CN110719248B - 用户数据报协议报文的转发方法及装置 - Google Patents

用户数据报协议报文的转发方法及装置 Download PDF

Info

Publication number
CN110719248B
CN110719248B CN201810762990.0A CN201810762990A CN110719248B CN 110719248 B CN110719248 B CN 110719248B CN 201810762990 A CN201810762990 A CN 201810762990A CN 110719248 B CN110719248 B CN 110719248B
Authority
CN
China
Prior art keywords
internet
target
sent
proxy server
udp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810762990.0A
Other languages
English (en)
Other versions
CN110719248A (zh
Inventor
曾英佩
徐志辉
孟祥路
王海栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Hangzhou Information Technology Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201810762990.0A priority Critical patent/CN110719248B/zh
Publication of CN110719248A publication Critical patent/CN110719248A/zh
Application granted granted Critical
Publication of CN110719248B publication Critical patent/CN110719248B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/164Adaptation or special uses of UDP protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例中公开了一种用户数据报协议报文的转发方法及装置。代理服务器在接收物联网设备发送的标识和密钥认证码后,当该标识与存储的标识一致,且存储的标识对应的密钥认证码与该密钥认证码一致时,向物联网设备发送转发服务的服务信息;基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件;之后接收物联网设备发送的第一UDP报文,第一UDP报文包括目标业务服务器的位置信息和第一数据后,基于目标密码套件,对第一UDP报文进行解密,得到目标服务器的位置信息和第一数据;最后将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。

Description

用户数据报协议报文的转发方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种用户数据报协议报文的转发方法及装置。
背景技术
用户数据报协议(User Datagram Protocol,UDP)是开放式系统互联(OpenSystem Interconnection,OSI)参考模型中一种无连接的传输层协议。与TCP协议不同,UDP协议是无连接的,不需要维持收包次序,也不需要维护滑动窗口等,因此实现更简单很多;而因为不需要有三次握手建立连接,可以立即发送UDP数据包,所以发送时延更低。UDP协议在物联网络中得到广泛应用,如海思蜂窝的窄带物联网(Narrow Band Internet ofThings,NB-IoT)芯片只支持UDP协议,而不支持传输控制协议Transmission ControlProtocol,TCP);高通和台湾联发MTK的NB-IoT芯片同时支持TCP协议和UDP协议。
传统的物联网络包括客户端、代理服务器(或称“物联网安全(Security EnabledPlatform,SEP)平台”)和业务服务器。其中,代理服务器可以只支持TCP协议,或者可以支持UDP协议的防火墙安全会话转换协议(Socks:Protocol for sessions traversal acrossfirewall securely,SOCKS)代理协议,但其控制连接仍然为TCP协议,并且SOCKS代理协议不提供传输的UDP数据包的加密措施。
可见,传统的物联网络中的代理服务器不能完全支持UDP协议,或者在支持UDP协议的SOCKS代理协议时UDP报文不能加密,导致没有安全保障。
发明内容
本申请实施例提供一种用户数据报协议报文的转发方法及装置,实现完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
第一方面,提供了一种用户数据报协议报文的转发方法,该方法可以包括:
接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;
当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件;
接收物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据;
将第一数据发送至位置信息对应的目标业务服务器。
上述技术方案实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发,提高了UDP报文的安全性。
在一个可选的实现中,接收物联网设备发送的代理请求之前,该方法还可以包括:
基于物联网设备发送的注册请求,获取派生密钥和分配给物联网设备的标识;
向物联网设备发送标识。
该方式使物联网设备获取代理服务器为其分配的唯一标识,以便后续基于该标识为其分配转发服务。
在一个可选的实现中,将第一数据发送至目标业务服务信息对应的目标业务服务器之后,该方法还可以包括:
接收目标业务服务器基于第一数据发送的第二数据;
向物联网设备发送第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据。
上述技术方案进一步实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发,提高了UDP报文的安全性。
在一个可选的实现中,基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件,包括:
接收物联网设备发送至少一个密码套件;
从至少一个密码套件中选取的目标密码套件;
向物联网设备发送目标密码套件,以建立DTLS连接。
该方式具体介绍了代理服务器与物联网设备间建立的DTLS连接。
在一个可选的实现中,该方法还可以包括:
对与物联网设备建立的DTLS连接设置第一时间阈值,第一时间阈值为DTLS连接在代理服务器侧的空闲保活时间;
在接收到物联网设备发送的第一UDP报文之后,重新对DTLS连接的第一时间阈值进行计时。
上述实施方式可以维持本次转发服务不关闭,不必多次建立DTLS连接,节省了额外的代理步骤。
在一个可选的实现中,当物联网设备的数量为至少一个时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址和端口信息和有效时间,包括:
向至少一个物联网设备发送转发服务的服务信息,服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
上述实施方式进一步说明一个转发服务可以同时服务多个物联网设备,实现转发服务的端口复用,降低资源消耗。
第二方面,提供了另一种用户数据报协议报文的转发方法,该方法可以包括:
向代理服务器发送代理请求,代理请求包括标识和密钥认证码,密钥认证码是采用预设密钥算法,对标识和派生密钥进行运算获取的,标识是所述代理服务器分配的;
接收代理服务器根据所述标识和密钥认证码发送的转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于向代理服务器发送至少一个密码套件,获取代理服务器从至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
采用目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
基于服务信息,向代理服务器发送第一UDP报文。
上述技术方案实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发,提高了UDP报文的安全性。
在一个可选的实现中,向代理服务器发送代理请求之前,该方法还可以包括:
向代理服务器发送注册请求;
接收所述代理服务器基于注册请求发送的标识。
该方式使物联网设备获取代理服务器为其分配的唯一标识,以便后续基于该标识为其分配转发服务。
在一个可选的实现中,向代理服务器发送第一UDP报文之后,该方法还包括:
接收代理服务器发送的第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据,第二数据为目标业务服务器基于第一数据发送的数据。
上述技术方案进一步实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发,提高了UDP报文的安全性。
在一个可选的实现中,该方法还可以包括:
对与代理服务器建立的DTLS连接设置第二时间阈值,第二时间阈值为DTLS连接在物联网设备侧的空闲保活时间;
在接收代理服务器发送的第二UDP报文之后,重新对DTLS连接的第二时间阈值进行计时。
上述实施方式可以维持本次转发服务不关闭,不必多次建立DTLS连接,节省了额外的代理步骤。
在一个可选的实现中,服务信息可以包括至少一个IP地址、至少一个端口信息和至少一个有效时间。上述实施方式进一步说明一个转发服务可以同时服务多个物联网设备,实现转发服务的端口复用,降低资源消耗。
第三方面,提供了一种转发装置,该装置可以包括:
接收单元,用于接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,所述密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;
发送单元,用于当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件;
接收单元,还用于接收物联网设备基于服务信息发送的第一用户数据报协议UDP报文,第一UDP报文是物联网设备采用目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
解密单元,用于基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据;
发送单元,还用于将第一数据发送至位置信息对应的目标业务服务器。
在一个可选的实现中,该装置还可以包括:获取单元;
获取单元,用于在接收物联网设备发送的代理请求之前,基于物联网设备发送的注册请求,获取派生密钥和分配给物联网设备的标识;
发送单元,还用于向物联网设备发送所述标识。
在一个可选的实现中,接收单元,还用于在将第一数据发送至目标业务服务信息对应的目标业务服务器之后,接收目标业务服务器基于第一数据发送的第二数据;
发送单元,还用于向物联网设备发送第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据。
在一个可选的实现中,该装置还可以包括:选取单元;
接收单元,还用于接收物联网设备发送至少一个密码套件;
选取单元,用于从至少一个密码套件中选取的目标密码套件;
发送单元,还用于向物联网设备发送目标密码套件,以建立DTLS连接。
在一个可选的实现中,该装置还可以包括:设置单元和计时单元;
设置单元,用于对与物联网设备建立的DTLS连接设置第一时间阈值,第一时间阈值为DTLS连接在代理服务器侧的空闲保活时间;
计时单元,用于在接收到所述物联网设备发送的第一UDP报文之后,重新对所述DTLS连接的所述第一时间阈值进行计时。
在一个可选的实现中,发送单元,还用于向所述至少一个物联网设备发送转发服务的服务信息,所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
第四方面,提供了另一种转发装置,该装置可以包括:
发送单元,用于向代理服务器发送代理请求,代理请求包括标识和密钥认证码,密钥认证码是采用预设密钥算法,对标识和派生密钥进行运算获取的,标识是所述代理服务器分配的;
接收单元,用于接收代理服务器根据标识和所述密钥认证码发送的转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
发送单元,还用于基于向代理服务器发送至少一个密码套件,获取所述代理服务器从至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
加密单元,用于采用目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
发送单元,还用于基于服务信息,向代理服务器发送第一UDP报文。
在一个可选的实现中,发送单元,还用于在向代理服务器发送代理请求之前,向代理服务器发送注册请求;
接收单元,还用于接收代理服务器基于注册请求发送的标识。
在一个可选的实现中,接收单元,还用于在向代理服务器发送第一UDP报文之后,接收代理服务器发送的第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据,第二数据为所述目标业务服务器基于第一数据发送的数据。
在一个可选的实现中,该装置还可以包括:设置单元和计时单元;
设置单元,用于对与所述代理服务器建立的DTLS连接设置第二时间阈值,第二时间阈值为DTLS连接在物联网设备侧的空闲保活时间;
计时单元,用于在接收代理服务器发送的第二UDP报文之后,重新对DTLS连接的第二时间阈值进行计时。
在一个可选的实现中,服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
第五方面,提供了一种代理服务器,该代理服务器包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的方法步骤。
第五方面,提供了一种物联网设备,该物联网设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第二方面中任一项上传现方法步骤。
第八方面,提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤或上述第二方面中任一所述的方法步骤。
上述技术方案中物联网设备向代理服务器发送代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向物联网设备发送转发服务的服务信息;在接收到物联网设备发送的至少一个密码套件后,代理服务器向物联网设备发送选取的目标密码套件;物联网设备基于目标密码套件,向代理服务器发送的第一UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;代理服务器基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
附图说明
图1为本发明实施例提供的应用用户数据报协议报文的转发方法的系统框架示意图;
图2为本发明实施例提供的一种用户数据报协议报文转发方法的流程示意图;
图3为本发明实施例提供的另一种用户数据报协议报文转发方法的流程示意图;
图4为本发明实施例提供的一种转发装置的结构示意图;
图5为本发明实施例提供的另一种转发装置的结构示意图;
图6为本发明实施例提供的一种代理服务器的结构示意图;
图7为本发明实施例提供的一种物联网设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,并不是全部的实施例。基于本申请实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,物联网应用以及物联网的接入技术,均处于迅猛发展中,而其中长距离物联网接入的新兴技术中,NB-IoT技术已经有了一些明显的优势。长距离物联网接入是与运营商非常相关的一种物联网接入方式,这种方式下除了传统的2G、4G接入外,还有新兴的接入方式如NB-IoT。目前,海思NB-IoT芯片只支持UDP而不支持TCP;高通和MTK的NB-IoT芯片可以同时支持TCP和UDP协议,可见现有技术的物联网中并不能完全执行UDP协议。
与TCP协议不同,UDP协议因为是无连接的,不需要维持收包次序,也不需要维护滑动窗口等,因此实现更简单很多,且由于不需要有三次握手建立连接,可以立即发送数据包,因此发送时延更低,基于UDP协议实现简单,时延更低等优点成为NB-IoT网络中主要的传输协议之一。
与现有技术的物联网中并不能完全执行UDP协议相比,本申请提供的用户数据报协议UDP报文转发方法是完全基于UDP协议进行的代理的控制面协商。
本发明实施例提供的用户数据报协议报文转发方法可以应用在图1所示的系统框架中,该系统可以包括:物联网设备、代理服务器和业务服务器。
其中,物联网设备可以是客户端,即物联网设备可以是终端设备,终端设备可以是用户设备(User quipment,UE)、移动台(Mobile Station,MS)、移动终端((MobileTerminal)等。该终端设备具备经无线接入网(RadioAccess Network,RAN)与一个或多个核心网进行通信的能力,例如,终端设备可以是移动电话(或称为“蜂窝”电话)。物联网设备可以包括安全模组或者安全组件软件开发工具包(Software Development Kit,SDK),物联网设备发送报文前,可以向安全模组发送AT指令,或者调用安全组件SDK进行安全处理,如加密。
代理服务器可以包括本地代理服务器和远程代理服务器,其位于物联网安全使能平台(或称物联网安全平台(Security Enabled Platform,SEP))中,用于物联网设备的设备注册、密钥协商、派生密钥协商、身份认证的令牌(token)生成、提供转发服务、建立数据包传输层安全性(Datagram Transport Layer Security,DTLS)连接的通道等一系列的功能。其中,DTLS用于支持UDP协议场景下的传输层安全(Transport Layer Security,TLS)的报文传输,即DTLS的作用为给UDP提供端到端的安全通道。
业务服务器位于第三方业务平台中,第三方业务平台可以是OneNet平台,也可以是其它物联网平台,或者是设备厂商自己的平台。
该系统中物联网设备与代理服务器间通过UDP的DTLS连接传输报文、代理服务器与业务服务器间通过UDP连接进行传输报文。该系统中物联网设备与代理服务器注册后,需要进行三个阶段来实现UDP报文的转发,包括转发服务的服务信息协商阶段、DTLS-PSK协商阶段和数据转发阶段。
具体的,物联网设备与代理服务器在注册过程中,物联网设备获取代理服务器为其分配唯一的UTID(Universally Traceable Identifier)标识,并且在物联网设备与代理服务器均已协商过根密钥后,基于相同的预设密钥规则获得各自专门用来进行DTLS连接的派生密钥(pre-shared key,psk)。
在转发服务的服务信息协商阶段中,在协议的控制面上物联网设备与代理服务器进行认证后,代理服务器向物联网设备提供转发服务的服务信息,该服务信息包括IP地址和端口信息。
之后,在DTLS-PSK协商阶段中,在协议的控制面上物联网设备与代理服务器的转发服务间通过DTLS-PSK协议建立DTLS连接。在数据转发阶段中,在协议的控制面上物联网设备与代理服务器的转发服务在建立的DTLS连接通道上进行收发加密的UDP报文。代理服务器对加密的UDP报文进行解密后再将其转发到物联网设备指定的业务服务器。
可见,本申请提供的方法是在协议的数据面上完全基于UDP协议进行的代理的控制面协商,且通过建立DTLS连接通道收发加密的UDP报文,保障了物联网设备发出的UDP报文不被截获篡改,提高了安全性。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2为本发明实施例提供的一种用户数据报协议报文转发方法的流程示意图。如图2所示,该方法可以包括:
步骤210、物联网设备向代理服务器发送代理请求,所述代理请求包括标识和密钥认证码。
在执行该步骤之前,物联网设备向物联网设备发送注册请求;
代理服务器基于注册请求,获取分配给该物联网设备的唯一的UTID标识;
代理服务器向物联网设备发送该UTID标识,以及一个随机数,并存储该随机数。
物联网设备与代理服务器分别采用相同的预设密码规则对该随机数进行运算获取根密钥,从而基于根密钥获取派生密钥psk,派生密钥psk用于后续的DTLS协商,也就是说,物联网设备与代理服务器中分别存储相同的派生密钥psk,且代理服务器存储的派生密钥psk与UTID标识一一对应。
进一步的,物联网设备采用预设密钥算法,对该标识和派生密钥进行运算,获取密钥认证码,该密钥认证码用于物联网设备的身份验证。密钥认证码可以是哈希消息认证码(Hash-based Message Authentication Code,HMAC),如HMAC-SHA256,也可以是其它的HMAC。若密钥认证码为哈希消息认证码时,预设密钥算法可以表示为HMAC(psk,UTID)。
物联网设备向代理服务器发送代理请求可以包括以下关键字段:REQUEST,UTID和HMAC(psk,UTID),REQUEST表示报文类型为代理请求。
可选地,物联网设备的数量可以是至少一个。当物联网设备的数量为至少一个时,代理服务器为至少一个物联网设备分别分配唯一的UTID标识,且代理服务器存储至少一个UTID标识对应的派生密钥psk。
回到步骤210,一个物联网设备可以向代理服务器发送多个不同的代理请求,或者,多个物联网设备可以向代理服务器发送多个不同的代理请求,代理请求包括UTID标识和密钥认证码。
步骤220、当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向物联网设备发送转发服务的服务信息。
代理服务器在存储的UTID标识中查找是否存在与接收的UTID标识相同的UTID标识,若不存在,则返回拒绝代理的响应;
若存在,则查找存储的UTID标识对应的、存储的派生密钥psk,并采用与物联网设备相同的预设密钥算法,对存储的派生密钥psk进行运算,得到该存储的UTID标识对应的密钥认证码,将接收的密钥认证码与计算得到的密钥认证码进行比较,若不一致,则返回拒绝代理的响应;
若一致,则向物联网设备发送转发服务的服务信息。服务信息包括IP地址、端口信息和转发服务的有效时间。该有效时间为代理服务器提供转发服务的有效时间,如24小时。
可选地,代理服务器发送转发服务的IP地址和端口信息前,需要在相应IP地址和端口上启动一个转发服务,之后代理服务器对不同物联网设备的代理请求,可以为了实现转发服务的端口复用,向不同物联网设备发送相同的IP地址和端口信息,也可以为了负载均衡,在多个IP地址和端口上启动多个转发服务,然后在不同的物联网设备间进行随机分配转发服务。
也就是说,为了实现负载均衡,当物联网设备的数量为至少一个时,代理服务器可以分别向每个物联网设备发送唯一的转发服务的服务信息,即每个物联网设备接收不同的服务信息,以建立多个的转发服务;
为了实现转发服务的端口复用,降低资源消耗,代理服务器可以为至少一个物联网设备发送相同的转发服务的服务信息,以建立一个的转发服务。其功能上可以相当于是在无代理服务器时,物联网设备直接建立多个套接字(socket),即通过不同端口发送不同报文、且互不干扰。该情况下,在之前双方没有保存转发服务的服务信息时,双方可以只进行一次协商获得服务信息,或者在之前保存有还在有效期的转发服务的服务信息时,双方可以不进行服务信息的协商,而复用之前保存的服务信息,以降低资源消耗。最后物联网设备的不同端口会发起多个不同的DTLS连接。
需要说明的是,上述步骤210-步骤220为物联网设备与代理服务器间的转发服务地址协商阶段,该阶段中物联网设备通过代理服务器的身份认证,得到转发服务的IP地址和端口信息。该阶段可以有两种形式,一种是快速版的形式,如上述步骤210-步骤220,该形式下物联网设备和代理服务器间不需要的挑战应答步骤,只需要各自发送1个报文交互,即只需1个往返时延时间(Round-Trip Time,RTT)。一种是完全版的形式,该形式下物联网设备和代理服务器间增加挑战应答步骤,这样物联网设备和代理服务器需要各自发送两个报文交互,即需要2个RTT;其中,挑战应答步骤执行在步骤210之后,其包括:
代理服务器向物联网设备发送挑战请求,挑战请求包括该挑战值的标识和挑战值;
挑战请求字段包括CHALLENGE,表示挑战请求的类型为挑战报文;id_challenge,表示挑战值的标识,challenge_value,表示挑战值。其中,id_challenge的值顺序增长,challenge_value具有唯一性和不可预测性。
之后,物联网设备向代理服务器发送挑战应答,挑战应答包括UTID标识,挑战值的标识和挑战密钥认证码;
挑战应答字段包括:REQUEST_CHALLENGE,UTID,表示报文类型;UTID为设备唯一标识;id_challenge,用于使代理服务器将该应答与其对应的挑战请求匹配;挑战密钥认证码HMAC(psk,UTID||id_challenge||challenge_value),表示将UTID、id_challenge和challenge_value拼接起来,用共享的psk计算得到HMAC。
代理服务器识别该物联网设备的psk是否一致,以及识别该物联网设备的发送的HMAC值与代理服务器计算的值是否一致。
若不一致,则向物联网设备返回拒绝代理的响应,以及原因;
若一致,则执行步骤220。
进一步的,上述的挑战应答步骤主要是为了防止攻击者的重放设备攻击。下面对挑战应答步骤对攻击者的重放设备攻击的描述如下:
(1)由于进行DTLS-PSK协商阶段时,重放设备可以监听获取物联网设备与代理服务器的共享的psk,来进行DTLS协商,这样代理服务器也会为攻击者提供转发服务,进行挑战应答步骤。
现有技术的一个转发服务只能服务一个物联网设备,即为该物联网设备分配的指定端口、指定的进程或线程,每次攻击会耗费代理服务器一定的资源,如果不限制允许开启的进行或线程等可能会造成拒绝服务。
与现有技术相比,本发明实施例的转发服务可以在同一个IP地址和端口上服务多个物联网设备。
其次,攻击者的重放设备可以通过重放请求得到最新的转发服务的地址。得到服务地址后可以发送攻击报文进行攻击,然而转发服务收到重放设备发出的报文后只是进行psk查询和HMAC比对等操作,开销很小,同时本发明实施例对于一个代理请求只发送一次代理应答,且代理应答包很小,这样攻击带来的额外流量很低,没有放大作用。可见,由于攻击者耗费的服务器资源可忽略,故这种重放攻击对本发明实施例基本没有影响。
综上,经对比上述两种形式中,本发明实施例提供的快速版只需1个RTT,而完全版整体过程需要2个RTT,且对于本发明实施例而言,可以根据实际情况,选取上述两种形式。
步骤230、物联网设备向代理服务器发送至少一个密码套件。
物联网设备向代理服务器发送ClientHello消息,ClientHello消息包括至少一个密码套件。每个密码套件包括密钥交换算法、加密算法、消息认证码(MAC)算法,以及伪随机函数。其中,密钥交换算法,用于决定客户端与服务器之间在握手时如何身份验证,如ECDHE_RSA。批量加密算法,用于加密消息流。它还包括密钥大小及显式和隐式初始化向量的长度,如AES_128_GCM。消息认证码算法,用于创建消息摘要,消息流每个数据块的加密散列,如SHA256。伪随机函数,如TLS1.2的伪随机函数使用MAC算法的散列函数来创建一个主密钥--连接双方共享的一个48字节的私钥。主密钥在创建会话密钥(例如创建MAC)时作为一个熵来源。综上,得到一个密码套件的表达为:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。
步骤240、代理服务器向物联网设备发送目标密码套件。
代理服务器从接收的至少一个密码套件中选取目标密码套件,代理服务器可以按照预设的安全级别进行选取,或者随机选取。
代理服务器向物联网设备发送SeverHello消息,SeverHello消息包括从至少一个密码套件中选取的目标密码套件。
之后,物联网设备向代理服务器发送ClientKeyExchange消息,ClientKeyExchange消息中的PSK Identity字段为UTID标识,以用于标识物联网设备,以便后续双方根据该UTID标识找到物联网设备对应的派生密钥psk。
代理服务器接收到UTID标识后,向物联网设备发送Finished,以建立与物联网设备的DTLS连接。
需要说明的是,上述步骤230-步骤240为DTLS-PSK协商阶段。
步骤250、物联网设备向代理服务器发送第一UDP报文。
第一UDP报文是物联网设备采用目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,该位置信息包括目标IP地址(addr_dest)、目标端口信息(port_dest);
物联网设备将待发送UDP报文使用目标密码套件进行加密,得到第一UDP报文,其中,第一UDP报文包括目标业务服务器的位置信息和第一数据,将第一UDP报文发送至代理服务器中指定的IP地址和端口对应的转发服务器,以实现转发服务。
步骤260、代理服务器基于目标密码套件,对第一UDP报文进行解密,得到目标业务服务器的位置信息和第一数据。
代理服务器基于物联网设备的UTID标识,查找到UTID标识对应的目标密码套件后,对第一UDP报文进行解密,得到目标业务服务器的位置信息和第一数据。
目标业务服务器的位置信息包括目标业务服务器的addr_dest和port_dest。
步骤270、代理服务器将第一数据发送至该位置信息对应的目标业务服务器。
之后,目标业务服务器基于第一数据向代理服务器发送第二数据;
代理服务器向物联网设备发送第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,所述第二UDP报文包括目标业务服务器信息和第二数据,以完成本次UDP报文的转发。
进一步的,对于代理服务器的每个转发服务来说,转发服务绑定(bind)的端口套接字(socket)从业务服务器接收到的是一系列的第二UDP报文。每个转发服务可以通过以下两种方式对接收的第二UDP报文进行识别。
转发服务可以通过预先编写的代码来识别接收的所有的第二UDP报文的五元组,五元组包括协议类型,源地址,源端口,目的地址,目的端口,获取识别结果。其中,不同的五元组可确定不同DTLS连接。然后,将接收的报文按照识别结果,分配到不同的DTLS连接,也可以使用socket的SO_REUSEADDR和SO_REUSEPORT属性。具体为,转发服务对监听的端口进行bind操作前,需要设置socket的SO_REUSEADDR属性和/或SO_REUSEPORT属性,按照SO_REUSEADDR和/或SO_REUSEPORT的不同属性,将接收的报文分配到不同的DTLS连接。
需要说明的是,上述步骤250-步骤270为数据转发阶段。
进一步的,由于代理服务器的资源有限,若物联网设备长期不向代理服务器发送报文,或没有主动关闭DTLS连接,如通过Alert协议向代理服务器发送close关闭请求),则代理服务器可能认为物联网设备已断线,如掉电、重启等,从而自动关闭本次DTLS连接。
现有技术为了能够维持本次转发服务不关闭,通过发报文的方式检测代理服务器和/或物联网设备的状态,如Keepalives方式,Heartbeats方式,或者失效对等体检测(Deadpeer detection,DPD)方式。其中,Keepalives方式是通过双方定时收发HELLO和ACK来实现;Heartbeats方式是通过双方定时发送HELLO来实现;DPD方式是通过不定时的、只在有需要时发送接收R_U_THERE和ACK来实现。
与现有技术不同的是,本发明实施例不需要额外发送报文来维持本次转发服务不关闭,节省额外的代理步骤,降低了物联网设备和代理服务器的能量开销。
代理服务器的转发服务为每个物联网设备的DTLS连接安装了设置第一时间阈值的定时器,该第一时间阈值为代理服务器侧的DTLS连接的报文最大生存时间(MaximumSegment Lifetime,MSL),如第一时间阈值可以为10分钟。若10分钟内,转发服务没有收到物联网设备的UDP报文,则删除此DTLS连接,即关闭相应socket;若10分钟内,转发服务收到物联网设备的UDP报文,则重置该定时器,即定时器重新计时。
同时,物联网设备也可以为DTLS连接安装设置有第二时间阈值的定时器,该第二时间阈值为物联网设备侧的DTLS连接的MSL,如第二时间阈值可以为8分钟。若8分钟内,物联网设备没有收到转发服务的报文,则标记该DTLS连接失效,下次如果有待发送报文,则需重新发起DTLS连接建立流程。若8分钟内,收到来自转发服务的报文,则重置该定时器。
需要说明的是,假设上一轮收发中,代理服务器的转发服务发出的最后一个UDP报文经过1分钟才到达物联网设备,若两端设置同样的时间阈值,则在收到UDP报文后重新计时。此时物联网设备认为DTLS连接在之后的9分钟内还处于存活状态,即可以持续发报文,但是此时代理服务器已删除该DTLS连接,这时物联网设备如持续发报文,则会造成丢包,故考虑到网络延迟,设置第二时间阈值小于第一时间阈值。
同时,上述第一时间阈值和第二时间阈值均为DTLS连接的空闲保活时间,与上面所述的转发服务的有效时间不同,转发服务的有效时间可能持续几天或更多时间,但是DTLS连接的空闲保活时间可能只有几分钟,如果超出则物联网设备需要重新发起DTLS-PSK协商,重新建立DTLS连接。
与上述方法对应的,本发明实施例还提供一种UDP报文的转发方法。如图3所示,该方法可以包括:
步骤301、物联网设备向代理服务器发送注册请求。
步骤302、代理服务器基于注册请求,获取分配给该物联网设备的唯一的UTID标识。
步骤303、代理服务器向物联网设备发送该UTID标识,以及随机数。
代理服务器存储该随机数。
步骤304、物联网设备与代理服务器采用预设密码规则对该随机数进行运算获取派生密钥psk。
物联网设备与代理服务器分别采用相同的预设密码规则对该随机数进行运算获取根密钥,从而基于根密钥获取派生密钥psk,派生密钥psk用于后续的DTLS协商,也就是说,物联网设备与代理服务器中分别存储相同的派生密钥psk,且代理服务器存储的派生密钥psk与UTID标识一一对应。
步骤305、物联网设备采用预设密钥算法,对UTID标识和派生密钥进行运算,获取密钥认证码。
密钥认证码是哈希消息认证码,如HMAC-SHA256。
步骤306、物联网设备向代理服务器发送代理请求,代理请求包括UTID标识和密钥认证码。
步骤307、代理服务器验证接收的UTID标识和密钥认证码是否与存储的一致。
若一致,则执行步骤308;
若不一致,则执行步骤320。
步骤308、代理服务器向物联网设备发送转发服务的服务信息,服务信息包括IP地址、端口信息和转发服务的有效时间。
该有效时间为代理服务器提供转发服务的有效时间。
步骤309、物联网设备向代理服务器发送ClientHello消息,ClientHello消息包括至少一个密码套件。
步骤310、代理服务器从接收的至少一个密码套件中选取目标密码套件。
步骤311、代理服务器向物联网设备发送SeverHello消息,SeverHello消息包括从至少一个密码套件中选取的目标密码套件。
步骤312、物联网设备向代理服务器发送ClientKeyExchange消息,ClientKeyExchange消息包括UTID标识。
步骤313、代理服务器基于接收的UTID标识,向物联网设备发送Finished消息。
步骤314、物联网设备向代理服务器发送第一UDP报文。
其中,第一UDP报文是物联网设备采用目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,该位置信息包括目标IP地址(addr_dest)、目标端口信息(port_dest)。
步骤315、代理服务器基于目标密码套件,对第一UDP报文进行解密,得到目标业务服务器的位置信息和第一数据。
步骤316、代理服务器将第一数据发送至该位置信息对应的目标业务服务器。
步骤317、目标业务服务器基于第一数据向代理服务器发送第二数据。
步骤318、代理服务器基于第二数据,生成第二UDP报文。
第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器信息和第二数据。
步骤319、代理服务器向物联网设备发送第二UDP报文。
步骤320、代理服务器向物联网设备发送拒绝代理的响应。
可知,上述方法技术方案中物联网设备向代理服务器发送代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向物联网设备发送转发服务的服务信息;在接收到物联网设备发送的至少一个密码套件后,代理服务器向物联网设备发送选取的目标密码套件;物联网设备基于目标密码套件,向代理服务器发送的第一UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;代理服务器基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
与上述方法对应的,本发明实施例还提供一种转发装置,如图4所示,该终端包括:接收单元410、发送单元420和解密单元430;
接收单元410,用于接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,所述密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;
发送单元420,用于当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件;
接收单元410,还用于接收物联网设备基于服务信息发送的第一用户数据报协议UDP报文,第一UDP报文是物联网设备采用目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
解密单元430,用于基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据;
发送单元420,还用于将第一数据发送至位置信息对应的目标业务服务器。
在一个可选的实现中,该装置还可以包括:获取单元440;
获取单元440,用于在接收物联网设备发送的代理请求之前,基于物联网设备发送的注册请求,获取派生密钥和分配给物联网设备的标识;
发送单元420,还用于向物联网设备发送所述标识。
在一个可选的实现中,接收单元410,还用于在将第一数据发送至目标业务服务信息对应的目标业务服务器之后,接收目标业务服务器基于第一数据发送的第二数据;
发送单元420,还用于向物联网设备发送第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据。
在一个可选的实现中,该装置还可以包括:选取单元450;
接收单元410,还用于接收物联网设备发送至少一个密码套件;
选取单元450,用于从至少一个密码套件中选取的目标密码套件;
发送单元420,还用于向物联网设备发送目标密码套件,以建立DTLS连接。
在一个可选的实现中,该装置还可以包括:设置单元460和计时单元470;
设置单元460,用于对与物联网设备建立的DTLS连接设置第一时间阈值,第一时间阈值为DTLS连接在代理服务器侧的空闲保活时间;
计时单元470,用于在接收到所述物联网设备发送的第一UDP报文之后,重新对DTLS连接的第一时间阈值进行计时。
在一个可选的实现中,发送单元420,还用于向至少一个物联网设备发送转发服务的服务信息,服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
由此可知,上述的转发装置接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,向物联网设备发送转发服务的服务信息;在接收到物联网设备发送的至少一个密码套件后,向物联网设备发送选取的目标密码套件,以使物联网设备基于目标密码套件,向该转发装置发送的第一UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;之后基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
与上述方法对应的,本发明实施例还提供另一种转发装置,如图5所示,该定位服务装置包括:发送单元510、接收单元520和加密单元530。
发送单元510,用于向代理服务器发送代理请求,代理请求包括标识和密钥认证码,密钥认证码是采用预设密钥算法,对标识和派生密钥进行运算获取的,标识是所述代理服务器分配的;
接收单元520,用于接收代理服务器根据标识和所述密钥认证码发送的转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
发送单元510,还用于基于向代理服务器发送至少一个密码套件,获取所述代理服务器从至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
加密单元530,用于采用目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
发送单元510,还用于基于服务信息,向代理服务器发送第一UDP报文。
在一个可选的实现中,发送单元510,还用于在向代理服务器发送代理请求之前,向代理服务器发送注册请求;
接收单元520,还用于接收代理服务器基于注册请求发送的标识。
在一个可选的实现中,接收单元520,还用于在向代理服务器发送第一UDP报文之后,接收代理服务器发送的第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据,第二数据为所述目标业务服务器基于第一数据发送的数据。
在一个可选的实现中,该装置还可以包括:设置单元540和计时单元550;
设置单元540,用于对与所述代理服务器建立的DTLS连接设置第二时间阈值,第二时间阈值为DTLS连接在物联网设备侧的空闲保活时间;
计时单元550,用于在接收代理服务器发送的第二UDP报文之后,重新对DTLS连接的第二时间阈值进行计时。
在一个可选的实现中,服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
由此可知,上述的转发装置向代理服务器发送代理请求,代理请求包括转发装置的标识和密钥认证码,密钥认证码是转发装置采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向转发装置发送转发服务的服务信息;代理服务器在接收到转发装置发送的至少一个密码套件后,代理服务器向转发装置发送选取的目标密码套件;转发装置基于目标密码套件,向代理服务器发送的第一UDP报文,第一UDP报文是转发装置采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;代理服务器基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
本发明实施例还提供了一种代理服务器,如图6所示,包括处理器610、通信接口620、存储器630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。
存储器630,用于存放计算机程序;
处理器610,用于执行存储器630上所存放的程序时,实现如下步骤:
接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;
当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件;
接收物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据;
将第一数据发送至位置信息对应的目标业务服务器。
可选地,接收物联网设备发送的代理请求之前,该方法还可以包括:
基于物联网设备发送的注册请求,获取派生密钥和分配给物联网设备的标识;
向物联网设备发送标识。
可选地,将第一数据发送至目标业务服务信息对应的目标业务服务器之后,该方法还可以包括:
接收目标业务服务器基于第一数据发送的第二数据;
向物联网设备发送第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据。
可选地,基于物联网设备发送的至少一个密码套件,向物联网设备发送目标密码套件,包括:接收物联网设备发送至少一个密码套件;
从至少一个密码套件中选取的目标密码套件;
向物联网设备发送目标密码套件,以建立DTLS连接。
可选地,对与物联网设备建立的DTLS连接设置第一时间阈值,第一时间阈值为DTLS连接在代理服务器侧的空闲保活时间;
在接收到物联网设备发送的第一UDP报文之后,重新对DTLS连接的第一时间阈值进行计时。
可选地,当物联网设备的数量为至少一个时,向物联网设备发送转发服务的服务信息,服务信息包括IP地址和端口信息和有效时间,包括:
向至少一个物联网设备发送转发服务的服务信息,服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。由此可知,上述代理服务器接收物联网设备发送的代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向物联网设备发送转发服务的服务信息;在接收到物联网设备发送的至少一个密码套件后,代理服务器向物联网设备发送选取的目标密码套件;物联网设备基于目标密码套件,向代理服务器发送的第一UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;代理服务器基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
本发明实施例还提供了一种物联网设备,如图7所示,包括处理器710、通信接口720、存储器730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。
存储器730,用于存放计算机程序;
处理器710,用于执行存储器730上所存放的程序时,实现如下步骤:
向代理服务器发送代理请求,代理请求包括标识和密钥认证码,密钥认证码是采用预设密钥算法,对标识和派生密钥进行运算获取的,标识是所述代理服务器分配的;
接收代理服务器根据所述标识和密钥认证码发送的转发服务的服务信息,服务信息包括IP地址、端口信息和有效时间;
基于向代理服务器发送至少一个密码套件,获取代理服务器从至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
采用目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;
基于服务信息,向代理服务器发送第一UDP报文。
可选地,向代理服务器发送代理请求之前,该方法还可以包括:
向代理服务器发送注册请求;
接收所述代理服务器基于注册请求发送的标识。
可选地,向代理服务器发送第一UDP报文之后,接收代理服务器发送的第二UDP报文,第二UDP报文是采用预设密码套件,对待发送UDP报文进行加密得到的,第二UDP报文包括目标业务服务器的位置信息和第二数据,第二数据为目标业务服务器基于第一数据发送的数据。
可选地,对与代理服务器建立的DTLS连接设置第二时间阈值,第二时间阈值为DTLS连接在物联网设备侧的空闲保活时间;
在接收代理服务器发送的第二UDP报文之后,重新对DTLS连接的第二时间阈值进行计时。
可选地,服务信息可以包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由此可知,上述物联网设备向代理服务器发送代理请求,代理请求包括物联网设备的标识和密钥认证码,密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的;当接收的标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的密钥认证码一致时,代理服务器向物联网设备发送转发服务的服务信息;在接收到物联网设备发送的至少一个密码套件后,代理服务器向物联网设备发送选取的目标密码套件;物联网设备基于目标密码套件,向代理服务器发送的第一UDP报文,第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,第一UDP报文包括目标业务服务器的位置信息和第一数据,位置信息包括目标IP地址、目标端口信息;代理服务器基于目标密码套件,对第一UDP报文进行解密,得到位置信息和第一数据,并将第一数据发送至位置信息对应的目标业务服务器,实现了完全基于UDP协议进行UDP报文的转发,且提高了UDP报文的安全性。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的转发方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的转发方法。
本领域内的技术人员应明白,本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样,倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内,则本申请实施例中也意图包含这些改动和变型在内。

Claims (25)

1.一种用户数据报协议报文的转发方法,其特征在于,所述方法包括:
接收物联网设备发送的代理请求,所述代理请求包括所述物联网设备的标识和密钥认证码,所述密钥认证码是所述物联网设备采用预设密钥算法对派生密钥进行运算获取的;
当接收的所述标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的所述密钥认证码一致时,向所述物联网设备发送转发服务的服务信息,所述服务信息包括IP地址、端口信息和有效时间;
基于所述物联网设备发送的至少一个密码套件,向所述物联网设备发送目标密码套件;
接收所述物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文,所述第一UDP报文是所述物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,所述位置信息包括目标IP地址、目标端口信息;
基于所述目标密码套件,对所述第一UDP报文进行解密,得到所述位置信息和所述第一数据;
将所述第一数据发送至所述位置信息对应的目标业务服务器。
2.如权利要求1所述的方法,其特征在于,接收物联网设备发送的代理请求之前,所述方法还包括:
基于物联网设备发送的注册请求,获取派生密钥和分配给所述物联网设备的标识;
向所述物联网设备发送所述标识。
3.如权利要求1或2所述的方法,其特征在于,将所述第一数据发送至所述目标业务服务信息对应的目标业务服务器之后,所述方法还包括:
接收所述目标业务服务器基于所述第一数据发送的第二数据;
向所述物联网设备发送第二UDP报文,所述第二UDP报文是采用所述预设密码套件,对待发送UDP报文进行加密得到的,所述第二UDP报文包括所述目标业务服务器的位置信息和所述第二数据。
4.如权利要求1所述的方法,其特征在于,基于所述物联网设备发送的至少一个密码套件,向所述物联网设备发送目标密码套件,包括:
接收所述物联网设备发送至少一个密码套件;
从所述至少一个密码套件中选取的目标密码套件;
向所述物联网设备发送所述目标密码套件,以建立数据包传输层安全性协议DTLS连接。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
对与所述物联网设备建立的DTLS连接设置第一时间阈值,所述第一时间阈值为所述DTLS连接在所述代理服务器侧的空闲保活时间;
在接收到所述物联网设备发送的第一UDP报文之后,重新对所述DTLS连接的所述第一时间阈值进行计时。
6.如权利要求1所述的方法,其特征在于,当所述物联网设备的数量为至少一个时,所述向所述物联网设备发送转发服务的服务信息,所述服务信息包括IP地址和端口信息和有效时间,包括:
向所述至少一个物联网设备发送转发服务的服务信息,所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
7.一种用户数据报协议报文的转发方法,其特征在于,所述方法包括:
向代理服务器发送代理请求,所述代理请求包括标识和密钥认证码,所述密钥认证码是采用预设密钥算法,对所述标识和派生密钥进行运算获取的,所述标识是所述代理服务器分配的;
接收所述代理服务器根据所述标识和所述密钥认证码发送的转发服务的服务信息,所述服务信息包括IP地址、端口信息和有效时间;
基于向所述代理服务器发送至少一个密码套件,获取所述代理服务器从所述至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
采用所述目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,所述位置信息包括目标IP地址、目标端口信息;
基于所述服务信息,向所述代理服务器发送第一UDP报文。
8.如权利要求7所述的方法,其特征在于,向代理服务器发送代理请求之前,所述方法还包括:
向代理服务器发送注册请求;
接收所述代理服务器基于所述注册请求发送的标识。
9.如权利要求7或8所述的方法,其特征在于,向所述代理服务器发送第一UDP报文之后,所述方法还包括:
接收所述代理服务器发送的第二UDP报文,所述第二UDP报文是采用所述预设密码套件,对待发送UDP报文进行加密得到的,所述第二UDP报文包括所述目标业务服务器的位置信息和第二数据,所述第二数据为所述目标业务服务器基于所述第一数据发送的数据。
10.如权利要求7所述的方法,其特征在于,所述方法还包括:
对与所述代理服务器建立的DTLS连接设置第二时间阈值,所述第二时间阈值为所述DTLS连接在物联网设备侧的空闲保活时间;
在接收所述代理服务器发送的第二UDP报文之后,重新对所述DTLS连接的所述第二时间阈值进行计时。
11.如权利要求7所述的方法,其特征在于,所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
12.一种转发装置,其特征在于,所述装置包括:
接收单元,用于接收物联网设备发送的代理请求,所述代理请求包括所述物联网设备的标识和密钥认证码,所述密钥认证码是所述物联网设备采用预设密钥算法对派生密钥进行运算获取的;
发送单元,用于当接收的所述标识与存储的标识一致,且存储的标识对应的密钥认证码与接收的所述密钥认证码一致时,向所述物联网设备发送转发服务的服务信息,所述服务信息包括IP地址、端口信息和有效时间;
基于所述物联网设备发送的至少一个密码套件,向所述物联网设备发送目标密码套件;
所述接收单元,还用于接收所述物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文,所述第一UDP报文是所述物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,所述位置信息包括目标IP地址、目标端口信息;
解密单元,用于基于所述目标密码套件,对所述第一UDP报文进行解密,得到所述位置信息和所述第一数据;
所述发送单元,还用于将所述第一数据发送至所述位置信息对应的目标业务服务器。
13.如权利要求12所述的装置,其特征在于,所述装置还包括:获取单元;
所述获取单元,用于在接收物联网设备发送的代理请求之前,基于物联网设备发送的注册请求,获取派生密钥和分配给所述物联网设备的标识;
所述发送单元,还用于向所述物联网设备发送所述标识。
14.如权利要求12或13所述的装置,其特征在于,
所述接收单元,还用于在将所述第一数据发送至所述目标业务服务信息对应的目标业务服务器之后,接收所述目标业务服务器基于所述第一数据发送的第二数据;
所述发送单元,还用于向所述物联网设备发送第二UDP报文,所述第二UDP报文是采用所述预设密码套件,对待发送UDP报文进行加密得到的,所述第二UDP报文包括所述目标业务服务器的位置信息和所述第二数据。
15.如权利要求12所述的装置,其特征在于,所述装置还包括:选取单元;
所述接收单元,还用于接收所述物联网设备发送至少一个密码套件;
所述选取单元,用于从所述至少一个密码套件中选取的目标密码套件;
所述发送单元,还用于向所述物联网设备发送所述目标密码套件,以建立DTLS连接。
16.如权利要求15所述的装置,其特征在于,所述装置还包括:设置单元和计时单元;
所述设置单元,用于对与所述物联网设备建立的DTLS连接设置第一时间阈值,所述第一时间阈值为所述DTLS连接在所述代理服务器侧的空闲保活时间;
所述计时单元,用于在接收到所述物联网设备发送的第一UDP报文之后,重新对所述DTLS连接的所述第一时间阈值进行计时。
17.如权利要求12所述的装置,其特征在于,所述发送单元,还用于向所述至少一个物联网设备发送转发服务的服务信息,所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
18.一种转发装置,其特征在于,所述装置包括:
发送单元,用于向代理服务器发送代理请求,所述代理请求包括标识和密钥认证码,所述密钥认证码是采用预设密钥算法,对所述标识和派生密钥进行运算获取的,所述标识是所述代理服务器分配的;
接收单元,用于接收所述代理服务器根据所述标识和所述密钥认证码发送的转发服务的服务信息,所述服务信息包括IP地址、端口信息和有效时间;
所述发送单元,还用于基于向所述代理服务器发送至少一个密码套件,获取所述代理服务器从所述至少一个密码套件中选取的目标密码套件,以建立DTLS连接;
加密单元,用于采用所述目标密码套件,对待发送UDP报文进行加密,得到第一UDP报文,所述第一UDP报文包括目标业务服务器的位置信息和第一数据,所述位置信息包括目标IP地址、目标端口信息;
所述发送单元,还用于基于所述服务信息,向所述代理服务器发送第一UDP报文。
19.如权利要求18所述的装置,其特征在于,
所述发送单元,还用于在向代理服务器发送代理请求之前,向代理服务器发送注册请求;
所述接收单元,还用于接收所述代理服务器基于所述注册请求发送的标识。
20.如权利要求18或19所述的装置,其特征在于,
所述接收单元,还用于在向所述代理服务器发送第一UDP报文之后,接收所述代理服务器发送的第二UDP报文,所述第二UDP报文是采用所述预设密码套件,对待发送UDP报文进行加密得到的,所述第二UDP报文包括所述目标业务服务器的位置信息和第二数据,所述第二数据为所述目标业务服务器基于所述第一数据发送的数据。
21.如权利要求18所述的装置,其特征在于,所述装置还包括:设置单元和计时单元;
所述设置单元,用于对与所述代理服务器建立的DTLS连接设置第二时间阈值,所述第二时间阈值为所述DTLS连接在物联网设备侧的空闲保活时间;
所述计时单元,用于在接收所述代理服务器发送的第二UDP报文之后,重新对所述DTLS连接的所述第二时间阈值进行计时。
22.如权利要求18所 述的装置,其特征在于,所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。
23.一种代理服务器,其特征在于,所述代理服务器包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-6任一所述的方法步骤。
24.一种物联网设备,其特征在于,所述物联网设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求7-11任一所述的方法步骤。
25.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤,或实现权利要求7-11任一所述的方法步骤。
CN201810762990.0A 2018-07-12 2018-07-12 用户数据报协议报文的转发方法及装置 Active CN110719248B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810762990.0A CN110719248B (zh) 2018-07-12 2018-07-12 用户数据报协议报文的转发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810762990.0A CN110719248B (zh) 2018-07-12 2018-07-12 用户数据报协议报文的转发方法及装置

Publications (2)

Publication Number Publication Date
CN110719248A CN110719248A (zh) 2020-01-21
CN110719248B true CN110719248B (zh) 2021-08-17

Family

ID=69208347

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810762990.0A Active CN110719248B (zh) 2018-07-12 2018-07-12 用户数据报协议报文的转发方法及装置

Country Status (1)

Country Link
CN (1) CN110719248B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113630370B (zh) * 2020-05-08 2023-03-31 许继集团有限公司 基于stm32和物联网通信模块的通讯系统及改进型mqtt通讯方法
CN113965425B (zh) * 2020-07-01 2023-07-18 珠海优特智厨科技有限公司 物联网设备的接入方法、装置、设备及计算机可读存储介质
CN112261094B (zh) * 2020-10-10 2023-07-21 厦门网宿有限公司 一种报文处理方法及代理服务器
CN113992427B (zh) * 2020-12-23 2023-08-25 技象科技(南京)有限公司 基于相邻节点的数据加密发送方法及装置
CN112887450B (zh) * 2021-02-20 2023-03-24 厦门熵基科技有限公司 一种物联网设备的通讯地址配置方法和装置
CN113364729B (zh) * 2021-04-07 2023-11-21 苏州瑞立思科技有限公司 一种基于udp代理协议的用户认证方法
CN115514509A (zh) * 2021-06-23 2022-12-23 中移物联网有限公司 信息传输方法、装置、电子设备和可读存储介质
CN113434885B (zh) * 2021-06-30 2022-12-09 湖南国科微电子股份有限公司 一种密钥派生方法、装置、设备及存储介质
CN114285673B (zh) * 2022-03-03 2022-05-31 深圳信可通讯技术有限公司 一种基于at指令的远程终端控制方法及系统
WO2023184264A1 (zh) * 2022-03-30 2023-10-05 北京小米移动软件有限公司 一种流量代理方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871918A (zh) * 2016-06-08 2016-08-17 美的集团股份有限公司 家电设备及其与云服务器的通讯系统及方法、云服务器
CN106453269A (zh) * 2016-09-21 2017-02-22 东软集团股份有限公司 车联网安全通信方法、车载终端、服务器及系统
CN107147611A (zh) * 2016-03-01 2017-09-08 华为技术有限公司 传输层安全tls建链的方法、用户设备、服务器和系统
CN107426722A (zh) * 2016-05-23 2017-12-01 北京京东尚科信息技术有限公司 接入方法、智能设备、配置服务器和认证服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2903204A1 (en) * 2014-02-03 2015-08-05 Tata Consultancy Services Limited A computer implemented system and method for lightweight authentication on datagram transport for internet of things

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107147611A (zh) * 2016-03-01 2017-09-08 华为技术有限公司 传输层安全tls建链的方法、用户设备、服务器和系统
CN107426722A (zh) * 2016-05-23 2017-12-01 北京京东尚科信息技术有限公司 接入方法、智能设备、配置服务器和认证服务器
CN105871918A (zh) * 2016-06-08 2016-08-17 美的集团股份有限公司 家电设备及其与云服务器的通讯系统及方法、云服务器
CN106453269A (zh) * 2016-09-21 2017-02-22 东软集团股份有限公司 车联网安全通信方法、车载终端、服务器及系统

Also Published As

Publication number Publication date
CN110719248A (zh) 2020-01-21

Similar Documents

Publication Publication Date Title
CN110719248B (zh) 用户数据报协议报文的转发方法及装置
CN110190955B (zh) 基于安全套接层协议认证的信息处理方法及装置
US8788805B2 (en) Application-level service access to encrypted data streams
US20200007507A1 (en) Internet Protocol Security Tunnel Maintenance Method, Apparatus, and System
US20130179678A1 (en) Stateless Cryptographic Protocol-based Hardware Acceleration
US11736304B2 (en) Secure authentication of remote equipment
WO2017215582A1 (zh) 加密内容检测的方法和设备
EP3687138A1 (en) Granular offloading of a proxied secure session
CN108075890A (zh) 数据发送端、数据接收端、数据传输方法及系统
CN106788989B (zh) 一种建立安全加密信道的方法及设备
Petullo et al. MinimaLT: minimal-latency networking through better security
EP3633949A1 (en) Method and system for performing ssl handshake
Lavanya et al. Lightweight key agreement protocol for IoT based on IKEv2
WO2017031691A1 (zh) 业务处理方法及装置
US9787651B2 (en) Method and device for establishing session keys
US10291600B2 (en) Synchronizing secure session keys
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US10015208B2 (en) Single proxies in secure communication using service function chaining
CN110832806B (zh) 针对面向身份的网络的基于id的数据面安全
WO2020176021A1 (en) Automatic distribution of dynamic host configuration protocol (dhcp) keys via link layer discovery protocol (lldp)
CA3082084A1 (en) Secure cloud communication architecture
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
CN115766119A (zh) 通信方法、装置、通信系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant