CN109150793B - 一种隐私保护方法及设备 - Google Patents
一种隐私保护方法及设备 Download PDFInfo
- Publication number
- CN109150793B CN109150793B CN201710453033.5A CN201710453033A CN109150793B CN 109150793 B CN109150793 B CN 109150793B CN 201710453033 A CN201710453033 A CN 201710453033A CN 109150793 B CN109150793 B CN 109150793B
- Authority
- CN
- China
- Prior art keywords
- identity
- node
- gateway
- location
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/025—Services making use of location information using location based information parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种隐私保护方法及设备,涉及通信领域,解决了通信节点的隐私被泄露问题。具体方案为:第一网关接收来自第二网关的第一数据包,并根据第一数据包获取第一节点的身份和第二节点的身份,且第一网关采用第一网关的本地密钥对第二位置进行加密,生成并向第一节点发送第二数据包,或者,生成并向第一节点发送第三数据包。其中,第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。本发明实施例用于保护通信节点的隐私的过程中。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种隐私保护方法及设备。
背景技术
在现有的互联网协议(Internet Protocol,IP)中,由于IP地址具有身份和位置的双重属性,因此移动节点(Mobile Note,MN)可以根据对端节点(Correspondent Note,CN)的IP地址获知和自身进行通信的是CN,且可以基于CN的IP地址进行寻址,以确定出CN在哪儿。这样IP地址会随着节点的位置改变而变化,导致存在IP地址不天然支持移动性,且安全性低的问题。为了解决IP地址不天然支持移动性,且安全性低的问题,现有技术中提出一种身份和位置分离的技术。在身份和位置分离的协议中,身份用于唯一标识每个节点,不会随着节点的位置改变而变化,位置用于表示节点所在位置的地址。这样MN可以根据CN的身份获知和自身进行通信的是CN,并根据CN的位置确定出CN在哪儿。
但是,在身份和位置分离的协议中,由于身份和位置代表的“谁在哪儿”已经构成了用户的一条隐私,且MN和CN进行数据的传输时,对于CN和网络传输设备而言,MN的身份和位置信息均是公开的,因此造成了MN的隐私的泄露。为了对MN的隐私进行保护,在身份和位置分离的协议,如移动互联网协议第六版(Mobile Internet Protocol Version 6,MIPV6,MIPV6)和主机身份协议(Host Identity Protocol,HIP)中分别提供了保护MN的隐私的方案。具体的:
MIPV6中,在MN漫游后,MN可以向CN发送包含有MN的身份(身份在MIPV6中称为家乡地址(Home Address,HOA))和新的位置的绑定更新(Binding Update,BU)消息,以便CN能够与漫游后的MN进行通信。且MN通过在BU消息中携带加密后的HOA或者虚假化后的HOA,来防止CN和网络传输设备获取到MN的隐私。
HIP中,当MN需要向CN发送包括有MN的身份和位置的数据包时,MN可以将数据包发送至集中代理(Rendezvous Agent,RVA),以便RVA将数据包中的MN的位置替换为自身的IP地址,再由RVA将数据包发送至CN,从而保护MN的隐私。
现有技术中至少存在以下问题:在MIPV6中,由于对HOA进行加密采用的密钥是MN与CN的共享密钥,因此CN可以对BU消息中的加密后的HOA进行解密,获得MN的真实HOA和位置,导致对于CN而言,MN的隐私被泄露。且,由于虚假HOA要求路由可达,因此虚假HOA中只有一部分是虚假地址,另一部分是真实地址,例如,128比特(bit)的HOA中前64bit是真实的地址,后64bit是虚假地址,这样对于CN和网络传输设备而言,会在一定程度上暴露HOA的地址范围,即在一定程度上泄露MN的隐私。在HIP中,由于RVA的IP地址会在一定程度上暴露MN的位置的地址范围,因此对于CN和网络传输设备而言,会在一定程度上泄露MN的隐私。同理,对于MN和网络传输设备而言,CN的隐私也会被泄露。也就是说,现有技术中会存在通信节点的隐私被泄露的问题,该通信节点可以是MN,也可以是CN。
发明内容
本发明实施例提供一种隐私保护方法及设备,解决了通信节点的隐私被泄露的问题。
为达到上述目的,本发明实施例采用如下技术方案:
本发明实施例的第一方面,提供一种隐私保护方法,包括:第一网关接收来自第二网关的第一数据包,并根据第一数据包获取第一节点的身份和第二节点的身份,且第一网关采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,或者,第一网关生成并向第一节点发送第三数据包。其中,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据,第二数据包中包括:第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,第三数据包中包括:第一节点的身份、第二节点的身份和待发送数据,第一密钥是第一网关的本地密钥。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,或者,生成并向第一节点发送第三数据包,该第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过对MN的位置进行加密,并向CN发送包括有MN的身份和加密后的MN的位置的数据包,由于加密MN的位置采用的密钥是第一网关的本地密钥,因此CN接收到该数据包后,无法获得MN的真实位置,从而使得CN无法获知MN的隐私。或者,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
结合第一方面,在一种可能的实现方式中,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份。在第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份的情况下,由于第二网关经由网络传输设备向第一网关发送的是包含有匿名处理后的第一节点的身份和匿名处理后的第二节点的身份的第一数据包,因此网络传输设备无法获得第一节点的真实身份和第二节点的真实身份,使得网络传输设备无法获知第一节点的隐私和第二节点的隐私。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,匿名处理后的第一节点的身份为采用共享密钥对第一节点的身份进行加密后的身份,匿名处理后的第二节点的身份为采用共享密钥对第二节点的身份进行加密后的身份,此时,第一网关根据第一数据包获取第一节点的身份和第二节点的身份,具体的可以包括:第一网关采用共享密钥对匿名处理后的第一节点的身份和匿名处理后的第二节点的身份进行解密,获得第一节点的身份和第二节点的身份。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,匿名处理后的第一节点的身份为对第一节点的身份进行随机化后的身份,匿名处理后的第二节点的身份为对第二节点的身份进行随机化后的身份,此时,第一网关根据第一数据包获取第一节点的身份和第二节点的身份,具体的可以包括:第一网关向身份位置映射系统(IdentityLocator Mapping System,ILMS)发送第一查询消息,并接收ILMS返回的第一节点的身份和第二节点的身份。其中,第一查询消息中包括第一位置和第二位置,ILMS中保存有第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,在第一网关根据第一数据包获取第一节点的身份和第二节点的身份之前,还可以包括:第一网关判断是否存储有与第一位置对应的身份,以及与第二位置对应的身份。若确定存储有与第一位置对应的身份,以及与第二位置对应的身份,则第一网关将与第一位置对应的身份作为第一节点的身份,将与第二位置对应的身份作为第二节点的身份。此时,相应的,第一网关根据第一数据包获取第一节点的身份和第二节点的身份,具体的可以包括:若确定未存储有与第一位置对应的身份,以及与第二位置对应的身份,则第一网关根据第一数据包获取第一节点的身份和第二节点的身份。
结合第一方面和上述可能的实现方式,在另一种可能的实现方式中,在第一网关根据第一数据包获取第一节点的身份和第二节点的身份之后,还可以包括:第一网关保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系,以便第二节点再次向第一节点发送数据包时,第一网关可以在收到该数据包后直接从预存的对应关系中获得第一节点的身份和第二节点的身份,从而降低第一网关的功耗。
本发明实施例的第二方面,提供一种隐私保护方法,包括:第二网关生成第一数据包,并向第一网关发送第一数据包。第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据。且,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份。
本发明实施例提供的隐私保护方法,第二网关生成并向第一网关发送第一数据包。在第一节点为CN,第二节点为MN的情况下,当该第一数据包中包括的第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份时,由于第二网关经由网络传输设备向第一网关发送该第一数据包时,网络传输设备无法获得MN的真实身份和CN的真实身份,因此网络传输设备无法获知MN的隐私和CN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得网络传输设备无法获知MN的隐私和CN的隐私。
结合第二方面,在一种可能的实现方式中,在第二网关生成第一数据包之前,还可以包括:第二网关接收第二节点发送的第四数据包,并采用第二密钥对加密后的第一位置进行解密,得到第一位置。第四数据包中包括:第一节点的身份、第二节点的身份、加密后的第一位置、第二位置和待发送数据,加密后的第一位置是采用第二密钥对第一位置加密得到的,第二密钥是第二网关的本地密钥。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,在第二网关接收第二节点发送的第四数据包之前,还可以包括:第二网关接收第二节点发送的请求消息,并向ILMS发送请求消息,且接收ILMS返回的第一位置。且第二网关采用第二密钥对第一位置进行加密,并向第二节点发送加密后的第一位置。其中,请求消息中包括第一节点的身份,ILMS中保存有第一节点的身份和第一位置的对应关系。这样,第二网关通过采用本地密钥对第一位置进行加密,并向第二节点发送加密后的第一位置,使得第二节点无法获知第一节点的隐私。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,在第二网关生成第一数据包之前,还可以包括:第二网关接收第二节点发送的第五数据包,并向ILMS发送第二查询消息,且接收ILMS返回的第一位置和第二位置。其中,第五数据包中包括:第一节点的身份、第二节点的身份和待发送数据,第二查询消息中包括第一节点的身份和第二节点的身份,ILMS中保存有第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。
结合第二方面和上述可能的实现方式,在另一种可能的实现方式中,当第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份时,在第二网关生成第一数据包之前,还可以包括:第二网关对第一节点的身份和第二节点身份进行匿名处理,得到匿名处理后的第一节点的身份和匿名处理后的第二节点的身份,使得第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。
本发明实施例的第三方面,提供一种隐私保护方法,包括:第二节点向第二网关发送请求消息,并接收第二网关发送的加密后的第一位置。其中,请求消息中包括第一节点的身份,第一位置为第一节点的位置,加密后的第一位置是采用第二密钥对第一位置加密得到的,第二密钥是第二网关的本地密钥。
本发明实施例提供的隐私保护方法,第二节点向第二网关发送请求消息之后,接收到第二网关发送的加密后的第一位置。在第一节点为CN,第二节点为MN的情况下,由于加密后的CN的位置是采用第二网关的本地密钥对CN的位置加密得到的,因此MN接收到加密后的CN的位置后,无法获得CN的真实位置,从而使得MN无法获知CN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得CN无法获知MN的隐私。
本发明实施例的第四方面,提供一种隐私保护方法,包括:第一节点接收第一网关发送的第二数据包,或者,第一节点接收第一网关发送的第三数据包。其中,第二数据包中包括:第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,加密后的第二位置是采用第一密钥对第二位置加密得到的,第一密钥是第一网关的本地密钥,待发送数据为第二节点需向第一节点发送的数据,第三数据包中包括:第一节点的身份、第二节点的身份和待发送数据。
本发明实施例提供的隐私保护方法,第一节点接收第一网关发送的第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,或者,第一节点接收第一网关发送的第三数据包,该第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。在第一节点为CN,第二节点为MN的情况下,由于CN接收到的第二数据包中包括的是加密后的MN的位置,该加密后的MN的位置是采用第一网关的本地密钥对MN的位置加密得到的,因此CN无法获得MN的真实位置,从而使得CN无法获知MN的隐私。或者,由于CN接收到的第三数据包中未包括MN的位置,因此CN无法同时获得MN的身份和位置,从而使得CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
本发明实施例的第五方面,提供一种隐私保护方法,包括:第一网关接收来自第二网关的第一数据包,并根据第一数据包获取第一节点的身份和第二节点的身份,且生成并向第一节点发送第二数据包。其中,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一网关的位置,第二位置为第二网关的位置,待发送数据为第二节点需向第一节点发送的数据,第二数据包中包括:第一节点的身份、第二节点的身份和待发送数据。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,生成并向第一节点发送第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
结合第五方面,在一种可能的实现方式中,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份。在第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份的情况下,由于第二网关经由网络传输设备向第一网关发送的是包含有加密后的第一节点的身份和加密后的第二节点的身份的第一数据包,因此网络传输设备无法获得第一节点的真实身份和第二节点的真实身份,使得网络传输设备无法获知第一节点的隐私和第二节点的隐私。
结合第五方面和上述可能的实现方式,在另一种可能的实现方式中,当第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份时,第一网关根据第一数据包获取第一节点的身份和第二节点的身份,具体的可以包括:第一网关采用共享密钥对加密后的第一节点的身份和加密后的第二节点的身份进行解密,获得第一节点的身份和第二节点的身份。
本发明实施例的第六方面,提供一种隐私保护方法,包括:第二网关生成第一数据包,并向第一网关发送第一数据包。其中,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一网关的位置,第二位置为第二网关的位置,待发送数据为第二节点需向第一节点发送的数据。且第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份。
本发明实施例提供的隐私保护方法,第二网关生成并向第一网关发送第一数据包。这样,在第一节点为CN,第二节点为MN的情况下,当该第一数据包中包括的第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份时,由于第二网关经由网络传输设备向第一网关发送该第一数据包时,网络传输设备无法获得MN的真实身份和CN的真实身份,因此网络传输设备无法获知MN的隐私和CN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得网络传输设备无法获知MN的隐私和CN的隐私。
结合第六方面,在一种可能的实现方式中,在第二网关生成第一数据包之前,还可以包括:第二网关接收第二节点发送的第五数据包,并向ILMS发送第二查询消息,且接收ILMS返回的第一位置和第二位置。其中,第五数据包中包括:第一节点的身份、第二节点的身份和待发送数据,第二查询消息中包括第一节点的身份和第二节点的身份,ILMS中保存有第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。
结合第六方面和上述可能的实现方式,在另一种可能的实现方式中,当第一身份是加密后的第一节点的身份,第二身份是加密后的第二节点的身份时,在第二网关生成第一数据包之前,还可以包括:第二网关采用共享密钥对第一节点的身份和第二节点身份进行加密,得到加密后的第一节点的身份和加密后的第二节点的身份。
本发明实施例的第七方面,提供一种隐私保护方法,包括:第一节点接收第一网关发送的第二数据包,第二数据包中包括:第一节点的身份、第二节点的身份和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,待发送数据为第二节点需向第一节点发送的数据。
本发明实施例提供的隐私保护方法,第一节点接收第一网关发送的第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份和待发送数据。在第一节点为CN,第二节点为MN的情况下,由于CN接收到的第二数据包中未包括MN的位置,因此CN无法同时获得MN的身份和位置,从而使得CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
本发明实施例的第八方面,提供一种第一网关,所述第一网关包括:接收单元、获取单元、加密单元、处理单元和发送单元。接收单元,用于接收来自第二网关的第一数据包,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据。获取单元,用于根据接收单元接收到的第一数据包获取第一节点的身份和第二节点的身份。加密单元,用于采用第一密钥对第二位置进行加密;处理单元,用于生成第二数据包;发送单元,用于向第一节点发送处理单元生成的第二数据包,第一密钥是第一网关的本地密钥,第二数据包中包括:第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,或者,处理单元,用于生成第三数据包;发送单元,用于向第一节点发送处理单元生成的第三数据包,第三数据包中包括:第一节点的身份、第二节点的身份和待发送数据。
结合第八方面,在一种可能的实现方式中,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份。
结合第八方面和上述可能的实现方式,在另一种可能的实现方式中,匿名处理后的第一节点的身份为采用共享密钥对第一节点的身份进行加密后的身份,匿名处理后的第二节点的身份为采用共享密钥对第二节点的身份进行加密后的身份。获取单元,具体用于采用共享密钥对匿名处理后的第一节点的身份和匿名处理后的第二节点的身份进行解密,获得第一节点的身份和第二节点的身份。
结合第八方面和上述可能的实现方式,在另一种可能的实现方式中,匿名处理后的第一节点的身份为对第一节点的身份进行随机化后的身份,匿名处理后的第二节点的身份为对第二节点的身份进行随机化后的身份。获取单元,具体用于:向ILMS发送第一查询消息,第一查询消息中包括第一位置和第二位置,ILMS中保存有第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系;接收ILMS返回的第一节点的身份和第二节点的身份。
结合第八方面和上述可能的实现方式,在另一种可能的实现方式中,第一网关还包括:判断单元。判断单元,用于判断是否存储有与第一位置对应的身份,以及与第二位置对应的身份。处理单元,还用于若确定存储有与第一位置对应的身份,以及与第二位置对应的身份,则将与第一位置对应的身份作为第一节点的身份,将与第二位置对应的身份作为第二节点的身份。获取单元,具体用于若确定未存储有与第一位置对应的身份,以及与第二位置对应的身份,则根据第一数据包获取第一节点的身份和第二节点的身份。
结合第八方面和上述可能的实现方式,在另一种可能的实现方式中,第一网关还包括:存储单元。存储单元,用于保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系。
具体的实现方式可以参考第一方面或第一方面的可能的实现方式提供的隐私保护方法中第一网关的行为功能。
本发明实施例的第九方面,提供一种第二网关,第二网关包括:处理单元和发送单元。处理单元,用于生成第一数据包,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据。发送单元,用于向第一网关发送处理单元生成的第一数据包。其中,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份。
结合第九方面,在一种可能的实现方式中,第二网关还包括:接收单元和解密单元。接收单元,用于接收第二节点发送的第四数据包,第四数据包中包括:第一节点的身份、第二节点的身份、加密后的第一位置、第二位置和待发送数据,加密后的第一位置是采用第二密钥对第一位置加密得到的,第二密钥是第二网关的本地密钥。解密单元,用于采用第二密钥对加密后的第一位置进行解密,得到第一位置。
结合第九方面和上述可能的实现方式,在另一种可能的实现方式中,第二网关还包括:加密单元。接收单元,还用于接收第二节点发送的请求消息,请求消息中包括第一节点的身份。发送单元,还用于向ILMS发送接收单元接收到的请求消息,ILMS中保存有第一节点的身份和第一位置的对应关系。接收单元,还用于接收ILMS返回的第一位置。加密单元,用于采用第二密钥对接收单元接收到的第一位置进行加密。发送单元,还用于向第二节点发送加密单元加密的加密后的第一位置。
结合第九方面和上述可能的实现方式,在另一种可能的实现方式中,第二网关还包括:接收单元。接收单元,用于接收第二节点发送的第五数据包,第五数据包中包括:第一节点的身份、第二节点的身份和待发送数据。发送单元,还用于向ILMS发送第二查询消息,第二查询消息中包括第一节点的身份和第二节点的身份,ILMS中保存有第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。接收单元,还用于接收ILMS返回的第一位置和第二位置。
结合第九方面和上述可能的实现方式,在另一种可能的实现方式中,当第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份时,处理单元,还用于对第一节点的身份和第二节点身份进行匿名处理,得到匿名处理后的第一节点的身份和匿名处理后的第二节点的身份。
具体的实现方式可以参考第二方面或第二方面的可能的实现方式提供的隐私保护方法中第二网关的行为功能。
本发明实施例的第十方面,提供一种第一网关,第一网关包括:接收单元、获取单元、处理单元和发送单元。接收单元,用于接收来自第二网关的第一数据包,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一网关的位置,第二位置为第二网关的位置,待发送数据为第二节点需向第一节点发送的数据。获取单元,用于根据接收单元接收到的第一数据包获取第一节点的身份和第二节点的身份。处理单元,用于生成第二数据包,第二数据包中包括:第一节点的身份、第二节点的身份和待发送数据。发送单元,用于向第一节点发送处理单元生成的第二数据包。
具体的实现方式可以参考第五方面或第五方面的可能的实现方式提供的隐私保护方法中第一网关的行为功能。
本发明实施例的第十一方面,提供一种第二网关,第二网关包括:处理单元和发送单元。处理单元,用于生成第一数据包,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一网关的位置,第二位置为第二网关的位置,待发送数据为第二节点需向第一节点发送的数据。发送单元,用于向第一网关发送处理单元生成的第一数据包。其中,第一身份是第一节点的身份,第二身份是第二节点的身份;或者,第一身份是匿名处理后的第一节点的身份,第二身份是匿名处理后的第二节点的身份。
具体的实现方式可以参考第六方面或第六方面的可能的实现方式提供的隐私保护方法中第二网关的行为功能。
本发明实施例的第十二方面,提供一种第一网关,该第一网关包括:至少一个处理器、存储器、通信接口和通信总线。存储器用于存储计算机执行指令,处理器、通信接口与存储器通过通信总线连接,当第一网关运行时,处理器执行存储器存储的计算机执行指令,以使第一网关执行如第一方面或第一方面的可能的实现方式中任意一项的隐私保护方法,或者执行如第五方面或第五方面的可能的实现方式中任意一项的隐私保护方法。
本发明实施例的第十三方面,提供一种第二网关,该第二网关包括:至少一个处理器、存储器、通信接口和通信总线。存储器用于存储计算机执行指令,处理器、通信接口与存储器通过通信总线连接,当第二网关运行时,处理器执行存储器存储的计算机执行指令,以使第二网关执行如第二方面或第二方面的可能的实现方式中任意一项的隐私保护方法,或者执行如第六方面或第六方面的可能的实现方式中任意一项的隐私保护方法。
本发明实施例的第十四方面,提供一种计算机存储介质,用于存储上述第一网关所用的计算机软件指令,该计算机软件指令包含用于执行上述隐私保护方法所设计的程序。
本发明实施例的第十五方面,提供一种计算机存储介质,用于存储上述第二网关所用的计算机软件指令,该计算机软件指令包含用于执行上述隐私保护方法所设计的程序。
附图说明
图1为本发明实施例提供的一种可以应用本发明实施例的ION协议的系统架构的简化示意图;
图1a为ION协议的网络协议格式图;
图2为本发明实施例提供的另一种可以应用本发明实施例的ION协议的系统架构的简化示意图;
图3为本发明实施例提供的一种网关的组成示意图;
图4为本发明实施例提供的一种隐私保护方法的流程图;
图5为本发明实施例提供的另一种隐私保护方法的流程图;
图6为本发明实施例提供的另一种隐私保护方法的流程图;
图7为本发明实施例提供的另一种隐私保护方法的流程图;
图8为本发明实施例提供的另一种隐私保护方法的流程图;
图9为本发明实施例提供的一种第一网关的组成示意图;
图10为本发明实施例提供的另一种第一网关的组成示意图;
图11为本发明实施例提供的另一种第一网关的组成示意图;
图12为本发明实施例提供的一种第二网关的组成示意图;
图13为本发明实施例提供的另一种第二网关的组成示意图;
图14为本发明实施例提供的另一种第二网关的组成示意图。
具体实施方式
本发明实施例的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一节点和第二节点等是用于区别不同的通信节点,而不是用于描述设备的特定顺序。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了解决通信节点的隐私被泄露的问题,本发明实施例提供一种隐私保护方法,其基本原理是:第一网关接收来自第二网关的第一数据包,并根据第一数据包获取第一节点的身份和第二节点的身份,且第一网关采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,或者,第一网关生成并向第一节点发送第三数据包。其中,第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据,第二数据包中包括:第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,第三数据包中包括:第一节点的身份、第二节点的身份和待发送数据,第一密钥是第一网关的本地密钥。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过对MN的位置进行加密,并向CN发送包括有MN的身份和加密后的MN的位置的数据包,由于加密MN的位置采用的密钥是第一网关的本地密钥,因此CN接收到该数据包后,无法获得MN的真实位置,从而使得CN无法获知MN的隐私。或者,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。
下面将结合附图对本发明实施例的实施方式进行详细描述。
图1示出的是本发明实施例提供的一种可以应用本发明实施例的基于身份的网络(Identity Oriented Network,ION)协议的系统架构的简化示意图,ION协议是一种新型的身份和位置分离的协议,图1a为ION协议的网络协议格式图,如图1a所示,该ION协议与传统的传输控制协议/互联网协议(Transmission Control Protocol/Internet Protocol,TCP/IP)的区别之处为,ION协议在传统的TCP/IP的3层(IP层)和4层(传输层)中间增加了3.5层(ID层),3.5层的ID代表通信节点的身份,3层的IP代表通信节点的位置。且由于传统的TCP/IP中3层的IP具有身份和位置的双重属性,ION协议中3层的IP只代表位置,为了区分ION协议和传统的TCP/IP中的IP,将ION协议中的3层的IP称为Locator。
如图1所示,该系统架构10可以包括:第一节点11、第二节点12、第一网关13、第二网关14、核心网设备15、传统网络(Legacy Network)16等,核心网设备15可以包括ILMS151、验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器152、动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)服务器153、策略(Policy)服务器154。且该系统架构10应用于第二网关14对第一节点11的身份和第二节点12的身份进行随机化的场景中。
第二节点12可以通过第五代移动通信(The 5th Generation MobileCommunication,5G)、长期演进(Long Term Evolution,LTE)、无线保真(WirelessFidelity,WiFi)、有线接入等多种接入方式接入第二网关14,并通过第二网关14与核心网设备15进行交互。且第一节点11可以通过5G、LTE、WiFi、有线接入等多种接入方式接入第一网关13,并通过第一网关13与核心网设备15进行交互。当第二节点12需要向第一节点11发送数据时,第二节点12可以将该数据,经由第二网关14、传统网络16和第一网关13发送至第一节点11。
其中,第一节点11可以是CN,第二节点12可以是MN,或者,第一节点11可以是MN,第二节点12可以是CN。且第一节点11和第二节点12可以是无线终端也可以是有线终端。无线终端是自身可以提供蓝牙(Bluetooth,BT)、WiFi、近距离无线通讯技术(Near FieldCommunication,NFC)、红外线(lnfrared)等各种可用网络连接能力的无线终端。无线终端可以是向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,也可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。无线终端可以称为用户代理(User Agent)、用户设备(User Device)。
第一网关13和第二网关14为统一接入网关(Unified Access Gateway,UAG),支持多种接入方式,如5G、LTE、WiFi、有线接入等接入方式。且第一网关13和第二网关14中均包括有软件管理模块,用于进行加密、解密计算,以及对数据包的包头进行重写。在具体的实现中,当第二节点12向第二网关14发送的数据包中包括身份和位置时,第二网关14中的软件管理模块用于采用本地密钥对接收到ILMS 151返回的第一节点11的位置进行加密,以便使得第二节点12无法获知第一节点11的隐私,还用于对接收到第二节点12发送的数据包中包括的加密后的第一节点11的位置进行解密,得到第一节点11的位置,以便第二网关14基于第一节点11的位置进行寻址,将该数据包发送至第一网关13,并将第一节点11的位置重写到数据包的包头中的相应位置,第一网关13中的软件管理模块用于对第二节点12的位置进行加密,得到加密后的第二节点12的位置,以便使得第一节点11无法获知第二节点12的隐私,并将加密后的第二节点12的位置重写到数据包的包头中的相应位置。
核心网设备15,用于提供对用户的管理和业务管理。
其中,ILMS 151中保存有身份和位置的对应关系,用于提供基于身份的位置查询,还用于提供基于位置的身份查询,且该身份和位置的对应关系以分布式的方式存储在多个服务器中。在具体的实现中,ILMS 151,用于接收第一网关13发送的查询消息,并根据查询消息中包括的第一节点11的位置和第二节点12的位置,查询第一节点11的身份和第二节点12的身份。且当第二节点12向第二网关14发送的数据包中包括身份和位置时,ILMS 151,还用于接收第二网关14发送的包括有第一节点11的身份的请求消息,根据第一节点11的身份查询第一节点11的位置。当第二节点12向第二网关14发送的数据包中包括身份时,ILMS151,还用于接收第二网关14发送的查询消息,并根据查询消息中包括的第一节点11的身份和第二节点12的身份,查询第一节点11的位置和第二节点12的位置。
AAA服务器152,用于验证用户是否可以获得访问权限,授权用户可以使用哪些服务,记录用户使用网络资源的情况。
DHCP服务器153,用于分配动态的IP地址。
策略服务器154,用于完成策略管理功能,定义各种资源接入和使用的标准,对网络设备的工作进行动态干预,包括可支持的排队策略、丢包策略、路由规则等。
传输网络16,用于传输通信节点之间的数据包。
图2示出的是本发明实施例提供的另一种可以应用本发明实施例的ION协议的系统架构的简化示意图,如图2所示,该系统架构20可以包括:第一节点21、第二节点22、第一网关23、第二网关24、核心网设备25、传统网络26。其中,核心网设备25可以包括:ILMS 251、AAA服务器252、DHCP服务器253、策略服务器254、身份密钥管理系统(ldentity KeysManagement System,IKMS)255。且该系统架构20应用于第二网关24采用IKMS 255发送的共享密钥对第一节点21的身份和第二节点22的身份进行加密的场景中。
第二节点22可以通过5G、LTE、WiFi、有线接入等多种接入方式接入第二网关24,并通过第二网关24与核心网设备25进行交互。且第一节点21可以通过5G、LTE、WiFi、有线接入等多种接入方式接入第一网关23,并通过第一网关23与核心网设备25进行交互。当第二节点22需要向第一节点21发送数据时,第二节点22可以将该数据,经由第二网关24、传统网络26和第一网关23发送至第一节点21。
其中,第一网关23和第二网关24为UAG,支持多种接入方式,如5G、LTE、WiFi、有线接入等接入方式。且第一网关23和第二网关24中均包括有软件管理模块,用于进行加密、解密计算,以及对数据包的包头进行重写。在具体的实现中,第二网关24的软件管理模块,用于采用IKMS 255发送的共享密钥对接收到第二节点22发送的数据包中包括的第一节点21的身份和第二节点22的身份进行加密,以便第二网关24经由网络传输设备向第一网关23发送该数据包时,网络传输设备无法获知第一节点21的隐私和第二节点22的隐私,并将加密后的第一节点21的身份和加密后的第二节点22的身份重写到数据包的包头中的相应位置。第一网关23的软件管理模块,用于采用IKMS 255发送的共享密钥对接收到第二网关24发送的数据包中包括的加密后的第一节点21的身份和加密后的第二节点22的身份进行解密,并将第一节点21的身份和第二节点22的身份重写到数据包的包头中的相应位置。且当第二节点22向第二网关24发送的数据包中包括身份和位置时,第二网关24的软件管理模块,还用于采用本地密钥对接收到ILMS 251返回的第一节点21的位置进行加密,以便使得第二节点22无法获知第一节点21的隐私,还用于对接收到第二节点22发送的数据包中包括的加密后的第一节点21的位置进行解密,以便第二网关24基于第一节点21的位置进行寻址,将该数据包发送至第一网关23,并将第一节点21的位置重写到数据包的包头中的相应位置。第一网关23的软件管理模块,用于对第二节点22的位置进行加密,以便使得第一节点11无法获知第二节点12的隐私,并将加密后的第二节点22的位置重写到数据包的包头中的相应位置。
ILMS 251中保存有身份和位置的对应关系,用于提供基于身份的位置查询,还用于提供基于位置的身份查询,且该身份和位置的对应关系以分布式的方式存储在多个服务器中。当第二节点22向第二网关24发送的数据包中包括身份和位置时,ILMS 251,用于接收第二网关24发送的包括有第一节点21的身份的请求消息,根据第一节点21的身份查询第一节点21的位置。当第二节点12向第二网关14发送的数据包中包括身份时,ILMS 251,用于接收第二网关24发送的查询请求,根据查询请求中包括的第一节点21的身份和第二节点22的身份查询第一节点21的位置和第二节点22的位置,或者,根据查询请求中包括的第一节点21的身份和第二节点22的身份查询第一网关23的位置和第二网关24的位置。需要说明的是,在第二节点22未发送请求消息的场景中,ILMS 251返回的是通信节点的位置还是网关的位置由ILMS 251中保存的对应关系决定,对于ILMS 251中保存的是通信节点的身份和该通信节点的位置的对应关系还是通信节点的身份和网关的位置的对应关系,本发明实施例在此不做限定。
IKMS 255,用于生成并维护对身份进行加密的共享密钥,该共享密钥以分布式的方式存储在多个服务器中。在具体的实现中,IKMS 255可以先对第一网关23和第二网关24进行身份认证,并在第一网关23和第二网关24通过身份认证后,将共享密钥通过加密通道发送至第一网关23和第二网关24。
需要说明的是,系统架构20中的第一节点21、第二节点22、AAA服务器252、DHCP服务器253、策略服务器254、传输网络26的具体作用与系统架构10中相应组件的具体描述一一类似,本发明实施例在此不再赘述。
图3为本发明实施例提供的一种网关的组成示意图,该网关可以是本发明实施例中的第一网关,也可以是本发明实施例中的第二网关,如图3所示,网关可以包括至少一个处理器31,存储器32、通信接口33和通信总线34。
下面结合图3对网关的各个构成部件进行具体的介绍:
处理器31是网关的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器31是一个中央处理器(Central Processing Unit,CPU),也可以是特定集成电路(Application Specific lntegrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(Digital Signal Processor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA)。
其中,处理器31可以通过运行或执行存储在存储器32内的软件程序,以及调用存储在存储器32内的数据,执行网关的各种功能。
在具体的实现中,作为一种实施例,处理器31可以包括一个或多个CPU,例如图3中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,网关可以包括多个处理器,例如图3中所示的处理器31和处理器35。这些处理器中的每一个可以是一个单核处理器(Single-CPU),也可以是一个多核处理器(Multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器32可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器32可以是独立存在,通过通信总线34与处理器31相连接。存储器32也可以和处理器31集成在一起。
其中,所述存储器32用于存储执行本发明方案的软件程序,并由处理器31来控制执行。在具体的实现中,存储器31用于保存第一节点的身份和第一位置的对应关系,以及第二节点的身份和位置的对应关系。
通信接口33,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如通信节点、核心网等。通信接口33可以包括接收单元实现接收功能,以及发送单元实现发送功能。
通信总线34,可以是工业标准体系结构(lndustry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图4为本发明实施例提供的一种隐私保护方法的流程图,如图4所示,该方法可以包括:
401、第二节点向第二网关发送数据包。
其中,当第二节点需要向第一节点发送数据时,第二节点可以封装包括有第一节点的身份、第二节点的身份和第二节点需向第一节点发送的数据的数据包,并将该数据包发送至第二网关。
402、第二网关接收第二节点发送的数据包,并生成第一数据包。
其中,第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据。其中,第一身份用于标识第一节点的身份,第二身份用于标识第二节点的身份,第一位置为第一节点的位置,第二位置为第二节点的位置,待发送数据为第二节点需向第一节点发送的数据。
由于网关之间的通信需要根据真实的位置进行寻址,因此第二网关在接收到第二节点发送的数据包后,可以生成包括有第一身份、第二身份、第一节点的位置、第二节点的位置和待发送数据的第一数据包,以便第二网关根据第一节点的位置,即第一位置进行寻址,将第一数据包发送至第一网关。其中,第一数据包中包括的身份可以是通信节点的身份,也可以是通信节点的虚假身份,也就是说,第一身份可以是第一节点的身份,第二身份可以是第二节点的身份;或者,第一身份可以是匿名处理后的第一节点的身份,第二身份可以是匿名处理后的第二节点的身份。且第一数据包中包括的通信节点的位置可以是第二节点封装在数据包中发送给第二网关的,也可以是第二网关获取到并封装在第一数据包中的。
403、第二网关向第一网关发送第一数据包。
404、第一网关接收来自第二网关的第一数据包。
405、第一网关根据第一数据包获取第一节点的身份和第二节点的身份。
其中,由于网关和通信节点之间进行通信时需要基于真实的身份,因此在第一网关接收到来自第二网关的第一数据包之后,第一网关可以根据第一数据包获取第一节点的身份和第二节点的身份。
406、第一网关采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包。或者,第一网关生成并向第一节点发送第三数据包。
其中,第二数据包中包括:第一节点的身份、第二节点的身份、第一位置,加密后的第二位置和待发送数据,第三数据包中包括:第一节点的身份、第二节点的身份和待发送数据。
为了不让第一节点获知第二节点的隐私,在第一网关获取到第一节点的身份和第二节点的身份后,第一网关可以采用第一网关的本地密钥,即第一密钥对第二位置进行加密,并将加密后的第二位置重写在第一数据包的包头,从而生成包括有第一节点的身份、第二节点的身份、第一位置,加密后的第二位置和待发送数据的第二数据包,并将其发送至第一节点。或者,第一网关也可以将第一数据包中的第一位置和第二位置删除,并向第一节点发送包括有第一节点的身份、第二节点的身份和待发送数据的第三数据包。
407、第一节点接收第一网关发送的第二数据包或第三数据包。
需要说明的是,在本发明实施例的一种可能的实现方式中,第一数据包中的第一位置为第一节点的位置,第二位置为第二节点的位置,此时,第一网关通过执行步骤407中的对第二位置进行加密或者删除第一数据包中的第一位置和第二位置来保护第二节点的隐私。在本发明实施例的另一种可能的实现方式中,第一数据包中的第一位置可以为第一网关的位置,第二位置可以为第二网关的位置,此时,第一网关只能通过删除第一数据包中的第一位置和第二位置来保护第二节点的隐私。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据,或者,生成并向第一节点发送第三数据包,该第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过对MN的位置进行加密,并向CN发送包括有MN的身份和加密后的MN的位置的数据包,由于加密MN的位置采用的密钥是第一网关的本地密钥,因此CN接收到该数据包后,无法获得MN的真实位置,从而使得CN无法获知MN的隐私。或者,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
图5为本发明实施例提供的一种在图1所示的系统架构10下的隐私保护的流程图,当第二节点向第二网关发送的数据包中包括身份和位置时,如图5所示,该方法可以包括:
需要说明的是,当第二节点需要向第一节点发送数据时,第二节点可以将第二节点的身份、第一节点的身份、第一位置、第二位置和待发送数据封装在数据包中发送至第二网关。但是,由于第二节点已知自身的身份和位置,以及与自身进行通信的第一节点的身份,未知第一节点的位置,因此第二节点在发送数据包前,可以通过执行以下步骤501-步骤506来获取第一节点的位置。
501、第二节点向第二网关发送请求消息。
其中,请求消息中包括第一节点的身份。
502、第二网关接收第二节点发送的请求消息。
503、第二网关向ILMS发送请求消息。
504、ILMS接收第二网关发送的请求消息,并根据请求消息中包括的第一节点的身份查询第一位置,且向第二网关返回第一位置。
其中,ILMS中保存有通信节点的身份和通信节点的位置的对应关系。在第二网关向ILMS发送了请求消息之后,ILMS可以根据第一节点的身份查询第一节点的位置,即第一位置,并将查询到的第一位置返回给第二网关。
505、第二网关接收ILMS返回的第一位置,并采用第二密钥对第一位置进行加密。
其中,在ILMS向第二网关返回了第一位置之后,第二网关的软件管理模块可以采用第二网关的本地密钥,即第二密钥对第一位置进行加密,并将加密后的第一位置发送至第二节点,以便第二节点无法获知第一节点的真实位置,这样第二节点便无法获知第一节点的隐私。
506、第二网关向第二节点发送加密后的第一位置。
507、第二节点接收第二网关发送的加密后的第一位置,并生成第四数据包,且向第二网关发送第四数据包。
其中,第四数据包中包括第一节点的身份、第二节点的身份、加密后的第一位置、第二位置和待发送数据。
在第二网关向第二节点发送了加密后的第一位置后,可以将第一节点的身份、第二节点的身份、加密后的第一位置、第二位置和待发送数据封装在第四数据包中,并将该第四数据包发送至第二网关。
508、第二网关接收第二节点发送的第四数据包,并采用第二密钥对加密后的第一位置进行解密,得到第一位置。
其中,由于网关之间的通信需要根据真实的位置进行寻址,因此在第二节点向第二网关发送了第四数据包之后,第二网关的软件管理模块可以解析第四数据包,并采用第二密钥对接收到的第四数据包中包括的加密后的第一位置进行解密,获得第一位置,并将第一位置重写在第四数据包的包头中的相应位置,以替换加密后的第一位置。
需要说明的是,在本发明实施例的一种实现方式中,在第二网关得到了第一位置,并将其重写在第四数据包的包头之后,便得到包括有第一节点的身份、第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,第二网关可以将第一数据包发送至第一网关。第一网关在接收到该第一数据包之后,第一网关的软件管理模块可以解析第一数据包,并采用第一网关的本地密钥对第二位置进行加密,并将加密后的第二位置重写到第一数据包的包头中的相应位置,获得包括有第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据的第二数据包,并将其发送至第一节点,使得第一节点无法获知第二节点的隐私。
进一步的,为了实现对于第二网关和第一网关之间的网络传输设备而言,保护第一节点和第二节点的隐私,在本发明实施例的另一种可能的实现方式中,在第二网关得到了第一位置,并将其重写在第四数据包的包头之后,可以执行以下步骤509-步骤516。
509、第二网关对第一节点的身份和第二节点的身份进行随机化,得到随机化后的第一节点的身份和随机化后的第二节点的身份。
示例性的,第二网关可以对第一节点的身份和第二节点的身份进行随机化,得到随机化后的第一节点的身份和随机化后的第二节点的身份,并将随机化后的第一节点的身份和随机化后的第二节点的身份重写到第四数据包的包头中的相应位置,以替换第一节点的身份和第二节点的身份。这样,与现有技术中的虚假HOA只有一部分的虚假地址相比,由于随机化后的身份是完全的虚假地址,因此随机化后的第一节点的身份和随机化后的第二节点的身份不会暴露地址范围,从而数据包在第二网关和第一网关之间进行传输时,对于第一网关和第二网关之间的网络传输设备而言,不会泄露第一节点和第二节点的隐私。
510、第二网关生成第一数据包,并向第一网关发送第一数据包。
其中,在第二网关将随机化后的第一节点的身份和随机化后的第二节点的身份重写到第四数据包的包头之后,第二网关可以获得包括有随机化后的第一节点的身份、随机化后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,并可以经由网络传输设备将其发送至第一网关。
511、第一网关接收来自第二网关的第一数据包。
需要说明的是,在第一网关接收到来自第二网关的第一数据包之后,第一网关可以在解析第一数据包之后,先判断是否存储有与第一位置对应的身份,以及与第二位置对应的身份。若确定存储有与第一位置对应的身份,以及与第二位置对应的身份,表明第二节点不是第一次向第一节点发送数据,则第一网关可以将与第一位置对应的身份作为第一节点的身份,将与第二位置对应的身份作为第二节点的身份。若确定未存储有与第一位置对应的身份,以及与第二位置对应的身份,表明第二节点是第一次向第一节点发送数据,则第一网关可以执行以下步骤512-步骤514,来获取第一节点的身份和第二节点的身份。
512、第一网关向ILMS发送第一查询消息。
其中,第一查询消息中包括第一位置和第二位置。
513、ILMS根据第一查询消息中包括的第一位置和第二位置,查询第一节点的身份和第二节点的身份,并向第一网关返回第一节点的身份和第二节点的身份。
514、第一网关接收ILMS返回的第一节点的身份和第二节点的身份。
其中,在第一网关接收到ILMS返回的第一节点的身份和第二节点的身份之后,可以将第一节点的身份和第二节点的身份重写到第一数据包的包头中的相应位置,以替换随机化后的第一节点的身份和随机化后的第二节点的身份。且第一网关可以保存第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系,以便第二节点再次向第一节点发送数据时,第一网关可以根据第一数据包中包括的第一位置和第二位置,在预先存储的身份和位置的对应关系中进行查找,并将查找到的与第一位置对应的身份作为第一节点的身份,与第二位置对应的身份作为第二节点的身份。
515、第一网关采用第一密钥对第二位置进行加密,生成第二数据包,并向第一节点发送第二数据包。
其中,在第一网关将第一节点的身份和第二节点的身份重写到第一数据包的包头之后,可以采用第一网关的本地密钥对第二位置进行加密,得到加密后的第二位置,并将加密后的第二位置重写到第一数据包的包头中的相应位置,以替换第一位置。第一网关便获得包括有第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据的第二数据包,并将其发送至第一节点,使得第一节点无法获知第二节点的隐私。
516、第一节点接收第一网关发送的第二数据包。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过对MN的位置进行加密,并向CN发送包括有MN的身份和加密后的MN的位置的数据包,由于加密MN的位置采用的密钥是第一网关的本地密钥,因此CN接收到该数据包后,无法获得MN的真实位置,从而使得CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
并且,第二网关通过采用本地密钥对第一位置进行加密,并向第二节点发送加密后的第一位置,使得第二节点无法获知第一节点的隐私。第二网关通过对第一节点的身份和第二节点的身份进行随机化,并向第一网关发送包括有随机化后的第一节点的身份、随机化后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,使得第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。且当第二节点第一次向第一节点发送数据包时,第一网关通过保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系,降低了第一网关的功耗。
图6为本发明实施例提供的另一种在图1所示的系统架构10下的隐私保护的流程图,当第二节点向第二网关发送的数据包中包括身份时,如图6所示,该方法可以包括:
601、第二节点向第二网关发送第五数据包。
其中,第五数据包中包括第一节点的身份和第二节点的身份。在第二节点未发送请求消息的场景中,当第二节点需要向第一节点发送数据时,第二节点可以将第一节点的身份、第二节点的身份和待发送数据封装在第五数据包中发送至第二网关。
602、第二网关接收第二节点发送的第五数据包。
需要说明的是,由于网关之间的通信需要根据真实的位置进行寻址,因此在第二网关接收到第二节点发送的第五数据包之后,可以执行以下步骤603-步骤605,来获取第一位置和第二位置。
603、第二网关向ILMS发送第二查询消息。
其中,第二查询消息中包括第一节点的身份和第二节点的身份。
604、ILMS根据第二查询消息中包括的第一节点的身份和第二节点的身份,查询第一位置和第二位置,并向第二网关返回第一位置和第二位置。
605、第二网关接收ILMS返回的第一位置和第二位置。
其中,在本发明实施例的一种实现方式中,在第二网关接收到ILMS返回的第一位置和第二位置之后,第二网关可以将第一位置和第二位置写入第五数据包的包头中的相应位置,便得到包括有第一节点的身份、第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,第二网关可以将该第一数据包发送至第一网关。第一网关接收到该第一数据包之后,可以删除第一数据包中包括的第一位置和第二位置,得到包括有第一节点的身份、第二节点的身份和待发送数据的第二数据包,并将第二数据包发送至第一节点,使得第一节点只能获知第二节点的身份,从而对于第一节点而言,保护了第二节点的隐私。
进一步的,为了实现对于第二网关和第一网关之间的网络传输设备而言,保护第一节点和第二节点的隐私,在本发明实施例的另一种可能的实现方式中,在第二网关接收到第一位置和第二位置之后,可以执行步骤606-步骤611。且本发明实施例中步骤606-步骤611中的具体描述与另一实施例中步骤509-步骤514中的具体描述一一类似,对于步骤606-步骤611的具体描述,可以参考步骤509-步骤514中的相关描述,本发明实施例在此不再一一赘述。
612、第一网关生成第三数据包,并向第一节点发送第三数据包。
其中,为了使得第一节点无法获知第二节点的隐私,在第一网关接收到第一节点的身份和第二节点的身份之后,可以删除第一数据包中的第一位置和第二位置,得到包括有第一节点的身份、第二节点的身份和待发送数据的第三数据包,并将其发送至第一节点。
613、第一节点接收第一网关发送的第三数据包。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,生成并向第一节点发送第三数据包,该第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
并且,第二网关通过对第一节点的身份和第二节点的身份进行随机化,并向第一网关发送包括有随机化后的第一节点的身份、随机化后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,使得第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。且当第二节点第一次向第一节点发送数据包时,第一网关通过保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系,降低了第一网关的功耗。
图7为本发明实施例提供的一种在图2所示的系统架构20下的隐私保护的流程图,当第二节点向第二网关发送的数据包中包括身份和位置时,如图7所示,该方法可以包括:
步骤701-步骤708,且,本发明实施例中步骤701-步骤708的具体描述与本发明另一实施例中步骤501-步骤508的具体描述一一类似,对于本发明实施例中步骤701-步骤708的具体描述可以参考步骤501-步骤508中的相应描述,在此不再一一赘述。
709、第二网关对第一节点的身份和第二节点的身份进行加密,得到加密后的第一节点的身份和加密后的第二节点的身份。
示例性的,第二网关的软件管理模块可以采用IKMS发送的共享密钥对第一节点的身份和第二节点的身份进行加密,得到加密后的第一节点的身份和加密后的第二节点的身份,并将加密后的第一节点的身份和加密后的第二节点的身份重写到第四数据包的包头中的相应位置,以替换第一节点的身份和第二节点的身份,从而得到包括有加密后的第一节点的身份、加密后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,并可以经由网络传输设备将第一数据包发送至第一网关。这样,第一数据包在第二网关和第一网关之间进行传输时,第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。
步骤710-步骤711,且,本发明实施例中步骤710-步骤711的具体描述与本发明另一实施例中步骤510-步骤511的具体描述一一类似,对于步骤710-步骤711的具体描述可以参考步骤510-511中的相应描述,本发明实施例在此不再赘述。
712、第一网关采用共享密钥对加密后的第一节点的身份和加密后的第二节点的身份进行解密,获得第一节点的身份和第二节点的身份。
其中,在第一网关接收到第一数据包之后,第一网关的软件管理模块可以采用IKMS发送的共享密钥对第一数据包中包括的加密后的第一节点的身份和加密后的第二节点的身份进行解密,获得第一节点的身份和第二节点的身份,并将第一节点的身份和第二节点的身份重写到第一数据包的包头中的相应位置,以替换加密后的第一节点的身份和加密后的第二节点的身份。且第一网关可以保存第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。
步骤713-步骤714,且,本发明实施例中步骤713-步骤714的具体描述与另一实施例中步骤515-步骤516的具体描述一一类似,对于步骤713-步骤714的具体描述可以参考步骤515-步骤516的具体描述,本发明实施例在此不再赘述。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,采用第一密钥对第二位置进行加密,生成并向第一节点发送第二数据包,该第二数据包中包括第一节点的身份、第二节点的身份、第一位置、加密后的第二位置和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过对MN的位置进行加密,并向CN发送包括有MN的身份和加密后的MN的位置的数据包,由于加密MN的位置采用的密钥是第一网关的本地密钥,因此CN接收到该数据包后,无法获得MN的真实位置,从而使得CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
并且,第二网关通过采用本地密钥对第一位置进行加密,并向第二节点发送加密后的第一位置,使得第二节点无法获知第一节点的隐私。第二网关采用共享密钥对第一节点的身份和第二节点的身份进行加密,并向第一网关发送包括有加密后的第一节点的身份、加密后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,使得第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。且当第二节点第一次向第一节点发送数据包时,第一网关通过保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系,降低了第一网关的功耗。
图8为本发明实施例提供的另一种在图2所示的系统架构20下的隐私保护的流程图,当第二节点向第二网关发送的数据包中包括身份时,如图8所示,该方法可以包括:
需要说明的是,在本发明实施例中,第一位置可以是第一节点的位置,第二位置可以是第二节点的位置。或者,第一位置可以是第一网关的位置,第二位置可以是第二网关的位置。
步骤801-步骤805,且,本发明实施例中步骤801-步骤805的具体描述与本发明另一实施例中步骤601-步骤605的具体描述一一类似,对于本发明实施例中步骤801-步骤805的具体描述可以参考步骤601-步骤605中的相应描述,在此不再一一赘述。
步骤806-步骤809,且,本发明实施例中步骤806-步骤809的具体描述与本发明另一实施例中步骤709-步骤712的具体描述一一类似,对于本发明实施例中步骤806-步骤809的具体描述可以参考步骤709-步骤712中的相应描述,在此不再一一赘述。
步骤810-步骤811,且,本发明实施例中步骤810-步骤811的具体描述与本发明另一实施例中步骤612-步骤613的具体描述一一类似,对于本发明实施例中步骤810-步骤811的具体描述可以参考步骤612-步骤612中的相应描述,在此不再一一赘述。
本发明实施例提供的隐私保护方法,第一网关接收到来自第二网关的第一数据包,该第一数据包中包括第一身份、第二身份、第一位置、第二位置和待发送数据,并根据第一数据包获取到第一节点的身份和第二节点的身份后,生成并向第一节点发送第三数据包,该第三数据包中包括第一节点的身份、第二节点的身份和待发送数据。这样,在第一节点为CN,第二节点为MN的情况下,第一网关通过向CN发送只包括有MN的身份的数据包,由于CN接收到该数据包后,无法同时获得MN的身份和位置,因此CN无法获知MN的隐私。同理,在第一节点为MN,第二节点为CN的情况下,采用本申请的隐私保护方法能够使得MN无法获知CN的隐私。
并且,第二网关通过采用共享密钥对第一节点的身份和第二节点的身份进行加密,并向第一网关发送包括有加密后的第一节点的身份、加密后的第二节点的身份、第一位置、第二位置和待发送数据的第一数据包,使得第一网关和第二网关之间的网络传输设备无法获知第一节点和第二节点的隐私。且当第二节点第一次向第一节点发送数据包时,第一网关通过保存第一节点的身份和第一位置的对应关系、以及第二节点的身份和第二位置的对应关系,降低了第一网关的功耗。
需要说明的是,当第一节点为CN,第二节点为MN时,可以执行本发明实施例中图4-图8的隐私保护方法,当第一节点为MN,第二节点为CN时,也可以执行本发明实施例中图4-图8的隐私保护方法。
上述主要从各个网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是,各个网元,例如第一网关、第二网关为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对第一网关和第二网关进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图9示出了上述和实施例中涉及的第一网关的一种可能的组成示意图,如图9所示,该第一网关可以包括:接收单元91、获取单元92、加密单元93、处理单元94和发送单元95。
其中,接收单元91,用于支持第一网关执行图4所示的隐私保护方法中的步骤404,图5所示的隐私保护方法中的步骤511、步骤514,图6所示的隐私保护方法中的步骤608、步骤611,图7所示的隐私保护方法中的步骤711,图8所示的隐私保护方法中的步骤808。
获取单元92,用于支持第一网关执行图4所示的隐私保护方法中的步骤405。
加密单元93,用于支持第一网关执行图4所示的隐私保护方法中的步骤406中所述的采用第一密钥对第二位置进行加密,图5所示的隐私保护方法中的步骤515中所述的采用第一密钥对第二位置进行加密,图7所示的隐私保护方法中的步骤713中所述的采用第一密钥对第二位置进行加密。
处理单元94,用于支持第一网关执行图4所示的隐私保护方法中的步骤406中所述的生成第二数据包或生成第三数据包,图5所示的隐私保护方法中的步骤515中所述的生成第二数据包,图6所示的隐私保护方法中的步骤612中所述的生成第三数据包,图7所示的隐私保护方法中的步骤712、步骤713中所述的生成第二数据包,图8所示的隐私保护方法中的步骤809、步骤810中所述的生成第三数据。
发送单元95,用于支持第一网关执行图4所示的隐私保护方法中的步骤406中所述的发送第二数据包或第三数据包,图5所示的隐私保护方法中的步骤512、步骤515中所述的向第一节点发送第二数据包,图6所示的隐私保护方法中的步骤609、步骤612中所述的向第一节点发送第三数据包,图7所示的隐私保护方法中的步骤713中所述的向第一节点发送第二数据包,图8所示的隐私保护方法中的步骤810中所述的向第一节点发送第三数据包。
在本发明实施例中,进一步的,如图10所示,第一网关还可以包括:判断单元96和存储单元97。
判断单元96,用于支持第一网关执行图5、图6、图7和图8所示的隐私保护方法中的判断是否存储有与第一位置对应的身份,以及与第二位置对应的身份。
存储单元97,用于支持第一网关执行图5、图6、图7和图8所示的隐私保护方法中的保存第一节点的身份和第一位置的对应关系,以及第二节点的身份和第二位置的对应关系。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本发明实施例提供的第一网关,用于执行上述隐私保护方法,因此可以达到与上述隐私保护方法相同的效果。
在采用集成的单元的情况下,图11示出了上述实施例中所涉及的第一网关的另一种可能的组成示意图。如图11所示,该第一网关包括:处理模块1001和通信模块1002。
处理模块1001用于对第一网关的动作进行控制管理,例如,处理模块1001用于支持第一网关执行图4中的步骤405、步骤406中所述的采用第一密钥对第二位置进行加密生成第二数据包,或者,生成第三数据包,图5中的步骤515中所述的采用第一密钥对第二位置进行加密,生成第二数据包,图6中的步骤612中所述的生成第三数据包,图7中的步骤712、步骤713中所述的采用第一密钥对第二位置进行加密,生成第二数据包,图8中的步骤809、步骤810中所述的生成第三数据包,和/或用于本文所描述的技术的其它过程。通信模块1002用于支持第一网关与其他网络实体,如第二网关、第一节点、ILMS的通信。例如,通信模块1002用于支持第一网关执行图4中的步骤404、步骤406中所述的向第一节点发送第二数据包或第三数据包,图5中的步骤511、步骤514、步骤515中所述的向第一节点发送第二数据包,图6中的步骤608、步骤611、步骤612中所述的向第一节点发送第三数据包,图7中的步骤711、步骤713中所述的向第一节点发送第二数据包,图8中的步骤808、步骤810中所述的向第一节点发送第三数据包。第一网关还可以包括存储模块1003,用于存储第一网关的程序代码和数据。
其中,处理模块1001可以是处理器或控制器。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块1002可以是收发器、收发电路或通信接口等。存储模块1003可以是存储器。
在采用对应各个功能划分各个功能模块的情况下,图12示出了上述和实施例中涉及的第二网关的一种可能的组成示意图,如图12所示,该第二网关可以包括:处理单元1101和发送单元1102。
其中,处理单元1101,用于支持第二网关执行图4所示的隐私保护方法中的步骤402中所述的生成第一数据包,图5所示的隐私保护方法中的步骤509、步骤510中所述的生成第一数据包,图6所示的隐私保护方法中的步骤606、步骤607中所述的生成第一数据包,图7所示的隐私保护方法中的步骤710中所述的生成第一数据包,图8所示的隐私保护方法中的步骤807中所述的生成第一数据包。
发送单元1102,用于支持第二网关执行图4所示的隐私保护方法中的步骤403,图5所示的隐私保护方法中的步骤503、步骤506、步骤510中所述的向第一网关发送第一数据包,图6所示的隐私保护方法中的步骤603、步骤607中所述的向第一网关发送第一数据包,图7所示的隐私保护方法中的步骤703、步骤706、步骤710中所述的向第一网关发送第一数据包,图8所示的隐私保护方法中的步骤803、步骤807中所述的向第一网关发送第一数据包。
在本发明实施例中,进一步的,如图13所示,第二网关还可以包括:接收单元1103、解密单元1104和加密单元1105。
接收单元1103,用于支持第二网关执行图5所示的隐私保护方法中的步骤502、步骤505中所述的接收ILMS返回的第一位置、步骤508中所述的接收第二节点发送的第四数据包,图6所示的隐私保护方法中的步骤602、步骤605,图7所示的隐私保护方法中的步骤702、步骤705中所述的接收ILMS返回的第一位置、步骤708中所述的接收第二节点发送的第四数据包,图8所示的隐私保护方法中的步骤802、步骤805。
解密单元1104,用于支持第二网关执行图5所示的隐私保护方法中的步骤508中所述的采用第二密钥对加密后的第一位置进行解密,得到第一位置,图7所示的隐私保护方法中的步骤708中所述的采用第二密钥对加密后的第一位置进行解密,得到第一位置。
加密单元1105,用于支持第二网关执行图5所示的隐私保护方法中的步骤505中所述的采用第二密钥对第一位置进行加密,图7所示的隐私保护方法中的步骤705中所述的采用第二密钥对第一位置进行加密、步骤709,图7所示的隐私保护方法中的步骤806。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本发明实施例提供的第二网关,用于执行上述隐私保护方法,因此可以达到与上述隐私保护方法相同的效果。
在采用集成的单元的情况下,图14示出了上述实施例中所涉及的第二网关的另一种可能的组成示意图。如图14所示,该第二网关包括:处理模块1201和通信模块1202。
处理模块1201用于对第二网关的动作进行控制管理,例如,处理模块1201用于支持第二网关执行图5中的步骤505中所述的采用第二密钥对第一位置进行加密、步骤508中所述的采用第二密钥对加密后的第一位置进行解密,得到第一位置、步骤509、步骤510中所述的生成第一数据包,图6中的步骤606、步骤607中所述的生成第一数据包,图7中的步骤705中所述的采用第二密钥对第一位置进行加密、步骤708中所述的采用第二密钥对加密后的第一位置进行解密,得到第一位置、步骤709、步骤710中所述的生成第一数据包,图8中的步骤806、步骤807中所述的生成第一数据包,和/或用于本文所描述的技术的其它过程。通信模块1202用于支持第二网关与其他网络实体,如第一网关、第二节点、ILMS的通信。例如,通信模块1202用于支持第二网关执行图4中的步骤402、步骤403,图5中的步骤502、步骤503、步骤505中所述的接收ILMS返回的第一位置、步骤506、步骤508中所述的接收第二节点发送的第四数据包、步骤510中所述的向第一网关发送第一数据包,图6中的步骤602、步骤603、步骤605、步骤607中所述的向第一网关发送第一数据包,图7中的步骤702、步骤703、步骤705中所述接收ILMS返回的第一位置、步骤706、步骤708中所述的接收第二节点发送的第四数据包、步骤710中所述的向第一网关发送第一数据包,图8中的步骤802、步骤803、步骤805、步骤807中所述的向第一网关发送第一数据包。第二网关还可以包括存储模块1203,用于存储第二网关的程序代码和数据。
其中,处理模块1201可以是处理器或控制器。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块1202可以是收发器、收发电路或通信接口等。存储模块1203可以是存储器。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何在本发明揭露的技术范围内的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种隐私保护方法,其特征在于,所述方法包括:
第一网关接收来自第二网关的第一数据包,所述第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,所述第一身份用于标识第一节点的身份,所述第二身份用于标识第二节点的身份,所述第一位置为所述第一节点的位置,所述第二位置为所述第二节点的位置,所述待发送数据为所述第二节点需向所述第一节点发送的数据;
所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份;
所述第一网关采用第一密钥对所述第二位置进行加密,生成并向所述第一节点发送第二数据包,所述第一密钥是所述第一网关的本地密钥,所述第二数据包中包括:所述第一节点的身份、所述第二节点的身份、所述第一位置、加密后的所述第二位置和所述待发送数据。
2.根据权利要求1所述的方法,其特征在于,所述第一身份是所述第一节点的身份,所述第二身份是所述第二节点的身份;或者,
所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份。
3.根据权利要求2所述的方法,其特征在于,所述匿名处理后的所述第一节点的身份为采用共享密钥对所述第一节点的身份进行加密后的身份,所述匿名处理后的所述第二节点的身份为采用所述共享密钥对所述第二节点的身份进行加密后的身份;
所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份,包括:
所述第一网关采用所述共享密钥对所述匿名处理后的所述第一节点的身份和所述匿名处理后的所述第二节点的身份进行解密,获得所述第一节点的身份和所述第二节点的身份。
4.根据权利要求2所述的方法,其特征在于,所述匿名处理后的所述第一节点的身份为对所述第一节点的身份进行随机化后的身份,所述匿名处理后的所述第二节点的身份为对所述第二节点的身份进行随机化后的身份;
所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份,包括:
所述第一网关向身份位置映射系统ILMS发送第一查询消息,所述第一查询消息中包括所述第一位置和所述第二位置,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系,以及所述第二节点的身份和所述第二位置的对应关系;
所述第一网关接收所述ILMS返回的所述第一节点的身份和所述第二节点的身份。
5.根据权利要求2-4中任一项所述的方法,其特征在于,在所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份之前,还包括:
所述第一网关判断是否存储有与所述第一位置对应的身份,以及与所述第二位置对应的身份;
若确定存储有所述与所述第一位置对应的身份,以及所述与所述第二位置对应的身份,则所述第一网关将所述与所述第一位置对应的身份作为所述第一节点的身份,将所述与所述第二位置对应的身份作为所述第二节点的身份;
所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份,包括:
若确定未存储有所述与所述第一位置对应的身份,以及所述与所述第二位置对应的身份,则所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份。
6.根据权利要求5所述的方法,其特征在于,在所述第一网关根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份之后,还包括:
所述第一网关保存所述第一节点的身份和所述第一位置的对应关系、以及所述第二节点的身份和所述第二位置的对应关系。
7.一种隐私保护方法,其特征在于,所述方法包括:
第二网关生成第一数据包,并向第一网关发送所述第一数据包,所述第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,所述第一身份用于标识第一节点的身份,所述第二身份用于标识第二节点的身份,所述第一位置为所述第一节点的位置,所述第二位置为所述第二节点的位置,所述待发送数据为所述第二节点需向所述第一节点发送的数据;
其中,所述第一身份是所述第一节点的身份,所述第二身份是所述第二节点的身份;或者,所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份;
在所述第二网关生成第一数据包之前,还包括:
所述第二网关接收所述第二节点发送的第四数据包,所述第四数据包中包括:所述第一节点的身份、所述第二节点的身份、加密后的所述第一位置、所述第二位置和所述待发送数据,所述加密后的所述第一位置是采用第二密钥对所述第一位置加密得到的,所述第二密钥是所述第二网关的本地密钥;
所述第二网关采用所述第二密钥对所述加密后的所述第一位置进行解密,得到所述第一位置。
8.根据权利要求7所述的方法,其特征在于,在所述第二网关接收所述第二节点发送的第四数据包之前,还包括:
所述第二网关接收所述第二节点发送的请求消息,所述请求消息中包括所述第一节点的身份;
所述第二网关向身份位置映射系统ILMS发送所述请求消息,并接收所述ILMS返回的所述第一位置,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系;
所述第二网关采用所述第二密钥对所述第一位置进行加密;
所述第二网关向所述第二节点发送所述加密后的所述第一位置。
9.根据权利要求7所述的方法,其特征在于,在所述第二网关生成第一数据包之前,还包括:
所述第二网关接收所述第二节点发送的第五数据包,所述第五数据包中包括:所述第一节点的身份、所述第二节点的身份和所述待发送数据;
所述第二网关向ILMS发送第二查询消息,所述第二查询消息中包括所述第一节点的身份和所述第二节点的身份,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系,以及所述第二节点的身份和所述第二位置的对应关系;
所述第二网关接收所述ILMS返回的所述第一位置和所述第二位置。
10.根据权利要求7-9中任一项所述的方法,其特征在于,当所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份时,在所述第二网关生成第一数据包之前,还包括:
所述第二网关对所述第一节点的身份和所述第二节点身份进行匿名处理,得到匿名处理后的所述第一节点的身份和匿名处理后的所述第二节点的身份。
11.一种第一网关,其特征在于,所述第一网关包括:接收单元、获取单元、加密单元、处理单元和发送单元;
所述接收单元,用于接收来自第二网关的第一数据包,所述第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,所述第一身份用于标识第一节点的身份,所述第二身份用于标识第二节点的身份,所述第一位置为所述第一节点的位置,所述第二位置为所述第二节点的位置,所述待发送数据为所述第二节点需向所述第一节点发送的数据;
所述获取单元,用于根据所述接收单元接收到的所述第一数据包获取所述第一节点的身份和所述第二节点的身份;
所述加密单元,用于采用第一密钥对所述第二位置进行加密;所述处理单元,用于生成第二数据包;所述发送单元,用于向所述第一节点发送所述处理单元生成的所述第二数据包,所述第一密钥是所述第一网关的本地密钥,所述第二数据包中包括:所述第一节点的身份、所述第二节点的身份、所述第一位置、加密后的所述第二位置和所述待发送数据。
12.根据权利要求11所述的第一网关,其特征在于,所述第一身份是所述第一节点的身份,所述第二身份是所述第二节点的身份;或者,
所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份。
13.根据权利要求12所述的第一网关,其特征在于,所述匿名处理后的所述第一节点的身份为采用共享密钥对所述第一节点的身份进行加密后的身份,所述匿名处理后的所述第二节点的身份为采用所述共享密钥对所述第二节点的身份进行加密后的身份;
所述获取单元,具体用于采用所述共享密钥对所述匿名处理后的所述第一节点的身份和所述匿名处理后的所述第二节点的身份进行解密,获得所述第一节点的身份和所述第二节点的身份。
14.根据权利要求12所述的第一网关,其特征在于,所述匿名处理后的所述第一节点的身份为对所述第一节点的身份进行随机化后的身份,所述匿名处理后的所述第二节点的身份为对所述第二节点的身份进行随机化后的身份,所述获取单元,具体用于:
向身份位置映射系统ILMS发送第一查询消息,所述第一查询消息中包括所述第一位置和所述第二位置,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系,以及所述第二节点的身份和所述第二位置的对应关系;
接收所述ILMS返回的所述第一节点的身份和所述第二节点的身份。
15.根据权利要求12-14中任一项所述的第一网关,其特征在于,所述第一网关还包括:判断单元;
所述判断单元,用于判断是否存储有与所述第一位置对应的身份,以及与所述第二位置对应的身份;
所述处理单元,还用于若确定存储有所述与所述第一位置对应的身份,以及所述与所述第二位置对应的身份,则将所述与所述第一位置对应的身份作为所述第一节点的身份,将所述与所述第二位置对应的身份作为所述第二节点的身份;
所述获取单元,具体用于若确定未存储有所述与所述第一位置对应的身份,以及所述与所述第二位置对应的身份,则根据所述第一数据包获取所述第一节点的身份和所述第二节点的身份。
16.根据权利要求15所述的第一网关,其特征在于,所述第一网关还包括:存储单元;
所述存储单元,用于保存所述第一节点的身份和所述第一位置的对应关系、以及所述第二节点的身份和所述第二位置的对应关系。
17.一种第二网关,其特征在于,所述第二网关包括:处理单元和发送单元;
所述处理单元,用于生成第一数据包,所述第一数据包中包括:第一身份、第二身份、第一位置、第二位置和待发送数据,所述第一身份用于标识第一节点的身份,所述第二身份用于标识第二节点的身份,所述第一位置为所述第一节点的位置,所述第二位置为所述第二节点的位置,所述待发送数据为所述第二节点需向所述第一节点发送的数据;
所述发送单元,用于向第一网关发送所述处理单元生成的所述第一数据包;
其中,所述第一身份是所述第一节点的身份,所述第二身份是所述第二节点的身份;或者,所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份;
所述第二网关还包括:接收单元和解密单元;
所述接收单元,用于接收所述第二节点发送的第四数据包,所述第四数据包中包括:所述第一节点的身份、所述第二节点的身份、加密后的所述第一位置、所述第二位置和所述待发送数据,所述加密后的所述第一位置是采用第二密钥对所述第一位置加密得到的,所述第二密钥是所述第二网关的本地密钥;
所述解密单元,用于采用所述第二密钥对所述加密后的所述第一位置进行解密,得到所述第一位置。
18.根据权利要求17所述的第二网关,其特征在于,所述第二网关还包括:加密单元;
所述接收单元,还用于接收所述第二节点发送的请求消息,所述请求消息中包括所述第一节点的身份;
所述发送单元,还用于向身份位置映射系统ILMS发送所述接收单元接收到的所述请求消息,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系;
所述接收单元,还用于接收所述ILMS返回的所述第一位置;
所述加密单元,用于采用所述第二密钥对所述接收单元接收到的所述第一位置进行加密;
所述发送单元,还用于向所述第二节点发送所述加密单元加密的所述加密后的所述第一位置。
19.根据权利要求17所述的第二网关,其特征在于,所述第二网关还包括:接收单元;
所述接收单元,用于接收所述第二节点发送的第五数据包,所述第五数据包中包括:所述第一节点的身份、所述第二节点的身份和所述待发送数据;
所述发送单元,还用于向ILMS发送第二查询消息,所述第二查询消息中包括所述第一节点的身份和所述第二节点的身份,所述ILMS中保存有所述第一节点的身份和所述第一位置的对应关系,以及所述第二节点的身份和所述第二位置的对应关系;
所述接收单元,还用于接收所述ILMS返回的所述第一位置和所述第二位置。
20.根据权利要求17-19中任一项所述的第二网关,其特征在于,当所述第一身份是匿名处理后的所述第一节点的身份,所述第二身份是匿名处理后的所述第二节点的身份时,
所述处理单元,还用于对所述第一节点的身份和所述第二节点身份进行匿名处理,得到匿名处理后的所述第一节点的身份和匿名处理后的所述第二节点的身份。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710453033.5A CN109150793B (zh) | 2017-06-15 | 2017-06-15 | 一种隐私保护方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710453033.5A CN109150793B (zh) | 2017-06-15 | 2017-06-15 | 一种隐私保护方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109150793A CN109150793A (zh) | 2019-01-04 |
CN109150793B true CN109150793B (zh) | 2021-06-01 |
Family
ID=64830045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710453033.5A Active CN109150793B (zh) | 2017-06-15 | 2017-06-15 | 一种隐私保护方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109150793B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111031075B (zh) * | 2020-03-03 | 2020-06-23 | 网御安全技术(深圳)有限公司 | 网络服务安全访问方法、终端、系统和可读存储介质 |
CN111865961B (zh) * | 2020-07-15 | 2023-04-07 | 维沃移动通信有限公司 | 数据处理方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262416A (zh) * | 2007-03-06 | 2008-09-10 | 华为技术有限公司 | 通信系统中用户位置隐藏的方法、系统及装置 |
CN102045316A (zh) * | 2009-10-16 | 2011-05-04 | 中兴通讯股份有限公司 | 一种匿名通信的注册、通信方法及数据报文的收发系统 |
CN102045314A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 匿名通信的方法、注册方法、信息收发方法及系统 |
CN103402197A (zh) * | 2013-07-12 | 2013-11-20 | 南京航空航天大学 | 一种基于IPv6技术的位置和路径隐匿保护方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9203803B2 (en) * | 2013-11-14 | 2015-12-01 | Broadcom Corporation | Proxy device for a network of devices |
-
2017
- 2017-06-15 CN CN201710453033.5A patent/CN109150793B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262416A (zh) * | 2007-03-06 | 2008-09-10 | 华为技术有限公司 | 通信系统中用户位置隐藏的方法、系统及装置 |
CN102045314A (zh) * | 2009-10-10 | 2011-05-04 | 中兴通讯股份有限公司 | 匿名通信的方法、注册方法、信息收发方法及系统 |
CN102045316A (zh) * | 2009-10-16 | 2011-05-04 | 中兴通讯股份有限公司 | 一种匿名通信的注册、通信方法及数据报文的收发系统 |
CN103402197A (zh) * | 2013-07-12 | 2013-11-20 | 南京航空航天大学 | 一种基于IPv6技术的位置和路径隐匿保护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109150793A (zh) | 2019-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6240514B1 (en) | Packet processing device and mobile computer with reduced packet processing overhead | |
US8856518B2 (en) | Secure and efficient offloading of network policies to network interface cards | |
CN103051510B (zh) | 网络策略向网络接口卡的安全和高效卸载的方法和装置 | |
US6501767B1 (en) | Mobile IP communication scheme for supporting mobile computer move over different address spaces | |
JP4707992B2 (ja) | 暗号化通信システム | |
US9021251B2 (en) | Methods, systems, and computer program products for providing a virtual private gateway between user devices and various networks | |
TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
CN111356981A (zh) | 一种用于公共主机平台的数据清理系统 | |
EP2235977B1 (en) | Abstraction function for mobile handsets | |
KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
US7984293B2 (en) | Secure host network address configuration | |
WO2019129201A1 (en) | Session management for communications between a device and a dtls server | |
US20210182347A1 (en) | Policy-based trusted peer-to-peer connections | |
CN114024741B (zh) | 请求处理方法、装置、流量代理端、设备及可读存储介质 | |
CN109150793B (zh) | 一种隐私保护方法及设备 | |
US8897441B2 (en) | Packet transmitting and receiving apparatus and packet transmitting and receiving method | |
KR102474855B1 (ko) | 메신저 서비스를 제공하기 위한 방법, 시스템 및 비일시성의 컴퓨터 판독 가능한 기록 매체 | |
WO2021185314A1 (zh) | 数据处理方法及装置 | |
CN111835613A (zh) | 一种vpn服务器的数据传输方法及vpn服务器 | |
JP6733052B2 (ja) | 少なくとも1つのデバイスにデータを送信するための方法、データ送信制御サーバ、データストレージサーバ、データ処理サーバ、及びシステム | |
JP2019216309A (ja) | パケット通信システム | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
CN215990843U (zh) | 基于IPSec协议的VPN终端通信系统 | |
CN115865314A (zh) | Vpn终端通信系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |