装置 - Google Patents
一种数据安全保护方法及装置 Download PDFInfo
- Publication number
- CN108701195A CN108701195A CN201680081820.5A CN201680081820A CN108701195A CN 108701195 A CN108701195 A CN 108701195A CN 201680081820 A CN201680081820 A CN 201680081820A CN 108701195 A CN108701195 A CN 108701195A
- Authority
- CN
- China
- Prior art keywords
- data
- area
- target
- needing
- unencryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 83
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000005457 optimization Methods 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 244000097202 Rathbunia alamosensis Species 0.000 description 1
- 235000009776 Rathbunia alamosensis Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种数据安全保护方法及装置,涉及数据安全领域,用以防止运营商网络中部署的网络侧设备失效。该方法包括:网络侧设备接收第一设备发送的目标消息,目标消息用于承载目标数据,目标数据为第一设备向第二设备传输的数据,目标消息包括未加密区和完保加密区,未加密区用于承载不需要加密的数据,不需要加密的数据为目标数据中的数据或与目标数据相关的数据,完保加密区用于承载需要完整性保护和加密的数据,需要完整性保护和加密的数据为目标数据中的数据;网络侧设备根据目标消息中的未加密区承载的数据对目标消息进行业务处理;网络侧设备将经过业务处理后的目标消息向第二设备发送。
Description
本发明涉及数据安全领域,尤其涉及一种数据安全保护方法及装置。
当今社会中,人们生活的各个方面已经离不开网络,通过网络可以访问个人网上银行账户、购物网站以及兴趣网站等。为了保护用户的隐私,用户访问这些网站时,普遍采用诸如安全套接层(Security Socket Layer,简称SSL)、传输层安全(Transport Layer Security,简称TLS)、Internet协议安全性(Internet Protocol Security,简称IPSec)等安全协议在通信双方之间建立起安全通道,该安全通道会为通信双方之间传输的所有数据提供加密和完整性保护,从而防止用户的信息泄露。
现有的安全协议对通信双方传输的所有内容(包括用户所访问的业务内容信息、协议控制信息等)都进行了加密处理,这种安全保护方式其实是一种过加密方式(对所传输信息一律进行加密,而不管信息是否真的需要加密),这导致运营商网络中部署的各种网络业务性能优化或者深度包检测(Deep Packet Inspection,简称DPI)设备因为无法感知所传输的内容而无法对业务进行处理。
发明内容
本发明的实施例提供一种数据安全保护方法及装置,用以防止运营商网络中部署的网络侧设备失效。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种数据安全保护方法,包括:
网络侧设备接收第一设备发送的承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;
所述网络侧设备将经过业务处理后的目标消息向所述第二设备发送。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,在所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理之后,所述方法还包括:
所述网络侧设备将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;
所述网络侧设备将经过业务处理后的目标消息向第二设备发
送,包括:
所述网络侧设备将承载所述处理结果后的目标消息向所述第二设备发送。
可选的,所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理,包括:
所述网络侧设备获取所述未加密区承载的数据;
所述网络侧设备根据所述未加密区承载的数据对所述目标消息进行业务优化。
可选的,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
第二方面,提供一种数据安全保护方法,包括:
第一设备确定承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
所述第一设备向网络侧设备发送所述目标消息,以使得所述网
络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,第一设备确定目标消息,包括:
所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,
所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,
所述第一设备将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
第三方面,提供一种网络侧设备,包括:
接收单元,用于接收第一设备发送的承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述
目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
处理单元,用于根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;
发送单元,用于将经过业务处理后的目标消息向所述第二设备发送。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,所述网络侧设备还包括:
承载单元,用于将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;
所述发送单元,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
可选的,所述处理单元具体用于:
获取所述未加密区承载的数据;
根据所述未加密区承载的数据对所述目标消息进行业务优化。
可选的,所述目标数据承载在所述完保加密区,所述目标数据
中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
第四方面,提供一种第一设备,包括:
确定单元,用于确定承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
发送单元,用于向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,所述确定单元具体用于:
将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,
将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,
将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
第五方面,提供一种网络侧设备,包括:接收器、存储器、处理器和发送器;
所述接收器,用于接收第一设备发送的承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
所述存储器用于存储一组代码,所述处理器根据该组代码执行以下动作:根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;
所述发送器,用于将经过业务处理后的目标消息向所述第二设备发送。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,所述处理器还用于:
将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;
所述发送器,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
可选的,所述处理器具体用于:
获取所述未加密区承载的数据;
根据所述未加密区承载的数据对所述目标消息进行业务优化。
可选的,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
第六方面,提供一种第一设备,包括:存储器、处理器和发送
器;
所述存储器用于存储一组代码,所述处理器根据该组代码执行以下动作:
确定承载目标数据的目标消息,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
所述发送器,用于向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据。
可选的,所述处理器具体用于:
将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,
将所述目标数据承载在所述完保加密区,将所述目标数据的元
数据承载在所述未加密区;或者,
将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
本发明实施例提供的方法及装置,第一设备可以将不需要加密的数据置于目标消息的未保密区向网络侧设备发送,网络侧设备可以获取到未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署的网络侧设备失效。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的一种第一设备和第二设备的通信示意图;
图2为本发明实施例提供的一种数据安全保护方法的流程图;
图3为本发明实施例提供的目标消息的组成示意图;
图4为本发明实施例提供的一种目标消息中承载数据的示意图;
图5为本发明实施例提供的又一种目标消息中承载数据的示意图;
图6为现有技术中的一种TLS Record Protocol承载数据的示意图;
图7为本发明实施例提供的一种第一设备和第二设备通信示意图;
图8为本发明实施例提供的一种网络侧设备的组成示意图;
图9为本发明实施例提供的又一种网络侧设备的组成示意图;
图10为本发明实施例提供的又一种网络侧设备的组成示意图;
图11为本发明实施例提供的一种第一设备的组成示意图;
图12为本发明实施例提供的又一种第一设备的组成示意图。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本领域技术人员能够更清楚地理解本发明实施例提供的技术方案,首先对与本申请相关的现有技术作简要说明。
一、数据加密
数据加密的基本思想是:通过对需要保护的数据进行置换和转换将需要保护的数据变成一些不规则的数据,来伪装需要保护的数据,使第三方不能了解被保护数据的内容。在该过程中需要保护的数据称为明文,进行置换和转换的算法称为加密算法,明文被置换和转换后的结果称为密文,由明文产生密文的过程叫做加密;解密是和加密相反的过程,它将密文转换为明文;加密算法和解密算法的操作通常是在一组密钥控制下进行的,分别称为加密密钥和解密密钥。
二、数据完保
完保全称为完整性保护(Integrity Protection),是一种对数据进行安全保护的方法,完保的作用主要是确保数据在通信双方之间传输过程中不被第三方修改。进行了完保的数据如果被第三方进行了篡改,那么数据的接收端在接收到数据的时候就可以检测出数据被第三方篡改了,此时接收端通常会直接丢弃所接收到的数据。
需要注意的是,被完保的数据对第三方是可见的,即第三方是可以读取被完保的数据。
通常情况下,发送端利用与接收端所协商的完保密钥和向接收端发送的数据生成该数据的消息摘要,然后将该消息摘要与该数据一同传输,接收端接收到该数据及消息摘要之后,再利用与发送端同样的方法计算消息摘要,如果计算得到的消息摘要与接收到的消息摘要相同则认为数据没有被篡改,否则,则认为数据已经被篡改。
本发明实施例提供的方法可以应用在CDMA2000(Code Division Multiple Access 2000)、宽带码分多址(Wideband Code Division Multiple Access,简称W-CDMA)、时分同步码分多址(Time Division-Synchronous Code Division Multiple Access,简称TD-SCDMA)、长期演进(Long Term Evolution,简称LTE)以及LTE-advanced等网络系统中。以LTE网络为例,如图1所示,第一设备通过LTE网络与第二设备进行通信,第一设备可以为终端设备(例如,手机、平板电脑以及笔记本电脑等),第二设备可以为网络服务器(即运行服务器软件的主机,例如,新浪网的服务器,百度网的服务器等),或者,第一设备可以为网络服务器,第二设备可以为终端设备,本发明实施例中的网络侧设备即网络系统中的设备。
本发明实施例提供一种数据安全保护方法,如图2所示,包括:
201、第一设备确定目标消息。
其中,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
其中,由于未加密区用于承载不需要加密的数据,因此,未加密区承载的数据为未加密的数据,由于完保加密区用于承载需要完整性保护和加密的数据,因此,完保加密区承载的数据为经过完整性保护和加密的数据,完保加密区承载的数据对除第一设备和第二设备之外的设备不可见。具体的,未保护区承载的数据为未经过完整性保护且未加密的数据,除第一设备和第二设备之外的设备可以获取或修改未保护区承载的数据,也可以向未保护区中添加数据(除第一设备和第二设备之外的设备向未保护区添加数据时也可以利用与第一设备或第二设备协商的安全参数对所添加的数据进行安全保护);完保未加密区承载的数据为经过完整性保护但未加密的数据,除第一设备和第二设备之外的设备可以获取完保未加密区承载的数据,但不能修改完保未加密区承载的数据,也不能向完保未加密区中添加数据。
一般情况下,目标消息中的业务的具体内容需要进行完整性保护和加密,目标消息中的允许第三方读取,但不允许第三方修改的内容需要进行完整性保护但不需要加密,目标消息中的既允许第三
方读取也允许第三方修改的内容不需要进行完整性保护也不需要加密。
需要说明的是,所述目标消息中的经过完整性保护的数据是指采用所述第一设备和所述第二设备之间协商的第一安全参数进行完整性保护的数据,所述目标消息中的经过加密的数据是指采用所述第一设备和所述第二设备之间协商的第二安全参数进行加密的数据,即未保护区中承载的数据是指未使用通信双方所协商的安全参数进行加密和完整性保护的数据;完保非加密区中承载的数据是指使用通信双方所协商的第一安全参数进行完整性保护,但没有进行加密的数据;完保加密区中承载的数据是指利用通信双方所协商的第一安全参数和第二安全参数进行了完整性保护和加密的数据。
需要指出的是,未保护区的数据可能利用网络侧设备和网络服务器(或终端设备)之间所协商的安全参数进行了安全保护。例如,网络服务器和终端设备之间传输的消息可能会通过多个运营商的网络,但网络服务器只想让某个(或者某几个)与其有签约关系的网络运营商A中的网络侧设备能够读取未保护区的信息,那么,网络服务器就可以利用其与网络运营商A中的网络侧设备之间协商的安全参数对未保护区的数据进行加密,需要说明的是,该情况下,当未保护区的数据为目标数据中的数据且未保护区中的数据未冗余承载在完保加密区或完保未加密区时,终端设备也需要能够对未保护区的数据进行解密,以便获取未保护区中的数据;或者当网络运营商中的网络侧设备要向未保护区中添加信息时,只有对所添加的信息进行了签名才会被网络服务器接受。
同样的,对于完保非加密区,网络服务器或终端设备也可以使用其与网络侧设备协商的安全参数进行加密,从而允许通信双方之间传输的消息所经过的某个(或者某几个)运营商网络读取该消息
中的完保非加密区的信息。
示例性的,当目标消息为传输视频数据的超文本传输协议(HyperText Transfer Protocol,简称HTTP)消息时,HTTP消息的未保护区中承载的数据可以为指示HTTP消息所传输的业务类型的数据(此处即为“视频”类型),完保未加密区中承载的数据可以为视频的码率,完保加密区中承载的数据可以为视频的具体内容。此处仅仅是对目标消息进行示例性说明,并非对目标消息的限制,具体的,目标数据不同时,未保护区、完保未加密区和完保加密区中承载的数据也可以不同。
示例性的,本发明实施例中的目标消息的组成可以如图3所示。
可选的,步骤201在具体实现时,可以通过以下三种方式中的任意一种方式实现。
方式一、所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
方式二、所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据的元数据(metadata)承载在所述未加密区。
其中,目标数据的元数据是指用于描述目标数据的数据。
方式三、所述第一设备将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
示例性的,若目标数据由a1、a2、a3和a4组成,其中,a1为目
标数据中的不需要完整性保护且不需要加密的数据,a2为目标数据中的需要完整性保护但不需要加密的数据,a3和a4为目标数据中的需要完整性保护和加密的数据,a5为目标数据的元数据,则未保护区中承载的数据可以为a1,完保未加密区中承载的数据可以为a2,完保加密区中承载的数据可以为a3和a4;或者,未保护区中承载的数据可以为a1,完保未加密区中承载的数据可以为a2,完保加密区中承载的数据可以为a1、a2、a3和a4;或者,未加密区中承载的数据可以为a5,完保加密区中承载的数据可以为a1、a2、a3和a4。
具体的,当步骤201在具体实现采用方式三时,又可以通过方式1或方式2实现。
方式1、当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,所述第一设备将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据。
具体的,若目标数据包括的数据依次为a1、a2、a3、a4、a5和a6时,若a1和a2为目标数据中的需要完整性保护且需要加密的数据,a3和a4为目标数据中的需要完整性保护但不需要加密的数据,a5和a6为目标数据中的不需要完整性保护且不需要加密的数据,且目标消息中的三个区域的顺序为完保加密区、完保未加密区和未保护区时,目标消息中承载的数据可以如图4所示。
方式二、所述第一设备将所述目标数据中的数据分为N份数据,每份数据具备一种属性和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应
的区域中,以使得所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数。
具体的,若目标数据包括的数据依次为a1、a2、a3、a4、a5和a6时,a1、a2、a3、a4、a5和a6具备的编号为1、2、3、4、5和6,若a1和a3为目标数据中的需要完整性保护且需要加密的数据,a2和a5为目标数据中的需要完整性保护但不需要加密的数据,a4和a6为目标数据中的不需要完整性保护且不需要加密的数据,且目标消息中的三个区域的顺序为完保加密区、完保未加密区和未保护区时,目标消息中承载的数据可以如图5所示。
在方式1和方式2中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
需要说明的是,目标数据中包括的三份不同属性的数据中可能有些属性的数据为空。
示例性的,现有技术中,当通信双方之间采用TLS协议时,使用TLS Record Protocol(TLS记录协议)承载被安全保护的内容,TLS Record Protocol包括TLS协议报文头和安全保护的内容,具体如图6所示(图6中的数据区域即被安全保护的内容)。采用本发明实施例提供的方法时,可以将TLS Record Layer分为未保护区、完保非加密区和完保加密区三个区域用来传输来自TLS上层的数据(即在TLS上承载的数据,例如,如果HTTP消息使用TLS来传输的话,那么这里的上层数据即为HTTP层的数据),具体的,可以将图6中的TLS协议报文头和安全保护的内容中的不需要完整性保护也不需要加密的数据承载在未保护区,将安全保护的内容中的需要完整性保护但不需要加密的数据承载在完保非加密区,将安全保护
的内容中的需要完整性保护且需要加密的数据承载在完保加密区。具体的,不需修改现有的TLS Record Layer结构,只需定义一种扩展的Cipher Type(安全保护类型):Generic Partial Cipher(部分安全保护),每种Cipher Type代表了一种特定的安全保护类型,Generic Partial Cipher内部包含未保护区、完保非加密区和完保加密区三个区域。
202、第一设备向网络侧设备发送目标消息。
其中,网络侧设备具体可以包括运营商网络中的网络业务性能优化设备和/或DPI设备等,以LTE网络为例,如图7所示,LTE网络中包括基站、服务网关(Serving GateWay,简称SGW)、分组数据网关(PDN GateWay,简称PGW)以及Gi-LAN等,LTE网络的Gi-LAN中可以部署各种网络业务处理实体,本发明实施例中的网络业务性能优化设备可以为Gi-LAN中部署的网络业务处理实体,当网络侧设备为DPI设备时,DPI设备可以利用目标消息中未加密区所承载的数据进行诸如业务类型检测等操作。
203、网络侧设备接收第一设备发送的目标消息。
204、网络侧设备根据目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
其中,由于未加密区中承载的数据未加密,因此,网络侧设备可以获取到未加密区中承载的数据,根据获取到的未加密区承载的数据进行业务处理。
具体的,步骤204在具体实现时,包括:所述网络侧设备获取所述未加密区承载的数据;所述网络侧设备根据所述未加密区承载的数据对所述目标消息进行业务优化。
例如,当网络侧设备包括网络业务性能优化设备和DPI设备时,
若未加密区中承载的数据包括HTTP协议报文头时,DPI设备可以根据HTTP协议报文头确定目标消息的业务类型,网络业务性能优化设备可以根据目标消息的业务类型进行业务优化,示例性的,网络业务性能优化设备可以根据目标消息的业务类型为目标消息分配合适的网络资源,当目标消息中承载的目标数据为视频数据时,网络业务性能优化设备可以根据网络状况为该目标消息进行转码。
205、网络侧设备将经过业务处理后的目标消息向第二设备发送。
可选的,在步骤204之后,所述方法还包括:所述网络侧设备将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中,该情况下,步骤205包括:所述网络侧设备将承载所述处理结果后的目标消息向所述第二设备发送。
具体的,网络侧设备将处理结果承载到目标消息中的未保护区中可以为:网络侧设备将未保护区中的数据修改为该处理结果,或者,网络侧设备在未保护区中添加该处理结果。
示例性的,处理结果具体可以为头增强或计费重定向等。
206、第二设备接收网络侧设备发送的目标消息。
具体的,第二设备接收到网络侧设备发送的目标消息之后,首先根据与第一设备协商的安全参数对完保未加密区和完保加密区中的数据进行安全验证,对于未保护区中的数据,第二设备可以接受也可以丢弃,或者可以通过预设的方式进行验证之后确定接受或者丢弃。
具体的,当第一设备基于方式1执行步骤201时,所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个
区域中承载的数据顺序组合得到所述目标数据。
示例性的,基于图4所述的示例,第二设备将目标消息中的完保加密区、完保未加密区和未保护区中的数据顺序组合得到目标数据。
当第一设备基于方式2执行步骤201时,所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据。
示例性的,基于图5所述的示例,第二设备将目标消息中的编号为1、2、3、4、5和6的数据顺序组合得到目标数据。
本发明实施例提供的方法,第一设备可以将不需要加密的数据置于目标消息的未保密区向网络侧设备发送,网络侧设备可以获取到未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署的网络侧设备失效。
本发明实施例还提供了一种网络侧设备80,如图8所示,网络侧设备80包括:
接收单元801,用于接收第一设备发送的目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
处理单元802,用于根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;
发送单元803,用于将经过业务处理后的目标消息向所述第二设
备发送。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
可选的,如图9所示,所述网络侧设备80还包括:
承载单元804,用于将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;
所述发送单元803,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
可选的,所述处理单元802具体用于:
获取所述未加密区承载的数据;
根据所述未加密区承载的数据对所述目标消息进行业务优化。
可选的,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
本发明实施例提供的网络侧设备,根据接收到的第一设备发送的目标消息获取到目标消息中的未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署
的网络侧设备失效。
在硬件实现上,网络侧设备80中的各个单元可以以硬件形式内嵌于或独立于网络侧设备80的处理器中,也可以以软件形式存储于网络侧设备80的存储器中,以便于处理器调用执行以上各个单元对应的操作,该处理器可以为中央处理器(Central Processing Unit,简称CPU)、特定集成电路(Application Specific Integrated Circuit,简称ASIC)或者是被配置成实施本发明实施例的一个或多个集成电路。
本发明实施例还提供一种网络侧设备100,如图10所示,包括:接收器1001、存储器1002、处理器1003和发送器1004;
其中,接收器1001、存储器1002、处理器1003和发送器1004之间是通过总线系统1005耦合在一起的,其中存储器1002可能包含随机存取存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。总线系统1005,可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。该总线系统1005可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述接收器1001,用于接收第一设备发送的目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加
密的数据为所述目标数据中的数据;
所述存储器1002用于存储一组代码,所述处理器1003根据该组代码执行以下动作:根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;
所述发送器1004,用于将经过业务处理后的目标消息向所述第二设备发送。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
可选的,所述处理器1003还用于:
将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;
所述发送器1004,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
可选的,所述处理器1003具体用于:
获取所述未加密区承载的数据;
根据所述未加密区承载的数据对所述目标消息进行业务优化。
可选的,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保
未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
本发明实施例提供的网络侧设备,根据接收到的第一设备发送的目标消息获取到目标消息中的未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署的网络侧设备失效。
本发明实施例还提供了一种第一设备110,如图11所示,第一设备110包括:
确定单元1101,用于确定目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;
发送单元1102,用于向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
可选的,所述确定单元1101具体用于:
将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将
所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,
将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,
将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
可选的,所述确定单元1101具体用于:
当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据;或者,
将所述目标数据中的数据分为N份数据,每份数据具备一种属性和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数;
其中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
本发明实施例提供的第一设备,可以将不需要加密的数据置于目标消息的未保密区向网络侧设备发送,网络侧设备可以获取到未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署的网络侧设备失效。
在硬件实现上,第一设备110中的各个单元可以以硬件形式内嵌于或独立于第一设备110的处理器中,也可以以软件形式存储于第一设备110的存储器中,以便于处理器调用执行以上各个单元对应的操作,该处理器可以为CPU、ASIC或者是被配置成实施本发明实施例的一个或多个集成电路。
本发明实施例还提供了一种第一设备120,如图12所示,第一设备120包括:存储器1201、处理器1202和发送器1203;
其中,存储器1201、处理器1202和发送器1203之间是通过总线系统1204耦合在一起的,其中存储器1201可能包含随机存取存储器,也可能还包括非易失性存储器,例如至少一个磁盘存储器。总线系统1204,可以是ISA总线、PCI总线或EISA总线等。该总线系统1204可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述存储器1201用于存储一组代码,所述处理器1202根据该组代码执行以下动作:
确定目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,
所述需要完整性保护和加密的数据为所述目标数据中的数据;
所述发送器1203,用于向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
可选的,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
可选的,所述处理器1202具体用于:
将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,
将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,
将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
可选的,所述处理器1202具体用于:
当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据;
或者,
将所述目标数据中的数据分为N份数据,每份数据具备一种属性和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数;
其中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
本发明实施例提供的第一设备,可以将不需要加密的数据置于目标消息的未保密区向网络侧设备发送,网络侧设备可以获取到未保密区中的数据,并根据未保密区中的数据对目标消息进行业务处理,从而防止运营商网络中部署的网络侧设备失效。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (27)
- 一种数据安全保护方法,其特征在于,包括:网络侧设备接收第一设备发送的目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;所述网络侧设备将经过业务处理后的目标消息向所述第二设备发送。
- 根据权利要求1所述的方法,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求2所述的方法,其特征在于,在所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理之后,所述方法还包括:所述网络侧设备将根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;所述网络侧设备将经过业务处理后的目标消息向第二设备发送,包括:所述网络侧设备将承载所述处理结果后的目标消息向所述第二设备发送。
- 根据权利要求2或3所述的方法,其特征在于,所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理,包括:所述网络侧设备获取所述未加密区承载的数据;所述网络侧设备根据所述未加密区承载的数据对所述目标消息进行业务优化。
- 根据权利要求2-4任一项所述的方法,其特征在于,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 一种数据安全保护方法,其特征在于,包括:第一设备确定目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;所述第一设备向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
- 根据权利要求6所述的方法,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保 护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求7所述的方法,其特征在于,第一设备确定目标消息,包括:所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述第一设备将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,所述第一设备将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 根据权利要求8所述的方法,其特征在于,所述第一设备将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区,包括:当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,所述第一设备将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据;或者,所述第一设备将所述目标数据中的数据分为N份数据,每份数据 具备一种属性和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数;其中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
- 一种网络侧设备,其特征在于,包括:接收单元,用于接收第一设备发送的目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;处理单元,用于根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;发送单元,用于将经过业务处理后的目标消息向所述第二设备发送。
- 根据权利要求10所述的网络侧设备,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求11所述的网络侧设备,其特征在于,所述网络侧设备还包括:承载单元,用于将根据所述目标消息中的未加密区承载的数据对 所述目标消息进行业务处理的处理结果承载到所述目标消息中的未保护区中;所述发送单元,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
- 根据权利要求11或12所述的网络侧设备,其特征在于,所述处理单元具体用于:获取所述未加密区承载的数据;根据所述未加密区承载的数据对所述目标消息进行业务优化。
- 根据权利要求11-13任一项所述的网络侧设备,其特征在于,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 一种第一设备,其特征在于,包括:确定单元,用于确定目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;发送单元,用于向网络侧设备发送所述目标消息,以使得所述网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
- 根据权利要求15所述的第一设备,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求16所述的第一设备,其特征在于,所述确定单元具体用于:将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 根据权利要求17所述的第一设备,其特征在于,所述确定单元具体用于:当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据;或者,将所述目标数据中的数据分为N份数据,每份数据具备一种属性和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应的区域中,以使得所述第二 设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数;其中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
- 一种网络侧设备,其特征在于,包括:接收器、存储器、处理器和发送器;所述接收器,用于接收第一设备发送的目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;所述存储器用于存储一组代码,所述处理器根据该组代码执行以下动作:根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理;所述发送器,用于将经过业务处理后的目标消息向所述第二设备发送。
- 根据权利要求19所述的网络侧设备,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求20所述的网络侧设备,其特征在于,所述处理器还用于:将根据所述目标消息中的未加密区承载的数据对所述目标消息 进行业务处理的处理结果承载到所述目标消息中的未保护区中;所述发送器,具体用于将承载所述处理结果后的目标消息向所述第二设备发送。
- 根据权利要求20或21所述的网络侧设备,其特征在于,所述处理器具体用于:获取所述未加密区承载的数据;根据所述未加密区承载的数据对所述目标消息进行业务优化。
- 根据权利要求20-22任一项所述的网络侧设备,其特征在于,所述目标数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,所述目标数据承载在所述完保加密区,所述目标数据的元数据承载在所述未加密区;或者,所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 一种第一设备,其特征在于,包括:存储器、处理器和发送器;所述存储器用于存储一组代码,所述处理器根据该组代码执行以下动作:确定目标消息,所述目标消息用于承载目标数据,所述目标数据为所述第一设备向第二设备传输的数据,所述目标消息包括未加密区和完保加密区,所述未加密区用于承载不需要加密的数据,所述不需要加密的数据为所述目标数据中的数据或与所述目标数据相关的数据,所述完保加密区用于承载需要完整性保护和加密的数据,所述需要完整性保护和加密的数据为所述目标数据中的数据;所述发送器,用于向网络侧设备发送所述目标消息,以使得所述 网络侧设备根据所述目标消息中的未加密区承载的数据对所述目标消息进行业务处理。
- 根据权利要求24所述的第一设备,其特征在于,所述未加密区包括未保护区和完保未加密区,所述未保护区用于承载不需要完整性保护且不需要加密的数据,所述完保未加密区用于承载需要完整性保护但不需要加密的数据。
- 根据权利要求25所述的第一设备,其特征在于,所述处理器具体用于:将所述目标数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区;或者,将所述目标数据承载在所述完保加密区,将所述目标数据的元数据承载在所述未加密区;或者,将所述目标数据中的需要完整性保护且需要加密的数据承载在所述完保加密区,将所述目标数据中的需要完整性保护但不需要加密的数据承载在所述完保未加密区,将所述目标数据中的不需要完整性保护且不需要加密的数据承载在所述未保护区。
- 根据权利要求26所述的第一设备,其特征在于,所述处理器具体用于:当所述目标数据中包括的三份不同属性的数据中的每份属性的数据均在所述目标数据中连续存储、且所述三份属性的数据在所述目标数据中的顺序与所述目标消息中的三个区域的顺序相同时,将所述三份属性的数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据接收到的所述目标消息中的三个区域的顺序依次将所述三个区域中承载的数据顺序组合得到所述目标数据;或者,将所述目标数据中的数据分为N份数据,每份数据具备一种属性 和一个唯一的编号,所述第一设备根据所述N份数据的属性将所述N份数据分别承载在所述三个区域中的对应的区域中,以使得所述第二设备根据所述N份数据的编号对所述N份数据进行组合获取到所述目标数据,N为大于等于3的整数;其中,三种属性的数据分别为需要完整性保护且需要加密的数据、需要完整性保护但不需要加密的数据和不需要完整性保护且不需要加密的数据,所述三个区域分别为未保护区、完保未加密区和完保加密区。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2016/074482 WO2017143541A1 (zh) | 2016-02-24 | 2016-02-24 | 一种数据安全保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108701195A true CN108701195A (zh) | 2018-10-23 |
| CN108701195B CN108701195B (zh) | 2020-10-16 |
Family
ID=59684887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680081820.5A Active CN108701195B (zh) | 2016-02-24 | 2016-02-24 | 一种数据安全保护方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20190014089A1 (zh) |
| EP (1) | EP3413529B1 (zh) |
| CN (1) | CN108701195B (zh) |
| BR (1) | BR112018017210A2 (zh) |
| WO (1) | WO2017143541A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113766494A (zh) * | 2020-05-27 | 2021-12-07 | 维沃移动通信有限公司 | 密钥获取方法、装置、用户设备及网络侧设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11144217B2 (en) * | 2018-10-02 | 2021-10-12 | Jmicron Technology Corp. | Data protection method and associated storage device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852613A (zh) * | 2006-02-07 | 2006-10-25 | 华为技术有限公司 | 一种缩短软切换时延的方法及装置 |
| US20110004932A1 (en) * | 2009-05-08 | 2011-01-06 | Oliver Spatscheck | Firewall for tunneled IPv6 traffic |
| CN102036200A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种重定位执行方法及系统 |
| CN102163153A (zh) * | 2010-02-12 | 2011-08-24 | 三星电子株式会社 | 用户终端、服务器及其控制方法 |
| CN103222290A (zh) * | 2010-11-17 | 2013-07-24 | 高通股份有限公司 | 用于发送和接收安全数据和非安全数据的方法和装置 |
| US20130276092A1 (en) * | 2012-04-11 | 2013-10-17 | Yi Sun | System and method for dynamic security insertion in network virtualization |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7853689B2 (en) * | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
| CN101106451B (zh) * | 2007-08-17 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种数据的传送方法和设备 |
-
2016
- 2016-02-24 EP EP16890995.0A patent/EP3413529B1/en active Active
- 2016-02-24 WO PCT/CN2016/074482 patent/WO2017143541A1/zh active Application Filing
- 2016-02-24 BR BR112018017210A patent/BR112018017210A2/pt not_active Application Discontinuation
- 2016-02-24 CN CN201680081820.5A patent/CN108701195B/zh active Active
-
2018
- 2018-08-23 US US16/110,505 patent/US20190014089A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852613A (zh) * | 2006-02-07 | 2006-10-25 | 华为技术有限公司 | 一种缩短软切换时延的方法及装置 |
| US20110004932A1 (en) * | 2009-05-08 | 2011-01-06 | Oliver Spatscheck | Firewall for tunneled IPv6 traffic |
| CN102036200A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种重定位执行方法及系统 |
| CN102163153A (zh) * | 2010-02-12 | 2011-08-24 | 三星电子株式会社 | 用户终端、服务器及其控制方法 |
| CN103222290A (zh) * | 2010-11-17 | 2013-07-24 | 高通股份有限公司 | 用于发送和接收安全数据和非安全数据的方法和装置 |
| US20130276092A1 (en) * | 2012-04-11 | 2013-10-17 | Yi Sun | System and method for dynamic security insertion in network virtualization |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113766494A (zh) * | 2020-05-27 | 2021-12-07 | 维沃移动通信有限公司 | 密钥获取方法、装置、用户设备及网络侧设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3413529B1 (en) | 2021-04-14 |
| CN108701195B (zh) | 2020-10-16 |
| EP3413529A1 (en) | 2018-12-12 |
| US20190014089A1 (en) | 2019-01-10 |
| EP3413529A4 (en) | 2018-12-12 |
| BR112018017210A2 (pt) | 2019-01-02 |
| WO2017143541A1 (zh) | 2017-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7042875B2 (ja) | セキュア動的通信ネットワーク及びプロトコル | |
| US9602277B2 (en) | User interface systems and methods for secure message oriented communications | |
| CN103428221B (zh) | 对移动应用的安全登录方法、系统和装置 | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| Rayarikar et al. | SMS encryption using AES algorithm on android | |
| CN109428867A (zh) | 一种报文加解密方法、网路设备及系统 | |
| CN103179128B (zh) | 安卓平台浏览器与网站服务器间的通信安全增强代理系统 | |
| US10187360B2 (en) | Method, system, server, client, and application for sharing digital content between communication devices within an internet network | |
| Qadri et al. | Tag based client side detection of content sniffing attacks with file encryption and file splitter technique | |
| CN106028320A (zh) | 一种数据安全传输方法及终端、服务器 | |
| CN108701195A (zh) | 一种数据安全保护方法及装置 | |
| GB2511779A (en) | Data Security Device | |
| CN104243291A (zh) | 一种可保障用户通讯内容安全的即时通讯方法及其系统 | |
| CN105282239A (zh) | 一种基于网络服务Web Service的加密方法和系统 | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| CN104363584B (zh) | 一种短消息加、解密的方法、装置及终端 | |
| Drahansky et al. | Cipher for internet-based supervisory control and data acquisition architecture | |
| CN106254425A (zh) | 用于移动设备向云端传送数据的方法及系统、移动终端 | |
| JP4974863B2 (ja) | ファイル管理システム、ファイル管理方法およびプログラム | |
| Bilal et al. | A distributed secure framework for sharing patient’s data among IoMT devices | |
| CN104023019A (zh) | 一种基于用户使用特征而自动选择安全通道的方法和系统 | |
| US20150156175A1 (en) | Methods for securing a communication to a social media application and devices thereof | |
| JP2004349775A (ja) | 秘密保持通信機能を有する携帯端末及びその携帯端末を用いた情報処理システム | |
| CN106302417A (zh) | 一种虚拟化信息传输方法及系统 | |
| CN103905208A (zh) | 一种利用非对称安全机制的交互方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211231 Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province Patentee after: Super fusion Digital Technology Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |