CN111416791B - 数据传输方法、设备与系统 - Google Patents

数据传输方法、设备与系统 Download PDF

Info

Publication number
CN111416791B
CN111416791B CN201910009031.6A CN201910009031A CN111416791B CN 111416791 B CN111416791 B CN 111416791B CN 201910009031 A CN201910009031 A CN 201910009031A CN 111416791 B CN111416791 B CN 111416791B
Authority
CN
China
Prior art keywords
iot
data transmission
data packet
iot device
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910009031.6A
Other languages
English (en)
Other versions
CN111416791A (zh
Inventor
王东晖
李鸿培
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910009031.6A priority Critical patent/CN111416791B/zh
Priority to PCT/CN2019/129237 priority patent/WO2020140842A1/zh
Publication of CN111416791A publication Critical patent/CN111416791A/zh
Priority to US17/139,581 priority patent/US11652910B2/en
Application granted granted Critical
Publication of CN111416791B publication Critical patent/CN111416791B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Abstract

本申请实施例提供一种数据传输方法、设备与系统,该方法包括:接收外部网络设备发送的第一数据包;利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;若验证通过,将所述第一数据包发送给物联网IoT设备。本申请实施例所提供的技术方案能够降低物联网中IoT设备的存储开销与计算开销,从而,实现IoT设备与外部网络设备之间端到端的安全通信,提高通信系统的安全性。

Description

数据传输方法、设备与系统
技术领域
本申请涉及通信技术领域,特别涉及数据传输方法、设备与系统。
背景技术
随着物联网技术的发展和普及,万物互联的物联网(Internet of Things,IOT)应用,已经逐步深入到交通、电力、家庭、工业等关系到人的生命安全和国家安全的领域。在物联网领域,通信安全至关重要。
目前,为实现物联网中端到端的安全通信,现有技术中一般通过引入更高层的安全协议来保障端到端的安全传输,如网络层安全协议(IP security,IPsec)等。当采用IPsec协议实现端到端的安全传输时,发送端与接收端各自在本地存储有二者协商好的一对密钥,发送端与接收端之间需要依据这一对密钥来实现对传输数据的来源验证和去向验证,以保障端到端的安全通信。而随着网络的不断延伸,每个收发节点都需要与其他多个收发节点进行通信,为了保障端到端的安全通信,收发节点需要在本地存储自身与其他各节点之间的密钥,导致收发节点具备较高的存储开销;且由于在数据收发过程中,均需要利用密钥进行验证,又导致收发节点具备较高的计算开销。换言之,现有的IPsec协议对收发节点的存储能力和计算能力均有较高要求。
但是,物联网中存在部分对计算和存储敏感的设备,这部分设备难以适应现有的IPsec协议中对存储能力及计算能力的较高要求,因而,难以保证端到端的安全通信,存在较大的安全风险。
发明内容
本申请提供了一种数据传输方法、设备与系统,以期降低物联网中IoT设备的存储开销与计算开销,从而,实现IoT设备与外部网络设备之间端到端的安全通信,提高通信系统的安全性。
第一方面,本申请提供了一种数据传输方法,该方法包括:接收外部网络设备发送的第一数据包;利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;若验证通过,将所述第一数据包发送给物联网IoT设备。其中,在该实现场景中,所述第一SA用于进行AH包头验证。通过本实施例提供的方案,数据传输设备分担了IoT设备进行AH包头验证的工作,降低了IoT设备的计算开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述将所述第一数据包发送给物联网IoT设备,包括:去除所述第一数据包的所述AH包头;将去除所述AH包头后的第一数据包发送给所述IoT设备。通过本实施例提供的方案,避免IoT设备重复验证AH包头的动作,进一步降低IOT设备的计算开销。
在一种可能的设计中,所述方法还包括:将第二SA发送至所述IoT设备,以使得所述IoT设备利用所述第二SA解析所述第一数据包。其中,在该实现场景中,所述第二SA用于解析第一数据包。也就是,数据传输设备承担了SA的存储工作,IoT设备需要根据数据传输设备发送的第二SA实现对数据包的解析,降低了IoT设备的存储开销,实现了轻量级的端到端的安全传输。
第二方面,本申请提供了一种数据传输方法,该方法包括:接收外部网络设备发送的第一数据包;将所述第一数据包与第二SA发送给物联网IoT设备,以使得所述IoT设备根据所述第二SA解析所述第一数据包。在该实现场景中,所述第二SA用于解析第一数据包。通过本实施例提供的方案,数据传输设备承担了SA的存储工作,IoT设备需要根据数据传输设备发送的第二SA实现对数据包的解析,降低了IoT设备的存储开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述第一数据包为利用第一SA进行AH包头的验证通过后发送的;其中,在该实现场景中,所述第一SA用于进行AH包头验证。通过本实施例提供的方案,数据传输设备分担了IoT设备进行AH包头验证的工作,降低了IoT设备的计算开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述第一数据包为利用第一SA进行AH包头的验证通过,并去除所述AH包头后发送的。通过本实施例提供的方案,避免IoT设备重复验证AH包头的动作,进一步降低IOT设备的计算开销。
第三方面,本申请提供了一种数据传输方法,该方法包括:接收物联网IoT设备发送的第二数据包;利用第一SA对所述第二数据包进行头验证AH包头的封装;将封装后的第二数据包发送给外部网络设备。其中,在该实现场景中,所述第一SA用于提供AH包头验证的依据。通过本实施例提供的方案,数据传输设备分担了IoT设备进行AH包头封装的工作,降低了IoT设备的计算开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述第二数据包为所述IoT设备利用第二SA封装后发送的。其中,在该实现场景中,所述第二SA用于加密封装第二数据包。也就是,在发送数据时,同时利用第一SA和第二SA对第二数据包进行处理,有利于进一步提高第二数据包在IoT设备与外部网络设备之间传输的安全性。
在一种可能的设计中,所述方法还包括:接收所述IoT设备发送的第二SA获取请求;将所述第二SA发送至所述IoT设备。也就是,数据传输设备承担了SA的存储工作,IoT设备需要根据数据传输设备发送的第二SA实现对数据包的封装,降低了IoT设备的存储开销,实现了轻量级的端到端的安全传输。
第四方面,本申请提供了一种数据传输方法,该方法包括:接收物联网IoT设备发送的第二数据包,所述第二数据包为所述IoT设备利用第二SA封装后发送的;将所述第二数据包发送给外部网络设备。其中,在该实现场景中,所述第二SA用于加密封装第二数据包。也就是,数据传输设备承担了SA的存储工作,IoT设备需要根据数据传输设备发送的第二SA实现对数据包的封装,降低了IoT设备的存储开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述将所述第二数据包发送给外部网络设备,包括:利用第一SA对所述第二数据包进行头验证AH包头的封装;将封装后的第二数据包发送给外部网络设备。在该实现场景中,所述第一SA用于为接收端进行AH包头验证提供依据。数据传输设备分担了IoT设备进行AH包头封装的工作,降低了IoT设备的计算开销,实现了轻量级的端到端的安全传输。
在一种可能的设计中,所述方法还包括:接收所述IoT设备发送的第二SA获取请求;将所述第二SA发送至所述IoT设备。
如第一方面至第四方面及上述任一可能的实现方式,进一步提供一种实现方式,所述方法还包括:接收所述IoT设备发送的第一SA与第二SA;存储所述第一SA与所述第二SA。通过本实施例提供的方案,数据传输设备承担IoT设备的存储工作,降低其存储开销。
如第一方面至第四方面及上述任一可能的实现方式,进一步提供一种实现方式,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的。也就是,通过自动协商的方式确定SA,降低人工维护成本。
如第一方面至第四方面及上述任一可能的实现方式,进一步提供一种实现方式,所述存储所述第一SA与所述第二SA,包括:将所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应存储。这种实现方式有利于同时集中地存储多个IoT设备与多个外部网络设备的SA,有利于降低系统复杂度与维护成本。
如第一方面至第四方面及上述任一可能的实现方式,进一步提供一种实现方式,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。也就是,IoT设备的计算开销和存储开销可以由不同的设备分担,降低了对数据传输设备的存储要求,便于扩展和应用,灵活性较高。
如第一方面至第四方面及上述任一可能的实现方式,进一步提供一种实现方式,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。通过该设计,可以使得数据传输设备无法在转发数据包时,获取到数据包中传输的明文,从而,有利于提高端到端的安全传输。
第五方面,本申请提供了一种数据传输设备,包括:用于实现上述第一至第四任一方面的数据传输方法的模块,部件或者电路。
第六方面,本申请提供一种数据传输设备,包括:存储器、处理器与收发器;所述处理器用于执行如上所述第一方面、第二方面、第三方面或第四方面所述的数据传输方法;收发器用于与其他设备进行交互。
在一种可能的设计中,第五方面或者第六方面中的数据传输设备为外部网络与IoT网络之间的网关设备;或者,为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
第七方面,本申请提供了一种IoT设备,包括:用于实现与上述第一至第四任一方面所述的数据传输方法相对应的数据传输方法的模块,部件或者电路。
第八方面,本申请提供一种IoT设备,包括:存储器、处理器与收发器;所述处理器用于执行如上所述第一方面、第二方面、第三方面或第四方面所述的数据传输方法相对应的数据传输方法;收发器用于与其他设备进行交互。
在一种可能的设计中,第七方面或者第八方面中的IoT设备可以为无线个域网中的终端设备。
第九方面,本申请提供了一种数据传输系统,包括:如第五方面或第六方面任一项所述的数据传输设备与如第七方面或第八方面任一项所述的IoT设备。
第十方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行如第一方面、第二方面、第三方面或第四方面所述的方法。
第十一方面,本申请提供一种计算机程序,当所述计算机程序被计算机执行时,用于执行第一方面、第二方面、第三方面或第四方面所述的方法。
第十二方面,本申请提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行如第一方面、第二方面、第三方面或第四方面所述的数据传输方法相对应的数据传输方法。
第十三方面,本申请提供一种计算机程序,当所述计算机程序被计算机执行时,用于执行第一方面、第二方面、第三方面或第四方面所述的数据传输方法相对应的数据传输方法。
在一种可能的设计中,第十二方面或第十四方面中的程序可以全部或者部分存储在与处理器封装在一起的存储介质上,也可以部分或者全部存储在不与处理器封装在一起的存储器上。
附图说明
图1为本申请实施例提供的IoT网络场景的示意图;
图2为本申请提供的利用第一SA实现报文加密的过程示意图;
图3为本申请提供的利用第二SA实现报文加密的过程示意图;
图4为本申请提供的一种数据传输系统的架构示意图;
图5为本申请提供的另一数据传输系统的架构示意图;
图6为本申请提供的第一SA与第二SA的存储方式示意图;
图7为本申请提供的另一数据传输系统的架构示意图;
图8为本申请实施例提供的一种数据传输方法的交互流程示意图;
图9为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图10为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图11为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图12为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图13为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图14为本申请实施例提供的另一种数据传输方法的交互流程示意图;
图15为本申请实施例中图7所示系统架构下图10所示方案的实现流程示意图;
图16为本申请实施例中图7所示系统架构下图13所示方案的实现流程示意图;
图17为本申请实施例提供的一种数据传输设备的结构示意图;
图18为本申请实施例提供的一种IoT设备的结构示意图;
图19为本申请实施例提供的另一种数据传输设备的结构示意图;
图20为本申请实施例提供的另一种数据传输设备的结构示意图;
图21为本申请实施例提供的另一种数据传输设备的结构示意图;
图22为本申请实施例提供的另一种数据传输设备的结构示意图;
图23为本申请实施例提供的另一种IoT设备的结构示意图;
图24为本申请实施例提供的另一种IoT设备的结构示意图;
图25为本申请实施例提供的另一种IoT设备的结构示意图;
图26为本申请实施例提供的另一种IoT设备的结构示意图;
图27为本申请实施例提供的一种数据传输系统的结构示意图;
图28为本申请实施例提供的另一种数据传输系统的结构示意图;
图29为本申请实施例提供的另一种数据传输系统的结构示意图;
图30为本申请实施例提供的另一种数据传输系统的结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
本申请实施例可应用于各种类型的IoT网络场景。图1示出了本申请实施例所提供的IoT网络场景的示意图。如图1所示,IoT网络具备众多的网络场景,如图1示出的移动蜂窝网络、低功耗广域网、无线个域网、无线局域网以及低功耗无线保真(Wireless-Fidelity,WIFI)网络。如图1所示,各IoT网络的传输速度和可传输范围均不同,且各IoT网络场景采用不同的无线协议进行网络传输。
基于各IoT网络场景所采用的传输协议不同,在进行数据传输过程中,各网络场景采用不同的安全协议以进行数据传输。其中,IPsec协议作为一种端到端的安全协议,受到较多关注。
IPsec协议是一套复杂的协议族,包括:密钥协商(Internet Key Exange,IKE)协议、头验证(Authentication Header,AH)协议和用于保障数据完整性和机密性的封装安全载荷(Encapsulate Security Payload,ESP)协议等。在具体通过IPsec协议实现端到端的安全传输过程中,可通过IKE协议协商或手动配置的方式生成安全关联(SecurityAssociation,SA)。其中,基于不同的协议,可以得到不同的SA。
具体而言,可以包括如下两种情况:由AH协议、数据包的对端地址以及安全参数索引(Security Parameter Index,SPI)可以获取到唯一的一个SA,本申请实施例简称之为第一SA,第一SA用于实现AH包头的验证;以及,由ESP协议、数据包的对端地址以及SPI也可以获取到唯一的一个SA,本申请实施例简称之为第二SA,第二SA用于加密封装或解析报文。无论依据何种协议,得到的SA中包含安全传输过程所需要的密钥与解密或加密算法等信息,SA一般被保存在安全协议数据库(Security Policy Database,SPD)与安全关联数据库(Security Association Database,SAD)中,其中,SPD用于存放IPsec的通信规则,SAD用于存放IPsec的通信规则所使用到的参数。
需要说明的是,尽管在本申请实施例中可能采用术语第一、第二、第三等来描述SA等,但这些SA不应限于这些术语。这些术语仅用来将SA彼此区分开。例如,在不脱离本申请实施例范围的情况下,第一SA也可以被称为第二SA,类似地,第二SA也可以被称为第一SA。
而通过IPsec协议实现端到端的安全传输时,可通过第一SA和/或第二SA实现。此时,可参考图2和图3,图2示出了利用第一SA实现AH包头的验证过程,图3示出了利用第二SA实现报文加密的过程。
如图2所示,当发送端需要发送IP报文(包括IP头和IP数据)时,可利用与接收端协商好的第一SA对其进行处理,以得到一个加密的哈希值,作为AH认证头摘要(AH包头),并将该AH认证头摘要添加在IP报文的包头后,并发送该IP数据包。与之相对的,接收端在接收到该IP数据包之后,可验证该数据包的AH认证头摘要(也就是AH包头),从而,若接收端能够利用与发送端协商好的第一SA对该AH包头解密,即可确认该IP数据包来自于前述发送端,从而,实现发送端与接收端之间的安全传输。
如图3所示,当发送端需要发送IP报文(包括IP头和IP数据)时,可利用与接收端协商好的第二SA对IP报文中的数据部分进行加密处理,将IP数据由明文转换为密文,再利用摘要算法对ESP头和得到的密文进行加密,得到ESP摘要,从而,将ESP头、加密后的IP数据以及ESP摘要添加在该IP数据包中,并发送该IP数据包。与之相对的,接收端在接收到该IP数据包之后,若能够利用与发送端协商好的第二SA解密其中的密文,则可确认该接收端是发送端发送该IP报文的目标接收端,从而,实现发送端与接收端之间的安全传输。
通过图2与图3所述方案可知,在通过IPsec协议实现端到端的安全传输时,发送端与接收端之间至少需要存储二者协商好或配置好的一对SA(第一SA和第二SA),并且,还需要在发送数据包或接收数据包时,根据SA对数据包进行相应的数据处理,对发送端和接收端之间的存储能力和计算能力均有较高要求。
但是,在IoT网络中,存在部分功耗敏感型设备,例如,一些智能家居设备或者智能传感器等,这类功耗敏感型设备对计算能力和存储能力较为敏感,无法满足IPsec协议所要求的存储和计算方面的要求。换言之,现有的端到端的安全传输方法无法满足功耗敏感型设备对低功耗、高安全性的数据传输需求。
本申请提供的数据传输方法,旨在解决现有技术的如上技术问题,并提出如下解决思路:利用第三方设备的协助,将IPsec协议中的存储开销自IoT设备上转移出来,以及,将部分利用SA进行数据处理的计算开销也转移出来,以降低IoT设备的存储开销和计算开销,从而,基于IPsec协议实现端到端的安全传输。
基于前述发明构思,以下,结合附图对本申请实施例所构建的数据传输系统进行具体说明。
请参考图4示出的一种数据传输系统的架构示意图,图4中涉及IoT设备与外部网络设备之间的端到端的通信。
在该端到端的通信场景中,IoT设备可以为前述图1中示出的任一IoT网络中的通信设备,如无线个域网中的通信设备。进一步地,IoT设备可具体为IoT网络中的终端设备。在一个具体的实现场景中,该IoT设备可以为IoT网络中计算能力和存储能力较弱的终端设备,其可以包括但不限于:智能传感器、智能家居设备、智能电表等。
需要说明的是,本申请实施例所述的IoT设备可以包括但不限于前述IoT网络中计算能力和存储能力较弱的终端设备,IoT网络中计算能力和存储能力正常或较高的终端设备也适用于本方案。
而外部网络设备为前述IoT网络之外的另一个网络中的通信设备,其相对于前述IoT设备所属的IoT网络而言为外部网络。在一种可能的设计中,外部网络可以为与前述IoT设备所属的IoT网络不同的另一个IoT网络。以图1所示IoT网络场景为例,前述IoT设备可以为无线个域网中的一个终端设备,而相对于该IoT设备,外部网络设备可以为移动蜂窝网络中的一个网络设备。
如图4所示,外部网络设备与IoT设备之间设置第三方的数据传输设备,用于对外部网络设备与IoT设备之间传输的数据包进行安全处理,以承担IoT设备中的部分计算开销。具体而言,数据传输设备可利用第一SA实现对数据包的封装或验证AH包头的处理,以及,数据传输设备还可以利用第二SA实现对数据包的加密处理。如此,在外部网络设备与IoT设备之间进行数据传输时,数据传输设备可承担AH协议相关的安全处理(AH包头验证或封装处理)和/或ESP协议相关的安全处理(利用第二SA的加密或解析处理),也就是,承担IoT设备的部分计算开销,在一定程度上解决了部分功耗敏感型IoT设备无法承担IPsec协议要求的计算能力的问题。
以及,如图4所示的数据传输系统中,数据传输设备还用于承担IoT设备的存储开销。具体而言,数据传输设备用于存储IoT设备与其他收发节点之间的SA,当IoT设备需要使用SA时,可以向数据传输设备请求以获取到SA,从而无需占用IoT设备的存储空间,有效解决了部分功耗敏感型IoT设备无法承担IPsec协议要求的存储能力的问题。
此外,如图4所示的数据传输系统中,数据传输设备利用本地存储位置存储第一SA和第二SA,数据传输设备同时承担了IoT设备的部分计算开销和存储开销。在具体实现本申请所述方案时,还可以进一步将存储开销和计算开销独立设置。
请参考图5示出的另一数据传输系统的架构示意图,在该数据传输系统中,除数据传输设备之外,还设置有第三方存储设备。如图5所示,数据传输设备可与第三方存储设备进行交互,以便于利用第三方存储设备存储的SA执行安全处理。在如图5所述的场景架构下,本申请实施例对于第三方存储设备与IoT设备是否可直接交互无特殊限定。在一个可能的设计中,IoT设备可直接与第三方存储设备进行交互以获取到SA;或者,在另一可能的设计中,IoT设备无法直接与第三方存储设备进行交互,此时,IoT设备可通过数据传输设备来获取SA。
此外,在图4或图5所示的设计中,本申请实施例对于数据传输系统(计算节点)与第三方存储设备(存储节点)与IoT设备之间的对应关系无特殊限定。
在一种可能的设计中,一个计算节点(和/或一个存储节点)可对应于一个单独的IoT设备,也就是,任意IoT设备均具备一个独立的计算节点(和/或存储节点),二者(或三者)一一对应。此时,计算节点仅对该IoT设备与外部网络设备之间的数据交互进行处理,而存储节点也可仅存储与该IoT设备相关的少量的SA,得到一种轻量化设计方案。具体而言,考虑到IoT设备与任意的一个外部网络设备之间可具备唯一的一对SA,如此,第一SA、第二SA与外部网络设备的标识可对应地存储于存储节点中。
或者,在另一种可能的设计中,一个计算节点(和/或一个存储节点)可对应于多个IoT设备,也就是,利用一个计算节点(和/或一个存储节点)处理多个IoT设备的安全处理,而存储节点也存储多个IoT设备与其他收发节点之间的SA。例如,在一些可能的实现场景中,可以针对整个IoT网络中所有的IoT设备建立一个计算节点和一个存储节点,该IoT网络中的所有IoT设备与外部网络设备进行数据交互时,均需要该计算节点的安全处理,以及,需要向该存储节点请求SA。在这种实现场景中,为了保障端到端的安全通信,任意一对IoT设备与外部网络设备之间可具备唯一的一对SA,此时,第一SA、第二SA与IoT设备的标识、外部网络设备的标识可对应地存储于存储节点中。
其中,设备的标识用于表征设备身份,其可具体包括但不限于:设备的互联网协议(Internet Protocol,IP)地址。
此外,如前所述,任意一对IoT设备与外部网络设备之间可具备唯一的一对SA,本申请实施例对于第一SA与第二SA的确定方式无特别限定。具体而言,这一对SA可以是用户根据需要为其手动配置的;或者,还可以是IoT设备与网络设备协商确定的。
考虑到本申请中利用第三方的存储节点来承担IoT设备的存储开销的设计,在一种具体的实现本方案时,还可以通过如图6所示方式实现第一SA与第二SA的存储:
S602,IoT设备与外部网络设备协商以确定第一SA与第二SA。
其中,如前所述,第一SA为利用AH协议、对端地址、SPI获取到的,所述第二SA为利用封装安全载荷ESP协议、对端地址、SPI获取到的,不再赘述。
S604,IoT设备将第一SA与第二SA发送给数据传输设备。
S606,数据传输设备接收IoT设备发送的第一SA与第二SA。
S608,数据传输设备存储第一SA与第二SA。
具体而言,第一SA与第二SA可被存储在数据传输设备的本地存储位置或者第三方存储位置。
此外,需要说明的是,如图6所示的实现方式是为了降低IoT设备的存储开销,因此,IoT将第一SA与第二SA发送给数据传输设备之后,可以将本地存储的第一SA与第二SA做删除处理。其中,该删除处理可以是将全部SA删除,或者,是将其中的部分SA作删除处理。也就是,在实际的应用场景中,IoT设备还可以在本地的有限存储空间内缓存部分SA,以便于后续可直接利用缓存的部分SA。具体而言,在IoT设备与外部网络设备进行数据传输的过程中,IoT设备主要用于利用第二SA作数据包的解析或封装处理,因此,在一个可能的设计中,IoT设备可在本地缓存部分第二SA,而将全部第一SA删除。
更进一步地,为了提高端到端的数据传输的安全性,在如图6所示的SA协商过程中,IoT设备在将第二SA发送给数据传输设备之前,还可以利用本地密钥对第二SA进行加密,从而,IoT将加密后的第二SA发送给数据传输设备,也就是,数据传输设备存储该加密后的第二SA。IoT设备利用本地密钥对第二SA进行加密,使得数据传输设备能够获取到的第二SA都是加密过的,也就是,数据传输设备无法根据该加密后的第二SA实现对数据包的解析,这进一步保障了数据包在外部网络设备与IoT设备之间进行传输的安全性。
如图4与图5所示,数据传输设备用于在IoT设备与外部网络设备之间转发数据,并对转发的数据作安全处理,以承担IoT设备中的部分计算开销,数据传输设备可以为除IoT设备与外部网络设备之外的任意设备。
具体而言,可以利用IoT设备与外部网络设备之间的已有设备来实现数据传输设备的作用。其中,在一种可能的设计中,数据传输设备可以为外部网络与IoT网络之间的网关设备。这种实现方式中,对现有的数据传输系统的改动较小,基本无需硬件上的额外消耗,仅对网关设备与IoT设备进行软件方面的维护升级就可以实现本方案,实现成本较低,灵活性较高,具备较高的扩展应用前景。
或者,还可以在IoT设备与外部网络设备之间新建一个节点,以作为数据传输设备。在一种可能的设计中,数据传输设备可以为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
此时,图7示出的另一数据传输系统的架构示意图。如图7所示,数据传输设备设置于IoT网络中,用于实现IoT设备与网关设备之间的数据交互,而网关设备则用于在外部网络设备与数据传输设备之间转发数据,也就是,IoT设备通过数据传输设备、网关设备与外部网络设备进行交互。
基于前述任一种数据传输系统的架构,以下,对本申请实施例所提供的数据传输方案进行具体说明。
为了便于理解,以下,从IoT设备通过数据传输设备接收数据的场景(为了便于说明,以下简称为Inbound场景)与IoT设备通过数据传输设备发送数据至外部网络设备的场景(为了便于说明,以下简称为Outbound场景)两个方面,进行具体说明。
第一方面,Inbound场景。
也就是,外部网络设备通过数据传输设备将第一数据包发送给IoT设备的场景。在该场景中,数据传输设备除进行数据转发之外,还承担部分安全处理。具体而言,本申请是基于IPsec实现端到端的安全传输,在具体的实现场景中,外部网络设备与数据传输设备之间的数据传输方式也基于IPsec实现。而基于外部网络设备发送的第一数据包的IPsec处理方式不同,本申请中数据传输设备也可以采用不同的安全处理方式来承担IoT的计算开销。具体的,数据传输设备接收到外部网络设备发送的第一数据包后,在执行安全处理之前,还需要读取第一数据包的包头,以获取第一数据包的包头所指示的下一跳协议,进而,数据传输设备根据其下一跳协议对应的SA,来进行安全处理。
其中,在Inbound场景中,数据传输设备所涉及到的安全处理方式可以包括:根据第一SA对第一数据包进行包头验证;和/或,将第二SA发送给IoT设备,以便于IoT设备根据第二SA解析第一数据包。
具体而言,考虑到在Inbound场景下第二SA主要用于解析第一数据包,考虑到端到端的安全传输,因此,本申请实施例提出将对第一数据包进行AH包头验证的计算开销转移至数据传输设备。
此时,请参考图8,图8示出了仅利用第二SA进行安全处理的一种数据传输方式,该方法包括如下步骤:
S802,外部网络设备发送第一数据包至数据传输设备。
S804,数据传输设备接收外部网设备发送的第一数据包。
此时,第一数据包的包头所指示的下一跳协议为AH协议,此时,数据传输设备接收到的第一数据包为经外部网络设备封装AH包头后发送的,AH包头的封装过程可以参考图2及其说明,不再赘述。
S806,数据传输设备利用第一SA对所述第一数据包进行AH包头的验证。
所述第一SA的概念如前所述。而AH验证的目的在于验证第一数据包是否完整,以及用于验证第一数据包的发送来源是否真实。
具体的,AH包头验证的方式可以为:数据传输设备利用第一SA对第一数据包的AH包头进行解密,若能够解密成功,则验证通过,说明该第一数据包是完整的,未被他人篡改的,且其发送端是真实的。
S808,若验证通过,数据传输设备将所述第一数据包发送给物联网IoT设备。
反之,若验证不通过,则数据传输设备可直接丢弃该第一数据包,或者,还可以进一步向外部网络设备发送验证失败的提示信息。
S810,IoT设备接收第一数据包。
此外,在如图8所示的实现流程中,执行S806之前,请参考图9,该方法还可以包括如下步骤:
S805,数据传输设备获取第一SA。
具体而言,如前所述,第一SA、第二SA与收发端的设备标识对应存储,因此,可根据第一数据包的接收端地址(IoT设备地址)、协议信息(AH协议或者ESP协议)以及包安全参数索引(Security Parameter Index,SPI)来确定唯一的一个或一对SA。其中,协议信息一般被携带在数据包的IP包头中,用于指示获取哪一协议对应的SA,如获取第一SA还是获取第二SA,还是同时获取第一SA和第二SA;而SPI携带在AH包头或者ESP包头中。
此外,由于第一SA与第二SA对应存储,在执行该步骤时,除单独获取其中的一种SA之外,还可以同时获取到第一SA与第二SA,以便于后续安全处理过程中的使用需求,这有助于进一步简化步骤,避免同时利用AH协议与ESP协议进行安全处理时需要重复执行该获取步骤的情况。
而基于不同的系统架构,数据传输设备获取第一SA的方式不同。在如图4所示的系统架构中,各SA存储在数据传输设备的本地,因此,数据传输设备可在本地存储位置获取到第一SA。而针对如图5所示的计算与存储分离的系统架构,则数据传输设备可通过向第三存储设备发送第一SA获取请求的方式获取第一SA,其中,第一SA获取请求中携带前述三种信息,不再赘述。
此外,在如图8或图9所述的任一种实现方式中,由于数据传输设备已经承担了针对第一数据包的AH包头的验证工作,IoT设备无需再重复执行该AH包头的验证,因此,可在验证通过后,去除第一数据包的AH包头,并将去除所述AH包头后的第一数据包发送给所述IoT设备。
除此之外,考虑到如图8或图9所示的任一实现方式之外,数据传输设备还可进一步利用ESP协议执行安全处理,其实质为:将第二SA发送至IoT设备,以便于IoT设备利用第二SA解析第一数据包。
一种可能的设计中,可以参考图10,该方法包括如下流程:
S802,外部网络设备发送第一数据包至数据传输设备。
S804,数据传输设备接收外部网设备发送的第一数据包。
S805,数据传输设备获取第一SA与第二SA。
在该步骤中,由于涉及利用AH协议与ESP协议分别进行安全处理,因此,此处可直接获取到第一SA与第二SA。
S806,数据传输设备利用第一SA对所述第一数据包进行AH包头的验证。
S8082,若验证通过,数据传输设备去除第一数据包的AH包头。
S8084,数据传输设备将去除了AH包头的第一数据包发送给物联网IoT设备。
S809,数据传输设备将第二SA发送给IoT设备。
S810,IoT设备接收第一数据包与第二SA。
S812,IoT设备利用第二SA解析第一数据包。
其中,如图10所示的实现流程仅为一种可行的方式,并不用以限制本申请中针对第二SA与第一数据包的发送方式。
具体的,除以图10所示的方式,数据传输设备将第一数据包与第二SA分别独立的发送给IoT设备之外,数据传输设备还可以将第二SA携带在第一数据包中发送,这能够在一定程度上降低资源占用,提高传输效率。
以及,数据传输设备独立地发送第一数据包与第二SA的实现方式中,第二SA与第一数据包可以同时发送,或在第一数据包之前或之后发送第二SA均可,本申请对此无特殊限定。
此外,数据传输设备发送第二SA至IoT设备可以是主动的,如图10所示,在接收到第一数据包后,即主动将该第一数据包对应的第二SA发送给IoT设备。除此之外,数据传输设备还可以响应于IoT设备的请求来执行发送第二SA的步骤。此时,数据传输设备按照图7或图8所示方式将第一数据包发送给IoT设备,并接收到IoT设备发送的第二SA获取请求后,再将第二SA发送给IoT设备;以及,在这种实现方式中,数据传输设备获取第二SA的步骤可如图10所述执行在接收到第一数据包后的任意时刻,或者,也可以执行在接收到第二SA获取请求后再获取。
除此之外,在该以AH协议为主进行安全处理的Inbound场景中,若应用于如图5所示的系统中,则作为第一数据包的接收端,IoT设备除通过如图10所示方式,间接自数据传输设备获取到第二SA之外,若IoT设备可直接与第三方存储设备可直接交互,则还可以直接向第三方存储设备发送第二SA获取请求以获取到第二SA,不再赘述。
此外,如前所述,在一种可能的设计中,为了保障IoT设备与外部网络设备之间端到端的安全传输,第二SA是经过IoT设备的本地密钥加密后的,如此,IoT设备在前述S810中接收到的第二SA为加密后的。如此,在执行S812的解析步骤时,IoT设备还需要先利用本地密钥对第二SA进行解密,若解密成功,再利用解密后的第二SA解析第一数据包。这种实现方式能够保障除具备IoT设备的本地密钥之外的其他设备无法解析第一数据包,从而,保障了端到端的安全传输。
在Inbound场景下,除前述实现方式之外的一个可能的设计中,数据传输设备还可以单独将第二SA发送给IoT设备,此时,请参考图11,图11示出了仅利用第二SA进行安全处理的一种数据传输方式,该方法包括如下步骤:
S1102,外部网络设备发送第一数据包至数据传输设备。
S1104,数据传输设备接收外部网设备发送的第一数据包。
此时,第一数据包的包头所指示的下一跳协议为ESP协议,此时,数据传输设备接收到的第一数据包为经外部网络设备利用第二SA封装后发送的,利用第二SA封装数据包的过程可以参考图3及其说明,不再赘述。
S1106,数据传输设备将所述第一数据包与第二SA发送给物联网IoT设备,以使得所述IoT设备根据所述第二SA解析所述第一数据包。
所述第二SA的概念如前所述,不再赘述。
该步骤的具体发送方式可以有多种变形,可以参考前述针对图10中发送第二SA与第一数据包的方式,不再赘述。
S1108,IoT设备接收第一数据包和第二SA。
S1110,IoT设备根据第二SA解析第一数据包。
如图11所示的方法中,数据传输装置还需要在执行S1106步骤之前,获取第二SA。其获取方式可以参考前述图9所示的获取第一SA的方式,不再赘述。
而在该Inbound场景中,还可以进一步针对第一数据包作AH包头的验证,那么,在一种可能的设计中,所述第一数据包为数据传输设备利用第一SA进行AH包头的验证通过后发送的。其实现方式可以参考图7或图8,不再赘述。
以及,在另一种可能的设计中,第一数据包为数据传输设备利用第一SA进行所述AH包头的验证通过,并去除所述AH包头后发送的。其实现方式可以参考图7或图8,不再赘述。
而与之相对的,作为IoT设备,在接收到第一数据包与第二SA后,根据第二SA解析第一数据包的实现方式可参考前述图10所述的解析方式,不再赘述。以及,当第二SA为IoT设备利用本地密钥加密后的第二SA时,其解析方式可参考前述图10所述的解析方式,不再赘述。
第二方面,Outbound场景。
也就是,IoT设备通过数据传输设备将第二数据包发送给外部网络设备的场景。在该场景中,数据传输设备除进行数据转发之外,还承担部分安全处理。具体而言,本申请是基于IPsec实现端到端的安全传输,在具体的实现场景中,外部网络设备与数据传输设备之间的数据传输方式也基于IPsec实现,本申请实施例对于外部网络设备接收到第二数据包后的解析方式无特别限定。
在Outbound场景中,数据传输设备所涉及到的安全处理方式可以包括:根据第一SA对第二数据包进行AH包头的封装;和/或,将第二SA发送给IoT设备,以便于IoT设备根据第二SA封装第二数据包。
如前所述,考虑到在Outbound场景下第二SA主要用于封装第二数据包,考虑到端到端的安全传输,因此,本申请实施例提出将对第二数据包进行AH包头封装的计算开销转移至数据传输设备。
此时,请参考图12,图12示出了仅利用第一SA进行安全处理的一种数据传输方式,该方法包括如下步骤:
S1202,IoT设备将第二数据包发送至数据传输设备。
S1204,数据传输设备接收IoT设备发送的第二数据包。
S1206,数据传输设备利用第一SA对所述第二数据包进行头验证AH包头的封装。
如前所述,所述第一SA为利用AH协议、对端地址、SPI获取到的。数据传输设备为第二数据包作AH包头的封装是为了便于外部网络设备可以根据该AH包头验证IoT设备的身份是否真实。
S1208,数据传输设备将封装后的第二数据包发送给外部网络设备。
如图12所示的实现过程中,数据传输设备在执行S1206步骤之前,还需要获取第一SA,其获取方式可参考前述图9所示的获取第一SA的方式,不再赘述。
此外,在一种可能的设计中,数据传输设备接收到的第二数据包为所述IoT设备利用第二SA封装后发送的。在该实现场景中,由于IoT设备中可能未缓存第二SA,因此,在该实现方式中,数据传输设备还需要向IoT设备发送第二SA。本申请实施例给出该实现方式的流程示意图,请参考图13,该方法包括:
S12012,IoT设备向数据传输设备发送第二SA获取请求。
S12014,数据传输设备将第二SA发送给IoT设备。
S12022,IoT设备利用第二SA对第二数据包进行封装。
其封装过程可以参考图3相关说明,不再赘述。
S12024,IoT设备将第二数据包发送至数据传输设备。
S1204,数据传输设备接收IoT设备发送的第二数据包。
S1206,数据传输设备利用第一SA对所述第二数据包进行头验证AH包头的封装。
S1208,数据传输设备将封装后的第二数据包发送给外部网络设备。
此外,若第二数据包为所述IoT设备利用第二SA封装后发送的,则在如图5所示的系统架构中,IoT设备也可在执行该封装步骤之前,向第三方存储设备发送第二SA获取请求以获取第二SA,不再赘述。
此外,与前述Inbound场景类似,Outbound场景中所涉及到的第二数据包也可以是经过IoT设备的本地密钥加密后的第二SA。由此,在IoT设备利用第二SA对第二数据包进行封装之前,还需要进一步利用本地秘钥对接收到的第二SA进行解密,从而,可以利用解密成功后得到的第二SA对第二数据包进行封装。这是能够保证只有在与该第二SA对应的外部网络设备接收到该第二数据包的情况下,才能解析出该第二数据包。
在Outbound侧,若IoT设备未通过第二SA对第二书数据包进行封装,则IoT设备还可以向数据传输设备发送一个通知消息,用以通知数据传输设备利用第一SA为第二数据包封装AH包头;则数据传输设备在接收到该通知消息后,执行AH包头的封装。
在Outbound场景下,除前述实现方式之外的一个可能的设计中,数据传输设备还可以单独将第二SA发送给IoT设备,此时,请参考图14,图14示出了仅利用第二SA进行安全处理的一种数据传输方式,该方法包括如下步骤:
S1402,IoT设备利用第二SA对述第二数据包进行封装。
如前所述,所述第二SA为利用封装安全载荷ESP协议获取到的,用于保证外部网络设备接收到的第二数据包的完整性与安全性。
具体的,IoT设备利用第二SA对第二数据包进行封装的实现方式可以参考图3相关说明,不再赘述。
S1404,IoT设备将封装后的第二数据包发送至数据传输设备。
S1406,数据传输设备接收IoT设备发送的第二数据包。
S1408,数据传输设备第二数据包发送给外部网络设备。
具体而言,IOT设备获取第二SA的方式可以参考图13所示实现方式,不再赘述。而且,该Outbound场景中所涉及到的第二数据包也可以是经过IoT设备的本地密钥加密后的第二SA。由此,在IoT设备利用第二SA对第二数据包进行封装之前,还需要进一步利用本地秘钥对接收到的第二SA进行解密,从而,可以利用解密成功后得到的第二SA对第二数据包进行封装。这是能够保证只有在与该第二SA对应的外部网络设备接收到该第二数据包的情况下,才能解析出该第二数据包。
以及,在图14所示实现方式的进一步扩展方式中,数据传输设备接收到IoT设备发送的第二数据包后,也可按照图12或图13所示方式,为第二数据包封装AH包头,并将封装了AH包头的第二数据包发送至外部网络设备。
此外,在Outbound场景中,如图13或图14所示,在IoT设备执行前述利用第二SA对第二数据包进行封装的步骤之前,IoT设备还可以对是否需要利用第二SA对第二数据包进行封装进行判断。
具体而言,该判断过程可以为:所述IoT设备根据第二数据包的包头属性,判断是否需要对所述第二数据包作加密传输;若是,所述IoT设备利用第二SA封装所述第二数据包;若否,IoT设备直接将第二数据包发送给数据传输设备即可。其中,所述包头属性包括:源地址(Source Address)、目标地址(Destination Address)、数据包名称(Name)、上层端口(Upper layer ports)和协议(Protocol)中的至少一种。
在具体执行判断时,IoT内部可根据第二数据包的包头内容计算哈希值,并通过预设的对应关系,确定对应的哈希结果,从而,根据哈希结果来判断是否需要做加密传输,哈希结果与是否执行加密传输之间的对应关系可根据需要预设。例如,若哈希结果为1,则表示需要执行加密传输,则执行Outbound侧的至少一种安全处理;若哈希结果为0,则表示无需执行加密传输,则直接发送第二数据包即可。
此外,数据传输设备也可存储有前述包头属性数据、前述对应关系以及SA。由此,当发生哈希碰撞,即不同的数据包包头哈希出来的结果相同时,则数据传输设备可以将全部的结果发送给IoT设备,IoT设备在其中选择与当前数据包相对应的SA进行操作。
需要注意的是,若以图7所示的系统架构实现前述数据传输方法,则在数据传输设备与外部网络设备之间还设置有网关设备。
此时,请参考图15和图16,其中,图15为图7所示系统架构下图10所示方案的实现流程示意图;图16为图7所示系统架构下图13所示方案的实现流程示意图。如图15和图16所示,数据传输设备与外部网络设备之间通过网关设备实现数据交互。
通过前述任一实现方案,本申请实施例通过数据传输设备与IoT设备的交互,将IoT设备的安全处理的计算开销和密钥存储开销转移到数据传输设备,使得IoT设备与外部网络设备之间可以实现轻量级、低功耗的端到端的安全传输。
可以理解的是,上述实施例中的部分或全部步骤或操作仅是示例,本申请实施例还可以执行其它操作或者各种操作的变形。此外,各个步骤可以按照上述实施例呈现的不同的顺序来执行,并且有可能并非要执行上述实施例中的全部操作。
基于前述数据传输方法,本申请实施例进一步给出相应的数据传输设备、IoT设备和数据传输系统。
图17示出了一种数据传输设备的结构示意图。如图17所述的数据传输设备1700可用于实现上述方法实施例中描述的数据传输设备侧对应的方法。
所述数据传输设备1700可以包括一个或多个处理器1720,所述处理器1720也可以称为处理单元,可以实现一定的控制功能。所述处理器1720可以是通用处理器或者专用处理器等。
在一种可选地设计中,处理器1720也可以存有指令,所述指令可以被所述处理器1720运行,使得所述数据传输设备1700执行上述方法实施例中描述的对应于数据传输设备侧执行的方法。
在又一种可能的设计中,数据传输设备1700可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。
可选地,所述数据传输设备1700中可以包括一个或多个存储器1710,其上存有指令或者中间数据,所述指令可在所述处理器1720上被运行,使得所述数据传输设备1700执行上述方法实施例中描述的方法。可选地,所述存储器1710中还可以存储有其他相关数据。可选地处理器1710中也可以存储指令和/或数据。所述处理器1720和存储器1710可以单独设置,也可以集成在一起。
可选地,所述数据传输设备1700还可以包括收发器1730。所述收发器1730可以称为收发单元、收发机、收发电路、或者收发器等,用于实现数据传输设备1700的收发功能。
如图17所示,存储器1710、处理器1720与收发器1730通过总线通信。
若该数据传输设备1700用于实现对应于图6、8-16所示实施例中数据传输设备侧的操作时,例如,可以是收发器实现数据传输设备与IoT设备或外部网络设备的数据交互。收发器1730还可以进一步完成其他相应的通信功能。而处理器1720用于完成相应的确定或者控制操作,可选的,还可以在存储器1710中存储相应的指令。各个部件的具体的处理方式可以参考前述实施例的相关描述。
可选的,数据传输设备1700可以是独立的设备或者可以是较大设备的一部分。
图18示出了一种IoT设备的结构示意图。如图18所述的IoT设备1800可用于实现上述方法实施例中描述的IoT设备侧对应的方法。
所述IoT设备1800可以包括一个或多个处理器1820,所述处理器1820也可以称为处理单元,可以实现一定的控制功能。所述处理器1820可以是通用处理器或者专用处理器等。
在一种可选地设计中,处理器1820也可以存有指令,所述指令可以被所述处理器1820运行,使得所述IoT设备1800执行上述方法实施例中描述的对应于IoT设备侧执行的方法。
在又一种可能的设计中,IoT设备1800可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。
可选地,所述IoT设备1800中可以包括一个或多个存储器1810,其上存有指令或者中间数据,所述指令可在所述处理器1820上被运行,使得所述IoT设备1800执行上述方法实施例中描述的方法。可选地,所述存储器1810中还可以存储有其他相关数据。可选地处理器1810中也可以存储指令和/或数据。所述处理器1820和存储器1810可以单独设置,也可以集成在一起。
可选地,所述IoT设备1800还可以包括收发器1830。所述收发器1830可以称为收发单元、收发机、收发电路、或者收发器等,用于实现IoT设备1800的收发功能。
如图18所示,存储器1810、处理器1820与收发器1830通过总线通信。
若该IoT设备1800用于实现对应于图6、8-16所示实施例中IoT设备侧的操作时,例如,可以是收发器实现与数据传输设备之间的数据交互。收发器1830还可以进一步完成其他相应的通信功能。而处理器1820用于完成相应的确定或者控制操作,可选的,还可以在存储器1810中存储相应的指令。各个部件的具体的处理方式可以参考前述实施例的相关描述。
可选的,IoT设备1800可以是独立的设备或者可以是较大设备的一部分。
此外,图19为本申请实施例提供的另一种数据传输设备的结构示意图。如图19所示,该数据传输设备1900包括:接收模块1910、处理模块1920与发送模块1930;其中,接收模块1910用于接收外部网络设备发送的第一数据包;处理模块1920,用于利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;发送模块1930,用于若验证通过,将所述第一数据包发送给物联网IoT设备。
在图19中,进一步地,所述处理模块1920,还用于去除所述第一数据包的所述AH包头;所述发送模块,具体用于将去除所述AH包头后的第一数据包发送给所述IoT设备。
一种可能的方式中,所述发送模块1930,还用于:将第二SA发送至所述IoT设备,以使得所述IoT设备利用所述第二SA解析所述第一数据包。
进一步地,该数据传输设备1900还包括存储模块;所述接收模块1910,还用于接收所述IoT设备发送的第一SA与第二SA;所述存储模块,用于存储所述第一SA与所述第二SA。
一种可能的方式中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的。
另一种可能的方式中,所述存储模块,具体用于:将所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图19所示实施例的数据传输设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图20为本申请实施例提供的另一种数据传输设备的结构示意图。如图20所示,该数据传输设备2000包括:接收模块2010与发送模块2020;其中,接收模块2010,用于接收外部网络设备发送的第一数据包;发送模块2020,用于将所述第一数据包与第二SA发送给物联网IoT设备,以使得所述IoT设备根据所述第二SA解析所述第一数据包。
一种可能的方式中,所述第一数据包为利用第一SA进行AH包头的验证通过后发送的。
进一步地,所述第一数据包为利用第一SA进行所述AH包头的验证通过,并去除所述AH包头后发送的。
进一步地,该数据传输设备2000还包括存储模块;所述接收模块2010,还用于接收所述IoT设备发送的第一SA与第二SA;所述存储模块,用于存储所述第一SA与所述第二SA。
一种可能的方式中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的。
另一种可能的方式中,所述存储模块,具体用于:将所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图20所示实施例的数据传输设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图21为本申请实施例提供的另一种数据传输设备的结构示意图。如图21所示,该数据传输设备2100包括:接收模块2110、处理模块2120与发送模块2130;其中,接收模块2110,用于接收外部网络设备发送的第一数据包;处理模块2120,用于利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;发送模块2130,用于若验证通过,将所述第一数据包发送给物联网IoT设备。
一种可能的方式中,所述处理模块2120,还用于去除所述第一数据包的所述AH包头;所述发送模块2130,具体用于将去除所述AH包头后的第一数据包发送给所述IoT设备。
另一种可能的方式中,发送模块2130还用于:将第二SA发送至所述IoT设备,以使得所述IoT设备利用所述第二SA解析所述第一数据包。
进一步地,该数据传输设备2100还包括存储模块;所述接收模块2110,还用于接收所述IoT设备发送的第一SA与第二SA;所述存储模块,用于存储所述第一SA与所述第二SA。
一种可能的方式中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的。
另一种可能的方式中,所述存储模块,具体用于:将所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图21所示实施例的数据传输设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图22为本申请实施例提供的另一种数据传输设备的结构示意图。如图22所示,该数据传输设备2200包括:接收模块2210与发送模块2220;其中,接收模块2210,用于接收物联网IoT设备发送的第二数据包,所述第二数据包为所述IoT设备利用第二SA封装后发送的;发送模块2220,用于将所述第二数据包发送给外部网络设备。
一种可能的方式中,所述数据传输设备2200还包括处理模块;所述处理模块,用于利用第一SA对所述第二数据包进行头验证AH包头的封装;所述发送模块2220,具体用于将封装后的第二数据包发送给外部网络设备。
另一种可能的方式中,所述接收模块2210,还用于接收所述IoT设备发送的第二SA获取请求;所述发送模块2220,还用于将所述第二SA发送至所述IoT设备。
进一步地,该数据传输设备2200还包括存储模块;所述接收模块2210,还用于接收所述IoT设备发送的第一SA与第二SA;所述存储模块,用于存储所述第一SA与所述第二SA。
一种可能的方式中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的。
另一种可能的方式中,所述存储模块,具体用于:将所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图22所示实施例的数据传输设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图23为本申请实施例提供的一种IoT设备的结构示意图。如图23所示,该IoT设备2300包括:接收模块2310;其中,接收模块2310,用于接收数据传输设备发送的第一数据包;其中,所述第一数据包为所述数据传输设备利用第一安全关联SA对所述第一数据包的头验证AH包头验证通过后发送的。
一种可能的方式中,所述第一数据包为所述数据传输设备利用第一SA进行所述AH包头的验证通过,并去除所述AH包头后发送的。
另一种可能的方式中,IoT设备2300还包括处理模块;所述接收模块2310,还用于接收所述数据传输设备发送的第二SA;其中,所述SA为利用封装安全载荷ESP协议获取到的;所述处理模块,用于利用所述第二SA解析所述第一数据包。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述处理模块,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA解析所述第一数据包。
进一步地,所述IoT设备2300还包括协商模块和发送模块;所述协商模块,用于与所述外部网络设备协商以确定第一SA与第二SA;所述发送模块,还用于将所述第一SA与所述第二SA发送给所述数据传输设备,以使得所述数据传输设备存储所述第一SA和所述第二SA。
另一种可能的方式中,所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应地存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图23所示实施例的IoT设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图24为本申请实施例提供的一种IoT设备的结构示意图。如图24所示,该IoT设备2400包括:接收模块2410和处理模块2420;其中,接收模块2410,用于接收数据传输设备发送的第一数据包与第二SA;处理模块2420,用于根据所述第二SA解析所述第一数据包。
一种可能的方式中,所述第一数据包为所述数据传输设备利用第一SA进行AH包头的验证通过后发送的。
另一种可能的方式中,所述第一数据包为所述数据传输设备利用第一SA进行所述AH包头的验证通过,并去除所述AH包头后发送的。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述处理模块2420,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA解析所述第一数据包。
进一步地,所述IoT设备2400还包括协商模块和发送模块;所述协商模块,用于与所述外部网络设备协商以确定第一SA与第二SA;所述发送模块,还用于将所述第一SA与所述第二SA发送给所述数据传输设备,以使得所述数据传输设备存储所述第一SA和所述第二SA。
另一种可能的方式中,所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应地存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图24所示实施例的IoT设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图25为本申请实施例提供的一种IoT设备的结构示意图。如图25所示,该IoT设备2500包括:发送模块2510;其中,发送模块2510,用于将第二数据包发送至数据传输设备,以使得所述数据传输设备利用第一SA对所述第二数据包进行头验证AH包头的封装,并将封装后的第二数据包发送给外部网络设备。
一种可能的方式中,所述IoT设备还包括处理模块;所述处理模块,用于利用第二SA对所述第二数据包进行封装。所述发送模块2510,具体用于将封装后的第二数据包发送至所述数据传输设备。
另一种可能的方式中,所述IoT设备还包括接收模块;所述发送模块2510,还用于将第二SA获取请求发送至所述数据传输设备;所述接收模块,用于接收所述数据传输设备发送的所述第二SA。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述处理模块,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA对所述第二数据包进行封装。
进一步地,所述IoT设备2500还包括协商模块;所述协商模块,用于与所述外部网络设备协商以确定第一SA与第二SA;所述发送模块2510,还用于将所述第一SA与所述第二SA发送给所述数据传输设备,以使得所述数据传输设备存储所述第一SA和所述第二SA。
另一种可能的方式中,所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应地存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图25所示实施例的IoT设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
此外,图26为本申请实施例提供的另一种IoT设备的结构示意图。如图26所示,该IoT设备2600包括:处理模块2610与发送模块2620;其中,处理模块2610,用于利用第二SA对所述第二数据包进行封装;所述发送模块2620,用于将封装后的第二数据包发送至所述数据传输设备,以使得所述数据传输设备将其转发至外部网络设备。
一种可能的方式中,所述IoT设备还包括接收模块;所述发送模块2620,还用于将第二SA获取请求发送至所述数据传输设备;所述接收模块,用于接收所述数据传输设备发送的所述第二SA。
另一种可能的方式中,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
另一种可能的方式中,所述处理模块,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA对所述第二数据包进行封装。
进一步地,所述IoT设备2600还包括协商模块和发送模块;所述协商模块,用于与所述外部网络设备协商以确定第一SA与第二SA;所述发送模块,还用于将所述第一SA与所述第二SA发送给所述数据传输设备,以使得所述数据传输设备存储所述第一SA和所述第二SA。
另一种可能的方式中,所述第一SA、所述第二SA、IoT设备标识与外部网络设备标识对应地存储。
另一种可能的方式中,所述第一SA与所述第二SA被存储在本地存储位置或者第三方存储位置。
另一种可能的方式中,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
图26所示实施例的IoT设备可用于执行上述方法实施例的技术方案,其实现原理和技术效果可以进一步参考方法实施例中的相关描述。
应理解以上图19-图26所示数据传输设备的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块以软件通过处理元件调用的形式实现,部分模块通过硬件的形式实现。例如,发送模块可以为单独设立的处理元件,也可以集成在数据传输设备,例如终端的某一个芯片中实现,此外,也可以以程序的形式存储于数据传输设备的存储器中,由数据传输设备的某一个处理元件调用并执行以上各个模块的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
例如,以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,ASIC),或,一个或多个微处理器(digital singnal processor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA)等。再如,当以上某个模块通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central ProcessingUnit,CPU)或其它可以调用程序的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
此外,本申请实施例给出一种数据传输系统,具体包括如下几种系统:
图27为本申请实施例提供的一种数据传输系统的结构示意图。如图27所示,该数据传输系统2700包括:数据传输设备1900和IoT设备2300。
如图27所示,在数据传输系统2700中,所述数据传输设备1900,用于:接收外部网络设备发送的第一数据包;利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;若验证通过,将所述第一数据包发送给物联网IoT设备2300;所述IoT设备2300,用于:接收所述数据传输设备1900发送的第一数据包。
一种可能的设计中,所述数据传输设备1900,还用于:去除所述第一数据包的所述AH包头;将去除所述AH包头后的第一数据包发送给所述IoT设备2300。
另一种可能的设计中,所述数据传输设备1900,还用于:将第二SA发送至所述IoT设备2300;所述IoT设备2300,具体用于:利用所述第二SA解析所述第一数据包。
另一种可能的设计中,所述第二SA为经所述IoT设备2300本地密钥加密后的第二SA。
另一种可能的设计中,所述IoT设备2300,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA解析所述第一数据包。
另一种可能的设计中,所述IoT设备2300,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备1900;所述数据传输设备1900,还用于:接收所述IoT设备2300发送的第一SA与第二SA;并存储所述第一SA与所述第二SA。
图28为本申请实施例提供的另一种数据传输系统的结构示意图。如图28所示,该数据传输系统2800包括:数据传输设备2000和IoT设备2400。
其中,如图28所示,数据传输设备2000,用于:接收外部网络设备发送的第一数据包;将所述第一数据包与第二SA发送给物联网IoT设备2400;IoT设备2400,用于:根据所述第二SA解析所述第一数据包。
在一种可能的设计中,所述数据传输设备2000,还用于:利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;并在验证通过后,将所述第一数据包发送给所述IoT设备2400。
另一种可能的设计中,所述数据传输设备2000,还用于:利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;并在验证通过后,将去除第一数据包的AH包头,并在将去除了AH包头的第一数据包发送给所述IoT设备2400。
另一种可能的设计中,所述第二SA为经所述IoT设备2400本地密钥加密后的第二SA。
另一种可能的设计中,所述IoT设备2400,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA解析所述第一数据包。
另一种可能的设计中,所述IoT设备2400,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备2000;所述数据传输设备2000,还用于:接收所述IoT设备2400发送的第一SA与第二SA;并存储所述第一SA与所述第二SA。
图29为本申请实施例提供的另一种数据传输系统的结构示意图。如图29所示,该数据传输系统2900包括:数据传输设备2100和IoT设备2500。
其中,如图29所示,所述IoT设备2500,用于:将第二数据包发送至数据传输设备2100;所述数据传输设备2100,用于:接收物联网IoT设备2500发送的第二数据包;利用第一SA对所述第二数据包进行头验证AH包头的封装;将封装后的第二数据包发送给外部网络设备。
一种可能的设计中,所述IoT设备2500,还用于:利用第二SA对所述第二数据包进行封装;
将封装后的第二数据包发送至所述数据传输设备2100。
另一种可能的设计中,所述IoT设备2500,还用于;将第二SA获取请求发送至所述数据传输设备2100;所述数据传输设备2100,还用于:接收所述IoT设备2500发送的第二SA获取请求;并将所述第二SA发送至所述IoT设备2500;所述IoT设备2500,还用于接收所述数据传输设备2100发送的所述第二SA。
另一种可能的设计中,所述第二SA为经所述IoT设备2500本地密钥加密后的第二SA。
另一种可能的设计中,所述IoT设备2500,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA对所述第二数据包进行封装。
另一种可能的设计中,所述IoT设备2500,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备2100;所述数据传输设备2100,还用于:接收所述IoT设备2500发送的所述第一SA与所述第二SA;并存储所述第一SA与所述第二SA。
图30为本申请实施例提供的另一种数据传输系统的结构示意图。如图30所示,该数据传输系统3000包括:数据传输设备22002200和IoT设备26002600。
其中,如图30所示,所述IoT设备2600,用于:利用第二SA封装第二数据包,并将封装后的第二数据包发送至数据传输设备2200;数据传输设备2200,用于:接收物联网IoT设备2600发送的第二数据包;将所述第二数据包发送给外部网络设备。
在一种可能的设计中,数据传输设备2200,还用于:利用第一SA对所述第二数据包进行头验证AH包头的封装;将封装后的第二数据包发送给外部网络设备。
另一种可能的设计中,所述IoT设备2600,还用于;将第二SA获取请求发送至所述数据传输设备2200;所述数据传输设备2200,还用于:接收所述IoT设备2600发送的第二SA获取请求;并将所述第二SA发送至所述IoT设备2600;所述IoT设备2600,还用于接收所述数据传输设备2200发送的所述第二SA。
另一种可能的设计中,所述第二SA为经所述IoT设备2600本地密钥加密后的第二SA。
另一种可能的设计中,所述IoT设备2600,具体用于:利用所述本地密钥解密所述第二SA;利用解密后的第二SA对所述第二数据包进行封装。
另一种可能的设计中,所述IoT设备2600,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备2200;所述数据传输设备2200,还用于:接收所述IoT设备2600发送的所述第一SA与所述第二SA;并存储所述第一SA与所述第二SA。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行上述任一实施例所述的数据传输方法。
此外,本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,当其在计算机上运行时,使得计算机执行上述任一实施例所述的数据传输方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储节点。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk)等。

Claims (34)

1.一种数据传输方法,应用于数据传输设备,其特征在于,包括:
接收外部网络设备发送的第一数据包;
利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;
若验证通过,将所述第一数据包发送给物联网IoT设备。
2.根据权利要求1所述的方法,其特征在于,所述将所述第一数据包发送给物联网IoT设备,包括:
去除所述第一数据包的所述AH包头;
将去除所述AH包头后的第一数据包发送给所述IoT设备。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将第二SA发送至所述IoT设备,以使得所述IoT设备利用所述第二SA解析所述第一数据包。
4.根据权利要求3所述的方法,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
接收所述IoT设备发送的所述第一SA与第二SA;其中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的;
存储所述第一SA与所述第二SA。
6.一种数据传输方法,应用于数据传输设备,其特征在于,包括:
接收物联网IoT设备发送的第二数据包;
利用第一SA对所述第二数据包进行头验证AH包头的封装;
将封装后的第二数据包发送给外部网络设备。
7.根据权利要求6所述的方法,其特征在于,所述第二数据包为所述IoT设备利用第二SA封装后发送的。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
接收所述IoT设备发送的第二SA获取请求;
将所述第二SA发送至所述IoT设备。
9.根据权利要求7或8所述的方法,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
10.根据权利要求6-9任一项所述的方法,其特征在于,所述方法还包括:
接收所述IoT设备发送的所述第一SA与第二SA;其中,所述第一SA与所述第二SA为所述IoT设备与所述外部网络设备协商确定的;
存储所述第一SA与所述第二SA。
11.一种数据传输设备,其特征在于,包括:
接收模块,用于接收外部网络设备发送的第一数据包;
处理模块,用于利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;
发送模块,用于若验证通过,将所述第一数据包发送给物联网IoT设备。
12.根据权利要求11所述的设备,其特征在于,
所述处理模块,还用于去除所述第一数据包的所述AH包头;
所述发送模块,具体用于将去除所述AH包头后的第一数据包发送给所述IoT设备。
13.根据权利要求11或12所述的设备,其特征在于,所述发送模块,还用于:
将第二SA发送至所述IoT设备,以使得所述IoT设备利用所述第二SA解析所述第一数据包。
14.根据权利要求13所述的设备,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
15.根据权利要求11-14任一项所述的设备,其特征在于,所述设备还包括存储模块;
所述接收模块,还用于接收所述IoT设备发送的所述第一SA与第二SA;
所述存储模块,用于存储所述第一SA与所述第二SA。
16.根据权利要求11-15任一项所述的设备,其特征在于,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,
所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
17.一种数据传输设备,其特征在于,包括:
接收模块,用于接收物联网IoT设备发送的第二数据包;
处理模块,用于利用第一SA对所述第二数据包进行头验证AH包头的封装;
发送模块,用于将封装后的第二数据包发送给外部网络设备。
18.根据权利要求17所述的设备,其特征在于,所述第二数据包为所述IoT设备利用第二SA封装后发送的。
19.根据权利要求17或18所述的设备,其特征在于,
所述接收模块,还用于接收所述IoT设备发送的第二SA获取请求;
所述发送模块,还用于将所述第二SA发送至所述IoT设备。
20.根据权利要求18或19所述的设备,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
21.根据权利要求17-20任一项所述的设备,其特征在于,所述设备还包括存储模块;
所述接收模块,还用于接收所述IoT设备发送的所述第一SA与第二SA;
所述存储模块,用于存储所述第一SA与所述第二SA。
22.根据权利要求17-21任一项所述的设备,其特征在于,所述数据传输设备为外部网络与IoT网络之间的网关设备;或者,
所述数据传输设备为所述IoT网络中的代理节点,所述代理节点用于实现所述网关设备与所述IoT设备之间的数据交互。
23.一种数据传输系统,其特征在于,包括:数据传输设备与IoT设备;
所述数据传输设备,用于:接收外部网络设备发送的第一数据包;利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证;若验证通过,将所述第一数据包发送给物联网IoT设备;
所述IoT设备,用于:接收所述数据传输设备发送的第一数据包。
24.根据权利要求23所述的系统,其特征在于,所述数据传输设备,还用于:
去除所述第一数据包的所述AH包头;
将去除所述AH包头后的第一数据包发送给所述IoT设备。
25.根据权利要求23或24所述的系统,其特征在于,
所述数据传输设备,还用于:将第二SA发送至所述IoT设备;
所述IoT设备,具体用于:利用所述第二SA解析所述第一数据包。
26.根据权利要求25所述的系统,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
27.根据权利要求26所述的系统,其特征在于,所述IoT设备,具体用于:
利用所述本地密钥解密所述第二SA;
利用解密后的第二SA解析所述第一数据包。
28.根据权利要求23-27任一项所述的系统,其特征在于,
所述IoT设备,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备;
所述数据传输设备,还用于:接收所述IoT设备发送的第一SA与第二SA;并存储所述第一SA与所述第二SA。
29.一种数据传输系统,其特征在于,包括:数据传输设备与IoT设备;
所述IoT设备,用于:将第二数据包发送至数据传输设备;
所述数据传输设备,用于:接收物联网IoT设备发送的第二数据包;利用第一SA对所述第二数据包进行头验证AH包头的封装;将封装后的第二数据包发送给外部网络设备。
30.根据权利要求29所述的系统,其特征在于,所述IoT设备,还用于:
利用第二SA对所述第二数据包进行封装;
将封装后的第二数据包发送至所述数据传输设备。
31.根据权利要求29或30所述的系统,其特征在于,
所述IoT设备,还用于;将第二SA获取请求发送至所述数据传输设备;
所述数据传输设备,还用于:接收所述IoT设备发送的第二SA获取请求;并将所述第二SA发送至所述IoT设备;
所述IoT设备,还用于接收所述数据传输设备发送的所述第二SA。
32.根据权利要求30或31所述的系统,其特征在于,所述第二SA为经所述IoT设备本地密钥加密后的第二SA。
33.根据权利要求32所述的系统,其特征在于,所述IoT设备,具体用于:
利用所述本地密钥解密所述第二SA;
利用解密后的第二SA对所述第二数据包进行封装。
34.根据权利要求29-33任一项所述的系统,其特征在于,
所述IoT设备,还用于:与外部网络设备协商以确定所述第一SA与第二SA;并将所述第一SA与所述第二SA发送给所述数据传输设备;
所述数据传输设备,还用于:接收所述IoT设备发送的所述第一SA与所述第二SA;并存储所述第一SA与所述第二SA。
CN201910009031.6A 2019-01-04 2019-01-04 数据传输方法、设备与系统 Active CN111416791B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201910009031.6A CN111416791B (zh) 2019-01-04 2019-01-04 数据传输方法、设备与系统
PCT/CN2019/129237 WO2020140842A1 (zh) 2019-01-04 2019-12-27 数据传输方法、设备与系统
US17/139,581 US11652910B2 (en) 2019-01-04 2020-12-31 Data transmission method, device, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910009031.6A CN111416791B (zh) 2019-01-04 2019-01-04 数据传输方法、设备与系统

Publications (2)

Publication Number Publication Date
CN111416791A CN111416791A (zh) 2020-07-14
CN111416791B true CN111416791B (zh) 2022-06-14

Family

ID=71407286

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910009031.6A Active CN111416791B (zh) 2019-01-04 2019-01-04 数据传输方法、设备与系统

Country Status (3)

Country Link
US (1) US11652910B2 (zh)
CN (1) CN111416791B (zh)
WO (1) WO2020140842A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020206620A1 (en) * 2019-04-09 2020-10-15 Orange Methods and apparatus to discriminate authentic wireless internet-of-things devices
CN115883423A (zh) * 2023-01-18 2023-03-31 禾多科技(北京)有限公司 通信负载监控方法、电子设备和计算机可读介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统
CN106375390A (zh) * 2016-08-29 2017-02-01 北京爱接力科技发展有限公司 一种物联网中数据传输方法、系统及其装置
CN107453869A (zh) * 2017-09-01 2017-12-08 中国电子科技集团公司第三十研究所 一种实现量子安全的IPSecVPN的方法
CN107911212A (zh) * 2017-11-09 2018-04-13 安徽皖通邮电股份有限公司 一种桥接传输加密的方法
CN108140085A (zh) * 2015-10-12 2018-06-08 微软技术许可有限责任公司 使用最少的硬件资源的可信平台
CN108353076A (zh) * 2015-11-03 2018-07-31 高通股份有限公司 针对装置之间的安全关联的因特网密钥交换(ike)
CN109104428A (zh) * 2018-08-28 2018-12-28 南京航空航天大学 物联网数据量子加密传输设备及传输方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7496750B2 (en) * 2004-12-07 2009-02-24 Cisco Technology, Inc. Performing security functions on a message payload in a network element
CN101621510A (zh) * 2009-07-06 2010-01-06 成都华程信息技术有限公司 在电路仿真设备中实现数据安全的传输技术
CN101980558B (zh) * 2010-11-16 2012-07-11 北京航空航天大学 一种Ad hoc网络传输层协议上的加密认证方法
US20180375841A1 (en) * 2012-05-24 2018-12-27 Smart Security Systems Llc Systems and methods for enterprise communications
EP3100405A4 (en) * 2014-01-29 2017-08-30 Smart Security Systems LLC Systems and methods for protecting communications
CN104052668B (zh) * 2014-05-29 2017-10-10 汉柏科技有限公司 一种ah报文的转发方法及系统
CN106209932B (zh) * 2015-04-30 2019-07-12 中国电信股份有限公司 ZigBee节点的远距离通信方法与系统、网关设备和ZigBee节点
WO2017178054A1 (en) * 2016-04-14 2017-10-19 Telefonaktiebolaget Lm Ericsson (Publ) Registration of data packet traffic for a wireless device
SG11201903613VA (en) * 2016-11-11 2019-05-30 Ericsson Telefon Ab L M User plane model for non-3gpp access to fifth generation core network
CN108156126B (zh) * 2016-12-02 2020-12-08 阿里巴巴集团控股有限公司 物联网设备的烧录校验方法及装置、身份认证方法及装置
US10834240B2 (en) * 2018-08-09 2020-11-10 Nokia Technologies Oy Service automation for IoT devices using P4

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102347870A (zh) * 2010-07-29 2012-02-08 中国电信股份有限公司 一种流量安全检测方法、设备和系统
CN108140085A (zh) * 2015-10-12 2018-06-08 微软技术许可有限责任公司 使用最少的硬件资源的可信平台
CN108353076A (zh) * 2015-11-03 2018-07-31 高通股份有限公司 针对装置之间的安全关联的因特网密钥交换(ike)
CN106375390A (zh) * 2016-08-29 2017-02-01 北京爱接力科技发展有限公司 一种物联网中数据传输方法、系统及其装置
CN107453869A (zh) * 2017-09-01 2017-12-08 中国电子科技集团公司第三十研究所 一种实现量子安全的IPSecVPN的方法
CN107911212A (zh) * 2017-11-09 2018-04-13 安徽皖通邮电股份有限公司 一种桥接传输加密的方法
CN109104428A (zh) * 2018-08-28 2018-12-28 南京航空航天大学 物联网数据量子加密传输设备及传输方法

Also Published As

Publication number Publication date
US20210126990A1 (en) 2021-04-29
US11652910B2 (en) 2023-05-16
WO2020140842A1 (zh) 2020-07-09
CN111416791A (zh) 2020-07-14

Similar Documents

Publication Publication Date Title
US10601594B2 (en) End-to-end service layer authentication
US9608963B2 (en) Scalable intermediate network device leveraging SSL session ticket extension
US20100228962A1 (en) Offloading cryptographic protection processing
US20160315920A1 (en) Method and apparatus for avoiding double-encryption in site-to-site ipsec vpn connections
US9350711B2 (en) Data transmission method, system, and apparatus
US20140095862A1 (en) Security association detection for internet protocol security
WO2021022794A1 (zh) 基于rdma的数据传输方法、网卡、服务器及介质
KR20180079324A (ko) 디바이스들 사이의 보안 연관을 위한 인터넷 키 교환 (ike)
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
US9137216B2 (en) Session layer data security
US11652910B2 (en) Data transmission method, device, and system
US20180176230A1 (en) Data packet transmission method, apparatus, and system, and node device
CN108924157B (zh) 一种基于IPSec VPN的报文转发方法及装置
CN109905310B (zh) 数据传输方法、装置、电子设备
US11539668B2 (en) Selective transport layer security encryption
KR101886367B1 (ko) 사물 간 통신 네트워크에서의 기기 개별 세션키 생성 및 이를 이용한 기기 간의 암호화 및 복호화 기능 검증 방법
CN108809632B (zh) 一种量子安全套接层装置及系统
CN117254976B (zh) 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备
CN113765878B (zh) 选择性的传送层安全加密
CN114553567B (zh) 多方安全计算中的网络传输方法、系统、存储介质及计算设备
US11791994B1 (en) Quantum cryptography in an internet key exchange procedure
CN114257424B (zh) 基于电力专用芯片的数据包接收处理方法及装置
CN115664773A (zh) 报文处理方法、设备、存储介质及程序产品
KR101594897B1 (ko) 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
CN115766172A (zh) 基于dpu和国密的报文转发方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant