CN109905213A - 数据安全传输方法及节点设备 - Google Patents
数据安全传输方法及节点设备 Download PDFInfo
- Publication number
- CN109905213A CN109905213A CN201711282414.8A CN201711282414A CN109905213A CN 109905213 A CN109905213 A CN 109905213A CN 201711282414 A CN201711282414 A CN 201711282414A CN 109905213 A CN109905213 A CN 109905213A
- Authority
- CN
- China
- Prior art keywords
- data
- node equipment
- encryption
- transmitted
- target data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种数据安全传输方法及节点设备。该方法应用于身份网络ION结构,该方法包括:第一节点设备向第二节点设备发送的数据包中携带安全连接索引SCI(用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数),以便第二节点设备可以根据数据包中携带的SCI以及映射信息确定SCI对应的安全连接参数,并根据安全连接参数解析数据包。可见,本申请实施例提供的数据安全传输方法及节点设备,实现了能够适用于ION结构的数据安全传输,并且传输开销较小,提高了传输效率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种数据安全传输方法及节点设备。
背景技术
随着网络技术的发展,越来越多的用户经常会通过网络进行数据传输。因此,如何通过网络进行安全地数据传输成为亟待解决的技术问题。
传统的传输控制协议(Transmission Control Protocol,TCP)/网络之间互连的协议(Internet Protocol,IP)网络结构中,采用网络层安全(Internet protocolsecurity,IPsec)作为网络层端到端安全方案。IPsec中通过两种通信安全协议:认证头(Authenticaton header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)对数据流中的每个IP数据包进行鉴权和加密,以实现安全传输。(1)通过AH协议实现安全传输的工作原理为:在每一个IP数据包中的IP包头后面添加一个身份验证报文头,用于对数据提供完整性保护。(2)通过ESP协议实现安全传输的工作原理为:在每一个IP数据包中的IP包头后面添加一个ESP报文头,以及在该IP数据包后面追加一个ESP尾,其中,每个IP数据包中携带的待传输数据为将需要保护的初始待传输数据进行加密后得到的。
但现有的IPsec主要适用于传统的TCP/IP网络结构,无法适用于其它网络结构,例如身份网络(Identity-Oriented networking,ION)结构中的安全数据传输。
发明内容
本申请实施例提供一种数据安全传输方法及节点设备,实现了能够适用于ION结构的数据安全传输。
第一方面,本申请实施例提供一种数据安全传输方法,该方法应用于身份网络ION结构,该方法包括:
第一节点设备生成数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
第一节点设备向第二节点设备发送数据包。
第一方面提供的数据安全传输方法实施例中,通过第一节点设备向第二节点设备发送的数据包中携带安全连接索引SCI(用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数),以便第二节点设备可以根据数据包中携带的SCI以及映射信息确定SCI对应的安全连接参数,并根据安全连接参数解析数据包。可见,本申请实施例提供的数据安全传输方法实现了能够适用于ION结构的数据安全传输,并且传输开销较小,提高了传输效率。
在一种可能的实现方式中,第一节点设备生成数据包,包括:
第一节点设备根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
第一节点设备根据安全连接参数生成数据包。
在一种可能的实现方式中,安全连接参数可以包括但不限于以下至少一项:加密密钥、加密算法、完整性保护密钥、认证算法、认证加密密钥和认证加密算法、第一节点设备的标识和第二节点设备的标识;当然,安全连接参数还可以包括其它参数,本申请实施例中对此并不作限制。
在一种可能的实现方式中,第一节点设备根据安全连接参数生成数据包,包括:
第一节点设备根据安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC;
第一节点根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,若不需要进行加密,则第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点根据SCI、MAC、第一加密指示信息以及目标待传输数据生成数据包;第一加密指示信息位于数据包的包头;
其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括加密指示EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,第一节点设备根据安全连接参数生成数据包,包括:
第一节点设备根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第一节点设备根据SCI以及目标待传输数据生成数据包;SCI位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第一节点设备根据SCI以及目标待传输数据生成数据包,包括:
第一节点设备根据SCI、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,若不需要进行完整性保护,则第一节点设备根据SCI以及目标待传输数据生成数据包,包括:
第一节点设备根据SCI、第二完整性保护指示信息以及目标待传输数据生成数据包;第二完整性保护指示信息位于数据包的包头;
其中,第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括消息认证码指示MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,第一节点设备根据安全连接参数生成数据包,包括:
第一节点设备根据安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC;
第一节点设备根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第一节点根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点设备根据SCI、MAC、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点根据SCI、MAC、第一完整性保护指示信息、第二加密指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息和第二加密指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;
第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第一节点设备根据安全连接参数生成数据包,包括:
第一节点设备根据安全连接参数中的认证加密密钥和认证加密算法生成消息认证码MAC,并对初始待传输数据加密得到目标待传输数据;
第一节点根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第一节点根据SCI、MAC以及目标待传输数据生成数据包,包括:
第一节点根据SCI、MAC、以及认证加密指示信息以及目标待传输数据生成数据包;认证加密指示信息位于数据包的包头;
其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,第一节点设备生成数据包之前,还包括:
第一节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI,以便后续在向第二节点设备发送数据包的时通过携带SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数。
在一种可能的实现方式中,第一节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI,包括:
第一节点设备将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
第一节点设备将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,第一节点设备生成数据包之前,还包括:
第一节点设备获取会话密钥以及安全算法;其中,会话密钥包括:完整性保护密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,第一节点设备生成数据包之前,还包括:
第一节点设备保存SCI与对应的安全连接参数之间的映射信息,以便后续可以根据SCI以及映射信息便可确定出对应的安全连接参数;其中,安全连接参数包括:会话密钥和安全算法;当然还可以包括其它参数,本申请实施例中对此并不作限制。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
第二方面,本申请实施例提供一种数据安全传输方法,该方法应用于身份网络ION结构,该方法包括:
第二节点设备接收数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
第二节点设备根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
第二节点设备根据安全连接参数解析数据包。
第二方面提供的数据安全传输方法实施例中,通过第二节点设备根据数据包中携带的SCI(用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数)以及映射信息确定SCI对应的安全连接参数,并根据安全连接参数解析数据包。可见,本申请实施例提供的数据安全传输方法实现了能够适用于ION结构的数据安全传输,并且传输开销较小,提高了传输效率。
在一种可能的实现方式中,第二节点设备根据安全连接参数解析数据包,包括:
第二节点设备判断目标待传输数据是否为完整性保护数据;
若目标待传输数据为非完整性保护数据,则第二节点设备判断目标待传输数据是否为加密数据;
若目标待传输数据为加密数据,则第二节点设备根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若目标待传输数据为非加密数据,则第二节点设备获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该方法还包括:
若目标待传输数据为完整性保护数据,则第二节点设备根据安全连接参数中的第二会话密钥和第二安全算法,验证数据包中携带的消息认证码MAC;其中,第二会话密钥包括完整性保护密钥,对应的,第二安全算法包括认证算法;或者,第二会话密钥包括认证加密密钥,对应的,第二安全算法包括认证加密算法;
若验证成功,则第二节点设备判断目标待传输数据是否为加密数据;
若目标待传输数据为加密数据,则第二节点设备根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若目标待传输数据为非加密数据,则第二节点设备获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该方法还包括:若验证不成功,则第二节点设备丢弃数据包。
在一种可能的实现方式中,第二节点设备判断目标待传输数据是否为完整性保护数据,包括:
若数据包中携带消息认证码MAC、预设规则包括完整性保护规则、数据包中携带认证加密指示信息,和/或数据包中携带第一完整性保护指示信息,则第二节点设备确定目标待传输数据为完整性保护数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;或者,
若数据包中未携带MAC,且数据包中携带第二完整性保护指示信息,和/或预设规则包括非完整性保护规则,则第二节点设备确定目标待传输数据为非完整性保护数据;其中,第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,第二节点设备判断目标待传输数据是否为加密数据,包括:
若预设规则包括加密规则、数据包中携带认证加密指示信息,和/或数据包中携带第二加密指示信息,则第二节点设备确定目标待传输数据为加密数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据;或者,
若数据包中携带第一加密指示信息,和/或预设规则包括非加密规则,则第二节点设备确定目标待传输数据为非加密数据;其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,第二节点设备接收数据包之前,还包括:
第二节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI,以便后续在接收到包含SCI的数据包的时可以通过SCI确定所对应的安全连接参数。
在一种可能的实现方式中,第二节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI,包括:
第二节点设备将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
第二节点设备将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,第二节点设备接收数据包之前,还包括:
第二节点设备获取会话密钥以及安全算法;其中,会话密钥包括:完整性保护密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,第二节点设备接收数据包之前,还包括:
第二节点设备保存SCI与对应的安全连接参数之间的映射信息,以便后续可以根据SCI以及映射信息便可确定出对应的安全连接参数;其中,安全连接参数包括:会话密钥和安全算法;当然还可以包括其它参数,本申请实施例中对此并不作限制。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
第三方面,本申请实施例提供一种节点设备,该节点设备应用于身份网络ION结构,且该节点设备为第一节点设备,该第一节点设备包括:
第一生成模块,用于生成数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
发送模块,用于向第二节点设备发送数据包。
在一种可能的实现方式中,第一生成模块包括:
确定单元,用于根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
生成单元,用于根据安全连接参数生成数据包。
在一种可能的实现方式中,生成单元包括:
第一生成子单元,用于根据安全连接参数中的认证密钥和认证算法生成消息认证码MAC;
第二生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第二生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,第二生成子单元具体用于:
根据SCI、MAC、第一加密指示信息以及目标待传输数据生成数据包;第一加密指示信息位于数据包的包头;
其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括加密指示EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,生成单元包括:
第一加密子单元,用于根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第三生成子单元,用于根据SCI以及目标待传输数据生成数据包;SCI位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第三生成子单元具体用于:
根据SCI、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第三生成子单元具体用于:
根据SCI、第二完整性保护指示信息以及目标待传输数据生成数据包;第二完整性保护指示信息位于数据包的包头;
其中,第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括消息认证码指示MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,生成单元包括:
第四生成子单元,用于根据安全连接参数中的认证密钥和认证算法生成消息认证码MAC;
第二加密子单元,用于根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第五生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息、第二加密指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息和第二加密指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;
第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,生成单元包括:
第六生成子单元,用于根据安全连接参数中的认证加密密钥和认证加密算法生成消息认证码MAC,并对初始待传输数据加密得到目标待传输数据;
第七生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第七生成子单元具体用于:
根据SCI、MAC、以及认证加密指示信息以及目标待传输数据生成数据包;认证加密指示信息位于数据包的包头;
其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,第一节点设备还包括:
第二生成模块,用于根据第一节点设备的标识和第二节点设备的标识生成SCI。
在一种可能的实现方式中,第二生成模块具体用于:
将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,第一节点设备还包括:
获取模块,用于获取会话密钥以及安全算法;其中,会话密钥包括:认证密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,第一节点设备还包括:
保存模块,用于保存SCI与对应的安全连接参数之间的映射信息;其中,安全连接参数包括:会话密钥和安全算法。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
上述第三方面的实现方式所提供的第一节点设备,其有益效果可以参见上述第一方面的实现方式所带来的有益效果,在此不再赘述。
第四方面,本申请实施例提供一种节点设备,该节点设备应用于身份网络ION结构,且该节点设备为第二节点设备,该第二节点设备包括:
接收模块,用于接收数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
确定模块,用于根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
解析模块,用于根据安全连接参数解析数据包。
在一种可能的实现方式中,解析模块包括:
第一判断单元,用于判断目标待传输数据是否为完整性保护数据;
第二判断单元,用于若第一判断单元确定目标待传输数据为非完整性保护数据,则判断目标待传输数据是否为加密数据;
第一解密单元,用于若第二判断单元确定目标待传输数据为加密数据,则根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若第二判断单元确定目标待传输数据为非加密数据,则获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该解析模块还包括:
验证单元,用于若第一判断单元确定目标待传输数据为完整性保护数据,则根据安全连接参数中的第二会话密钥和第二安全算法,验证数据包中携带的消息认证码MAC;其中,第二会话密钥包括认证密钥,对应的,第二安全算法包括认证算法;或者,第二会话密钥包括认证加密密钥,对应的,第二安全算法包括认证加密算法;
第三判断单元,用于若验证单元验证成功,则判断目标待传输数据是否为加密数据;
第二解密单元,用于若第三判断单元确定目标待传输数据为加密数据,则根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若第三判断单元确定目标待传输数据为非加密数据,则获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该解析模块还包括:
丢弃单元,用于若验证单元验证不成功,则丢弃数据包。
在一种可能的实现方式中,第一判断单元具体用于:
若数据包中携带消息认证码MAC、预设规则包括完整性保护规则、数据包中携带认证加密指示信息,和/或数据包中携带第一完整性保护指示信息,则确定目标待传输数据为完整性保护数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;或者,
若数据包中未携带MAC,且数据包中携带第二完整性保护指示信息,和/或预设规则包括非完整性保护规则,则确定目标待传输数据为非完整性保护数据;第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,第二判断单元和/或第三判断单元具体用于:
若预设规则包括加密规则、数据包中携带认证加密指示信息,和/或数据包中携带第二加密指示信息,则确定目标待传输数据为加密数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据;或者,
若数据包中携带第一加密指示信息,和/或预设规则包括非加密规则,则确定目标待传输数据为非加密数据;其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,第二节点设备还包括:
生成模块,用于根据第一节点设备的标识和第二节点设备的标识生成SCI。
在一种可能的实现方式中,生成模块具体用于:
将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,第二节点设备还包括:
获取模块,用于获取会话密钥以及安全算法;其中,会话密钥包括:认证密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,第二节点设备还包括:
保存模块,用于保存SCI与对应的安全连接参数之间的映射信息;其中,安全连接参数包括:会话密钥和安全算法。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
上述第四方面的实现方式所提供的第二节点设备,其有益效果可以参见上述第二方面的实现方式所带来的有益效果,在此不再赘述。
第五方面,本申请实施例提供一种节点设备,该节点设备应用于身份网络ION结构,且节点设备为第一节点设备,第一节点设备包括:处理器和存储器;
其中,存储器用于存储指令,处理器用于执行存储器存储的指令,当处理器执行存储器存储的指令时,第一节点设备用于执行上述第一方面的任意实现方式所述的方法。
第六方面,本申请实施例提供一种节点设备,该节点设备应用于身份网络ION结构,且节点设备为第一节点设备,第二节点设备包括:处理器和存储器;
其中,存储器用于存储指令,处理器用于执行存储器存储的指令,当处理器执行存储器存储的指令时,第二节点设备用于执行上述第二方面的任意实现方式所述的方法。
第七方面,本申请实施例提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面描述的方法中第一节点设备的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第八方面,本申请实施例提供一种程序,该程序在被处理器执行时用于执行以上第一方面的方法。
第九方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面的方法。
第十方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面的方法。
第十一方面,本申请实施例提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第二方面描述的方法中第二节点设备的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第十二方面,本申请实施例提供一种程序,该程序在被处理器执行时用于执行以上第二方面的方法。
第十三方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面的方法。
第十四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第二方面的方法。
附图说明
图1A为传统的TCP/IP网络结构与ION结构的示意图;
图1B为本申请实施例涉及的应用场景示意图;
图1C为本申请实施例涉及的安全连接的示意图;
图1D为本申请实施例提供的数据包的传输格式示意图一;
图1E为本申请实施例提供的数据包的传输格式示意图二;
图1F为本申请实施例提供的数据包的传输格式示意图三;
图2为本申请一实施例提供的数据安全传输方法的流程示意图;
图3为本申请另一实施例提供的数据安全传输方法的流程示意图;
图4为本申请实施例提供的SCI与节点设备的标识之间的映射示意图;
图5为本申请另一实施例提供的数据安全传输方法的流程示意图;
图6为本申请另一实施例提供的数据安全传输方法的流程示意图;
图7为本申请另一实施例提供的数据安全传输方法的流程示意图;
图8为本申请一实施例提供的节点设备的结构示意图;
图9为本申请另一实施例提供的节点设备的结构示意图;
图10为本申请另一实施例提供的节点设备的结构示意图;
图11为本申请另一实施例提供的节点设备的结构示意图。
具体实施方式
首先,对本申请实施例所涉及的网络结构、应用场景和部分词汇进行解释说明。
本申请实施例提供的数据安全传输方法及节点设备可以应用于ION结构。图1A为传统的TCP/IP网络结构与ION结构的示意图,如图1A所示,本申请实施例中涉及的ION结构中通过将身份(Identity,ID)层和位置(Locator)层代替传统的传输控制协议(Transmission Control Protocol,TCP)/网络之间互连的协议(Internet Protocol,IP)网络结构中的IP层,实现了身份与位置的解耦。其中,ID层代表用户的身份标识,Locator层(即IP地址)代表用户的位置。基于与拓扑位置无关的ID标识的会话连接可以穿越多个地址边界,不受通信地址的限制,可以保障未来网络的泛移动和高安全的需求。,
图1B为本申请实施例涉及的应用场景示意图,如图1B所示,示出了终端侧(可以支持ION结构,例如节点设备1和/或节点设备2)和网络侧(ION结构的控制面)。如图1B所示,网络侧可以包括:通用身份服务(Generic Resilient ID Services,GRIDS)-身份服务(Identity services,IS)、GRIDS-映射服务(Mapping/Location services,MS)、身份密钥管理系统(Identity key management system,IKMS)和关联服务(Association services,AS)。其中,GRIDS-IS用于管理身份;GRIDS-MS用于管理ID与位置映射;IKMS用于管理会话密钥以及分发会话密钥,以实现与通信节点的交互;Association services用于管理关联业务。当然,网络侧还可以包括其它服务,例如用于管理ID关系的分组服务(GroupingService)和/或用于管理元数据的元数据服务(Metadata Service)等,本申请实施例中对此并不作限制。
需要说明的是,上述GRIDS-IS、GRIDS-MS、IKMS和Association services可以分布式部署在网络中,用于对终端侧的身份和/或位置等信息进行统一管理。当然,还可以按照其它形式(例如集中式等)部署在网络中,本申请实施例中对并不作限制。
本申请实施例涉及的节点设备(例如第一节点设备和/或第二节点设备)属于上述终端侧。如图1B所示,节点设备1可以经过无线接入网(radio access network,RAN)设备和统一数据转发设备(Unifeid packet forwarding,UPF)接入网络(Internet)并通过网络与节点设备2之间进行数据传输;其中,图1B中所示的网络为ION。可选地,节点设备2可以通过RAN设备(图中未示出)和UPF(图中未示出)接入网络。
本申请实施例涉及的节点设备(例如第一节点设备和/或第二节点设备)可以包括但不限于:终端设备或者网关设备。本申请下述实施例中以节点设备为终端设备为例对数据安全传输过程进行说明;可以理解的是,若节点设备为其它设备,对应的数据安全传输过程可以参考“节点设备为终端设备对应的数据安全传输过程”,本申请实施例中不再一一说明。
本申请涉及的终端设备(或者称之为终端)可以是无线终端也可以是有线终端,无线终端可以是指向用户提供语音和/或其他业务数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入网(radio access network,RAN)与一个或多个核心网进行通信,无线终端可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(personal communication service,PCS)电话、无绳电话、会话发起协议(session initiation protocol,SIP)话机、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)等设备。无线终端也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、移动台(mobile)、远程站(remote station)、远程终端(remote terminal)、接入终端(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(userdevice or user equipment),在此不作限定。
本申请实施例提供的数据安全传输方法的前提为:如图1C所示(图1C为本申请实施例涉及的安全连接的示意图),节点设备1(例如第一节点设备)和节点设备间2(例如第二节点设备)已经建立了端到端的安全连接。当节点设备1和节点设备间2建立了端到端的安全连接时,则节点设备1和节点设备2便确定了该安全连接对应的安全连接参数(用于指示通过该安全连接进行数据安全传输时所使用的连接参数),以供进一步执行本申请实施例提供的数据安全传输方法。
需要说明的是,本申请实施例中对第一节点设备和第二节点设备之间建立安全连接的过程并不作限制。
本申请实施例中涉及的完整性保护密钥是指实现完整性保护所对应的密钥。
本申请实施例中涉及的加密密钥是指实现加解密所对应的密钥
本申请实施例中涉及的认证加密密钥是指实现完整性保护和加解密所对应的密钥(相当于完整性保护密钥和加密密钥为相同的密钥)。
本申请实施例中涉及的认证算法是指实现完整性保护所对应的算法。可选地,认证算法可以包括但不限于以下任意算法:哈希消息认证码(Hash-based MessageAuthentication Code,HMAC)-安全哈希算法(Secure Hash Algorithm,SHA1)-96,HMAC-SHA1-256以及AES-128-CMA-96。
本申请实施例中涉及的加密算法是指实现加解密所对应的算法。可选地,加密算法可以包括但不限于数据加密标准(Data Encryption Standard,DES)和/或高级加密标准(Advanced Encryption Standard,AES)。
本申请实施例中涉及的认证加密算法是指实现完整性保护和加解密所对应的算法(相当于认证算法和加密算法为相同的算法)。
本申请实施例中涉及的第一节点设备的标识是指可以唯一标识第一节点设备的信息。例如,第一节点设备的标识可以为电子邮件(Email)地址或者电话号码等。
本申请实施例中涉及的第二节点设备的标识是指可以唯一标识第二节点设备的信息。例如,第二节点设备的标识可以为Email地址或者电话号码等。
本申请实施例中涉及的预设规则可以包括以下至少一项:加密规则和完整性保护规则。需要说明的是,若第一节点设备中配置有预设规则,则第二节点设备中也配置有相同的预设规则;或者,若第二节点设备中配置有预设规则,则第一节点设备中也配置有相同的预设规则。
本申请实施例中涉及的数据包可以包括:包头和数据载荷部分。可选的,包头可以包括ID包头和TCP包头,或者包头可以包括:ID包头、IP包头和TCP包头;当然,包头还可以包括其它内容,本申请实施例中对此并不作限制。
本申请实施例中涉及的目标待传输数据可以位于于数据包的数据载荷部分。
图1D为本申请实施例提供的数据包的传输格式示意图一,图1E为本申请实施例提供的数据包的传输格式示意图二。如图1D所示,数据包包括:ID包头、TCP包头和数据载荷部分;如图1E所示,数据包包括:ID包头、IP包头、TCP包头和数据载荷部分。
为了便于说明,示例性地,本申请下述实施例中以包头包括ID包头和TCP包头为例进行详细说明。需要说明的是,对于包头包括ID包头、IP包头和TCP包头的情况,与包头包括ID包头和TCP包头的情况类似,本申请下述实例中不再一一赘述。
本申请实施例中涉及的安全连接索引(Security connection index,SCI)、消息认证码(Message Authentication Code,MAC)、第一完整性保护指示信息、第一加密指示(Encryption Indication,EI)信息、第二加密指示信息、第二完整性保护指示信息和认证加密指示信息中的至少一项,可以位于数据包的包头中(示例性的,位于数据包的ID包头中);当然也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本申请实施例中涉及的SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数。
本申请实施例中涉及的MAC用于认证,防止目标待传输数据被篡改。
本申请实施例中涉及的第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据。可选地,第一完整性保护指示信息包括:消息认证码指示(MessageAuthentication Code Indication,MACI)和/或认证算法。可选地,MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
本申请实施例中涉及的第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括消息认证码指示MACI;可选地,MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
本申请实施例中涉及的第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括加密指示EI;可选地,EI等于第二预设值,用于指示目标待传输数据为非加密数据。
本申请实施例中涉及的第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或所述加密算法。可选地,EI等于第三预设值,用于指示目标待传输数据为加密数据。
本申请实施例中涉及的认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据。可选地,认证加密指示信息包括:认证加密指示(用于指示目标待传输数据为完整性保护且加密数据)和/或认证加密算法。
图1F为本申请实施例提供的数据包的传输格式示意图三。如图1F所示,本申请实施例中涉及的ID包头中增加了基于身份的安全(ID-based securtiy,IDSEC)域,IDSEC域中可以携带SCI、加密指示信息以及完整性保护指示信息(图1F中MAC外的虚线框代表可以包括MAC,也可以不包括MAC)。其中,加密指示信息可以包括:第一加密指示信息、第二加密指示信息或者认证加密指示信息;完整性保护指示信息可以包括:第一完整性保护指示信息、第二完整性保护指示信息或者认证加密指示信息。
可选地,若加密指示信息包括认证加密指示信息,则完整性保护指示信息所属字段可以设置为空,或者设置为预设数值(用于指示无效字段);若完整性保护指示信息包括认证加密指示信息,则加密指示信息所属字段可以设置为空,或者设置为预设数值(用于指示无效字段)。
可选地,若完整性保护指示信息包括第一完整性保护指示信息或者认证加密指示信息,则IDSEC域中还必须携带MAC;当然,在其它情况下IDSEC域中也可以携带MAC。
可选地,若完整性保护指示信息包括第二完整性保护指示信息、完整性保护指示信息所属的字段设置为空,或者设置为预设数值(用于指示无效字段),则IDSEC域中不携带MAC。
需要说明的是,IDSEC域还可以包括其它信息,本申请实施例中对此并不作限制。
需要说明的是,图1F仅为示例性地示出ID包头中所包括的各内容,ID包头中各内容的位置还可以包括除图1F所示位置之外的其它位置,本申请实施例中并不限定ID包头中各内容的先后位置关系。
考虑到现有的IPsec主要适用于传统的TCP/IP网络结构,无法适用于ION结构中的安全数据传输。
本申请实施例提供的数据安全传输方法及节点设备可以应用于ION结构,通过第一节点设备向第二节点设备发送的数据包中携带安全连接索引SCI,其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;进一步地,第二节点设备根据数据包中携带的SCI以及映射信息确定SCI对应的安全连接参数,并根据安全连接参数解析数据包。可见,本申请实施例提供的数据安全传输方法及节点设备,实现了能够适用于ION结构的数据安全传输。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请一实施例提供的数据安全传输方法的流程示意图。如图2所示,本申请实施例的方法可以包括:
步骤S201、第一节点设备生成数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据。
本实施例中,示例性地,第一节点设备可以根据目标节点设备(例如第二节点设备)的标识确定出第一节点设备与第二节点设备之间的安全连接所对应的SCI,或者预设第一节点设备在确定需要向第二节点设备发送数据包时,便已获知第一节点设备与第二节点设备之间的安全连接所对应的SCI,进一步地,第一节点设备根据SCI生成数据包。可选地,SCI可以位于数据包的包头(例如ID包头),当然也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。可选地,如图1D至图1F所示,目标待传输数据可以位于数据包的数据载荷部分,当然也可以位于数据包的其它位置,本申请实施例中对此并不作限制。
可选地,第一节点设备可以根据第二节点设备的标识和映射信息(例如,映射信息中包括SCI与第二节点设备的标识之间的映射关系)确定出SCI,或者可以根据第一节点设备的标识和第二节点设备的标识确定出SCI,或者还可以通过其它方式确定出SCI,本申请实施例中对此并不作限制。
本实施例中的SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数,以便第二节点设备根据SCI确定出第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数,从而根据安全连接参数解析第一节点设备所发送的数据包。
本实施例中的目标待传输数据可以为包括但不限于以下任一项:加密且非完整性保护数据(或者非完整性保护且加密数据)、加密且完整性保护数据(或者完整性保护且加密数据),和非加密且完整性保护数据(或者完整性保护且非加密数据)。
示例性地,第一节点设备可以根据SCI以及映射信息确定安全连接参数,并根据安全连接参数生成数据包(可选地,根据确定出的安全连接参数中的部分或全部参数生成数据包)。其中,映射信息中包括:SCI与安全连接参数(即第一节点设备与第二节点设备之间的安全连接参数)之间的映射关系。
示例性地,映射信息可以按照表形式格或列表形式,当然,还可以按照其它形式,本申请实施例中对此并不作限制。
可选地,第一节点设备中的映射信息可以为系统预设的信息,或者可以为第一节点设备预先获取的信息。
可选地,第一节点设备所确定的安全连接参数可以包括但不限于以下至少一项:加密密钥、加密算法、完整性保护密钥、认证算法、认证加密密钥和认证加密算法、第一节点设备的标识和第二节点设备的标识;当然,安全连接参数还可以包括其它参数,本申请实施例中对此并不作限制。
例如,若第一节点设备根据业务需求确定需要加密,和/或预设规则为加密规则,则第一节点设备根据SCI以及映射信息至少需要确定出加密密钥和加密算法。又例如,若第一节点设备根据业务需求确定需要完整性保护,和/或预设规则为完整性保护规则,则第一节点设备根据SCI以及映射信息至少需要确定出完整性保护密钥和认证算法。又例如,若第一节点设备根据业务需求确定需要完整性保护和加密,和/或预设规则包括加密规则和完整性保护规则,则第一节点设备根据SCI以及映射信息至少需要确定出完整性保护密钥、认证算法、加密密钥和加密算法。又例如,若第一节点设备根据业务需求确定需要完整性保护和加密,和/或预设规则包括加密规则和完整性保护规则,则第一节点设备根据SCI以及映射信息至少需要确定出认证加密密钥和认证加密算法。
示例性地,若第一节点设备根据业务需求确定需要加密,和/或预设规则为加密规则,则第一节点设备根据SCI以及映射信息仅确定出加密密钥和加密算法,则第一节点设备根据确定出的安全连接参数中的全部参数(即加密密钥和加密算法)生成数据包;若第一节点设备根据业务需求确定需要加密,和/或预设规则为加密规则,则第一节点设备根据SCI以及映射信息不仅确定出加密密钥和加密算法,还确定出了完整性保护密钥和/或认证算法,则第一节点设备根据确定出的安全连接参数中的部分参数(即加密密钥和加密算法)生成数据包。
示例性地,第一节点设备根据安全连接参数,可以至少通过下述几种可实现方式生成数据包:
第一种可实现方式:第一节点设备根据安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC,并根据SCI、MAC以及目标待传输数据生成数据包。
本实现方式可以适用于第一节点设备根据业务需求确定需要完整性保护,和/或预设规则为完整性保护规则的场景(当然还可以适用于其它场景),第一节点设备可以根据完整性保护密钥和认证算法生成MAC,并根据SCI、MAC以及目标待传输数据生成数据包,即数据包中携带SCI、MAC以及目标待传输数据。可选地,如图1F所示,SCI和MAC可以位于数据包的包头(例如ID包头);其中,图1F中的加密指示信息和完整性保护指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,SCI和MAC也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
可选地,第一节点设备根据完整性保护密钥和认证算法生成MAC的方式,可以参考相关技术中的生成MAC的方式,本申请实施例中对此并不作限制。
可选地,第一节点设备根据SCI、MAC以及目标待传输数据生成数据包的可实现方式如下:
示例性地,第一节点可以根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带第一完整性保护指示信息。可选地,如图1F所示,第一完整性保护指示信息(属于完整性保护指示信息的一种类型)可以位于数据包的包头(例如ID包头);其中,图1F中的加密指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,第一完整性保护指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,以便第二节点设备可以根据第一完整性保护指示信息确定目标待传输数据为完整性保护数据。可选地,第一完整性保护指示信息包括:MACI和/或认证算法。可选地,MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。当然,第一完整性保护指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
示例性地,在上述实施例基础上,若第一节点设备确定不需要进行加密(例如,第一节点设备根据业务需求确定不需要加密,和/或预设规则并不包括加密规则),则第一节点可以根据SCI、MAC、第一加密指示信息以及目标待传输数据生成数据包(可选的,还可以进一步根据第一完整性保护指示信息生成数据包);即数据包中进一步还可以携带第一加密指示信息。可选地,如图1F所示,第一加密指示信息(属于加密指示信息的一种类型)可以位于数据包的包头(例如ID包头);其中,图1F中的完整性保护指示所属的字段可以设置为空、设置为预设数值(用于指示无效字段),或者包括第一完整性保护指示信息。当然,第一加密指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第一加密指示信息用于指示目标待传输数据为非加密数据,以便第二节点设备可以根据第一加密指示信息确定目标待传输数据为非加密数据。可选地,第一加密指示信息包括EI;可选地,EI等于第二预设值,用于指示目标待传输数据为非加密数据。当然,第一加密指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
当然,第一节点设备根据SCI、MAC以及目标待传输数据,还可以通过其它可实现方式生成数据包,本申请实施例中对此并不作限制。
第二种可实现方式:第一节点设备根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据,并根据SCI以及目标待传输数据生成数据包。
本实现方式可以适用于预设规则为加密规则的场景(当然还可以适用于其它场景),第一节点设备可以根据加密密钥和加密算法对初始待传输数据加密得到目标待传输数据,并根据SCI以及目标待传输数据生成数据包。可选地,SCI可以位于数据包的包头(例如ID包头);当然也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
可选地,第一节点设备根据加密密钥和加密算法对初始待传输数据进行加密的方式,可以参考相关技术中的加密方式,本申请实施例中对此并不作限制。
可选地,第一节点设备根据SCI以及目标待传输数据生成数据包的可实现方式如下:
示例性地,第一节点设备根据SCI、第二加密指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带第二加密指示信息。可选地,如图1F所示,第二加密指示信息(属于加密指示信息的一种类型)可以位于数据包的包头(例如ID包头);其中,图1F中的完整性保护指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,第二加密指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第二加密指示信息用于指示目标待传输数据为加密数据,以便第二节点设备可以根据第二加密指示信息确定目标待传输数据为加密数据。可选地,第二加密指示信息包括:加密指示EI和/或加密算法。可选地,EI等于第三预设值,用于指示目标待传输数据为加密数据。当然,第二加密指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
需要说明的是,若数据包中还携带第二加密指示信息,则本实施例还可适用于第一节点设备根据业务需求确定需要加密的场景。
示例性地,在上述实施例的基础上,若第一节点设备确定不需要进行完整性保护(例如,第一节点设备根据业务需求确定不需要完整性保护,和/或预设规则并不包括完整性保护规则),则第一节点设备根据SCI、第二完整性保护指示信息以及目标待传输数据生成数据包(可选的,还可以进一步根据第二加密指示信息生成数据包),即数据包中进一步还可以携带第二完整性保护指示信息。可选的,如图1F所示,第二完整性保护指示信息(属于完整性保护指示信息的一种类型)可以位于数据包的包头(例如ID包头);其中,加密指示信息所属的字段可以设置为空、设置为预设数值(用于指示无效字段),或者包括第二加密指示信息。当然,第二完整性保护指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本申请实施例中的第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,以便第二节点设备可以根据第二完整性保护指示信息确定目标待传输数据为非完整性保护数据。可选的,第二完整性保护指示信息包括MACI;可选地,MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。当然,第二完整性保护指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
当然,第一节点设备根据SCI以及目标待传输数据,还可以通过其它可实现方式生成数据包,本申请实施例中对此并不作限制。
第三种可实现方式:第一节点设备根据安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC、根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据,并根据SCI、MAC以及目标待传输数据生成数据包。
本实现方式可以适用于预设规则包括加密规则以及完整性保护规则的场景(当然还可以适用于其它场景),第一节点设备可以根据完整性保护密钥和认证算法生成消息认证码MAC,以及根据加密密钥和加密算法对初始待传输数据加密得到目标待传输数据,进一步地,第一节点设备根据SCI、MAC以及目标待传输数据生成数据包。可选地,如图1F所示,SCI和MAC可以位于数据包的包头(例如ID包头);其中,加密指示信息和完整性保护指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,SCI和MAC也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
可选地,第一节点设备执行“根据完整性保护密钥和认证算法生成消息认证码MAC”步骤的时间可以早于、晚于或者等于第一节点设备执行“根据加密密钥和加密算法对初始待传输数据加密得到目标待传输数据”步骤的时间,本申请实施例中对这两个步骤的执行顺序并不作限制。
可选地,第一节点设备根据完整性保护密钥和认证算法生成MAC的方式,可以参考相关技术中的生成MAC的方式,本申请实施例中对此并不作限制。
可选地,第一节点设备根据加密密钥和加密算法对初始待传输数据进行加密的方式,可以参考相关技术中的加密方式,本申请实施例中对此并不作限制。
可选地,第一节点设备根据SCI、MAC以及目标待传输数据生成数据包的可实现方式如下:
示例性地,第一节点根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带第一完整性保护指示信息。可选地,如图1F所示,第一完整性保护指示信息(属于完整性保护指示信息的一种类型)可以位于数据包的包头(例如ID包头);其中,加密指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,第一完整性保护指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,以便第二节点设备可以根据第一完整性保护指示信息确定目标待传输数据为完整性保护数据。可选地,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法。可选地,MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。当然,第一完整性保护指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
示例性地,第一节点设备根据SCI、MAC、第二加密指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带第二加密指示信息。可选地,如图1F所示,第二加密指示信息(属于加密指示信息的一种类型)可以位于数据包的包头(例如ID包头),其中,完整性保护指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,第二加密指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第二加密指示信息用于指示目标待传输数据为加密数据,以便第二节点设备可以根据第二加密指示信息确定目标待传输数据为加密数据。可选地,第二加密指示信息包括:加密指示EI和/或加密算法。可选地,EI等于第三预设值,用于指示目标待传输数据为加密数据。当然,第二加密指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
需要说明的是,若数据包中还携带第二加密指示信息,则本实施例还可适用于第一节点设备根据业务需求确定需要完整性保护和加密的场景。
示例性地,第一节点根据SCI、MAC、第一完整性保护指示信息、第二加密指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带第一完整性保护指示信息和第二加密指示信息。可选地,如图1F所示,第一完整性保护指示信息(属于完整性保护指示信息的一种类型)和第二加密指示信息(属于加密指示信息的一种类型)可以位于数据包的包头(例如ID包头)。当然,第一完整性保护指示信息和第二加密指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据。可选地,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法。可选地,MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
本实施例中的第二加密指示信息用于指示目标待传输数据为加密数据。可选地,第二加密指示信息包括:加密指示EI和/或加密算法。可选地,EI等于第三预设值,用于指示目标待传输数据为加密数据。
需要说明的是,若数据包中还携带第二加密指示信息,则本实施例还可适用于第一节点设备根据业务需求确定需要完整性保护和加密的场景。
当然,第一节点设备根据SCI、MAC以及目标待传输数据,还可以通过其它可实现方式生成数据包,本申请实施例中对此并不作限制。
第四种可实现方式:第一节点设备根据安全连接参数中的认证加密密钥和认证加密算法生成消息认证码MAC,并对初始待传输数据加密得到目标待传输数据,进一步地,根据SCI、MAC以及目标待传输数据生成数据包。
本实现方式可以适用于预设规则包括加密规则和完整性保护规则(当然还可以适用于其它场景),第一节点设备根据认证加密密钥和认证加密算法生成消息认证码MAC,并对初始待传输数据加密得到目标待传输数据,进一步地,根据SCI、MAC以及目标待传输数据生成数据包。可选地,如图1F所示,SCI和MAC可以位于数据包的包头(例如ID包头);其中,加密指示信息和完整性保护指示信息所属的字段可以设置为空,或者设置为预设数值(用于指示无效字段)。当然,SCI和MAC也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
可选地,第一节点设备执行“根据认证加密密钥和认证加密算法生成消息认证码MAC”步骤的时间可以早于、晚于或者等于第一节点设备执行“根据认证加密密钥和认证加密算法对初始待传输数据加密”步骤的时间,本申请实施例中对这两个步骤的执行顺序并不作限制。
可选地,第一节点设备根据认证加密密钥和认证加密算法生成MAC的方式,可以参考相关技术中的生成MAC的方式,本申请实施例中对此并不作限制。
可选地,第一节点设备根据认证加密密钥和认证加密算法对初始待传输数据进行加密的方式,可以参考相关技术中的加密方式,本申请实施例中对此并不作限制。
可选地,第一节点根据SCI、MAC以及目标待传输数据生成数据包的可实现方式如下:
示例性地,第一节点根据SCI、MAC、以及认证加密指示信息以及目标待传输数据生成数据包,即数据包中进一步还可以携带认证加密指示信息。可选地,如图1F所示,认证加密指示信息(属于加密指示信息和/或完整性保护指示信息的一种类型)可以位于数据包的包头(例如ID包头);即认证加密指示信息可以携带于加密指示信息或者完整性保护指示信息中。当然,认证加密指示信息也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
本实施例中的认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,以便第二节点设备可以根据认证加密指示信息确定目标待传输数据为完整性保护且加密数据。可选地,认证加密指示信息包括:认证加密指示(用于指示目标待传输数据为完整性保护且加密数据)和/或认证加密算法;当然,认证加密指示信息还可以包括其它信息,本申请实施例中对此并不作限制。
需要说明的是,若数据包中还携带认证加密指示信息,则本实施例还可适用于第一节点设备根据业务需求确定需要完整性保护和加密的场景。
当然,第一节点设备根据SCI、MAC以及目标待传输数据,还可以通过其它可实现方式生成数据包,本申请实施例中对此并不作限制。
当然,第一节点设备根据安全连接参数,还可以通过其它可实现方式生成数据包,本申请实施例中对此并不作限制。
步骤S202、第一节点设备向第二节点设备发送数据包。
本步骤中,第一节点设备向第二节点设备发送在步骤S201中所生成的数据包。根据上述步骤S201中的记载可知,数据包中可以仅携带SCI和目的待传输数据,或者还可以携带MAC、第一完整性保护指示信息、第二完整性保护指示信息、第一加密指示信息、第二加密指示信息和认证加密指示信息中的至少一项;可见,传输开销较小,提高了传输效率。
步骤S203、第二节点设备接收数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据。
其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数。
步骤S204、第二节点设备根据SCI以及映射信息确定安全连接参数。
本步骤中,第二节点设备根据数据包中携带的SCI以及映射信息确定安全连接参数(即第一节点设备与第二节点设备之间的安全连接参数),以便进一步根据安全连接参数解析步骤S203中所接收的数据包。其中,映射信息中包括:SCI与安全连接参数(即第一节点设备与第二节点设备之间的安全连接参数)之间的映射关系。
示例性地,映射信息可以按照表形式格或列表形式,当然,还可以按照其它形式,本申请实施例中对此并不作限制。
可选地,第二节点设备中的映射信息可以为系统预设的信息,或者可以为第二节点设备预先获取的信息。
可选地,第二节点设备所确定的安全连接参数可以包括但不限于以下至少一项:加密密钥、加密算法、完整性保护密钥、认证算法、认证加密密钥、认证加密算法、第一节点设备的标识和第二节点设备的标识;当然,安全连接参数还可以包括其它参数,本申请实施例中对此并不作限制。
步骤S205、第二节点设备根据安全连接参数解析数据包。
本步骤中,示例性地,第二节点设备可以根据所接收的数据包中携带的内容确定目标待传输数据的数据类型(示例性的,加密且非完整性保护数据、加密且完整性保护数据、或者非加密且完整性保护数据等),进而根据目标待传输数据的数据类型对应的安全连接参数(可以为步骤S204中所确定的安全连接参数中的部分或全部参数,和/或数据包中携带的安全连接参数),对步骤S203中所接收的数据包进行解析。例如,若第二节点设备确定目标待传输数据的数据类型为:加密且非完整性保护数据,则根据加密密钥和加密算法解析数据包,其中,加密密钥和加密算法可以为步骤S204中所确定的安全连接参数中的部分参数或者全部参数。又例如,若第二节点设备确定目标待传输数据的数据类型为:非加密且完整性保护数据,则根据完整性保护密钥和认证算法解析数据包,其中,完整性保护密钥和认证算法可以为步骤S204中所确定的安全连接参数中的部分参数或者全部参数。
本申请实施例提供的数据安全传输方法可以应用于ION结构,通过第一节点设备向第二节点设备发送的数据包中携带安全连接索引SCI,其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;进一步地,第二节点设备根据数据包中携带的SCI以及映射信息确定SCI对应的安全连接参数,并根据安全连接参数解析数据包。可见,本申请实施例提供的数据安全传输方法实现了能够适用于ION结构的数据安全传输,并且传输开销较小,提高了传输效率。
图3为本申请另一实施例提供的数据安全传输方法的流程示意图。在上述实例的基础上,本申请实施例中对“第二节点设备根据安全连接参数解析数据包”的可实现方式进行介绍。如图3所示,本申请实施例的方法可以包括:
S301、第二节点设备判断目标待传输数据是否为完整性保护数据。
本步骤中,第二节点可以根据数据包携带的内容判断目标待传输数据是否为完整性保护数据。示例性地,第二节点设备判断目标待传输数据是否为完整性保护数据的可实现方式如下:
(1)若数据包中携带消息认证码MAC、预设规则包括完整性保护规则、数据包中携带认证加密指示信息,和/或数据包中携带第一完整性保护指示信息(即只需满足上述至少一项),则第二节点设备确定目标待传输数据为完整性保护数据。
其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,可选地,认证加密指示信息包括:认证加密指示(用于指示目标待传输数据为完整性保护且加密数据)和/或认证加密算法。
第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,可选地,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法。可选地,MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
(2)若数据包中未携带MAC,且数据包中携带第二完整性保护指示信息,和/或预设规则包括非完整性保护规则,则第二节点设备确定目标待传输数据为非完整性保护数据。其中,第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括MACI,可选的,MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
当然,第二节点设备还可以通过其他可实现方式,判断目标待传输数据是否为完整性保护数据,本申请实施例中对此并不作限制。
进一步地,若目标待传输数据为非完整性保护数据,则执行步骤S302;若目标待传输数据为完整性保护数据,则执行步骤S303。
步骤S302、第二节点设备判断目标待传输数据是否为加密数据。
本步骤中,第二节点可以根据数据包携带的内容判断目标待传输数据是否为加密数据。示例性地,第二节点设备判断目标待传输数据是否为加密数据的可实现方式如下:
(1)若预设规则包括加密规则、数据包中携带认证加密指示信息,和/或数据包中携带第二加密指示信息(即只需满足上述至少一项),则第二节点设备确定目标待传输数据为加密数据。
其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,可选地,认证加密指示信息包括:认证加密指示(用于指示目标待传输数据为完整性保护且加密数据)和/或认证加密算法。
第二加密指示信息用于指示目标待传输数据为加密数据,可选地,第二加密指示信息包括:加密指示EI和/或加密算法;可选的,EI等于第三预设值,用于指示目标待传输数据为加密数据。
(2)若数据包中携带第一加密指示信息,和/或预设规则包括非加密规则,则第二节点设备确定目标待传输数据为非加密数据。其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括EI;可选的,EI等于第二预设值,用于指示目标待传输数据为非加密数据。
当然,第二节点设备还可以通过其他可实现方式,判断目标待传输数据是否为加密数据,本申请实施例中对此并不作限制。
进一步地,若目标待传输数据为加密数据,则执行步骤S304;若目标待传输数据为非加密数据,则执行步骤S305。
步骤S303、第二节点设备根据安全连接参数中的第二会话密钥和第二安全算法,验证数据包中携带的消息认证码MAC。
本步骤中,第二节点设备根据步骤S204中所确定的安全连接参数中的第二会话密钥和第二安全算法,验证数据包中携带的消息认证码MAC;可选地,第二安全算法可以为步骤S204中所确定的,或者为数据包中携带的(例如数据包中携带认证算法或认证加密算法的场景)。可选地,第二会话密钥可以包括完整性保护密钥,对应的,第二安全算法可以包括认证算法;或者,第二会话密钥可以包括认证加密密钥,对应的,第二安全算法可以包括认证加密算法。
具体的,第二节点设备可以根据步骤S301中确定目标待传输数据为完整性保护数据的依据,来确定第二会话密钥包括完整性保护密钥还是认证加密密钥(和/或第二安全算法包括认证算法还是认证加密算法)。示例性地,若步骤S301中确定目标待传输数据为完整性保护数据的依据为:预设规则包括完整性保护规则,和/或数据包中携带完整性保护指示信息,则第二节点设备确定第二会话密钥包括完整性保护密钥(和/或第二安全算法包括认证算法)。示例性地,若步骤S301中确定目标待传输数据为完整性保护数据的依据为:数据包中携带认证加密指示信息,则确定第二会话密钥包括认证加密密钥(和/或第二安全算法包括认证加密算法)。
可选地,第二节点设备根据第二会话密钥和第二安全算法验证数据包中携带的MAC的方式,可以参考相关技术中的验证MAC的方式,本申请实施例中对此并不作限制。
进一步地,若验证成功,则执行步骤S302;若验证不成功,则执行步骤S306。
步骤S304、第二节点设备根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密。
本步骤中,第二节点设备根据步骤S204中所确定的安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密得到初始待传输数据;可选地,第一安全算法可以为步骤S204中所确定的,或者为数据包中携带的(例如数据包中携带加密算法或认证加密算法的场景)。可选地,第一会话密钥可以包括加密密钥,对应的,第一安全算法可以包括加密算法;或者,第一会话密钥可以包括认证加密密钥,对应的,第一安全算法可以包括认证加密算法。
具体的,第二节点设备可以根据步骤S302中确定目标待传输数据为加密数据的依据,来确定第一会话密钥包括加密密钥还是认证加密密钥(和/或第一安全算法包括加密算法还是认证加密算法)。示例性地,若步骤S302中确定目标待传输数据为加密数据的依据为:预设规则包括加密规则,和/或数据包中携带加密指示信息,则第二节点设备确定第一会话密钥包括加密密钥(和/或第一安全算法包括加密算法)。示例性地,若步骤S302中确定目标待传输数据为加密数据的依据为:数据包中携带认证加密指示信息,则第二节点设备确定第一会话密钥包括认证加密密钥(和/或第一安全算法包括认证加密算法)。
可选地,第二节点设备根据第一会话密钥和第一安全算法,对目标待传输数据进行解密的方式,可以参考相关技术中的解密方式,本申请实施例中对此并不作限制。
步骤S305、第二节点设备获取目标待传输数据。
由于步骤S302中确定目标待传输数据为非加密数据,因此,本步骤中第二节点设备可以直接获取目标待传输数据。
步骤S306、第二节点设备丢弃数据包。
综上所述,本申请实施例中,第二节点设备通过根据数据包中携带的内容判断目标待传输数据的类型,并根据目标待传输数据的类型相对应的安全连接参数解析数据包,从而实现了ION结构中的数据包解析过程。
本申请另一实施例提供的数据安全传输方法中,在上述各实例的基础上,对第一节点设备在生成数据包之前的其它步骤进行介绍。
第一种可实现方式:第一节点设备在生成数据包之前,可以根据第一节点设备的标识和第二节点设备的标识生成SCI,以便后续在向第二节点设备发送数据包的时通过携带SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数。
可选地,第一节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI的可实现方式如下:
示例性地,第一节点设备将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;进一步地,第一节点设备将哈希值中前第二预设比特的数值作为SCI。
可选地,第一预设比特和第二预设比特可以相同或者不同(例如,第一预设比特和第二预设比特均为32比特)。
可选地,本实施例中涉及的哈希运算可以采用消息摘要算法(Message DigestAlgorithm MD5,MD5)或者SHA1,当然,还可以采用其它算法,本申请实施例中对此并不作限制。
第二种可实现方式:第一节点设备在生成数据包之前,可以获取会话密钥以及安全算法。
由于第一节点设备和第二节点设备间已经建立了端到端的安全连接,因此,本实现方式中,第一节点设备直接可以获取该安全连接对应的会话密钥以及安全算法。可选地,会话密钥可以包括:完整性保护密钥以及加密密钥,对应的,安全算法可以包括:认证算法和加密算法;或者,会话密钥可以包括认证加密密钥,对应的,安全算法可以包括认证加密算法。
第三种可实现方式:可选地,在前两种可实现方式的基础上,第一节点设备可以保存SCI与对应的安全连接参数(即第一节点设备和第二节点设备之间的安全连接所对应的安全连接参数)之间的映射信息,以便后续可以根据SCI以及映射信息便可确定出对应的安全连接参数。可选地,安全连接参数可以包括:会话密钥和/或安全算法;当然还可以包括其它参数(例如第一节点设备的标识和/或第二节点设备的标识等),本申请实施例中对此并不作限制。
本申请另一实施例提供的数据安全传输方法中,在上述各实例的基础上,对第二节点设备接收数据包之前的其它步骤进行介绍。
第一种可实现方式:第二节点设备在接收数据包之前,可以根据第一节点设备的标识和第二节点设备的标识生成SCI,以便后续在接收到包含SCI的数据包的时可以通过SCI确定所对应的安全连接参数。
可选地,第二节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI的可实现方式如下:
示例性地,第二节点设备将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;进一步地,第二节点设备将哈希值中前第二预设比特的数值作为SCI。
可选地,第二节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI的具体过程可以参考上述“第一节点设备根据第一节点设备的标识和第二节点设备的标识生成SCI”的过程,此处不再赘述。
第二种可实现方式:第二节点设备在接收数据包之前,可以获取会话密钥以及安全算法。
由于第一节点设备和第二节点设备间已经建立了端到端的安全连接,因此,本实现方式中,第二节点设备直接可以获取会话密钥以及安全算法。可选地,会话密钥包括:完整性保护密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
第三种可实现方式:可选地,在前两种可实现方式的基础上,第二节点设备可以保存SCI与对应的安全连接参数(即第一节点设备和第二节点设备之间的安全连接所对应的安全连接参数)之间的映射信息,以便后续可以根据SCI以及映射信息便可确定出对应的安全连接参数。可选地,安全连接参数包括以下:会话密钥和/或安全算法;当然还可以包括其它参数(例如第一节点设备的标识和/或第二节点设备的标识等),本申请实施例中对此并不作限制。
需要说明的是,若上述实施例提供的数据安全传输方法过程中是基于IP寻址的,则上述实施例中涉及的数据包中可以不携带第一节点设备的标识和第二节点设备的标识,当然也可以携带第一节点设备的标识和第二节点设备的标识。可选地,若上述实施例中涉及的数据包中不携带第一节点设备的标识和第二节点设备的标识,则第二节点设备在接收到数据包后,可以根据数据包中携带的SCI以及第二节点设备中的映射信息直接确定出源节点设备的标识(如第一节点设备的标识)。图4为本申请实施例提供的SCI与节点设备的标识之间的映射示意图,如图4所示,节点设备4根据SCI1与映射信息1(包括:SCI1、节点设备1的标识1和节点设备4的标识4之间的映射关系)确定节点设备1、节点设备4根据SCI2与映射信息2(包括:SCI2、节点设备2的标识2和节点设备4的标识4之间的映射关系)确定节点设备2,以及节点设备4根据SCI3与映射信息3(包括:SCI3、节点设备3的标识3和节点设备4的标识4之间的映射关系)确定节点设备3。
若上述实施例提供的数据安全传输方法过程中非基于IP寻址的,则上述实施例中涉及的数据包中必须携带第一节点设备的标识和第二节点设备的标识。
示例性地,若数据包中携带第一节点设备的标识和第二节点设备的标识,则第一节点设备的标识和第二节点设备的标识可以位于数据包的包头(例如ID包头)中,当然也可以位于数据包中的数据载荷部分之前的其它任意位置,本申请实施例中对此并不作限制。
图5为本申请另一实施例提供的数据安全传输方法的流程示意图。在上述实例的基础上,以第一节点设备向第二节点设备发送的目标待传输数据51为加密且完整性保护数据,以及第二节点设备向第一节点设备发送的目标待传输数据52为加密且完整性保护数据为例进行说明。如图5所示,本申请实施例提供的方法可以包括:
步骤S501、第一节点设备根据第二节点设备确定SCI51,并根据SCI51以及映射信息51确定安全连接参数51。
可选地,映射信息51可以包括:SCI51与安全连接参数51之间的映射关系。示例性地,安全连接参数51可以包括:完整性保护密钥51、认证算法51、加密密钥51和加密算法51;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S502、第一节点设备根据安全连接参数51生成数据包51,并发送数据包51。
本步骤中,第一节点设备可以根据完整性保护密钥51和认证算法51生成MAC51,并根据加密密钥51和加密算法51对初始待传输数据51加密得到目标待传输数据51;进一步地,第一节点设备根据SCI51、MAC51以及目标待传输数据51生成数据包51,并发送数据包51。可选地,数据包51的传输格式可以参考图1F所示。
步骤S503、第二节点设备根据数据包51中的SCI51以及映射信息52确定安全连接参数52。
本步骤中,第二节点设备在接收到数据包51后,根据数据包51中的SCI51以及映射信息52确定安全连接参数52。可选地,映射信息52可以包括:SCI51与安全连接参数52之间的映射关系。示例性的,安全连接参数52可以包括:完整性保护密钥51、认证算法51、加密密钥51和加密算法51;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S504、第二节点设备根据安全连接参数52解析数据包51。
本步骤中,第二节点设备根据安全连接参数52中的部分参数或者全部参数解析数据包51的过程可以参见上述实施例中的相关部分,此处不再赘述。
步骤S505、第二节点设备根据安全连接参数52生成数据包52,并发送数据包52。
本步骤中,第二节点设备根据完整性保护密钥51和认证算法51生成MAC52,并根据加密密钥51和加密算法51对初始待传输数据52加密得到目标待传输数据52;进一步地,第二节点设备根据SCI51、MAC52以及目标待传输数52据生成数据包52,并发送数据包52。可选地,数据包52的传输格式可以参考图1F所示。
步骤S506、第一节点设备根据数据包52中的SCI51以及映射信息51确定安全连接参数51,并根据安全连接参数51中的部分参数解析数据包52。
本步骤中,第一节点设备根据安全连接参数51中的部分参数或者全部参数解析数据包52的过程可以参见上述实施例中的相关部分,此处不再赘述。
需要说明的是,本申请实施例中上述各步骤的具体实现方式,可以参考本申请上述实施例中的相关内容,此处不再赘述。
本申请实施例中,通过第一节点设备与第二节点设备之间互相发送加密且完整性保护的数据;可见,实现了能够适用于ION结构的数据安全传输。
图6为本申请另一实施例提供的数据安全传输方法的流程示意图。在上述实例的基础上,以第一节点设备向第二节点设备发送的目标待传输数据61为加密且完整性保护数据,以及第二节点设备向第一节点设备发送的目标待传输数据62为非加密且完整性保护数据为例进行说明。如图6所示,本申请实施例提供的方法可以包括:
步骤S601、第一节点设备根据第二节点设备确定SCI61,并根据SCI61以及映射信息61确定安全连接参数61。
可选地,映射信息61可以包括:SCI61与安全连接参数61之间的映射关系。示例性地,安全连接参数61可以包括:完整性保护密钥61、认证算法61、加密密钥61和加密算法61;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S602、第一节点设备根据安全连接参数61生成数据包61,并发送数据包61。
本步骤中,第一节点设备可以根据完整性保护密钥61和认证算法61生成MAC61,并根据加密密钥61和加密算法61对初始待传输数据61加密得到目标待传输数据61;进一步地,第一节点设备根据SCI61、MAC61以及目标待传输数据61生成数据包61,并发送数据包61。可选地,数据包61的传输格式可以参考图1F所示。
步骤S603、第二节点设备根据数据包61中的SCI61以及映射信息62确定安全连接参数62。
本步骤中,第二节点设备在接收到数据包61后,根据数据包61中的SCI61以及映射信息62确定安全连接参数62。可选地,映射信息62可以包括:SCI61与安全连接参数62之间的映射关系。示例性的,安全连接参数62可以包括:完整性保护密钥61、认证算法61、加密密钥61和加密算法61;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S604、第二节点设备根据安全连接参数62解析数据包61。
本步骤中,第二节点设备根据安全连接参数62中的部分参数或者全部参数解析数据包61的过程可以参见上述实施例中的相关部分,此处不再赘述。
步骤S605、第二节点设备根据安全连接参数62中的部分参数生成数据包62,并发送数据包62。可选地,数据包62的传输格式可以参考图1F所示。
本步骤中,第二节点设备根据完整性保护密钥61和认证算法61生成MAC62,并根据SCI61、MAC62以及目标待传输数62据生成数据包62,并发送数据包62。
步骤S606、第一节点设备根据数据包62中的SCI61以及映射信息61确定安全连接参数61,并根据安全连接参数61中的部分参数解析数据包62。
本步骤中,第一节点设备根据安全连接参数61中的部分参数解析数据包62的过程可以参见上述实施例中的相关部分,此处不再赘述。
需要说明的是,本申请实施例中上述各步骤的具体实现方式,可以参考本申请上述实施例中的相关内容,此处不再赘述。
本申请实施例中,通过第一节点设备向第二节点设备发送加密且完整性保护的数据,以及第二节点设备向第一节点设备发送非加密且完整性保护的数据;可见,实现了能够适用于ION结构的数据安全传输。
需要说明的是,对于第一节点设备向第二节点设备发送非加密且完整性保护的数据,以及第二节点设备向第一节点设备发送加密且完整性保护的数据的过程,与上述实施例类似,此处不再赘述。
图7为本申请另一实施例提供的数据安全传输方法的流程示意图。在上述实例的基础上,以第一节点设备向第二节点设备发送的目标待传输数据71为加密且完整性保护数据,以及第二节点设备向第一节点设备发送的目标待传输数据72为加密且非完整性保护数据为例进行说明。如图7所示,本申请实施例提供的方法可以包括:
步骤S701、第一节点设备根据第二节点设备确定SCI71,并根据SCI71以及映射信息71确定安全连接参数71。
可选地,映射信息71可以包括:SCI71与安全连接参数71之间的映射关系。示例性地,安全连接参数71可以包括:完整性保护密钥71、认证算法71、加密密钥71和加密算法71;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S702、第一节点设备根据安全连接参数71生成数据包71,并发送数据包71。
本步骤中,第一节点设备可以根据完整性保护密钥71和认证算法71生成MAC71,并根据加密密钥71和加密算法71对初始待传输数据71加密得到目标待传输数据71;进一步地,第一节点设备根据SCI71、MAC71以及目标待传输数据71生成数据包71,并发送数据包71。可选地,数据包71的传输格式可以参考图1F所示。
步骤S703、第二节点设备根据数据包71中的SCI71以及映射信息72确定安全连接参数72。
本步骤中,第二节点设备在接收到数据包71后,根据数据包71中的SCI71以及映射信息72确定安全连接参数72。可选地,映射信息72可以包括:SCI71与安全连接参数72之间的映射关系。示例性的,安全连接参数72可以包括:完整性保护密钥71、认证算法71、加密密钥71和加密算法71;当然,还可以包括第一节点设备的标识和第二节点设备的标识等参数,本申请实施例中对此并不作限制。
步骤S704、第二节点设备根据安全连接参数72解析数据包71。
本步骤中,第二节点设备根据安全连接参数72中的部分参数或者全部参数解析数据包71的过程可以参见上述实施例中的相关部分,此处不再赘述。
步骤S705、第二节点设备根据安全连接参数72中的部分参数生成数据包72,并发送数据包72。
本步骤中,第二节点设备根据加密密钥71和加密算法71对初始待传输数据72加密得到目标待传输数据72,进一步地根据SCI71以及目标待传输数72据生成数据包72,并发送数据包72。可选地,数据包72的传输格式可以参考图1F所示。
步骤S706、第一节点设备根据数据包72中的SCI71以及映射信息71确定安全连接参数71,并根据安全连接参数71中的部分参数解析数据包72。
本步骤中,第一节点设备根据安全连接参数71中的部分参数解析数据包72的过程可以参见上述实施例中的相关部分,此处不再赘述。
需要说明的是,本申请实施例中上述各步骤的具体实现方式,可以参考本申请上述实施例中的相关内容,此处不再赘述。
本申请实施例中,通过第一节点设备向第二节点设备发送加密且完整性保护的数据,以及第二节点设备向第一节点设备发送加密且非完整性保护的数据;可见,实现了能够适用于ION结构的数据安全传输。
需要说明的是,对于第一节点设备向第二节点设备发送加密且非完整性保护的数据,以及第二节点设备向第一节点设备发送加密且完整性保护的数据的过程,与上述实施例类似,此处不再赘述。
图8为本申请一实施例提供的节点设备的结构示意图。本申请实施例提供的节点设备应用于身份网络ION结构,该节点设备可以为第一节点设备。如图8所示,本实施例提供的节点设备80可以包括:第一生成模块801以及发送模块802。
其中,第一生成模块801用于生成数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
发送模块802用于向第二节点设备发送数据包。
在一种可能的实现方式中,第一生成模块801包括:
确定单元,用于根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
生成单元,用于根据安全连接参数生成数据包。
在一种可能的实现方式中,生成单元包括:
第一生成子单元,用于根据安全连接参数中的认证密钥和认证算法生成消息认证码MAC;
第二生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第二生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,第二生成子单元具体用于:
根据SCI、MAC、第一加密指示信息以及目标待传输数据生成数据包;第一加密指示信息位于数据包的包头;
其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括加密指示EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,生成单元包括:
第一加密子单元,用于根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第三生成子单元,用于根据SCI以及目标待传输数据生成数据包;SCI位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第三生成子单元具体用于:
根据SCI、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第三生成子单元具体用于:
根据SCI、第二完整性保护指示信息以及目标待传输数据生成数据包;第二完整性保护指示信息位于数据包的包头;
其中,第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括消息认证码指示MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,生成单元包括:
第四生成子单元,用于根据安全连接参数中的认证密钥和认证算法生成消息认证码MAC;
第二加密子单元,用于根据安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到目标待传输数据;
第五生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第二加密指示信息以及目标待传输数据生成数据包;第二加密指示信息位于数据包的包头;
其中,第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,第五生成子单元具体用于:
根据SCI、MAC、第一完整性保护指示信息、第二加密指示信息以及目标待传输数据生成数据包;第一完整性保护指示信息和第二加密指示信息位于数据包的包头;
其中,第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;
第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据。
在一种可能的实现方式中,生成单元包括:
第六生成子单元,用于根据安全连接参数中的认证加密密钥和认证加密算法生成消息认证码MAC,并对初始待传输数据加密得到目标待传输数据;
第七生成子单元,用于根据SCI、MAC以及目标待传输数据生成数据包;SCI和MAC位于数据包的包头,目标待传输数据位于数据包的数据载荷部分。
在一种可能的实现方式中,第七生成子单元具体用于:
根据SCI、MAC、以及认证加密指示信息以及目标待传输数据生成数据包;认证加密指示信息位于数据包的包头;
其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,节点设备80还包括:
第二生成模块,用于根据第一节点设备的标识和第二节点设备的标识生成SCI。
在一种可能的实现方式中,第二生成模块具体用于:
将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,节点设备80还包括:
获取模块,用于获取会话密钥以及安全算法;其中,会话密钥包括:认证密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,节点设备80还包括:
保存模块,用于保存SCI与对应的安全连接参数之间的映射信息;其中,安全连接参数包括:会话密钥和安全算法。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
本申请实施例提供的节点设备80,可以用于执行本申请上述数据安全传输方法实施例中关于第一节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本申请另一实施例提供的节点设备的结构示意图。本申请实施例提供的节点设备应用于身份网络ION结构,该节点设备可以为第一节点设备。如图9所示,本实施例提供的节点设备90可以包括:处理器901和存储器902;
其中,存储器902用于存储指令,处理器901用于执行存储器902存储的指令,当处理器901执行存储器902存储的指令时,节点设备90用于执行本申请上述数据安全传输方法实施例中关于第一节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
可以理解的是,图9仅仅示出了节点设备的简化设计。在其他的实施方式中,节点设备还可以包含任意数量的收发器、处理器、存储器和/或通信单元等,本申请实施例中对此并不作限制。
图10为本申请另一实施例提供的节点设备的结构示意图。本申请实施例提供的节点设备应用于身份网络ION结构,该节点设备可以为第二节点设备。如图10所示,本实施例提供的节点设备100可以包括:接收模块1001、确定模块1002以及解析模块1003。
其中,接收模块1001,用于接收数据包;其中,数据包中携带:安全连接索引SCI以及目标待传输数据;其中,SCI用于指示第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
确定模块1002,用于根据SCI以及映射信息确定安全连接参数;其中,映射信息中包括:SCI与安全连接参数之间的映射关系;
解析模块1003,用于根据安全连接参数解析数据包。
在一种可能的实现方式中,解析模块1003包括:
第一判断单元,用于判断目标待传输数据是否为完整性保护数据;
第二判断单元,用于若第一判断单元确定目标待传输数据为非完整性保护数据,则判断目标待传输数据是否为加密数据;
第一解密单元,用于若第二判断单元确定目标待传输数据为加密数据,则根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若第二判断单元确定目标待传输数据为非加密数据,则获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该解析模块1003还包括:
验证单元,用于若第一判断单元确定目标待传输数据为完整性保护数据,则根据安全连接参数中的第二会话密钥和第二安全算法,验证数据包中携带的消息认证码MAC;其中,第二会话密钥包括认证密钥,对应的,第二安全算法包括认证算法;或者,第二会话密钥包括认证加密密钥,对应的,第二安全算法包括认证加密算法;
第三判断单元,用于若验证单元验证成功,则判断目标待传输数据是否为加密数据;
第二解密单元,用于若第三判断单元确定目标待传输数据为加密数据,则根据安全连接参数中的第一会话密钥和第一安全算法,对目标待传输数据进行解密;或者,若第三判断单元确定目标待传输数据为非加密数据,则获取目标待传输数据;
其中,第一会话密钥包括加密密钥,对应的,第一安全算法包括加密算法;或者,第一会话密钥包括认证加密密钥,对应的,第一安全算法包括认证加密算法。
在一种可能的实现方式中,该解析模块1003还包括:
丢弃单元,用于若验证单元验证不成功,则丢弃数据包。
在一种可能的实现方式中,第一判断单元具体用于:
若数据包中携带消息认证码MAC、预设规则包括完整性保护规则、数据包中携带认证加密指示信息,和/或数据包中携带第一完整性保护指示信息,则确定目标待传输数据为完整性保护数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第一完整性保护指示信息用于指示目标待传输数据为完整性保护数据,第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;MACI等于第一预设值,用于指示目标待传输数据为完整性保护数据;或者,
若数据包中未携带MAC,且数据包中携带第二完整性保护指示信息,和/或预设规则包括非完整性保护规则,则确定目标待传输数据为非完整性保护数据;第二完整性保护指示信息用于指示目标待传输数据为非完整性保护数据,第二完整性保护指示信息包括MACI;MACI等于第四预设值,用于指示目标待传输数据为非完整性保护数据。
在一种可能的实现方式中,第二判断单元和/或第三判断单元具体用于:
若预设规则包括加密规则、数据包中携带认证加密指示信息,和/或数据包中携带第二加密指示信息,则确定目标待传输数据为加密数据;其中,认证加密指示信息用于指示目标待传输数据为完整性保护且加密数据,认证加密指示信息包括:认证加密指示和/或认证加密算法,认证加密指示用于指示目标待传输数据为完整性保护且加密数据;第二加密指示信息用于指示目标待传输数据为加密数据,第二加密指示信息包括:加密指示EI和/或加密算法;EI等于第三预设值,用于指示目标待传输数据为加密数据;或者,
若数据包中携带第一加密指示信息,和/或预设规则包括非加密规则,则确定目标待传输数据为非加密数据;其中,第一加密指示信息用于指示目标待传输数据为非加密数据,第一加密指示信息包括EI;EI等于第二预设值,用于指示目标待传输数据为非加密数据。
在一种可能的实现方式中,数据包中还携带:第一节点设备的标识和第二节点设备的标识。
在一种可能的实现方式中,节点设备100还包括:
生成模块,用于根据第一节点设备的标识和第二节点设备的标识生成SCI。
在一种可能的实现方式中,生成模块具体用于:
将第一节点设备的标识、第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
将哈希值中前第二预设比特的数值作为SCI。
在一种可能的实现方式中,节点设备100还包括:
获取模块,用于获取会话密钥以及安全算法;其中,会话密钥包括:认证密钥以及加密密钥,对应的,安全算法包括:认证算法和加密算法;或者,会话密钥包括认证加密密钥,对应的,安全算法包括认证加密算法。
在一种可能的实现方式中,节点设备100还包括:
保存模块,用于保存SCI与对应的安全连接参数之间的映射信息;其中,安全连接参数包括:会话密钥和安全算法。
在一种可能的实现方式中,安全连接参数还包括:第一节点设备的标识和/或第二节点设备的标识。
本申请实施例提供的节点设备100,可以用于执行本申请上述数据安全传输方法实施例中关于第二节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
图11为本申请另一实施例提供的节点设备的结构示意图。本申请实施例提供的节点设备应用于身份网络ION结构,该节点设备可以为第二节点设备。如图11所示,本实施例提供的节点设备110可以包括:处理器1101和存储器1102;
其中,存储器1102用于存储指令,处理器1101用于执行存储器1102存储的指令,当处理器1101执行存储器1102存储的指令时,节点设备110用于执行本申请上述数据安全传输方法实施例中关于第二节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
可以理解的是,图11仅仅示出了节点设备的简化设计。在其他的实施方式中,节点设备还可以包含任意数量的收发器、处理器、存储器和/或通信单元等,本申请实施例中对此并不作限制。
本申请实施例还提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现本申请上述数据安全传输方法实施例中第一节点设备的功能,其实现原理和技术效果类似,此处不再赘述。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
本申请实施例还提供一种程序,该程序在被处理器执行时用于执行本申请上述数据安全传输方法实施例中关于第一节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本申请上述数据安全传输方法实施例中关于第一节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行本申请上述数据安全传输方法实施例中关于第一节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现本申请上述数据安全传输方法实施例中第二节点设备的功能,其实现原理和技术效果类似,此处不再赘述。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
本申请实施例还提供一种程序,该程序在被处理器执行时用于执行本申请上述数据安全传输方法实施例中关于第二节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本申请上述数据安全传输方法实施例中关于第二节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行本申请上述数据安全传输方法实施例中关于第二节点设备的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请实施例中涉及的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
本申请实施例中涉及的存储器可以是非易失性存储器,比如硬盘(hard diskdrive,HDD)或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在上述各实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
Claims (34)
1.一种数据安全传输方法,其特征在于,所述方法应用于身份网络ION结构,所述方法包括:
第一节点设备生成数据包;其中,所述数据包中携带:安全连接索引SCI以及目标待传输数据;其中,所述SCI用于指示所述第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数;
所述第一节点设备向第二节点设备发送所述数据包。
2.根据权利要求1所述的方法,其特征在于,所述第一节点设备生成数据包,包括:
所述第一节点设备根据所述SCI以及映射信息确定所述安全连接参数;其中,所述映射信息中包括:所述SCI与所述安全连接参数之间的映射关系;
所述第一节点设备根据所述安全连接参数生成所述数据包。
3.根据权利要求2所述的方法,其特征在于,所述第一节点设备根据所述安全连接参数生成所述数据包,包括:
所述第一节点设备根据所述安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC;
所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包;所述SCI和所述MAC位于所述数据包的包头,所述目标待传输数据位于所述数据包的数据载荷部分。
4.根据权利要求3所述的方法,其特征在于,所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包,包括:
所述第一节点根据所述SCI、所述MAC、第一完整性保护指示信息以及所述目标待传输数据生成所述数据包;所述第一完整性保护指示信息位于所述数据包的包头;
其中,所述第一完整性保护指示信息用于指示所述目标待传输数据为完整性保护数据,所述第一完整性保护指示信息包括:消息认证码指示MACI和/或所述认证算法;所述MACI等于第一预设值,用于指示所述目标待传输数据为完整性保护数据。
5.根据权利要求3或4所述的方法,其特征在于,若不需要进行加密,则所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包,包括:
所述第一节点根据所述SCI、所述MAC、第一加密指示信息以及所述目标待传输数据生成所述数据包;所述第一加密指示信息位于所述数据包的包头;
其中,所述第一加密指示信息用于指示所述目标待传输数据为非加密数据,所述第一加密指示信息包括加密指示EI;所述EI等于第二预设值,用于指示所述目标待传输数据为非加密数据。
6.根据权利要求2所述的方法,其特征在于,所述第一节点设备根据所述安全连接参数生成所述数据包,包括:
所述第一节点设备根据所述安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到所述目标待传输数据;
所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包;所述SCI位于所述数据包的包头,所述目标待传输数据位于所述数据包的数据载荷部分。
7.根据权利要求6所述的方法,其特征在于,所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包,包括:
所述第一节点设备根据所述SCI、第二加密指示信息以及所述目标待传输数据生成所述数据包;所述第二加密指示信息位于所述数据包的包头;
其中,所述第二加密指示信息用于指示所述目标待传输数据为加密数据,所述第二加密指示信息包括:加密指示EI和/或所述加密算法;所述EI等于第三预设值,用于指示所述目标待传输数据为加密数据。
8.根据权利要求6或7所述的方法,其特征在于,若不需要进行完整性保护,则所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包,包括:
所述第一节点设备根据所述SCI、第二完整性保护指示信息以及所述目标待传输数据生成所述数据包;所述第二完整性保护指示信息位于所述数据包的包头;
其中,所述第二完整性保护指示信息用于指示所述目标待传输数据为非完整性保护数据,所述第二完整性保护指示信息包括消息认证码指示MACI;所述MACI等于第四预设值,用于指示所述目标待传输数据为非完整性保护数据。
9.根据权利要求2所述的方法,其特征在于,所述第一节点设备根据所述安全连接参数生成所述数据包,包括:
所述第一节点设备根据所述安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC;
所述第一节点设备根据所述安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到所述目标待传输数据;
所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包;所述SCI和所述MAC位于所述数据包的包头,所述目标待传输数据位于所述数据包的数据载荷部分。
10.根据权利要求9所述的方法,其特征在于,所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包,包括:
所述第一节点根据所述SCI、所述MAC、第一完整性保护指示信息以及所述目标待传输数据生成所述数据包;所述第一完整性保护指示信息位于所述数据包的包头;
其中,所述第一完整性保护指示信息用于指示所述目标待传输数据为完整性保护数据,所述第一完整性保护指示信息包括:消息认证码指示MACI和/或所述认证算法;所述MACI等于第一预设值,用于指示所述目标待传输数据为完整性保护数据。
11.根据权利要求9所述的方法,其特征在于,所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包,包括:
所述第一节点设备根据所述SCI、所述MAC、第二加密指示信息以及所述目标待传输数据生成所述数据包;所述第二加密指示信息位于所述数据包的包头;
其中,所述第二加密指示信息用于指示所述目标待传输数据为加密数据,所述第二加密指示信息包括:加密指示EI和/或所述加密算法;所述EI等于第三预设值,用于指示所述目标待传输数据为加密数据。
12.根据权利要求9所述的方法,其特征在于,所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包,包括:
所述第一节点根据所述SCI、所述MAC、第一完整性保护指示信息、第二加密指示信息以及所述目标待传输数据生成所述数据包;所述第一完整性保护指示信息和所述第二加密指示信息位于所述数据包的包头;
其中,所述第一完整性保护指示信息用于指示所述目标待传输数据为完整性保护数据,所述第一完整性保护指示信息包括:消息认证码指示MACI和/或所述认证算法;所述MACI等于第一预设值,用于指示所述目标待传输数据为完整性保护数据;
所述第二加密指示信息用于指示所述目标待传输数据为加密数据,所述第二加密指示信息包括:加密指示EI和/或所述加密算法;所述EI等于第三预设值,用于指示所述目标待传输数据为加密数据。
13.根据权利要求1-12中任一项所述的方法,其特征在于,所述数据包中还携带:所述第一节点设备的标识和所述第二节点设备的标识。
14.根据权利要求1-13中任一项所述的方法,其特征在于,所述第一节点设备生成数据包之前,还包括:
所述第一节点设备根据所述第一节点设备的标识和所述第二节点设备的标识生成所述SCI。
15.根据权利要求14所述的方法,其特征在于,所述第一节点设备根据所述第一节点设备的标识和所述第二节点设备的标识生成所述SCI,包括:
所述第一节点设备将所述第一节点设备的标识、所述第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
所述第一节点设备将所述哈希值中前第二预设比特的数值作为所述SCI。
16.根据权利要求14或15所述的方法,其特征在于,所述第一节点设备生成数据包之前,还包括:
所述第一节点设备获取会话密钥以及安全算法;其中,所述会话密钥包括:完整性保护密钥以及加密密钥,对应的,所述安全算法包括:认证算法和加密算法。
17.根据权利要求16所述的方法,其特征在于,所述第一节点设备生成数据包之前,还包括:
所述第一节点设备保存所述SCI与对应的安全连接参数之间的映射信息;其中,所述安全连接参数包括:所述会话密钥和所述安全算法。
18.根据权利要求17所述的方法,其特征在于,所述安全连接参数还包括:所述第一节点设备的标识和/或所述第二节点设备的标识。
19.一种数据安全传输方法,其特征在于,所述方法应用于身份网络ION结构,所述方法包括:
第二节点设备接收数据包;其中,所述数据包中携带:安全连接索引SCI以及目标待传输数据;其中,所述SCI用于指示第一节点设备与所述第二节点设备之间的安全连接所对应的安全连接参数;
所述第二节点设备根据所述SCI以及映射信息确定所述安全连接参数;其中,所述映射信息中包括:所述SCI与所述安全连接参数之间的映射关系;
所述第二节点设备根据所述安全连接参数解析所述数据包。
20.根据权利要求19所述的方法,其特征在于,所述第二节点设备根据所述安全连接参数解析所述数据包,包括:
所述第二节点设备判断所述目标待传输数据是否为完整性保护数据;
若所述目标待传输数据为非完整性保护数据,则所述第二节点设备判断所述目标待传输数据是否为加密数据;
若所述目标待传输数据为加密数据,则所述第二节点设备根据所述安全连接参数中的第一会话密钥和第一安全算法,对所述目标待传输数据进行解密;或者,若所述目标待传输数据为非加密数据,则所述第二节点设备获取所述目标待传输数据;
其中,所述第一会话密钥包括加密密钥,对应的,所述第一安全算法包括加密算法。
21.根据权利要求20所述的方法,其特征在于,所述方法还包括:
若所述目标待传输数据为完整性保护数据,则所述第二节点设备根据所述安全连接参数中的第二会话密钥和第二安全算法,验证所述数据包中携带的消息认证码MAC;其中,所述第二会话密钥包括完整性保护密钥,对应的,所述第二安全算法包括认证算法;
若验证成功,则所述第二节点设备判断所述目标待传输数据是否为加密数据;
若所述目标待传输数据为加密数据,则所述第二节点设备根据所述安全连接参数中的第一会话密钥和第一安全算法,对所述目标待传输数据进行解密;或者,若所述目标待传输数据为非加密数据,则所述第二节点设备获取所述目标待传输数据;
其中,所述第一会话密钥包括加密密钥,对应的,所述第一安全算法包括加密算法。
22.根据权利要求21所述的方法,其特征在于,所述方法还包括:若验证不成功,则所述第二节点设备丢弃所述数据包。
23.根据权利要求20-22中任一项所述的方法,其特征在于,所述第二节点设备判断所述目标待传输数据是否为完整性保护数据,包括:
若所述数据包中携带消息认证码MAC、预设规则包括完整性保护规则,和/或所述数据包中携带第一完整性保护指示信息,则所述第二节点设备确定所述目标待传输数据为完整性保护数据;其中,所述第一完整性保护指示信息用于指示所述目标待传输数据为完整性保护数据,所述第一完整性保护指示信息包括:消息认证码指示MACI和/或认证算法;所述MACI等于第一预设值,用于指示所述目标待传输数据为完整性保护数据;或者,
若所述数据包中未携带所述MAC,且所述数据包中携带第二完整性保护指示信息,和/或预设规则包括非完整性保护规则,则所述第二节点设备确定所述目标待传输数据为非完整性保护数据;其中,所述第二完整性保护指示信息用于指示所述目标待传输数据为非完整性保护数据,所述第二完整性保护指示信息包括MACI;所述MACI等于第四预设值,用于指示所述目标待传输数据为非完整性保护数据。
24.根据权利要求20-23中任一项所述的方法,其特征在于,所述第二节点设备判断所述目标待传输数据是否为加密数据,包括:
若预设规则包括加密规则和/或所述数据包中携带第二加密指示信息,则所述第二节点设备确定所述目标待传输数据为加密数据;其中,所述第二加密指示信息用于指示所述目标待传输数据为加密数据,所述第二加密指示信息包括:加密指示EI和/或加密算法;所述EI等于第三预设值,用于指示所述目标待传输数据为加密数据;或者,
若所述数据包中携带第一加密指示信息,和/或预设规则包括非加密规则,则所述第二节点设备确定所述目标待传输数据为非加密数据;其中,所述第一加密指示信息用于指示所述目标待传输数据为非加密数据,所述第一加密指示信息包括EI;所述EI等于第二预设值,用于指示所述目标待传输数据为非加密数据。
25.根据权利要求19-24中任一项所述的方法,其特征在于,所述数据包中还携带:所述第一节点设备的标识和所述第二节点设备的标识。
26.根据权利要求19-25中任一项所述的方法,其特征在于,所述第二节点设备接收数据包之前,还包括:
所述第二节点设备根据所述第一节点设备的标识和所述第二节点设备的标识生成所述SCI。
27.根据权利要求26所述的方法,其特征在于,所述第二节点设备根据所述第一节点设备的标识和所述第二节点设备的标识生成所述SCI,包括:
所述第二节点设备将所述第一节点设备的标识、所述第二节点设备的标识以及第一预设比特的随机数级联,并将级联后的数值进行哈希运算得到哈希值;
所述第二节点设备将所述哈希值中前第二预设比特的数值作为所述SCI。
28.根据权利要求26或27所述的方法,其特征在于,所述第二节点设备接收数据包之前,还包括:
所述第二节点设备获取会话密钥以及安全算法;其中,所述会话密钥包括:完整性保护密钥以及加密密钥,对应的,所述安全算法包括:认证算法和加密算法。
29.根据权利要求28所述的方法,其特征在于,所述第二节点设备接收数据包之前,还包括:
所述第二节点设备保存所述SCI与对应的安全连接参数之间的映射信息;其中,所述安全连接参数包括:所述会话密钥和所述安全算法。
30.根据权利要求29所述的方法,其特征在于,所述安全连接参数还包括:所述第一节点设备的标识和/或所述第二节点设备的标识。
31.一种节点设备,其特征在于,所述节点设备应用于身份网络ION结构,且所述节点设备为第一节点设备,所述第一节点设备包括:处理器和存储器;
其中,所述存储器用于存储指令,所述处理器用于执行所述存储器存储的指令,当所述处理器执行所述存储器存储的指令时,所述第一节点设备用于执行如权利要求1-18中任一项所述的方法。
32.一种节点设备,其特征在于,所述节点设备应用于身份网络ION结构,且所述节点设备为第一节点设备,所述第二节点设备包括:处理器和存储器;
其中,所述存储器用于存储指令,所述处理器用于执行所述存储器存储的指令,当所述处理器执行所述存储器存储的指令时,所述第二节点设备用于执行如权利要求19-30中任一项所述的方法。
33.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-18中任一项所述的方法。
34.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求19-30中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711282414.8A CN109905213A (zh) | 2017-12-07 | 2017-12-07 | 数据安全传输方法及节点设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711282414.8A CN109905213A (zh) | 2017-12-07 | 2017-12-07 | 数据安全传输方法及节点设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109905213A true CN109905213A (zh) | 2019-06-18 |
Family
ID=66939006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711282414.8A Pending CN109905213A (zh) | 2017-12-07 | 2017-12-07 | 数据安全传输方法及节点设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109905213A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021056568A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 发送和接收侧行控制信息的方法、终端装置和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006133740A1 (en) * | 2005-06-17 | 2006-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Host identity protocol method and apparatus |
| CN102045705A (zh) * | 2009-10-26 | 2011-05-04 | 中兴通讯股份有限公司 | 一种匿名通信的方法及注册方法及所采用的接入节点 |
| US20170195344A1 (en) * | 2016-01-05 | 2017-07-06 | International Business Machines Corporation | Lan/san network security management |
-
2017
- 2017-12-07 CN CN201711282414.8A patent/CN109905213A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006133740A1 (en) * | 2005-06-17 | 2006-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Host identity protocol method and apparatus |
| CN102045705A (zh) * | 2009-10-26 | 2011-05-04 | 中兴通讯股份有限公司 | 一种匿名通信的方法及注册方法及所采用的接入节点 |
| US20170195344A1 (en) * | 2016-01-05 | 2017-07-06 | International Business Machines Corporation | Lan/san network security management |
Non-Patent Citations (2)
| Title |
|---|
| WALTER WONG: "IDSec: An Identification Layer Security Model", 《2010 24TH IEEE INTERNATIONAL CONFERENCE ON ADVANCED INFORMATION NETWORKING AND APPLICATIONS》 * |
| 贺贵明: "《基于内容的视频编码与传输控制技术》", 30 April 2005, 武汉大学出版社 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021056568A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 发送和接收侧行控制信息的方法、终端装置和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11768964B2 (en) | Security plugin for a system-on-a-chip platform | |
| US7685422B2 (en) | Information processing apparatus, information processing method, and information processing program | |
| US20080175449A1 (en) | Fingerprint-based network authentication method and system thereof | |
| WO2012083653A1 (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| WO2018205148A1 (zh) | 一种数据包校验方法及设备 | |
| CN109309650A (zh) | 处理数据的方法、终端设备和网络设备 | |
| CN105119900A (zh) | 信息安全传输方法、联网接入方法及相应的终端 | |
| CN113746788A (zh) | 一种数据处理方法及装置 | |
| US10419212B2 (en) | Methods, systems, apparatuses, and devices for securing network communications using multiple security protocols | |
| CN109413123A (zh) | 会话保持方法及相关设备 | |
| CN110519052A (zh) | 基于物联网操作系统的数据交互方法和装置 | |
| CN111192050B (zh) | 一种数字资产私钥存储提取方法及装置 | |
| US10491570B2 (en) | Method for transmitting data, method for receiving data, corresponding devices and programs | |
| CN109756324A (zh) | 一种Mesh网络中的密钥协商方法、终端及网关 | |
| Vanhoef | A time-memory trade-off attack on WPA3's SAE-PK | |
| CN108322464B (zh) | 一种密钥验证方法及设备 | |
| CN102209066B (zh) | 网络认证的方法和设备 | |
| CN109905213A (zh) | 数据安全传输方法及节点设备 | |
| CN111416791B (zh) | 数据传输方法、设备与系统 | |
| CN110417804A (zh) | 一种适于单片机实现的双向身份认证加密通信方法及系统 | |
| US20170201493A1 (en) | System and method for secure and anonymous communication in a network | |
| WO2023059501A1 (en) | Statistically private oblivious transfer from cdh | |
| KR20230039722A (ko) | 사전-공유 키 psk 업데이트 방법 및 장치 | |
| JP5119184B2 (ja) | 中継装置、端末装置及び秘密通信システム | |
| CN105721403B (zh) | 用于提供无线网络资源的方法、设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190618 |
|
| RJ01 | Rejection of invention patent application after publication |