CN108476131B - 数据传输方法、装置和设备 - Google Patents
数据传输方法、装置和设备 Download PDFInfo
- Publication number
- CN108476131B CN108476131B CN201580085587.3A CN201580085587A CN108476131B CN 108476131 B CN108476131 B CN 108476131B CN 201580085587 A CN201580085587 A CN 201580085587A CN 108476131 B CN108476131 B CN 108476131B
- Authority
- CN
- China
- Prior art keywords
- terminal
- data packet
- network equipment
- public key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
- H04L5/0055—Physical resource allocation for ACK/NACK
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Abstract
本发明实施例提供了一种数据传输方法、装置和设备,涉及通信领域,所述方法包括:终端采用网络设备的公钥及所述终端的私钥分别对数据包进行加密和完整性保护,所述数据包包括用户数据;所述终端将所述数据包发送给所述网络设备,以通过所述网络设备将所述用户数据发送至服务器。本发明通过采用网络设备的公钥及终端的私钥对数据包分别进行加密和完整性保护,在未建立无线资源控制RRC连接的状态下,将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
Description
技术领域
本发明涉及领域通信领域,特别涉及一种数据传输方法、装置和设备。
背景技术
为了保证数据传输的安全性,用户设备(User Equipment,简称UE)和网络侧在进行数据传输之前需要进行安全认证和密钥协商过程。
在现有长期演进(Long Term Evolution,简称LTE)机制中,UE与演进型基站(evolved Node B,简称eNB)建立无线资源控制(Radio Resource Control,简称RRC)连接之后,UE需要与网络侧(包括基站和移动性管理实体(Mobility Management Entity,简称MME))进行安全认证和密钥协商过程。具体地,UE和网络侧之间采用演进的分组系统(Evolved Packet System,简称EPS)认证与密钥协商协议(Authentication and KeyAgreement,简称AKA),通过认证授权计费(Authentication Authorization Accounting,简称AAA)服务器来实现安全认证和密钥协商过程。然后,UE采用协商得到的密钥加密数据,并传输加密后的数据。
现有技术中UE在进行数据传输时,需要通过与第三方AAA服务器协商以获取加密密钥,然后才能进行数据加密传输,导致整个数据传输过程复杂。
发明内容
为了解决现有技术中UE需要与第三方AAA服务器协商获取加密密钥,导致整个数据传输过程复杂的问题,本申请提供了一种数据传输方法、装置和设备。
第一方面,提供了一种数据传输方法,所述方法包括:
终端获取网络设备的公钥;
所述终端采用所述网络设备的公钥对数据包进行加密,并采用所述终端的私钥对数据包进行完整性保护,所述数据包包括用户数据;
所述终端将所述数据包发送给所述网络设备,并通过所述网络设备将所述用户数据发送至服务器。
终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,然后将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
结合第一方面,在第一方面的第一实现方式中,所述终端获取所述网络设备的公钥,包括:
所述终端接收基站发送的系统信息,所述系统信息包括所述网络设备的公钥;
所述终端从所述系统信息中获取所述网络设备的公钥。
在该实现方式中,基站将网络设备的公钥携带在系统消息中传输给终端,无需通过新的消息传输,节省了资源。
结合第一方面的第一实现方式,在第一方面的第二实现方式中,当所述网络设备为网关时,所述系统信息还包括所述网络设备的公钥对应的网络设备的标识。
在该实现方式中,通过在系统信息中携带网络设备的标识,从而实现通过系统信息同时携带多个网络设备的公钥,终端可以根据业务需要选择合适的网络设备的标识对应的公钥进行数据加密。
结合第一方面的第一实现方式或第二种实现方式,在第一方面的第三实现方式中,所述系统信息还包括算法指示信息,所述算法指示信息用于指示所述终端对所述数据包进行加密和完整性保护时采用的加密算法和完整性保护算法。
结合第一方面的第三实现方式,在第一方面的第四实现方式中,所述终端采用所述网络设备的公钥对数据包进行加密,并采用所述终端的私钥对数据包进行完整性保护,包括:
所述终端从所述系统信息中获取所述算法指示信息;
所述终端采用所述算法指示信息所指示的加密算法和完整性保护算法、所述网络设备的公钥及所述终端的私钥,对所述数据包进行加密和完整性保护。其中,网络设备的公钥用于对所述数据包进行加密,而所述终端的私钥用于对所述数据包进行完整性保护。
在上述实现方式中,终端从系统信息中获取算法指示信息,然后根据算法指示信息、网络设备的公钥及终端的私钥,对数据包进行加密和完整性保护。
结合第一方面或者第一方面的第一实现方式至第四实现方式中的任一实现方式,在第一方面的第五实现方式中,所述终端将所述数据包发送给所述网络设备,包括:
所述终端在未建立无线资源控制RRC连接的状态下,将所述数据包发送给所述网络设备。
在数据传输过程中,无需建立RRC连接、也无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗。
结合第一方面的第五实现方式,在第一方面的第六实现方式中,所述终端在未建立无线资源控制RRC连接的状态下,将所述数据包发送给所述网络设备,包括:
所述终端在未与所述基站建立无线资源控制RRC连接的状态下,将所述数据包通过所述基站分配的上行资源发送给所述网络设备,所述基站分配的上行资源是所述终端发送前导序列所占的资源或者RRC连接建立请求消息。
在上述实现方式中,通过终端发送前导序列所占的资源或者RRC连接建立请求消息发送上述数据包,而无需建立RRC连接和S1连接,降低了资源消耗。
结合第一方面或者第一方面的第一实现方式至第六实现方式中的任一实现方式,在第一方面的第七实现方式中,所述数据包还包括用户标识和所述服务器的统一资源定位符,所述用户标识用于在数据传输过程中对所述终端进行标识。
结合第一方面的第七实现方式,在第一方面的第八实现方式中,所述方法还包括:
当接收到所述网络设备发送的确认数据包时,所述终端通过所述网络设备的公钥对所述确认数据包进行完整性校验,以验证所述网络设备身份的合法性以及所述确认数据包的完整性;
当所述确认数据包的完整性校验通过,所述终端对所述用户标识进行更新,所述确认数据包为所述网络设备在接收到所述数据包并通过完整性校验后发送的。
在上述实现方式中,在获得确认数据包并验证后,进行用户标识更新,该更新是与网关同时进行的,能够防止在后续数据传输中终端被假冒。
结合第一方面或者第一方面的第一实现方式至第八实现方式中的任一实现方式,在第一方面的第九实现方式中,所述网络设备为基站或者网关。
第二方面,提供了一种数据传输方法,所述方法包括:
网络设备接收终端发送的数据包,所述数据包采用所述网络设备的公钥进行加密并采用所述终端的私钥进行完整性保护;
所述网络设备采用所述网络设备的私钥对所述数据包进行解密,得到用户数据,所述数据包包括所述用户数据;
所述网络设备采用所述终端的公钥对所述数据包进行完整性校验,以验证所述终端的合法身份以及所述数据包的完整性;
当所述数据包通过完整性校验时,所述网络设备将所述用户数据发送给服务器。
网络设备接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护,并且是终端在未建立RRC连接的状态下发送的,网络设备对数据包进行解密并验证数据包的完整性后,将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
结合第二方面,在第二方面的第一实现方式中,所述数据包是所述终端在未建立无线资源控制RRC连接的状态下发送的。
在数据传输过程中,无需与终端建立RRC连接、无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗。
结合第二方面或第二方面的第一实现方式,在第二方面的第二实现方式中,所述数据包还包括用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识。
结合第二方面的第二实现方式,在第二方面的第三实现方式中,所述方法还包括:
所述网络设备获取所述终端的公钥。
结合第二方面的第三实现方式,在第二方面的第四实现方式中,所述网络设备获取所述终端的公钥,包括:
所述网络设备获取所述用户标识;
所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥;
或者,所述网络设备获取所述终端的公钥,包括:
所述网络设备获取所述用户标识;
所述网络设备在本地查找所述用户标识对应的上下文信息;
所述网络设备从所述用户标识对应的上下文信息中获取所述终端的公钥。
在该实现方式中,网络设备本地如果保存有用户标识对应的上下文信息,则直接从本地的上下文信息中获取所述终端的公钥,如果本地没有用户标识对应的上下文信息,则需要从归属签约用户服务器中获取。
结合第二方面的第四实现方式,在第二方面的第五实现方式中,当所述网络设备为网关时,所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥,包括:
所述网络设备将所述用户标识发送给所述归属签约用户服务器;
所述网络设备接收所述归属签约用户服务器返回的所述用户标识及对应的所述终端的公钥。
结合第二方面的第四实现方式,在第二方面的第六实现方式中,当所述网络设备为基站时,所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥,包括:
所述网络设备将所述用户标识发送给网关;
所述网络设备接收所述网关返回的所述用户标识及对应的所述终端的公钥,所述网关返回的所述终端的公钥是所述网关从所述归属签约用户服务器获取的。
结合第一方面或第二方面的第一实现方式,在第二方面的第七实现方式中,所述数据包还包括服务器的统一资源定位符。
结合第二方面的第七实现方式,在第二方面的第八实现方式中,当所述网络设备为网关时,所述网络设备将所述用户数据发送给服务器,包括:
所述网络设备根据所述服务器的统一资源定位符获取所述服务器的因特网协议IP地址;
所述网络设备通过所述服务器的IP地址与所述服务器建立传输控制协议TCP连接;
所述网络设备通过所述TCP连接,将所述用户数据发送给所述服务器。
结合第二方面的第七实现方式,在第二方面的第九实现方式中,当所述网络设备为基站时,所述网络设备将所述用户数据发送给服务器,包括:
所述网络设备将所述服务器的统一资源定位符和所述用户数据发送给网关,以使所述网关将所述用户数据发送给所述服务器。
结合第二方面或者第二方面的第一实现方式至第九实现方式中的任一实现方式,在第二方面的第十实现方式中,所述方法还包括:
当所述数据包通过完整性校验时,所述网络设备更新所述用户标识。
结合第二方面或者第二方面的第一实现方式至第十实现方式中的任一实现方式,在第二方面的第十一实现方式中,所述方法还包括:
在所述数据包通过完整性校验后,所述网络设备向所述终端发送确认数据包,所述确认数据包为所述网络设备在接收到所述数据包并通过完整性校验后发送的。
结合第二方面或者第二方面的第一实现方式至第十一实现方式中的任一实现方式,在第二方面的第十二实现方式中,所述方法还包括:
所述网络设备将所述网络设备的公钥和算法指示信息发送给所述终端。
结合第二方面或者第二方面的第一实现方式至第十二实现方式中的任一实现方式,在第二方面的第十三实现方式中,当所述网络设备为网关时,所述方法还包括:
所述网络设备将所述网络设备的公钥对应的网络设备的标识发送给所述终端。
第三方面,提供了一种数据传输装置,所述装置包括若干单元,比如获取单元、加密单元和发送单元,所述若干单元用于实现第一方面提供的方法。
第四方面,提供了一种数据传输装置,所述装置包括若干单元,比如接收单元、解密单元、验证单元和发送单元,所述若干单元用于实现第二方面提供的方法。
第五方面,提供了一种数据传输设备,所述数据传输设备包括处理器、存储器以及通信单元;所述存储器用于存储软件程序以及模块,所述处理器通过运行或执行存储在所述存储器内的软件程序和/或模块,可以执行第一方面所述的方法。
第六方面,提供了一种数据传输设备,所述数据传输设备包括处理器、存储器以及通信单元,所述通信单元包括通信接口,或者接收器和发送器;所述存储器用于存储软件程序以及模块,所述处理器通过运行或执行存储在所述存储器内的软件程序和/或模块,可以执行第二方面所述的方法。
第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质用于存储前述处理器在业务传输时所执行的程序代码。该程序代码包括用于实现第一方面提供的方法的指令。
第八方面,提供了一种计算机可读存储介质,该计算机可读存储介质用于存储前述处理器在业务传输时所执行的程序代码。该程序代码包括用于实现第二方面提供的方法的指令。
本发明实施例提供的技术方案的有益效果是:
所述终端采用所述网络设备的公钥对数据包进行加密,并采用所述终端的私钥对数据包进行完整性保护,然后将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种应用架构的示意图;
图2是本发明实施例提供的终端的结构示意图;
图3是本发明实施例提供的基站或网关的结构示意图;
图4是本发明实施例提供的一种数据传输方法的流程图;
图5是本发明实施例提供的另一种数据传输方法的流程图;
图6是本发明实施例提供的另一种数据传输方法的流程图;
图7是本发明实施例提供的另一种数据传输方法的流程图;
图8是本发明实施例提供的另一种数据传输方法的流程图;
图9是本发明实施例提供的一种网关与服务器间数据传输流程图;
图10是本发明实施例提供的另一种数据传输方法的流程图;
图11是本发明实施例提供的一种业务传输装置的结构示意图;
图12是本发明实施例提供的另一种业务传输装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了便于实施例的描述,下面先简单介绍一下本发明中实施例的应用场景。
图1显示了本发明实施例提供的一种应用架构,该应用架构主要包括终端11、基站12、网关13、服务器14。终端11将数据依次通过基站12和网关13传输至服务器14。
其中,终端11传输的数据可以为小包业务的数据包,也可以为其他类型的数据包。小包业务是指每次传输的用户数据的数据量较小的业务,例如:针对人机通信(MachineType Communication,简称MTC)业务,一般每次传输的用户数据大小为20~200byte。小包业务的数据包传输通常是周期性地,例如每秒传输一次,或者每小时传输一次等。
在小包业务的典型应用场景中,基站12可以是eNB,网关13可以为MTC网关,服务器14可以为MTC服务器。
在现有技术中,对于小包业务(如MTC业务)而言,数据包每隔一段时间才传输一次,而且每次传输的数据量都很小。为了更好节省UE能耗,当有数据传输时,UE进入活跃(active)状态,当没有数据传输时,UE进入空闲(idle)状态。UE从idle状态变为active状态时,需要重新建立RRC连接,并进行安全认证和密钥协商过程。因此,针对小包业务隔一段时间才传输一次且数据量小的特性,小包业务每次传输数据都需要重新建立RRC连接和S1连接并进行安全认证和密钥协商,会导致大量的RRC信令和S1信令产生,资源消耗大。
在本发明实施例中,在进行数据包传输之前,终端11与基站12间不需要进行RRC连接的建立,而是直接通过无连接状态(未建立RRC连接的状态)发送数据包,而数据的加密与完整性保护、终端和网络设备的身份认证均是通过使用非对称密钥的方式来实现,具体实现见后文。
其中,非对称密钥包括两个密钥:公钥和私钥。公钥与私钥是一对,如果发送方使用公钥对数据进行加密,接收方只有使用对应的私钥才能解密;如果发送方使用私钥对数据进行完整性保护,那么接收方只有使用对应的公钥才能进行完整性校验。
本发明所涉及到的终端11可以包括具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的用户设备(User Equipment,简称UE),移动台(Mobile station,简称MS),终端设备(TerminalEquipment)等等。
需要说明的是,以上的设备种类仅为举例,本发明对此不作限制。
图2为图1示出的终端的一种可能的硬件结构示意图。如图2所示,终端11包括处理器10、存储器20和通信单元30。本领域技术人员可以理解,图2中示出的结构并不构成对该终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器10是终端的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器20内的软件程序和/或模块,以及调用存储在存储器20内的数据,执行终端的各种功能和处理数据,从而对终端进行整体控制。处理器10可以由CPU实现,也可以由有控制面功能的网络处理器(network processor,简称NP)实现。
存储器20可用于存储软件程序以及模块。处理器10通过运行存储在存储器20的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统21、获取模块22、加密模块23、发送模块24和至少一个功能所需的应用程序25(比如加密程序等)等;存储数据区可存储根据终端的使用所创建的数据(比如网络设备的公钥等)等。存储器20可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random AccessMemory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable ProgrammableRead-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。相应地,存储器20还可以包括存储器控制器,以提供处理器10对存储器20的访问。
其中,处理器20通过运行获取模块22执行以下功能:获取网络设备的公钥;处理器20通过运行加密模块23执行以下功能:采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,数据包包括用户数据;处理器20通过运行发送模块24执行以下功能:将数据包通过通信单元30发送给网络设备,并通过网络设备将用户数据发送至服务器。
通信单元30用于建立通信信道,使终端设备通过通信信道与网络设备通信,实现数据传输。通信单元30可以包括无线局域网(Wireless Local Area Network,简称wireless LAN)模块、蓝牙模块、基带(Base Band)模块等通信模块,以及通信模块对应的射频(Radio Frequency,简称RF)电路,用于进行无线局域网络通信、蓝牙通信、红外线通信及/或蜂窝式通信系统通信,例如宽带码分多重接入(Wideband Code Division MultipleAccess,简称W-CDMA)及/或高速下行封包存取(High Speed Downlink Packet Access,简称HSDPA)。通信单元30用于控制终端设备200中的各组件的通信,并且可以支持直接内存存取(Direct Memory Access)。
在本发明的不同实施方式中,通信单元30中的各种通信模块一般以集成电路芯片(Integrated Circuit Chip)的形式出现,并可进行选择性组合,而不必包括所有通信模块及对应的天线组。例如,通信单元30可以仅包括基带芯片、射频芯片以及相应的天线以在一个蜂窝通信系统中提供通信功能。经由通信单元建立的无线通信连接,例如无线局域网接入或WCDMA接入,终端设备200可以连接至蜂窝网(Cellular Network)或因特网(Internet)。
射频电路用于信息收发或通话过程中接收和发送信号。例如,将基站的下行信息接收后,给处理单元处理;另外,将上行的数据发送给基站。通常,射频电路包括用于执行这些功能的公知电路,包括但不限于天线系统、射频收发机、一个或多个放大器、调谐器、一个或多个振荡器、数字信号处理器、编解码(Codec)芯片组、用户身份模块(SIM)卡、存储器等等。此外,射频电路还可以通过无线通信与网络和其他设备通信。无线通信可以使用任一通信标准或协议,包括但不限于GSM、GPRS、CDMA、WCDMA、高速上行行链路分组接入技术(HighSpeed Uplink Packet Access,简称HSUPA)、WiMAX、LTE、电子邮件、短消息业务(ShortMessaging Service,简称SMS)等。
进一步地,终端11还可以包括输入单元40与输出单元50等。
输入单元40用于实现用户与终端设备的交互和/或信息输入到终端设备中。例如,输入单元40可以接收用户输入的数字或字符信息,以产生与用户设置或功能控制有关的信号输入。在本发明具体实施方式中,输入单元40可以是触控面板,也可以是其他人机交互界面,例如实体输入键、麦克风等,还可是其他外部信息撷取装置,例如摄像头等。触控面板,也称为触摸屏或触控屏,可收集用户在其上触摸或接近的操作动作。比如用户使用手指、触笔等任何适合的物体或附件在触控面板上或接近触控面板的位置的操作动作,并根据预先设定的程式驱动相应的连接装置。可选的,触控面板可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸操作,并将检测到的触摸操作转换为电信号,以及将电信号传送给触摸控制器;触摸控制器从触摸检测装置上接收电信号,并将它转换成触点坐标,再送给处理单元。所述触摸控制器还可以接收处理单元发来的命令并执行。此外,可以采用电阻式、电容式、红外线(Infrared)以及表面声波等多种类型实现触控面板。在本发明的其他实施方式中,输入单元所采用的实体输入键可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。麦克风形式的输入单元可以收集用户或环境输入的语音并将其转换成电信号形式的、处理单元可执行的命令。
在本发明的其他一些实施方式中,输入单元40还可以是各类传感器件,例如霍尔器件,用于侦测终端设备的物理量,例如力、力矩、压力、应力、位置、位移、速度、加速度、角度、角速度、转数、转速以及工作状态发生变化的时间等,转变成电量来进行检测和控制。其他的一些传感器件还可以包括重力感应计、三轴加速计、陀螺仪等。
输出单元50包括但不限于影像输出单元和声音输出单元。影像输出单元用于输出文字、图片和/或视频。影像输出单元可包括显示面板,例如采用液晶显示器(LiquidCrystal Display,简称LCD)、有机发光二极管(Organic Light-Emitting Diode,简称OLED)、场发射显示器(Field EmissionDisplay,简称FED)等形式来配置的显示面板。或者影像输出单元可以包括反射式显示器,例如电泳式(electrophoretic)显示器,或利用光干涉调变技术(Interferometric Modulation of Light)的显示器。影像输出单元可以包括单个显示器或不同尺寸的多个显示器。在本发明的具体实施方式中,上述输入单元40所采用的触控面板亦可同时作为输出单元的显示面板。例如,当触控面板检测到在其上的触摸或接近的手势操作后,传送给处理单元以确定触摸事件的类型,随后处理单元根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图2中,输入单元40与输出单元50是作为两个独立的部件来实现终端设备200的输入和输出功能,但是在某些实施例中,可以将触控面板与显示面板集成一体而实现终端设备的输入和输出功能。例如,影像输出单元可以显示各种图形化用户接口(Graphical User Interface,简称GUI)以作为虚拟控制组件,包括但不限于窗口、卷动轴、图标及剪贴簿,以供用户通过触控方式进行操作。
图3为图1示出的网络设备的一种可能的硬件结构示意图。如图3所示,基站12或者网关13包括处理器10、存储器20、通信单元30(通信单元包括接收器和发送器(对应于基站),或者通信单元包括通信接口(对应于网关))。本领域技术人员可以理解,图3中示出的结构并不构成对该网络设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器10是网络设备的控制中心,利用各种接口和线路连接整个网络设备的各个部分,通过运行或执行存储在存储器20内的软件程序和/或模块,以及调用存储在存储器20内的数据,执行网络设备的各种功能和处理数据,从而对网络设备进行整体控制。处理器10可以由CPU实现,也可以由有控制面功能的网络处理器(英文:network processor,缩写:NP)实现。
存储器20可用于存储软件程序以及模块。处理器10通过运行存储在存储器20的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器20可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统21、接收模块22、解密模块23、验证模块24、发送模块25和至少一个功能所需的应用程序26(比如解密程序等)等;存储数据区可存储根据网络设备的使用所创建的数据(比如网络设备的私钥等)等。存储器20可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(英文:Static Random Access Memory,简称:SRAM),电可擦除可编程只读存储器(英文:Electrically Erasable Programmable Read-Only Memory,简称:EEPROM),可擦除可编程只读存储器(英文:Erasable Programmable Read Only Memory,简称:EPROM),可编程只读存储器(英文:Programmable Read-Only Memory,简称:PROM),只读存储器(英文:ReadOnly Memory,简称:ROM),磁存储器,快闪存储器,磁盘或光盘。相应地,存储器20还可以包括存储器控制器,以提供处理器10对存储器20的访问。
其中,处理器20通过运行接收模块22执行以下功能:通过通信单元30接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护;处理器20通过运行解密模块23执行以下功能:采用网络设备的私钥对数据包进行解密,得到用户数据,数据包包括用户数据;处理器20通过运行验证模块24执行以下功能:采用终端的公钥对数据包进行完整性校验,以验证终端身份的合法性以及数据包的完整性;处理器20通过运行发送模块25执行以下功能:当数据包通过完整性校验时,通过通信单元30将用户数据发送给服务器。
图4是本发明实施例提供的一种数据传输方法的流程图,适用于前述场景中的终端,参见图4,该方法包括:
步骤101:终端获取网络设备的公钥。
步骤102:终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,数据包包括用户数据。
公钥即公开密钥,是公开对外发布的,因此,终端可以获取到网络设备的公钥。私钥即私有密钥,终端的私钥只有终端自身拥有,不对外公开。
步骤103:终端将数据包发送给网络设备,以通过网络设备将用户数据发送至服务器。
本发明实施例中,终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,然后将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
图5是本发明实施例提供的一种数据传输方法的流程图,适用于前述场景中的终端,参见图5,该方法包括:
步骤201:终端获取网络设备的公钥。
具体地,步骤201可以包括:
步骤一:终端接收基站发送的系统信息,系统信息包括网络设备的公钥。
公钥即公开密钥,是公开对外发布的,因此,终端可以获取到网络设备的公钥。
进一步地,当网络设备为网关时,系统信息中除了可以包括网络设备的公钥外,还可以包括与网络设备的公钥对应的网络设备的标识。例如,系统信息可以同时包括一个或者多个网关的标识及对应的网关的公钥。终端可以根据业务需要选择合适的网关的标识对应的公钥进行数据加密。
当然,终端也可以每次使用同一个网关的标识对应的公钥,使得该终端的数据被同一个网关所处理,从而让网关可以不用每次(除第一次外)到归属签约用户服务器中获取终端的公钥。
其中,系统信息可以为主系统信息块(Master Information Block,简称MIB)或者系统信息块(System Information Block,简称SIB),SIB包括SIB1、SIB2、SIB3等等,MIB和SIB1可以是周期性发送的,除SIB1外的其他SIB(如SIB2、SIB3等)的发送时间在SIB1中指定。
步骤二:终端从系统信息中获取网络设备的公钥。
一旦终端获取到网络设备的公钥后,终端可以将网络设备的公钥存储在本地,后续在执行步骤201时,直接从本地获取该公钥即可。
步骤202:终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥分别对数据包进行完整性保护。其中,数据包包括用户标识、服务器的统一资源定位符和用户数据,用户标识用于在数据传输过程中对终端进行标识。
其中,系统信息还包括算法指示信息,算法指示信息用于指示终端对数据包进行加密和完整性保护时采用的加密算法和完整性保护算法。
具体地,步骤202可以包括:
终端从系统信息中获取算法指示信息;
终端采用算法指示信息所指示的加密算法和完整性保护算法、网络设备的公钥及终端的私钥分别对数据包进行加密和完整性保护。
具体地,采用网络设备的公钥将数据包由明文变为密文,采用终端的私钥对数据包的完整性进行保护。
在本实施例中,加密和完整性保护的顺序不做限制,可以在完整性保护后加密,也可以先加密后进行完整性保护。
可选地,数据包还包括网络设备的标识。
步骤203:终端在未与基站建立RRC连接的状态下,将数据包通过基站分配的上行资源发送给网络设备,以通过网络设备将用户数据发送至服务器。基站分配的上行资源可以是终端发送前导序列所占的资源或者RRC连接建立请求消息。
当然,终端在无连接状态下还可以通过其他方式将数据包发送给网络设备。
由于本发明中小包业务的数据包很小,因此可以通过终端发送前导序列所占的资源或者RRC连接建立请求消息发送上述数据包,而无需建立RRC连接和S1连接。
具体地,其中网络设备可以为基站或者网关;当网络设备为基站时,终端直接将数据包通过发送前导序列所占的资源或者RRC连接建立请求消息发送给基站即可;当网络设备为网关时,终端将数据包通过发送前导序列所占的资源或者RRC连接建立请求消息发送给基站,再由基站通过因特网协议安全性(Internet Protocol Security,简称IPsec)隧道技术发送给网关。
进一步地,该方法还包括:
当接收到网络设备发送的确认数据包时,终端通过网络设备的公钥对确认数据包进行完整性校验,以验证网络设备身份的合法性以及确认数据包的完整性;当确认数据包的完整性校验通过,对用户标识进行更新,确认数据包为网络设备在接收到数据包并通过完整性校验后发送的。
其中,确认数据包可以采用算法指示信息所指示的加密算法和完整性保护算法、终端的公钥及网关的私钥分别进行加密和完整性保护,因此,终端在接收之后可以采用终端的私钥进行解密,采用网络设备的公钥进行完整性校验,仅当完整性校验通过时,说明该网络设备身份合法,并进行上述用户标识的更新。
其中,确认数据包的完整性保护是必选的,而加密处理是可选的。
具体地,更新用户标识可以采用下述方式实现:采用数据包中的用户标识(上一次使用的用户标识或者初始的用户标识)和终端随机生成的一个随机数作为参数,采用预设算法计算得到新的用户标识。初始时,用户标识为终端的国际移动用户识别码(International Mobile Subscriber Identification Number,简称IMSI)。
进一步地,上述数据包还可以包括该随机数,以使网络设备可以根据随机数更新用户标识。
本发明实施例中,终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,然后在未建立RRC连接的状态下,将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,无需建立RRC连接、也无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗;同时,采用非对称密钥方式对用户数据进行加密和完整性保护,保证了在无连接状态下传输数据的安全性。
图6是本发明实施例提供的一种数据传输方法的流程图,适用于前述场景中的网络设备(基站或网关),参见图6,该方法包括:
步骤301:网络设备接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护。
步骤302:网络设备采用网络设备的私钥对数据包进行解密,得到用户数据,数据包包括用户数据。
私钥即私有密钥,网络设备的私钥只有网络设备自身拥有,不对外公开。
步骤303:网络设备采用终端的公钥对数据包进行完整性校验,以验证终端的身份合法性以及数据包的完整性。
公钥即公开密钥,是公开对外发布的,因此,网络设备可以获取到终端的公钥。
对数据包的完整性进行验证也即对终端的身份进行认证;数据包通过完整性校验,即终端的身份通过认证,数据包未通过完整性校验,即终端的身份未通过认证。
步骤304:当数据包通过完整性校验时,网络设备将用户数据发送给服务器。
本发明实施例中,网络设备接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护,网络设备对数据包进行解密并验证数据包的完整性后,将用户数据发送给服务器,在数据传输过程中,直接采用非对称加密方式对用户数据进行加密和完整性保护,无需与AAA服务器进行安全认证和密钥协商等步骤,数据传输过程简单,且保证了传输数据的安全性。
图7是本发明实施例提供的一种数据传输方法的流程图,适用于前述场景中的网络设备(基站或网关),参见图7,该方法包括:
步骤401:网络设备接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护,并且是终端在未建立RRC连接的状态下发送的。
其中,数据包包括用户标识、服务器的统一资源定位符和用户数据,用户标识用于在数据传输过程中对终端进行标识。
网络设备识别出数据包为非RRC连接状态下发送的数据包,从而采用后续步骤对该数据包进行处理。因为,对网络设备而言,与终端是否已经建立RRC连接自己是已知的,所以在未建立RRC连接时,网络设备收到终端发送的数据包,即为前述非RRC连接状态下发送的数据包。
可选地,数据包还包括网络设备的标识。
步骤402:网络设备采用网络设备的私钥对数据包进行解密,得到用户标识、服务器的统一资源定位符和用户数据。
私钥即私有密钥,网络设备的私钥只有网络设备自身拥有,不对外公开。
步骤403:网络设备获取终端的公钥。
其中,获取终端的公钥可以包括下述两种实现方式:
第一种实现方式:网络设备获取用户标识;网络设备通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥。
第二种实现方式:网络设备获取用户标识;网络设备在本地查找用户标识对应的上下文信息;网络设备从用户标识对应的上下文信息中获取终端的公钥。
在具体实现时,可以先采用第二种实现方式进行获取,当第二种实现方式未能获取到终端的公钥时,再通过第一种实现方式从归属签约用户服务器中获取。
当网络设备为网关时,网络设备通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥,包括:
网络设备将用户标识发送给归属签约用户服务器;
网络设备接收归属签约用户服务器返回的用户标识及对应的终端的公钥。
当网络设备为基站时,网络设备通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥,包括:
网络设备将用户标识发送给网关;
网络设备接收网关返回的用户标识及对应的终端的公钥,网关返回的终端的公钥是网关从归属签约用户服务器获取的。
具体地,网络设备将用户标识通过因特网协议安全性IPsec隧道技术发送给网关,以使网关将用户标识发送给归属签约用户服务器;接收网关通过IPsec隧道技术返回的用户标识及对应的终端的公钥。
步骤404:网络设备采用终端的公钥对数据包进行完整性校验,以验证终端身份的合法性以及数据包的完整性。当数据包通过完整性校验时,执行步骤405;当数据包未通过完整性校验时,丢弃数据包。
具体地,终端通过终端的私钥对数据包进行完整性保护,生成完整性校验值MAC-I。终端将该生成的完整性校验值和数据包一起发送给网络设备。网络设备通过终端的公钥对数据包进行完整性校验,生成完整性校验值MAC-I’。如果网络设备生成的MAC-I’和终端发送的MAC-I完全一致,则表示数据包通过完整性校验;否则表示数据包未通过完整性校验。
对数据包的完整性进行验证也即对终端的身份进行认证;数据包通过完整性校验,即终端的身份通过认证,数据包未通过完整性校验,即终端的身份未通过认证。
步骤405:网络设备更新用户标识。
具体地,更新用户标识可以采用下述方式实现:采用数据包中的用户标识(上一次使用的用户标识或者初始的用户标识)和一个随机数作为参数,采用预设算法计算得到新的用户标识。其中,随机数由终端随机生成,可以包括在前述数据包中,即数据包还包括终端随机生成的一个随机数。初始时,用户标识为终端的IMSI。
在完成用户标识更新后,网络设备将新的用户标识与终端的上下文信息进行映射并存储。
步骤406:网络设备向终端发送确认数据包,确认数据包为网络设备在接收到数据包并通过完整性校验后发送的。
具体地,网络设备采用算法指示信息所指示的加密算法和完整性保护算法、终端的公钥及网络设备的私钥分别对确认数据包进行加密和完整性保护;然后向终端发送确认数据包。
确认数据包用于确认接收到数据包,并完成终端对网络设备身份合法性的校验以及数据包的完整性校验。
其中,确认数据包的完整性保护是必选的,而加密处理是可选的。
步骤407:网络设备将用户数据发送给服务器。
当网络设备为网关时,将用户数据发送给服务器,包括:
网络设备根据服务器的统一资源定位符获取服务器的因特网协议(InternetProtocol,简称IP)地址(具体可以通过域名系统(Domain Name System,简称DNS)查询得到);采用服务器的IP地址与服务器建立传输控制协议(Transmission Control Protocol,简称TCP)连接;通过TCP连接,将用户数据发送给服务器。
当网络设备为基站时,将用户数据发送给服务器,包括:
网络设备将服务器的统一资源定位符和用户数据通过IPsec隧道技术发送给网关,以使网关将用户数据发送给服务器。其中,网关将用户数据发送给服务器的具体过程,与“当网络设备为网关时,将用户数据传输给服务器”的流程相同。
具体地,网络设备可以通过IPsec隧道技术将服务器的统一资源定位符和用户数据发送给网关。
进一步地,该方法还包括:
网络设备将网络设备的公钥和算法指示发送给终端。
具体地,如果网络设备是基站,基站直接将网络设备的公钥和算法指示等通过系统信息发送给终端。
如果网络设备是网关,网关先将网络设备的公钥和算法指示等发送给基站,然后再由基站通过系统信息发送给终端。
进一步地,当网络设备为网关时,网络设备可以将网络设备的公钥对应的网络设备的标识发送给终端。具体地,可以通过前述系统信息实现,即系统信息中还可以包括与网络设备的公钥对应的网络设备的标识。例如,系统信息可以同时包括一个或者多个网关的标识及对应的网关的公钥。
本发明实施例中,网络设备接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护,并且是终端在未建立RRC连接的状态下发送的,网络设备对数据包进行解密并验证数据包的完整性后,将用户数据发送给服务器,在数据传输过程中,无需与终端建立RRC连接、也无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗;同时,采用非对称密钥方式对用户数据进行加密和完整性保护,保证了在无连接状态下传输数据的安全性。
图8是本发明实施例提供的一种数据传输方法的流程图,参见图8,该方法包括:
步骤501:网关将网关标识、网关的公钥及算法指示发送给基站。
进一步地,网关除了可以将网关的公钥发送给基站外,还可以将与网关的公钥对应的网关的标识发送给基站。
步骤502:基站将网关标识、网关的公钥及算法指示通过系统信息发送给终端。
步骤503:终端从系统信息中获取网关的公钥,采用算法指示信息所指示的加密算法和完整性保护算法、网关的公钥及终端的私钥分别对数据包进行加密和完整性保护。
具体地,采用网关的公钥将数据包由明文变为密文,采用终端的私钥对数据包的完整性进行保护。
步骤504:终端在未建立RRC连接的状态下,将数据包发送给基站。
终端将数据包通过基站分配的上行资源发送给基站。其中,基站分配的上行资源可以是终端发送前导序列所占的资源或者RRC连接建立请求消息或者其他方式。
步骤505:基站将数据包发送给网关。
步骤506:网关通过网关的私钥对数据包进行解密,得到用户标识、服务器的统一资源定位符、用户数据和随机数。
步骤507:网关通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥。
具体地,网关将用户标识发送给归属签约用户服务器;接收归属签约用户服务器返回的用户标识及对应的终端的公钥。
在上述过程中,基站可以每次向终端发送同一个网关的标识和公钥,使得该终端的数据被同一个网关所处理,从而让网关可以不用每次(除第一次外)到归属签约用户服务器中获取终端的公钥。
即在本发明实施例中,除了可以采用步骤507的方式获取终端的公钥外,还可以采用下述方式获取终端的公钥:网关在本地查找用户标识对应的上下文信息;从用户标识对应的上下文信息中获取终端的公钥。
步骤508:网关采用终端的公钥对数据包进行完整性校验,以及对终端身份合法性的验证。当数据包通过完整性校验时,网关执行步骤509-510。当数据包未通过完整性校验时,丢弃前述数据包。
具体地,终端通过终端的私钥对数据包进行完整性保护,生成完整性校验值MAC-I。终端将该生成的完整性校验值和数据包一起发送给网络设备。网络设备通过终端的公钥对数据包进行完整性校验,生成完整性校验值MAC-I’。如果网络设备生成的MAC-I’和终端发送的MAC-I完全一致,则表示数据包通过完整性校验;否则表示数据包未通过完整性校验。
步骤509:网关对上述用户标识进行更新。
具体地,更新用户标识可以采用下述方式实现:采用数据包中的用户标识和随机数作为参数,采用预设算法计算得到新的用户标识。其中,随机数由终端随机生成,可以包括在前述数据包中,即数据包还包括终端随机生成的一个随机数。
步骤510:网关向终端发送确认数据包。
具体地,网关采用算法指示信息所指示的加密算法和完整性保护算法、终端的公钥及网关的私钥分别对确认数据包进行加密和完整性保护;然后向终端发送确认数据包。
其中,确认数据包的完整性保护是必选的,而加密处理是可选的。
步骤511:网关将用户数据发送给服务器。
网关根据服务器的统一资源定位符获取服务器的因特网协议IP地址;采用服务器的IP地址与服务器建立传输控制协议TCP连接;通过TCP连接,将用户数据发送给服务器。
具体地,如图9所示:网关在获得基站发送的数据包,并返回确认数据包后,执行如下步骤完成步骤511:
步骤5111:网关通过DNS服务获取服务器的因特网协议IP地址;具体地,网关可以通过DNS服务器(图9未示出)获取服务器的因特网协议IP地址。
步骤5112:网关与服务器建立TCP连接。
步骤5113:网关将用户数据发送给服务器。
步骤5114:网关释放与服务器之间的TCP连接。
步骤512:终端在接收到确认数据包后,对上述用户标识进行更新。
具体地,终端在接收到确认数据包后,采用终端的私钥进行解密,采用网关的公钥进行完整性校验,仅当完整性校验通过时,进行上述用户标识的更新。用户标识的更新方式与步骤509相同。
本发明实施例中,终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,然后在未建立RRC连接的状态下,将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,无需建立RRC连接、也无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗;同时,采用非对称密钥方式对用户数据进行加密和完整性保护,保证了在无连接状态下传输数据的安全性。
图10是本发明实施例提供的一种数据传输方法的流程图,参见图10,该方法包括:
步骤601:基站将基站的公钥及算法指示通过系统信息发送给终端。
步骤602:终端从系统信息中获取基站的公钥及算法指示信息,采用算法指示信息所指示的加密算法和完整性保护算法、基站的公钥及终端的私钥分别对数据包进行加密和完整性保护。
具体地,采用网关的公钥将数据包由明文变为密文,采用终端的私钥对数据包的完整性进行保护。
步骤603:终端在未建立RRC连接的状态下,将数据包发送给基站。
终端将数据包通过基站分配的上行资源发送给基站。其中,基站分配的上行资源可以是终端发送前导序列所占的资源或者RRC连接建立请求消息或者其他方式。
步骤604:基站采用基站的私钥对数据包进行解密,获得用户标识、服务器的统一资源定位符、用户数据和终端随机产生的一个随机数。
步骤605:基站通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥。
具体地,基站将用户标识发送给网关,以使网关将用户标识发送给归属签约用户服务器;基站接收网关返回的用户标识及对应的终端的公钥。更具体地,基站通过IPsec隧道技术将用户标识发送给网关;基站接收网关通过IPsec隧道技术返回的用户标识及对应的终端的公钥。
在本发明实施例中,除了可以采用步骤605的方式获取终端的公钥外,还可以采用下述方式获取终端的公钥:基站在本地查找用户标识对应的上下文信息;从用户标识对应的上下文信息中获取终端的公钥。
步骤606:基站采用终端的公钥对数据包进行完整性校验。当数据包通过完整性校验时,基站执行步骤607-609。当数据包未通过完整性校验时,丢弃前述数据包。
具体地,终端通过终端的私钥对数据包进行完整性保护,生成完整性校验值MAC-I。终端将该生成的完整性校验值和数据包一起发送给网络设备。网络设备通过终端的公钥对数据包进行完整性校验,生成完整性校验值MAC-I’。如果网络设备生成的MAC-I’和终端发送的MAC-I完全一致,则表示数据包通过完整性校验;否则表示数据包未通过完整性校验。
步骤607:基站对上述用户标识进行更新。
具体地,更新用户标识可以采用下述方式实现:采用数据包中的用户标识和随机数作为参数,采用预设算法计算得到新的用户标识。其中,随机数由终端随机生成,可以包括在前述数据包中,即数据包还包括终端随机生成的一个随机数。
步骤608:基站向终端发送确认数据包。
具体地,基站采用算法指示信息所指示的加密算法和完整性保护算法、终端的公钥及网关的私钥分别对确认数据包进行加密和完整性保护;然后向终端发送确认数据包。
其中,确认数据包的完整性保护是必选的,而加密处理是可选的。
步骤609:基站将服务器的统一资源定位符和用户数据发送给网关。
具体地,基站通过IPsec隧道技术将服务器的统一资源定位符和用户数据发送给网关。
步骤610:网关将用户数据发送给服务器。
网关根据服务器的统一资源定位符获取服务器的因特网协议IP地址;采用服务器的IP地址与服务器建立传输控制协议TCP连接;通过TCP连接,将用户数据发送给服务器。
步骤611:终端在接收到确认数据包后,对上述用户标识进行更新。
终端在接收之后可以采用终端的私钥进行解密,然后采用基站的公钥进行完整性校验,仅当完整性校验通过时,进行上述用户标识的更新。用户标识的更新方式与步骤607相同。
本发明实施例中,终端采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,然后在未建立RRC连接的状态下,将数据包发送给网络设备,以通过网络设备将用户数据发送给服务器,在数据传输过程中,无需建立RRC连接、也无需与AAA服务器进行安全认证和密钥协商等步骤,减少了信令开销,降低了资源消耗;同时,采用非对称密钥方式对用户数据进行加密和完整性保护,保证了在无连接状态下传输数据的安全性。
图11是本发明实施例提供的一种数据传输装置的框图。该数据传输装置可以通过软件、硬件或者两者的结合实现成为终端的全部或者一部分。该数据传输装置可以包括:获取单元701、加密单元702和发送单元703。其中,获取单元701可以采用前述终端11中的处理器10与通信单元30共同实现,加密单元702可以采用前述终端11中的处理器10实现,发送单元703可以采用前述终端11中的通信单元30实现。
获取单元701,用于获取网络设备的公钥;
加密单元702,用于采用网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,数据包包括用户数据;
发送单元703,用于将数据包发送给网络设备,并通过网络设备将用户数据发送至服务器。
可选地,获取单元701,用于:
接收基站发送的系统信息,系统信息包括网络设备的公钥;
从系统信息中获取网络设备的公钥。
可选地,当网络设备为网关时,系统信息还包括网络设备的公钥对应的网络设备的标识。
可选地,系统信息还包括算法指示信息,算法指示信息用于指示终端对数据包进行加密和完整性保护采用的加密算法和完整性保护算法。
可选地,加密单元702,用于:
从系统信息中获取算法指示信息;
采用算法指示信息所指示的加密算法和完整性保护算法、网络设备的公钥及终端的私钥分别对数据包进行加密和完整性保护。
可选地,发送单元703,用于:
在未建立无线资源控制RRC连接的状态下,将数据包发送给网络设备。
可选地,发送单元703,用于:
在未与基站建立无线资源控制RRC连接的状态下,将数据包通过基站分配的上行资源发送给网络设备,基站分配的上行资源是终端发送前导序列所占的资源或者RRC连接建立请求消息。
可选地,数据包还包括用户标识和服务器的统一资源定位符,用户标识用于在数据传输过程中对终端进行标识。
可选地,装置还包括:
验证单元704,用于当接收到网络设备发送的确认数据包时,通过网络设备的公钥对确认数据包进行完整性校验,以验证网络设备身份的合法性以及确认数据包的完整性;
更新单元705,用于当确认数据包的完整性校验通过,对用户标识进行更新,确认数据包为网络设备在接收到数据包并通过完整性校验后发送的。
可选地,网络设备为基站或者网关。
图12是本发明实施例提供的一种数据传输装置的框图。该数据传输装置可以通过软件、硬件或者两者的结合实现成为基站12或者网关13的全部或者一部分。该数据传输装置可以包括:接收单元801、解密单元802、验证单元803和发送单元804。其中,接收单元801可以采用基站12中的接收器或者网关13中通信接口实现,解密单元802和验证单元803可以采用基站12或者网关13中的处理器实现,发送单元804可以采用基站12中的发送器或者网关13中的通信接口实现。
接收单元801,用于接收终端发送的数据包,数据包采用网络设备的公钥进行加密并采用终端的私钥进行完整性保护;
解密单元802,用于采用网络设备的私钥对数据包进行解密,得到用户数据,数据包包括用户数据;
验证单元803,用于采用终端的公钥对数据包进行完整性校验,以验证终端身份的合法性以及数据包的完整性;
发送单元804,用于当数据包通过完整性校验时,将用户数据发送给服务器。
可选地,数据包是终端在未建立RRC连接的状态下发送的。
可选地,数据包还包括用户标识,用户标识用于在数据传输过程中对终端进行标识。
可选地,装置还包括:
获取单元805,用于获取终端的公钥。
在一种可能的实现方式中,获取单元805,用于:
获取用户标识;
通过用户标识从归属签约用户服务器中,获取用户标识对应的终端的公钥;
在另一种可能的实现方式中,获取单元805,用于:
获取用户标识;
在本地查找用户标识对应的上下文信息;
从用户标识对应的上下文信息中获取终端的公钥。
在一种可能的实现方式中,获取单元805,用于:
将用户标识发送给归属签约用户服务器;
接收归属签约用户服务器返回的用户标识及对应的终端的公钥。
在另一种可能的实现方式中,获取单元805,用于:
将用户标识发送给网关;
接收网关返回的用户标识及对应的终端的公钥,网关返回的终端的公钥是网关从归属签约用户服务器获取的。
可选地,数据包还包括服务器的统一资源定位符。
在一种可能的实现方式中,发送单元804,用于:
根据服务器的统一资源定位符获取服务器的因特网协议IP地址;
采用服务器的IP地址与服务器建立传输控制协议TCP连接;
通过TCP连接,将用户数据发送给服务器。
在另一种可能的实现方式中,发送单元804,用于:
将服务器的统一资源定位符和用户数据发送给网关,以使网关将用户数据发送给服务器。
可选地,装置还包括:
更新单元806,用于当数据包通过完整性校验时,更新用户标识。
可选地,发送单元804,还用于:
在数据包通过完整性校验后,向终端发送确认数据包,确认数据包为网络设备在接收到数据包并通过完整性校验后发送的。
可选地,发送单元804还用于:
将网络设备的公钥和算法指示信息发送给终端。
可选地,发送单元804还用于:
将网络设备的公钥对应的网络设备的标识发送给终端。
需要说明的是:上述实施例提供的数据传输装置在进行数据传输时,仅以上述各功能单元的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元完成,即将设备的内部结构划分成不同的功能单元,以完成以上描述的全部或者部分功能。另外,上述实施例提供的数据传输装置与数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (44)
1.一种数据传输方法,其特征在于,所述方法包括:
终端获取网络设备的公钥;
所述终端采用所述网络设备的公钥对数据包进行加密,并采用所述终端的私钥对数据包进行完整性保护,所述数据包包括用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
所述终端将所述数据包发送给所述网络设备,并通过所述网络设备将所述用户数据发送至服务器;
当接收到所述网络设备发送的确认数据包时,所述终端通过所述网络设备的公钥对所述确认数据包进行完整性校验,以验证所述网络设备身份的合法性以及所述确认数据包的完整性;
当所述确认数据包的完整性校验通过,所述终端对所述用户标识进行更新,所述确认数据包为所述网络设备在接收到所述数据包并通过完整性校验和更新用户标识后发送的。
2.根据权利要求1所述的方法,其特征在于,所述终端获取所述网络设备的公钥,包括:
所述终端接收基站发送的系统信息,所述系统信息包括所述网络设备的公钥;
所述终端从所述系统信息中获取所述网络设备的公钥。
3.根据权利要求2所述的方法,其特征在于,当所述网络设备为网关时,所述系统信息还包括所述网络设备的公钥对应的网络设备的标识。
4.根据权利要求2或3所述的方法,其特征在于,所述系统信息还包括算法指示信息,所述算法指示信息用于指示所述终端对所述数据包进行加密和完整性保护采用的加密算法和完整性保护算法。
5.根据权利要求4所述的方法,其特征在于,所述终端采用所述网络设备的公钥对数据包进行加密,并采用所述终端的私钥对数据包进行完整性保护,包括:
所述终端从所述系统信息中获取所述算法指示信息;
所述终端采用所述算法指示信息所指示的加密算法和完整性保护算法、所述网络设备的公钥及所述终端的私钥分别对所述数据包进行加密和完整性保护。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述终端将所述数据包发送给所述网络设备,包括:
所述终端在未建立无线资源控制RRC连接的状态下,将所述数据包发送给所述网络设备。
7.根据权利要求6所述的方法,其特征在于,所述终端在未建立无线资源控制RRC连接的状态下,将所述数据包发送给所述网络设备,包括:
所述终端在未与基站建立无线资源控制RRC连接的状态下,将所述数据包通过所述基站分配的上行资源发送给所述网络设备,所述基站分配的上行资源是所述终端发送前导序列所占的资源或者RRC连接建立请求消息。
8.根据权利要求1-3任一项所述的方法,其特征在于,所述数据包还包括所述服务器的统一资源定位符。
9.根据权利要求1-3任一项所述的方法,其特征在于,所述网络设备为基站或者网关。
10.一种数据传输方法,其特征在于,所述方法包括:
网络设备接收终端发送的数据包,所述数据包采用所述网络设备的公钥进行加密并采用所述终端的私钥进行完整性保护;
所述网络设备采用所述网络设备的私钥对所述数据包进行解密,得到用户数据,所述数据包包括所述用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
所述网络设备采用所述终端的公钥对所述数据包进行完整性校验,以验证所述终端身份的合法性以及所述数据包的完整性;
当所述数据包通过完整性校验时,所述网络设备将所述用户数据发送给服务器;
当所述数据包通过完整性校验时,所述网络设备更新用户标识,并向所述终端发送确认数据包,以便于所述终端在所述确认数据包的完整性校验通过时对所述用户标识进行更新。
11.根据权利要求10所述的方法,其特征在于,所述数据包是所述终端在未建立RRC连接的状态下发送的。
12.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
所述网络设备获取所述终端的公钥。
13.根据权利要求12所述的方法,其特征在于,所述网络设备获取所述终端的公钥,包括:
所述网络设备获取所述用户标识;
所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥;
或者,所述网络设备获取所述终端的公钥,包括:
所述网络设备获取所述用户标识;
所述网络设备在本地查找所述用户标识对应的上下文信息;
所述网络设备从所述用户标识对应的上下文信息中获取所述终端的公钥。
14.根据权利要求13所述的方法,其特征在于,当所述网络设备为网关时,所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥,包括:
所述网络设备将所述用户标识发送给所述归属签约用户服务器;
所述网络设备接收所述归属签约用户服务器返回的所述用户标识及对应的所述终端的公钥。
15.根据权利要求13所述的方法,其特征在于,当所述网络设备为基站时,所述网络设备通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥,包括:
所述网络设备将所述用户标识发送给网关;
所述网络设备接收所述网关返回的所述用户标识及对应的所述终端的公钥,所述网关返回的所述终端的公钥是所述网关从所述归属签约用户服务器获取的。
16.根据权利要求10或11所述的方法,其特征在于,所述数据包还包括服务器的统一资源定位符。
17.根据权利要求16所述的方法,其特征在于,当所述网络设备为网关时,所述网络设备将所述用户数据发送给服务器,包括:
所述网络设备根据所述服务器的统一资源定位符获取所述服务器的因特网协议IP地址;
所述网络设备采用所述服务器的IP地址与所述服务器建立传输控制协议TCP连接;
所述网络设备通过所述TCP连接,将所述用户数据发送给所述服务器。
18.根据权利要求16所述的方法,其特征在于,当所述网络设备为基站时,所述网络设备将所述用户数据发送给服务器,包括:
所述网络设备将所述服务器的统一资源定位符和所述用户数据发送给网关,以使所述网关将所述用户数据发送给所述服务器。
19.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
所述网络设备将所述网络设备的公钥和算法指示信息发送给所述终端。
20.根据权利要求10或11所述的方法,其特征在于,所述网络设备为网关时,所述方法还包括:
所述网络设备将所述网络设备的公钥对应的网络设备的标识发送给所述终端。
21.一种数据传输装置,其特征在于,所述装置包括:
获取单元,用于获取网络设备的公钥;
加密单元,用于采用所述网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,所述数据包包括用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
发送单元,用于将所述数据包发送给所述网络设备,并通过所述网络设备将所述用户数据发送至服务器;
验证单元,用于当接收到所述网络设备发送的确认数据包时,通过所述网络设备的公钥对所述确认数据包进行完整性校验,以验证所述网络设备身份的合法性以及所述确认数据包的完整性;
更新单元,用于当所述确认数据包的完整性校验通过,对所述用户标识进行更新,所述确认数据包为所述网络设备在接收到所述数据包并通过完整性校验和更新用户标识后发送的。
22.根据权利要求21所述的装置,其特征在于,所述获取单元,用于:
接收基站发送的系统信息,所述系统信息包括所述网络设备的公钥;
从所述系统信息中获取所述网络设备的公钥。
23.根据权利要求22所述的装置,其特征在于,当所述网络设备为网关时,所述系统信息还包括所述网络设备的公钥对应的网络设备的标识。
24.根据权利要求22或23所述的装置,其特征在于,所述系统信息还包括算法指示信息,所述算法指示信息用于指示所述终端对所述数据包进行加密和完整性保护采用的加密算法和完整性保护算法。
25.根据权利要求24所述的装置,其特征在于,所述加密单元,用于:
从所述系统信息中获取所述算法指示信息;
采用所述算法指示信息所指示的加密算法和完整性保护算法、所述网络设备的公钥及所述终端的私钥分别对所述数据包进行加密和完整性保护。
26.根据权利要求21-23任一项所述的装置,其特征在于,所述发送单元,用于:
在未建立无线资源控制RRC连接的状态下,将所述数据包发送给所述网络设备。
27.根据权利要求26所述的装置,其特征在于,所述发送单元,用于:
在未与基站建立无线资源控制RRC连接的状态下,将所述数据包通过所述基站分配的上行资源发送给所述网络设备,所述基站分配的上行资源是所述终端发送前导序列所占的资源或者RRC连接建立请求消息。
28.根据权利要求21-23任一项所述的装置,其特征在于,所述数据包还包括所述服务器的统一资源定位符。
29.根据权利要求21-23任一项所述的装置,其特征在于,所述网络设备为基站或者网关。
30.一种数据传输装置,其特征在于,所述装置包括:
接收单元,用于接收终端发送的数据包,所述数据包采用网络设备的公钥进行加密并采用所述终端的私钥进行完整性保护;
解密单元,用于采用所述网络设备的私钥对所述数据包进行解密,得到用户数据,所述数据包包括所述用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
验证单元,用于采用所述终端的公钥对所述数据包进行完整性校验,以验证所述终端身份的合法性以及所述数据包的完整性;
发送单元,用于当所述数据包通过完整性校验时,将所述用户数据发送给服务器;
更新单元,用于当所述数据包通过完整性校验时,更新用户标识;
所述发送单元,还用于在所述数据包通过完整性校验后,向所述终端发送确认数据包,以便于所述终端在所述确认数据包的完整性校验通过时对所述用户标识进行更新。
31.根据权利要求30所述的装置,其特征在于,所述终端在未建立RRC连接的状态下发送的。
32.根据权利要求30或31所述的装置,其特征在于,所述装置还包括:
获取单元,用于获取所述终端的公钥。
33.根据权利要求32所述的装置,其特征在于,所述获取单元,用于:
获取所述用户标识;
通过所述用户标识从归属签约用户服务器中,获取所述用户标识对应的所述终端的公钥;
或者,所述获取单元,用于:
获取所述用户标识;
在本地查找所述用户标识对应的上下文信息;
从所述用户标识对应的上下文信息中获取所述终端的公钥。
34.根据权利要求33所述的装置,其特征在于,所述获取单元,用于:
将所述用户标识发送给所述归属签约用户服务器;
接收所述归属签约用户服务器返回的所述用户标识及对应的所述终端的公钥。
35.根据权利要求33所述的装置,其特征在于,所述获取单元,用于:
将所述用户标识发送给网关;
接收所述网关返回的所述用户标识及对应的所述终端的公钥,所述网关返回的所述终端的公钥是所述网关从所述归属签约用户服务器获取的。
36.根据权利要求30或31所述的装置,其特征在于,所述数据包还包括服务器的统一资源定位符。
37.根据权利要求36所述的装置,其特征在于,所述发送单元,用于:
根据所述服务器的统一资源定位符获取所述服务器的因特网协议IP地址;
采用所述服务器的IP地址与所述服务器建立传输控制协议TCP连接;
通过所述TCP连接,将所述用户数据发送给所述服务器。
38.根据权利要求36所述的装置,其特征在于,所述发送单元,用于:
将所述服务器的统一资源定位符和所述用户数据发送给网关,以使所述网关将所述用户数据发送给所述服务器。
39.根据权利要求30或31所述的装置,其特征在于,所述发送单元,还用于:
将所述网络设备的公钥和算法指示信息发送给所述终端。
40.根据权利要求30或31所述的装置,其特征在于,所述发送单元,还用于:
将所述网络设备的公钥对应的网络设备的标识发送给所述终端。
41.一种数据传输设备,其特征在于,所述数据传输设备包括处理器、存储器以及通信单元;所述存储器用于存储软件程序以及模块,所述处理器通过运行或执行存储在所述存储器内的软件程序和/或模块实现:
获取网络设备的公钥;
采用所述网络设备的公钥对数据包进行加密,并采用终端的私钥对数据包进行完整性保护,所述数据包包括用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
将所述数据包发送给所述网络设备,并通过所述网络设备将所述用户数据发送至服务器;
当接收到所述网络设备发送的确认数据包时,所述终端通过所述网络设备的公钥对所述确认数据包进行完整性校验,以验证所述网络设备身份的合法性以及所述确认数据包的完整性;
当所述确认数据包的完整性校验通过,所述终端对所述用户标识进行更新,所述确认数据包为所述网络设备在接收到所述数据包并通过完整性校验和更新用户标识后发送的。
42.一种数据传输设备,其特征在于,所述数据传输设备包括处理器、存储器以及通信单元,所述通信单元包括通信接口,或者接收器和发送器;所述存储器用于存储软件程序以及模块,所述处理器通过运行或执行存储在所述存储器内的软件程序和/或模块实现:
接收终端发送的数据包,所述数据包采用网络设备的公钥进行加密并采用所述终端的私钥进行完整性保护,并且是所述终端在未建立RRC连接的状态下发送的;
采用所述网络设备的私钥对所述数据包进行解密,得到用户数据,所述数据包包括所述用户数据和用户标识,所述用户标识用于在数据传输过程中对所述终端进行标识;
采用所述终端的公钥对所述数据包进行完整性校验,以验证所述终端身份的合法性以及所述数据包的完整性;
当所述数据包通过完整性校验时,将所述用户数据发送给服务器;
当所述数据包通过完整性校验时,所述网络设备更新用户标识,并向所述终端发送确认数据包,以便于所述终端在所述确认数据包的完整性校验通过时对所述用户标识进行更新。
43.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储处理器在业务传输时所执行的程序代码,所述程序代码包括用于实现权利要求1至9任一所述的方法的指令。
44.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储处理器在业务传输时所执行的程序代码,所述程序代码包括用于实现权利要求10至20任一所述的方法的指令。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2015/100252 WO2017113353A1 (zh) | 2015-12-31 | 2015-12-31 | 数据传输方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108476131A CN108476131A (zh) | 2018-08-31 |
| CN108476131B true CN108476131B (zh) | 2021-02-12 |
Family
ID=59224291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580085587.3A Active CN108476131B (zh) | 2015-12-31 | 2015-12-31 | 数据传输方法、装置和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10904760B2 (zh) |
| EP (1) | EP3386140B1 (zh) |
| CN (1) | CN108476131B (zh) |
| WO (1) | WO2017113353A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017113353A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 数据传输方法、装置和设备 |
| CN109791590A (zh) * | 2016-08-22 | 2019-05-21 | 诺基亚技术有限公司 | 安全性过程 |
| CN107566119A (zh) * | 2017-09-28 | 2018-01-09 | 中国—东盟信息港股份有限公司 | 一种eSIM卡数据安全的保护方法及系统 |
| CN111866872B (zh) * | 2019-04-29 | 2023-06-02 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110475034B (zh) * | 2019-07-23 | 2020-12-22 | 深圳市六度人和科技有限公司 | 提高话机安全性的方法、用户端装置、服务器装置及系统 |
| CN114189858B (zh) * | 2021-12-09 | 2023-10-24 | 国网江苏省电力有限公司泰州供电分公司 | 一种基于非对称加密的电力5g公网安全传输方法 |
| CN114301663A (zh) * | 2021-12-27 | 2022-04-08 | 中国电信股份有限公司 | 数据处理方法、装置、电子设备及计算机可读存储介质 |
| CN114697022A (zh) * | 2022-03-18 | 2022-07-01 | 北京国泰网信科技有限公司 | 应用于配电网系统的加密认证方法 |
| CN115314242A (zh) * | 2022-06-24 | 2022-11-08 | 贵州省气象信息中心(贵州省气象档案馆、贵州省气象职工教育培训中心) | 一种网络数据安全加密方法及其装置 |
| CN116418580B (zh) * | 2023-04-10 | 2023-11-24 | 广东粤密技术服务有限公司 | 用于局域网的数据完整性保护检测方法、装置及电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2533457A1 (en) * | 2011-06-10 | 2012-12-12 | Certicom (U.S) Limited | Secure implicit certificate chaining |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6272631B1 (en) * | 1997-06-30 | 2001-08-07 | Microsoft Corporation | Protected storage of core data secrets |
| US6842628B1 (en) * | 2001-08-31 | 2005-01-11 | Palmone, Inc. | Method and system for event notification for wireless PDA devices |
| US20040111610A1 (en) * | 2002-12-05 | 2004-06-10 | Canon Kabushiki Kaisha | Secure file format |
| KR20060087271A (ko) * | 2005-01-28 | 2006-08-02 | 엘지전자 주식회사 | 이동통신 가입자 인증의 보안 전송 방법 |
| CN101159639B (zh) * | 2007-11-08 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | 一种单向接入认证方法 |
| CN100488099C (zh) * | 2007-11-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种双向接入认证方法 |
| CN101626294A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 基于身份的认证方法、保密通信方法、设备和系统 |
| KR20120071229A (ko) * | 2010-12-22 | 2012-07-02 | 한국전자통신연구원 | 이동통신 시스템의 데이터 전송 방법 |
| US8650404B2 (en) * | 2012-02-28 | 2014-02-11 | Motorola Solutions, Inc. | Communication protocol for secure communications systems |
| CN102761560B (zh) * | 2012-08-01 | 2015-01-14 | 飞天诚信科技股份有限公司 | 一种验证信息完整性的方法和系统 |
| CN104737572B (zh) * | 2012-11-01 | 2019-01-18 | Lg 电子株式会社 | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 |
| US9220012B1 (en) * | 2013-01-15 | 2015-12-22 | Marvell International Ltd. | Systems and methods for provisioning devices |
| US9350550B2 (en) * | 2013-09-10 | 2016-05-24 | M2M And Iot Technologies, Llc | Power management and security for wireless modules in “machine-to-machine” communications |
| CN103813333B (zh) * | 2014-02-21 | 2017-12-19 | 天地融科技股份有限公司 | 一种基于协商密钥的数据处理方法 |
| CN104955040B (zh) * | 2014-03-27 | 2019-12-24 | 西安西电捷通无线网络通信股份有限公司 | 一种网络鉴权认证的方法及设备 |
| US9825928B2 (en) * | 2014-10-22 | 2017-11-21 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| WO2017113353A1 (zh) * | 2015-12-31 | 2017-07-06 | 华为技术有限公司 | 数据传输方法、装置和设备 |
-
2015
- 2015-12-31 WO PCT/CN2015/100252 patent/WO2017113353A1/zh active Application Filing
- 2015-12-31 CN CN201580085587.3A patent/CN108476131B/zh active Active
- 2015-12-31 EP EP15911978.3A patent/EP3386140B1/en active Active
-
2018
- 2018-06-29 US US16/023,170 patent/US10904760B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2533457A1 (en) * | 2011-06-10 | 2012-12-12 | Certicom (U.S) Limited | Secure implicit certificate chaining |
Non-Patent Citations (1)
| Title |
|---|
| 《无线传感网数据融合完整性保护方案研究进展》;周强;《南京邮电大学学报(自然科学版)》;20140616;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108476131A (zh) | 2018-08-31 |
| EP3386140A1 (en) | 2018-10-10 |
| EP3386140A4 (en) | 2018-10-10 |
| WO2017113353A1 (zh) | 2017-07-06 |
| US10904760B2 (en) | 2021-01-26 |
| US20180323971A1 (en) | 2018-11-08 |
| EP3386140B1 (en) | 2020-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476131B (zh) | 数据传输方法、装置和设备 | |
| Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
| EP3605989B1 (en) | Information sending method, information receiving method, apparatus, and system | |
| JP4804983B2 (ja) | 無線端末、認証装置、及び、プログラム | |
| KR102024331B1 (ko) | 메시지 보호 방법, 관련 장치 및 시스템 | |
| CN110891269B (zh) | 一种数据保护方法、设备及系统 | |
| KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
| CN109905348B (zh) | 端到端认证及密钥协商方法、装置及系统 | |
| EP4021048A1 (en) | Identity authentication method and apparatus | |
| US10454905B2 (en) | Method and apparatus for encrypting and decrypting picture, and device | |
| CN109391937B (zh) | 公钥的获取方法、设备及系统 | |
| EP3831111A1 (en) | Secured authenticated communication between an initiator and a responder | |
| CN113423104A (zh) | 安全协商方法、终端设备和网络设备 | |
| US11588622B2 (en) | Securing outside-vehicle communication using IBC | |
| CN111355575A (zh) | 通信加密方法、电子设备及可读存储介质 | |
| CN114189343A (zh) | 互相认证的方法和装置 | |
| CA2813765C (en) | A method for securing credentials in a remote repository | |
| CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| CN115868189A (zh) | 建立车辆安全通信的方法、车辆、终端及系统 | |
| CN110830421B (zh) | 数据传输方法和设备 | |
| CN105764050B (zh) | 从无线局域网内终端向网外设备发送数据的方法和装置 | |
| CN116391376A (zh) | 通信方法及装置 | |
| CN110061833B (zh) | 一种身份位置的绑定更新方法及装置 | |
| EP3163929B1 (en) | Preventing messaging attacks | |
| CN112514436B (zh) | 发起器和响应器之间的安全的、被认证的通信 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |