CN105393567B - 数据的安全传输方法和设备 - Google Patents
数据的安全传输方法和设备 Download PDFInfo
- Publication number
- CN105393567B CN105393567B CN201480017033.5A CN201480017033A CN105393567B CN 105393567 B CN105393567 B CN 105393567B CN 201480017033 A CN201480017033 A CN 201480017033A CN 105393567 B CN105393567 B CN 105393567B
- Authority
- CN
- China
- Prior art keywords
- server
- data packet
- sdt
- iwf
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 212
- 230000005540 biological transmission Effects 0.000 title claims abstract description 159
- 238000012545 processing Methods 0.000 claims description 186
- 238000013475 authorization Methods 0.000 claims description 117
- 238000012795 verification Methods 0.000 claims description 101
- 230000008569 process Effects 0.000 claims description 30
- 238000012790 confirmation Methods 0.000 claims description 28
- 230000002452 interceptive effect Effects 0.000 claims description 4
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 46
- 230000007246 mechanism Effects 0.000 description 25
- 230000000694 effects Effects 0.000 description 19
- 230000003993 interaction Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 14
- 230000011664 signaling Effects 0.000 description 8
- 230000005611 electricity Effects 0.000 description 1
- -1 electricity Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种数据的安全传输方法和设备,该方法包括:用户设备UE接收服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,第一数据包携带服务器的ID或IWF的ID;UE根据第一数据包中的服务器的ID或IWF的ID,获得服务器的公钥和/或SDT安全上下文,其中,UE签约的服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在UE上,且通过服务器的ID或IWF的ID来标识;UE根据服务器的公钥和UE的私钥,或者SDT安全上下文,或者服务器的公钥和SDT安全上下文,对第一数据包进行验证和解密处理,得到解密后的第一数据包,以保护UE和IWF之间或者UE和服务器之间的数据的安全。
Description
技术领域
本发明实施例涉及信息技术领域,尤其涉及一种数据的安全传输方法和设备。
背景技术
随着智能终端和机器到机器通信(Machine To Machine,简称M2M)的广泛应用,小数据包的传输越来越多,用户设备(User Equipment,简称UE)和应用服务器(ApplicationServer,简称AS)之间可能需要不时地进行数据交互,例如:智能终端所支持的邮件、微软网络服务(Microsoft Service Network,简称MSN)、虚拟专用网络(Virtual PrivateNetwork,简称VPN)等业务,现有技术中为了更好地控制管理M2M通信的安全,在机器类通信(Machine Type Communications,简称MTC)设备及MTC相关业务过程中,引入了一个服务于MTC的网络实体(MTC-Inter Working Function,简称MTC-IWF)。现有安全机制中,UE在连接状态时,若有小数据需要传输时,UE通过控制面非接入层(Non Access Stratum,简称NAS)消息将小数据包传递给网络,在UE初始附着到网络时,会与网络侧进行相互认证和密钥协商(Authentication and Key Agreement,简称AKA)过程,建立好UE和移动性管理实体(Mobility Management Entity,简称MME)之间的NAS安全,和UE和演进型基站(evolvedNode B,简称eNB)之间的AS安全。当UE从连接状态转换为空闲状态时,UE与MME之间只有NAS安全上下文或者甚至没有同步的安全上下文,因此,现有NAS安全至多只能保证UE和MME之间的安全。
现有技术中,LTE网络中没有MTC-IWF实体来控制管理MTC设备及开展MTC相关业务,MME和IWF之间也没有T5接口,另外,IWF作为直接控制管理UE和MTC业务的实体,两者之间可能会交互一些重要的信令和用户数据,如果UE没有能够和IWF之间进行认证和密钥协商,从安全角度考虑,现有技术无法保证UE与服务器或IWF之间的端到端安全,导致系统安全性低。
发明内容
本发明实施例提供一种数据的安全传输方法和设备,解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
本发明实施例第一方面提供一种数据的安全传输方法,包括:
用户设备UE接收所述服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;
所述UE根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥和/或所述SDT安全上下文,其中,所述UE签约的服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;
所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
结合第一方面,在第一方面的第一种可能的实施方式中,还包括:所述UE与归属用户服务器HSS协商生成所述SDT安全上下文,具体步骤包括:
接收所述HSS发送的密钥生成参数;
根据所述密钥生成参数,生成所述SDT密钥;
在非接入安全模式命令NAS SMC过程中协商所述SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为所述SDT安全保护算法。
结合第一方面或第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
所述UE若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
结合第一方面的第一种可能的实施方式,在第一方面的第三种可能的实施方式中,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
结合第一方面的第一种可能的实施方式,在第一方面的第四种可能的实施方式中,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
结合第一方面的第三种或第四种可能的实施方式,在第一方面的第五种可能的实施方式中,还包括:
所述UE从所述HSS接收的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数包括接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本发明实施例第二方面提供一种数据的安全传输方法,包括:
服务器根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
所述服务器将加密后的所述第一数据包通过互通设备IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
本发明实施例第三方面提供一种数据的安全传输方法,
包括:
互通设备IWF接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;
所述IWF根据所述服务器的公钥对所述签名进行验证,或根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;
其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
结合第三方面,在第三方面的第一种可能的实施方式中,预先从归属用户服务器HSS获取SDT安全上下文,包括:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
结合第三方面或第三方面的第一种可能的实施方式,在第三方面的第二种可能的实施方式中,所述IWF根据所述服务器的公钥对所述签名进行验证,或根据所述SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE,包括:
所述IWF根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若验证所述第一数据包签名有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述IWF根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述IWF根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述第一数据包MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;并将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理,并将所述处理后的第一数据包通过所述MME发送给所述UE。
结合第三方面的第二种可能的实施方式,在第三方面的第三种可能的实施方式中,所述方法还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述IWF将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
本发明实施例第四方面提供一种数据的安全传输方法,包括:
移动性管理实体MME接收互通设备IWF发送的第一数据包,所述第一数据包包括:用户设备UE的ID、服务器的ID和签名;
所述MME根据所述服务器的公钥,对所述签名进行验证;其中,所述服务器的公钥存储在所述MME上;
所述MME在验证签名有效后,将所述第一数据包发送给所述UE的ID对应的所述UE。
移动性管理实体MME预先配置每个用户设备UE对应的UE的公钥和与所述UE签约的服务器的公钥;
所述MME接收互通设备IWF发送的第一数据包,所述第一数据包包括:所述UE的ID、所述服务器的ID和签名;
所述MME根据所述服务器的ID获取所述服务器的公钥,对所述签名进行验证;
所述MME在验证签名有效后,将所述第一数据包发送给所述UE的ID对应的所述UE。
本发明实施例第五方面提供一种数据的安全传输方法,包括:
归属用户服务器HSS接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;
所述HSS根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;
所述HSS将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
结合第五方面,在第五方面的第一种可能的实施方式中,还包括:
所述HSS接收所述IWF发送的第一数据包;
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
结合第五方面的第一种可能的实施方式,在第五方面的第二种可能的实施方式中,还包括:
在所述HSS将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述HSS将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
结合第五方面、第五方面的第一种和第二种可能的实施方式中的任一种,在第三方面的第三种可能的实施方式中,还包括:
所述HSS发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述HSS判断所述UE具有小数据业务的特性之后,所述HSS生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本发明实施例第六方面提供一种数据的安全传输方法,包括:
用户设备UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上。
结合第六方面,在第六方面的第一种可能的实施方式中,还包括:与归属用户服务器HSS协商生成所述SDT安全上下文,具体步骤包括:
所述UE接收所述HSS发送的密钥生成参数;
所述UE根据所述密钥生成参数,生成SDT密钥;
所述UE在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
结合第六方面或第六方面的第一种可能的实施方式,在第六方面的第二种可能的实施方式中,所述UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器,包括:
所述UE根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对第二数据包进行加密处理;
所述UE将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
结合第六方面的第一种可能的实施方式,在第六方面的第三种可能的实施方式中,UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器,包括:
所述UE根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述UE将携带MAC-I的所述处理后的第二数据包发送给IWF或者服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
结合第六方面的第三种可能的实施方式,在第六方面的第四种可能的实施方式中,所述密钥生成参数包括:
所述UE接收的所述HSS发送的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本发明实施例第七方面提供一种数据的安全传输方法,包括:
服务器接收互通设备IWF发送的处理后的第二数据包;
根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;
其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
本发明实施例第八方面提供一种数据的安全传输方法,包括:
互通设备IWF接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;
所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给所述服务器;
其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
结合第八方面,在第八方面的第一种可能的实施方式中,预先从归属用户服务器HSS获取SDT安全上下文,包括:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
结合第八方面的第一种可能的实施方式,在第八方面的第二种可能的实施方式中,所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给所述服务器,包括:
所述IWF根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
若验证所述处理后的第二数据包签名有效,则将所述处理后的第二数据包发送给服务器;
或者,
所述IWF根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
若验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
结合第八方面的第二种可能的实施方式,在第八方面的第三种可能的实施方式中,所述将所述第二数据包发送给所述服务器之前,所述方法还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述IWF将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
本发明实施例第九方面提供一种数据的安全传输方法,包括:
移动性管理实体MME接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、所述服务器的ID和签名;
所述MME根据所述UE的公钥对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;
所述MME在验证所述签名有效后,将所述第二数据包发送给互通设备IWF。
结合第九方面,在第九方面的第一种可能的实施方式中,所述将所述第二数据包发送给互通设备IWF,包括:
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器。
本发明实施例第十方面提供一种UE,包括:
收发模块,用于接收所述服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;
处理模块,用于根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥和/或所述SDT安全上下文,其中,所述UE签约的服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;
所述处理模块还用于根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
结合第十方面,在第十方面的第一种可能的实施方式中,所述收发模块还用于接收所述HSS发送的密钥生成参数;
所述处理模块还用于根据所述密钥生成参数,生成SDT密钥;
所述处理模块还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
结合第十方面或第十方面的第一种可能的实施方式,在第十方面的第二种可能的实施方式中,所述处理模块具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
结合第十方面的第一种可能的实施方式,在第十方面的第三种可能的实施方式中,所述处理模块具体用于:
根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
结合第十方面的第一种可能的实施方式,在第十方面的第四种可能的实施方式中,所述处理模块具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
结合第十方面的第三种或第四种可能的实施方式,在第十方面的第五种可能的实施方式中,还包括:
所述收发模块还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项。
本发明实施例第十一方面提供一种服务器,包括:
处理模块,用于根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
收发模块,用于将加密后的第一数据包通过所述IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
本发明实施例第十二方面提供一种互通设备IWF,包括:
收发模块,用于接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;
处理模块,用于根据所述服务器的公钥对所述签名进行验证,或用于根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述处理模块还用于根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;
其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
结合第十二方面,在第十二方面的第一种可能的实施方式中,所述收发模块还用于:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
结合第十二方面或第十二方面的第一种可能的实施方式,在第十二方面的第二种可能的实施方式中,还包括:
所述处理模块用于根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若所述处理模块验证所述第一数据包签名有效,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述处理模块用于根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
所述收发模块还用于若所述处理模块验证所述第一数据包签名有效,将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述处理模块用于根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若所述处理模块验证所述第一数据包MAC-I有效,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块还用于根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;
所述收发模块还用于将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块还用于根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取对应的所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理;
所述收发模块还用于将所述处理后的第一数据包通过所述MME发送给所述UE。
结合第十二方面的第二种可能的实施方式,在第十二方面的第三种可能的实施方式中,还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理模块还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述收发模块将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使IWF将所述第一数据包通过所述MME发送给所述UE。
本发明实施例第十三方面提供一种移动性管理实体MME,包括:
收发模块,用于接收互通设备IWF发送的第一数据包,所述第一数据包包括:用户设备UE的ID、服务器的ID和签名;
处理模块,用于根据所述服务器的公钥,对所述签名进行验证;其中,所述服务器的公钥存储在所述MME上;
所述收发模块在所述处理模块验证签名有效后,将所述第一数据包发送给所述UE。
本发明实施例第十四方面提供一种归属用户服务器HSS,包括:
收发模块,用于接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;
处理模块,用于根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;
所述收发模块还用于将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
结合第十四方面,在第十四方面的第一种可能的实施方式中,所述收发模块还用于接收所述IWF发送的第一数据包;
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述处理模块根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
结合第十四方面的第一种可能的实施方式,在第十四方面的第二种可能的实施方式中,还包括:
在所述收发模块将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述收发模块还用于将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
结合第十四方面和第十四方面的第一种可能的实施方式中的任一种,在第十四方面的第三种可能的实施方式中,所述收发模块发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述处理模块判断所述UE具有小数据业务的特性之后,生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数。
本发明实施例第十五方面提供一种用户设备UE,包括:
处理模块,用于根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上;
收发模块,用于将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器。
结合第十五方面,在第十五方面的第一种可能的实施方式中,所述收发模块还用于接收所述HSS发送的密钥生成参数;所述处理模块还用于根据所述密钥生成参数,生成SDT密钥;所述处理模块还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
结合第十五方面或第十五方面的第一种可能的实施方式,在第十五方面的第二种可能的实施方式中,所述处理模块具体用于根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对所述第二数据包进行加密处理;
所述收发模块还用于将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理。
结合第十五方面的第一种可能的实施方式,在第十五方面的第三种可能的实施方式中,所述处理模块还用于根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述收发模块还用于将携带MAC-I的所述处理后的第二数据包发送给服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密。
结合第十五方面的第三种可能的实施方式中的任一种,在第十五方面的第四种可能的实施方式中,所述收发模块还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项。
本发明实施例第十六方面提供一种服务器,包括:
收发模块,用于接收互通设备IWF发送的处理后的第二数据包;
处理模块,用于根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;
其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
本发明实施例第十七方面提供一种互通设备IWF,包括:
收发模块,用于接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;
处理模块,用于根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的;
所述收发模块还用于在验证通过后,将所述处理后的第二数据包发送给所述服务器。
结合第十七方面,在第十七方面的第一种可能的实施方式中,所述收发模块还用于:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
结合第十七方面的第一种可能的实施方式,在第十七方面的第二种可能的实施方式中,包括:
所述处理模块还用于根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
所述收发模块还用于在所述处理模块验证所述处理后的第二数据包的所述签名有效时,将所述第二数据包发送给服务器;
或者,
所述处理模块用于根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
所述收发模块还用于若所述处理模块验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
结合第十七方面的第二种可能的实施方式,在第十二方面的第三种可能的实施方式中,若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理模块根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述收发模块将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
本发明实施例第八方面提供一种移动性管理实体MME,包括:
收发模块,用于接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、服务器的ID和签名;
处理模块,用于根据所述UE的公钥,对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;
所述收发模块还用于在验证所述签名有效后,将所述第二数据包发送给互通设备IWF。
结合第十八方面,在第十八方面的第一种可能的实施方式中,若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述处理模块还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器。
本实施例提供的数据的安全传输方法和设备,通过UE和与签约的服务器的公钥或者私钥,或者UE与HSS协商的SDT安全上下文,对服务器向UE发送的下行或者UE向服务器上行发送的数据包进行加密解密或者安全性保护,完成小数据的传输,解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明数据的安全传输方法实施例一的流程图;
图2为本发明数据的安全传输方法实施例五的流程图;
图3为本发明数据的安全传输方法实施例六的流程图;
图4为本发明数据的安全传输方法实施例九的流程图;
图5为本发明数据的安全传输方法实施例十的流程图;
图6为本发明数据的安全传输方法实施例十二的流程图;
图7为本发明数据的安全传输方法实施例十四的流程图;
图8为本发明数据的安全传输方法实施例十五的流程图;
图9为本发明数据的安全传输方法实施例十七的流程图;
图10为基于PKI系统使用公钥私钥保护服务器到UE的下行数据包传输交互图;
图11为基于PKI系统使用公钥私钥保护UE到服务器的上行数据包传输交互图;
图12为UE和IWF协商SDT安全上下文的交互图;
图13为基于SDT安全上下文保护服务器到UE的下行数据包传输交互图;
图14为基于SDT安全上下文保护UE到服务器的上行数据包传输交互图;
图15为本发明UE的一实施例的结构示意图;
图16为本发明服务器的一实施例的结构示意图;
图17为本发明IWF的一实施例的结构示意图;
图18为本发明MME的一实施例的结构示意图;
图19为本发明HSS的一实施例的结构示意图;
图20为本发明UE的又一实施例的结构示意图;
图21为本发明服务器的又一实施例的结构示意图;
图22为本发明IWF的又一实施例的结构示意图;
图23为本发明MME的又一实施例的结构示意图;
图24为本发明UE的另一实施例的结构示意图;
图25为本发明服务器的另一实施例的结构示意图;
图26为本发明IWF的另一实施例的结构示意图;
图27为本发明MME的另一实施例的结构示意图;
图28为本发明HSS的另一实施例的结构示意图;
图29为本发明UE的再一实施例的结构示意图;
图30为本发明服务器的再一实施例的结构示意图;
图31为本发明IWF的再一实施例的结构示意图;
图32为本发明MME的再一实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明数据的安全传输方法实施例一的流程图,本发明实施例可应用于机器类通信的用户设备与服务器之间的数据传输过程中,来保护信令以及数据包的安全。本实施例的执行主体为用户设备,应用于服务器向UE的下行数据包发送过程,如图1所示,具体步骤为:
S101:用户设备(User equipment,简称UE)接收服务器通过互通设备(InterWorking Function,简称IWF)和移动性管理实体(Mobility Management Entity,简称MME)发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID。
在本实施例中,该UE可以是普通手机、智能手机、平板电脑,也可以是自动仪表例如水电气表、工业远程监控设备,支付设备等可以直接进行通信的设备,即机器类通信设备。互通设备是为了更好的管控机器类通信设备和相关业务引入的一个网络实体,将来自服务器的信令和数据通过该IWF传递给MME再进一步发送给机器类通信设备,或者通过该IWF将来自与机器类通信设备的信令和数据发送给服务器。该IWF后续还可以开放更多的接口与内部或外部服务器,或者其他设备进行连接,本发明不作限制。
服务器向该UE传输下行数据包第一数据包,需要经过IWF和MME设备的遂传,并且在IWF和MME设备上进行相应的处理,最终UE接收到进行了安全保护的第一数据包。
S102:所述UE根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥和/或所述SDT安全上下文,其中,所述UE签约的服务器的公钥或者与归属用户服务器(Home Subscriber Server,简称HSS)协商生成小数据传输(Small DataTransmission,简称SDT)安全上下文存储在所述UE上,且通过所述服务器的身份识别码(Identity,简称ID)或所述IWF的ID来标识。
在本实施例中,在进行数据包传输前,该UE上需要预先配置该UE的私钥,也配置了与该UE有签约关系的服务器的公钥,或者需要与HSS协商生成用于小数据安全保护的SDT安全上下文。
S103:所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
在本实施例中,该第一数据包中携带了需要传输的小数据,服务器的ID,该UE的ID,还可能包括要发送给的某应用程序(Application,简称APP)的ID,用户根据该服务器的ID,获取与该UE有签约关系的服务器的公钥和UE的私钥,或者获取UE与HSS协商的SDT安全上下文,对该第一数据包进行验证和解密处理。具体的有如下几种验证解密方法:
UE根据与该UE有签约关系的服务器的公钥验证该第一数据包的签名的有效性,在根据该UE的私钥对该第一数据包进行解密。或者,
UE根据与HSS协商的SDT安全上下文中的SDT安全保护算法和SDT密钥验证该第一数据包的MAC-I的有效性,再对该第一数据包进行解密。或者,
UE根据与该UE有签约关系的服务器的公钥验证该第一数据包的签名的有效性,若是加密的数据包可以根据协商的SDT安全上下文中的SDT安全保护算法和SDT密钥对该第一数据包进行解密。
可选的,UE对该第一数据包解密后,还可以将服务器发送的第一数据包发送给需要获取小数据包的应用,完成小数据包的下行传输。
本实施例提供的数据的安全传输方法通过UE的私钥与签约的服务器的公钥,或者UE与HSS协商的SDT安全上下文,对服务器向UE发送的下行第一数据包进行验证和解密,并将解密后的第一数据包发送给相应的应用,完成小数据的传输,解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
进一步的,在本发明方法实施例二中,在上述图1所示的实施例的基础上,UE与HSS协商生成SDT安全上下文的具体实施方式为:
该UE接收所述HSS发送的密钥生成参数,然后根据所述密钥生成参数,生成SDT密钥。并且进一步在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
进一步的,在本发明方法实施例三中,在上述图1所示的实施例一和实施例二的基础上,S103的具体实施方式有以下几种:
第一种实现方式,所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;所述UE若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
若验证该签名无效,则将所述第一数据包丢弃。
第二种实现方式,所述UE根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
若验证该MAC-I无效,则将所述第一数据包丢弃。
第三种实现方式,所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
若验证该签名无效,则将所述第一数据包丢弃。
本实施例提供的数据的安全传输方法,通过UE存储自身的私钥和与之签约的服务器的公钥,或者UE与HSS协商的SDT安全上下文,对接收到的第一数据包验证签名的有效性,并将签名有效的第一数据包进行解密,或者验证消息认证码MAC-I,并将MAC-I正确的第一数据包进行解密,并将解密后的第一数据包发送给相应的APP,完成数据包的下行传输,通过验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
进一步的,在本发明方法实施例四中,在上述图1所示的实施例一、实施例二和实施例三的基础上,UE跟HSS协商SDT安全上下文之前,所述UE从所述HSS接收的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项,作为生成SDT安全上下文的密钥生成参数。
所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数包括接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识(International Mobile Subscriber Identity,简称IMSI)、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
图2为本发明数据的安全传输方法实施例五的流程图,本实施例的执行主体为服务器,该服务器可以是业务能力服务器(service capability server,简称SCS)或应用服务器(application server,简称AS),或者其他服务器。应用于服务器向UE的下行数据包发送过程,如图2所示,具体的步骤为:
S201:服务器根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
在本实施例中,在进行数据包的传输前,该服务器上需要预先配置该服务器的私钥,同时配置与该服务器有签约关系的UE的公钥,或者接收互通设备发送的该UE与HSS协商生成的用于小数据安全保护的SDT安全上下文,该SDT安全上下文包含用于该UE和该服务器之间数据交互的SDT密钥和SDT安全保护算法,以便在数据传输过程中对数据包进行加密解密以及安全保护等操作。
S202:所述服务器将加密后的所述第一数据包通过互通设备IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
本实施例提供的数据的安全传输方法,通过服务器存储的自身的私钥和与之签约的UE的公钥,或者接收IWF发送的该UE与HSS协商的SDT安全上下文,对待发送的第一数据包进行加密处理或者加密和完整性保护处理,并将签名加密后的第一数据包通过IWF和MME发送给该UE,以供该UE验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,再对该第一数据包进行解密,并可以将解密后的第一数据包发送给相应的APP,完成数据包的下行传输,该服务器通过对数据包的签名和加密过程,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
图3为本发明数据的安全传输方法实施例六的流程图,本实施例的执行主体为IWF,该IWF是为了更好的管控机器类通信设备和相关业务引入的一个网络实体,在MME和服务器之间通过互通设备传递数据。该IWF后续还可以开放更多的接口与内部或外部服务器,或者其他设备进行连接,本发明不作限制。应用于服务器向UE的下行数据包发送过程,如图3所示,具体的步骤为:
S301:互通设备IWF接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I。
在本实施例中,该第一数据包除了包括要发送的数据,还包括服务器的ID、UE的ID、以及要发送给的APP的ID等其他信息。
S302:所述IWF根据所述服务器的公钥对所述签名进行验证,或根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE。
其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
在本实施例中,获取所述UE和所述HSS协商生成的SDT安全上下文具体可以为,该IWF接收所述HSS发送的SDT密钥。并接收所述UE通过所述MME发送的SDT安全保护算法,该SDT密钥和SDT安全保护算法组成SDT安全上下文。
在本实施例中,若IWF验证该第一数据包的签名无效,或者是MAC-I没有验证通过后,IWF将该第一数据包丢弃。
本实施例提供的数据的安全传输方法,通过IWF获取服务器的公钥和与该服务器签约的UE的公钥,或者获取的该UE与HSS协商的SDT安全上下文,接收服务器发送的经过签名加密的第一数据包签名,并验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,若验证该第一数据包的签名有效或者MAC-I验证通过,则将该第一数据包通过MME发送给该UE,完成小数据包的下行传输,该IWF通过对数据包的签名和MAC-I的验证,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
进一步的,在本发明方法实施例七中,在上述图3所示的实施例六的基础上,步骤S303中IWF根据所述服务器的公钥对所述签名进行验证,或根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE,其具体有以下几种实施方式为:
第一种实施方式,所述IWF根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若验证所述第一数据包签名有效,则将所述第一数据包通过所述MME发送给所述UE;若验证该签名无效,则将该第一数据包丢弃。
第二种实施方式,在所述第一数据包还包括:UE的ID时,所述IWF根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;若验证该签名无效,则将该第一数据包丢弃。
第三种实施方式,在所述第一数据包还包括:APP的ID时,所述IWF根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述第一数据包MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;若验证所述第一数据包MAC-I无效,则将该第一数据包丢弃。
第四种实施方式,在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;并将所述处理后的第一数据包通过所述MME发送给所述UE;
第五种实施方式,在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理,并将所述处理后的第一数据包通过所述MME发送给所述UE。
本实施例提供的数据的安全传输方法,通过IWF获取服务器的公钥和与该服务器签约的UE的公钥,或者获取的该UE与HSS协商的SDT安全上下文,接收服务器发送的经过签名加密的第一数据包签名,并验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,或者对该第一数据包进行加密或完整性保护,再将该第一数据包通过MME发送给该UE,完成小数据包的下行传输,该IWF通过对数据包的签名和MAC-I的验证,或者加密和完整性保护,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
进一步的,在本发明方法实施例八中,在上述图3所示的实施例六和实施例七的基础上,在验证通过后,将所述第一数据包通过MME发送给UE之前,还需要进行授权验证,其具体的实施方式有以下几种:
第一种实施方式,若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE。
第二种实施方式,若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE。
第三种实施方式,若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
第四种实施方式,若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述IWF将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
图4为本发明数据的安全传输方法实施例九的流程图,本实施例的执行主体为MME,应用于服务器向UE的下行数据包发送过程,如图4所示,具体的步骤为:
S401:移动性管理实体MME接收互通设备IWF发送的第一数据包,所述第一数据包包括:用户设备UE的ID、服务器的ID和签名。
S402:所述MME根据所述服务器的公钥,对所述签名进行验证;其中,所述服务器的公钥存储在所述MME上。
在本实施例中,MME可以直接配置好该UE和服务器的公钥,还可以是,UE和服务器的公钥保存在HSS的签约信息中,当UE初始接入网络进行认证和密钥协商时候,MME接收HSS向MME发送的UE和服务器的公钥。
S403:所述MME在验证签名有效后,将所述第一数据包发送给所述UE的ID对应的所述UE。
在本实施例中,若MME验证第一数据包的签名无效,未通过验证,则将该第一数据包丢弃,中断数据的下行传输流程。
本实施例提供的数据的安全传输方法,通过MME获取服务器的公钥和与该服务器签约的UE的公钥,接收经IWF发送的经过签名加密的第一数据包签名,根据该服务器的公钥验证该第一数据包的签名的有效性,若验证通过将该第一数据包发送给UE的ID对应的UE,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图5为本发明数据的安全传输方法实施例十的流程图,本实施例的执行主体为HSS,可应用于UE和服务器之间进行上下行数据包传输之前,进行SDT安全上下文的协商。如图5所示,具体的步骤为:
S501:HSS接收MME发送的UE的标识和/或所述MME为所述UE选择的IWF的ID;所述标识包括国际移动用户标识(International Mobile Subscriber Identification Number,简称IMSI)或临时移动用户标识(Temporary Mobile Subscriber Identity,简称TMSI)。
在本实施例中,网络中存在多个IWF,若该UE没有限定接入特定的IWF,则MME需要根据所有IWF的负载情况为该UE选择一个服务的IWF,此时MME需要将选择的IWF的ID发送给HSS,以便HSS生成SDT密钥。
S502:所述HSS根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥。
在本实施例中,预先获取密钥生成参数的方式可以为HSS自己生成相应的密钥生成参数,也可以为接收UE或者MME发送的密钥生成参数,还可以为HSS自己生成一部分密钥生成参数,接收UE或者MME发送的该密钥生成参数的其他部分,本发明对此不做限制。
S503:所述HSS将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
在本实施例中,HSS将该密钥生成参数以及SDT密钥发送给IWF,或者通过IWF发送给服务器。另外,如果UE限定接入某IWF则HSS中预先配置了IWF和UE的对应的签约关系,HSS需要在本步骤之前将IWF的ID发送给MME。在所述HSS将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述HSS将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF。
本实施例提供的数据的安全传输方法,通过HSS根据密钥生成参数生成SDT密钥,并将参数发送给UE,以供UE根据该密钥生成参数SDT安全上下文,并将该SDT安全上下文告知IWF,以便在数据传输过程中可以在IWF和UE上进行数据包的加密解密和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
进一步的,在本发明方法实施例十一中,在上述图5所示的实施例十基础上,所述HSS接收所述IWF发送的第一数据包之后,所述HSS还需要进行授权验证,具体的实现方式为:
第一种实施方式,若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
第二种实施方式,若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
进一步的,在进行授权验证后,在所述HSS将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述HSS将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
在上述实施例十和实施例十一种,所述HSS发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述HSS判断所述UE具有小数据业务的特性之后,所述HSS生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本实施例提供的数据的安全传输方法,通过HSS根据密钥生成参数生成SDT密钥,并将参数发送给UE,以供UE根据该密钥生成参数SDT安全上下文,并将该SDT安全上下文告知IWF,HSS对服务器和UE进行授权验证,以便在数据传输过程中可以在IWF和UE上进行数据包的加密解密和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图6为本发明数据的安全传输方法实施例十二的流程图,本实施例的执行主体为UE,主要应用于UE向服务器发送的上行数据包传输过程中,如图6所示,具体的步骤为:
S601:用户设备UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理。
在本实施例中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上。UE可以根据UE的私钥和服务器的公钥对第二数据包进行加密,或者加密和签名,还可以根据SDT安全上下文对第二数据包进行加密或者加密和完整性保护。
IWF是为了更好的管控机器类通信设备和相关业务引入的一个网络实体,将来自服务器的信令和数据通过该IWF传递给MME再进一步发送给机器类通信设备,或者通过该IWF将来自与机器类通信设备的信令和数据发送给服务器。该IWF后续还可以开放更多的接口与内部或外部服务器,或者其他设备进行连接,本发明不作限制。
UE与HSS协商SDT安全上下文的具体实施方式可以是,所述UE接收所述HSS发送的密钥生成参数,所述UE根据所述密钥生成参数,生成SDT密钥。
所述UE在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
S602:所述UE将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器。
本实施例提供的数据的安全传输方法,通过UE获取自身的私钥和与之签约的服务器的公钥,或者UE与HSS协商的SDT安全上下文,将要向服务器发送的第二数据包进行加密或者加密和完整性保护,通过MME和IWF发送给该服务器,完成数据包的上行传输,通过签名加密,和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
进一步的,在本发明方法实施例十三中,在上述图6所示的实施例的基础上,S601和S602具体有以下几种实现方式:
第一种实现方式,所述UE根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对所述第二数据包进行加密处理。
所述UE将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
第二种实现方式,所述UE根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理。
所述UE将携带MAC-I的所述处理后的第二数据包发送给IWF或者服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。若验证MAC-I无效,则将该第二数据包丢弃,结束上行数据传输进程。
在上述实施例中,所述UE接收的所述HSS发送的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本实施例提供的数据的安全传输方法,通过UE获取自身的私钥和与之签约的服务器的公钥,或者UE与HSS协商的SDT安全上下文,将要向服务器发送的第二数据包进行加密或者加密和完整性保护,通过MME和IWF发送给该服务器,服务器对签名或者MAC-I进行验证,对第二数据包进行解密,完成数据包的上行传输,通过签名加密,和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图7为本发明数据的安全传输方法实施例十四的流程图,本实施例的执行主体为服务器,该服务器可以是SCS或者AS,主要应用于UE向服务器发送的上行数据包传输过程中,如图7所示,具体的步骤为:
S701:服务器接收互通设备IWF发送的处理后的第二数据包。
在本实施例中,第二数据包携带UE的ID、IWF的ID、服务器的ID和识别标识或者MAC-I等信息。
S702:根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密。
其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
在本实施例中,服务器可以预先配置所述服务器的私钥和与所述服务器签约的用户设备UE的公钥,或者所述接收IWF发送的SDT安全上下文;其中,所述SDT安全上下文包括所述UE和HSS协商生成的SDT密钥和SDT安全保护算法。
本实施例提供的数据的安全传输方法,通过服务器获取自身的私钥和与之签约的UE的公钥,或者接收IWF发送的该UE与HSS协商的SDT安全上下文,对接收的UE经过MME和IWF发送的第二数据包进行签名的验证和解密或者MAC-I的验证和解密,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图8为本发明数据的安全传输方法实施例十五的流程图,本实施例的执行主体为IWF,主要应用于UE向服务器发送的上行数据包传输过程中,如图8所示,具体的步骤为:
S801:互通设备IWF接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I。
S802:所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给所述服务器。
其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
在本实施例中,IWF预先配置每个服务器对应的服务器的公钥和与所述服务器签约的UE的公钥,和/或获取所述UE和HSS协商生成的SDT安全上下文;其中,所述SDT安全上下文包括SDT密钥和SDT安全保护算法。
在本实施例中,获取SDT安全上下文具体可以是,接收所述HSS发送的SDT密钥,接收所述UE通过所述MME发送的SDT安全保护算法,所述SDT密钥和所述SDT安全保护算法组成SDT安全上下文。
本实施例提供的数据的安全传输方法,通过IWF获取服务器的公钥和与之签约的UE的公钥,或者获取该UE与HSS协商的SDT安全上下文,对接收的UE经过MME发送的第二数据包进行签名的验证或者MAC-I的验证,将验证通过的第二数据包发送给服务器,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
进一步的,在本发明方法实施例十六中,在上述图8所示的实施例的基础上,所述IWF预先从归属用户服务器HSS获取SDT安全上下文,具体包括:接收所述HSS发送的SDT密钥;接收所述UE通过所述MME发送的SDT安全保护算法;其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
在本实施例中,所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给所述服务器,具体的实施方式有以下几种:
第一种实施方式,所述IWF根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;若验证所述处理后的第二数据包签名有效,则将所述处理后的第二数据包发送给服务器。
第二种实施方式,所述IWF根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;若验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
可选的,在将所述第二数据包发送给所述服务器之前,IWF还需要进行授权验证,具体的验证方式包括以下几种:
第一种验证方式,若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器。
第二种验证方式,若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
第三种验证方式,若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器。
第四种验证方式,若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述IWF将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
本实施例提供的数据的安全传输方法,通过IWF获取服务器的公钥和与之签约的UE的公钥,或者获取该UE与HSS协商的SDT安全上下文,对接收的UE经过MME发送的第二数据包进行签名的验证或者MAC-I的验证,并且对服务器和UE进行授权验证,并将验证通过的第二数据包发送给服务器,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图9为本发明数据的安全传输方法实施例十七的流程图,本实施例的执行主体为MME,主要应用于UE向服务器发送的上行数据包传输过程中,如图9所示,具体的步骤为:
S901:移动性管理实体MME接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、所述服务器的ID和签名。
S902:所述MME根据所述UE的公钥对所述签名进行验证。
在本实施例中,其中,所述UE的公钥存储在所述MME上。
若验证该第二数据包的签名没有通过,则将第二数据包丢弃,结束上行数据包的传输进程。
S903:所述MME在验证所述签名有效后,将所述第二数据包发送给互通设备IWF。
本实施例提供的数据的安全传输方法,MME获取服务器的公钥和与之签约的UE的公钥,对接收的UE发送的第二数据包进行签名的验证,将验证通过的第二数据包通过IWF发送给服务器,完成数据包的上行传输,该MME通过对数据包的签名验证,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
在本发明数据的安全传输方法的实施例十八中,在上述实施例的基础上,将第二数据包发送给IWF之前,所述MME还需要进行授权验证,具体的包括以下两张验证方式:
第一种验证方式,若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器。
第二种验证方式,若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器。
下面特举相应的实施例来说明本发明提供的数据的安全传输方法各个设备的交互过程。
图10为基于PKI系统使用公钥私钥保护服务器到UE的下行数据包传输交互图。在本实施例中,服务器上保存了自身的私钥,同时也保存了与其有签约关系UE的公钥,每个UE上保存了自身的私钥,同时也保存了与其有签约关系的服务器的公钥,在下行方向,服务器使用其私钥对小数据包进行签名,用要发送给的UE的公钥加密该小数据包,而UE接收到该小数据包,则使用该服务器的公钥验证签名的有效性,再用其私钥解密小数据包,如图10所示,具体的交互过程如下:
S1001:服务器将根据该服务器的私钥和UE的公钥进行签名和加密的第一数据包发送给IWF。
在本实施例中,服务器可以将该第一数据包封装在Tsp-AP-PDU中,通过Tsp-AP协议发给IWF,其中可以携带待发送的数据,服务器的ID,UE的ID,以及APP的ID和数据的识别标识等信息。
S1002:IWF根据该服务器的公钥验证签名是否有效,若验证签名有效,则将该第一数据包发送给MME
在本实施例中,IWF根据服务器的ID查找到对应的服务器的公钥,验证该第一数据包的签名是否有效,若签名无效,则block该第一数据包,若签名有效,则将该第一数据包封装在T5-AP-PDU中,通过T5-AP协议发送给MME。
可选的,如果有需要,IWF还可以将服务器的ID、UE的ID和APP的ID发送给HSS作进一步的验证,HSS根据预先配置的授权列表中保存的服务器和UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器的ID对应的服务器允许向所述UE的ID对应的UE发送数据包后,将所述第一数据包发送给MME。
其中,由于服务器数量有限而且它们只会与某些特定UE签约,另外它们可能会通过Tsp接口一直与IWF保持连接,因此IWF可以直接预置好UE的公钥和服务器的公钥信息。
S1003:MME根据服务器的公钥,验证签名是否有效,若验证有效,则将该第一数据包发送给UE。
在本实施例中,MME根据服务器的ID查找到对应的服务器的公钥,验证该第一数据包的签名是否有效,若签名无效,则block该第一数据包,若签名有效,则将该第一数据包通过NAS消息(如Generic NAS Transport message)发送给UE。
其中,MME可以直接预置好UE的公钥和服务器的公钥;或者UE的公钥和服务器的公钥保存在HSS中的签约信息中,当UE初始附着到到网络进行AKA时,HSS可以将UE的公钥和服务器的公钥信息发送给MME。
S1004:UE接收第一数据包,根据服务器的公钥验证签名是否有效,若验证第一数据包的签名有效,再利用该UE的私钥解密第一数据包,并发送给对应的APP。
在本实施例中,UE根据服务器的ID找到对应的服务器的公钥,验证签名的有效后,再用其私钥解密小数据包,并根据APP的ID将第一数据包发送给相应的APP。
进一步的,如果需要返回对应的数据包或者确认字符(Acknowledgement,简称ACK),则该APP将其发给UE,用UE的私钥签名数据包或者ACK,用目标服务器的公钥加密小数据包或者ACK(另外,ACK可以不用加密)通过MME和IWF发送给服务器。
本实施例提供的数据的安全传输方法,通过服务器和UE的公钥私钥对第一数据包进行加密签名,通过IWF、MME对第一数据包签名的验证,还可以用HSS验证授权关系,将第一数据包发送给UE。解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
图11为基于PKI系统使用公钥私钥保护UE到服务器的上行数据包传输交互图。在本实施例中,服务器上保存了自身的私钥,同时也保存了与其有签约关系UE的公钥,每个UE上保存了自身的私钥,同时也保存了与其有签约关系的服务器的公钥,在上行方向,UE使用其私钥对小数据包进行签名,用要发送给的服务器的公钥加密该小数据包,而服务器接收到该小数据包,则使用该UE的公钥验证签名的有效性,再用服务器的私钥解密小数据包,如图11所示,具体的交互过程如下:
S1101:UE用UE的私钥和服务器的公钥对第二数据包进行签名和加密,并发送给MME。
在本实施例中,第二数据包通过NAS消息(如Generic NAS Transport message)发送给MME。该第二数据包中可以携带服务器的ID,UE的ID,以及APP的ID和数据的识别标识等信息。
S1102:MME根据该UE的公钥验证签名是否有效,若验证签名有效,则将该第二数据包发送给IWF。
在本实施例中,若验证签名无效,则MME可以block该第二数据包。验证签名有效时,MME可以将该第二数据包封装在T5-AP-PDU中,通过T5-AP协议发送给IWF。
S1103:IWF将根据该UE的公钥验证签名是否有效,若验证该第二数据包签名有效,则将该第二数据包发送给服务器。
在本实施例中,IWF根据该UE的ID查找到UE的公钥,验证该第二数据包的签名是否有效,若签名无效,则block该第二数据包,若有效则该第二数据包封装在Tsp-AP-PDU中,通过Tsp-AP协议发给服务器。
S1104:服务器接收第二数据包,根据UE的公钥验证签名是否有效,若验证第二数据包的签名有效,再利用该服务器的私钥解密第二数据包。
在本实施例中,服务器可以通过UE的公钥验证签名是否有效,若有效,则利用服务器本身的私钥进行解密第二数据包,并响应。
进一步的,如果需要返回对应的数据包或者确认字符(Acknowledgement,简称ACK),则该服务器将其用服务器的私钥签名数据包或者ACK,用目标UE的公钥加密数据包或者ACK(另外,ACK可以不用加密)通过IWF和MME发送给UE。
本实施例提供的数据的安全传输方法,通过服务器和UE的公钥私钥对第二数据包进行加密签名,通过MME、IWF对第二数据包签名的验证,或者提前block,将第二数据包发送给服务器。解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
图12为UE和IWF协商SDT安全上下文的交互图。本实施例中,HSS上保存着服务器的ID,UE的ID,APP的ID的关联关系,另外还保存了该UE的IMSI信息。如图12所示,具体的协商过程如下:
S1201:MME向HSS发送UE的IMSI或着TMSI和MME为UE选择的互通设备IWF的ID。
在本实施例中,UE接入网络中后,若有特定的接入IWF,则MME直接发送IMSI给HSS,若无特定接入的IWF,网络中存在多个IWF,MME可以根据IWF负载等情况为该UE选择服务IWF,此时MME需要将IWF的ID报告给HSS,以便HSS生成SDT密钥,并将该SDT密钥发给对应的IWF。
S1202:HSS根据IMSI查询所述UE的签约数据,判断UE具有小数据业务的特性时,则根据密钥生成参数生成SDT密钥。
在本实施例中,HSS根据IMSI查找UE的签约数据,如果该UE是机器类通信的UE,既具有小数据传输业务特性,则根据密钥生成参数为其生成SDT安全上下文,其中SDT密钥的生成参数为Kasme、IK、CK、IWF的ID、UE的ID或IMSI、APP的ID、RAND、Nonce_SDT、SDT密钥标签中的至少一项。
S1203:HSS将SDT密钥发送给IWF。
在本实施例中,在发送SDT算法的同时,将UE的IMSI信息,UE的ID、服务器的ID以及APP的ID也发送给IWF。
S1203:HSS通过MME将生成的密钥生成参数发送给UE,同时MME通过NAS安全模式命令(Service Capability Server,简称SMC)将IWF的ID发送给UE。
S1204:UE接收HSS发送的的密钥生成参数,并根据该密钥生成参数生成SDT安全上下文。
在本实施例中,UE在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
S1205:MME将与UE协商的NAS算法发送给IWF,作为SDT安全保护算法。
在本实施例中,MME将协商的NAS算法发送给IWF,作为SDT安全保护算法,IWF保存SDT密钥和该SDT安全保护算法,作为SDT安全上下文。协商完成后,若在服务器和UE之间有数据包的传递,则可以利用该SDT安全上下文进行加密解密,或者完整性保护。
进一步的,IWF将SDT安全上下文,UE的ID、服务器的ID以及APP的ID发送给服务器。
图13为基于SDT安全上下文保护服务器到UE的下行数据包传输交互图。在本实施例中,IWF和UE都存储了经图12所示步骤协商的SDT安全上下文,IWF将安全上下文发送给服务器。在下行方向,服务器使用SDT安全上下文对第一数据包进行加密和或完整性保护,而UE接收到第一数据包,则使用该SDT安全上下文验证MAC-I,并解密该第一数据包,如图13所示,具体的交互过程如下:
S1301:服务器根据所述SDT安全上下文对第一数据包进行加密或加密和完整性保护,并发送给IWF。
S1302:IWF根据UE的ID或服务器的ID和UE的ID,获取对应的SDT安全上下文,对第一数据包的MAC-I进行验证,并在验证通过后,将第一数据发送给MME。
在本实施例中,IWF根据服务器的ID、UE的ID和APP的ID中的一个或多个以及其本地保存的白/黑名单列表,验证该服务器是否可以发起SDT小数据业务,若验证该服务器可以发起小数据包的业务,再验证第一数据包的MAC-I,若验证没有通过,则block第一数据包,若验证通过,则将该第一数据包封装在T5-AP-PDU中,通过T5-AP协议发送给MME。
可选的,如果有需要,IWF还可以将服务器的ID、UE的ID发送给HSS作进一步的验证,HSS根据预先配置的授权列表中保存的服务器的ID和UE的ID的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器的ID对应的服务器允许向所述UE的ID对应的UE发送数据包后,将所述第一数据包发送给MME。
或者,IWF还可以将服务器的ID、UE的ID、和APP的ID发送给HSS作进一步的验证,HSS根据预先配置的授权列表中保存的服务器的ID、UE的ID、和APP的ID的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID、和APP的ID进行匹配检查,在检查所述服务器的ID对应的服务器允许向所述UE的ID和APP的ID对应的应用发送数据包后,将所述第一数据包发送给MME。
S1303:MME将第一数据包通过NAS消息发送给UE。
S1304:UE接收第一数据包,并根据IWF的ID选择SDT安全上下文验证第一数据包的MAC-I,并在验证通过后,解密第一数据包。
在本实施例中,如果UE和多个IWF之间协商了SDT安全上下文,则UE需要根据IWF的ID选择对应的SDT安全上下文,对第一数据包进行MAC-I验证,若验证没有通过,则将该第一数据包block,若验证通过,则对第一数据包进行解密并发送给相应的APP。
进一步的,如果需要返回对应的数据包或者ACK,则该APP将其发给UE,用UE的SDT安全上下文加密或者加密和完整性保护数据包或者ACK(另外,ACK可以不用加密)通过MME和IWF发送给服务器。
本实施例提供的数据的安全传输方法,通过IWF和UE的协商的SDT安全上下文对第一数据包进行加密或者加密和完整性保护,通过IWF对第一数据包签名的验证,还可以用HSS验证授权关系,将第一数据包发送给UE。解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
图14为基于SDT安全上下文保护UE到服务器的上行数据包传输交互图。在本实施例中,IWF和UE都存储了经图12所示步骤协商的SDT安全上下文,IWF将安全上下文发送给服务器。在下行方向,服务器使用SDT安全上下文对第一数据包进行加密和或完整性保护,而UE接收到第一数据包,则使用该SDT安全上下文验证MAC-I,并解密该第一数据包,如图13所示,具体的交互过程如下:
S1401:如果UE和多个IWF之间协商了SDT安全上下文,则UE根据IWF的ID查找对应的SDT安全上下文,并用该SDT安全上下文对第二数据包进行加密或加密和完整性保护,并发送给MME。
S1402:MME根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述UE的ID对应的UE允许向所述服务器的ID和APP的ID对应的应用发送数据包后将该第二数据包转发给IWF;或者,MME根据所述授权列表中保存的服务器、UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述UE的ID对应的UE允许向所述服务器的ID对应的服务器发送数据包后将该第二数据包转发给IWF。
在本实施例中,为了MME能够block非法数据,MME根据预先配置的授权列表、所述第二数据包中的服务器的ID、UE的ID,和/或APP的ID,根据所述授权列表中保存的服务器、UE和/或APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID,和/或所述APP的ID进行匹配检查,在检查所述UE的ID对应的UE允许向所述服务器的ID和APP的ID对应的应用发送数据包后,或者,在检查所述UE的ID对应的UE允许向所述服务器的ID对应的服务器发送数据包后,将所述第二数据包发送给所述服务器。当然,也可以在IWF上(或HSS中)进行匹配检查。
S1403:IWF将根据该UE的ID查找对应的SDT安全上下文,并用该SDT安全上下文验证MAC-I,若验证通过则将该第二数据包发送给服务器。
S1404:服务器接收第二数据包,根据接收IWF发送的SDT安全上下文验证MAC-I,若验证通过再利用该SDT安全上下文解密第二数据包。
进一步的,如果需要返回对应的数据包或者ACK,则该服务器根据SDT安全上下文加密或者加密和完整性保护数据包或者ACK(另外,ACK可以不用加密)通过IWF和MME发送给UE。
本实施例提供的数据的安全传输方法,通过IWF和UE的协商的SDT安全上下文对第二数据包进行加密或者加密和完整性保护,MME验证授权关系,还可以用IWF或HSS验证授权关系,通过IWF对第二数据包签名的验证,将第二数据包发送给服务器。解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
此外,本发明数据的安全传输方法还提供一种结合图10、11和图13、14所示的实施例的数据包的安全保护方式。只在服务器上配置服务器的私钥,服务器用私钥对下行第一数据包进行签名,如果需要加密,密钥协商根据图12所示的技术方案,协商SDT密钥,对第一数据包进行加密。则:服务器向UE发送第一数据包的下行方向,完整性保护由服务器的公钥生成的签名来实现,而加密保护由IWF协商的SDT安全上下文实现,具体过程参考图13所示实施例;由UE向服务器发送第二数据包的上行方向,与图14所示的实施例完全一致。
或者,采用PKI系统的服务器和UE的公钥私钥结合现有LTE NAS安全的方法:UE和MME之间的安全依赖于NAS安全和MME和IWF之间的安全依赖于网络域安全(Network DomainSecurity,简称NDS)安全,IWF的安全和服务器的安全依赖于NDS安全,包括网络协议安全性(Internet Protocol Security,简称IPsec)和安全传输层协议(Transport LayerSecurity,简称TLS)。则:下行方向,服务器用其私钥对第一数据包进行签名,IWF、MME、UE都查询服务器的公钥来验证该第一数据包的签名的有效性,服务器的第一数据包的授权依然由IWF和/或HSS验证(可选的,在IWF上配置IWF的证书和私钥,由IWF对第一数据包进行签名,IWF和服务器之间安全由Internet协议安全性IPsec保证),对第一数据包的加密则由MME上的NAS安全实现;上行方向,则完全由NAS安全保护,IWF和服务器之间安全由IPsec保证,MME上配置有UE的ID、服务器的ID、APP的ID的绑定关系,以便检查UE的上行第二数据包的数据授权。只有在MME上通过NAS完整性验证并通过授权验证,MME才会把第二数据包发给IWF,否则block,这样做可以尽早block非法数据包(可选的,授权验证可以在IWF上或HSS上进行)。
本发明实施例提供的数据的安全传输方法,主要针对T5接口的机器类通信的小数据传输,建立了UE和IWF之间的安全关联,或者建立了UE和服务器之间的端到端安全关联,从而保证了机器类数据的安全传输,该数据的安全传输方法以及传输方法还可应用于类似的通信系统或通信场景,本发明对此不做限制。
图15为本发明UE的一实施例的结构示意图,如图15所示,该UE包括收发模块151和处理模块152。其中,收发模块151,用于接收所述服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;处理模块152,用于根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥和/或所述SDT安全上下文,其中,所述UE签约的服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;所述处理模块152还用于根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
本实施例提供的UE,用于执行图1所示方法的技术方案,处理模块将收发模块接收到的服务器向UE发送的下行第一数据包进行验证和解密,并将解密后的第一数据包发送给对应的应用程序,完成小数据的传输,解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
可选的,所述收发模块151还用于接收所述HSS发送的密钥生成参数;所述处理模块152还用于根据所述密钥生成参数,生成SDT密钥;所述处理模块152还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
可选的,所述处理模块152具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
可选的,所述处理模块152具体用于:
根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
可选的,所述处理模块152具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
可选的,所述收发模块151还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项。
上述实施例的执行方式与图1所示的方法实施例一至四相对应,用于执行实施例一至四的技术方案,方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图16为本发明服务器的一实施例的结构示意图,如图16所示,该服务器包括处理模块161和收发模块162。其中,处理模块161,用于根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
收发模块162,用于将加密后的第一数据包通过所述IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
本实施例提供的服务器,用于执行图2所示方法,处理模块根据服务器的私钥和UE的公钥对待发送的第一数据包进行加密和签名,并通过收发模块将签名加密后的第一数据包通过IWF和MME发送给该UE,完成数据包的下行传输,该服务器通过对数据包的签名和加密过程,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
图17为本发明IWF的一实施例的结构示意图,如图17所示,该IWF包括收发模块171和处理模块172。其中,收发模块171,用于接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;处理模块172,用于根据所述服务器的公钥对所述签名进行验证,或用于根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述处理模块还用于根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
本实施例提供的IWF,用于执行图3所示方法,收发模块接收服务器发送的经过签名加密的第一数据包签名,并通过处理模块验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,若验证该第一数据包的签名有效或者MAC-I验证通过,则将该第一数据包通过MME发送给该UE,完成小数据包的下行传输,该IWF通过对数据包的签名和MAC-I的验证,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
可选的,所述收发模块171还用于:接收所述HSS发送的SDT密钥;接收所述UE通过所述MME发送的SDT安全保护算法;其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
可选的,还包括:所述处理模块172用于根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若所述处理模块172验证所述第一数据包签名有效,所述收发模块171将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述处理模块172用于用于根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若所述处理模块172验证所述第一数据包签名有效,所述收发模块171将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述处理模块172用于根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若所述处理模块172验证所述第一数据包MAC-I有效,则所述收发模块171将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块172还用于根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;
所述收发模块171还用于将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块172还用于根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取对应的所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理;
所述收发模块171还用于将所述处理后的第一数据包通过所述MME发送给所述UE。
可选的,若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块172还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块171将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理模块172还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块171将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块171将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述收发模块171将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使IWF将所述第一数据包通过所述MME发送给所述UE。
上述实施例的执行方式与图3所示的方法实施例六至八相对应,用于执行实施例六至八的技术方案,其方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图18为本发明MME的一实施例的结构示意图,如图18所示,该MME包括收发模块181和处理模块182。其中,收发模块181,用于接收互通设备IWF发送的第一数据包,所述第一数据包包括:用户设备UE的ID、服务器的ID和签名;处理模块182,用于根据所述服务器的公钥,对所述签名进行验证;其中,所述服务器的公钥存储在所述MME上;所述收发模块181在所述处理模块验证签名有效后,将所述第一数据包发送给所述UE。
本实施例提供的MME,用于执行图4所示的方法,收发模块接收经IWF发送的经过签名加密的第一数据包签名,根据该服务器的公钥验证该第一数据包的签名的有效性,处理模块判断若验证通过后将该第一数据包发送给UE的ID对应的UE,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图19为本发明HSS的一实施例的结构示意图,如图19所示,该HSS包括收发模块191和处理模块192。其中,收发模块191,用于接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;处理模块192,用于根据IMSI查询所述UE的签约数据,判断UE具有小数据业务的特性时,用于根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;所述收发模块191还用于将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
本实施例提供的HSS,用于执行图5所示的方法实施例的技术方案,通过处理模块根据密钥生成参数生成SDT密钥,并将参数通过收发模块发送给UE,以供UE根据该密钥生成参数SDT安全上下文,并将该SDT安全上下文告知IWF,以便在数据传输过程中可以在IWF和UE上进行数据包的加密解密和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,所述收发模块191还用于接收所述IWF发送的第一数据包;
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块192根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述处理模块192根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块191向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
可选的,在所述收发模块191将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述收发模块191还用于将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
可选的,所述收发模块191发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述处理模块192判断所述UE具有小数据业务的特性之后,生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数。
上述实施例的执行方式与图5所示的方法实施例十和十一相对应,用于执行实施例十和实施例十一的技术方案,其方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图20为本发明UE的又一实施例的结构示意图,如图20所示,该UE包括处理模块201和收发模块202。其中,处理模块201,用于根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上;收发模块202,用于将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器。
本实施例提供的UE,用于执行图6所示实施例的技术方案,通过处理模块根据UE的私钥和服务器的公钥或者SDT安全上下文将要向服务器发送的第二数据包进行加密或者加密和完整性保护,收发模块通过MME和IWF发送给该服务器,完成数据包的上行传输,通过签名加密,和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,所述收发模块202还用于接收所述HSS发送的密钥生成参数;所述处理模块201还用于根据所述密钥生成参数,生成SDT密钥;所述处理模块201还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
可选的,所述处理模块201具体用于根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对所述第二数据包进行加密处理;
所述收发模块202还用于将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理。
可选的,所述处理模块201还用于根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述收发模块202还用于将携带MAC-I的所述处理后的第二数据包发送给服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密。
可选的,所述收发模块202还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项;所述密钥生成参数包括所述SDT密钥的生成参数。
上述实施例的执行方式与图6所示的方法实施例十二和十三相对应,用于执行实施例十二和十三的技术方案,其方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图21为本发明服务器的又一实施例的结构示意图,如图21所示,该服务器包括:收发模块211和处理模块212。其中,收发模块211,用于接收互通设备IWF发送的处理后的第二数据包;处理模块212,用于根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
本实施例提供的服务器,用于执行图7所示的方法的技术方案,收发模块接收第二数据包,处理模块根据服务器的私钥和UE的公钥或者SDT安全上下文对接收的UE经过MME和IWF发送的第二数据包进行完整性验证和解密,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图22为本发明IWF的又一实施例的结构示意图,如图22所示,该IWF包括收发模块221和处理模块222。其中,收发模块221,用于接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;处理模块222,用于根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的;所述收发模块221还用于在验证通过后,将所述处理后的第二数据包发送给所述服务器。
本实施例提供的IWF,用于执行图8所示的方法的技术方案,通过处理模块根据服务器的公钥和UE的公钥或者SDT安全上下文对收发模块接收的UE经过MME发送的第二数据包进行签名的验证或者MAC-I的验证,将验证通过的第二数据包发送给服务器,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,所述收发模块221还用于:接收所述HSS发送的SDT密钥;接收所述UE通过所述MME发送的SDT安全保护算法;其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
可选的,所述处理模块222还用于根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
所述收发模块221还用于在所述处理模块222验证所述处理后的第二数据包的所述签名有效时,将所述第二数据包发送给服务器;
或者,
所述处理模块222用于根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
所述收发模块221还用于若所述处理模块222验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
可选的,还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块222根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块221将所述第二数据包发送给所述服务器;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理模块222根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块221将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块221将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述收发模块221将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
上述实施例的执行方式与图8所示的方法实施例十五和十六相对应,用于执行实施例十五和实施例十六的技术方案,其方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图23为本发明MME的又一实施例的结构示意图,如图23所示,该MME包括收发模块231和处理模块232。其中,收发模块231,用于接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、服务器的ID和签名;处理模块232,用于根据所述UE的公钥,对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;所述收发模块231还用于在验证所述签名有效后,将所述第二数据包发送给互通设备IWF。
本实施例提供的MME,用于执行图9所示的方法的技术方案,处理模块对收发模块接收的UE发送的第二数据包进行签名的验证,收发模块将验证通过的第二数据包通过IWF发送给服务器,完成数据包的上行传输,该MME通过对数据包的签名验证,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块232还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,所述收发模块231将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述处理模块232还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,所述收发模块231将所述第二数据包发送给所述服务器。
上述实施例的执行方式与图8所示的方法实施例对应,用于执行图8所示技术方案,其方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图24为本发明UE的另一实施例的结构示意图,如图24所示,该UE包括:收发器241和处理器242,收发器241用于接收所述服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;处理器241用于根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥和/或所述SDT安全上下文,其中,所述UE签约的服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;所述处理器242还用于根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
本实施例提供的UE用于执行图1所示的方法的技术方案,其执行方法、原理以及技术效果类似,通过处理器对收发器接收的服务器向UE发送的下行第一数据包进行验证和解密,并通过收发器将解密后的第一数据包发送给相应的应用,完成小数据的传输,解决了在UE和服务器之间的小数据通过MME和MTC-IWF之间的T5接口传输的场景下,没有相应的安全机制来保护UE与签约服务器之间的数据传输的问题,提高系统数据传输的安全性。
在上述实施例的基础上,所述收发器241还用于接收所述HSS发送的密钥生成参数;所述处理器242还用于根据所述密钥生成参数,生成所述SDT密钥,并在非接入安全模式命令NAS SMC过程中协商所述SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为所述SDT安全保护算法。
可选的,所述处理器242具体用于
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
可选的,所述处理器242还用于:根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
可选的,所述处理器242还用于:根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
可选的,所述收发器241从所述HSS接收的参数包括所述IWF的ID、所述APP的ID、随机数RAND、临时数据中的至少一项;所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数包括接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本实施例提供的UE用于执行方法实施例一至三、以及图10、图12和图13所示的技术方案,其实现原理和技术效果类似,在此不再赘述。
图25为本发明服务器的另一实施例的结构示意图,如图24所示,该服务器包括:处理器251和收发器252,处理器251用于根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;收发器252,用于将加密后的第一数据包通过所述IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
本实施例提供的服务器,与本发明图2所提供的方法实施例相对应,该服务器用于执行图2所示的方法的技术方案,通过处理器根据服务器的私钥和UE的私钥或者SDT安全上下文对待发送的第一数据包进行加密处理或者加密和完整性保护处理,收发器将签名加密后的第一数据包通过IWF和MME发送给该UE,以供该UE验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,再对该第一数据包进行解密,并将解密后的第一数据包发送给相应的APP,完成数据包的下行传输,该服务器通过对数据包的签名和加密过程,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
图26为本发明IWF的另一实施例的结构示意图,如图26所示,该IWF包括:收发器261和处理器262,收发器261,用于接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;处理器262,用于根据所述服务器的公钥对所述签名进行验证,或用于根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述处理模块还用于根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
本实施例提供的IWF,用于执行图3所示的方法实施例的技术方案,其实现原理和技术效果类似,通过存储的服务器的公钥和与该服务器签约的UE的公钥,或者SDT安全上下文,收发器接收服务器发送的经过签名加密的第一数据包签名,并验证该第一数据包的签名的有效性,或者验证消息认证码MAC-I,若验证该第一数据包的签名有效或者MAC-I验证通过,则收发器将该第一数据包通过MME发送给该UE,完成小数据包的下行传输,该IWF通过对数据包的签名和MAC-I的验证,严格保护数据包在UE和服务器之间的安全传输,提高系统数据传输的安全性。
在上述实施例的基础上,所述收发器261还用于接收所述HSS发送的SDT密钥;所述收发器261还用于接收所述UE通过所述MME发送的SDT安全保护算法;其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
可选的,所述处理器262还用于根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;
若验证所述第一数据包签名有效,则所述收发器261还用于将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述处理器262还用于根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述MAC-I有效,则所述收发器261还用于将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述处理器262还用于根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述第一数据包MAC-I有效,则所述收发器261还用于将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理器262还用于根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;所述收发器261将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理器262还用于根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理,所述收发器261将所述处理后的第一数据包通过所述MME发送给所述UE。
可选的,若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理器262还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发器261将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理器262还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发器261将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述收发器261还用于将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述收发器261将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述收发器261还用于将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述收发器261将所述第一数据包通过所述MME发送给所述UE。
本实施例提供的IWF,用于执行方法实施例六至八、以及图10、图12和图13所示的技术方案,其执行方法、原理以及技术效果可参见方法实施例,此处不再赘述。
图27为本发明MME的另一实施例的结构示意图,如图26所示,该MME包括:收发器271和处理器272,收发器271,用于接收互通设备IWF发送的第一数据包,所述第一数据包包括:用户设备UE的ID、服务器的ID和签名;处理器272,用于根据所述服务器的公钥,对所述签名进行验证;其中,所述服务器的公钥存储在所述MME上;所述收发器271在所述处理器272验证签名有效后,将所述第一数据包发送给所述UE。
本实施例提供的MME,用于执行图4所示的方法实施例的技术方案,其执行方法、原理以及技术效果类似,通过保存的服务器的公钥和与该服务器签约的UE的公钥,收发器接收经IWF发送的经过签名加密的第一数据包签名,处理器根据该服务器的公钥验证该第一数据包的签名的有效性,若验证通过收发器将该第一数据包发送给UE的ID对应的UE,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图28为本发明HSS的另一实施例的结构示意图,如图28所示,该HSS包括:收发器281和处理器282,收发器281用于接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;处理器282用于根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;所述收发器281还用于将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
本实施例提供的HSS,用于执行图5所示的方法还是离的技术方案,通过处理器根据密钥生成参数生成SDT密钥,收发器将参数发送给UE,以供UE根据该密钥生成参数SDT安全上下文,并将该SDT安全上下文告知IWF,以便在数据传输过程中可以在IWF和UE上进行数据包的加密解密和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
在上述实施例的基础上,所述收发器281还用于接收所述IWF发送的第一数据包;若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述处理器282还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发器281向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述处理器282还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发器281向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
可选的,在所述收发器281还用于将所述SDT密钥发送给所述IWF的ID对应的IWF之后,将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
可选的,所述收发器281发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述HSS判断所述UE具有小数据业务的特性之后,所述HSS生成的用于生成SDT密钥的参数;所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本实施例提供的HSS,用于执行方法实施例十、十一以及图10和图13所示的技术方案,其执行方法、原理以及技术效果类似,此处不再赘述。
图29为本发明UE的再一实施例的结构示意图,如图29所示,该UE包括:处理器291和收发器292,处理器291用于根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上;收发器292用于将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器。
本实施例提供的UE,用于执行图6所示的方法实施例的技术方案,其实现原理和技术效果类似,通过处理器保存的自身的私钥和与之签约的服务器的公钥,或者SDT安全上下文,处理器将要向服务器发送的第二数据包进行加密或者加密和完整性保护,收发器通过MME和IWF发送给该服务器,完成数据包的上行传输,通过签名加密,和完整性保护,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,所述收发器292还用于接收所述HSS发送的密钥生成参数;
所述处理器291还用于根据所述密钥生成参数,生成SDT密钥;
所述处理器291还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
可选的,所述处理器291还用于根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对第二数据包进行加密处理;
所述收发器292还用于将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理。
可选的,所述处理器291还用于根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述收发器292还用于将携带MAC-I的所述处理后的第二数据包发送给IWF或者服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密。
可选的,所述收发器292接收的所述HSS发送的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项;所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
本实施例提供的UE,用于执行方法实施例十二至十四、以及图11和图14所示的技术方案,其执行方法、原理以及技术效果类似,此处不再赘述。
图30为本发明服务器的再一实施例的结构示意图,如图30所示,该服务器包括:收发器301和处理器302,收发器301,用于接收互通设备IWF发送的处理后的第二数据包;处理器302,用于根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的。
本实施例提供的服务器,用于执行图7所示的方法实施例的技术方案,其执行方法、原理以及技术效果类似,通过处理器保存的自身的私钥和与之签约的UE的公钥,或者SDT安全上下文,处理器对收发器接收的UE经过MME和IWF发送的第二数据包进行签名的验证和解密或者MAC-I的验证和解密,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
图31为本发明IWF的再一实施例的结构示意图,如图31所示,该IWF包括:收发器311和处理器312,收发器311,用于接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;处理器312,用于根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的;所述收发器311还用于在验证通过后,将所述处理后的第二数据包发送给所述服务器。
本实施例提供的IWF,用于执行图8所示的方法实施例的技术方案,其实现原理和技术效果类似,通过处理器预先配置服务器的公钥和与之签约的UE的公钥,或者获取该UE与HSS协商的SDT安全上下文,对收发器接收的UE经过MME发送的第二数据包进行签名的验证或者MAC-I的验证,收发器将验证通过的第二数据包发送给服务器,完成数据包的上行传输,该服务器通过对数据包的签名验证和解密过程,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,所述收发器311还用于接收所述HSS发送的SDT密钥;
所述收发器311还用于接收所述UE通过所述MME发送的SDT安全保护算法;其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
可选的,所述处理器312还用于根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
若验证所述处理后的第二数据包签名有效,则所述收发器311还用于将所述处理后的第二数据包发送给服务器;
或者,
所述处理器312还用于根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
若验证所述处理后的第二数据包的所述MAC-I有效,则所述收发器311还用于将所述处理后的第二数据包进行解密处理后发送给服务器。
可选的,所述收发器311将所述第二数据包发送给所述服务器之前,所述方法还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理器312还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发器311将所述第二数据包发送给所述服务器;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理器312还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发器311将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述收发器311还用于将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述收发器311还用于将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
本实施例提供的IWF,该IWF用于方法实施例十五、十六以及图11和图14所示的技术方案,其执行方法、原理以及技术效果类似,此处不再赘述。
图32为本发明MME的再一实施例的结构示意图,如图32所示,该MME包括:收发器321和处理器322,收发器321,用于接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、服务器的ID和签名;处理器322,用于根据所述UE的公钥,对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;所述收发器321还用于在验证所述签名有效后,将所述第二数据包发送给互通设备IWF。
本实施例提供的MME,用于执行图9所示的方法实施例的技术方案,七实现原理和技术效果类似,通过存储的服务器的公钥和与之签约的UE的公钥,收发器接收UE发送的第二数据包进行签名的验证,收发器将验证通过的第二数据包通过IWF发送给服务器,完成数据包的上行传输,该MME通过对数据包的签名验证,解决了没有相应的安全机制保护数据包在UE和服务器之间的传输的问题,提高系统数据传输的安全性。
可选的,若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述处理器322还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,所述收发器321还用于将所述第二数据包通过IWF发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述处理器322还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,所述收发器321还用于将所述第二数据包通过IWF发送给所述服务器。
本实施例提供的MME,该MME用于执行方法实施例十七、十八以及图11和图14所示的技术方案,其执行方法、原理以及技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (50)
1.一种数据的安全传输方法,其特征在于,包括:
用户设备UE接收服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;
所述UE根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥,其中,所述UE签约的服务器的公钥存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识,和/或,SDT安全上下文,其中,与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;
所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:所述UE与归属用户服务器HSS协商生成所述SDT安全上下文,具体步骤包括:
接收所述HSS发送的密钥生成参数;
根据所述密钥生成参数,生成所述SDT密钥;
在非接入安全模式命令NAS SMC过程中协商所述SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为所述SDT安全保护算法。
3.根据权利要求1或2所述的方法,其特征在于,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
所述UE若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
4.根据权利要求2所述的方法,其特征在于,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
5.根据权利要求2所述的方法,其特征在于,所述UE根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包,包括:
所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
6.根据权利要求4或5所述的方法,其特征在于,还包括:
所述UE从所述HSS接收的参数包括所述IWF的ID、APP的ID、随机数RAND、临时数据中的至少一项;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,所述SDT密钥的生成参数包括接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
7.一种数据的安全传输方法,其特征在于,包括:
服务器根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
所述服务器将加密后的所述第一数据包通过互通设备IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
8.一种数据的安全传输方法,其特征在于,包括:
互通设备IWF接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;
所述IWF根据所述服务器的公钥对所述签名进行验证,或根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;
其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
9.根据权利要求8所述的方法,其特征在于,预先从归属用户服务器HSS获取SDT安全上下文,包括:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
10.根据权利要求8或9所述的方法,其特征在于,所述IWF根据所述服务器的公钥对所述签名进行验证,或根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述IWF根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE,包括:
所述IWF根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若验证所述第一数据包签名有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述IWF根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述IWF根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若验证所述第一数据包MAC-I有效,则将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;并将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述IWF根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理,并将所述处理后的第一数据包通过所述MME发送给所述UE。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述IWF将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
12.一种数据的安全传输方法,其特征在于,包括:
归属用户服务器HSS接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;
所述HSS根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;
所述HSS将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
13.根据权利要求12所述的方法,其特征在于,还包括:
所述HSS接收所述IWF发送的第一数据包;
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和APP的ID,则所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
14.根据权利要求13所述的方法,其特征在于,还包括:
在所述HSS将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述HSS将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
15.根据权利要求12至14任一项所述的方法,其特征在于,还包括:
所述HSS发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述HSS判断所述UE具有小数据业务的特性之后,所述HSS生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
16.一种数据的安全传输方法,其特征在于,包括:
用户设备UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上;
其中,用户设备UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器,包括:
所述UE根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对第二数据包进行加密处理;所述UE将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
17.根据权利要求16所述的方法,其特征在于,还包括:与归属用户服务器HSS协商生成所述SDT安全上下文,具体步骤包括:
所述UE接收所述HSS发送的密钥生成参数;
所述UE根据所述密钥生成参数,生成SDT密钥;
所述UE在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
18.根据权利要求17所述的方法,其特征在于,所述UE根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理,并将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器,包括:
所述UE根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述UE将携带MAC-I的所述处理后的第二数据包发送给IWF或者服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
19.根据权利要求18所述的方法,其特征在于,所述密钥生成参数包括:
所述UE接收的所述HSS发送的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项;
所述密钥生成参数包括所述SDT密钥的生成参数;其中,
所述SDT密钥的生成参数为接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。
20.一种数据的安全传输方法,其特征在于,包括:
服务器接收互通设备IWF发送的处理后的第二数据包;
根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;
其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
其中,根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,包括:
根据所述用户设备UE的ID获取所述用户设备UE的公钥,并根据所述用户设备UE的公钥验证所述第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
21.一种数据的安全传输方法,其特征在于,包括:
互通设备IWF接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;
所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给服务器;
其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
22.根据权利要求21所述的方法,其特征在于,预先从归属用户服务器HSS获取SDT安全上下文,包括:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
23.根据权利要求21或22所述的方法,其特征在于,所述IWF根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;并在验证通过后,将所述处理后的第二数据包发送给所述服务器,包括:
所述IWF根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
若验证所述处理后的第二数据包签名有效,则将所述处理后的第二数据包发送给服务器;
或者,
所述IWF根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
若验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
24.根据权利要求23所述的方法,其特征在于,所述将所述第二数据包发送给所述服务器之前,所述方法还包括:
若第一数据包中包括所述服务器的ID和所述UE的ID,所述IWF根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若第一数据包中包括所述服务器的ID、所述UE的ID和APP的ID,所述IWF根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述IWF将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述IWF将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
25.一种数据的安全传输方法,其特征在于,包括:
移动性管理实体MME接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、服务器的ID和签名;
所述MME根据所述UE的公钥对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;
所述MME在验证所述签名有效后,将所述第二数据包发送给互通设备IWF;
所述将所述第二数据包发送给互通设备IWF,包括:
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述MME根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包通过IWF发送给所述服务器。
26.一种用户设备UE,其特征在于,包括:
收发模块,用于接收服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包,所述第一数据包携带所述服务器的ID或所述IWF的ID;
处理模块,用于根据所述第一数据包中的所述服务器的ID或所述IWF的ID,获得所述服务器的公钥,其中,所述UE签约的服务器的公钥存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识,和/或,SDT安全上下文,其中,与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上,且通过所述服务器的ID或所述IWF的ID来标识;
所述处理模块还用于根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的第一数据包。
27.根据权利要求26所述的UE,其特征在于,包括:
所述收发模块还用于接收所述HSS发送的密钥生成参数;
所述处理模块还用于根据所述密钥生成参数,生成所述SDT密钥;
所述处理模块还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
28.根据权利要求26或27所述的UE,其特征在于,所述处理模块具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;
若验证所述第一数据包中的签名有效,则根据所述UE的私钥对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
29.根据权利要求27所述的UE,其特征在于,所述处理模块具体用于:
根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I;若验证成功,则对所述第一数据包进行解密处理,得到解密后的所述第一数据包。
30.根据权利要求27所述的UE,其特征在于,所述处理模块具体用于:
根据所述服务器的公钥验证所述第一数据包中的签名是否有效;若验证所述第一数据包的签名有效,则根据所述SDT安全上下文对所述第一数据包进行解密处理,或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理,得到解密后的所述第一数据包。
31.根据权利要求29或30所述的UE,其特征在于,还包括:
所述收发模块还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、APP的ID、随机数RAND、临时数据中的至少一项。
32.一种服务器,其特征在于,包括:
处理模块,用于根据所述服务器的私钥和与所述服务器签约的用户设备UE的公钥对等待发送的第一数据包进行签名和加密处理,或者根据SDT安全上下文对所述第一数据包进行加密处理或加密和完整性保护处理,其中,所述服务器的私钥和与所述服务器签约的所述UE公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
收发模块,用于将加密后的第一数据包通过所述IWF和移动性管理实体MME发送给所述UE;以供所述UE根据所述第一数据包中的服务器的ID,获取所述服务器的公钥和/或所述SDT安全上下文,并根据所述服务器的公钥和所述UE的私钥,或者所述SDT安全上下文,或者与所述服务器的公钥和所述SDT安全上下文,对所述第一数据包进行验证和解密处理,得到解密后的所述第一数据包。
33.一种互通设备IWF,其特征在于,包括:
收发模块,用于接收服务器发送的第一数据包,所述第一数据包包括所述服务器的ID和签名,或者所述服务器的ID和MAC-I;
处理模块,用于根据所述服务器的公钥对所述签名进行验证,或用于根据SDT安全上下文对所述MAC-I进行验证,并在验证通过后将所述第一数据包通过移动性管理实体MME发送给UE;或者,所述处理模块还用于根据所述SDT安全上下文对所述第一数据包进行加密和/或完整性保护处理,将所述第一数据包通过移动性管理实体MME发送给UE;
其中,所述服务器的公钥和与所述服务器签约的所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的。
34.根据权利要求33所述的IWF,其特征在于,所述收发模块还用于:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
35.根据权利要求33或34所述的IWF,其特征在于,还包括:
所述处理模块用于根据所述服务器的ID查询并获取所述服务器的公钥,并根据所述服务器的公钥,验证所述第一数据包签名是否有效;若所述处理模块验证所述第一数据包签名有效,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID时,所述处理模块用于根据所述UE的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
所述收发模块还用于若所述处理模块验证所述第一数据包签名有效,将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:APP的ID时,所述处理模块用于根据所述UE的ID和APP的ID获取所述SDT安全上下文,对所述MAC-I进行验证;
若所述处理模块验证所述第一数据包MAC-I有效,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块还用于根据所述UE的ID和/或APP的ID获取所述SDT安全上下文,对所述第一数据进行加密和完整性保护处理;
所述收发模块还用于将所述处理后的第一数据包通过所述MME发送给所述UE;
或者,
在所述第一数据包还包括:UE的ID和/或APP的ID时,所述处理模块还用于根据所述服务器的ID获取所述服务器的公钥,并根据所述服务器的公钥,验证所述签名;若验证所述第一数据包的签名有效,则根据用户UE的ID和/或APP的ID获取对应的所述SDT安全上下文,对所述第一数据进行加密处理,或者加密和完整性保护处理;
所述收发模块还用于将所述处理后的第一数据包通过所述MME发送给所述UE。
36.根据权利要求35所述的IWF,其特征在于,还包括:
若所述第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块还用于根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,所述处理模块还用于根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块将所述服务器的ID和所述UE的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和所述APP的ID,则所述收发模块将所述服务器的ID、所述UE的ID和所述APP的ID发送给所述HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,向所述IWF返回确认结果,以使IWF将所述第一数据包通过所述MME发送给所述UE。
37.一种归属用户服务器HSS,其特征在于,包括:
收发模块,用于接收移动管理实体MME发送的用户设备UE的标识和/或所述MME为所述UE选择的互通设备IWF的ID;所述标识包括国际移动用户标识IMSI或临时移动用户标识TMSI;
处理模块,用于根据所述标识获取所述UE的签约数据,判断所述UE具有小数据业务的特性时,则根据预先获取的密钥生成参数生成SDT密钥;
所述收发模块还用于将所述密钥生成参数和所述SDT密钥发送给所述IWF的ID对应的IWF,并通过所述MME向所述UE发送所述密钥生成参数,以供所述UE根据所述密钥生成参数生成SDT安全上下文,其中,所述SDT安全上下文包括所述SDT密钥和SDT安全保护算法。
38.根据权利要求37所述的HSS,其特征在于,所述收发模块还用于接收所述IWF发送的第一数据包;
若所述第一数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE;
或者,
若所述第一数据包中包括所述服务器的ID、所述UE的ID和APP的ID,则所述处理模块根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块向所述IWF返回确认结果,以使所述IWF将所述第一数据包通过所述MME发送给所述UE。
39.根据权利要求38所述的HSS,其特征在于,还包括:
在所述收发模块将所述SDT密钥发送给所述IWF的ID对应的IWF之后,所述收发模块还用于将所述IWF的ID通过所述MME发送给所述UE,以使所述UE根据所述IWF的ID生成SDT密钥并通过MME将SDT安全保护算法发送给所述IWF,其中,所述UE与所述IWF的对应关系存储在所述HSS中。
40.根据权利要求37至39任一项所述的HSS,其特征在于,所述收发模块发送给所述UE的参数包括所述IWF的ID、应用APP的ID、随机数RAND、临时数据中的至少一项,其中,所述临时数据是在所述处理模块判断所述UE具有小数据业务的特性之后,生成的用于生成SDT密钥的参数;
所述密钥生成参数包括所述SDT密钥的生成参数。
41.一种用户设备UE,其特征在于,包括:
处理模块,用于根据所述UE的私钥和服务器的公钥对第二数据包进行加密和/或签名处理,或者根据SDT安全上下文对所述第二数据包进行加密和/或完整性保护处理;其中,所述UE的私钥和与所述UE签约的所述服务器的公钥或者与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上;
收发模块,用于将处理后的第二数据包通过移动性管理实体MME和互通设备IWF发送给所述服务器;
所述处理模块具体用于根据所述UE的私钥签名所述第二数据包,并根据所述服务器的公钥对所述第二数据包进行加密处理;
所述收发模块还用于将处理后的第二数据包通过所述MME和所述IWF发送给所述服务器,以供所述服务器根据所述第二数据包中的UE的ID获取所述UE的公钥,并根据所述UE的公钥验证所述处理后的第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理。
42.根据权利要求41所述的UE,其特征在于,包括:
所述收发模块还用于接收所述HSS发送的密钥生成参数;
所述处理模块还用于根据所述密钥生成参数,生成SDT密钥;
所述处理模块还用于在非接入安全模式命令NAS SMC过程中协商SDT安全保护算法,或者,在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为SDT安全保护算法。
43.根据权利要求42所述的UE,其特征在于,包括:
所述处理模块还用于根据所述SDT安全上下文对所述第二数据包进行加密或加密和完整性保护处理;
所述收发模块还用于将携带MAC-I的所述处理后的第二数据包发送给服务器,以供所述IWF或者服务器根据所述处理后的第二数据包中的所述UE的ID获取所述SDT安全上下文,并根据所述SDT安全上下文,验证所述安全保护后的第二数据包中的所述MAC-I,若验证有效,则对所述处理后的第二数据包进行解密。
44.根据权利要求43所述的UE,其特征在于,所述收发模块还用于接收所述HSS发送的参数,所述HSS发送的参数包括所述IWF的ID、APP的ID、随机数RAND、临时数据中的至少一项。
45.一种服务器,其特征在于,包括:
收发模块,用于接收互通设备IWF发送的处理后的第二数据包;
处理模块,用于根据用户设备UE的公钥和所述服务器的私钥对所述第二数据包进行签名验证和解密,或者根据所述UE的ID和/或IWF的ID查找SDT安全上下文,对所述处理后的第二数据包进行完整性验证和解密;
其中,所述服务器的私钥和与所述服务器签约的所述UE的公钥存储在所述服务器上,所述SDT安全上下文为互通设备IWF发送的;
所述处理模块还用于根据所述用户设备UE的ID获取所述用户设备UE的公钥,并根据所述用户设备UE的公钥验证所述第二数据包中的签名是否有效,若验证有效,则根据所述服务器的私钥对所述处理后的第二数据包进行解密处理,得到解密后的所述第二数据包。
46.一种互通设备IWF,其特征在于,包括:
收发模块,用于接收用户设备UE通过移动性管理实体MME发送的处理后的第二数据包,所述处理后的第二数据包包括所述UE的ID和签名,或者所述UE的ID和MAC-I;
处理模块,用于根据所述UE的公钥或SDT安全上下文,对所述签名或者MAC-I进行验证;其中,所述UE的公钥存储在所述IWF上,所述SDT安全上下文为预先从归属用户服务器HSS获取的;
所述收发模块还用于在验证通过后,将所述处理后的第二数据包发送给服务器。
47.根据权利要求46所述的IWF,其特征在于,所述收发模块还用于:
接收所述HSS发送的SDT密钥;
接收所述UE通过所述MME发送的SDT安全保护算法;
其中,所述SDT安全上下文包括所述SDT密钥和所述SDT安全保护算法。
48.根据权利要求47所述的IWF,其特征在于,包括:
所述处理模块还用于根据所述UE的公钥,验证所述处理后的第二数据包的所述签名是否有效;
所述收发模块还用于在所述处理模块验证所述处理后的第二数据包的所述签名有效时,将所述第二数据包发送给服务器;
或者,
所述处理模块用于根据所述SDT安全上下文对所述处理后的第二数据包的所述MAC-I进行验证;
所述收发模块还用于若所述处理模块验证所述处理后的第二数据包的所述MAC-I有效,则将所述处理后的第二数据包进行解密处理后发送给服务器。
49.根据权利要求48所述的IWF,其特征在于,还包括:
若第一数据包中包括所述服务器的ID和所述UE的ID,所述处理模块根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第一数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若第一数据包中包括所述服务器的ID、所述UE的ID和APP的ID,所述处理模块根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第一数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE和所述APP的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述收发模块将所述服务器的ID和所述UE的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器与UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器与所述UE的对应关系正确后,将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID以及应用APP的ID,则所述收发模块将所述服务器的ID、所述UE的ID以及所述APP的ID发送给HSS,以供所述HSS根据预先配置的授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,将所述第二数据包发送给所述服务器。
50.一种移动性管理实体MME,其特征在于,包括:
收发模块,用于接收用户设备UE发送的处理后的第二数据包,所述第二数据包包括:所述UE的ID、服务器的ID和签名;
处理模块,用于根据所述UE的公钥,对所述签名进行验证;其中,所述UE的公钥存储在所述MME上;
所述收发模块还用于在验证所述签名有效后,将所述第二数据包发送给互通设备IWF;
若所述第二数据包中包括所述服务器的ID和所述UE的ID,则所述处理模块还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID和所述UE的ID,根据所述授权列表中保存的服务器和UE的对应关系,对所述第二数据包中的所述服务器的ID和所述UE的ID进行匹配检查,在检查所述服务器和所述UE的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器;
或者,
若所述第二数据包中包括所述服务器的ID、所述UE的ID和应用APP的ID,则所述处理模块还用于根据预先配置的授权列表、所述第二数据包中的所述服务器的ID、所述UE的ID以及所述APP的ID,根据所述授权列表中保存的服务器、UE以及APP的对应关系,对所述第二数据包中的所述服务器的ID、所述UE的ID和所述APP的ID进行匹配检查,在检查所述服务器、所述UE以及所述APP的对应关系正确后,所述收发模块将所述第二数据包发送给所述服务器。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2014/080840 WO2015196415A1 (zh) | 2014-06-26 | 2014-06-26 | 数据的安全传输方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105393567A CN105393567A (zh) | 2016-03-09 |
| CN105393567B true CN105393567B (zh) | 2020-07-21 |
Family
ID=54936479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480017033.5A Active CN105393567B (zh) | 2014-06-26 | 2014-06-26 | 数据的安全传输方法和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105393567B (zh) |
| WO (1) | WO2015196415A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417475B (zh) * | 2016-05-30 | 2022-06-28 | 意大利电信股份公司 | 无线电信网络中的隐私保护 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272618A (zh) * | 2008-04-24 | 2008-09-24 | 中兴通讯股份有限公司 | 一种通过联合节点实现网络互通的方法及系统 |
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN103249013A (zh) * | 2012-02-03 | 2013-08-14 | 中兴通讯股份有限公司 | 一种mtc用户设备触发信息的发送方法、系统和用户设备 |
| WO2014041806A1 (en) * | 2012-09-13 | 2014-03-20 | Nec Corporation | Key management in machine type communication system |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340487B (zh) * | 2010-07-21 | 2014-04-02 | 航天信息股份有限公司 | 多信任域之间的完整性报告传递方法和系统 |
-
2014
- 2014-06-26 WO PCT/CN2014/080840 patent/WO2015196415A1/zh active Application Filing
- 2014-06-26 CN CN201480017033.5A patent/CN105393567B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101272618A (zh) * | 2008-04-24 | 2008-09-24 | 中兴通讯股份有限公司 | 一种通过联合节点实现网络互通的方法及系统 |
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN103249013A (zh) * | 2012-02-03 | 2013-08-14 | 中兴通讯股份有限公司 | 一种mtc用户设备触发信息的发送方法、系统和用户设备 |
| WO2014041806A1 (en) * | 2012-09-13 | 2014-03-20 | Nec Corporation | Key management in machine type communication system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105393567A (zh) | 2016-03-09 |
| WO2015196415A1 (zh) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601594B2 (en) | End-to-end service layer authentication | |
| US11122405B2 (en) | MTC key management for key derivation at both UE and network | |
| JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
| US20240064003A1 (en) | Encryption Method, Decryption Method, and Related Apparatus | |
| CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN107079023B (zh) | 用于下一代蜂窝网络的用户面安全 | |
| US8713320B2 (en) | Security authentication method, apparatus, and system | |
| CN102090093B (zh) | 空口链路安全机制建立的方法、设备 | |
| JP2019512942A (ja) | 5g技術のための認証機構 | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| WO2019051776A1 (zh) | 密钥的传输方法及设备 | |
| US20150229620A1 (en) | Key management in machine type communication system | |
| KR20060134774A (ko) | 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법 | |
| CN109150507A (zh) | 一种设备凭证分发方法和系统、用户设备及管理实体 | |
| WO2023083170A1 (zh) | 密钥生成方法、装置、终端设备及服务器 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| EP3737132A1 (en) | Uicc key provisioning | |
| CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 | |
| CN105393567B (zh) | 数据的安全传输方法和设备 | |
| CN110169128B (zh) | 一种通信方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210422 Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040 Patentee after: Honor Device Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |