CN103546983B - 通信方法、装置和系统 - Google Patents
通信方法、装置和系统 Download PDFInfo
- Publication number
- CN103546983B CN103546983B CN201210243009.6A CN201210243009A CN103546983B CN 103546983 B CN103546983 B CN 103546983B CN 201210243009 A CN201210243009 A CN 201210243009A CN 103546983 B CN103546983 B CN 103546983B
- Authority
- CN
- China
- Prior art keywords
- message
- limited
- network
- client
- negotiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明涉及一种通信方法,装置和系统。该方法包括,接收客户端通过受限网络发送的第一受限应用消息,第一受限应用消息中携带有安全标识信息和应用标识信息;如果安全标识信息的值为空,则设置其值为有效值,并且对第一受限应用消息进行适配处理得到第二受限应用消息;发送第二受限应用消息至服务器。由此,本发明实施例实现了为M2M业务针对不同的中间网络提供分段的安全模式,节省资源受限网络的开销。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种通信方法、装置和系统。
背景技术
机器对机器(Machine To Machine,M2M)通信是两个或多个实体之间的不需要直接人为干预的一种通信方式,可以为各种行业的客户提供一种集数据采集、传输、处理和业务管理于一体的整套解决方案,在诸多行业得到了广泛的应用。受限应用协议(Constrained Application Protocol,CoAP)是一种针对资源受限的网络和节点的Web传输协议,可用于M2M通信。
目前,在M2M通信中,传输网络或一些中间传输实体对所有的M2M应用进行相同的处理,降低了业务数据处理的灵活性;而且,CoAP协议采用数据报传输层安全(DatagramTransport Layer Security,DTLS)机制为所有的M2M应用提供端到端的安全保障,通信端点之间的传输路径可能由多个网络域组成,有些网络的底层安全机制已经足已保证安全性,在这些网络上采用DTLS可能会为网络带来额外的开销。另外,CoAP消息开销低,是小消息,保证能在资源受限的网络中进行传输,从这些资源受限的网络中传出,数据进入到资源不受限的网路中时,这些网络对消息大小没有很高的限制,多次传输某一个应用的小消息反而会降低网络线路的利用率。
发明内容
本发明实施例提供了一种通信方法、装置和系统,可以实现对不同的M2M业务进行差异化处理,以及为M2M业务针对不同的中间网络提供分段的安全模式。
一方面,提供了一种通信方法,所述方法包括
接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息;
如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息;
通过非受限网络发送所述第二受限应用消息至服务器。
优选地,在接收客户端通过受限网络发送的第一受限应用消息之后,还包括:如果所述安全标识信息的值不为空,则丢弃所述第一受限应用消息,向所述客户端发送丢弃所述第一受限应用消息的通知消息。
优选地,在接收客户端发送的第一受限应用消息之前,还包括:与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第一受限应用消息在所述受限网络中传输的安全性。
具体地,与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接的操作包括:接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
具体地,进行适配处理包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
一方面,提供了另一种通信方法,所述方法包括:
接收客户端代理通过非受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息;
如果所述安全标识信息的值为有效值,则向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过受限网络发送至客户端。
优选地,在接收客户端代理通过非受限网络发送的受限应用消息之前,还包括:通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
具体地,通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接的操作包括:接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;
判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
一方面,提供了另一种通信方法,所述方法包括:
接收服务器通过非受限网络发送的第一受限应用协议消息,所述第一受限应用消息中携带有安全标识信息;
如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息;
通过受限网络发送所述第二受限应用消息至客户端。
优选地,接收服务器通过非受限网络发送的第一受限应用消息之前,还包括:与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第二受限应用消息在所述受限网络中传输的安全性。
具体地,与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的DTLS连接的操作包括:接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
一方面,提供了另一种通信方法,所述方法包括:
生成受限应用消息,所述受限应用消息中携带有安全标识信息;
向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端。
优选地,向客户端代理通过非受限网络发送所述受限应用消息之前,还包括:通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述处理后的受限应用消息的安全性。
具体地,通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接的操作步骤包括:接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
一方面,提供了另一种通信方法,所述方法包括:
接收受限应用消息,所述受限应用消息中携带有应用标识信息;
提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用;
根据所述应用,对所述受限应用消息进行差异化处理。
优选地,接收受限应用消息为通过受限网络接收所述受限应用消息,所述将所述受限应用消息发送至通信对端为通过非受限网络发送至所述通信对端时,所述方法还包括:将所述应用标识信息的值相同的多个受限应用消息放入所述非受限网络的一个数据报中,通过所述数据报发送至所述通信对端。
一方面,提供了另一种通信方法,所述方法包括:
生成受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息;
通过传输网络发送所述受限应用消息至通信对端。
优选地,通过传输网络发送所述受限应用消息至通信对端包括:发送所述受限应用消息至传输网络中的功能实体,用以所述功能实体根据所述应用标识信息识别所述受限应用消息承载的应用并将所述应用标识信息发送至策略决策功能实体,以及接收所述策略决策功能实体根据所述应用标识信息针对所述受限应用消息对应的业务制定的决策;所述功能实体根据所述决策对所述受限应用消息进行差异化处理,并发送至所述通信对端。
一方面,提供了一种通信装置,所述装置包括:
传输单元,用于接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元;
处理单元,用于如果从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息,以及将所述第一受限应用消息传输至所述传输单元;
所述传输单元用于从所述处理单元接收所述第二受限应用消息,通过非受限网络发送所述第二受限应用消息至服务器。
优选地,本装置还包括:协商及连接建立单元,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第一受限应用消息在所述受限网络中传输的安全性。
一方面,提供了另一种通信装置,所述装置包括:
接收单元,用于接收客户端代理通过非受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息;
发送单元,用于如果所述安全标识信息的值为有效值,则向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过受限网络发送至客户端。
优选地,本装置还包括:协商及连接建立单元,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
一方面,提供了另一种通信装置,所述装置包括:
生成单元,用于生成受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元;
发送单元,用于从所述生成单元接收所述受限应用消息,向客户端代理通过受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至服务器。
优选地,所述装置还包括:所述装置还包括:协商及连接建立单元,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。一方面,提供了另一种通信装置,所述装置包括:
传输单元,用于接收服务器通过非受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元;
处理单元,用于从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息,以及将所述第二受限应用消息传输至所述传输单元;
所述传输单元用于从所述处理单元接收所述第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端。
优选地,本装置还包括:协商及连接建立单元,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第二受限应用消息在所述受限网络中传输的安全性。
一方面,提供了另一种通信装置,所述装置包括:
生成单元,用于生成受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元;
发送单元,用于从所述生成单元接收所述受限应用消息,向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端。
优选地,本装置还包括:协商及连接建立单元,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述处理后的受限应用消息的安全性。
一方面,提供了另一种通信装置,所述装置包括:
接收单元,用于接收客户端代理通过受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息;
发送单元,用于向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过非受限网络发送至服务器。
优选地,所述装置还包括:协商及连接建立单元,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
一方面,提供了另一种通信装置,所述装置包括:
传输单元,用于接收受限应用消息,所述受限应用消息中携带有应用标识信息,以及将所述受限应用消息传输至获取单元;
获取单元,用于从所述传输单元接收所述受限应用消息,提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用,以及将所述应用传输至处理单元;
处理单元,用于从所述获取单元接收所述应用,根据所述应用,对所述受限应用消息进行差异化处理。
一方面,提供了另一种通信装置,所述装置包括:
生成单元,用于生成受限应用消息,所述受限应用消息中携带有应用标识信息,以及将所述受限应用消息传输至发送单元;
发送单元,用于从所述生成单元接收所述受限应用消息,通过传输网络发送所述受限应用消息至通信对端。
一方面,提供了一种通信系统,所述系统包括上述通信装置,以及客户端。
接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息;如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息;通过非受限网络发送所述第二受限应用消息至服务器。或者,接收服务器通过非受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息,如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端。从而避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销;而本发明在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
接收受限应用消息,所述受限应用消息中携带有应用标识信息;提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用;根据所述应用,对所述受限应用消息进行差异化处理。从而避免了传输网络或一些中间传输实体不能对所有应用都进行相同的处理,而本发明在传输M2M业务数据时,通过设置M2M业务数据的类型和优先级,可以使得网络中的功能实体对M2M业务数据进行差异化处理。
附图说明
图1为本发明实施例提供的通信方法的一种应用场景示意图;
图2为本发明实施例提供的通信方法的另一应用场景示意图
图3为本发明实施例提供的通信方法的一个实施例的流程图;
图4为本发明实施例提供的通信方法的另一个实施例的流程图;
图5为本发明实施例提供的通信方法的一种各个主体之间的信息交互示意图。
图6为本发明实施例提供的通信方法的另一个实施例的流程图;
图7为本发明实施例提供的通信方法的另一个实施例的流程图;
图8为本发明实施例提供的通信方法的又一各个主体之间的信息交互示意图;
图9为本发明实施例提供的通信方法的另一个实施例的流程图;
图10为本发明实施例提供的通信方法的另一个实施例的流程图;
图11为本发明实施例提供的通信装置的一个实施例的示意图;
图12为本发明实施例提供的通信装置的另一个实施例的示意图;
图13为本发明实施例提供的通行装置的另一个实施例的示意图;
图14为本发明实施例提供的通信装置的另一个实施例的示意图;
图15为本发明实施例提供的通信装置的另一个实施例的示意图;
图16为本发明实施例提供的通信装置的另一个实施例的示意图;
图17为本发明实施例提供的通信装置的另一个实施例的示意图;
图18为本发明实施例提供的通信装置的另一个实施例的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透切理解本发明。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
图1为本发明实施例提供的通信方法的一种应用场景示意图。本发明实施例提供的通信方法在实际应用时,作为一种新的通信方法可应用于M2M服务器和M2M客户端之间使用CoAP消息进行业务数据传输时,M2M客户端设备域网络为受限网络并且该受限网络的底层安全机制已经满足CoAP安全需求的场景。如图1所示,本发明实施例提供的应用场景中,M2M客户端与客户端代理之间的受限网络为Zigbee网络,M2M服务器与客户端代理之间的传输网络为第三代合作伙伴计划(The 3rd Generation Partnership Project,3GPP)定义的网络。由于客户端代理是位于受限网络和非受限网络之间的边界处的一个节点,因此在这种场景下,客户端代理同时也为3GPP网络中定义的用户终端(User Equipment,UE)。对于这种应用场景,M2M服务器与M2M客户端进行业务数据的传输时,通过在Zigbee网络采用底层安全机制保证CoAP消息的安全性,在3GPP定义的网络和Internet采用DTLS安全机制保证CoAP消息的安全性。由此可以在实现客户端设备域网络和传输网络采用不同的安全机制保证CoAP消息的安全性,提高了通信过程的灵活性,减小了受限网络Zigbee网络的网络开销。
图2为本发明实施例提供的通信方法的另一应用场景示意图。本发明实施例提供的通信方法在实际应用时,作为一种新的通信方法可应用于M2M服务器和M2M客户端之间使用CoAP消息进行业务数据传输的场景。如图2所示,本发明实施例提供的应用场景中,M2M客户端与客户端代理之间的受限网络为Zigbee网络,M2M服务器与客户端代理之间的传输网络为3GPP定义的网络。对于这种应用场景,在M2M服务器与M2M客户端进行业务数据的传输时,通过在CoAP消息中设置应用标识信息来标识不同的应用的业务类型和优先级,可以保证传输网络中的功能实体通过该应用标识信息对不同的应用进行差异化处理。其中,传输网络中的功能实体可以为图2中黑线框内的任意一个实体,也可以为位于不同的功能实体内的功能模块。另外,对于从M2M客户端发送至M2M服务器的CoAP消息,客户端代理还可以根据应用标识信息对受限应用消息进行聚合,并放入一个数据报中在非受限网络中发送,从而增加单个数据报中有用数据部分的比例,提高传输线路的利用率。
需要说明的是,本发明实施例中将以受限应用消息为CoAP消息为例进行说明,但是CoAP消息并不用限定本发明的保护范围,所有能够支持本发明实施例所提供的技术方案的受限应用消息都在本发明的保护范围内。
上面只是描述了本发明实施例提供的通信方法、装置和系统的两种应用场景,但是上述场景并不用于限制本发明的保护范围。本发明实施例提供的通信方法、装置和系统可以通过在CoAP消息中设置应用标识信息和安全标识信息,为任意采用CoAP消息通过受限网络和非受限网络进行的M2M业务提供应用标识和安全标识,从而实现对不同的M2M业务进行差异化处理,以及实现分段的安全模式,使得通信过程更加灵活,有助于在受限网络节省开销。
本发明实施例针对现有技术下通信方法的缺陷,提供了一种通信方法、装置和系统。当客户端和服务端之间存在不同的中间网络且客户端设备域的网络为资源受限网络时,若为上行链路,则客户端代理接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,如果所述安全标识信息的值不为空,则丢弃所述第一受限应用消息,向所述客户端发送丢弃所述第一受限应用消息的通知消息;如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息,通过非受限网络发送所述第二受限应用消息至服务器;若为下行链路,则接收服务器通过非受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端。由此避免了M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销;而本发明在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
本发明实施例提供的通信方法、装置和系统,在客户端和服务端之间存在不同的中间网络且客户端设备域的网络为资源受限网络时,非受限网络中的功能实体接收受限应用消息,所述受限应用消息中携带有应用标识信息;提取所述应用标识信息,并将所述应用标识信息发送至策略决策功能实体;接收所述策略决策功能实体根据所述应用标识信息针对所述受限应用消息对应的业务制定的决策;根据所述决策,将所述受限应用消息发送至通信对端。从而避免了传输网络或一些中间传输实体对所有应用都进行相同的处理,而本发明在传输M2M业务数据时,通过设置M2M业务数据的应用标识,可以使得网络中的功能实体对M2M业务数据进行差异化处理。
图3为本发明实施例提供的通信方法的一个实施例的流程图。该实施例的执行主体是客户端代理,其中详细描述了上行链路中,客户端代理与客户端、服务器进行业务数据传输和处理的过程。如图3所示,本实施例包括以下步骤:
步骤301,客户端代理接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息。
以受限应用消息为CoAP消息为例进行说明,CoAP消息由CoAP头部、选项和有效载荷等部分组成,本发明实施例中的CoAP消息的选项中包括安全标识信息选项,该安全标识信息用来指示M2M通信的双方或通信网络中的中间功能实体某一段受限网络的底层安全机制是足够安全的。
可选地,该安全标识信息可以使用一个字节定义,安全标识信息的值表示安全机制信息以及该安全机制信息是否可以满足安全性需求,本实施例中简单地以安全标识信息的值为空表示不满足条件即不满足安全性需求,为有效值表示满足条件即满足安全性要求,安全标识信息的值的内容细节可参照业务适用方的规则指定。
在上行链路中,客户端通过客户端代理向服务器使用第一受限应用消息发送业务数据,客户端代理通过受限网络接收客户端发送的第一受限应用消息。该受限网络可以为短距离、低功耗的无线通信网络,如Zigbee网络。
需要说明的是,在客户端与服务器进行业务数据的传输之前,首先要通过安全协商操作,确定受限网络的底层安全机制是否能够满足条件,即受限网络的底层安全机制是否满足CoAP消息的安全性需求。本发明实施例主要以受限网络的底层安全机制满足条件进行描述,对于受限网络的底层安全机制不满足条件的情况,则仍可以采用在客户端与服务器之间建立DTLS连接,通过DTLS安全机制来保证CoAP消息的安全性需求,因此这里不再针对受限网络的底层安全机制不满足条件的情况进行描述。
步骤302,如果所述安全标识信息的值为空,则客户端代理设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息。
客户端代理接收到第一受限应用消息后,验证该第一受限应用消息中安全标识信息的值,若安全标识信息的值不为空,则丢弃该第一受限应用消息,并向客户端发送已经丢弃该第一受限应用消息的通知消息。
如果验证第一受限应用消息中安全标识信息的值为空,则设置该安全标识信息的值为有效值,该有效值表示来自受限网络的数据由底层安全机制保证安全性。
由于客户端代理与客户端之间传输的数据采用底层安全机制保证安全性,而客户端代理与服务器之间传输的数据采用DTLS安全机制保证安全性,因此客户端代理还需要做好不同的安全机制的适配工作,具体可以通过修改CoAP消息和数据报文格式的方式实现。而由于客户端代理与客户端之间的通信网络、客户端代理与服务器之间的通信网络也不相同,因此客户端代理处还需要做好不同网络间数据转发的协议栈适配处理,具体也可以通过修改数据帧传输格式的方式实现。
经过上述安全标识信息的值的设置,以及安全机制的适配处理和不同网络间协议栈的适配处理后,即可得到第二受限应用消息。
可选地,由于服务器与客户端代理之间的非受限网络相对不受限,所以仍可采用DTLS安全机制,但是如果该非受限网络的底层安全机制可以满足CoAP消息的安全性需求,则也可不采用DTLS安全机制,而采用底层安全机制保证安全性,本发明并不针对此种情况进行详述。
步骤303,客户端代理通过非受限网络发送所述第二受限应用消息至服务器。
客户端代理得到第二受限应用消息后,以非受限网络为网络承载,将该第二受限应用消息发送至服务器。
通过步骤301、301、303所描述的操作步骤,即可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
在一个优选的实施例中,在客户端与服务器之间进行数据传输之前,客户端与服务器之间要通过客户端代理进行安全协商,当判断受限网络的底层安全机制满足条件时,客户端代理建立与服务器之间的DTLS连接,但是不并建立与客户端之间的DTLS连接,客户端与客户端代理之间传输的数据的安全性由网络的底层安全机制保证。
客户端与服务器之间要通过客户端代理进行安全协商,当判断受限网络的底层安全机制满足条件时,客户端代理建立与服务器之间的DTLS连接的具体操作方法为:接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
在协商过程中,客户端代理接收到第一协商消息,即Hello消息后,提取其中的安全标识信息Sec-flag,如果客户端代理与客户端之间的底层安全机制足以保证安全性,则客户端代理设置Sec-flag的值为有效值,并对该第一协商消息进行安全机制和协议栈的适配处理,得到第二协商消息,并将该第二协商消息发送给服务器;服务器接收到该第二协商消息后,验证Sec-flag的值,确定是否信任该受限网络的底层安全机制,如果信任,则向客户端代理回复一个第一协商响应消息,该第一协商响应消息中的Sec-flag的值与第二协商消息中携带的Sec-flag的值相同;客户端代理接收到该第一协商响应消息后,读取其中的Sec-flag的值,确认服务器以信任受限网络的底层安全机制,则向服务器发送DTLS连接握手协商消息,与服务器之间建立DTLS连接。另外,客户端代理还将对第一协商响应消息进行适配处理得到第二协商响应消息并转发至客户端,以使得客户端了解受限网络的底层安全机制是有效的,无须建立DTLS连接。
通过上述安全协商过程,即可确认在客户端与服务器之间进行数据传输时,在受限网络中传输的业务数据的安全性是否可由底层安全机制保证。
在另一个优选的实施例中,在步骤303之后,即客户端代理通过非受限网络发送第二受限应用消息至服务器之后,还可以包括:接收所述服务器接收到所述第二受限应用消息后发送的第一响应消息;对所述第一响应消息进行适配处理得到第二响应消息;发送所述第二响应消息至所述客户端。
即,对于某些CoAP消息,服务器可以发送响应消息,客户端代理在接收到服务器发送的第一响应消息后,对该第一响应消息进行安全机制的适配处理和协议栈的适配处理得到第二响应消息后,即可将该第二响应消息发送至客户端。
上述实施例描述的是上行链路中,客户端代理与客户端、服务器进行业务数据传输和处理的过程;下面以服务器侧为主体描述上行链路中,服务器与客户端代理之间的业务数据传输和处理的过程。
图4为本发明实施例提供的通信方法的另一个实施例的流程图。该实施例的执行主体是服务器,其中详细描述了上行链路中,服务器与客户端代理之间进行业务数据传输和处理的过程。如图4所示,本实施例包括以下步骤:
步骤401,服务器接收客户端代理通过非受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息。
本发明实施例中的受限应用消息的选项中包括安全标识信息选项,该安全标识信息用来指示M2M通信的双方或通信网络中的中间功能实体某一段受限网络的底层安全机制是足够安全的。
在上行链路中,客户端通过客户端代理向服务器使用受限应用消息发送业务数据,客户端代理通过受限网络接收客户端发送的受限应用消息,将该受限应用消息的安全标识信息的值设置为有效值并进行安全机制的适配处理和协议栈适配处理后,将得到的受限应用消息通过非受限网络发送至服务器,由此,服务器可通过非受限网络接收到受限应用消息。
步骤402,如果所述安全标识信息的值为有效值,则服务器向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过受限网络发送至客户端。
服务器收到受限应用消息后,首先读取该受限应用消息的内容,并验证其中的安全标识信息的值是否为为有效值,如果为有效值,则说明该受限应用消息携带的数据时可信任的,则向客户端代理发送第一响应消息。
客户端代理接收到第一响应消息后,对第一响应消息进行安全机制的适配处理,以及协议栈的适配处理,得到第二响应消息,并发送至客户端,由此客户端便可确认服务器接收到了自己所发送的受限应用消息。
通过本发明实施例提供的技术方案,即可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
在一个优选的实施例中,客户端与服务器之间进行数据传输之前,客户端与服务器之间要通过客户端代理进行安全协商,当判断受限网络的底层安全机制满足条件时,服务器建立与客户端代理之间的DTLS连接,但是不并建立与客户端之间的DTLS连接,客户端与客户端代理之间传输的数据的安全性由网络的底层安全机制保证。
通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的DTLS连接,具体包括:接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
其中,协商过程中进行的适配处理包括安全机制的适配处理,和不同网络之间协议栈之间的适配处理。具体的安全协商操作过程可以参见第一实施例中的详细描述,此处不再赘述。
通过上述安全协商过程,即可确认在客户端与服务器之间进行数据传输时,在受限网络中传输的业务数据的安全性是否可由底层安全机制保证。
第一实施例和第二实施例分别以客户端代理和服务器为主体描述了上行链路中,客户端代理与客户端、服务器进行业务数据传输和处理的过程,以及服务器与客户端代理之间的数据传输和处理的过程。下面描述上行链路中,在进行业务数据传输和处理的过程中,客户端、客户端代理、服务器之间的信息交互情况。
图5为本发明实施例提供的通信方法的一种各个主体之间的信息交互示意图。如图5所示,本实施例包括以下步骤:
步骤501,客户端生成第一受限应用消息。
客户端在发送消息时,首先构造应用数据消息第一受限应用消息,并在消息中设定安全标识信息的值为空。
步骤502,客户端将该第一受限应用消息发送至客户端代理。
客户端将构造好的第一受限应用消息通过受限网络,如Zigbee网络传输至客户端代理,由客户端代理转发。受限网络可以通过底层安全机制保证数据的安全性。
步骤503,客户端代理对第一受限应用消息中的安全标识信息进行设置,并对第一受限应用消息进行适配处理,得到第二受限应用消息。
客户端代理接收到该第一受限应用消息后,首先验证该消息中安全标识信息的值,若为空则设定该安全标识信息的值为有效值,否则丢弃该第一受限应用消息并通知客户端。
客户端代理除了设置该第一受限应用消息中的安全标识信息的值为有效值,还将对第一受限应用消息进行安全机制的适配处理,以及受限网络和非受限网络之间的协议栈的适配处理,得到第二受限应用消息。
步骤504,客户端代理将该第二受限应用消息发送至服务器。
客户端代理将第二受限应用消息通过非受限网络发送至服务器。由于非受限网络的资源相对不受限,因此该非受限网络通过DTLS机制保证消息的安全性。
步骤505,服务器读取第二受限应用消息中的内容,并验证第二受限应用消息中的安全标识信息的值是有效的。
服务器接收到第二受限应用消息后,读取其中的内容,并验证该消息中的安全标识信息的值是否有效,如果有效则认为该受限应用消息中的数据是可信任的。
步骤506,服务器向客户端代理发送第一响应消息。
服务器读取并验证接收到的受限应用消息中的数据的安全性后,可向客户端发送第一响应消息。
步骤507,客户端代理对第一响应消息进行适配处理得到第二响应消息。
客户端代理接收到服务器发送的第一响应消息后,需要对该第一响应消息进行安全机制的适配处理,以及不同网络间协议栈的适配处理,得到第二响应消息。
步骤508,客户端代理将第二响应消息发送至客户端。
客户端代理得到第二响应消息后,通过受限网络将该第二响应消息发送至客户端,以通知客户端接自己收到了其所发送的第一受限应用消息。
由此,通过上述步骤,避免了M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
上面描述了上行链路中,客户端、客户端代理与服务器之间进行数据传输和处理的方法;下面描述下行链路中,客户端、客户端代理与服务器之间进行数据传输和处理的方法。
图6为本发明实施例提供的通信方法的另一个实施例的流程图。该实施例的执行主体是客户端代理,其中详细描述了下行链路中,客户端代理与客户端、服务器进行业务数据传输和处理的过程。如图6所示,本实施例包括以下步骤:
步骤601,客户端代理接收服务器通过非受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息。
受限应用消息由CoAP头部、选项和有效载荷等部分组成,本发明实施例中的受限应用消息的选项中包括安全标识信息选项,该安全标识信息用来指示M2M通信的双方或通信网络中的中间功能实体某一段受限网络的底层安全机制是足够安全的。
可选地,该安全标识信息可以使用一个字节定义,安全标识信息的值表示安全机制信息以及该安全机制信息是否可以满足安全性需求,本实施例中简单地以安全标识信息的值为空表示不满足条件即不满足安全性需求,为有效值表示满足条件即满足安全性要求,安全标识信息的值的内容细节可参照业务使用方的规则指定。
在下行链路中,服务器通过客户端代理向客户端使用第一受限应用消息发送信息,客户端代理通过非受限网络接收服务器发送的第一受限应用消息。该非受限网络可以为移动通信网络。
步骤602,如果所述安全标识信息的值为有效值,则客户端代理对所述第一受限应用消息进行适配处理,得到第二受限应用消息。
客户端代理接收到第一受限应用消息后,验证第一受限应用消息中安全标识信息的值,如果安全标识信息的值为有效值则说明该第一受限应用消息在客户端与客户端代理之间的受限网络中采用底层安全机制保证安全性。
此时,客户端代理需要对该第一受限应用消息进行安全机制的适配处理,即对该第一受限应用消息进行非受限网络采用的DTLS安全机制到受限网络采用的底层安全机制的适配处理。另外,客户端代理还需要对该第一受限应用消息进行不同网络间协议栈的适配处理。通过适配处理,即可得到第二受限应用消息。
步骤603,客户端代理通过受限网络发送所述第二受限应用消息至客户端。
客户端代理得到第二受限应用消息后,以受限网络为承载,将该第二受限应用消息发送至客户端。
通过步骤601、601、603所描述的操作步骤,即可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
在一个优选的实施例中,在客户端与服务器之间进行数据传输之前,客户端与服务器之间要通过客户端代理进行安全协商,当判断受限网络的底层安全机制满足条件时,客户端代理建立与服务器之间的DTLS连接。
客户端与服务器之间要通过客户端代理进行安全协商,当判断受限网络的底层安全机制满足条件时,客户端代理建立与服务器之间的DTLS连接的具体操作方法为:接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接,但是不并建立与客户端之间的DTLS连接,客户端与客户端代理之间传输的数据的安全性由网络的底层安全机制保证。
在协商过程中,客户端代理接收到第一协商消息,即Hello消息后,提取其中的安全标识信息Sec-flag,如果客户端代理与客户端之间的底层安全机制足以保证安全性,则客户端代理设置Sec-flag的值为有效值,并对该第一协商消息进行安全机制和协议栈的适配处理,得到第二协商消息,并将该第二协商消息发送给服务器;服务器接收到该第二协商消息后,验证Sec-flag的值,确定是否信任该受限网络的底层安全机制,如果信任,则向客户端代理回复一个第一协商响应消息,该第一协商响应消息中的Sec-flag的值与第二协商消息中携带的Sec-flag的值相同;客户端代理接收到该第一协商响应消息后,读取其中的Sec-flag的值,确认服务器以信任受限网络的底层安全机制,则向服务器发送DTLS连接握手协商消息,与服务器之间建立DTLS连接。另外,客户端代理还将对第一协商响应消息进行适配处理得到第二协商响应消息并转发至客户端,以使得客户端了解受限网络的底层安全机制是有效的,无须建立DTLS连接。
通过上述安全协商过程,即可确认在客户端与服务器之间进行数据传输时,在受限网络中传输的业务数据的安全性是否可由底层安全机制保证。
在另一个优选的实施例中,在步骤603之后,即客户端代理通过受限网络发送第二受限应用消息至客户端之后,还可以包括:接收所述客户端接收到所述第二受限应用消息后发送的第一响应消息;对所述第一响应消息进行适配处理,得到第二响应消息;发送所述第二响应消息至所述服务器。
即,对于某些受限应用消息,客户端可以发送响应消息,客户端代理在接收到客户端发送的第一响应消息后,对该第一响应消息进行安全机制的适配处理和协议栈的适配处理得到第二响应消息后,即可将该第二响应消息发送至客户端。
上述实施例描述的是下行链路中,客户端代理与客户端、服务器进行数据传输和处理的过程;下面以服务器侧为主体描述下行链路中,服务器与客户端代理之间的业务数据传输和处理的过程。
图7为本发明实施例提供的通信方法的另一个实施例的流程图。该实施例的执行主体是服务器,其中详细描述了下行链路中,服务器与客户端代理之间进行数据传输和处理的过程。如图7所示,本实施例包括以下步骤:
步骤701,生成受限应用协议受限应用消息,所述受限应用消息中携带有安全标识信息。
在客户端与服务器之间进行数据通信之前,要通过安全协商操作,确定受限网络的底层安全机制是否能够满足条件,并根据协商的结果设置安全标识信息的值。
在服务器要向客户端发送应用数据时,要先构造相应的受限应用消息,并根据安全协商的结果设置消息中安全标识信息的值。
步骤702,向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端。
服务器生成CoAP应用消息后,通过非受限网络向客户端代理发送该受限应用消息,在非受限网络中传输受限应用消息时使用DTLS机制保证受限应用消息的安全性。
客户端代理接收到服务器发送的受限应用消息后,读取其中的安全标识信息的值,为有效值时,则认为该消息在受限网络中传输时使用底层安全机制保证消息安全性。由此,客户端代理将对该受限应用消息进行安全机制的适配处理,以及不同网络间协议栈的适配处理,并将处理得到的受限应用消息发送至客户端。
通过上述步骤,即可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
在一个优选的实施例中,在步骤702之后,即服务器向客户端代理通过非受限网络发送所述受限应用消息之后,还包括:接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述客户端接收到所述适配处理后的受限应用消息发送的响应消息。
即,对于某些受限应用消息,客户端可以发送响应消息,客户端代理在接收到客户端发送的第一响应消息后,对该第一响应消息进行安全机制的适配处理和协议栈的适配处理得到第二响应消息后,即可将该第二响应消息发送至服务器。
而在另一个优选的实施例中,在服务器与客户端进行数通信之前,将通过客户端代理与客户端针对受限网络进行安全协商,当判断受限网络的底层安全机制满足条件时,建立与客户端代理之间的DTLS连接,但是不并建立与客户端之间的DTLS连接,客户端与客户端代理之间传输的数据的安全性由网络的底层安全机制保证。
服务器通过客户端代理与客户端针对受限网络进行安全协商,当判断受限网络的底层安全机制满足条件时,建立与客户端代理之间的DTLS连接的具体操作步骤为:接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
通过上述安全协商过程,即可确认在客户端与服务器之间进行数据传输时,在受限网络中传输的业务数据的安全性是否可由底层安全机制保证。
第三实施例和第四实施例分别以客户端代理和服务器为主体描述了下行链路中,客户端代理与客户端、服务器进行业务数据传输和处理的过程,以及服务器与客户端代理之间的数据传输和处理的过程。下面描述下行链路中,在进行数据传输和处理的过程中,客户端、客户端代理、服务器之间的信息交互情况。
图8为本发明实施例提供的通信方法的又一各个主体之间的信息交互示意图。如图8所示,本实施例包括以下步骤:
步骤801,服务器生成第一受限应用消息。
在客户端与服务器之间进行数据通信之前,要通过安全协商操作,确定受限网络的底层安全机制是否能够满足条件,并根据协商的结果设置安全标识信息的值。
在服务器要向客户端发送应用数据时,要先构造相应的第一受限应用消息,并根据安全协商的结果设置消息中安全标识信息的值。
步骤802,服务器将该第一受限应用消息发送至客户端代理。
服务器生成第一受限应用消息后,通过非受限网络向客户端代理发送该受限应用消息,在非受限网络中传输受限应用消息时使用DTLS机制保证第一受限应用消息的安全性。
步骤803,客户端代理验证第一受限应用消息中的安全标识信息的值,并对第一受限应用消息进行适配处理,得到第二受限应用消息。
客户端代理接收到服务器发送的受限应用消息后,读取其中的安全标识信息的值,为有效值时,则认为该消息在受限网络中传输时使用底层安全机制保证消息安全性。由此,客户端代理将对该受限应用消息进行安全机制的适配处理,以及不同网络间协议栈的适配处理,得到第二受限应用消息。
步骤804,客户端代理将该第二受限应用消息发送至客户端。
客户端代理得到第二受限应用消息后,通过受限网络将该第二受限应用消息发送至客户端。受限网络通过底层安全机制保证该第二受限应用消息的安全性。
步骤805,客户端向客户端代理发送第一响应消息。
客户端接收到客户端代理转发的受限应用消息后,可发送响应消息,以通知服务器自己收到了其所发送的受限应用消息。
步骤806,客户端代理对第一响应消息进行适配处理得到第二响应消息。
客户端代理接收到客户端发送的第一响应消息后,需要对该第一响应消息进行安全机制的适配处理,以及不同网络间协议栈的适配处理,得到第二响应消息
步骤807,客户端代理将第二响应消息发送至服务器。
客户端代理得到第二响应消息后,通过非受限网络将该第二响应消息发送至服务器,以通知服务器自己接收到了其所发送的第一受限应用消息。
由此,通过上述步骤,避免了M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
上述实施例描述了通过受限应用消息中设置的安全标识信息选项,实现在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,使用底层安全机制保证M2M业务数据的安全性的方法流程;下述实施例将描述通过受限应用消息中设置的应用标识信息选项,网络中的功能实体对M2M业务数据进行差异化处理的方法流程。
图9为本发明实施例提供的通信方法的另一个实施例的流程图。该实施例的执行主体是服务器和客户端之间的传输网络中的功能实体,其中详细描述了功能实体根据受限应用消息中的应用标识信息对受限应用消息对应的业务进行差异化处理的方法。如图9所示,本实施例包括以下步骤:
步骤901,接收受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息。
在客户端与服务器之间通过传输网络进行业务数据传输时,传输网络中的某个功能实体可能需要对不同的应用进行差异化处理,如应用传输控制策略、优先处理部分应用的数据包等。其中,传输网络中的某个功能实体可以为客户端代理、基站、或服务网关(Serving Gateway,S-GW)、或分组数据网网关(Packet Data Network Gateway,P-GW),也可以为传输网络中能够实现此功能的某个代理。本发明实施例并不对该功能实体具体是哪个实体进行限定。
本发明实施例中所提供的受限应用消息的选项中包括应用标识信息选项,因此在客户端或服务器要发送应用数据时,可以根据业务的类型、数据的优先级等在受限应用消息设置应用标识信息的值,该值一般参照业务使用方与运营商签约信息确定。这样,客户端或服务器在发送数据时,传输网络中的某个功能实体才可以根据该应用标识信息的值确定该应用的使用者是谁,以及该业务数据的优先级是什么等信息。
可选地,该应用标识信息可以使用4个字节定义,默认使用前两个字节标识企业编号,默认使用后两个字节标识应用提供者的签约应用的标识编号和优先级。其中,企业编号为CoAP应用使用者(如国家电网,交通部门等)在运营商处的登记号码,通过该企业编号可以识别应用使用者的身份;标识编号则为该应用使用者与运营商签约协商策略控制的应用身份标识,通过该标识编号可以识别出同一个应用使用者的不同应用;优先级则用于区分同一应用的不同数据所对应的优先级。通过使用上述格式的应用标识信息可以确定受限应用消息的应用属性。
步骤902,提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用。
传输网络中的功能实体接收到该受限应用消息后,通过对该消息使用深度包检测技术(Deep Packet Inspection,DPI)或其他技术,可以读取到受限应用消息中的应用标识信息。
根据该应用标识信息的值,可以识别出受限应用消息中承载的应用类型、数据优先级、应用使用者是谁等信息。
传输网络中的功能实体提取到该应用标识信息后,可将该应用标识信息发送至策略决策功能实体,以使得该策略决策功能实体依据签约信息和运营商规则确定提供给该业务数据的决策,如QoS策略,有助于有效调度和分配该传输网络的网络资源。
步骤903,根据所述应用,对所述受限应用消息进行差异化处理。
根据所述应用,对受限应用消息进行差异化处理具体为:将所述应用标识信息发送至策略决策功能实体,接收所述策略决策功能实体根据所述应用标识信息的值针对所述受限应用消息制定的决策;根据所述决策,对所述受限应用消息进行差异化处理。
根据应用标识信息的值,识别出应用后,依据签约信息和运营商规则确定提供给该业务数据的决策,功能实体可以对该受限应用消息进行策略控制,从而实现针对不同的业务执行差异化的处理。其中,差异化处理可以为:应用不同策略,提供不同的优先级如缓存数据的优先级,当缓存满的时候优先级高的数据进入缓存中,优先级低的数据直接丢弃等。
通过上述步骤,本发明实施例提供的通信方法避免了传输网络或一些中间传输实体不能对所有应用都进行相同的处理,通过设置M2M业务数据的类型和优先级,可以使得网络中的功能实体对M2M业务数据进行差异化处理。
在一个优选的实施例中,本实施例还可以包括:步骤904,根据决策,将受限应用消息发送至通信对端。
如果该受限应用消息为从客户端发送至服务器的消息,由于受限应用消息是小消息,在将消息通过客户端与客户端代理之间的受限网络发送至客户端代理时,该客户端代理可以根据消息中的应用标识信息的值,将应用相同的多个受限应用消息放入所述非受限网络的一个数据报中,通过所述数据报发送至所述通信对端。由此即可实现多个受限应用消息的聚合,增加一个数据报中有效数据部分的比例,提高线路的利用率。
需要说明的是,根据该应用标识信息,对受限应用消息进行小消息聚合处理的实体可以为非受限网络边缘的一个实体,例如客户端代理。而根据受限应用消息中的应用标识信息策略控制的实体则一般为客户端代理、基站、或S-GW、或P-GW。由此可以看出,执行消息聚合的实体和执行策略控制的实体可以不为一个实体;也可以为一个实体。本发明实施例对执行这两个功能的实体并不作限定。
图10为本发明实施例提供的通信方法的另一个实施例的流程图。该实施例的执行主体是服务器或客户端,其中详细描述了客户端或服务器生成携带应用标识信息的受限应用消息的方法以及将生成的受限应用消息发送至通信对端的方法。如图10所示,本实施例包括以下步骤:
步骤1001,生成受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息。
客户端或服务器要发送应用数据时,可以根据业务的类型、数据的优先级等在受限应用消息设置应用标识信息的值,该值一般参照业务使用方与运营商签约信息确定。这样,客户端或服务器在发送数据时,传输网络中的某个功能实体才可以根据该应用标识信息的值确定该应用的使用者是谁,以及该业务数据的优先级是什么等信息。
可选地,该应用标识信息可以使用4个字节定义,默认使用前两个字节标识企业编号,默认使用后两个字节标识应用提供者的签约应用的标识编号和优先级。其中,企业编号为CoAP应用使用者(如国家电网,交通部门等)在运营商处的登记号码,通过该企业编号可以识别应用使用者的身份;标识编号则为该应用使用者与运营商签约协商策略控制的应用身份标识,通过该标识编号可以识别出同一个应用使用者的不同应用;优先级则用于区分同一应用的不同数据所对应的优先级。通过使用上述格式的应用标识信息可以确定受限应用消息的应用属性。
步骤1002,通过传输网络发送所述受限应用消息至通信对端。
要发送受限应用消息的通信端点(如客户端或服务器)生成受限应用消息后,通过传输网络发送该受限应用消息至通信对端(如服务器或客户端),用以实现需要的业务功能。受限应用消息进入到传输网络时,网络中的功能实体可以对传输的数据报文使用DPI技术进行检测。
具体地,通过传输网络发送所述受限应用消息至通信对端的方法为:发送所述受限应用消息至传输网络中的功能实体,用以所述功能实体根据所述应用标识信息识别所述受限应用消息承载的应用并将所述应用标识信息发送至策略决策功能实体,以及接收所述策略决策功能实体根据所述应用标识信息针对所述受限应用消息对应的业务制定的决策;所述功能实体根据所述决策对所述受限应用消息进行差异化处理,并发送至所述通信对端。
在通信端点将受限应用消息发送至通信对端的过程中,网络中的功能实体读取其中的应用标识信息,并将应用标识信息发送至策略决策功能实体;策略决策功能实体根据该应用标识信息制定决策后将决策发送至功能实体,由此功能实体便可对不同类型的应用进行差异化处理。这样,在缓存空间不足时,可以优先存储某些应用的数据;或者,在使用本发明实施例提供的通信方法的业务数据与没有使用该方法的业务数据在同一网络中传输时,依据签约信息和运营商规则,使用本发明实施例提供的方法的业务数据可以获得更好的QoS保证,从而保证签订合约的应用使用者的实际利益,并为网络运营商带来更多的经济效益。
相应地,本发明实施例还提供了一种通信装置。图11为本发明实施例提供的通信装置的一个实施例的示意图。该实施例的主体是客户端代理。如图11所示,本实施例包括以下单元:
传输单元1101,用于接收客户端通过受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元。
受限应用消息的选项中包括安全标识信息选项,该安全标识信息用来指示M2M通信的双方或通信网络中的中间功能实体某一段受限网络的底层安全机制是否足够安全。
本实施例中简单地以安全标识信息的值为空表示不满足条件即不满足安全性需求,为有效值表示满足条件即满足安全性要求,安全标识信息的值的内容细节可参照业务适用方的规则指定。
处理单元1102,用于从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息,以及将所述第一受限应用消息传输至所述传输单元。
当安全标识信息的值不为空时,处理单元1102还用于丢弃所述第一受限应用消息,向所述客户端发送丢弃所述第一受限应用消息的通知消息。
处理单元1102所执行的适配处理具体包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
传输单元1101用于从所述处理单元接收所述第二受限应用消息,通过非受限网络发送所述第二受限应用消息至服务器。
优选地,在传输单元1101第二受限应用消息发送至服务器后,还用于接收所述服务器接收到所述第二受限应用消息后发送的第一响应消息,以及将所述第一响应消息传输至所述处理单元;处理单元1102用于从所述传输单元接收所述第一响应消息,对所述第一响应消息进行适配处理得到第二响应消息,以及将所述第二响应消息传输至所述传输单元;传输单元1101用于从所述处理单元接收所述第二响应消息,发送所述第二响应消息至所述客户端。
优选地,在客户端与服务器之间进行数据通信前,客户端与服务器之间还要安全协商及DTLS连接的建立。由此,本发明实施例还包括:协商及连接建立单元1103,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接。
协商及连接建立单元1103具体用于,接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
相应地,本发明实施例还提供了一种通信装置,图12为本发明实施例提供的通信装置的另一个实施例的示意图。该装置的主体是服务器。如图12所示,本实施例包括以下单元:
接收单元1201,用于接收客户端代理通过非受限网络发送的受限应用协议受限应用消息,所述受限应用消息中携带有安全标识信息。
发送单元1202,用于如果所述安全标识信息的值为有效值,则向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过受限网络发送至客户端。
服务器收到受限应用消息后,首先读取该受限应用消息的内容,并验证其中的安全标识信息的值是否为为有效值,如果为有效值,则说明该受限应用消息携带的数据时可信任的,则向客户端代理发送第一响应消息。
客户端代理接收到第一响应消息后,对第一响应消息进行安全机制的适配处理,以及协议栈的适配处理,得到第二响应消息,并发送至客户端,由此客户端便可确认服务器接收到了自己所发送的受限应用消息。
优选地,本发明实施例还包括:协商及连接建立单元1203,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接。
协商及连接建立单元1203具体用于,接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
协商及连接建立单元1203进行的适配处理具体为:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
本发明实施例还提供给了一种通信装置。图13为本发明实施例提供的通信装置的另一个实施例的示意图。该实施例的主体是客户端。如图13所示,本实施例包括以下单元:
生成单元1301,用于生成受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元。
在客户端要向服务器发送应用数据时,要先构造相应的受限应用消息,并根据安全协商的结果设置消息中安全标识信息的值。
发送单元1302,用于从所述生成单元接收所述受限应用消息,向客户端代理通过受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至服务器。
客户端生受限应用消息后,通过受限网络向客户端代理发送该受限应用消息,在非受限网络中传输受限应用消息时使用受限网络的底层安全机制保证受限应用消息的安全性
本发明实施例还包括:接收单元1303,用于接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述服务器接收到所述适配处理后的受限应用消息发送的响应消息。
优选地,在客户端与服务器之间进行数据通信前,客户端与服务器之间还要安全协商及DTLS连接的建立。由此本发明实施例还包括:协商及连接建立单元1304,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
本发明实施例还提供了一种通信装置。图14为本发明实施例提供的通信装置的另一个实施例的示意图。该实施例的主体是客户端代理。如图14所示,本实施例包括以下单元:
传输单元1401,用于接收服务器通过非受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元。
受限应用消息的选项中包括安全标识信息选项,该安全标识信息用来指示M2M通信的双方或通信网络中的中间功能实体某一段受限网络的底层安全机制是否足够安全。
本实施例中简单地以安全标识信息的值为空表示不满足条件即不满足安全性需求,为有效值表示满足条件即满足安全性要求,安全标识信息的值的内容细节可参照业务适用方的规则指定。
处理单元1402,用于从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息,以及将所述第二受限应用消息传输至所述传输单元。
处理单元1402具体用于:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
传输单元1401用于从所述处理单元接收所述第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端。
优选地,在传输单元1401发送第二受限应用消息至客户端之后,还用于接收所述客户端接收到所述第二受限应用消息后发送的第一响应消息,以及将所述第一响应消息传输至所述处理单元;处理单元1402还用于从所述传输单元接收所述第一响应消息,对所述第一响应消息进行适配处理,得到第二响应消息,以及将所述第二响应消息传输至所述传输单元;传输单元1401还用于从所述处理单元接收所述第二响应消息,发送所述第二响应消息至所述服务器。
优选地,在客户端与服务器之间进行数据通信前,客户端与服务器之间还要安全协商及DTLS连接的建立。由此,本发明实施例还包括:协商及连接建立单元1403,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接。
具体地,协商及连接建立单元1403用于:接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;向所述服务器发送所述第二协商消息;接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
本发明实施例还提供了一种通信装置,图15为本发明实施例提供的通信装置的另一个实施例的示意图。该装置的主体是服务器。如图15所示,本实施例包括以下单元:
生成单元1501,用于生成受限应用协议受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元。
在客户端与服务器之间进行数据通信之前,要通过安全协商操作,确定受限网络的底层安全机制是否能够满足条件,并根据协商的结果设置安全标识信息的值。
在服务器要向客户端发送应用数据时,要先构造相应的受限应用消息,并根据安全协商的结果设置消息中安全标识信息的值。
发送单元1502,用于从所述生成单元接收所述受限应用消息,向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端。
服务器生成受限应用消息后,通过非受限网络向客户端代理发送该受限应用消息,在非受限网络中传输受限应用消息时使用DTLS机制保证受限应用消息的安全性。
客户端代理接收到服务器发送的受限应用消息后,读取其中的安全标识信息的值,为有效值时,则认为该消息在受限网络中传输时使用底层安全机制保证消息安全性。由此,客户端代理将对该受限应用消息进行安全机制的适配处理,以及不同网络间协议栈的适配处理,并将处理得到的受限应用消息发送至客户端。
优选地,本发明实施例还包括:接收单元1503,用于接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述客户端接收到所述适配处理后的受限应用消息发送的响应消息。
优选地,在客户端与服务器之间进行数据通信前,客户端与服务器之间还要安全协商及DTLS连接的建立。由此,本发明实施例还包括:协商及连接建立单元1504,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接。
协商及连接建立单元1504具体用于:接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
协商及连接建立单元1504进行的适配处理具体为:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
相应地,本发明实施例提供了一种装置,图16为本发明实施例提供的通信装置的另一个实施例的示意图。该实施例的主体是客户端。如图16所示,本实施例包括以下单元:
接收单元1601,用于接收客户端代理通过受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息。
发送单元1602,用于向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过非受限网络发送至服务器。
客户端收到受限应用消息后,可向客户端代理发送第一响应消息。
客户端代理接收到第一响应消息后,对第一响应消息进行安全机制的适配处理,以及协议栈的适配处理,得到第二响应消息,并发送至客户端,由此服务器便可确认客户端接收到了自己所发送的受限应用消息。
优选地,在客户端与服务器之间进行数据通信前,客户端与服务器之间还要安全协商及DTLS连接的建立。由此所述装置包括:协商及连接建立单元1603,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
由此,本发明实施例提供的通信装置可避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销。本发明实施例在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
相应地,本发明实施例还提供了一种装置,图17为本发明实施例提供的通信装置的另一个实施例的示意图。该实施例的主体是传输网络中的功能实体。如图17所示,本实施例包括以下单元:
传输单元1701,用于接收受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息,以及将所述受限应用消息传输至获取单元。
在客户端与服务器之间通过传输网络进行业务数据传输时,传输网络中的某个功能实体可能需要对不同的应用进行差异化处理,如应用传输控制策略、优先处理部分应用的数据包等。其中,传输网络中的某个功能实体可以为客户端代理、基站、或服务网关(Serving Gateway,S-GW)、或分组数据网网关(Packet Data Network Gateway,P-GW),也可以为传输网络中能够实现此功能的某个代理。本发明实施例并不对该功能实体具体是哪个实体进行限定。
本发明实施例中所提供的受限应用消息的选项中包括应用标识信息选项,因此在客户端或服务器要发送应用数据时,可以根据业务的类型、数据的优先级等在受限应用消息设置应用标识信息的值,该值一般参照业务使用方与运营商签约信息确定。这样,客户端或服务器在发送数据时,传输网络中的某个功能实体才可以根据该应用标识信息的值确定该应用的使用者是谁,以及该业务数据的优先级是什么等信息。
获取单元1702,用于从所述传输单元接收所述受限应用消息,提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用,以及将所述应用传输至处理单元。
传输网络中的功能实体接收到该受限应用消息后,通过对该消息使用深度包检测技术(Deep Packet Inspection,DPI)或其他技术,可以读取到受限应用消息中的应用标识信息。
传输网络中的功能实体提取到该应用标识信息后,可将该应用标识信息发送至策略决策功能实体,以使得该策略决策功能实体依据签约信息和运营商规则确定提供给该业务数据的决策,如QoS策略,有助于有效调度和分配该传输网络的网络资源。
处理单元1703,用于从所述获取单元接收所述应用,根据所述应用,对所述受限应用消息进行差异化处理。
处理单元1703具体用于:将所述应用标识信息发送至策略决策功能实体,接收所述策略决策功能实体根据所述应用标识信息的值针对所述受限应用消息制定的决策;根据所述决策,对所述受限应用消息进行差异化处理。
根据应用标识信息的值,识别出应用后,依据签约信息和运营商规则确定提供给该业务数据的决策,功能实体可以对该受限应用消息进行策略控制,从而实现针对不同的业务执行差异化的处理。其中,差异化处理可以为:应用不同策略,提供不同的优先级如缓存数据的优先级,当缓存满的时候优先级高的数据进入缓存中,优先级低的数据直接丢弃等。
由此,本发明实施例提供的通信装置避免了传输网络或一些中间传输实体不能对所有应用都进行相同的处理,通过设置M2M业务数据的类型和优先级,可以使得网络中的功能实体对M2M业务数据进行差异化处理。
优选地,所述装置还包括:聚合单元1704,用于将所述应用标识信息的值相同的多个受限应用消息放入所述非受限网络的一个数据报中,通过所述数据报发送至所述通信对端。
如果该受限应用消息为从客户端发送至服务器的消息,由于受限应用消息是小消息,在将消息通过客户端与客户端代理之间的受限网络发送至客户端代理时,该客户端代理可以根据消息中的应用标识信息的值,将应用相同的多个受限应用消息放入所述非受限网络的一个数据报中,通过所述数据报发送至所述通信对端。由此即可实现多个受限应用消息的聚合,增加一个数据报中有效数据部分的比例,提高线路的利用率。
相应地,本发明实施例还提供了一种通信装置。图18为本发明实施例提供的通信装置的另一个实施例的示意图。该实施例的主体是通信端点,如客户端或服务器。如图18所示,本实施例包括以下单元:
生成单元1801,用于生成受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息,以及将所述受限应用消息传输至发送单元。
客户端或服务器要发送应用数据时,可以根据业务的类型、数据的优先级等在受限应用消息设置应用标识信息的值,该值一般参照业务使用方与运营商签约信息确定。这样,客户端或服务器在发送数据时,传输网络中的某个功能实体才可以根据该应用标识信息的值确定该应用的使用者是谁,以及该业务数据的优先级是什么等信息。
发送单元1802,用于从所述生成单元接收所述受限应用消息,通过传输网络发送所述受限应用消息至通信对端。
要发送受限应用消息的通信断点(如客户端或服务器)生成受限应用消息后,通过传输网络发送该受限应用消息至通信对端(如服务器或客户端),用以实现需要的业务功能。受限应用消息进入到传输网络时,网络中的功能实体可以对传输的数据报文使用DPI技术进行检测。
发送单元1802具体用于,发送所述受限应用消息至传输网络中的功能实体,用以所述功能实体根据所述应用标识信息识别所述受限应用消息承载的应用并将所述应用标识信息发送至策略决策功能实体,以及接收所述策略决策功能实体根据所述应用标识信息针对所述受限应用消息对应的业务制定的决策;所述功能实体根据所述决策对所述受限应用消息进行差异化处理,并发送至所述通信对端。
在通信端点将受限应用消息发送至通信对端的过程中,网络中的功能实体读取其中的应用标识信息,并将应用标识信息发送至策略决策功能实体;策略决策功能实体根据该应用标识信息制定决策后将决策发送至功能实体,由此功能实体便可对不同类型的应用进行差异化处理。这样,在缓存空间不足时,可以优先存储某些应用的数据;或者,在使用本发明实施例提供的通信方法的业务数据与没有使用该方法的业务数据在同一网络中传输时,依据签约信息和运营商规则,使用本发明实施例提供的方法的业务数据可以获得更好的QoS保证,从而保证签订合约的应用使用者的实际利益,并未网络运营商带来更多的经济效益。
本发明实施例还提供了一种通信系统。该通信系统植入了上述通信方法,包括上述通信装置。其中,客户端代理接收客户端通过受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息;如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,并且对所述第一受限应用消息进行适配处理,得到第二受限应用消息;通过非受限网络发送所述第二受限应用消息至服务器。或者,接收服务器通过非受限网络发送的第一受限应用协议受限应用消息,所述第一受限应用消息中携带有安全标识信息,如果所述安全标识信息的值为有效值,则对所述第一受限应用消息进行适配处理,得到第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端。从而避免M2M业务数据在某些资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输时,依旧使用DTLS机制而为网络带来的额外开销;而本发明在资源受限制并且底层安全机制已经可以满足CoAP协议的安全需求的网络中进行传输M2M业务数据时,通过使用底层安全机制保证M2M业务数据的安全性,由此降低了受限网络的开销,提高了通信过程的灵活性。
本发明实施例还提供了一种通信系统,该系统植入了上述通信方法,包括上述通信装置。其中,传输网络中的某个功能实体接收受限应用协议受限应用消息,所述受限应用消息中携带有应用标识信息;提取所述应用标识信息,根据所述应用标识信息的值识别所述受限应用消息中承载的应用;根据所述应用,对所述受限应用消息进行差异化处理。从而避免了传输网络或一些中间传输实体不能对所有应用都进行相同的处理,而本发明在传输M2M业务数据时,通过设置M2M业务数据的类型和优先级,可以使得网络中的功能实体对M2M业务数据进行差异化处理。而且如果该受限应用消息为从客户端发送至服务器的消息,由于受限应用消息是小消息,在将消息通过客户端与客户端代理之间的受限网络发送至客户端代理时,该客户端代理可以根据消息中的应用标识信息的值,将应用相同的多个受限应用消息放入所述非受限网络的一个数据报中,通过所述数据报发送至所述通信对端。由此即可实现多个受限应用消息的聚合,增加一个数据报中有效数据部分的比例,提高线路的利用率。由此,本发明实施例提供的通信系统也在本发明的保护范围内。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (46)
1.一种通信方法,其特征在于,所述方法包括:
客户端代理接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,所述受限网络的底层安全机制满足条件;
如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,以表示所述第一受限应用消息的安全性由所述受限网络保证,并且对所述第一受限应用消息进行包括安全机制适配处理的适配处理,得到第二受限应用消息;
通过非受限网络发送所述第二受限应用消息至服务器,所述非受限网络采用DTLS安全机制。
2.根据权利要求1所述的通信方法,其特征在于,所述通过非受限网络发送所述第二受限应用消息至服务器之后,还包括:
接收所述服务器接收到所述第二受限应用消息后发送的第一响应消息;
对所述第一响应消息进行适配处理得到第二响应消息;
发送所述第二响应消息至所述客户端。
3.根据权利要求1所述的通信方法,其特征在于,所述方法还包括:
如果所述安全标识信息的值不为空,则丢弃所述第一受限应用消息,向所述客户端发送丢弃所述第一受限应用消息的通知消息。
4.根据权利要求1所述的通信方法,其特征在于,所述接收客户端通过受限网络发送的第一受限应用消息之前,还包括:
与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第一受限应用消息在所述受限网络中传输的安全性。
5.根据权利要求4所述的通信方法,其特征在于,所述与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的DTLS连接,具体包括:
接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;
设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;
向所述服务器发送所述第二协商消息;
接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
6.根据权利要求1-5任一项所述的通信方法,其特征在于,所述进行适配处理具体包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
7.一种通信方法,其特征在于,所述方法包括:
接收客户端代理通过非受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息,所述非受限网络采用DTLS安全机制;
如果所述安全标识信息的值为有效值,所述有效值表示所述受限应用消息携带的数据是可信任的,则向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行包括安全机制适配处理的适配处理得到第二响应消息并通过受限网络发送至客户端,所述受限网络的底层安全机制满足条件。
8.根据权利要求7所述的通信方法,其特征在于,所述接收客户端代理通过非受限网络发送的受限应用消息之前,还包括:
通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
9.根据权利要求8所述的通信方法,其特征在于,所述通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的DTLS连接,具体包括:
接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;
判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
10.根据权利要求7-9任一项所述的通信方法,其特征在于,所述进行适配处理具体包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
11.一种通信方法,其特征在于,所述方法包括:
接收服务器通过非受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,所述非受限网络采用DTLS安全机制;
如果所述安全标识信息的值为有效值,所述有效值表示所述第一受限应用消息的安全性由所述受限网络保证,则对所述第一受限应用消息进行包括安全机制适配处理的适配处理,得到第二受限应用消息;
通过受限网络发送所述第二受限应用消息至客户端,所述受限网络的底层安全机制满足条件。
12.根据权利要求11所述的通信方法,其特征在于,所述通过受限网络发送所述第二受限应用消息至客户端之后,还包括:
接收所述客户端接收到所述第二受限应用消息后发送的第一响应消息;
对所述第一响应消息进行适配处理,得到第二响应消息;
发送所述第二响应消息至所述服务器。
13.根据权利要求11所述的通信方法,其特征在于,所述接收服务器通过非受限网络发送的第一受限应用消息之前,还包括:
与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第二受限应用消息在所述受限网络中传输的安全性。
14.根据权利要求13所述的通信方法,其特征在于,所述与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的DTLS连接,具体包括:
接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;
设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;
向所述服务器发送所述第二协商消息;
接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
15.根据权利要求11-14任一项所述的通信方法,其特征在于,所述进行适配处理具体包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
16.一种通信方法,其特征在于,所述方法包括:
生成受限应用消息,所述受限应用消息中携带有安全标识信息;
向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行包括安全机制适配处理的适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端,其中,所述非受限网络采用DTLS安全机制,所述受限网络的底层安全机制满足条件,有效值表示所述受限应用消息在所述受限网络传输时使用底层安全机制保证消息安全性。
17.根据权利要求16所述的通信方法,其特征在于,所述向客户端代理通过非受限网络发送所述受限应用消息之后,还包括:接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述客户端接收到所述适配处理后的受限应用消息发送的响应消息。
18.根据权利要求16所述的通信方法,其特征在于,所述向客户端代理通过非受限网络发送所述受限应用消息之前,还包括:
通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述处理后的受限应用消息的安全性。
19.根据权利要求18所述的通信方法,其特征在于,所述通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的DTLS连接,具体包括:
接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;
判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
20.根据权利要求16-19任一项所述的通信方法,其特征在于,所述进行适配处理具体包括:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
21.一种通信装置,其特征在于,所述装置包括:
传输单元,用于接收客户端通过受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元,所述受限网络的底层安全机制满足条件;
处理单元,用于如果从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为空,则设置所述安全标识信息的值为有效值,以表示所述第一受限应用消息的安全性由所述受限网络保证,并且对所述第一受限应用消息进行包括安全机制适配处理的适配处理,得到第二受限应用消息,以及将所述第一受限应用消息传输至所述传输单元;
所述传输单元用于从所述处理单元接收所述第二受限应用消息,通过非受限网络发送所述第二受限应用消息至服务器,所述非受限网络采用DTLS安全机制。
22.根据权利要求21所述的通信装置,其特征在于,所述传输单元还用于接收所述服务器接收到所述第二受限应用消息后发送的第一响应消息,以及将所述第一响应消息传输至所述处理单元;
所述处理单元用于从所述传输单元接收所述第一响应消息,对所述第一响应消息进行适配处理得到第二响应消息,以及将所述第二响应消息传输至所述传输单元;
所述传输单元用于从所述处理单元接收所述第二响应消息,发送所述第二响应消息至所述客户端。
23.根据权利要求21所述的通信装置,其特征在于,所述处理单元还用于:
从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值不为空,则丢弃所述第一受限应用消息,向所述客户端发送丢弃所述第一受限应用消息的通知消息。
24.根据权利要求21所述的通信装置,其特征在于,所述装置还包括:
协商及连接建立单元,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第一受限应用消息在所述受限网络中传输的安全性。
25.根据权利要求24所述的通信装置,其特征在于,所述协商及连接建立单元具体用于:
接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;
设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;
向所述服务器发送所述第二协商消息;
接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
26.根据权利要求21-25任一项所述的通信装置,其特征在于,所述处理单元具体用于:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
27.一种通信装置,其特征在于,所述装置包括:
接收单元,用于接收客户端代理通过非受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息,所述非受限网络采用DTLS安全机制;
发送单元,用于如果所述安全标识信息的值为有效值,所述有效值表示所述受限应用消息携带的数据是可信任的,则向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行包括安全机制适配处理的适配处理得到第二响应消息并通过受限网络发送至客户端,所述受限网络的底层安全机制满足条件。
28.根据权利要求27所述的通信装置,其特征在于,所述装置还包括:
协商及连接建立单元,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
29.根据权利要求28所述的通信装置,其特征在于,所述协商及连接建立单元具体用于:
接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;
判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
30.根据权利要求29所述的通信装置,其特征在于,所述协商及连接建立单元进行的适配处理具体为:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
31.一种通信装置,其特征在于,所述装置包括:
生成单元,用于生成受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元;
发送单元,用于从所述生成单元接收所述受限应用消息,向客户端代理通过受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行适配处理并通过非受限网络将适配处理后的受限应用消息发送至服务器。
32.根据权利要求31所述的通信装置,其特征在于,所述装置还包括:接收单元,用于接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述服务器接收到所述适配处理后的受限应用消息发送的响应消息。
33.根据权利要求31所述的通信装置,其特征在于,所述装置还包括:协商及连接建立单元,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
34.一种通信装置,其特征在于,所述装置包括:
传输单元,用于接收服务器通过非受限网络发送的第一受限应用消息,所述第一受限应用消息中携带有安全标识信息,以及将所述第一受限应用消息传输至处理单元,所述非受限网络采用DTLS安全机制;
处理单元,用于从所述传输单元接收所述第一受限应用消息,如果所述安全标识信息的值为有效值,所述有效值表示所述第一受限应用消息的安全性由所述受限网络保证,则对所述第一受限应用消息进行包括安全机制适配处理的适配处理,得到第二受限应用消息,以及将所述第二受限应用消息传输至所述传输单元;
所述传输单元用于从所述处理单元接收所述第二受限应用消息,通过受限网络发送所述第二受限应用消息至客户端,所述受限网络的底层安全机制满足条件。
35.根据权利要求34所述的通信装置,其特征在于,所述传输单元还用于接收所述客户端接收到所述第二受限应用消息后发送的第一响应消息,以及将所述第一响应消息传输至所述处理单元;
所述处理单元还用于从所述传输单元接收所述第一响应消息,对所述第一响应消息进行适配处理,得到第二响应消息,以及将所述第二响应消息传输至所述传输单元;
所述传输单元还用于从所述处理单元接收所述第二响应消息,发送所述第二响应消息至所述服务器。
36.根据权利要求34所述的通信装置,其特征在于,所述装置还包括:
协商及连接建立单元,用于与所述客户端、所述服务器之间针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述服务器之间的数据报传输层安全DTLS连接,与所述客户端之间使用所述受限网络的底层安全机制保证所述第二受限应用消息在所述受限网络中传输的安全性。
37.根据权利要求36所述的通信装置,其特征在于,所述协商及连接建立单元具体用于:
接收所述客户端发送的第一协商消息,所述第一协商消息中携带有安全标识信息;
设置所述安全标识信息的值为有效值,并且对所述第一协商消息进行适配处理,得到第二协商消息;
向所述服务器发送所述第二协商消息;
接收所述服务器接收到所述第二协商消息后发送的第一协商响应消息,对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
判断所述第一协商响应消息中携带的所述安全标识信息的值是否为所述有效值,如果是,则建立与所述服务器之间的DTLS连接。
38.根据权利要求32-37任一项所述的通信装置,其特征在于,所述处理单元具体用于:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
39.一种通信装置,其特征在于,所述装置包括:
生成单元,用于生成受限应用消息,所述受限应用消息中携带有安全标识信息,以及将所述受限应用消息传输至发送单元;
发送单元,用于从所述生成单元接收所述受限应用消息,向客户端代理通过非受限网络发送所述受限应用消息,以使得所述客户端代理根据所述受限应用消息中的安全标识信息的值对所述受限应用消息进行包括安全机制适配处理的适配处理并通过受限网络将适配处理后的受限应用消息发送至客户端,其中,所述非受限网络采用DTLS安全机制,所述受限网络的底层安全机制满足条件,有效值表示所述受限应用消息在所述受限网络传输时使用底层安全机制保证消息安全性。
40.根据权利要求39所述的通信装置,其特征在于,所述装置还包括:接收单元,用于接收所述客户端代理对第一响应消息进行适配处理后得到的第二响应消息,所述第一响应消息为所述客户端接收到所述适配处理后的受限应用消息发送的响应消息。
41.根据权利要求39所述的通信装置,其特征在于,所述装置还包括:
协商及连接建立单元,用于通过所述客户端代理与所述客户端针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,建立与所述客户端代理之间的数据报传输层安全DTLS连接,所述客户端代理与所述客户端之间使用所述受限网络的底层安全机制保证所述处理后的受限应用消息的安全性。
42.根据权利要求41所述的通信装置,其特征在于,所述协商及连接建立单元具体用于:
接收所述客户端代理发送的协商消息,所述协商消息中携带有安全标识信息;
判断所述安全标识信息的值是否为有效值,如果是,则向所述客户端代理发送第一协商响应消息,用以所述客户端代理对所述第一协商响应消息进行适配处理得到第二协商响应消息并发送至所述客户端;
接收所述客户端代理接收到所述第一协商响应消息后发送的建立所述DTLS连接的握手协商消息,建立与所述客户端代理之间的所述DTLS连接。
43.根据权利要求42所述的通信装置,其特征在于,所述协商及连接建立单元进行的适配处理具体为:进行安全机制的适配处理,以及进行所述受限网络和所述非受限网络之间的协议栈适配处理。
44.一种通信装置,其特征在于,所述装置包括:
接收单元,用于接收客户端代理通过受限网络发送的受限应用消息,所述受限应用消息中携带有安全标识信息;
发送单元,用于向所述客户端代理发送第一响应消息,用以所述客户端代理对所述第一响应消息进行适配处理得到第二响应消息并通过非受限网络发送至服务器。
45.根据权利要求44所述的通信装置,其特征在于,所述装置包括:协商及连接建立单元,用于通过所述客户端代理与所述服务器针对所述受限网络进行安全协商,当判断所述受限网络的底层安全机制满足条件时,不建立与所述服务器之间的DTLS连接,与所述客户端代理之间使用所述受限网络的底层安全机制保证所述受限应用消息的安全性。
46.一种通信系统,其特征在于,所述系统包括如权利要求21-45任一项所述的通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210243009.6A CN103546983B (zh) | 2012-07-13 | 2012-07-13 | 通信方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210243009.6A CN103546983B (zh) | 2012-07-13 | 2012-07-13 | 通信方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103546983A CN103546983A (zh) | 2014-01-29 |
| CN103546983B true CN103546983B (zh) | 2017-10-27 |
Family
ID=49969939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210243009.6A Active CN103546983B (zh) | 2012-07-13 | 2012-07-13 | 通信方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103546983B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110099369B (zh) | 2014-02-24 | 2021-11-19 | 华为技术有限公司 | 一种m2m中信息处理的方法和装置 |
| KR101611944B1 (ko) | 2015-03-13 | 2016-04-12 | 한국전자통신연구원 | 데이터 암호화 기능 선택적 적용 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148863A (zh) * | 2011-01-27 | 2011-08-10 | 华为技术有限公司 | 一种m2m业务消息传递的方法及装置 |
| CN102438015A (zh) * | 2011-12-13 | 2012-05-02 | 清华大学 | 一种物联网节点访问系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103222292B (zh) * | 2010-09-16 | 2016-08-10 | 诺基亚技术有限公司 | 利用安全热点网络的动态帐户创建 |
-
2012
- 2012-07-13 CN CN201210243009.6A patent/CN103546983B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102148863A (zh) * | 2011-01-27 | 2011-08-10 | 华为技术有限公司 | 一种m2m业务消息传递的方法及装置 |
| CN102438015A (zh) * | 2011-12-13 | 2012-05-02 | 清华大学 | 一种物联网节点访问系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103546983A (zh) | 2014-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10966139B2 (en) | Apparatus and method for routing data packet to user equipment in LTE-WLAN aggregation system | |
| JP5270657B2 (ja) | Sae/lteのためのモビリティ管理(mm)およびセッション管理(sm) | |
| FI110651B (fi) | Menetelmä siirretyn datan määrän tarkastamiseksi | |
| CN105230068B (zh) | 数据传输方法及设备 | |
| US20170041818A1 (en) | Method for a configuration error management for a sidelink radio bearer and device therefor | |
| CN100493033C (zh) | 一种穿越网络地址转换的方法 | |
| ZA200506363B (en) | Method for processing security message in a mobile communication system | |
| CN107484224A (zh) | 一种数据传输方法及装置 | |
| JP2007184798A (ja) | 通信システム,及び呼制御サーバ | |
| CN104053191B (zh) | 一种建立邻近通信的方法及设备、系统 | |
| CN103067215A (zh) | 实现心跳机制的方法、应用服务器、网络数据库及系统 | |
| CN112584371A (zh) | 漫游信令消息发送的方法、相关设备和通信系统 | |
| CN113873453B (zh) | 通信方法、装置、系统及介质 | |
| CN107396401A (zh) | 数据发送方法及装置 | |
| CN103491517B (zh) | 一种pcc规则获取方法及设备 | |
| WO2017216510A1 (en) | Providing service data flow description | |
| CN105960782A (zh) | 用于转发数据分组的接入节点设备 | |
| CN104995882B (zh) | 报文处理方法及装置 | |
| CN106470187A (zh) | 防止dos攻击方法、装置和系统 | |
| CN102123071B (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
| CN103546983B (zh) | 通信方法、装置和系统 | |
| KR20200082409A (ko) | 무선 통신 시스템에서 규칙 정보를 전송하는 방법 및 장치. | |
| CN107409047A (zh) | 加密会话的协调分组递送 | |
| Virdis et al. | Cellular-networks simulation using SimuLTE | |
| CN110351721A (zh) | 接入网络切片的方法及装置、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |