CN101562813A - 实时数据业务的实现方法、实时数据业务系统和移动终端 - Google Patents

实时数据业务的实现方法、实时数据业务系统和移动终端 Download PDF

Info

Publication number
CN101562813A
CN101562813A CNA2009101386319A CN200910138631A CN101562813A CN 101562813 A CN101562813 A CN 101562813A CN A2009101386319 A CNA2009101386319 A CN A2009101386319A CN 200910138631 A CN200910138631 A CN 200910138631A CN 101562813 A CN101562813 A CN 101562813A
Authority
CN
China
Prior art keywords
real
time data
data service
mpdu
portable terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2009101386319A
Other languages
English (en)
Other versions
CN101562813B (zh
Inventor
惠毅
凌小兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2009101386319A priority Critical patent/CN101562813B/zh
Publication of CN101562813A publication Critical patent/CN101562813A/zh
Priority to EP09844551.3A priority patent/EP2421293B1/en
Priority to US13/259,011 priority patent/US8694775B2/en
Priority to PCT/CN2009/076036 priority patent/WO2010130140A1/zh
Application granted granted Critical
Publication of CN101562813B publication Critical patent/CN101562813B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种实时数据业务的实现方法、实时数据业务系统和移动终端,该方法包括:当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。

Description

实时数据业务的实现方法、实时数据业务系统和移动终端
技术领域
本发明涉及通信领域,尤其涉及一种实时数据业务的实现方法、实时数据业务系统和移动终端。
背景技术
随着3G网络的成熟以及移动终端性能的提升,利用移动终端进行实时数据业务已经成为可能。例如,用户可以使用手机电视客户端观看手机电视、利用手机流媒体客户端进行音视频节目的点播或音视频直播节目的观看。实时数据业务的发展将会有效提升3G时代的手机用户体验,基于实时数据业务的运营也将成为3G时代运营商关注的热点和重点。
实时数据业务包括:手机电视、视频点播、视频直播等。在无线局域网(Wireless Local Area Networks,简称WLAN)中部署实时数据业务服务器后,用户可以使用移动终端上的实时数据业务客户端接入实时数据业务服务器,获取实时业务数据流,进行包括手机电视节目浏览、视频点播、视频直播等实时数据业务的体验。
由于无线局域网安全性不高,为了保护合法移动终端安全、高质量地使用实时数据业务,防止非法移动终端接入实时数据业务服务器,必须采用某种无线局域网认证和保护协议以提高实时数据业务的安全性,无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,简称WAPI)协议无疑是一种最佳的选择。
WAPI是针对IEEE802.11中WEP(Wried Equivalent Privacy,有线等效隐私)等协议的安全问题,经多方反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。
WAPI协议主要通过WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)协议规定的证书鉴别和密钥协商过程进行移动终端的接入认证和密钥的协商,并通过WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)协议规定的加解密过程完成数据在MAC(Media AccessControl,介质访问控制)层的加密传输,以保证合法的移动终端安全地接入实时数据业务服务器。
图1是现有技术中基于无线局域网的实时数据业务的实现方法流程图,该方法包括:
101:移动终端、实时数据业务系统的接入点(AP)和鉴别服务器采用WAI协议进行交互,完成移动终端与接入点的双向证书鉴别;
在证书鉴别过程中,移动终端和AP之间可以协商出基密钥(BK)。
102:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和AP之间协商出单播会话密钥、组播密钥等会话密钥。
其中,本步骤中使用的基密钥可以是在步骤101中协商出的基密钥,也可以是移动终端和AP基于预共享密钥(PSK)导出的基密钥。
完成WAI协议的证书鉴别过程和会话密钥协商过程后,AP打开控制端口,允许移动终端与实时数据业务系统的实时数据业务服务器进行交互。
103:移动终端和实时数据业务服务器进行交互,完成实时数据业务控制信令的传输;
在此过程中,移动终端和AP之间使用步骤102中协商得到的单播会话密钥对控制信令报文进行加密传输,而AP和实时数据业务服务器之间由于存在较为安全的通信链路,因此可以进行明文传输、或使用其他安全方式进行控制信令报文的传输。
其中,控制信令的主要作用包括:进行实时数据业务参数的协商、建立音视频传输通道、启动/控制实时数据业务音视频数据的传输等,例如:
103a:移动终端通过AP向实时数据业务服务器发送寻呼请求(DescribeRequest)信令,将移动终端支持的媒体参数发送给实时数据业务服务器;实时数据业务服务器通过AP向移动终端发送寻呼响应(Describe Response)信令,将实时数据业务服务器选定的媒体参数发送给移动终端;通过上述信令交互,移动终端与实时数据业务服务器完成实时数据业务媒体参数的协商;
103b:移动终端通过AP向实时数据业务服务器发送音视频传输通道构建请求(Setup Request)信令;实时数据业务服务器通过AP向移动终端发送音视频传输通道构建响应(Setup Response)信令;通过上述信令交互,在移动终端与实时数据业务服务器之间建立音视频传输通道;
103c:移动终端通过AP向实时数据业务服务器发送音视频数据播放控制信令(例如,Play(播放)、Pause(暂停)、Stop(停止)等),以便启动、暂停、停止音视频数据的传输。
104:实时数据业务服务器通过AP向移动终端发送音视频数据;
同样,在此过程中实时数据业务服务器与AP之间可以采用明文方式、或采用其他安全方式进行音视频数据报文的传输,而在AP和移动终端之间使用步骤102中协商得到的单播会话密钥或组播密钥对音视频数据报文进行加密传输。
需要注意的是,在实时数据业务服务器向移动终端传输音视频数据报文的过程中,实时数据业务服务器和移动终端之间可以随时进行控制信令报文的传输,但是音视频数据和控制信令不会在相同的报文中传输,也就是说,音视频数据和控制信令在不同的逻辑通道中传输。
通过以上描述可知,将WAPI协议引入实时数据业务系统后,可以极大地增强基于无线局域网的实时数据业务系统的安全性。但是,上述方法也存在以下不足之处:
1)由于实时数据业务需要传输的音视频数据的数据量非常大,AP从实时数据业务服务器接收到音视频数据后需要对其进行加密后传输给移动终端,这极大地加重了AP的处理负荷;尤其是AP需要同时为多个移动终端提供实时数据业务数据时,会对AP的服务质量造成极大的影响;
2)同样,移动终端需要对接收到的音视频数据进行解密后才能正常播放,对大量的音视频数据采用WPI协议所规定的解密算法进行解密也对移动终端软硬件处理能力提出了更高的要求;
3)某些实时数据业务的音视频数据本身就是加扰的数据,对其采用WPI所规定的加密算法进行加密造成了一定程度的浪费。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提出一种实时数据业务的实现方法和系统,以降低AP和移动终端的处理负荷和软硬件成本。
为了解决上述技术问题,本发明提供了一种实时数据业务的实现方法,该方法包括:
当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;
移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;
实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;
其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
此外,AP发送给移动终端的MPDU中包含明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
此外,将MPDU的保留字段中的n1个比特作为所述明文传输标识;或
将MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
此外,将数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示以明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
本发明还提供一种实时数据业务系统,用于为移动终端提供实时数据业务,该系统包含:AP、鉴别服务器和实时数据业务服务器;所述AP中设置有:WAI单元、无线局域网保密基础结构WPI单元;其中,
所述WAI单元用于与所述移动终端和所述鉴别服务器交互,完成WAI协议的证书鉴别过程,并与所述移动终端协商得到会话密钥K;
所述WPI单元用于在所述移动终端与所述实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将所述实时数据业务服务器发送的实时数据业务的音视频数据报文发送给所述移动终端;
其中,所述WPI单元与所述移动终端之间使用所述会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且所述WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给所述移动终端。
此外,所述WPI单元在发送给所述移动终端的MPDU中设置明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
此外,所述WPI单元使用其发送的MPDU的保留字段中的n1个比特作为所述明文传输标识;或
所述WPI单元使用其发送的MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
此外,所述WPI单元使用其发送的MPDU的数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示采用明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
本发明还提供一种移动终端,该移动终端中设置有:WAI单元、WPI单元和实时数据业务应用单元;其中,
所述WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与所述AP协商得到会话密钥K;
所述实时数据业务应用单元用于通过所述WPI单元向实时数据业务系统的实时数据业务服务器发送并从所述实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过所述WPI单元接收所述实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
所述WPI单元用于接收所述实时数据业务应用单元发送的控制信令报文,使用所述会话密钥K对其加密后封装在MPDU中,通过所述AP发送给所述实时数据业务服务器;并在接收到所述实时数据业务服务器通过所述AP发送的加密封装在MPDU中的控制信令报文后,使用所述会话密钥K解密后将控制信令报文发送给所述实时数据业务应用单元;
所述WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的所述实时数据业务服务器发送的音视频数据报文,并判断所述音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取所述音视频数据报文,并提交给所述实时数据业务应用单元;如果不是采用明文方式封装,则使用所述会话密钥K对封装在MPDU中的所述音视频数据报文进行解密后,提交给所述实时数据业务应用单元。
此外,所述WPI单元根据接收到的MPDU中包含的明文传输标识判断所述音视频数据报文是否采用明文方式封装。
综上所述,在移动终端采用WAI协议接入实时数据业务系统后,实时数据业务系统的AP通过将实时数据业务的部分或全部音视频数据报文以明文方式封装在MPDU中发送给移动终端,减少了AP和移动终端用于WPI加解密的处理负荷,提高了AP的服务质量,降低了AP和移动终端的软硬件成本。
附图说明
图1是现有技术中基于无线局域网的实时数据业务的实现方法流程图;
图2是WPI的MPDU封装结构示意图;
图3是本发明实施例基于无线局域网的实时数据业务的实现方法流程图;
图4是本发明实施例实时数据业务系统的结构示意图。
具体实施方式
本发明的核心思想是,AP中的WPI模块在进行MPDU(MAC ProtocolData Unit,介质访问控制协议数据单元)的封装前,对需要封装到MPDU中的数据的类型进行判断,如果是实时数据业务的控制信令报文,则对其加密后封装在MPDU的数据(PDU)字段中发送给移动终端;如果是实时数据业务的音视频数据报文,则不进行加密,以明文方式直接封装在MPDU的数据(PDU)字段中发送给移动终端。
WPI的MPDU封装结构如图2所示,其中:
MAC头字段的长度为24字节或30字节;
会话密钥索引字段长度为1个字节,表示USKID(单播会话密钥索引)或MSKID(组播会话密钥索引)或STAKeyID(站间密钥索引)值,即表示加密本MPDU所使用的会话密钥的索引;
保留字段的长度为1字节;
PN(数据分组序号)字段的长度为16字节,该字段的值可以作为数据加解密时所需的IV(初始向量);
PDU(数据)字段封装有MPDU数据,最大长度为2278字节,其中封装有高层协议数据报文,包括实时数据业务的控制信令报文和音视频数据报文等应用层协议数据报文;
MIC(完整性校验码)字段的长度为16字节;
FCS字段的长度为4字节,为MAC帧格式的帧校验序列。
此外,图2中还示出了一种实时数据业务的控制信令报文和音视频数据报文的封装方式。
其中,实时数据业务的控制信令报文和音视频数据报文统称为实时数据业务报文,由实时数据业务报文头和实时业务数据组成;实时业务数据的类型包括:实时数据业务的控制信令和实时数据业务的音视频数据。实时数据业务报文头中包含有实时业务数据的类型等信息。
实时数据业务报文可以封装在TCP(Transfer Control Protocol,传输控制协议)报文或UDP(User Datagram Protocol,用户数据报协议)报文中传输。在TCP头和UDP头中包含有实时数据业务所使用的端口号等信息。
TCP报文和UDP报文可以封装在IP(Internet Protocol,因特网协议)报文中传输。在IP头中包含有移动终端/实时数据业务服务器的IP地址等信息。
需要注意的是,图2所示的实时数据业务的控制信令报文和音视频数据报文在PDU字段中的封装方式仅是一种示例,也可以采用其它封装方式封装实时数据业务的控制信令报文和音视频数据报文。
下面将结合附图和实施例对本发明进行详细描述。
图3是本发明实施例基于无线局域网的实时数据业务的实现方法流程图,该方法包括:
301:移动终端、实时数据业务系统的接入点(AP)和鉴别服务器采用WAI协议进行交互,完成移动终端与接入点的双向证书鉴别;
在证书鉴别过程中,移动终端和AP之间可以协商出基密钥(BK)。
302:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和AP之间协商出单播会话密钥、组播密钥等会话密钥。
其中,本步骤中使用的基密钥可以是在步骤301中协商出的基密钥,也可以是移动终端和AP基于预共享密钥(PSK)导出的基密钥。
完成WAI的证书鉴别过程和会话密钥协商过程后,AP打开控制端口,允许移动终端与实时数据业务系统的实时数据业务服务器进行交互。
在以下步骤(步骤303~步骤312)中,移动终端和实时数据业务服务器进行交互,进行实时数据业务控制信令的传输,以协商实时数据业务的媒体参数、建立音视频传输通道、最终启动实时数据业务。其中,在移动终端和AP之间采用单播会话密钥对实时数据业务控制信令进行加密传输。
303:移动终端对寻呼请求信令进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP;
移动终端可以使用单播会话密钥对寻呼请求信令进行加密;
寻呼请求信令中包含移动终端支持的媒体参数;
MPDU中的各字段的使用方法可以参考WAPI协议。
304:接收到封装有寻呼请求信令的MPDU后,AP使用MPDU中的会话密钥索引字段所标识的会话密钥(本实施例中为单播会话密钥)对PDU字段中的加密信令进行解密,并将解密后的寻呼请求信令发送给实时数据业务服务器。
305:接收到寻呼请求信令后,实时数据业务服务器根据移动终端支持的媒体参数以及本地的设置选择媒体参数,并将选定的媒体参数包含在寻呼响应信令中发送给AP。
306:接收到寻呼响应信令后,AP使用单播会话密钥对寻呼响应信令进行加密,并将加密的信令封装到MPDU的PDU字段中发送给移动终端;
接收到封装有寻呼响应信令的MPDU后,移动终端使用单播会话密钥对PDU字段中的加密寻呼响应信令进行解密,得到实时数据业务服务器支持的媒体参数,完成实时数据业务媒体参数的协商。
307:移动终端使用单播会话密钥对音视频传输通道构建请求信令进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP。
308:接收到封装有音视频传输通道构建请求信令的MPDU后,AP使用单播会话密钥对PDU字段中的加密的信令进行解密,并将解密后的音视频传输通道构建请求信令发送给实时数据业务服务器。
309:接收到音视频传输通道构建请求信令后,实时数据业务服务器向AP发送音视频传输通道构建响应信令。
310:接收到音视频传输通道构建响应信令后,AP使用单播会话密钥对该信令进行加密,并将加密后的信令封装到MPDU的PDU字段中发送给移动终端;
接收到封装有音视频传输通道构建响应信令的MPDU后,移动终端使用单播会话密钥对PDU字段中的加密信令进行解密,得到音视频传输通道构建响应信令,并根据该信令中包含的参数完成音视频传输通道的建立。
311:移动终端使用单播会话密钥对音视频数据播放控制信令(例如,播放请求信令)进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP。
312:接收到封装有播放信令的MPDU后,AP使用单播会话密钥对PDU字段中的加密的信令进行解密,并将解密后的播放请求信令发送给实时数据业务服务器。
313:接收到播放请求信令后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文。
314:接收到实时数据业务服务器发送给移动终端的音视频数据报文后,AP将该音视频数据报文以明文方式封装到MPDU中发送给移动终端;
为了便于移动终端识别出该MPDU为明文传输的MPDU,AP可以通过以下方式在其发送给移动终端的MPDU中设置明文传输标识:
1)将MPDU中的保留字段中的n1(1≤n1≤8)个比特作为明文传输标识,例如,将明文传输标识的值设置为1表示明文传输的MPDU,将明文传输标识设置为0表示加密传输的MPDU;
2)将会话密钥索引字段的比特1至比特7(即第2个至第8个比特,WAPI协议中未使用的比特位置)中的n2(1≤n2≤7)个比特作为明文传输标识,当明文传输标识的值大于0时表示明文传输的MPDU,当明文传输标识的值等于0时表示加密传输的MPDU;
需要注意的是,会话密钥索引字段的比特0为单播会话密钥索引或组播会话密钥索引或站间密钥索引占用的比特。
3)除在以上位置设置明文传输标识以外,由于PN(数据分组序号)字段在明文传输MPDU时无需使用,因此明文传输标识也可以设置在PN字段的位置,当PN字段的值为偶数时表示明文传输的MPDU,当PN字段的值为奇数时表示加密传输的MPDU(按照WAPI协议的规定,在AP侧的加密过程中将PN字段的值作为IV使用时,该字段的值必须为奇数)。
315:移动终端接收到封装有音视频数据报文的MPDU后,根据明文传输标识获知该MPDU中封装有明文传输的数据,因此无需进行解密处理;移动终端播放音视频数据报文中封装的音视频数据。
移动终端除了通过明文传输标识获知该MPDU为明文传输的MPDU外,还可以通过解析PDU字段中封装的数据的格式判断该MPDU是否为明文传输的MPDU;例如,检查IP头的值是否正确,如果不正确则认为IP头被加密,进而判定该MPDU不是明文传输的MPDU。
需要注意的是,由于在音视频数据报文的传输过程中,实时数据业务服务器随时可以向移动终端发送控制信令报文,移动终端随时会接收到加密传输的MPDU,因此通过明文传输标识来识别明文传输或加密传输的MPDU会提高移动终端的处理效率。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
AP可以根据当前的负载情况对部分音视频数据报文进行加密后封装在MPDU中发送给移动终端,而对部分音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
图4是本发明实施例实时数据业务系统的结构示意图,该系统用于为移动终端提供实时数据业务。如图4所示,该系统包含:AP、鉴别服务器和实时数据业务服务器;其中:
所述AP中设置有:WAI单元、无线局域网保密基础结构WPI单元;
WAI单元用于与移动终端和鉴别服务器交互,完成WAI协议的证书鉴别过程,并与移动终端协商得到会话密钥K;
WPI单元用于在移动终端与实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将实时数据业务服务器发送的实时数据业务的音视频数据报文发送给移动终端;
其中,WPI单元与移动终端之间使用会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
移动终端中设置有:WAI单元、WPI单元和实时数据业务应用单元;
WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与AP协商得到会话密钥K;
实时数据业务应用单元用于通过WPI单元向实时数据业务系统的实时数据业务服务器发送并从实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过WPI单元接收实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
WPI单元用于接收实时数据业务应用单元发送的控制信令报文,使用会话密钥K对其加密后封装在MPDU中,通过AP发送给实时数据业务服务器;并在接收到实时数据业务服务器通过AP发送的加密封装在MPDU中的控制信令报文后,使用会话密钥K解密后将控制信令报文发送给实时数据业务应用单元;
WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的实时数据业务服务器发送的音视频数据报文,并判断音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取音视频数据报文,并提交给实时数据业务应用单元;如果不是采用明文方式封装,则使用会话密钥K对封装在MPDU中的音视频数据报文进行解密后,提交给实时数据业务应用单元。
综上所述,本发明通过将实时数据业务的部分或全部音视频数据报文以明文方式封装在MPDU中发送给移动终端,减少了AP和移动终端用于WPI加解密的处理负荷,提高了AP的服务质量,降低了移动终端的软硬件成本。
需要注意的是,由于本发明中对实时数据业务的控制信令报文仍然采用加密方式进行封装和传输,而非授权用户即使能接收到实时数据业务的全部音视频数据报文,也会由于缺少在控制信令报文中包含的媒体参数(例如,解码参数)无法正常使用/播放音视频数据报文中封装的音视频数据,因此仍然能够保障实时数据业务的安全性。

Claims (10)

1、一种实时数据业务的实现方法,其特征在于,该方法包括:
当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;
移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;
实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;
其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
2、如权利要求1所述的方法,其特征在于,
AP发送给移动终端的MPDU中包含明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
3、如权利要求2所述的方法,其特征在于,
将MPDU的保留字段中的n1个比特作为所述明文传输标识;或
将MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
4、如权利要求2所述的方法,其特征在于,
将数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示以明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
5、一种实时数据业务系统,用于为移动终端提供实时数据业务,该系统包含:AP、鉴别服务器和实时数据业务服务器;所述AP中设置有:WAI单元、无线局域网保密基础结构WPI单元;其中,
所述WAI单元用于与所述移动终端和所述鉴别服务器交互,完成WAI协议的证书鉴别过程,并与所述移动终端协商得到会话密钥K;
所述WPI单元用于在所述移动终端与所述实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将所述实时数据业务服务器发送的实时数据业务的音视频数据报文发送给所述移动终端;
其中,所述WPI单元与所述移动终端之间使用所述会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且所述WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给所述移动终端。
6、如权利要求5所述的系统,其特征在于,
所述WPI单元在发送给所述移动终端的MPDU中设置明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
7、如权利要求6所述的系统,其特征在于,
所述WPI单元使用其发送的MPDU的保留字段中的n1个比特作为所述明文传输标识;或
所述WPI单元使用其发送的MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
8、如权利要求6所述的系统,其特征在于,
所述WPI单元使用其发送的MPDU的数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示采用明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
9、一种移动终端,该移动终端中设置有:WAI单元、WPI单元和实时数据业务应用单元;其中,
所述WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与所述AP协商得到会话密钥K;
所述实时数据业务应用单元用于通过所述WPI单元向实时数据业务系统的实时数据业务服务器发送并从所述实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过所述WPI单元接收所述实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
所述WPI单元用于接收所述实时数据业务应用单元发送的控制信令报文,使用所述会话密钥K对其加密后封装在MPDU中,通过所述AP发送给所述实时数据业务服务器;并在接收到所述实时数据业务服务器通过所述AP发送的加密封装在MPDU中的控制信令报文后,使用所述会话密钥K解密后将控制信令报文发送给所述实时数据业务应用单元;
所述WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的所述实时数据业务服务器发送的音视频数据报文,并判断所述音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取所述音视频数据报文,并提交给所述实时数据业务应用单元;如果不是采用明文方式封装,则使用所述会话密钥K对封装在MPDU中的所述音视频数据报文进行解密后,提交给所述实时数据业务应用单元。
10、如权利要求9所述的移动终端,其特征在于,
所述WPI单元根据接收到的MPDU中包含的明文传输标识判断所述音视频数据报文是否采用明文方式封装。
CN2009101386319A 2009-05-12 2009-05-12 实时数据业务的实现方法、实时数据业务系统和移动终端 Expired - Fee Related CN101562813B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2009101386319A CN101562813B (zh) 2009-05-12 2009-05-12 实时数据业务的实现方法、实时数据业务系统和移动终端
EP09844551.3A EP2421293B1 (en) 2009-05-12 2009-12-25 Method enabling real-time data service realization, real-time data service system and mobile terminal
US13/259,011 US8694775B2 (en) 2009-05-12 2009-12-25 Method enabling real-time data service, realization, real-time data service system and mobile terminal
PCT/CN2009/076036 WO2010130140A1 (zh) 2009-05-12 2009-12-25 实时数据业务的实现方法、实时数据业务系统和移动终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009101386319A CN101562813B (zh) 2009-05-12 2009-05-12 实时数据业务的实现方法、实时数据业务系统和移动终端

Publications (2)

Publication Number Publication Date
CN101562813A true CN101562813A (zh) 2009-10-21
CN101562813B CN101562813B (zh) 2012-01-11

Family

ID=41221390

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009101386319A Expired - Fee Related CN101562813B (zh) 2009-05-12 2009-05-12 实时数据业务的实现方法、实时数据业务系统和移动终端

Country Status (4)

Country Link
US (1) US8694775B2 (zh)
EP (1) EP2421293B1 (zh)
CN (1) CN101562813B (zh)
WO (1) WO2010130140A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010130140A1 (zh) * 2009-05-12 2010-11-18 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端
CN102143605A (zh) * 2011-01-20 2011-08-03 中兴通讯股份有限公司 一种无线局域网中手机电视业务数据共享的方法和系统
CN103096303A (zh) * 2011-10-31 2013-05-08 华为技术有限公司 传输数据包的方法及设备
CN103491648A (zh) * 2013-09-18 2014-01-01 宇龙计算机通信科技(深圳)有限公司 基于wifi的通信方法及系统
CN109194494A (zh) * 2018-06-28 2019-01-11 武汉船用机械有限责任公司 一种基于惰性气体系统的通信方法、装置和系统
CN109286628A (zh) * 2018-10-10 2019-01-29 全球能源互联网研究院有限公司 数据安全传输方法、系统、电子设备及存储介质
CN114501143A (zh) * 2022-01-29 2022-05-13 南京南瑞信息通信科技有限公司 一种基于端口选择性加密的视频安全接入方法及系统

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130262873A1 (en) * 2012-03-30 2013-10-03 Cgi Federal Inc. Method and system for authenticating remote users
CN105981470B (zh) * 2014-02-06 2020-01-31 瑞典爱立信有限公司 用于处置包括接入点和经由有线线路连接到接入点的有线线路网络节点的通信系统中的通信的方法和设备
US10574386B2 (en) 2014-12-31 2020-02-25 Arris Enterprises Llc WLAN testing using an RF abstraction layer
US10326733B2 (en) 2015-12-30 2019-06-18 Symantec Corporation Systems and methods for facilitating single sign-on for multiple devices
US10375114B1 (en) 2016-06-27 2019-08-06 Symantec Corporation Systems and methods for enforcing access-control policies
US10462184B1 (en) 2016-06-28 2019-10-29 Symantec Corporation Systems and methods for enforcing access-control policies in an arbitrary physical space
US10469457B1 (en) 2016-09-26 2019-11-05 Symantec Corporation Systems and methods for securely sharing cloud-service credentials within a network of computing devices
US10812981B1 (en) 2017-03-22 2020-10-20 NortonLifeLock, Inc. Systems and methods for certifying geolocation coordinates of computing devices
US11356388B2 (en) 2017-08-18 2022-06-07 Missing Link Electronics, Inc. Real-time multi-protocol heterogeneous packet-based transport
US10708199B2 (en) * 2017-08-18 2020-07-07 Missing Link Electronics, Inc. Heterogeneous packet-based transport
CN110830989B (zh) 2018-08-09 2021-06-08 华为技术有限公司 一种通信方法和装置
CN110337010A (zh) * 2019-05-22 2019-10-15 深圳警圣技术股份有限公司 视音频数据处理方法、执法记录仪、管理服务器及执法系统
US11695546B2 (en) * 2019-05-30 2023-07-04 AdsWizz Inc. Decoupled custom event system based on ephemeral tokens for enabling secure custom services on a digital audio stream
CN112702775B (zh) * 2020-12-04 2023-06-23 锐捷网络股份有限公司 一种为无线终端提供无线接入服务的方法和无线控制器
CN112738643B (zh) * 2020-12-24 2022-09-23 北京睿芯高通量科技有限公司 一种使用动态密钥实现监控视频安全传输的系统及方法

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1562911A (en) 1976-09-17 1980-03-19 Girling Ltd Hydraulically operated disc brakes for vehicles
US6317832B1 (en) * 1997-02-21 2001-11-13 Mondex International Limited Secure multiple application card system and process
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US7350082B2 (en) 2001-06-06 2008-03-25 Sony Corporation Upgrading of encryption
US7127619B2 (en) 2001-06-06 2006-10-24 Sony Corporation Decoding and decryption of partially encrypted information
US7302059B2 (en) 2002-01-02 2007-11-27 Sony Corporation Star pattern partial encryption
US7765567B2 (en) 2002-01-02 2010-07-27 Sony Corporation Content replacement by PID mapping
US7292691B2 (en) 2002-01-02 2007-11-06 Sony Corporation Progressive video refresh slice detection
US7215770B2 (en) 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US8027470B2 (en) 2002-01-02 2011-09-27 Sony Corporation Video slice and active region based multiple partial encryption
US7155012B2 (en) 2002-01-02 2006-12-26 Sony Corporation Slice mask and moat pattern partial encryption
US7039938B2 (en) 2002-01-02 2006-05-02 Sony Corporation Selective encryption for video on demand
US7376233B2 (en) 2002-01-02 2008-05-20 Sony Corporation Video slice and active region based multiple partial encryption
US7823174B2 (en) 2002-01-02 2010-10-26 Sony Corporation Macro-block based content replacement by PID mapping
US8051443B2 (en) 2002-01-02 2011-11-01 Sony Corporation Content replacement by PID mapping
EP1486071A4 (en) * 2002-01-02 2009-09-30 Sony Electronics Inc ELEMENTAL POWER PARTIALVERSCHLÜSSELUNG
US7292690B2 (en) 2002-01-02 2007-11-06 Sony Corporation Video scene change detection
US7233669B2 (en) 2002-01-02 2007-06-19 Sony Corporation Selective encryption to enable multiple decryption keys
US7218738B2 (en) 2002-01-02 2007-05-15 Sony Corporation Encryption and content control in a digital broadcast system
US8245279B2 (en) * 2003-08-19 2012-08-14 Certicom Corp. Method and apparatus for synchronizing an adaptable security level in an electronic communication
US20050223111A1 (en) * 2003-11-04 2005-10-06 Nehru Bhandaru Secure, standards-based communications across a wide-area network
US7613920B2 (en) * 2005-08-22 2009-11-03 Alcatel Lucent Mechanism to avoid expensive double-encryption in mobile networks
US7599317B2 (en) * 2006-04-14 2009-10-06 Motorola, Inc. Method and apparatus for prediction of a connection identifier in a downlink burst
US8320567B2 (en) * 2007-01-05 2012-11-27 Cisco Technology, Inc. Efficient data path encapsulation between access point and access switch
US8122313B2 (en) * 2007-10-08 2012-02-21 Nokia Siemens Networks Oy Acknowledgment packet
JP5316423B2 (ja) * 2007-12-19 2013-10-16 富士通株式会社 暗号化実施制御システム
US8175015B1 (en) * 2008-01-02 2012-05-08 Marvell International Ltd. WiMAX MAC
US8261074B2 (en) * 2008-05-27 2012-09-04 Fujitsu Semiconductor Limited Verifying a cipher-based message authentication code
US9906627B2 (en) * 2008-06-03 2018-02-27 Samsung Electronics Co., Ltd. System and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association
CN101562813B (zh) * 2009-05-12 2012-01-11 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010130140A1 (zh) * 2009-05-12 2010-11-18 中兴通讯股份有限公司 实时数据业务的实现方法、实时数据业务系统和移动终端
US8694775B2 (en) 2009-05-12 2014-04-08 Zte Corporation Method enabling real-time data service, realization, real-time data service system and mobile terminal
CN102143605A (zh) * 2011-01-20 2011-08-03 中兴通讯股份有限公司 一种无线局域网中手机电视业务数据共享的方法和系统
WO2012097560A1 (zh) * 2011-01-20 2012-07-26 中兴通讯股份有限公司 一种无线局域网中手机电视业务数据共享的方法和系统
CN102143605B (zh) * 2011-01-20 2016-02-24 中兴通讯股份有限公司 一种无线局域网中手机电视业务数据共享的方法和系统
CN103096303A (zh) * 2011-10-31 2013-05-08 华为技术有限公司 传输数据包的方法及设备
WO2013064062A1 (zh) * 2011-10-31 2013-05-10 华为技术有限公司 传输数据包的方法及设备
CN103491648A (zh) * 2013-09-18 2014-01-01 宇龙计算机通信科技(深圳)有限公司 基于wifi的通信方法及系统
CN109194494A (zh) * 2018-06-28 2019-01-11 武汉船用机械有限责任公司 一种基于惰性气体系统的通信方法、装置和系统
CN109286628A (zh) * 2018-10-10 2019-01-29 全球能源互联网研究院有限公司 数据安全传输方法、系统、电子设备及存储介质
CN114501143A (zh) * 2022-01-29 2022-05-13 南京南瑞信息通信科技有限公司 一种基于端口选择性加密的视频安全接入方法及系统
CN114501143B (zh) * 2022-01-29 2024-02-13 南京南瑞信息通信科技有限公司 一种基于端口选择性加密的视频安全接入方法及系统

Also Published As

Publication number Publication date
EP2421293B1 (en) 2018-03-21
EP2421293A4 (en) 2016-05-18
WO2010130140A1 (zh) 2010-11-18
US20120072719A1 (en) 2012-03-22
US8694775B2 (en) 2014-04-08
EP2421293A1 (en) 2012-02-22
CN101562813B (zh) 2012-01-11

Similar Documents

Publication Publication Date Title
CN101562813B (zh) 实时数据业务的实现方法、实时数据业务系统和移动终端
CN101583083B (zh) 一种实时数据业务的实现方法和实时数据业务系统
US11228908B2 (en) Data transmission method and related device and system
AU2010201991B2 (en) Method and apparatus for security protection of an original user identity in an initial signaling message
EP3057351B1 (en) Access method, system, and device of terminal, and computer storage medium
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
CN105656941B (zh) 身份认证装置和方法
CN104683304A (zh) 一种保密通信业务的处理方法、设备和系统
CN101631309B (zh) 基于家庭基站网络的对终端进行鉴权的方法、设备及系统
CN109768861B (zh) 一种海量d2d匿名发现认证与密钥协商方法
WO2013185735A2 (zh) 一种加密实现方法及系统
WO2013060302A1 (zh) 一种加密方法,解密方法和相关装置
CN103430478A (zh) 用于在无线通信系统中加密短数据的方法和设备
CN101895882A (zh) 一种WiMAX系统中的数据传输方法、系统及装置
CN105007163B (zh) 预共享密钥的发送、获取方法及发送、获取装置
US20150319618A1 (en) Communication security processing method, and apparatus
WO2012024905A1 (zh) 一种移动通讯网中数据加解密方法、终端和ggsn
CN108966217B (zh) 一种保密通信方法、移动终端及保密网关
CN101166177B (zh) 一种非接入层初始信令传送的方法及系统
CN106465117B (zh) 一种终端接入通信网络的方法、装置及通信系统
CN115996121B (zh) 一种基于volte网络的量子加密的可信视频通信系统和方法
WO2010124569A1 (zh) 用户接入控制方法和系统
CN106533686B (zh) 加密通信方法和系统、通信单元、客户端
WO2023046944A1 (en) A method for operating a cellular network
CN115767535A (zh) 一种5G场景下终端vpn网络接入鉴权方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120111

Termination date: 20210512

CF01 Termination of patent right due to non-payment of annual fee