CN110392998B - 一种数据包校验方法及设备 - Google Patents
一种数据包校验方法及设备 Download PDFInfo
- Publication number
- CN110392998B CN110392998B CN201780088247.5A CN201780088247A CN110392998B CN 110392998 B CN110392998 B CN 110392998B CN 201780088247 A CN201780088247 A CN 201780088247A CN 110392998 B CN110392998 B CN 110392998B
- Authority
- CN
- China
- Prior art keywords
- token
- input information
- data packet
- random number
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种数据包校验方法及设备,用于提高网络的安全性。该方法包括:接收终端设备的数据包,所述数据包携带第一令牌和业务标识,所述业务标识用于指示所述数据包所属的业务的类型;根据所述数据包获得第一输入信息,并第一输入信息生成第二令牌,所述第一输入信息包括所述数据包携带的所述终端设备的标识及所述业务标识;当所述第一令牌与所述第二令牌相同时,发送所述数据包。
Description
技术领域
本发明实施例涉及移动通信技术领域,尤其涉及一种数据包校验方法及设备。
背景技术
在长期演进(Long Term Evolution,LTE)网络中,为了保证通信网络的安全性,通过令牌(token)来实现接入设备的合法性校验。例如,核心网(core network,CN)设备随机生成token,并将生成的token发给终端设备和服务器(Server)。终端设备和Server之间传输的数据包中可以携带该token,CN设备根据终端设备或Server发送的数据包携带的token校验终端设备或Server的合法性。
在上述方式中,token是CN设备随机生成的,那么,对于攻击者来说,只要盗用该token发送给CN设备,CN设备就会校验通过,从而攻击者就能伪装成被盗用的设备进行欺诈等活动,导致通信网络安全性降低。
发明内容
本发明实施例提供一种数据包校验方法及设备,用于提高网络的安全性。
第一方面,提供一种数据包校验方法,该方法可通过用户面功能实体来实现,一种用户面功能实体例如为UPF。该方法包括:接收终端设备的数据包,数据包携带第一令牌和业务标识,业务标识用于指示数据包所属的业务的类型。根据数据包获得第一输入信息,并根据第一输入信息生成第二令牌,第一输入信息包括终端设备的标识及业务标识。当第一令牌与第二令牌相同时,发送数据包。
本发明实施例中,在对设备发送的数据包进行校验时,是根据终端设备的标识以及业务标识生成令牌,通过比较生成的令牌与数据包携带的令牌是否一致来确定设备是否合法,相当于将令牌与终端设备的标识以及业务标识之间进行关联,三者只要有一个不正确就会导致校验失败。那么对于攻击者来说,即使窃取了令牌,由于其无法获得合法的终端设备的标识以及业务标识,依然会导致校验失败,从而攻击者也就无法伪装成合法设备进行攻击,可见,本发明实施例提供的技术方案加强了网络的安全性,提高了网络保障。
在一个可能的设计中,业务标识包括业务类型指示信息和服务器的标识。其中,服务器的标识用于指示为终端设备提供业务的服务器,业务类型指示信息用于指示数据包所属的业务类型。
也就是说,通过业务标识就可以得到服务器的标识和业务类型指示信息,即通过有限的资源承载了较多的信息。而且,在生成第二令牌时将业务标识作为输入信息,相当于将令牌与服务器的标识和业务类型相关联,进一步增强了令牌的安全性和可靠性。
在一个可能的设计中,在接收终端设备的数据包之前,UPF可以先生成第一令牌,即,在使用第一令牌之前先生成第一令牌。生成第一令牌的方法如下:获得第二输入信息,第二输入信息包括终端设备的标识以及业务标识。根据第二输入信息生成第一令牌。向终端设备和为终端设备提供业务的服务器发送生成的第一令牌。
在生成第一令牌时,是根据获得的终端设备的标识以及业务标识生成,相当于将令牌与终端设备的标识以及业务标识之间进行关联,三者只要有一个不正确就会导致后续的校验失败。那么对于攻击者来说,即使窃取了令牌,由于其无法获得合法的终端设备的标识以及业务标识,依然会导致校验失败,从而攻击者也就无法伪装成合法设备进行攻击,从而加强了网络的安全性。
在一个可能的设计中,第二输入信息还包括随机数,第一输入信息还包括随机数;或者,第二输入信息还包括第三令牌,第一输入信息还包括第三令牌,第三令牌是由终端设备生成的;或者,第二输入信息还包括第四令牌,第一输入信息还包括第四令牌,第四令牌是由为终端设备提供业务的服务器生成的;或者,第二输入信息还包括第三令牌和第四令牌,第一输入信息还包括第三令牌和第四令牌;或者,第二输入信息还包括随机数,第三令牌和第四令牌,第一输入信息还包括随机数,第三令牌和第四令牌;或者,第二输入信息还包括随机数和第三令牌,第一输入信息还包括随机数和第三令牌;或者,第二输入信息还包括随机数和第四令牌,第一输入信息还包括随机数和第四令牌。
第二输入信息是用于生成第一令牌的输入信息,第一输入信息是用于生成第二令牌的输入信息,那么第一输入信息所包括的参数的类别需要与第二输入信息包括的参数的类别相同,第一输入信息所包括的参数的数量也需要与第二输入信息包括的参数的数量相同,这样才能通过比较第一令牌与第二令牌来完成校验。除了终端设备的标识和业务标识之外还有一些参数,例如随机数、第三令牌和第四令牌,输入信息除了包括终端设备的标识和业务标识之外,还可以包括如上的几种参数中的任意一种或几种。那么,第二输入信息所包括的额外的参数的类别和数量,需要与第一输入信息所包括的额外的参数的类别和数量相同,例如第二输入信息包括随机数,则第一输入信息也要包括随机数,第二输入信息不包括第三令牌,则第一输入信息也不能包括第三令牌,通过这种方式来保证验证不会出现基本错误。
在一个可能的设计中,如果输入信息中包括随机数,那么UPF要生成令牌,就需要先获得随机数。其中,UPF可以根据终端设备的标识获得随机数,或者,也可以根据业务标识获得随机数。
例如,UPF可以根据该终端设备的标识生成随机数,这样,对于不同的终端设备的标识,UPF会生成不同的随机数。或者,UPF可以针对每个终端设备的标识维护一个随机数,例如,UPF预先存储终端设备的标识和随机数之间的映射关系。那么UPF在生成第一令牌时,可以从存储的映射关系中查找与该终端设备的标识对应的随机数即可,方式较为简单。通过这种方式,使得每个终端设备得到的第一令牌都不同,提高了令牌的可靠性。
或者,UPF可以根据业务标识生成随机数,这样,对于不同的业务标识,UPF会生成不同的随机数。或者,UPF可以针对每个业务标识维护一个随机数,例如,UPF预先存储业务标识和随机数之间的映射关系。那么UPF在生成第一令牌时,可以从存储的映射关系中查找与该业务标识对应的随机数即可,方式较为简单。通过这种方式,使得每个业务标识对应的第一令牌都不同,提高了令牌的可靠性。
在一个可能的设计中,当第一令牌与第二令牌不同时,丢弃数据包。
如果第一令牌与第二令牌不同,那么很有可能第一令牌是被盗用的,即发送数据包的设备是不合法的设备,那么UPF可以丢弃数据包,从而保护网络安全性,避免被不法分子攻击。
在一个可能的设计中,在根据第二输入信息生成第一令牌之后,还可以存储第一令牌。那么,根据第一输入信息生成第二令牌,包括:当存储的第一令牌与数据包携带的第一令牌相同时,根据第一输入信息生成第二令牌。
为了尽量减轻UPF的负担,如果UPF生成第一令牌后还存储了第一令牌,那么UPF在生成第二令牌之前还可以进行一次初步的校验。例如,UPF接收数据包后,先将存储的第一令牌与数据包携带的第一令牌进行比较,判断二者是否相同。如果存储的第一令牌与数据包携带的第一令牌不相同,那么基本可以确定数据包携带的第一令牌有误,这可能是传输过程导致的错误,也可能发送数据包的设备是盗用的令牌,也就是说有可能发送数据包的设备不是合法设备,那么UPF就可以直接确定校验失败,而不用再生成第二令牌。增加了一次简单的初步校验过程,使得UPF能够初步确定发送数据包的设备是否合法,能够在一定程度上减少UPF的工作量。
第二方面,提供一种通信装置。该通信装置具有实现上述方法设计中UPF的功能。这些功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元。
在一个可能的设计中,通信装置的具体结构可包括接收单元、处理单元和发送单元。接收单元、处理单元和发送单元可执行上述第一方面或第一方面的任意一种可能的设计所提供的方法中的相应功能。
第三方面,提供一种通信装置。该通信装置可以为UPF,或者为设置在UPF中的芯片等功能模块。该通信装置包括:存储器,用于存储计算机可执行程序代码;通信接口,以及处理器,处理器与存储器、通信接口耦合。其中存储器所存储的程序代码包括指令,当处理器执行所述指令时,所述指令使通信装置执行上述第一方面或第一方面的任意一种可能的设计中UPF所执行的方法。
第四方面,提供一种计算机存储介质,用于存储为上述第二方面所描述的通信装置或第三方面所描述的通信装置所用的计算机软件指令,并包含用于执行上述第一方面或第一方面的任意一种可能的设计中为UPF所设计的程序。
第五方面,提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意一种可能的设计中所述的方法。
本发明实施例中,根据令牌来校验发送数据包的设备是否合法,而令牌是与终端设备的标识以及业务标识之间相关联的。对于攻击者来说,即使窃取了令牌,由于其无法获得合法的终端设备的标识以及业务标识,依然会导致校验失败,从而加强了网络的安全性,提高了网络保障。
附图说明
图1为本发明实施例的一种应用场景示意图;
图2为本发明实施例提供的数据包校验方法的流程图;
图3为本发明实施例提供的令牌生成方法的流程图;
图4-图5为本发明实施例提供的通信装置的两种结构示意图。
具体实施方式
为了使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施例作进一步地详细描述。
本文描述的方案可应用于第五代移动通信技术(5G)系统,也可应用于下一代移动通信系统。
以下,对本发明实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)用户面功能实体,例如表示为核心网用户平面(user plane-core network,UP-CN),用于实现核心网的用户平面的功能,包括实现数据包的转发等。用户面功能实体可以通过实际的一个物理设备来实现,也可以通过多个物理设备来实现。例如用户面功能实体的一种实现形式为用户平面功能(User Plane Function,UPF)实体。本文中也将UPF实体简称为UPF。
(2)控制面功能实体,例如表示为核心网控制平面(control plane-corenetwork,CP-CN),用于实现核心网的控制平面的功能,包括实现信令的传递等。控制面功能实体可以通过实际的一个物理设备来实现,也可以通过多个物理设备来实现。例如控制面功能实体的实现形式为接入与移动管理功能(Access and Mobility ManagementFunction,AMF)实体、会话管理功能(Session Management Function,SMF)实体、安全锚点功能(Security Anchor Function,SEAF)实体、或认证服务功能(Authentication ServerFunction,AUSF)实体。
(3)服务器(Server),在本发明实施例中包括应用服务器,用于为终端设备提供应用服务。
(4)终端设备,是指向用户提供语音和/或数据连通性的设备,例如可以包括具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经接入网(Access Network,AN)与核心网进行通信,与AN交换语音和/或数据。该终端设备可以包括用户设备(User Equipment,UE)、无线终端设备、移动终端设备、订户单元(SubscriberUnit)、订户站(Subscriber Station),移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point,AP)、远程终端设备(Remote Terminal)、接入终端设备(Access Terminal)、用户终端设备(User Terminal)、用户代理(User Agent)、或用户装备(User Device)等。例如,可以包括移动电话(或称为“蜂窝”电话),具有移动终端设备的计算机,便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,智能穿戴式设备等。例如,个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(PersonalDigital Assistant,PDA)、智能手表、智能头盔、智能眼镜、智能手环等设备。
(5)AN,可包括无线接入网(Radio Access Network,RAN),也可以包括有线接入网。即,终端设备可通过RAN与核心网通信,也可以通过有线接入网与核心网通信。
其中,若终端设备通过RAN与核心网通信,则终端设备具体可通过基站(例如,接入点)与核心网通信。基站,可以是指接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备。基站可用于将收到的空中帧与网际协议(IP)分组进行相互转换,作为终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括IP网络。基站还可协调对空中接口的属性管理。例如,基站可以包括LTE系统或演进的LTE系统(LTE-Advanced,LTE-A)中的演进型基站(NodeB或eNB或eNodeB,evolved Node B),或者也可以包括5G系统中的gNB,本发明实施例并不限定。
(6)本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。另外,需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
首先介绍本发明实施例的应用场景。
请参见图1,为5G系统的一种网络架构图,也是本发明实施例的一种应用场景示意图。在图1中可以看到,终端设备通过接入网与核心网通信,其中核心网设备包括控制面功能实体和用户面功能实体,终端设备通过接入网与控制面功能实体进行信令交互,以及通过接入网与用户面功能实体进行数据交互。用户面功能实体与IP服务(Service)网络连接,IP服务网络又连接服务器,服务器就能为终端设备提供应用服务。
下面结合附图介绍本发明实施例提供的技术方案,在下面的介绍过程中,以本发明实施例提供的技术方案应用在图1所示的应用场景为例。
请参见图2,本发明实施例提供一种数据包校验方法,该方法可通过核心网的用户面功能实体来实现。
S21、接收终端设备的数据包。
在一个示例中,终端设备的数据包可以是服务器发送给终端设备的数据包,那么S21具体的实现方式可以参考图2中的S211,即服务器向终端设备发送数据包。
在另一个示例中,终端设备的数据包也可以是终端设备发送给服务器的数据包,那么S21具体的实现方式可以参考图2中的S212,即终端设备向服务器发送数据包。
其中,因为S211和S212是UPF获得终端设备的数据包的可选的方式,因此在图2中将用于表示S211和S212的箭头画为虚线。
需要指出的是,本发明实施例提供的方案可以应用在服务器向终端设备发送数据包的过程中,也可以应用在终端设备向服务器发送数据包的过程中。另外,因为终端设备与服务器之间通信的数据包是通过接入网以及UPF转发,因此,无论是服务器发送给终端设备的数据包还是终端设备发送给服务器的数据包,都会在到达目的设备之前先到达UPF,那么,UPF就接收终端设备的数据包。
其中,上述数据包可以携带第一令牌和业务标识(Service ID)。
具体地,业务标识可以包括业务类型指示信息和服务器的标识。业务类型指示信息可以用于指示数据包所属的业务类型,例如,用于指示加密的业务;服务器的标识用于指示为该终端设备提供数据包所属的业务的服务器。例如,当一个服务器为终端设备提供业务时,该业务标识可以包括一个服务器的标识,当多个服务器为终端设备提供业务时,该业务标识可以包括多个服务器的标识。
具体地,第一令牌可以是UPF生成的令牌。即,UPF事先生成第一令牌,并将第一令牌发送给终端设备和服务器,服务器和终端设备接收UPF发送的第一令牌后,在通信过程中就会在数据包里携带第一令牌,以供UPF根据第一令牌来校验终端设备或服务器的合法性。当然,服务器和终端设备可以在本次会话过程中的每个数据包里都携带第一令牌,则UPF针对服务器和终端设备通信的每个数据包都要进行校验,提升通信过程的安全性,或者,服务器和终端设备也可以只在本次会话过程中的第一个数据包或选择的部分数据包里携带第一令牌,UPF只需校验这部分数据包即可,减少UPF的工作量,也减小数据包的数据量,节省传输资源。其中,关于UPF生成第一令牌的过程,将在后续的实施例中介绍。
可选地,上述数据包还包含终端设备的标识(identity,ID)。其中,终端设备的标识可以是终端设备的网际协议(IP)地址,或终端设备的永久签约身份标识,如国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、用户永久识别码(Subscriber Permanent Identifier,SUPI)等,或者还可以是终端设备的临时签约身份标识,如全局唯一的临时标识(globally unique temporary identity,GUTI)或用户临时身份(Temporary User ID),等等。
S22、根据所述数据包获得第一输入信息,并根据第一输入信息生成第二令牌。
其中,第一输入信息包括所述终端设备的标识及所述业务标识。由于业务标识包括业务类型指示信息和服务器的标识,将业务标识以及终端设备的标识作为令牌的生成参数,实现了终端设备、服务器以及业务三者之间的关联,使得其他的终端设备无法假冒该终端设备,从而可以抵抗伪装攻击。
在一个示例中,若上述数据包包含所述终端设备的标识,则S22中根据所述数据包获得第一输入信息可以通过从数据包中获取终端设备的标识,以及业务标识来实现。例如,终端设备的标识是终端设备的IP地址,那么UPF通过直接解析数据包的IP层就可以获得终端设备的IP地址。
在另一个示例中,若上述数据包不包含所述终端设备的标识,则S22中根据所述数据包获得第一输入信息可以包括:通过根据数据包中携带的隧道标识或终端设备的IP地址,获取终端设备的标识。例如,终端设备的标识是终端设备的永久签约身份标识或终端设备的临时签约身份标识,UPF可以通过数据包的隧道标识从存储的上下文信息中获得对应的终端设备的永久签约身份标识或终端设备的临时签约身份标识。
其中,S22中根据第一输入信息生成第二令牌,可以包括:将第一输入信息作为输入,通过认证向量算法来生成第二令牌。其中,认证向量计算方法可以是某种单向函数,如安全哈希算法(Secure Hash Algorithm,SHA)1、SHA256、消息摘要算法(Message DigestAlgorithm,MD5)、或哈希消息认证码(Hash-based Message Authentication Code,HMAC)等,当然本发明实施例不限于此。
需要指出的是,第一令牌的生成方法与第二令牌的生成方法可以相同,例如,生成第一令牌所使用的认证向量计算方法,和生成第二令牌所使用的认证向量计算方法是同一种方法,以避免因算法不同而导致校验失败。此时,生成第一令牌的输入参数与第一输入信息相同。例如,同为终端设备的永久签约身份标识,如IMSI,或者同为终端设备的临时签约身份标识,如GUTI,这样才能尽量保证校验成功。
可选地,第一输入信息还包括盐值(sault),该盐值可以为随机数。在第一输入信息中增加了随机数,使得生成的令牌更具有唯一性,更不容易被盗用。
在一个示例中,UPF生成第一令牌后可以存储用于生成第一令牌的随机数,UPF在生成第二令牌时可以直接获取存储的随机数作为第一输入信息包括的随机数。
在另一个示例中,UPF获得第一输入信息中的随机数的方式与UPF获得用于生成第一令牌的随机数的方式相同。
例如,如果用于生成第一令牌的随机数是UPF根据终端设备的标识获得的,那么UPF在生成第二令牌时也可以根据终端设备的标识获得第一输入信息中的随机数。如果UPF存储了用于生成第一令牌的随机数,例如UPF预先存储了终端设备的标识和随机数之间的映射关系,那么UPF在需要获得第一输入信息时,根据终端设备的标识,在该终端设备的标识和随机数之间的映射关系中查询与该终端设备的标识对应的随机数即可。如果UPF没有存储用于生成第一令牌的随机数,那么UPF可以按照与生成用于生成第一令牌的随机数相同的生成方式,根据数据包指示的终端设备的标识生成随机数,将该生成的随机数作为第一输入信息中的随机数。
例如,如果用于生成第一令牌的随机数是UPF根据业务标识获得的,那么UPF在生成第二令牌时也可以继续根据业务标识获得该随机数。如果UPF存储了用于生成第一令牌的随机数,且UPF预先存储了业务标识和随机数之间的映射关系,那么UPF在需要获得第一输入信息时,直接根据数据包携带的业务标识,在该业务标识和随机数之间的映射关系中查询与该业务标识对应的随机数即可。如果UPF没有存储用于生成第一令牌的随机数,那么UPF可以按照与生成用于生成第一令牌的随机数的相同的生成方式,根据数据包携带的业务标识生成随机数,将该生成的随机数作为第一输入信息中的随机数。
再例如,如果第一输入信息中的随机数是UPF存储的固定的随机数,即UPF针对任何终端设备的标识或业务标识都使用该随机数作为用于生成第一令牌的随机数,那么UPF就直接查询存储的随机数即可,查询得到的随机数就作为第一输入信息中的随机数。
本发明实施例在用于生成第二令牌的输入信息中引入了随机数,保证了每个新的会话所生成的令牌的新鲜性,减少产生相同令牌的情况,能够有效抵抗重放攻击。
可选地,第一输入信息还包括第三令牌,第三令牌是终端设备生成的。第三令牌存储在UPF中,UPF可以通过查询获得第三令牌。具体的,如果第一输入信息包括第三令牌,那么生成第一令牌时使用的输入参数也就包括第三令牌。例如,终端设备生成第三令牌后可以将第三令牌发送给UPF,UPF可以将第三令牌作为生成第一令牌的输入参数,且,UPF还可以存储第三令牌。这样,UPF在进行验证时可以将存储的第三令牌也作为生成第二令牌的输入参数。由于第三令牌是终端设备发送给UPF的,因此UPF在存储第三令牌时可以根据终端设备的标识进行存储,当然也可以根据业务标识等其他信息来进行存储。相应地,UPF在生成第一令牌时,可以根据终端设备的标识或业务标识等信息查找存储的第三令牌。
由于终端设备生成的令牌可能存在安全威胁,因此,UPF可以将终端设备生成的令牌作为生成第一令牌的输入信息,以第一令牌更新终端设备生成的第三令牌,消除了终端设备生成的令牌不规范引起的潜在的安全威胁。
可选地,第一输入信息还包括第四令牌,第四令牌是服务器生成的。第四令牌存储在UPF中,UPF可以通过查询获得第四令牌。具体的,如果第一输入信息包括第四令牌,那么生成第一令牌时使用的输入参数也就包括第四令牌。例如,服务器生成第四令牌后可以将第四令牌发送给UPF,UPF可以将第四令牌作为生成第一令牌的输入参数,且,UPF还可以存储第四令牌。这样,UPF在进行验证时可以将存储的第四令牌也作为生成第二令牌的输入参数。由于第四令牌是服务器发送给UPF的,因此UPF在存储第四令牌时可以根据业务标识进行存储,当然也可以根据服务器的标识等其他信息来进行存储。相应地,UPF在生成第一令牌时,可以根据业务标识或服务器的标识等信息查找存储的第四令牌。
由于服务器生成的令牌可能存在安全威胁,因此UPF可以将服务器生成的令牌作为第一令牌的输入,以第一令牌来更新服务器生成的令牌,消除了服务器生成的令牌不规范引起的潜在的安全威胁。
可选地,第一输入信息还包括随机数、第三令牌和第四令牌中的任意一种或多种。
在本发明实施例中,除了随机数、第三令牌和第四令牌可能会存储以外,其余生成令牌的参数皆可动态获得,无需存储,可以减少UPF的存储代价。
S23、当第一令牌与第二令牌相同时,发送所述数据包。
例如,在生成第二令牌后,UPF将第一令牌与第二令牌进行比较,判断二者是否相同,如果第一令牌与第二令牌相同,那么发送数据包的设备是合法的,则UPF就可以继续转发该数据包。
具体的,如果S21的实现方式是S211,也就是说数据包是服务器发送给终端设备的数据包,则UPF就确认服务器合法,S23具体的实现方式可参考图2中的S231,即UPF将数据包发送给终端设备;或者,如果S21的实现方式是S212,也就是说数据包是终端设备发送给服务器的数据包,则UPF就确认终端设备合法,S23具体的实现方式可参考图2中的S232,即UPF将数据包发送给服务器。
其中,如果UPF的实现方式是S231,则UPF发送的数据包会先到达接入网,之后再到达终端设备。
需要指出的是,本发明实施例可以通过验证数据包的合法性来验证发送该数据包的设备的合法性,例如,服务器或终端设备。然而,无论校验的是服务器的合法性还是终端设备的合法性,对于UPF来说,校验过程都是相同的。例如,其中,如果S21的实现方式是S211,也就是说数据包是服务器发送给终端设备的数据包,则S22中UPF需校验的就是发送数据包的服务器的合法性;或者,如果S21的实现方式是S212,也就是说数据包是终端设备发送给服务器的数据包,则S22中UPF需校验的就是发送数据包的终端设备的合法性。
本发明实施例中,UPF根据终端设备的标识以及业务标识生成第二令牌,通过比较生成的第二令牌与数据包中携带的第一令牌是否一致来验证数据包,进而确定发送该数据包的设备是否合法。由于令牌与终端设备的标识以及业务标识之间进行关联,三者只要有一个不正确就会导致数据包校验失败。对于攻击者来说,即使窃取了令牌,由于其无法获得合法的终端设备的标识以及业务标识,依然会导致校验失败,从而攻击者也就无法伪装成合法设备进行攻击,进而加强了网络的安全性,提高了网络保障。
可选的,为了进一步增强安全性,在上述实施例的一种实施场景中,上述方法还包括:
UPF生成第一令牌,并存储第一令牌;
进一步地,步骤S22中根据第一输入信息生成第二令牌,可以包括:
当所述存储的所述第一令牌与所述数据包携带的所述第一令牌相同时,根据所述第一输入信息生成所述第二令牌。
例如,UPF接收数据包后,先将存储的第一令牌与数据包携带的第一令牌进行比较,判断二者是否相同。如果存储的第一令牌与数据包携带的第一令牌不相同,那么基本可以确定数据包携带的第一令牌有误,这可能是传输过程导致的错误,也可能发送数据包的设备是盗用的令牌,也就是说有可能发送数据包的设备不是合法设备,那么UPF就可以直接确定校验失败,而不用再生成第二令牌。增加了一次简单的初步校验过程,使得UPF能够初步确定发送数据包的设备是否合法,能够在一定程度上减少UPF的工作量。而且,校验时先对比存储的第一令牌和数据包携带的第一令牌,这样,如果第二输入信息包括随机数,那么在随机数泄露的情况下仍然可以抵抗伪造攻击。重新比较第一令牌,可以保证通信实体与生成第一令牌时的通信实体相同。
当然,如果存储的第一令牌与数据包携带的第一令牌相同,那么UPF可以直接确定校验成功,直接继续转发数据包,这样就可以无需执行S22。或者为了更为保险,如果存储的第一令牌与数据包携带的第一令牌相同,则UPF可以继续根据第一输入信息生成第二令牌来进行校验,这样可以进一步提高安全保障。
在图2所示的实施例中提到了,如果终端设备和服务器在通信过程中要使用第一令牌,则UPF需要事先生成第一令牌。下面就通过一个实施例来介绍UPF生成第一令牌的方法。
请参见图3,本发明实施例提供一种令牌生成方法,该方法可通过核心网的用户面功能实体来实现。
需注意的是,图3所示的实施例提供的方法可以与图2所示实施例结合,例如,图2所示的实施例在图3所示的实施例提供的方法执行完毕后执行,即通过图3所示实施例生成S21数据包中的第一令牌,然后通过图2所示实施例利用生成的第一令牌进行数据包校验。
首先,终端设备注册到核心网,且终端设备与UPF之间建立分组数据单元(packetdata unit,PDU)会话。之后终端设备开始访问服务器,其中,终端设备与服务器之间通信的数据包通过接入网以及UPF转发。
S31、UPF获得终端设备的标识以及业务标识。
其中,终端设备的标识和业务标识可以参见图2所示的实施例中的相关描述,不多赘述。
在本发明实施例中,UPF可通过不同的方式来获得终端设备的标识和业务标识。
在一个示例中,UPF在终端设备与UPF之间建立PDU会话时就获得了终端设备的标识。关于业务标识,可以是服务器发送给UPF的。例如,终端设备向服务器发送用于请求进行应用会话的请求消息,即图3的S311所示,服务器接收该请求消息后,向终端设备发送响应消息,在该响应消息中可以携带业务标识,即图3的S312所示。其中,该响应消息需要经UPF中转后再到达终端设备,那么UPF在接收服务器发送的响应消息后,可以获取响应消息携带的业务标识,再继续将该响应消息发送给终端设备,这样UPF就获得了业务标识。
其中,因为S311和S312只是UPF获得终端设备的标识以及业务标识的可选的方式,不是必须执行的步骤,因此在图3中将用于表示S311和S312的箭头画为虚线。
S32、UPF根据第二输入信息生成第一令牌。其中,第二输入信息包括获得的终端设备的标识以及业务标识。
示例性的,UPF可将第二输入信息作为生成第一令牌的输入信息,通过认证向量算法来生成第一令牌。其中,认证向量计算方法已在图2所示的实施例中进行了介绍,不多赘述。
其中,第二输入信息包括终端设备的标识以及业务标识。因为业务标识包括业务类型指示信息和服务器的标识,也就是说,在这种实施方式中,将第一令牌的生成与通信双方以及业务进行绑定,保证终端设备、服务器以及业务三者的关联,使得其他的终端设备无法假冒该终端设备,从而可以抵抗伪装攻击。
可选地,第二输入信息还包括sault,该sault可以为随机数。在输入信息中增加了随机数,使得生成的令牌更具有唯一性,更不容易被盗用。
如果第二输入信息包括随机数,那么UPF就需要先获得随机数。下面介绍几种UPF获得随机数的方式,需要注意的是,下面的几种方式只是举例,本发明实施例获得随机数的方式不限于以下几种。
A、根据终端设备的标识获得随机数。
在一个示例中,UPF可以根据该终端设备的标识生成随机数,这样,对于不同的终端设备的标识,UPF会生成不同的随机数。
在另一个示例中,UPF可以针对每个终端设备的标识维护一个随机数,例如,UPF预先存储终端设备的标识和随机数之间的映射关系。那么UPF在生成第一令牌时,可以从存储的映射关系中查找与该终端设备的标识对应的随机数即可,方式较为简单。
在这种方式中,如果是UPF预先存储了终端设备的标识和随机数之间的映射关系,那么UPF可以周期性更新存储的映射关系中的全部的终端设备的标识对应的随机数,或者周期性更新存储的映射关系中的部分终端设备的标识对应的随机数,这样可以保证存储的随机数的新鲜性,以更加安全。
另外,在这种方式中,针对不同的终端设备的标识可以使用不同的随机数,更增强了加密的安全性。
B、根据业务标识获得随机数。
在一个示例中,UPF可以根据业务标识生成随机数,这样,对于不同的业务标识,UPF会生成不同的随机数。
在另一个示例中,UPF可以针对每个业务标识维护一个随机数,例如,UPF预先存储业务标识和随机数之间的映射关系。那么UPF在生成第一令牌时,可以从存储的映射关系中查找与该业务标识对应的随机数即可,方式较为简单。
在这种方式中,如果是UPF预先存储了业务标识和随机数之间的映射关系,那么UPF可以周期性更新存储的映射关系中的全部的业务标识对应的随机数,或者周期性更新存储的映射关系中的部分业务标识对应的随机数,这样可以保证存储的随机数的新鲜性,以更加安全。
另外,在这种方式中,针对不同的业务标识可以使用不同的随机数,更增强了加密的安全性。
方式A和方式B还可以结合,即可以根据该终端设备的标识和该业务标识生成随机数。或者,UPF可以预先针对业务标识和终端设备的标识维护一个随机数,即UPF预先存储业务标识、终端设备的标识和随机数这三者之间的映射关系。那么UPF在生成第一令牌时,可以从存储的映射关系中查找与该业务标识和该终端设备的标识对应的随机数即可,方式较为简单。
C、存储固定的随机数。
在这种方式中,UPF可以只存储一个随机数,针对任何终端设备的标识或业务标识都可以使用该随机数作为第二输入信息的一部分。UPF存储的数据量较小,能够在提高安全性的同时节省UPF的存储空间。
在这种方式中,UPF可以周期性更新存储的随机数,这样可以保证存储的随机数的新鲜性,以更加安全。
本发明实施例在用于生成第一令牌的输入信息中引入了随机数,保证了每个新的会话所生成的令牌的新鲜性,减少产生相同令牌的情况,能够有效抵抗重放攻击。
可选地,第二输入信息还包括第三令牌,第三令牌是终端设备生成的。终端设备生成第三令牌后可以发送给UPF,例如终端设备可以通过上述S311中的请求消息携带第三令牌。其中,该请求消息是发送给服务器的,但会经UPF中转后再到达服务器。那么UPF在接收终端设备发送的请求消息后,可以提取请求消息携带的第三令牌,再将去除了第三令牌的响应消息发送给服务器,这样UPF就获得了第三令牌。当然,UPF除了将第三令牌作为生成第一令牌的输入参数之外,还可以存储第三令牌,以便在后续的验证过程中可以验证设备的合法性。关于使用第三令牌进行验证的过程,在图2所示的实施例中已有介绍,不多赘述。
由于终端设备生成的令牌可能存在安全威胁,因此,UPF可以将终端设备生成的令牌作为生成第一令牌的输入信息,以第一令牌更新终端设备生成的第三令牌,消除了终端设备生成的令牌不规范引起的潜在的安全威胁。
可选地,第二输入信息还包括第四令牌,第四令牌是服务器生成的。服务器生成第四令牌后可以发送给UPF。例如,服务器可通过上述S312中的响应消息携带第四令牌,则UPF就得到了第四令牌。其中,该响应消息是发送给终端设备的,但会经UPF中转后再到达终端设备。那么UPF在接收服务器发送的响应消息后,可以提取响应消息携带的第四令牌,再将去除了第四令牌的响应消息发送给终端设备,这样UPF就获得了第四令牌。当然,UPF除了将第四令牌作为生成第一令牌的输入参数之外,还可以存储第四令牌,以便在后续的验证过程中可以验证设备的合法性。关于使用第四令牌进行验证的过程,在图2所示的实施例中已有介绍,不多赘述。
由于服务器生成的令牌可能存在安全威胁,因此UPF可以将服务器生成的令牌作为第一令牌的输入,以第一令牌更新服务器生成的令牌,消除了服务器生成的令牌不规范引起的潜在的安全威胁。
可选地,第二输入信息还包括随机数、第三令牌和第四令牌中的一种或多种。
需指出的是,第二输入信息所包括的参数的类别和数量与图2所示的实施例中介绍的第一输入信息包括的参数的类别和数量可以相同。
在本发明实施例中,除了随机数、第三令牌和第四令牌可能会存储以外,其余第二输入信息中包含的参数皆可动态获得,无需存储,可以减少UPF的存储代价。
S33、UPF将第一令牌发送给终端设备和为该终端设备提供业务的服务器。
相应地,终端设备和服务器接收第一令牌。
其中,UPF向终端设备发送第一令牌,以及UPF向服务器发送第一令牌,这两个步骤可以同时执行,或者UPF可以先向终端设备发送第一令牌再向服务器发送第一令牌,或者UPF可以先向服务器发送第一令牌再向终端设备发送第一令牌,本发明实施例不作限制。
其中,该业务为S31中业务标识对应的业务。例如,为业务标识包括的业务类型指示信息所指示的业务。
其中,S33中UPF生成第一令牌后,将第一令牌发送给终端设备和服务器,以便于终端设备和服务器在后续的通信过程中可将第一令牌携带在数据包中,以供UPF根据第一令牌来校验终端设备或服务器的合法性。
例如,UPF向终端设备发送数据包,该数据包携带第一令牌,可选的,该数据包还可以携带业务标识。具体的,业务标识和第一令牌可以存放在该数据包的超文本传输协议(HyperText Transfer Protocol,HTTP)或者传输控制协议(Transmission ControlProtocol,TCP)协议的选项(option)字段。终端设备接收该数据包后,可以存储第一令牌,如图3中的S331所示。当然终端设备还可以存储业务标识。
再例如,UPF向服务器发送数据包,该数据包携带第一令牌,可选的,该数据包还可以携带业务标识。具体的,业务标识和第一令牌可以存放在该数据包的HTTP或者TCP协议的option字段。服务器接收该数据包后,可以存储第一令牌,如图3中的S332所示。当然服务器还可以存储业务标识。
本发明实施例中,UPF生成第一令牌后,除了将第一令牌发送给终端设备和服务器之外,还可将第一令牌存储在本地。当然,UPF也可以选择不存储第一令牌,本发明实施例不作限制。
UPF在生成第一令牌后,服务器和终端设备在后续的通信过程中将该第一令牌通过数据包发送给UPF,以便UPF根据第一令牌来校验服务器或终端设备的合法性。关于UPF具体的校验方式,在图2所示的实施例中已有介绍,不多赘述。
下面结合附图介绍本发明实施例提供的装置。
图4示出了一种通信装置400的结构示意图。该通信装置400可以实现上文中涉及的UPF的功能。该通信装置400可以包括处理单元401、发送单元402和接收单元403。
其中,处理单元401可以用于执行图2所示的实施例中的S22及S23(其中,S23中的将第一令牌与第二令牌进行比较的过程由处理单元401执行;或者,处理单元401可以用于执行图3所示的实施例中的S31(如果S31中UPF是通过接收消息的方式来获得终端设备的标识及业务标识,则处理单元401用于从接收的消息中解析得到终端设备的标识和业务标识)及S32,和/或用于支持本文所描述的技术的其它过程。
发送单元402可以用于执行图2所示的实施例中的S23,或图3所示的实施例中的S33,和/或用于支持本文所描述的技术的其它过程。
接收单元403可以用于执行图2所示的实施例中的S21,或,如果S31中UPF是通过接收消息的方式来获得终端设备的标识及业务标识,则接收单元403还可以用于执行图3所示的实施例中的S31,和/或用于支持本文所描述的技术的其它过程。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本发明实施例中,通信装置400对应各个功能划分各个功能模块的形式来呈现,或者,可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(application-specific integrated circuit,ASIC),执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,本领域的技术人员可以想到,还可以将通信装置400通过如图5所示的结构实现。
如图5所示,通信装置500可以包括:存储器501、处理器502、系统总线503以及通信接口504。其中,处理器502、存储器501以及通信接口504通过系统总线503连接。存储器501用于存储计算机执行指令,当通信装置500运行时,处理器502执行存储器501存储的计算机执行指令,以使通信装置500执行图2所示的实施例提供的数据包校验方法或图3所示的实施例提供的令牌生成方法。具体的数据包校验方法或令牌生成方法可参考上文及附图中的相关描述,此处不再赘述。其中,通信接口504可以是收发器,或者是独立的接收器和发送器。
在一个示例中,发送单元402可以对应图5中的通信接口504,接收单元403也可以对应图5中的通信接口504,处理单元401可以以硬件形式/软件形式内嵌于或独立于通信装置500的存储器501中。
可选的,通信装置500可以是现场可编程门阵列(field-programmable gatearray,FPGA),专用集成芯片(application specific integrated circuit,ASIC),系统芯片(system on chip,SoC),中央处理器(central processor unit,CPU),网络处理器(network processor,NP),数字信号处理电路(digital signal processor,DSP),微控制器(micro controller unit,MCU),还可以采用可编程控制器(programmable logicdevice,PLD)或其他集成芯片。或者,通信装置500也可以是单独的网元,例如为UPF。
由于本发明实施例提供的通信装置400或通信装置500可用于执行上述的数据包校验方法或令牌生成方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
本发明实施例中,在对设备发送的数据包进行校验时,是根据数据包里携带的终端设备的标识以及业务标识生成令牌,通过比较生成的令牌与数据包携带的令牌是否一致来确定设备是否合法,相当于将令牌与终端设备的标识以及业务标识之间进行关联,三者只要有一个不正确就会导致校验失败。那么对于攻击者来说,即使窃取了令牌,由于其无法获得合法的终端设备的标识以及业务标识,依然会导致校验失败,从而攻击者也就无法伪装成合法设备进行攻击,可见,本发明实施例提供的技术方案加强了网络的安全性,提高了网络保障。
本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(Solid State Disk,SSD))等。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (26)
1.一种数据包校验方法,其特征在于,包括:
接收终端设备的数据包,所述数据包携带第一令牌和业务标识,所述业务标识用于指示所述数据包所属的业务的类型,所述业务标识包括业务类型指示信息和服务器的标识,其中,所述服务器的标识用于指示为所述终端设备提供所述业务的服务器,所述业务类型指示信息用于指示所述数据包所属的业务类型,所述数据包是发送给所述终端设备的数据包;
根据所述数据包获得第一输入信息,并根据所述第一输入信息生成第二令牌,所述第一输入信息包括所述终端设备的标识及所述业务标识;
当所述第一令牌与所述第二令牌相同时,发送所述数据包;
其中,所述发送所述数据包包括:
向所述终端设备发送所述数据包。
2.如权利要求1所述的方法,其特征在于,在所述接收终端设备的数据包之前,所述方法还包括:
获得第二输入信息,所述第二输入信息包括所述终端设备的标识以及所述业务标识;
根据第二输入信息生成所述第一令牌;
向所述终端设备和为所述终端设备提供所述业务的服务器发送所述第一令牌。
3.如权利要求2所述的方法,其特征在于:
所述第二输入信息还包括随机数,所述第一输入信息还包括所述随机数;或者,
所述第二输入信息还包括第三令牌,所述第一输入信息还包括所述第三令牌,所述第三令牌是由所述终端设备生成的;或者,
所述第二输入信息还包括第四令牌,所述第一输入信息还包括所述第四令牌,所述第四令牌是由所述服务器生成的;或者,
所述第二输入信息还包括所述第三令牌和所述第四令牌,所述第一输入信息还包括所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数,所述第三令牌和所述第四令牌,所述第一输入信息还包括所述随机数,所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数和所述第三令牌,所述第一输入信息还包括所述随机数和所述第三令牌;或者,
所述第二输入信息还包括所述随机数和所述第四令牌,所述第一输入信息还包括所述随机数和所述第四令牌。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
根据所述终端设备的标识,获得所述随机数;或者
根据所述业务标识,获得所述随机数。
5.如权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
当所述第一令牌与所述第二令牌不同时,丢弃所述数据包。
6.如权利要求2-4任一项所述的方法,其特征在于,在所述根据第二输入信息生成所述第一令牌之后,所述方法还包括:存储所述第一令牌;
所述根据第一输入信息生成第二令牌,包括:
当所述存储的所述第一令牌与所述数据包携带的所述第一令牌相同时,根据所述第一输入信息生成所述第二令牌。
7.一种数据包校验方法,其特征在于,包括:
接收终端设备的数据包,所述数据包携带第一令牌和业务标识,所述业务标识用于指示所述数据包所属的业务的类型,所述业务标识包括业务类型指示信息和服务器的标识,其中,所述服务器的标识用于指示为所述终端设备提供所述业务的服务器,所述业务类型指示信息用于指示所述数据包所属的业务类型,所述数据包是来自所述终端设备的数据包;
根据所述数据包获得第一输入信息,并根据所述第一输入信息生成第二令牌,所述第一输入信息包括所述终端设备的标识及所述业务标识;
当所述第一令牌与所述第二令牌相同时,发送所述数据包;
其中,所述发送所述数据包包括:
向所述服务器发送所述数据包。
8.如权利要求7所述的方法,其特征在于,在所述接收终端设备的数据包之前,所述方法还包括:
获得第二输入信息,所述第二输入信息包括所述终端设备的标识以及所述业务标识;
根据第二输入信息生成所述第一令牌;
向所述终端设备和为所述终端设备提供所述业务的服务器发送所述第一令牌。
9.如权利要求8所述的方法,其特征在于:
所述第二输入信息还包括随机数,所述第一输入信息还包括所述随机数;或者,
所述第二输入信息还包括第三令牌,所述第一输入信息还包括所述第三令牌,所述第三令牌是由所述终端设备生成的;或者,
所述第二输入信息还包括第四令牌,所述第一输入信息还包括所述第四令牌,所述第四令牌是由所述服务器生成的;或者,
所述第二输入信息还包括所述第三令牌和所述第四令牌,所述第一输入信息还包括所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数,所述第三令牌和所述第四令牌,所述第一输入信息还包括所述随机数,所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数和所述第三令牌,所述第一输入信息还包括所述随机数和所述第三令牌;或者,
所述第二输入信息还包括所述随机数和所述第四令牌,所述第一输入信息还包括所述随机数和所述第四令牌。
10.如权利要求9所述的方法,其特征在于,所述方法还包括:
根据所述终端设备的标识,获得所述随机数;或者
根据所述业务标识,获得所述随机数。
11.如权利要求7-10任一所述的方法,其特征在于,所述方法还包括:
当所述第一令牌与所述第二令牌不同时,丢弃所述数据包。
12.如权利要求8-10任一项所述的方法,其特征在于,在所述根据第二输入信息生成所述第一令牌之后,所述方法还包括:存储所述第一令牌;
所述根据第一输入信息生成第二令牌,包括:
当所述存储的所述第一令牌与所述数据包携带的所述第一令牌相同时,根据所述第一输入信息生成所述第二令牌。
13.一种通信装置,其特征在于,包括:
接收单元,用于接收终端设备的数据包,所述数据包携带第一令牌和业务标识,所述业务标识用于指示所述数据包所属的业务的类型,所述业务标识包括业务类型指示信息和服务器的标识,其中,所述服务器的标识用于指示为所述终端设备提供所述业务的服务器,所述业务类型指示信息用于指示所述数据包所属的业务类型,所述数据包是发送给所述终端设备的数据包;
处理单元,用于根据所述数据包获得第一输入信息,并根据所述第一输入信息生成第二令牌,所述第一输入信息包括所述终端设备的标识及所述业务标识;
发送单元,用于当所述第一令牌与所述第二令牌相同时,发送所述数据包;
其中,所述发送单元用于通过如下方式发送所述数据包:
向所述终端设备发送所述数据包。
14.如权利要求13所述的装置,其特征在于,
所述处理单元还用于:在所述接收单元接收终端设备的数据包之前,获得第二输入信息,并根据所述第二输入信息生成所述第一令牌,所述第二输入信息包括所述终端设备的标识以及所述业务标识;
所述发送单元还用于:向所述终端设备和为所述终端设备提供所述业务的服务器发送所述第一令牌。
15.如权利要求14所述的装置,其特征在于,
所述第二输入信息还包括随机数,所述第一输入信息还包括所述随机数;或者,
所述第二输入信息还包括第三令牌,所述第一输入信息还包括所述第三令牌,所述第三令牌是由所述终端设备生成的;或者,
所述第二输入信息还包括第四令牌,所述第一输入信息还包括所述第四令牌,所述第四令牌是由为所述服务器生成的;或者,
所述第二输入信息还包括所述第三令牌和所述第四令牌,所述第一输入信息还包括所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数,所述第三令牌和所述第四令牌,所述第一输入信息还包括所述随机数,所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数和所述第三令牌,所述第一输入信息还包括所述随机数和所述第三令牌;或者,
所述第二输入信息还包括所述随机数和所述第四令牌,所述第一输入信息还包括所述随机数和所述第四令牌。
16.如权利要求15所述的装置,其特征在于,所述处理单元还用于:
根据所述终端设备的标识,获得所述随机数;或者
根据所述业务标识,获得所述随机数。
17.如权利要求13-16任一所述的装置,其特征在于,所述处理单元还用于:
当所述第一令牌与所述第二令牌不同时,丢弃所述数据包。
18.如权利要求14-16任一所述的装置,其特征在于,
所述处理单元还用于:在所述根据第二输入信息生成所述第一令牌之后,存储所述第一令牌;
所述处理单元用于根据第一输入信息生成第二令牌,包括:当所述存储的所述第一令牌与所述数据包携带的所述第一令牌相同时,根据所述第一输入信息生成所述第二令牌。
19.一种通信装置,其特征在于,包括:
接收单元,接收终端设备的数据包,所述数据包携带第一令牌和业务标识,所述业务标识用于指示所述数据包所属的业务的类型,所述业务标识包括业务类型指示信息和服务器的标识,其中,所述服务器的标识用于指示为所述终端设备提供所述业务的服务器,所述业务类型指示信息用于指示所述数据包所属的业务类型,所述数据包是来自所述终端设备的数据包;
处理单元,根据所述数据包获得第一输入信息,并根据所述第一输入信息生成第二令牌,所述第一输入信息包括所述终端设备的标识及所述业务标识;
发送单元,当所述第一令牌与所述第二令牌相同时,发送所述数据包;
其中,所述发送单元用于通过如下方式发送所述数据包:
向所述服务器发送所述数据包。
20.如权利要求19所述的装置,其特征在于,
所述处理单元还用于:在所述接收单元接收终端设备的数据包之前,获得第二输入信息,并根据所述第二输入信息生成所述第一令牌,所述第二输入信息包括所述终端设备的标识以及所述业务标识;
所述发送单元还用于:向所述终端设备和为所述终端设备提供所述业务的服务器发送所述第一令牌。
21.如权利要求20所述的装置,其特征在于,
所述第二输入信息还包括随机数,所述第一输入信息还包括所述随机数;或者,
所述第二输入信息还包括第三令牌,所述第一输入信息还包括所述第三令牌,所述第三令牌是由所述终端设备生成的;或者,
所述第二输入信息还包括第四令牌,所述第一输入信息还包括所述第四令牌,所述第四令牌是由为所述服务器生成的;或者,
所述第二输入信息还包括所述第三令牌和所述第四令牌,所述第一输入信息还包括所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数,所述第三令牌和所述第四令牌,所述第一输入信息还包括所述随机数,所述第三令牌和所述第四令牌;或者,
所述第二输入信息还包括所述随机数和所述第三令牌,所述第一输入信息还包括所述随机数和所述第三令牌;或者,
所述第二输入信息还包括所述随机数和所述第四令牌,所述第一输入信息还包括所述随机数和所述第四令牌。
22.如权利要求21所述的装置,其特征在于,所述处理单元还用于:
根据所述终端设备的标识,获得所述随机数;或者
根据所述业务标识,获得所述随机数。
23.如权利要求19-22任一所述的装置,其特征在于,所述处理单元还用于:
当所述第一令牌与所述第二令牌不同时,丢弃所述数据包。
24.如权利要求20-22任一所述的装置,其特征在于,
所述处理单元还用于:在所述根据第二输入信息生成所述第一令牌之后,存储所述第一令牌;
所述处理单元用于根据第一输入信息生成第二令牌,包括:当所述存储的所述第一令牌与所述数据包携带的所述第一令牌相同时,根据所述第一输入信息生成所述第二令牌。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-6任一项所述的方法,或使得所述计算机执行如权利要求7-12任一项所述的方法。
26.一种包含指令的计算机程序产品,其特征在于,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-6任意一项所述的方法,或使得所述计算机执行如权利要求7-12任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2017/083623 WO2018205148A1 (zh) | 2017-05-09 | 2017-05-09 | 一种数据包校验方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392998A CN110392998A (zh) | 2019-10-29 |
| CN110392998B true CN110392998B (zh) | 2020-11-27 |
Family
ID=64104088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780088247.5A Active CN110392998B (zh) | 2017-05-09 | 2017-05-09 | 一种数据包校验方法及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11706618B2 (zh) |
| EP (1) | EP3614621B1 (zh) |
| CN (1) | CN110392998B (zh) |
| WO (1) | WO2018205148A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220086691A1 (en) * | 2018-12-21 | 2022-03-17 | Telefonaktiebolaget Lm Ericsson (Publ) | User Data Traffic Handling |
| GB2584147B (en) * | 2019-05-24 | 2021-10-20 | F Secure Corp | Method for integrity protection in a computer network |
| JP2021128261A (ja) * | 2020-02-14 | 2021-09-02 | 株式会社野村総合研究所 | 秘密分散ベースのマルチパーティ計算のための装置 |
| CN113015095B (zh) * | 2021-02-24 | 2023-12-19 | 安科讯(福建)科技有限公司 | 一种匹配终端与upf的方法及系统 |
| CN115150338A (zh) * | 2021-03-29 | 2022-10-04 | 华为技术有限公司 | 报文流量控制的方法、装置、设备及计算机可读存储介质 |
| US11757707B2 (en) | 2021-07-28 | 2023-09-12 | Cisco Technology, Inc. | Network assurance for 5G enterprise networks |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7325143B2 (en) * | 2001-10-15 | 2008-01-29 | Linux Foundation | Digital identity creation and coalescence for service authorization |
| US20040177369A1 (en) * | 2003-03-06 | 2004-09-09 | Akins Glendon L. | Conditional access personal video recorder |
| US7376134B2 (en) * | 2004-08-02 | 2008-05-20 | Novell, Inc. | Privileged network routing |
| GB0523871D0 (en) * | 2005-11-24 | 2006-01-04 | Ibm | A system for updating security data |
| KR100843081B1 (ko) * | 2006-12-06 | 2008-07-02 | 삼성전자주식회사 | 보안 제공 시스템 및 방법 |
| CN101351027A (zh) * | 2007-07-19 | 2009-01-21 | 中国移动通信集团公司 | 业务鉴权处理方法及系统 |
| CN101662458A (zh) * | 2008-08-28 | 2010-03-03 | 西门子(中国)有限公司 | 一种认证方法 |
| CN101754215B (zh) * | 2008-12-01 | 2012-08-08 | 华为技术有限公司 | 一种鉴权方法及系统 |
| US9119067B2 (en) * | 2011-06-03 | 2015-08-25 | Apple Inc. | Embodiments of a system and method for securely managing multiple user handles across multiple data processing devices |
| US20140245411A1 (en) * | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
| US20140337950A1 (en) * | 2013-05-07 | 2014-11-13 | Futurewei Technologies, Inc. | Method and Apparatus for Secure Communications in a Wireless Network |
| WO2014198745A1 (en) * | 2013-06-12 | 2014-12-18 | Telecom Italia S.P.A. | Mobile device authentication in heterogeneous communication networks scenario |
| KR20160042692A (ko) * | 2014-10-10 | 2016-04-20 | 삼성전자주식회사 | 트래픽 처리를 위한 방법 및 장치 |
| US9401912B2 (en) * | 2014-10-13 | 2016-07-26 | Netiq Corporation | Late binding authentication |
| CN104579694B (zh) * | 2015-02-09 | 2018-09-14 | 浙江大学 | 一种身份认证方法及系统 |
| US10505850B2 (en) * | 2015-02-24 | 2019-12-10 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services—user-plane approach |
| US9819596B2 (en) * | 2015-02-24 | 2017-11-14 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services C-plane approach |
| US10341239B2 (en) * | 2015-05-21 | 2019-07-02 | Qualcomm Incorporated | Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach |
| CN106603461A (zh) * | 2015-10-14 | 2017-04-26 | 阿里巴巴集团控股有限公司 | 一种业务认证的方法、装置和系统 |
| US10382409B2 (en) * | 2015-11-25 | 2019-08-13 | Visa International Service Association | Secure multi-party protocol |
| US10171463B1 (en) * | 2015-12-21 | 2019-01-01 | Amazon Technologies, Inc. | Secure transport layer authentication of network traffic |
| WO2017192161A1 (en) * | 2016-05-06 | 2017-11-09 | Intel IP Corporation | Service authorization and credential provisioning for v2x communication |
| EP3456090B1 (en) * | 2016-05-12 | 2021-03-31 | Convida Wireless, Llc | Connecting to virtualized mobile core networks |
| US10674346B2 (en) * | 2016-10-10 | 2020-06-02 | Qualcomm Incorporated | Connectivity to a core network via an access network |
| US10779345B2 (en) * | 2017-03-20 | 2020-09-15 | Qualcomm Incorporated | User plane relocation techniques in wireless communication systems |
| US11750385B2 (en) * | 2017-11-16 | 2023-09-05 | Prisec Innovation Limited | System and method for authenticating a user |
| US11178118B2 (en) * | 2019-04-09 | 2021-11-16 | First Data Corporation | Network provisioning and tokenization using a remote terminal |
| EP3959910A1 (en) * | 2019-04-25 | 2022-03-02 | Telefonaktiebolaget LM Ericsson (publ) | Trusted solutions for enabling user equipment belonging to a home network to access data communication services in a visited network |
| US10785652B1 (en) * | 2019-09-11 | 2020-09-22 | Cisco Technology, Inc. | Secure remote access to a 5G private network through a private network slice |
| US20220400375A1 (en) * | 2020-03-03 | 2022-12-15 | The Trustees Of Princeton University | System and method for phone privacy |
| US11375024B1 (en) * | 2021-02-22 | 2022-06-28 | T-Mobile Innovations Llc | Programmable networking device for user plane function |
-
2017
- 2017-05-09 WO PCT/CN2017/083623 patent/WO2018205148A1/zh unknown
- 2017-05-09 EP EP17909626.8A patent/EP3614621B1/en active Active
- 2017-05-09 CN CN201780088247.5A patent/CN110392998B/zh active Active
-
2019
- 2019-11-08 US US16/678,314 patent/US11706618B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3614621A4 (en) | 2020-04-08 |
| US20200092722A1 (en) | 2020-03-19 |
| US11706618B2 (en) | 2023-07-18 |
| EP3614621B1 (en) | 2021-04-28 |
| WO2018205148A1 (zh) | 2018-11-15 |
| EP3614621A1 (en) | 2020-02-26 |
| CN110392998A (zh) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110392998B (zh) | 一种数据包校验方法及设备 | |
| US11829774B2 (en) | Machine-to-machine bootstrapping | |
| US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| Jover et al. | Security and protocol exploit analysis of the 5G specifications | |
| US11825303B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| KR102024653B1 (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| JP7452600B2 (ja) | 通信端末装置及びその方法 | |
| JP6548348B2 (ja) | メッセージ保護方法、ならびに関連デバイスおよびシステム | |
| KR102408155B1 (ko) | 비밀 식별자를 사용하는 사용자 장비에 관련된 동작 | |
| KR20180030034A (ko) | 암호화된 클라이언트 디바이스 컨텍스트들에 의한 네트워크 아키텍처 및 보안 | |
| EP3614741B1 (en) | Processing apparatus for terminal access to 3gpp network and communication system and corresponding system and computer program product | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| WO2013185709A1 (zh) | 一种呼叫认证方法、设备和系统 | |
| WO2021103772A1 (zh) | 数据传输方法和装置 | |
| CN110830421B (zh) | 数据传输方法和设备 | |
| CN111788809A (zh) | 一种报文收发方法及装置 | |
| CN113709729B (zh) | 数据处理方法、装置、网络设备及终端 | |
| WO2018077438A1 (en) | Enhancements in aka-based authentication | |
| KR101960583B1 (ko) | 인증서 발급 방법 | |
| US20240086518A1 (en) | Packet transmission method and apparatus | |
| CN110061833B (zh) | 一种身份位置的绑定更新方法及装置 | |
| CN116530119A (zh) | 保护无线网络中序列号的方法、设备和系统 | |
| CN116074005A (zh) | 一种安全通信方法和相关设备 | |
| CN116528234A (zh) | 一种虚拟机的安全可信验证方法及装置 | |
| CN116569536A (zh) | 向网络的应用注册 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |