CN104038930B - 一种端到中心ip数据分组加密的方法 - Google Patents
一种端到中心ip数据分组加密的方法 Download PDFInfo
- Publication number
- CN104038930B CN104038930B CN201310067368.5A CN201310067368A CN104038930B CN 104038930 B CN104038930 B CN 104038930B CN 201310067368 A CN201310067368 A CN 201310067368A CN 104038930 B CN104038930 B CN 104038930B
- Authority
- CN
- China
- Prior art keywords
- packets
- key
- gateway
- device identifier
- wireless device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种端到中心IP数据分组加密的方法,包括:密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。本发明配置灵活,不需要密钥协商的专用控制信令交互,不会增加网络设备交互负荷。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种端到中心IP数据分组加密的方法。
背景技术
随着移动通信系统的发展,移动通信技术已经进入第三代数字移动通信技术的应用时期,核心网络的技术与架构也在进一步演进和发展,无线网络传输速率和带宽有了大幅度提高,从而为更多的基于IP的应用提供了无线传输通道,相应的高层应用的安全问题也亟需解决。
在有线网络中,针对IP数据分组的安全技术有很多,比如:IPSec,这些技术中的密钥索引都是IP地址。但是在移动通信系统中,加密功能都是在移动终端中实现,所以密钥索引要求使用移动终端的标识信息,这样就要求建立IP地址与移动终端标识的对应关系(记作映射关系表),以便根据IP数据分组中的IP地址查找到移动终端标识,进而索引到对应的密钥。目前建立映射关系表所采用的方法有以下两种:第一:映射关系表作为一个静态数据配置在网络侧加密设备中;第二:网络侧加密设备周期性向其他设备查询映射关系表。这些方法不足之处在于:第一:配置复杂,不灵活;第二:增加了网络设备的交互流程,增加网络设备交互负荷,且不能及时更新映射关系表。
发明内容
为了解决现有技术的将无线终端标识作为密钥索引的IP数据分组加密方法的问题,本发明提出了一种新的IP数据分组加密方法,该方法为:
密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;
无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;
针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。
优选的,上述方法所述的IP地址分配协议可以是DHCP协议、PPPoE协议等。
对于上行IP数据分组,无线终端首先在IP地址分配协议分组中的扩展字段中填写无线终端标识,同时使用本地保存的密钥对需要加密的数据分组进行加密,然后将IP数据分组通过基站发到IP网关密码机;IP网关密码机接收IP数据分组后,获取IP地址分配协议分组中的扩展字段中的无线终端标识,建立或者更新IP地址与无线终端标识的对应关系,同时使用密钥对加密后的数据分组进行解密,这里,IP网关密码机可以根据IP数据分组中的源IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,也可以由来自无线终端的IP数据分组直接获取无线终端标识,进而索引到对应的密钥。
对于下行IP数据分组,IP网关密码机根据需要加密的IP数据分组中的目的IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组进行加密,然后通过基站将IP数据分组发到无线终端;无线终端收到IP数据分组后,使用本地保存的密钥对需要解密的数据分组进行解密。
综上所述,本发明相比于现有技术的优点主要在于:无线终端支持动态IP地址分配协议,配置灵活;IP网关密码机动态建立IP地址与无线终端标识的对应关系,便于及时更新;不需要密钥协商的专用控制信令交互,不会增加网络设备交互负荷。
附图说明
图1是本发明实施例一的实现IP数据分组加密的网络架构图;
图2是本发明实施例一的无线终端针对上行IP数据分组加密的流程图;
图3是本发明实施例二的IP网关密码机针对上行IP数据分组解密的流程图;
图4是本发明实施例三的IP网关密码机针对下行IP数据分组加密的流程图;
图5是本发明实施例四的无线终端针对下行IP数据分组解密的流程图。
具体实施方式
下面结合附图,通过具体实施例对本发明做进一步详细说明。
实施例一:无线终端针对上行IP数据分组的加密
本实施例对应的实现IP数据分组加密的网络架构图如图1所示,各组成部分的功能说明如下:
无线终端:实现宽带多媒体集群系统网络的终端功能模块,集成了IP数据分组加解密功能、DHCP中继代理功能、PPPoE中继代理功能。
基站:实现宽带多媒体集群系统的空中接口功能,包括空中接口物理层、MAC层和网络层功能,并将用户接入到不同的业务服务网络;
IP网关密码机:串联在基站与应用服务器之间,为双网口设备,完成IP数据分组加解密功能、解析DHCP协议包或者PPPoE协议包。规定与基站侧连接的为网口1,与应用服务器连接的为网口2;
DHCP/PPPoE服务器:标准设备,完成IP地址的动态分配。
本实施例假设管理中心分配了密钥K,并且将K分发给终端A,将K和终端A标识ID的对应关系分发给IP网关密码机。
图2为本实施例的无线终端针对上行IP数据分组加密的实现方法流程图,该流程具体如下:
步骤101、终端A接收到高层应用的一个标准以太网包。
步骤102、终端A针对以太网包执行协议过滤策略,如果需要进行加密处理,则转为步骤105;否则,转为步骤103。
所述协议过滤策略是指:判断是否需要进行加密处理,包括分析以太网包包头或者IP包头来识别某些不需要进行加密处理的管理协议。
步骤103、终端A判断是否为IP地址分配的协议分组,本实施例中为DHCP Request或者PPPoE搜索报文,如果是,则转为步骤104;如果不是,则转为步骤107。
步骤104、将终端A的标识ID填写到IP地址分配协议分组中的扩展字段中,本实施例为DHCP中继代理信息选项82处或者PPPoE协议扩展字段中,然后转为步骤107。
步骤105、终端A使用本地保存的密钥对IP分组的净载荷进行加密处理。
步骤106、终端A将加密后的IP分组净载荷重新封装到以太网包中,然后转为步骤107。
步骤107:终端A将以太网包通过空中接口发送到基站侧,基站转发到IP网关密码机。
实施例二:IP网关密码机针对上行IP数据分组的解密
本实施例在实施例一的基础上,描述IP网关密码机针对上行数据分组解密的实现方法,其流程如图3所示,该流程包括:
步骤201、IP网关密码机从网口1接收一个标准以太网包。
步骤202、IP网关密码机针对以太网包执行协议过滤策略,如果需要进行解密处理,则转为步骤203;否则,转为步骤205。
所述协议过滤策略是指:判断是否需要进行解密处理,包括分析以太网包包头或者IP包头来识别某些不需要进行解密处理的管理协议。
步骤203、IP网关密码机根据以太网包中的源IP地址查询对应的无线终端ID,从而索引到对应的解密密钥,然后使用此密钥对IP分组的净载荷进行解密处理。
步骤204、IP网关密码机将解密后的IP分组净载荷重新封装到以太网包中,然后转为步骤207。
步骤205、IP网关密码机判断是否为IP地址分配协议请求分组,比如:DHCPRequest或者PPPoE搜索报文,如果是,则转为步骤206,如果否,则转为步骤207。
步骤206、获取协议报文的IP地址和协议扩展字段中的终端A的标识ID,建立或者更新IP地址与终端A的标识ID的对应关系;
步骤207、IP网关密码机将以太网包通过网口2发出。
实施例三:IP网关密码机针对下行IP数据分组的加密
本实施例在实施例二的基础上,描述IP网关密码机针对下行数据分组加密的实现方法,其流程如图4所示,该流程包括:
步骤301、IP网关密码机从网口2接收到标准以太网包。
步骤302、IP网关密码机针对以太网包执行协议过滤策略,如果需要进行加密处理,则转为步骤303;否则,转为步骤305。
步骤303、IP网关密码机根据目的IP地址查询无线终端ID,从而索引到对应的密钥,然后使用密钥对IP分组的净载荷进行加密处理。
步骤304、IP网关密码机将加密后的IP分组净载荷重新封装到以太网包中。
步骤305、IP网关密码机将以太网包通过网口1发出。
实施例四:无线终端针对下行IP数据分组的解密
本实施例在实施例三的基础上,描述无线终端针对下行数据分组解密的实现方法,其流程如图4所示,该流程包括:
步骤401、终端A接收到空中接口的标准以太网包。
步骤402、终端A针对以太网包执行协议过滤策略,如果需要进行解密处理,则转为步骤403;否则,转为步骤405。
步骤403、终端A使用本地保存的密钥对IP分组的净载荷进行解密处理。
步骤404、终端A将解密后的IP分组净载荷重新封装到以太网包中。
步骤405、终端A将以太网包发送到高层应用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种端到中心IP数据分组加密的方法,其特征在于,该方法包括:
密钥管理中心为无线终端生成密钥,密钥索引使用无线终端标识,密钥管理中心将密钥分发给对应的无线终端,并且将密钥、无线终端标识分发给IP网关密码机;
无线终端支持动态IP地址分配协议,并且启用所述协议中的扩展字段来携带无线终端标识信息,IP网关密码机解析动态IP地址分配协议分组,动态建立IP地址与无线终端标识的对应关系;
针对IP数据分组,IP网关密码机根据IP数据分组中的IP地址查找到无线终端标识,进而根据无线终端标识索引到对应的密钥。
2.根据权利要求1的方法,其特征在于,所述IP地址分配协议为DHCP协议、PPPoE协议。
3.根据权利要求1的方法,其特征在于,无线终端针对上行IP数据分组的加密步骤为:
a,无线终端接收到高层应用的IP数据分组,判断是否需要进行加密处理,如果需要,则进入步骤d,否则,进入步骤b,所述判断是否需要进行加密处理包括:通过分析IP数据分组的包头来识别不需要进行加密处理的管理协议;
b,判断是否为动态IP地址分配协议分组,如果是,则进入步骤c,否则,进入步骤e;
c,将无线终端标识填写到动态IP地址分配协议分组中的扩展字段中,然后进入步骤e;
d,使用本地保存的密钥对IP数据分组的净载荷进行加密处理,并将加密后的IP数据分组净载荷重新封装到IP数据分组中,然后进入步骤e;
e,无线终端将IP数据分组发送到基站,基站再转发到IP网关密码机。
4.根据权利要求3的方法,其特征在于,IP网关密码机针对上行IP数据分组的解密步骤为:
a,IP网关密码机接收IP数据分组,判断是否需要进行解密处理,如果需要,则进入步骤d,否则,进入步骤b,所述判断是否需要进行解密处理包括:通过分析IP数据分组的包头来识别不需要进行解密处理的管理协议;
b,判断是否为动态IP地址分配协议分组,如果是,则进入步骤c,否则,进入步骤e;
c,获取动态IP地址分配协议分组中的扩展字段中的无线终端标识,建立或者更新IP地址与无线终端标识的对应关系,然后进入步骤e;
d,根据IP数据分组中的源IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组的净载荷进行解密处理,并将解密后的IP分组净载荷重新封装到IP数据分组中,然后进入步骤e;
e,IP网关密码机将IP数据分组发送到IP承载网。
5.根据权利要求4的方法,其特征在于,IP网关密码机针对下行IP数据分组的加密步骤为:
a,IP网关密码机接收到IP承载网的IP数据分组,判断是否需要进行加密处理,如果需要,则进入步骤b,否则,进入步骤c,所述判断是否需要进行加密处理包括:通过分析IP数据分组的包头来识别不需要进行加密处理的管理协议;
b,根据IP数据分组中的目的IP地址查询对应的无线终端标识,再根据查询到的无线终端标识索引到对应的密钥,使用此密钥对IP数据分组的净载荷进行加密处理,并将加密后的IP分组净载荷重新封装到IP数据分组中,然后进入步骤c;
c,IP网关密码机将IP数据分组发送到基站,基站再转发到无线终端。
6.根据权利要求5的方法,其特征在于,无线终端针对下行IP数据分组的解密步骤为:
a,无线终端接收到空中接口的IP数据分组,判断是否需要进行解密处理,如果需要,则进入步骤b,否则,进入步骤c,所述判断是否需要进行解密处理包括:通过分析IP数据分组的包头来识别不需要进行解密处理的管理协议;
b,使用本地保存的密钥对IP数据分组的净载荷进行解密处理,并将解密后的IP数据分组净载荷重新封装到IP数据分组中,然后进入步骤c;
c,无线终端将IP数据分组发送到高层应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067368.5A CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310067368.5A CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104038930A CN104038930A (zh) | 2014-09-10 |
| CN104038930B true CN104038930B (zh) | 2017-10-10 |
Family
ID=51469488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310067368.5A Expired - Fee Related CN104038930B (zh) | 2013-03-04 | 2013-03-04 | 一种端到中心ip数据分组加密的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104038930B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450392B (zh) | 2015-12-04 | 2019-01-25 | 四川九洲电器集团有限责任公司 | 一种用于确定密钥对的方法及装置、数据处理方法 |
| CN108900552B (zh) * | 2018-08-16 | 2019-10-15 | 北京海泰方圆科技股份有限公司 | 密钥分发方法和装置、密钥获取方法和装置 |
| CN113541934A (zh) * | 2021-05-18 | 2021-10-22 | 南通京希信息技术有限公司 | 一种加密通信方法及系统、电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
| CN1881869A (zh) * | 2005-11-01 | 2006-12-20 | 华为技术有限公司 | 一种实现加密通信的方法 |
| CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
-
2013
- 2013-03-04 CN CN201310067368.5A patent/CN104038930B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003098868A1 (en) * | 2002-05-17 | 2003-11-27 | Nokia Corporation | Method and system in a digital wireless data communication network for arranging data encryption and corresponding server |
| CN1735008A (zh) * | 2004-08-13 | 2006-02-15 | 华为技术有限公司 | 一种与加密网络互通的方法及加密关口局 |
| CN1956443A (zh) * | 2005-10-24 | 2007-05-02 | 华为技术有限公司 | 一种ngn业务的加密方法 |
| CN1881869A (zh) * | 2005-11-01 | 2006-12-20 | 华为技术有限公司 | 一种实现加密通信的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104038930A (zh) | 2014-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1676409B1 (en) | Network and node for providing a secure transmission of mobile application part messages | |
| US20210112406A1 (en) | Communication method and communications apparatus | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| US10187296B2 (en) | Access node device for forwarding data packets | |
| CN102869007B (zh) | 安全算法协商的方法、装置及网络系统 | |
| MY186807A (en) | Methods and systems for enabling communication with a receiver device in a network | |
| WO2018059313A1 (zh) | 数据传输方法及相关设备 | |
| JP2017538383A (ja) | D2d通信システムにおいてサイドリンク無線ベアラに対する暗号化指示を示す方法及びその装置 | |
| JP2004343448A (ja) | 無線lanアクセス認証システム | |
| CA2545272A1 (en) | Secure, standards-based communications across a wide-area network | |
| CN108353282A (zh) | 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 | |
| WO2013118096A1 (en) | Method, apparatus and computer program for facilitating secure d2d discovery information | |
| CN107484439B (zh) | 一种数据报文处理方法及设备 | |
| EP4114127A1 (en) | Method, apparatus and system for configuring radio bearer | |
| IL271911B2 (en) | A method for transmitting information about end units and related products | |
| CN104038930B (zh) | 一种端到中心ip数据分组加密的方法 | |
| CN102149133B (zh) | 一种移动通信网络业务接入系统及方法 | |
| JP5087779B2 (ja) | 通信モジュール、プログラム、および通信端末 | |
| Lai et al. | Achieving secure and seamless IP Communications for group-oriented software defined vehicular networks | |
| WO2015144196A1 (en) | Solution for critical communication security based on mbms security | |
| EP3220584A1 (en) | Wifi sharing method and system, home gateway and wireless local area network gateway | |
| CN101834722B (zh) | 一种加密设备和非加密设备混合组网的通信方法 | |
| CN104066204B (zh) | 双模基站下的数据回传系统 | |
| CN108243082B (zh) | 一种数据传输方法及设备 | |
| CN114302503B (zh) | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20191121 Granted publication date: 20171010 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20200710 Granted publication date: 20171010 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171010 Termination date: 20200304 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |