CN104038930A - 一种端到中心ip数据分组加密的方法 - Google Patents
一种端到中心ip数据分组加密的方法 Download PDFInfo
- Publication number
- CN104038930A CN104038930A CN201310067368.5A CN201310067368A CN104038930A CN 104038930 A CN104038930 A CN 104038930A CN 201310067368 A CN201310067368 A CN 201310067368A CN 104038930 A CN104038930 A CN 104038930A
- Authority
- CN
- China
- Prior art keywords
- packet
- wireless terminal
- gateway
- cipher machine
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种端到中心IP数据分组加密的方法,包括:密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。本发明配置灵活,不需要密钥协商的专用控制信令交互,不会增加网络设备交互负荷。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种端到中心IP数据分组加密的方法。
背景技术
随着移动通信系统的发展,移动通信技术已经进入第三代数字移动通信技术的应用时期,核心网络的技术与架构也在进一步演进和发展,无线网络传输速率和带宽有了大幅度提高,从而为更多的基于IP的应用提供了无线传输通道,相应的高层应用的安全问题也亟需解决。
在有线网络中,针对IP数据分组的安全技术有很多,比如:IPSec,这些技术中的密钥索引都是IP地址。但是在移动通信系统中,加密功能都是在移动终端中实现,所以密钥索引要求使用移动终端的标识信息,这样就要求建立IP地址与移动终端标识的对应关系(记作映射关系表),以便根据IP数据分组中的IP地址查找到移动终端标识,进而索引到对应的密钥。目前建立映射关系表所采用的方法有以下两种:第一:映射关系表作为一个静态数据配置在网络侧加密设备中;第二:网络侧加密设备周期性向其他设备查询映射关系表。这些方法不足之处在于:第一:配置复杂,不灵活;第二:增加了网络设备的交互流程,增加网络设备交互负荷,且不能及时更新映射关系表。
发明内容
为了解决现有技术的将无线终端标识作为密钥索引的IP数据分组加密方法的问题,本发明提出了一种新的IP数据分组加密方法,该方法为:
密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;
无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;
针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。
优选的,上述方法所述的IP地址分配协议可以是DHCP协议、PPPoE协议等。
对于上行IP数据分组,无线终端首先在IP地址分配协议分组中的扩展字段中填写无线终端标识,同时使用本地保存的密钥对需要加密的数据分组进行加密,然后将IP数据分组通过基站发到IP网关密码机;IP网关密码机接收IP数据分组后,获取IP地址分配协议分组中的扩展字段中的无线终端标识,建立或者更新IP地址与无线终端标识的对应关系,同时使用密钥对加密后的数据分组进行解密,这里,IP网关密码机可以根据IP数据分组中的源IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,也可以由来自无线终端的IP数据分组直接获取无线终端标识,进而索引到对应的密钥。
对于下行IP数据分组,IP网关密码机根据需要加密的IP数据分组中的目的IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组进行加密,然后通过基站将IP数据分组发到无线终端;无线终端收到IP数据分组后,使用本地保存的密钥对需要解密的数据分组进行解密。
综上所述,本发明相比于现有技术的优点主要在于:无线终端支持动态IP地址分配协议,配置灵活;IP网关密码机动态建立IP地址与无线终端标识的对应关系,便于及时更新;不需要密钥协商的专用控制信令交互,不会增加网络设备交互负荷。
附图说明
图1是本发明实施例一的实现IP数据分组加密的网络架构图;
图2是本发明实施例一的无线终端针对上行IP数据分组加密的流程图;
图3是本发明实施例二的IP网关密码机针对上行IP数据分组解密的流程图;
图4是本发明实施例三的IP网关密码机针对下行IP数据分组加密的流程图;
图5是本发明实施例四的无线终端针对下行IP数据分组解密的流程图。
具体实施方式
下面结合附图,通过具体实施例对本发明做进一步详细说明。
实施例一:无线终端针对上行IP数据分组的加密
本实施例对应的实现IP数据分组加密的网络架构图如图1所示,各组成部分的功能说明如下:
无线终端:实现宽带多媒体集群系统网络的终端功能模块,集成了IP数据分组加解密功能、DHCP中继代理功能、PPPoE中继代理功能。
基站:实现宽带多媒体集群系统的空中接口功能,包括空中接口物理层、MAC层和网络层功能,并将用户接入到不同的业务服务网络;
IP网关密码机:串联在基站与应用服务器之间,为双网口设备,完成IP数据分组加解密功能、解析DHCP协议包或者PPPoE协议包。规定与基站侧连接的为网口1,与应用服务器连接的为网口2;
DHCP/PPPoE服务器:标准设备,完成IP地址的动态分配。
本实施例假设管理中心分配了密钥K,并且将K分发给终端A,将K和终端A标识ID的对应关系分发给IP网关密码机。
图2为本实施例的无线终端针对上行IP数据分组加密的实现方法流程图,该流程具体如下:
步骤101、终端A接收到高层应用的一个标准以太网包。
步骤102、终端A针对以太网包执行协议过滤策略,如果需要进行加密处理,则转为步骤105;否则,转为步骤103。
所述协议过滤策略是指:判断是否需要进行加密处理,包括分析以太网包包头或者IP包头来识别某些不需要进行加密处理的管理协议。
步骤103、终端A判断是否为IP地址分配的协议分组,本实施例中为DHCP Request或者PPPoE搜索报文,如果是,则转为步骤104;如果不是,则转为步骤107。
步骤104、将终端A的标识ID填写到IP地址分配协议分组中的扩展字段中,本实施例为DHCP中继代理信息选项82处或者PPPoE协议扩展字段中,然后转为步骤107。
步骤105、终端A使用本地保存的密钥对IP分组的净载荷进行加密处理。
步骤106、终端A将加密后的IP分组净载荷重新封装到以太网包中,然后转为步骤107。
步骤107:终端A将以太网包通过空中接口发送到基站侧,基站转发到IP网关密码机。
实施例二:IP网关密码机针对上行IP数据分组的解密
本实施例在实施例一的基础上,描述IP网关密码机针对上行数据分组解密的实现方法,其流程如图3所示,该流程包括:
步骤201、IP网关密码机从网口1接收一个标准以太网包。
步骤202、IP网关密码机针对以太网包执行协议过滤策略,如果需要进行解密处理,则转为步骤203;否则,转为步骤205。
所述协议过滤策略是指:判断是否需要进行解密处理,包括分析以太网包包头或者IP包头来识别某些不需要进行解密处理的管理协议。
步骤203、IP网关密码机根据以太网包中的源IP地址查询对应的无线终端ID,从而索引到对应的解密密钥,然后使用此密钥对IP分组的净载荷进行解密处理。
步骤204、IP网关密码机将解密后的IP分组净载荷重新封装到以太网包中,然后转为步骤207。
步骤205、IP网关密码机判断是否为IP地址分配协议请求分组,比如:DHCP Request或者PPPoE搜索报文,如果是,则转为步骤206,如果否,则转为步骤207。
步骤206、获取协议报文的IP地址和协议扩展字段中的终端A的标识ID,建立或者更新IP地址与终端A的标识ID的对应关系;
步骤207、IP网关密码机将以太网包通过网口2发出。
实施例三:IP网关密码机针对下行IP数据分组的加密
本实施例在实施例二的基础上,描述IP网关密码机针对下行数据分组加密的实现方法,其流程如图4所示,该流程包括:
步骤301、IP网关密码机从网口2接收到标准以太网包。
步骤302、IP网关密码机针对以太网包执行协议过滤策略,如果需要进行加密处理,则转为步骤303;否则,转为步骤305。
步骤303、IP网关密码机根据目的IP地址查询无线终端ID,从而索引到对应的密钥,然后使用密钥对IP分组的净载荷进行加密处理。
步骤304、IP网关密码机将加密后的IP分组净载荷重新封装到以太网包中。
步骤305、IP网关密码机将以太网包通过网口1发出。
实施例四:无线终端针对下行IP数据分组的解密
本实施例在实施例三的基础上,描述无线终端针对下行数据分组解密的实现方法,其流程如图4所示,该流程包括:
步骤401、终端A接收到空中接口的标准以太网包。
步骤402、终端A针对以太网包执行协议过滤策略,如果需要进行解密处理,则转为步骤403;否则,转为步骤405。
步骤403、终端A使用本地保存的密钥对IP分组的净载荷进行解密处理。
步骤404、终端A将解密后的IP分组净载荷重新封装到以太网包中。
步骤405、终端A将以太网包发送到高层应用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种端到中心IP数据分组加密的方法,其特征在于,该方法包括:
密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;
无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;
针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。
2.根据权利要求1的方法,其特征在于,所述IP地址分配协议为DHCP协议、PPPoE协议。
3.根据权利要求1的方法,其特征在于,无线终端针对上行IP数据分组的加密步骤为:
a,无线终端接收到高层应用的IP数据分组,判断是否需要进行加密处理,如果需要,则进入步骤d,否则,进入步骤b,所述判断是否需要进行加密处理包括:通过分析IP数据分组的包头来识别不需要进行加密处理的管理协议;
b,判断是否为IP地址分配协议分组,如果是,则进入步骤c,否则,进入步骤e;
c,将无线终端标识填写到IP地址分配协议分组中的扩展字段中,然后进入步骤e;
d,使用本地保存的密钥对IP数据分组的净载荷进行加密处理,并将加密后的IP数据分组净载荷重新封装到IP数据分组中,然后进入步骤e;
e,无线终端将IP数据分组发送到基站,基站再转发到IP网关密码机。
4.根据权利要求3的方法,其特征在于,IP网关密码机针对上行IP数据分组的解密步骤为:
a,IP网关密码机接收IP数据分组,判断是否需要进行解密处理,如果需要,则进入步骤d,否则,进入步骤b,所述判断是否需要进行解密处理包括:通过分析IP数据分组的包头来识别不需要进行解密处理的管理协议;
b,判断是否为IP地址分配协议分组,如果是,则进入步骤c,否则,进入步骤e;
c,获取IP地址分配协议分组中的扩展字段中的无线终端标识,建立或者更新IP地址与无线终端标识的对应关系,然后进入步骤e;
d,根据IP数据分组中的源IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组的净载荷进行解密处理,并将解密后的IP分组净载荷重新封装到IP数据分组中,然后进入步骤e;
e,IP网关密码机将IP数据分组发送到IP承载网。
5.根据权利要求4的方法,其特征在于,IP网关密码机针对下行IP数据分组的加密步骤为:
a,IP网关密码机接收到IP承载网的IP数据分组,判断是否需要进行加密处理,如果需要,则进入步骤b,否则,进入步骤c,所述判断是否需要进行加密处理包括:通过分析IP数据分组的包头来识别不需要进行加密处理的管理协议;
b,根据IP数据分组中的目的IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组的净载荷进行加密处理,并将加密后的IP分组净载荷重新封装到IP数据分组中,然后进入步骤c;
c,IP网关密码机将IP数据分组发送到基站,基站再转发到无线终端。
6.根据权利要求5的方法,其特征在于,无线终端针对下行IP数据分组的解密步骤为:
a,无线终端接收到空中接口的IP数据分组,判断是否需要进行解密处理,如果需要,则进入步骤b,否则,进入步骤c,所述判断是否需要进行解密处理包括:通过分析IP数据分组的包头来识别不需要进行解密处理的管理协议;
b,使用本地保存的密钥对IP数据分组的净载荷进行解密处理,并将解密后的IP数据分组净载荷重新封装到IP数据分组中,然后进入步骤c;
c,无线终端将IP数据分组发送到高层应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067368.5A CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067368.5A CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104038930A true CN104038930A (zh) | 2014-09-10 |
| CN104038930B CN104038930B (zh) | 2017-10-10 |
Family
ID=51469488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310067368.5A Expired - Fee Related CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104038930B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017092092A1 (zh) * | 2015-12-04 | 2017-06-08 | 四川九洲电器集团有限责任公司 | 一种端加密传输的密钥管理的方法及装置 |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN113541934A (zh) * | 2021-05-18 | 2021-10-22 | 南通京希信息技术有限公司 | 一种加密通信方法及系统、电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
| CN1881869A (zh) * | 2005-11-01 | 2006-12-20 | 华为技术有限公司 | 一种实现加密通信的方法 |
| CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
-
2013
- 2013-03-04 CN CN201310067368.5A patent/CN104038930B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
| CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
| CN1881869A (zh) * | 2005-11-01 | 2006-12-20 | 华为技术有限公司 | 一种实现加密通信的方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017092092A1 (zh) * | 2015-12-04 | 2017-06-08 | 四川九洲电器集团有限责任公司 | 一种端加密传输的密钥管理的方法及装置 |
| US10601586B2 (en) | 2015-12-04 | 2020-03-24 | Sichuan Jiuzhou Electric Group Co., Ltd | Method and apparatus for key management of end encrypted transmission |
| CN108900552A (zh) * | 2018-08-16 | 2018-11-27 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN108900552B (zh) * | 2018-08-16 | 2019-10-15 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN113541934A (zh) * | 2021-05-18 | 2021-10-22 | 南通京希信息技术有限公司 | 一种加密通信方法及系统、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104038930B (zh) | 2017-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104703176B (zh) | 无线网络的配置方法、智能终端和无线网络设备 | |
| CN109995513B (zh) | 一种低延迟的量子密钥移动服务方法 | |
| CN104871579B (zh) | 移动通信系统中群组通信安全管理的方法和装置 | |
| TWI559804B (zh) | Wireless devices and wireless base station devices | |
| MY186807A (en) | Methods and systems for enabling communication with a receiver device in a network | |
| CN106797335B (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| JP2021532627A (ja) | 通信方法および通信装置 | |
| CN103905180A (zh) | 经典应用接入量子通信网络的方法 | |
| CN107147666A (zh) | 在物联网终端和云数据平台之间数据加解密的方法 | |
| CN112492622B (zh) | 一种数据报文处理方法及设备 | |
| CN103476150A (zh) | 一体化基站 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| WO2019047611A1 (zh) | 一种数据传输方法、pnf sdn控制器、vnf sdn控制器及系统 | |
| EP3041277A1 (en) | Frame transfer method, related apparatus, and communications system | |
| WO2014107902A1 (zh) | 用户设备的注册方法、近距离业务服务器和移动管理实体 | |
| CN104038930A (zh) | 一种端到中心ip数据分组加密的方法 | |
| CN109362077A (zh) | 一种移动智能终端分组数据加密传输方法及装置 | |
| CN105592030A (zh) | Ip报文处理方法及装置 | |
| CN104022935A (zh) | 一种基于业务属性的移动通信网络隔离的方法 | |
| CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 | |
| CN102742247A (zh) | 一种数据分路传输方法及装置、系统 | |
| CN104066204B (zh) | 双模基站下的数据回传系统 | |
| CN206004692U (zh) | 一种加密工业以太网交换机 | |
| CN106060801B (zh) | 基于Wi-Fi设备的数据通信方法、设备及系统 | |
| CN104509046B (zh) | 一种数据通信方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20191121 Granted publication date: 20171010 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20200710 Granted publication date: 20171010 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171010 Termination date: 20200304 |