CN111615837B - 数据传输方法、相关设备以及系统 - Google Patents
数据传输方法、相关设备以及系统 Download PDFInfo
- Publication number
- CN111615837B CN111615837B CN201780092970.0A CN201780092970A CN111615837B CN 111615837 B CN111615837 B CN 111615837B CN 201780092970 A CN201780092970 A CN 201780092970A CN 111615837 B CN111615837 B CN 111615837B
- Authority
- CN
- China
- Prior art keywords
- cookie
- access network
- network device
- key
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 230000005540 biological transmission Effects 0.000 title claims abstract description 72
- 235000014510 cooky Nutrition 0.000 claims abstract description 876
- 238000012795 verification Methods 0.000 claims abstract description 120
- 230000006870 function Effects 0.000 claims description 31
- 230000002457 bidirectional effect Effects 0.000 claims description 14
- 238000004891 communication Methods 0.000 description 51
- 238000010586 diagram Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 5
- 238000009795 derivation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了数据传输方法、相关设备和系统,该方法包括:第一接入网设备接收用户设备(例如IoT设备)发送的数据包(例如小数据),所述数据包包括第一Cookie和原始数据;所述第一接入网设备验证所述第一Cookie,获得验证结果;所述第一接入网设备基于所述验证结果处理所述原始数据。实施本发明实施例,能够减轻大量用户设备需要进行通信时网络侧的负担,提高数据传输效率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及数据传输方法、相关设备以及系统。
背景技术
随着移动互联网的快速发展,越来越多垂直行业的的物联网(Internet ofThings,IoT)设备需要接入运营商经营的通信网络。不同于传统的移动设备,IOT设备的特征是数量大,而且IOT设备生命周期的大部分时间都是发送零星的小数据(small data)。
在当前的通信网络(如蜂窝网络)中,用户设备通常采用针对全球用户识别卡(universal subscriber identity module,USIM)中包含的身份和对称密钥进行验证的方式入网,其认证方式主要包括EPS-AKA(evolved packet system-authentication and keyagreement)认证协议。
用户设备需要进行数据传输时,通常是用户设备首先与网络侧先进行网络认证,认证过后再建立通信连接,然后用户设备再发送数据到网络侧。然后,对于物联网而言,面对IoT设备成千上万的通信连接需求,网络侧通信负担巨大,基于USIM对称密钥的认证方案由于认证链条较长,认证效率低,将大大降低数据传输效率,这也成为制约物联网大规模应用及用户数增长的障碍。
发明内容
本发明实施例公开一种数据传输方法、相关设备以及系统,能够减轻大量用户设备需要进行通信时网络侧的负担,提高数据传输效率。
第一方面,本发明实施例提供了一种数据传输方法,该方法包括:第一接入网设备接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;所述第一接入网设备验证所述第一Cookie,获得验证结果;所述第一接入网设备基于所述验证结果处理所述原始数据。
在具体实施例中,所述第一Cookie包括过期时间T,假设接入网在T0时间验证所述第一Cookie;那么,所述第一接入网设备验证所述第一Cookie,获得验证结果,包括:若T0<T-TX,则所述验证结果为第一Cookie有效;若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;若T0>T+TX,则验证结果为第一Cookie无效;其中,所述TX为预设时间值。
相应的,若验证结果为第一Cookie有效,则所述第一接入网设备解密所述原始数据,并向核心网设备发送经解密的原始数据;若验证结果为第一Cookie即将过期,则所述第一接入网设备与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述第一接入网设备向核心网设备发送经解密的原始数据;若验证结果为Cookie无效,则第一接入网设备与所述用户设备进行双向认证,证明用户设备身份合法性后,再重新向所述用户设备配置新的Cookie。
在本发明实施例中,所述第一接入网设备生成所述第一Cookie,并向所述用户设备发送所述第一Cookie。具体的生成过程包括:所述第一设备与所述用户设备进行双向认证;认证通过后,所述接入网设备根据用户设备标识生成所述第一Cookie。
在具体的实施例中,所述第一Cookie还包括第一Cookie类型;所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的;在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下,所述第一接入网设备验证所述第一Cookie。
在具体的实施例中,所述第一Cookie还包括:第一Cookie ID、第一消息认证码MAC,其中:所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||第一Cookie密钥);其中,所述第一Cookie密钥为所述接入网设备推演出来的密钥,所述第一Cookie密钥=KDF(第一Cookie ID, 过期时间, 第一Cookie类型, K);其中,所述HMAC是密钥相关的哈希运算消息认证码, KDF为密钥推演函数,K为所述第一接入网设备预设的主密钥。在收到数据包后,所述第一接入网设备根据所述第一Cookie ID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
在可能的实施例中,所述第一Cookie还包括:加密的用户设备标识、加密的快速重认证计数器;所述第一MAC具体为:所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||En(用户设备标识,K)||En(快速重认证计数器, K), 第一Cookie密钥),其中,En为加密函数。
在本发明实施例中,当Cookie即将过期,那么,所述第一接入网设备将与所述用户设备进行快速重认证,以更新用户设备的Cookie,过程包括:所述第一接入网设备生成第二Cookie ;所述第一接入网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是第一接入网设备基于预设的主密钥推演出来的密钥。在具体实现中,所述第一消息为快速重认证消息,所述快速重认证消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段,其中,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie, 所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二CookieID。
在可能的实施例中,所述第一Cookie还包括第一接入网设备标识RAN ID,所述RANID用于指示生成所述第一Cookie的接入网设备的ID。在第一接入网设备接收用户设备发送的数据包之后,所述第一接入网设备检验所述RAN ID是否为所述第一接入网设备的ID,包括以下情况:
情况一:如果所述RAN ID是所述第一接入网设备的ID,则所述第一接入网设备验证所述第一Cookie;
情况二:如果所述RAN ID不是所述接入网的ID,则所述第一接入网设备向所述RANID所指示的第二接入网设备发送所述第一Cookie;所述第一接入网设备接收所述第二接入网设备基于所述第一Cookie反馈的第一Cookie信息;其中,所述第一Cookie信息存储于所述第二接入网设备,所述第一Cookie信息包括所述第一Cookie ID、所述第一Cookie密钥和所述用户设备标识;具体的,所述第一接入网设备根据所述第一Cookie信息验证所述第一Cookie。在可能的实施例中,所述第一接入网设备还会基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥;并向所述用户设备发送所述第三Cookie和所述第三Cookie密钥,以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥;其中,所述第三Cookie中的RAN ID指示所述第一接入网设备的ID。
在具体的实施例中,所述第一接入网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie,包括两种情况:
情况一:如果所述第一接入网设备和所述第二接入网设备之间具有X2接口,则所述第一接入网设备通过X2接口向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
情况二:如果所述第一接入网设备和所述第二接入网设备之间不具有X2接口,则所述第一接入网设备通过核心网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
在可能的应用场景中,在所述RAN ID不是所述接入网的ID的情况下,所述第一接入网设备向所述RAN ID所指示的第三接入网设备发送所述数据包后,所述第一接入网设备接收所述第三接入网设备反馈的经解密的原始数据;所述第一接入网设备向核心网发送所述经解密的原始数据。另外,所述第一接入网设备还可能接收所述第三接入网设备反馈的密钥;所述密钥是所述第三接入网设备基于所述第一Cookie密钥和所述第一接入网的ID生成的;所述第一接入网设备基于根据所述用户设备标识生成第四Cookie和第四Cookie密钥;其中,所述第四Cookie中的RAN ID指示所述第一接入网设备的ID。然后,所述接入网设备向所述用户设备发送所述第四Cookie和经过所述密钥加密的第四Cookie密钥,以便所述用户设备使用所述第四Cookie和所述第四Cookie密钥更新所述第一Cookie和所述第一Cookie密钥。
在本发明实施例中,所述用户设备标识可以是国际移动用户识别码(International Mobile Subscriber Identity,IMSI),还可以是国际移动设备标识(International Mobile Equipment Identity,IMEI)、媒体访问控制(Media AccessControl,MAC)地址、网络协议(Internet Protocol,IP)地址、手机号码、IP多媒体私有标识(IP Multimedia Private Identity,IMPI)、临时移动用户标识符(Temporary MobileSubscriber Identity,TMSI)、IP多媒体公共标识(IP Multimedia Public Identity,IMPU)、全球唯一临时UE标识(Globally Unique Temporary UE Identity,GUTI) 等等。
在本发明实施例中,所述数据包具体包括所述第一Cookie、经所述第一Cookie密钥加密的原始数据、第二MAC。
在本发明实施例中,所述用户设备可能为物联网设备IoT;所述数据包可能为小数据small data。
第二方面,本发明实施例提供了又一种数据传输方法,该方法包括:核心网设备接收用户设备发送的数据包,所述数据包包括第一Cookie和加密的原始数据;所述核心网设备验证所述第一Cookie,获得验证结果;所述核心网设备基于所述验证结果处理所述原始数据。
在具体实施例中,所述第一Cookie包括第一Cookie类型,所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备进行验证;在所述第一Cookie类型指示所述第一Cookie由所述核心网设备进行验证的情况下,所述核心网设备通过接入网设备接收所述用户设备发送的数据包。
在具体实施例中,所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;其中:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值。相应的,若验证结果为第一Cookie有效,则所述核心网设备解密所述原始数据,并向目标服务器发送经解密的原始数据;若验证结果为第一Cookie即将过期,则所述核心网设备与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述核心网设备向目标服务器发送经解密的原始数据。
具体的,在所述核心网设备接收所述用户设备发送的数据包之前,所述核心网设备生成所述第一Cookie,并向所述用户设备发送所述第一Cookie。
其中,所述核心网设备生成所述第一Cookie,过程可包括:所述核心网设备与所述用户设备进行双向认证;认证通过后,所述核心网设备根据用户设备标识生成所述第一Cookie。
在具体实施例中,所述第一Cookie还包括:第一Cookie ID、第一消息认证码MAC,其中:所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||第一Cookie密钥);其中,所述第一Cookie密钥为所述核心网设备推演出来的密钥,所述第一Cookie密钥=KDF(第一Cookie ID, 过期时间, 第一Cookie类型, K);其中,所述HMAC是密钥相关的哈希运算消息认证码, KDF为密钥推演函数,K为所述核心网设备预设的主密钥;所述核心网设备根据所述第一Cookie ID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
在具体实施例中,所述第一Cookie还包括:加密的用户设备标识、加密的快速重认证计数器;其中,所述第一MAC具体为:所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||En(用户设备标识,K)||En(快速重认证计数器, K), 第一Cookie密钥),其中,En为加密函数。
在Cookie即将过期的情况下,所述核心网设备将与所述用户设备进行快速重认证,以便于更新用户设备的Cookie,快速重认证包括:所述核心网设备生成第二Cookie ;所述核心网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是所述核心网设备基于预设的主密钥推演出来的密钥。
在具体实施例中,所述第一消息为快速重认证消息,快速重认证消息具体包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段,其中,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie, 所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
在具体实施例中,所述数据包包括所述第一Cookie、经所述第一Cookie密钥加密的原始数据、第二MAC。
在具体实施例中,所述用户设备为物联网设备IoT;所述数据包为小数据smalldata。
第三方面,本发明实施例提供一种数据传输方法,从用户设备侧描述,该方法包括:用户设备接收网络设备发送的第一Cookie和第一Cookie密钥;所述用户设备基于所述第一Cookie和第一Cookie密钥生成数据包;所述数据包包括所述第一Cookie、经所述第一Cookie密钥加密的原始数据;所述用户设备向网络设备发送所述数据包。
在具体实施例中,所述第一Cookie包括过期时间T;接入网在T0时间验证所述第一Cookie;其中:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;其中,所述TX为预设时间值。
在所述T即将过期的情况下,所述用户设备接收所述网络设备发送的第一消息,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是第一接入网设备基于预设的主密钥推演出来的密钥。所述用户设备使用所述第二Cookie和第二Cookie密钥更新所述第一Cookie和第一Cookie密钥。
在具体实施例中,所述网络设备为接入网设备或核心网设备,所述用户设备为物联网设备IoT;所述数据包为小数据small data。
第四方面,本发明实施例提供了一种接入网设备。该接入网设备包括:处理器、存储器和发射器以及接收器,以实现第一方面所述接入网设备的功能。
第五方面,本发明实施例提供了又一种接入网设备。该接入网设备包括:接收模块、认证模块和发送模块,以实现第一方面所述接入网设备的功能。
第六方面,本发明实施例提供了一种核心网设备。该核心网设备包括:处理器、存储器和发射器以及接收器,以实现第二方面所述接入网设备的功能。
第七方面,本发明实施例提供了又一种核心网设备。该核心网设备包括:接收模块、认证模块和发送模块,以实现第二方面所述接入网设备的功能。
第八方面,本发明实施例提供了一种用户设备。该用户设备包括:处理器、存储器和发射器以及接收器,以实现第三方面所述用户设备的功能。
第九方面,本发明实施例提供了又一种用户设备。该用户设备包括:接收模块、数据模块和发送模块,以实现第三方面所述用户设备的功能。
第十方面,本发明实施例提供一种通信系统,包括:第四方面或第五方面所述的接入网设备或第六方面或第七方面所述的核心网设备,以及第八方面或第九方面所述的用户设备。
第十一方面,本发明实施例提供了一种存储计算机指令的可读非易失性存储介质,该可读非易失性存储介质包括计算机指令,其中:
所述计算机指令被执行以实现第一方面描述的方法;或者,
所述计算机指令被执行以实现第二方面描述的方法;或者,
所述计算机指令被执行以实现第三方面描述的方法。
第十二方面,本发明实施例提供了一种计算机程序产品,当计算机程序产品运行于计算机时,被执行以实现第一方面描述的方法,或者,被执行以实现第二方面描述的方法,或者,被执行以实现第三方面描述的方法。
实施本发明实施例, IoT设备等用户设备在首次接入网络时,与网络进行认证以验证身份,获得网络侧(接入网设备或核心网设备)颁发的Cookie。之后,在用户设备有数据(如小数据)传输的需求时,用户设备直接发送携带Cookie数据包至网络侧,而无需再次进行认证和建立网络连接。网络侧通过验证Cookie来验证用户设备的身份的合法性。在Cookie验证通过后,则网络侧直接处理该数据的传输。通过实施本发明实施例,能够减轻大量用户设备需要进行通信时网络侧的负担,提高数据传输效率。
附图说明
图1是本发明实施例提供的一种通信架构示意图;
图2-图5是本发明实施例提供的几种数据包的格式示意图;
图6是本发明实施例提供的一种数据传输方法的流程示意图;
图7是本发明实施例提供的一种快速重认证方法的流程示意图;
图8是本发明实施例提供的一种快速重认证消息的示意图;
图9是本发明实施例提供的又一种数据传输方法的流程示意图;
图10是本发明实施例提供的又一种数据传输方法的流程示意图;
图11是本发明实施例提供的又一种数据传输方法的流程示意图;
图12是本发明实施例提供的又一种数据传输方法的流程示意图;
图13是本发明实施例提供的一种硬件设备的结构示意图;
图14是本发明实施例提供的一种接入网设备的结构示意图;
图15是本发明实施例提供的一种核心网设备的结构示意图;
图16是本发明实施例提供的一种用户设备的结构示意图。
具体实施方式
为便于方案理解,首先结合相关附图来举例介绍本申请实施例的方案所应用到的网络架构。本发明实施例提供的通信网络架构包括用户设备、接入网和核心网,参见图1,接入网中的设备(简称接入网设备,如图1中接入网设备121、接入网设备122)可以为多个,每个接入网设备可与一个或多个用户设备(如图1中用户设备111、用户设备112、用户设备113)建立通信连接,进行上行通信或下行通信;不同的接入网设备分别与核心网130通信连接,不同的接入网设备之间也可能具有通信连接(如图1中接入网设备121和接入网设备122通过X2接口连接);核心网130可与外部的网络140通信连接,网络140例如为数据网络(DataNet,DN),网络140中可包括应用服务器141。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,UE可以是物联网(Internet ofThings,IoT)设备,在具体的应用场景中也可以是终端设备(Terminal Equipment)、通信设备(Communication Device)。例如,IoT设备可以是传感器、智能电表(如图1中用户设备113)、智能水表、智能空调、智能单车(如图1中用户设备111)、智能汽车等等,终端设备可以是智能手机(如图1中用户设备112)、智能手表,智能平板等等。通信设备可以是服务器、网关(Gateway,GW)、控制器等等。
接入网(access network,AN),在具体应用中又可称为无线接入网(Radio AccessNetwork,RAN),RAN由接入网设备组成,负责用户设备的接入。 RAN可以是基站(如NB、eNB、gNB等)、无线保真(Wireless Fidelity,Wi-Fi)接入点、以及蓝牙接入点等等。
核心网(core network,CN),CN由核心网设备组成,CN作为承载网络提供到外部的网络(如DN)的接口,为UE提供通信连接、认证、管理、策略控制等服务。
上述通信网络架构可支持UE的非移动性通信和移动性通信。
例如,在一具体应用场景中,UE为智能电表113,由于智能电表113通常安置于固定位置,所以具有非移动性。当智能电表113需要与网络140中的应用服务器141进行通信时,可以先与接入网设备122通信连接,进而通过核心网130去访问应用服务器141,从而实现通信。
又例如,在另一具体应用场景中,UE为智能单车111,由于智能单车111会随着运动而发生位置转移,所以具有移动性。当智能单车111需要与网络140中的应用服务器141进行通信时,如果智能单车111位于接入网设备122的通信小区,则首先与接入网设备122通信连接,进而通过核心网130去访问应用服务器141。在智能单车111移动到接入网设备121的通信小区后,智能单车111切换为与接入网设备121通信连接,进而通过核心网130去应用服务器141。
在现有技术中,当UE有通信需求时,UE首先需要与网络侧进行网络认证,在网络认证通过的情况下,才能与接入网设备建立通信连接,进而再向网络发送数据。如果UE数量增多,那么就需要进行大量的网络认证,建立大量的网络连接。例如,对于物联网(Internetof Things,IoT)而言,IoT设备数量巨大,并且IoT设备通常是断断续续地与网络进行数据传输,每次数据传输都需要进行网络认证和建立网络连接。面对巨大数量的IOT设备的网络认证和网络连接,网络侧将需承担巨大的通信负担,数据传输效率将十分低下。为了解决现有技术在数据传输中的弊端,本发明提出了一种数据传输方案,能够减轻大量UE需要进行通信时网络侧的负担,提高数据传输效率。
为了实现本发明实施例的技术方案,需要对通信传输中的数据包进行重新设计。下面首先介绍本发明实施例中的几种数据包的格式,参见图2-图5。本发明实施例中的数据包包括Cookie,原始数据(可以是加密的,也可以是不加密的)和消息认证码(MessageAuthentication Code, MAC),其中,本发明实施例中的Cookie为是由网络设备(接入网设备或者核心网设备)生成的,可存储于UE中,用于认证UE的身份合法性的小量信息。本发明实施例中,根据Cookie的不同,可以将数据包设计成不同的格式,下面介绍以下几种数据包的格式:
(1)第一种数据包
参见图2,第一种数据包包括Cookie、En(原始数据,Cookie密钥)和第一MAC,其中:
En(原始数据,Cookie密钥):表示采用Cookie密钥进行加密的原始数据,其中,En为加密函数。
第一MAC:用于对数据进行完整性保护;
Cookie:用于作为认证UE的身份合法性的凭据。具体的,该Cookie可包括CookieID,过期时间,Cookie类型和第二MAC,其中:
Cookie ID:为该Cookie的识别标识;还可用于作为本发明实施例中快速重认证(fast reauthentication)的标识;
过期时间(expire time):用于指示该Cookie合法使用的时间期限;
Cookie类型(type):指示该Cookie是在接入网设备生成还是在核心网设备生成;
第二MAC:用于对Cookie进行完整性保护,具体可为:第二MAC=HMAC(Cookie ID||expire time || type||,Ki) 。其中,HMAC是密钥相关的哈希运算消息认证码,Ki为Cookie密钥。本发明实施例中,所述Cookie密钥是基于网络设备中的主密钥(master key)为该UE推演出来的密钥,具体推演方法为:Ki=KDF(Cookie ID, expire time,type, K),其中K表示该主密钥(master key),KDF为密钥推演函数。
对于第一种数据包,为了实现本发明实施例中网络侧基于数据包中的Cookie完成对UE身份合法性的认证,网络侧需要存储UE的上下文,也就是要存储与Cookie ID关联的Cookie信息、该Cookie信息包括UE标识(UE ID)、主密钥、以及用于快速重认证的计数器(F-counter),其中,UE ID可以是国际移动用户识别码(International Mobile SubscriberIdentification,IMSI)。网络侧接收到第一种数据包后,还可根据Ki=KDF(Cookie ID,expire time,type, K)推演出Cookie密钥。
(2)第二种数据包
参见图3,第二种数据包包括Cookie、En(原始数据,Cookie密钥)和第一MAC,其中:
En(原始数据,Cookie密钥):表示采用Cookie密钥进行加密的原始数据,其中,En为加密函数。
第一MAC:用于对数据进行完整性保护;
Cookie:用于作为认证UE的身份合法性的凭据。具体的,该Cookie包括Cookie ID,过期时间,Cookie类型、En(UE ID ,主密钥)、En(计数器,主密钥)和第二MAC,其中:
Cookie ID:为该Cookie的识别标识;还可用于作为本发明实施例中快速重认证(fast reauthentication)的标识;
过期时间(expire time):用于指示该Cookie合法使用的时间期限;
Cookie类型(type):指示该Cookie是在接入网设备生成还是在核心网设备生成;
En(UE ID ,主密钥):表示使用主密钥加密的UE标识(UE ID),该UE ID例如可以是IMSI。
En (F-计数器,主密钥):表示使用主密钥加密的用于快速重认证的计数器(F-counter);
第二MAC:用于对Cookie进行完整性保护,具体可为:第二MAC= HMAC(Cookie ID||expire time || type ||E(UE ID,K)||E(F-counter,K), Ki)。其中,HMAC是密钥相关的哈希运算消息认证码,Ki为Cookie密钥,具体的,Ki=KDF(Cookie ID,expire time,type, K)。其中K表示该主密钥(master key),KDF为密钥推演函数。
对于第二种数据包,为了实现本发明实施例中网络侧基于数据包中的Cookie完成对UE身份合法性的认证,网络侧只需要存储主密钥,而不需要存储UE的上下文(也就是说所存储的Cookie信息为主密钥)。另外,网络侧接收到第二种数据包后,还可根据Ki=KDF(Cookie ID, expire time,type, K)推演出Cookie密钥。
通过比较第一种数据包和第二种数据包,可以发现,第一种数据包相比第二种数据包而言数据量要小,有利于减轻通信负荷;第二种数据包相比第一种数据包而言网络侧存储量要小,有利于减轻网络侧存储压力。
(3)第三种数据包
参见图4,第三种数据包包括Cookie、En(原始数据,Cookie密钥)和第一MAC,其中:
En(原始数据,Cookie密钥):表示采用Cookie密钥进行加密的原始数据,其中,En为加密函数。
第一MAC:用于对数据进行完整性保护;
Cookie:用于作为认证UE的身份合法性的凭据。具体的,该Cookie可包括CookieID,过期时间,Cookie类型、RAN ID和第二MAC,其中:
Cookie ID:为该Cookie的识别标识;还可用于作为本发明实施例中快速重认证(fast reauthentication)的标识;
过期时间(expire time):用于指示该Cookie合法使用的时间期限;
Cookie类型(type):指示该Cookie是在接入网设备生成还是在核心网设备生成;
RAN ID:表示生成该Cookie的接入网设备的标识。
第二MAC:用于对Cookie进行完整性保护,具体可为:MAC=HMAC(Cookie ID||expire time || type ||RAN ID, Ki) 。其中,HMAC是密钥相关的哈希运算消息认证码,Ki为Cookie密钥,具体的,Ki=KDF(Cookie ID, expire time, type, RAN ID, K),其中K表示该主密钥(master key),KDF为密钥推演函数。
对于第三种数据包,为了实现本发明实施例中网络侧基于数据包中的Cookie完成对UE身份合法性的认证,网络侧需要存储UE的上下文,也就是要存储与Cookie ID关联的Cookie信息、该Cookie信息包括UE标识(UE ID)、主密钥(master key)、以及用于快速重认证的计数器(F-counter),其中,UE ID可以是IMSI。网络侧接收到第三种数据包后,还可根据Ki=KDF(Cookie ID, expire time,type, RAN ID, K)推演出Cookie密钥。
(4)第四种数据包
参见图5,第四种数据包包括Cookie、En(原始数据,Cookie密钥)和第一MAC,其中:
En(原始数据,Cookie密钥):表示采用Cookie密钥进行加密的原始数据,其中,En为加密函数。
第一MAC:用于对数据进行完整性保护;
Cookie:用于作为认证UE的身份合法性的凭据。具体的,该Cookie包括Cookie ID,过期时间,Cookie类型、RAN ID 、En(UE ID ,主密钥)、En(计数器,主密钥)和第二MAC,其中:
Cookie ID:为该Cookie的识别标识;还可用于作为本发明实施例中快速重认证(fast reauthentication)的标识;
过期时间(expire time):用于指示该Cookie合法使用的时间期限;
Cookie类型(type):指示该Cookie是在接入网设备生成还是在核心网设备生成;
RAN ID:表示生成该Cookie的接入网设备的标识。
En(UE ID ,主密钥):表示使用主密钥加密的UE标识(UE ID),该UE ID例如可以是IMSI。
En (F-计数器,主密钥):表示使用主密钥加密的用于快速重认证的计数器(F-counter);
第二MAC:用于对Cookie进行完整性保护,具体可为:MAC= HMAC(Cookie ID||expire time || type ||RAN ID||E(UE ID,K)||E(F-counter,K), Ki)。其中,HMAC是密钥相关的哈希运算消息认证码,Ki为Cookie密钥,具体为:Ki=KDF(Cookie ID, expire time,type, RAN ID, K)。
对于第四种数据包,为了实现本发明实施例中网络侧基于数据包中的Cookie完成对UE身份合法性的认证,网络侧只需要存储主密钥,而不需要存储UE的上下文(也就是说所存储的Cookie信息为主密钥)。另外,网络侧接收到第四种数据包后,还可根据Ki=KDF(Cookie ID, expire time,type,RAN ID,K)推演出Cookie密钥。
上述第三种数据包和第四种数据包相比起第一种数据包和第二种数据包,Cookie中增加了RAN ID,也就是说,第三种数据包和第四种数据包可应用于移动性通信的场景,第一种数据包和第二种数据包可应用于非移动性通信的场景。
另外,通过比较第三种数据包和第四种数据包,可以发现,第三种数据包相比第四种数据包而言数据量要小,有利于减轻通信负荷;第四种数据包相比第三种数据包而言网络侧存储量要小,有利于减轻网络侧存储压力。
基于上述通信架构和重新设计的数据包,下面描述本实施例提供的数据传输方法。
参见图6,本发明实施例提供了一种数据传输方法,包括但不限于以下步骤:
1、用户设备与网络设备进行双向认证。
验证通过后,则网络设备确定了UE的身份是真实合法的。其中,本发明实施例中,所述网络设备为接入网设备或者核心网设备(例如蜂窝网的接入网设备或者核心网设备)。
2、网络设备生成Cookie。
具体的,网络可基于用户设备标识(UE ID)为用户设备产生Cookie。其中,UE ID用于表征UE的身份。例如:UE ID可以是国际移动用户识别码(International MobileSubscriber Identity,IMSI)、国际移动设备标识(International Mobile EquipmentIdentity,IMEI)、媒体访问控制(Media Access Control,MAC)地址、网络协议(InternetProtocol,IP)地址、手机号码、IP多媒体私有标识(IP Multimedia Private Identity,IMPI)、临时移动用户标识符(Temporary Mobile Subscriber Identity,TMSI)、IP多媒体公共标识(IP Multimedia Public Identity,IMPU)、全球唯一临时UE标识(GloballyUnique Temporary UE Identity,GUTI) 等等中的一项或多项。
3、网络设备将Cookie发送至用户设备。
相应的,UE获得网络设备发送的Cookie后,将该Cookie保存于本地存储中。
需要说明的是,上述步骤1、2、3用于说明在确定UE身份的合法性之后,网络侧为UE配置相应的Cookie,也就是说,在本发明实施例的应用中,仅在首次的UE身份认证或后续数据传输失败需要重新进行双向认证的情况下才需要执行上述步骤1、2、3。
在UE已经完成Cookie配置的情况下,如果UE需要发送与网络侧进行数据传输,那么将可直接执行以下步骤4至步骤6(包括6a、6b、6c),描述如下:
4、用户设备向网络设备发送数据包,
在本发明具体实施例中,所述数据包为小数据(small data)。
在UE有小数据发送需求时,UE将小数据直接发送至网络设备,其中,所述小数据携带有Cookie,所述小数据的格式可参考图2-图5实施例的描述,这里不再赘述。
5、网络设备验证Cookie。
网络侧收到数据包后,检查数据包中的Cookie的Cookie类型,即检查Cookie类型指示的是接入网设备还是核心网设备,从而确定数据包由接入网设备还是核心网设备进行处理。然后,所确定的接入网设备或核心网设备根据预存在本地存储中的Cookie信息验证数据包中的Cookie。
在本发明具体实施例中,网络侧接收到数据包后,查看所存储的Cookie信息,基于数据包中Cookie的第二MAC进行Cookie的完整性检验;如果完整性检验通过,则继续检查数据包的Cookie ID与UE标识是否具备对应关系;然后,检验Cookie中的过期时间(可简称T)。假设网络侧在T0时间验证该Cookie,那么:
若T0<T-TX,则所述验证结果为该Cookie有效;
若T-TX<T0<T+TX , 则验证结果为该Cookie即将过期;
若T0>T+TX,则验证结果为该Cookie无效;
其中,所述TX为预设时间值,例如,TX的取值可以是20s、10min、1h…等等自定义的预设值。
如果验证结果为Cookie完整有效,则说明Cookie验证成功,后续将执行步骤6a;如果验证结果为Cookie即将过期,则后续将执行步骤6b;如果验证结果为Cookie无效,则说明Cookie验证失败,后续将执行步骤6c。
6a、网络设备向用户设备发送确认消息(Ack),将原始数据发送至网络。
一方面,所确定的接入网设备或核心网设备发送Ack给UE,以通知UE数据成功接收;另一方面,如果该数据包中的原始数据为加密状态,则所确定的接入网设备或核心网设备基于本地存储的Cookie信息加密该原始数据,并将解密后的原始数据发送至外部的网络(例如发送至网络中的应用服务器)。
6b、网络设备与用户设备进行快速重认证。
具体的,所确定的接入网设备或核心网设备和UE基于Cookie ID和Cookie密钥进行快速重认证,快速重认证后,UE将获得并存储更新的合法的Cookie和新的Cookie密钥,以避免UE所储存的Cookie过期。
对于该数据包中的原始数据,在一具体实施例中,网络设备将解压后的原始数据发送至外部的网络;在另一具体实施例中,网络设备可该数据包丢弃,UE可在快速重认证后,使用新的Cookie和新的Cookie密钥和该原始数据生成新的数据包,再重新发送至网络侧。
6c、网络设备与用户设备重新执行步骤1、2、3。
在验证结果为Cookie无效的情况下,网络设备可以丢弃该数据包。另外,网络设备与UE需重新进行双向认证,以重新确认UE的身份是否还真实合法,如果认证通过,则网络设备重新为该UE生成新的Cookie,并将新的Cookie发送给UE,UE存储该新的Cookie。可以理解的,后续UE可使用新的Cookie和新的Cookie密钥和该原始数据生成新的数据包,再重新发送至网络侧。
可以看出,实施本发明实施例,IoT设备等用户设备在首次接入网络时,与网络进行认证以验证身份,获得网络侧(接入网设备或核心网设备)颁发的Cookie。之后,在用户设备有数据(如小数据)传输的需求时,用户设备直接发送携带Cookie数据包至网络侧,而无需再次进行认证和建立网络连接。网络侧通过验证Cookie来验证用户设备的身份的合法性。在Cookie验证通过后,则网络侧直接处理该数据的传输。通过实施本发明实施例,能够减轻大量用户设备需要进行通信时网络侧的负担,提高数据传输效率。
下面详细说明本发明实施例中所涉及的快速重认证(fast reauthentication)。在网络侧接收到UE发送的数据包,检验到发现数据包的Cookie即将过期,还根据快速重认证的计数器检验到该Cookie的Cookie ID是支持快速重认证的,那么,网络设备与用户设备进行快速重认证,参见图7,快速重认证过程包括但不限于以下步骤:
1、网络设备向用户设备发送快速重认证消息(fast reauthenticationmessage),该快速重认证消息包括新的Cookie和新的Cookie密钥,还可以包括新的CookieID。
参见图8,在具体的实现中,该快速重认证消息具体包括:
(1)AT_IV字段;
(2)AT_ENCR_DATA字段;
(3)加密的AT_COUNTER字段;
(4)加密的AT_NONCE_S字段;
(5)加密的AT_NEXT_REAUTH_ID 字段。
其中,所述AT_IV 字段可包含新的Cookie密钥和/或新的 Cookie。所述AT_ENCR_DATA 字段可包含新的 Cookie和/或新的Cookie密钥。所述加密的AT_NEXT_REAUTH_ID 字段可包含新的Cookie ID。
其中,所述加密的AT_COUNTER字段可表示加密的快速重认证的计数器,作用是规定快速重认证的次数,以及当前属于快速重认证的第几次。所述加密AT_NONCE_S表示加密过后的服务器产生的随机数值Nonce,其作用是防止重放攻击(Replay Attacks)。 所述AT_MAC的作用是是对整个快速重认证消息进行完整性保护。
2、用户设备存储新的Cookie和新的Cookie密钥。
用户设备收到快速重认证消息后,基于AT-MAC进行完整性检验,并验证该快速重认证的计数器,验证通过后,将新的Cookie和新的Cookie密钥保存到本地存储中。
3、用户设备向网络设备发送快速重认证响应。
UE发送快速重认证响应给网络设备。在在具体的实现中,快速重认证响应可包括AT_IV字段, AT_ENCR_DATA字段, 加密的AT_COUNTER字段(和快速重认证消息中AT_COUNTER的值相同), AT_MAC字段。
4、网络设备检验该快速重认证响应。
在具体实施例中,接收到快速重认证响应后,网络侧可根据AT_MAC进行完整性检验。
5、网络设备向用户设备发送快速重认证结果。
在步骤4中的验证通过后,网络设备向用户设备发送快速重认证结果,以通知用户设备本次快速重认证成功。
可以看出,实施本发明实施例,在用户设备与网络侧进行数据传输过程中,如果Cookie即将过期,那么网络侧将与用户设备进行快速重认证,从而快速更新用户设备中的Cookie,保证了后续数据传输的顺利进行。通过实施本发明实施例有助于减轻大量用户设备需要进行通信时网络侧的负担,提高数据传输效率。
参见图9,本发明实施例提供了又一种数据传输方法,包括但不限于以下步骤:
1、UE与RAN进行双向认证,验证通过则确定了UE的身份是真实合法的。
2、RAN生成Cookie。
RAN基于UE的相关信息为UE产生Cookie,具体的,基于UE ID为该UE产生Cookie。
3、RAN将Cookie发送至UE,相应的,UE获得RAN发送的Cookie后,将该Cookie保存于本地存储中。
需要说明的是,上述步骤1、2、3用于说明在确定UE身份的合法性之后,网络侧为UE配置相应的Cookie,也就是说,在本发明实施例的应用中,仅在首次的UE身份认证或后续数据传输失败需要重新进行双向认证的情况下才需要执行上述步骤1、2、3。
在UE已经完成Cookie配置的情况下,如果UE需要发送与网络侧进行数据传输,那么将可直接执行以下步骤4至步骤6(包括6a、6b、6c),描述如下:
4、UE向RAN发送数据包。
在本发明具体实施例中,所述数据包可包括小数据(small data)。
在UE有小数据发送需求时,UE将小数据直接发送至RAN,其中,所述小数据携带有Cookie,所述小数据的格式可参考图2-图3实施例的描述,这里不再赘述。
5、RAN验证Cookie。
RAN收到数据包后,检查数据包中的Cookie的Cookie类型,确定数据包由接入网设备进行处理。然后,RAN根据预存在本地存储中的Cookie信息验证数据包中的Cookie。具体的验证过程可参考图6实施例步骤5的描述,这里不再赘述。
如果验证结果为Cookie完整有效,则说明Cookie验证成功,后续将执行步骤6a;如果验证结果为Cookie即将过期,则后续将执行步骤6b;如果验证结果为Cookie无效,则说明Cookie验证失败,后续将执行步骤6c。
6a、RAN将原始数据发送至CN,CN将原始数据发送至外部的网络。
RAN根据数据包的第一MAC进行完整性检验,验证通过后,RAN解密该原始数据。
举例来说,数据包中的原始数据采用Cookie密钥进行加密,则RAN根据所接收到的Cookie以及所存储的主密钥(简称K)推演该Cookie密钥(简称Ki),具体推演方法为:Ki=KDF(Cookie ID, 过期时间,Cookie类型, K),进而RAN解密该原始数据。
RAN将解密后的数据发送给核心网CN,CN将数据转发送给外部的网络。在具体的应用场景中,若UE为IoT设备,IoT设备需要与IoT设备平台进行通信,则CN将数据转发送给IoT平台。之后,IoT平台发送确认消息(Ack)给CN,向CN表示收到数据。CN发送确认消息(Ack)给RAN,向RAN表示收到数据。RAN进而发送确认消息(Ack)给IoT设备,向IoT设备表示收到数据。
6b、RAN与UE进行快速重认证。
RAN和UE可基于Cookie ID和Cookie密钥进行快速重认证,详细过程可参考图7-图8实施例的描述,这里不再赘述。
对于数据包中的原始数据,在一具体实施例中,RAN将解压后的原始数据发送至CN/外部的网络;在另一具体实施例中,RAN可该数据包丢弃,UE可在快速重认证后,使用新的Cookie和新的Cookie密钥和该原始数据生成新的数据包,再重新发送至RAN。
6c、RAN与UE重新执行步骤1、2、3。
可参考图6实施例中步骤6c的描述,这里不再赘述。
上述图9实施例可应用于非移动性通信的场景。实施本发明实施例,IoT设备等UE在首次接入网络时,与网络侧进行认证以验证身份后,获得RAN颁发的Cookie。之后,在UE有数据(如小数据)传输的需求时,UE直接发送携带Cookie数据包至RAN,而无需再次进行认证和建立网络连接。RAN通过验证Cookie来验证UE的身份的合法性。在Cookie验证通过后,RAN直接处理该数据的后续传输,从而完成数据通信。通过实施本发明实施例,能够减轻大量UE需要进行通信时网络侧的负担,提高数据传输效率。
参见图10,本发明实施例提供了又一种数据传输方法,包括但不限于以下步骤:
1、UE与第一RAN进行双向认证,验证通过则确定了UE的身份是真实合法的。
2、第一RAN生成Cookie。
具体的,第一RAN可基于UE ID为该UE产生Cookie。
3、第一RAN将Cookie发送至UE。UE获得Cookie后,将该Cookie保存于本地存储中。
需要说明的是,上述步骤1、2、3用于说明在确定UE身份的合法性之后,网络侧为UE配置相应的Cookie,也就是说,在本发明实施例的应用中,仅在首次的UE身份认证或后续数据传输失败需要重新进行双向认证的情况下才需要执行上述步骤1、2、3。
在UE已经完成Cookie配置的情况下,如果UE需要发送与网络侧进行数据传输,那么将可直接执行以下步骤4至步骤9(包括9a、9b、9c),描述如下:
4、UE向第二RAN发送数据包。
在具体的应用场景中,UE可能需要将当前通信从第一RAN切换到第二RAN。
举例来说,当UE发生位置移动,从第一RAN的通信小区移动到第二RAN的通信小区,那么就需要将当前通信从第一RAN切换到第二RAN。
又举例来说,当第一RAN网络通信负担过重,UE可能需要根据预设的规则切换到网络通信负担正常的第二RAN进行数据传输。
在UE有数据包(比如小数据)发送需求时,UE将数据包直接发送至第二RAN,其中,所述数据包携带有Cookie,所述数据包的格式可参考图4-图5实施例的描述,这里不再赘述。
5、第二RAN检查Cookie中所包含的RAN ID。
第二RAN收到数据包后,检查Cookie中的Cookie类型,确定该Cookie类型指示接入网设备,然后查看Cookie中所包含的RAN ID,发现该RAN ID不是自己的ID,而是第一RAN的ID(即第一RAN ID)。第二RAN判断自己和第一RAN之间是否有X2接口。如果有X2接口,则后续执行步骤6a;如果没有X2接口,则执行步骤6b。
6a、第二RAN通过X2接口将Cookie发送至第一RAN。
具体的,第二RAN从数据包中提取出Cookie,通过X2接口将Cookie发送至第一RAN。
6b、第二RAN通过核心网将Cookie发送至第一RAN。
具体的,第二RAN从数据包中提取出Cookie,发送Cookie给CN,CN根据Cookie中的RAN ID,把Cookie发给第一RAN。
7、第一RAN将Cookie密钥、Cookie信息发送至第二RAN。
第一RAN在收到Cookie后,将Cookie密钥以及所存储的Cookie信息发送给第二RAN。
8、第二RAN验证Cookie。
第二RAN利用从第一RAN获得的Cookie信息去验证Cookie。具体的验证过程可参考图6实施例步骤5的描述,这里不再赘述。
如果验证结果为Cookie完整有效,则说明Cookie验证成功,后续将执行步骤9a;如果验证结果为Cookie即将过期,则后续将执行步骤9b;如果验证结果为Cookie无效,则说明Cookie验证失败,后续将执行步骤9c。
9a、第二RAN基于Cookie信息解密原始数据,将解密的原始数据发送至CN,CN将原始数据发送至网络。
可参考图9实施例步骤6a的描述,这里不再赘述。
9b、第二RAN与UE进行快速重认证。
第二RAN和UE可基于Cookie ID和Cookie密钥进行快速重认证,详细过程可参考图7-图8实施例的描述,这里不再赘述。
9c、第二RAN与UE类似地执行步骤1、2、3。
可类似地参考图6实施例中步骤6c的描述,这里不再赘述。
上述图10实施例可应用于移动性通信的场景。需要说明的是,对于上述图10实施例,在可能的实现方式中,由于第二RAN已经保存从第一RAN获得的Cookie信息,所以后续UE如果还将数据包发送至第二RAN,那么UE与第二RAN之间的数据传输将可视为非移动性通信,具体数据传输过程可参考图9实施例的描述。
实施本发明实施例,IoT设备等UE在首次接入网络时,与网络侧进行认证以验证身份后,获得第一RAN颁发的Cookie。之后,在UE有数据(如小数据)传输的需求时,UE直接发送携带Cookie数据包至第二RAN,而无需再次进行认证和建立网络连接。第二RAN基于Cookie中的RAN ID判断该UE进行了RAN通信切换,第二RAN从第一RAN获得Cookie信息,基于Cookie信息验证Cookie进而来验证UE的身份的合法性。在Cookie验证通过后,第二RAN直接处理该数据的后续传输,从而完成数据通信。通过实施本发明实施例,能够减轻大量UE需要进行通信时网络侧的负担,提高数据传输效率。
参见图11,实施例提供了一种数据传输方法,包括但不限于以下步骤:
1、UE与第一RAN进行双向认证,验证通过则确定了UE的身份是真实合法的。
2、第一RAN生成第一Cookie。
具体的,第一RAN可基于UE ID为该UE产生第一Cookie。
3、第一RAN将第一Cookie发送至UE。UE获得第一Cookie后,将该第一Cookie保存于本地存储中。
需要说明的是,上述步骤1、2、3用于说明在确定UE身份的合法性之后,网络侧为UE配置相应的Cookie,也就是说,在本发明实施例的应用中,仅在首次的UE身份认证或后续数据传输失败需要重新进行双向认证的情况下才需要执行上述步骤1、2、3。
在UE已经完成第一Cookie配置的情况下,如果UE需要发送与网络侧进行数据传输,那么将可直接执行以下步骤4至步骤8(包括8a、8b、8c),描述如下:
4、UE向第二RAN发送数据包。
在具体的应用场景中,UE可能需要将当前通信从第一RAN切换到第二RAN。在UE有数据包(比如小数据)发送需求时,UE将数据包直接发送至第二RAN,其中,所述数据包携带有Cookie,所述数据包的格式可参考图4-图5实施例的描述,这里不再赘述。
5、第二RAN检查第一Cookie的RAN ID。
第二RAN收到数据包后,检查第一Cookie中的Cookie类型,确定该Cookie类型指示接入网设备,然后查看Cookie中所包含的RAN ID,发现该RAN ID不是自己的ID,而是第一RAN的ID(即第一RAN ID)。第二RAN判断自己和第一RAN之间是否有X2接口。如果有X2接口,则后续执行步骤6a;如果没有X2接口,则执行步骤6b。
6a、第二RAN通过X2接口将数据包发送至第一RAN。
6b、第二RAN通过核心网将数据包发送至第一RAN。
具体的,第二RAN将数据包发送给CN,CN检查数据包中的第一Cookie中的RAN ID,把数据包转发给第一RAN。
7、第一RAN验证数据包的第一Cookie。
第一RAN利用所存储的Cookie信息去验证数据包的第一Cookie。具体的验证过程可参考图6实施例步骤5的描述,这里不再赘述。
如果验证结果为第一Cookie完整有效,则说明Cookie验证成功,第一RAN验证数据包的第一MAC,并解密原始数据。在可能的实施例中,第一RAN还利用第一Cookie的第一Cookie 密钥(简称Ki)和第二RAN 的ID(即第二RAN ID)推演出一个新的密钥(new key),具体的,new key =KDF(Ki, 第二RAN ID),后续将执行步骤8a;
如果验证结果为第一Cookie即将过期,则后续将执行步骤8b;
如果验证结果为Cookie无效,则说明Cookie验证失败,后续将执行步骤8c。
8a、第一RAN将新的密钥、经解密的原始数据发送至第二RAN,第二RAN将经解密的原始数据发送给CN。CN将该数据转发送给外部网络的应用服务器(例如UE为IoT设备时,应用服务器可为IoT平台)。应用服务器发送确认消息(Ack)给CN,表示收到了数据。CN发送确认消息(Ack)给第二RAN,表示收到数据。第二RAN发送确认消息(Ack)给UE,表示收到数据。
需要说明的是,在本发明一种可能的实施例中,步骤8a还可以是:第一RAN向CN/应用服务器发送经解密的原始数据,向第二RAN发送新的密钥。
8b、第一RAN向第二RAN发送第一Cookie的Cookie信息,第二RAN与UE进行快速重认证。
具体的,第二RAN和UE可基于Cookie信息进行快速重认证,详细过程可参考图7-图8实施例的描述,这里不再赘述。
8c、第二RAN与UE类似地执行步骤1、2、3。
可类似地参考图6实施例中步骤6c的描述,这里不再赘述。
在本发明的具体实现中,图11实施例后续还可能包括步骤9至11,所述步骤9-11目的在于:第二RAN生成第二Cookie,并向UE配置该第二Cookie。具体描述如下:
9、第二RAN生成第二Cookie、第二Cookie密钥。
具体的。第二RAN根据UE ID生成第二Cookie和第二Cookie密钥。
10、第二RAN向UE发送第二Cookie、第二Cookie密钥。
在一可能的实施例中,第二RAN使用从第一RAN获得的新的密钥(new key)来加密第二Cookie密钥,加密第二Cookie密钥具体为:En(第二Cookie密钥, new key),然后,直接向UE发送第二Cookie和加密的第二Cookie密钥。
在另一可能的实施例中,第二RAN使用从第一RAN获得的新的密钥来加密第二Cookie密钥,然后将自己的RAN ID(即第二RAN ID)、第二Cookie,加密的第二Cookie密钥,以及在上述步骤8a实施例中从CN获得的确认消息(Ack)一起发送给UE。
此外,对于第二RAN侧,第二RAN将存储该第二Cookie对应的Cookie信息。
11、UE存储第二Cookie、第二Cookie密钥。
具体的,UE利用收到第二RAN_ID,和原先保存在本地的第一Cookie密钥,推演出该新的密钥(new key),具体推演过程为:New Key=KDF(第一Cookie密钥, 第二RAN_ID)。然后,UE利用该新的密钥解密出第二Cookie密钥。 UE存储该第二Cookie和第二Cookie密钥。可以理解的, UE后续有数据传输需求时,将基于第二Cookie和第二Cookie密钥生成数据包。
上述图11实施例可应用于移动性通信的场景。需要说明的是,对于上述图10实施例,在可能的实现方式(如步骤9-11所述)中,如果第二RAN向UE配置第二Cookie,那么后续UE如果还将数据包发送至第二RAN,那么UE与第二RAN之间的数据传输将可视为非移动性通信,具体数据传输过程可参考图9实施例的描述。
实施本发明实施例,IoT设备等UE在首次接入网络时,与网络侧进行认证以验证身份后,获得第一RAN颁发的第一Cookie。之后,在UE有数据(如小数据)传输的需求时,UE直接发送携带第一Cookie数据包至第二RAN,而无需再次进行认证和建立网络连接。第二RAN基于第一Cookie中的RAN ID判断该UE进行了RAN通信切换并将数据包发给第一RAN,第一RAN基于Cookie信息验证Cookie进而来验证UE的身份的合法性,第二RAN从第一RAN获得解密的原始数据并发送至CN,从而完成数据通信。通过实施本发明实施例,能够减轻大量UE需要进行通信时网络侧的负担,提高数据传输效率。
参见图12,本发明实施例提供了又一种数据传输方法,包括但不限于以下步骤:
1、UE与CN进行双向认证,验证通过则确定了UE的身份是真实合法的。
2、CN生成Cookie。
CN基于UE的相关信息为UE产生Cookie,具体的,基于UE ID为该UE产生Cookie。
3、CN将Cookie发送至UE。相应的,UE获得CN发送的Cookie后,将该Cookie保存于本地存储中。
需要说明的是,上述步骤1、2、3用于说明在确定UE身份的合法性之后,网络侧为UE配置相应的Cookie,也就是说,在本发明实施例的应用中,仅在首次的UE身份认证或后续数据传输失败需要重新进行双向认证的情况下才需要执行上述步骤1、2、3。
在UE已经完成Cookie配置的情况下,如果UE需要发送与网络侧进行数据传输,那么将可直接执行以下步骤4至步骤6(包括6a、6b、6c),描述如下:
4、UE向RAN发送数据包,RAN将数据包转发至CN。
在本发明具体实施例中,所述数据包可包括小数据。所述小数据携带有Cookie,小数据的格式可参考图2-图3实施例的描述,这里不再赘述。
在UE有小数据发送需求时,UE将小数据直接发送至RAN,RAN收到小数据后,首先检查小数据中的Cookie类型,确定该Cookie类型指示核心网设备,然后,RAN将小数据发送至CN。
5、CN验证Cookie.
CN收到数据包(如小数据)后,检查数据包中的Cookie的Cookie类型,确定数据包由核心网设备进行处理。然后,CN根据预存在本地存储中的Cookie信息验证数据包中的Cookie。具体的验证过程可参考图6实施例步骤5的描述,这里不再赘述。
如果验证结果为Cookie完整有效,则说明Cookie验证成功,后续将执行步骤6a;如果验证结果为Cookie即将过期,则后续将执行步骤6b;如果验证结果为Cookie无效,则说明Cookie验证失败,后续将执行步骤6c。
6a、CN将原始数据发送至外部的网络。
具体的,CN根据数据包的第一MAC进行完整性检验,验证通过后,CN解密该原始数据。
举例来说,数据包中的原始数据采用Cookie密钥进行加密,则CN根据所接收到的Cookie以及所存储的主密钥(简称K)推演该Cookie密钥(简称Ki),具体推演方法为:Ki=KDF(Cookie ID, 过期时间,Cookie类型, K),进而CN解密出该原始数据。
CN将原始数据转发送给外部的网络。在具体的应用场景中,若UE为IoT设备,则CN将数据转发送给IoT平台。之后,IoT平台发送确认消息(Ack)给CN,向CN表示收到数据。CN发送确认消息(Ack)给RAN,向RAN表示收到数据。RAN进而发送确认消息(Ack)给IoT设备,向IoT设备表示收到数据。
6b、CN与UE进行快速重认证。
CN和UE可基于Cookie ID和Cookie密钥进行快速重认证,详细过程可参考图7-图8实施例的描述,这里不再赘述。
对于数据包中的原始数据,在一具体实施例中,CN将解压后的原始数据发送至外部的网络;在另一具体实施例中,CN可该数据包丢弃,UE可在快速重认证后,使用新的Cookie和新的Cookie密钥和该原始数据生成新的数据包,再重新发送至CN。
6c、CN与UE重新执行步骤1、2、3。
可参考图6实施例中步骤6c的描述,这里不再赘述。
上述图12实施例可应用于非移动性通信的场景。实施本发明实施例,IoT设备等UE在首次接入网络时,与网络侧进行认证以验证身份后,获得CN颁发的Cookie。之后,在UE有数据(如小数据)传输的需求时,UE直接发送携带Cookie数据包至CN,而无需再次进行认证和建立网络连接。CN通过验证Cookie来验证UE的身份的合法性。在Cookie验证通过后,CN直接处理该数据的后续传输,从而完成数据通信。通过实施本发明实施例,能够减轻大量UE需要进行通信时网络侧的负担,提高数据传输效率。
上文描述了本发明实施例的方法,下面将描述本发明实施例的相关设备。
参见图13,本发明实施例提供了一种硬件设备1300,该硬件设备1300包括处理器1301、存储器1302和发射器1303以及接收器1304,所述处理器1301、存储器1302和发射器1303以及接收器1304相连接(如通过总线相互连接)。
存储器1302包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器1302用于存储相关程序代码及数据(例如网络侧的Cookie信息)。
接收器1304用于接收数据。发射器1303用于发射数据。
处理器1301可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器1301是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1301用于读取所述存储器1302中存储的程序代码,以实现图6实施例中的所述网络设备的功能。
当硬件设备1300为接入网设备时,存储器1302中存储的程序代码具体用于实现图9或图10或图11的实施例中的所述RAN的功能。具体的:
所述存储器用于存储第一Cookie信息;
所述接收器用于接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
所述处理器用于基于所存储的Cookie信息验证所述第一Cookie,获得验证结果;还用于基于所述验证结果处理所述原始数据。
在本发明具体实施例中,所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
所述处理器用于验证所述第一Cookie,获得验证结果,包括:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值。
相应的,若验证结果为第一Cookie有效,则所述处理器用于解密所述原始数据,所述发射器用于向核心网设备发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述处理器用于与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述发射器用于向核心网设备发送经解密的原始数据。
在具体的实施例中,在所述接收器接收所述用户设备发送的数据包之前,包括:
所述处理器与所述用户设备进行双向认证;认证通过后,所述处理器根据用户设备标识生成所述第一Cookie。
在具体的实施例中,所述第一Cookie还包括第一Cookie类型;所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的;
具体的,所述处理器用于根据所述第一Cookie信息验证所述第一Cookie,包括:
在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下,所述处理器用于根据所述第一Cookie信息验证所述第一Cookie。
在具体的实施例中,所述第一Cookie还包括:第一Cookie ID、第一消息认证码MAC,其中:
所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||第一Cookie密钥);
其中,所述第一Cookie密钥为所述处理器推演出来的密钥;其中:
所述第一Cookie密钥=KDF(第一Cookie ID, 过期时间, 第一Cookie类型, K);
其中,所述HMAC是密钥相关的哈希运算消息认证码, KDF为密钥推演函数,K为所述第一接入网设备预设的主密钥;
所述处理器用于根据所述第一Cookie ID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
在可能的实施例中,所述第一Cookie还包括:加密的用户设备标识、加密的快速重认证计数器;
其中,所述第一MAC具体为:
所述第一MAC= HMAC(第一Cookie ID||过期时间||第一Cookie类型||En(用户设备标识,K)||En(快速重认证计数器, K), 第一Cookie密钥),其中,En为加密函数。
在具体的实施例中,在Cookie即将过期时,所述处理器与所述用户设备进行快速重认证,以更新用户设备中的Cookie,验证过程包括:
所述处理器生成第二Cookie ;所述发射器向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是所述处理器基于预设的主密钥推演出来的密钥。
其中,所述第一消息为快速重认证消息,所述快速重认证消息可以包括:
(1)AT_IV字段,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie;
(2)AT_ENCR_DATA字段,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥;
(3)经加密的AT_NEXT_REAUTH_ID字段,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
(4)加密的AT_COUNTER字段,所述加密的AT_COUNTER字段可表示加密的快速重认证的计数器;
(5)加密的AT_NONCE_S字段,所述加密AT_NONCE_S表示加密过后的服务器产生的随机数值Nonce;
(6)加密的AT_NEXT_REAUTH_ID 字段,所述AT_MAC的作用是是对整个快速重认证消息进行完整性保护。
在可能的实施例中,所述第一Cookie还包括第一接入网设备标识RAN ID,所述RANID用于指示生成所述第一Cookie的接入网设备的ID。
在所述接收器接收用户设备发送的数据包之后,还包括:所述处理器检验所述RANID是否为所述第一接入网设备的ID;
所述处理器验证所述第一Cookie,具体为:在所述RAN ID是所述第一接入网设备的ID的情况下,所述处理器验证所述第一Cookie。
在具体的实施例中,在所述处理器验证所述第一Cookie之前,还包括:
在所述RAN ID不是所述接入网的ID的情况下,所述发射器向所述RAN ID所指示的第二接入网设备发送所述第一Cookie;所述接收器接收所述第二接入网设备基于所述第一Cookie反馈的第二Cookie信息;其中,所述第二Cookie信息存储于所述第二接入网设备,所述第二Cookie信息包括所述第一Cookie ID、所述第一Cookie密钥和所述用户设备标识;所述处理器验证所述第一Cookie,包括:所述处理器根据所述第二Cookie信息验证所述第一Cookie。
所述发射器向所述RAN ID所指示的第二接入网设备发送所述第一Cookie,包括两种情况:
情况一:如果所述第一接入网设备和所述第二接入网设备之间具有X2接口,则所述发射器通过X2接口向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
情况二:如果所述第一接入网设备和所述第二接入网设备之间不具有X2接口,所述发射器通过核心网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
在可能的实施例中,在所述RAN ID不是所述接入网的ID的情况下,所述发射器用于向所述RAN ID所指示的第三接入网设备发送所述数据包。所述接收器用于接收所述第三接入网设备反馈的经解密的原始数据;所述发射器用于向核心网发送所述经解密的原始数据。
在具体的实施例中,所述接收器还用于接收所述第三接入网设备反馈的密钥;所述密钥是所述第三接入网设备基于所述第一Cookie密钥和所述第一接入网的ID生成的;所述处理器用于基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥;其中,所述第三Cookie中的RAN ID指示所述第一接入网设备的ID;
所述发射器用于向所述用户设备发送所述第三Cookie和经过所述密钥加密的第三Cookie密钥,以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥。
需要说明的,当硬件设备1300为接入网设备时,处理器1301、存储器1302、发射器1301、接收器1304的相关技术特征可参照图9-11实施例中的所述第一RAN和第二RAN的相关内容,这里不再赘述。
当硬件设备1300为核心网设备时,存储器1302中存储的程序代码具体用于实现图12的实施例中的所述CN的功能。具体的:
所述存储器用于存储第一Cookie信息;
所述接收器用于接收用户设备发送的数据包,所述数据包包括第一Cookie和加密的原始数据;
所述处理器用于基于所存储的Cookie信息验证所述第一Cookie,获得验证结果;
还用于基于所述验证结果处理所述原始数据。
在具体实施例中,所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值。
对应的,若验证结果为第一Cookie有效,则所述处理器解密所述原始数据,所述发射器向目标服务器发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述处理器与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述发射器向目标服务器发送经解密的原始数据。
在具体实施例中,在所述接收器接收所述用户设备发送的数据包之前,包括:所述处理器与所述用户设备进行双向认证;认证通过后,所述处理器根据用户设备标识生成所述第一Cookie。
在具体实施例中,所述第一Cookie包括:加密的用户设备标识、加密的快速重认证计数器、Cookie类型、第一Cookie ID、消息认证码MAC;其中:
所述MAC= HMAC(第一Cookie ID||过期时间|| Cookie类型||En(用户设备标识,K)||En(快速重认证计数器, K), 第一Cookie密钥),其中,En为加密函数。
具体的,所述接收器用于根据所述第一Cookie类型接收所述数据包,所述处理器用于根据所述第一Cookie ID识别所述第一Cookie,根据所述MAC对所述第一Cookie进行完整性检验。
在具体实施例中,当Cookie即将过期,那么,所述处理器与所述用户设备进行快速重认证,认证过程包括:
所述处理器生成第二Cookie ;所述发射器向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;所述第二Cookie密钥是所述处理器基于预设的主密钥推演出来的密钥。
其中,所述第一消息为快速重认证消息,所述快速重认证消息可以包括:
(1)AT_IV字段,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie;
(2)AT_ENCR_DATA字段,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥;
(3)经加密的AT_NEXT_REAUTH_ID字段,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
(4)加密的AT_COUNTER字段,所述加密的AT_COUNTER字段可表示加密的快速重认证的计数器;
(5)加密的AT_NONCE_S字段,所述加密AT_NONCE_S表示加密过后的服务器产生的随机数值Nonce;
(6)加密的AT_NEXT_REAUTH_ID 字段,所述AT_MAC的作用是是对整个快速重认证消息进行完整性保护。
需要说明的,当硬件设备1300为核心网设备时,处理器1301、存储器1302、发射器1301、接收器1304的相关技术特征可参照图12实施例中的所述CN的相关内容,这里不再赘述。
当硬件设备1300为用户设备时,存储器1302中存储的程序代码具体用于实现图9-12的实施例中的所述UE的功能。具体的:
接收器1304接收网络设备发送的第一Cookie和第一Cookie密钥;
存储器1302存储所述第一Cookie和第一Cookie密钥;
处理器1301基于所述第一Cookie和第一Cookie密钥生成数据包;所述数据包包括所述第一Cookie、经所述第一Cookie密钥加密的原始数据;
发射器1303向网络设备发送所述数据包。
在具体实施例中,所述第一Cookie包括过期时间T;接入网在T0时间验证所述第一Cookie;其中:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX , 则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;其中,所述TX为预设时间值。
在所述T即将过期的情况下,所述用户设备接收所述网络设备发送的第一消息,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是第一接入网设备基于预设的主密钥推演出来的密钥。所述用户设备使用所述第二Cookie和第二Cookie密钥更新所述第一Cookie和第一Cookie密钥。
在具体实施例中,所述网络设备为接入网设备或核心网设备,所述用户设备为物联网设备IoT;所述数据包为小数据small data。
需要说明的,当硬件设备1300为用户设备时,处理器1301、存储器1302、发射器1301、接收器1304的相关技术特征可参照图9-12实施例中的所述UE的相关内容,这里不再赘述。
基于同一发明构思,本发明实施例还提供一种接入网设备1400,如图14所示,接入网设备1400可包括:接收模块1401、认证模块1402、发送模块1403。其中:
接收模块1401用于接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
认证模块1402用于验证所述第一Cookie,获得验证结果;基于所述验证结果处理所述原始数据;
发送模块1403用于向核心网设备/外部的网络或者其他接入网设备发送所述数据包。
需要说明的,通过前述图9-11实施例中RAN的详细描述,本领域技术人员可以清楚知道接入网设备1400所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,本发明实施例还提供一种核心网设备1500,如图15所示,接入网设备1500可包括:接收模块1501、认证模块1502、发送模块1503。其中:
接收模块1501用于接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
认证模块1502用于验证所述第一Cookie,获得验证结果;基于所述验证结果处理所述原始数据。
发送模块1503用于向外部的网络/应用服务器发送所述数据包。
需要说明的,通过前述图12实施例中CN的详细描述,本领域技术人员可以清楚知道核心网设备1500所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,本发明实施例还提供一种用户设备1600,如图16所示,接入网设备1600可包括:接收模块1601、数据模块1602、发送模块1603。其中:
接收模块1601用于接收网络设备发送的第一Cookie和第一Cookie密钥;
数据模块1602用于基于所述第一Cookie和第一Cookie密钥生成数据包;所述数据包包括所述第一Cookie、经所述第一Cookie密钥加密的原始数据;
发送模块1603用于向网络设备发送所述数据包;所述网络设备为接入网设备或核心网设备。
需要说明的,通过前述图9-12实施例中UE的详细描述,本领域技术人员可以清楚知道用户设备1600所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (33)
1.一种数据传输方法,其特征在于,包括:
第一接入网设备接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
所述第一接入网设备验证所述第一Cookie,获得验证结果;
所述第一接入网设备基于所述验证结果处理所述原始数据;
所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
所述第一接入网设备验证所述第一Cookie,获得验证结果,包括:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX,则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值;
所述第一接入网设备基于所述验证结果处理所述原始数据,包括:
若验证结果为第一Cookie有效,则所述第一接入网设备解密所述原始数据,并向核心网设备发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述第一接入网设备与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述第一接入网设备向核心网设备发送经解密的原始数据。
2.根据权利要求1所述的方法,其特征在于,在所述第一接入网设备接收所述用户设备发送的数据包之前,包括:
所述第一接入网设备与所述用户设备进行双向认证;
认证通过后,所述接入网设备根据用户设备标识生成所述第一Cookie。
3.根据权利要求1或2所述的方法,其特征在于,所述第一Cookie还包括第一Cookie类型;所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的;
所述第一接入网设备验证所述第一Cookie,包括:
在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下,所述第一接入网设备验证所述第一Cookie。
4.根据权利要求3所述的方法,其特征在于,所述第一Cookie还包括:第一Cookie ID、第一消息认证码MAC,其中:
所述第一MAC=HMAC(第一Cookie ID||过期时间||第一Cookie类型||第一Cookie密钥);
其中,所述第一Cookie密钥为所述接入网设备推演出来的密钥,所述第一Cookie密钥=KDF(第一Cookie ID,过期时间,第一Cookie类型,K);
其中,所述HMAC是密钥相关的哈希运算消息认证码,KDF为密钥推演函数,K为所述第一接入网设备预设的主密钥;
所述第一接入网设备根据所述第一Cookie ID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
5.根据权利要求4所述的方法,其特征在于,所述第一Cookie还包括:加密的用户设备标识、加密的快速重认证计数器;
所述第一MAC具体为:
所述第一MAC=HMAC(第一Cookie ID||过期时间||第一Cookie类型||En(用户设备标识,K)||En(快速重认证计数器,K),第一Cookie密钥),其中,En为加密函数。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述第一接入网设备与所述用户设备进行快速重认证,包括:
所述第一接入网设备生成第二Cookie;
所述第一接入网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是所述第一接入网设备基于预设的主密钥推演出来的密钥。
7.根据权利要求6所述的方法,其特征在于,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID,具体为:
所述第一消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段,其中,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述第一Cookie还包括第一接入网设备标识RAN ID,所述RAN ID用于指示生成所述第一Cookie的接入网设备的ID;
在第一接入网设备接收用户设备发送的数据包之后,还包括:所述第一接入网设备检验所述RAN ID是否为所述第一接入网设备的ID;
所述第一接入网设备验证所述第一Cookie,具体为:在所述RAN ID是所述第一接入网设备的ID的情况下,所述第一接入网设备验证所述第一Cookie。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述第一接入网设备验证所述第一Cookie之前,还包括:
在所述RAN ID不是所述接入网的ID的情况下,所述第一接入网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie;所述第一接入网设备接收所述第二接入网设备基于所述第一Cookie反馈的第一Cookie信息;其中,所述第一Cookie信息存储于所述第二接入网设备,所述第一Cookie信息包括所述第一Cookie ID、所述第一Cookie密钥和所述用户设备标识;
所述第一接入网设备验证所述第一Cookie,具体为:所述第一接入网设备根据所述第一Cookie信息验证所述第一Cookie。
10.根据权利要求8或9所述的方法,其特征在于,所述第一接入网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie,包括:
如果所述第一接入网设备和所述第二接入网设备之间具有X2接口,则所述第一接入网设备通过X2接口向所述RAN ID所指示的第二接入网设备发送所述第一Cookie;
如果所述第一接入网设备和所述第二接入网设备之间不具有X2接口,所述第一接入网设备通过核心网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
11.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在所述RAN ID不是所述接入网的ID的情况下,所述第一接入网设备向所述RAN ID所指示的第三接入网设备发送所述数据包;
所述第一接入网设备接收所述第三接入网设备反馈的经解密的原始数据;
所述第一接入网设备向核心网发送所述经解密的原始数据。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述第一接入网设备还接收所述第三接入网设备反馈的密钥;所述密钥是所述第三接入网设备基于所述第一Cookie密钥和所述第一接入网的ID生成的;
所述第一接入网设备基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥;其中,所述第三Cookie中的RAN ID指示所述第一接入网设备的ID;
所述接入网设备向所述用户设备发送所述第三Cookie和经过所述密钥加密的第三Cookie密钥,以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥。
13.一种数据传输方法,其特征在于,包括:
核心网设备接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
所述核心网设备验证所述第一Cookie,获得验证结果;
所述核心网设备基于所述验证结果处理所述原始数据;
所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
所述核心网设备验证所述第一Cookie,获得验证结果,包括:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX,则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值;
所述核心网设备基于所述验证结果处理所述原始数据,包括:
若验证结果为第一Cookie有效,则所述核心网设备解密所述原始数据,并向目标服务器发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述核心网设备与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述核心网设备向目标服务器发送经解密的原始数据。
14.根据权利要求13所述的方法,其特征在于,在所述核心网设备接收所述用户设备发送的数据包之前,包括:
所述核心网设备与所述用户设备进行双向认证;
认证通过后,所述核心网设备根据用户设备标识生成所述第一Cookie。
15.根据权利要求13或14所述的方法,其特征在于,所述第一Cookie包括:加密的用户设备标识、加密的快速重认证计数器、Cookie类型、第一Cookie ID、消息认证码MAC;所述MAC=HMAC(第一Cookie ID||过期时间||Cookie类型||En(用户设备标识,K)||En(快速重认证计数器,K),第一Cookie密钥),其中,En为加密函数;
所述核心网设备根据所述第一Cookie类型接收所述数据包,根据所述第一CookieID识别所述第一Cookie,根据所述MAC对所述第一Cookie进行完整性检验。
16.根据权利要求13至15任一项所述的方法,其特征在于,所述核心网设备与所述用户设备进行快速重认证,包括:
所述核心网设备生成第二Cookie;
所述核心网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID;其中,所述第二Cookie密钥是所述核心网设备基于预设的主密钥推演出来的密钥。
17.根据权利要求16所述的方法,其特征在于,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID,具体为:
所述第一消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段,其中,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
18.一种接入网设备,其特征在于,包括:发射器、接收器、存储器和与存储器耦合的处理器,所述发射器、所述接收器、所述存储器、所述处理器通过总线或者其它方式连接;其中:
所述存储器用于存储第一Cookie信息;
所述接收器用于接收用户设备发送的数据包,所述数据包包括第一Cookie和原始数据;
所述处理器用于基于所存储的Cookie信息验证所述第一Cookie,获得验证结果;还用于基于所述验证结果处理所述原始数据;
所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
所述处理器用于验证所述第一Cookie,获得验证结果,包括:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX,则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值;
所述处理器用于基于所述验证结果处理所述原始数据,包括:
若验证结果为第一Cookie有效,则所述处理器用于解密所述原始数据,所述发射器用于向核心网设备发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述处理器用于与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述发射器用于向核心网设备发送经解密的原始数据。
19.根据权利要求18所述的接入网设备,其特征在于,在所述接收器接收所述用户设备发送的数据包之前,包括:
所述处理器与所述用户设备进行双向认证;
认证通过后,所述处理器根据用户设备标识生成所述第一Cookie。
20.根据权利要求18或19所述的接入网设备,其特征在于,所述第一Cookie还包括第一Cookie类型;所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的;
所述处理器用于根据所述第一Cookie信息验证所述第一Cookie,包括:
在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下,所述处理器用于根据所述第一Cookie信息验证所述第一Cookie。
21.根据权利要求20所述的接入网设备,其特征在于,所述第一Cookie还包括:第一Cookie ID、第一消息认证码MAC,其中:
所述第一MAC=HMAC(第一Cookie ID||过期时间||第一Cookie类型||第一Cookie密钥);
其中,所述第一Cookie密钥为所述处理器推演出来的密钥,所述第一Cookie密钥=KDF(第一Cookie ID,过期时间,第一Cookie类型,K);
其中,所述HMAC是密钥相关的哈希运算消息认证码,KDF为密钥推演函数,K为所述接入网设备预设的主密钥;
所述处理器用于根据所述第一Cookie ID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
22.根据权利要求21所述的接入网设备,其特征在于,所述第一Cookie还包括:加密的用户设备标识、加密的快速重认证计数器;
所述第一MAC具体为:
所述第一MAC=HMAC(第一Cookie ID||过期时间||第一Cookie类型||En(用户设备标识,K)||En(快速重认证计数器,K),第一Cookie密钥),其中,En为加密函数。
23.根据权利要求18至22任一项所述的接入网设备,其特征在于,所述处理器用于与所述用户设备进行快速重认证,包括:
所述处理器生成第二Cookie;
所述发射器向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;其中,所述第二Cookie密钥是所述处理器基于预设的主密钥推演出来的密钥。
24.根据权利要求23所述的接入网设备,其特征在于,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID,具体为:
所述第一消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段,其中,所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥,所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二Cookie ID。
25.根据权利要求18至24任一项所述的接入网设备,其特征在于,所述第一Cookie还包括第一接入网设备标识RAN ID,所述RAN ID用于指示生成所述第一Cookie的接入网设备的ID;
在所述接收器接收用户设备发送的数据包之后,还包括:所述处理器检验所述RAN ID是否为所述第一接入网设备的ID;
所述处理器验证所述第一Cookie,具体为:在所述RAN ID是所述第一接入网设备的ID的情况下,所述处理器验证所述第一Cookie。
26.根据权利要求25所述的接入网设备,其特征在于,在所述处理器验证所述第一Cookie之前,还包括:
在所述RAN ID不是所述接入网的ID的情况下,所述发射器向所述RAN ID所指示的第二接入网设备发送所述第一Cookie;所述接收器接收所述第二接入网设备基于所述第一Cookie反馈的第二Cookie信息;其中,所述第二Cookie信息存储于所述第二接入网设备,所述第二Cookie信息包括所述第一Cookie ID、所述第一Cookie密钥和所述用户设备标识;
所述处理器验证所述第一Cookie,包括:所述处理器根据所述第二Cookie信息验证所述第一Cookie。
27.根据权利要求25或26所述的接入网设备,其特征在于,所述发射器向所述RAN ID所指示的第二接入网设备发送所述第一Cookie,包括:
如果所述第一接入网设备和所述第二接入网设备之间具有X2接口,则所述发射器通过X2接口向所述RAN ID所指示的第二接入网设备发送所述第一Cookie;
如果所述第一接入网设备和所述第二接入网设备之间不具有X2接口,所述发射器通过核心网设备向所述RAN ID所指示的第二接入网设备发送所述第一Cookie。
28.根据权利要求25所述的接入网设备,其特征在于,
在所述RAN ID不是所述接入网的ID的情况下,所述发射器用于向所述RAN ID所指示的第三接入网设备发送所述数据包;
所述接收器用于接收所述第三接入网设备反馈的经解密的原始数据;
所述发射器用于向核心网发送所述经解密的原始数据。
29.根据权利要求28所述的接入网设备,其特征在于,
所述接收器还用于接收所述第三接入网设备反馈的密钥;所述密钥是所述第三接入网设备基于所述第一Cookie密钥和所述第一接入网的ID生成的;
所述处理器用于基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥;其中,所述第三Cookie中的RAN ID指示所述第一接入网设备的ID;
所述发射器用于向所述用户设备发送所述第三Cookie和经过所述密钥加密的第三Cookie密钥,以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥。
30.一种核心网设备,其特征在于,包括:发射器、接收器、存储器和与存储器耦合的处理器,所述发射器、所述接收器、所述存储器、所述处理器通过总线或者其它方式连接;其中:
所述存储器用于存储第一Cookie信息;
所述接收器用于接收用户设备发送的数据包,所述数据包包括第一Cookie和加密的原始数据;
所述处理器用于基于所存储的Cookie信息验证所述第一Cookie,获得验证结果;
还用于基于所述验证结果处理所述原始数据;
所述第一Cookie包括过期时间T,接入网在T0时间验证所述第一Cookie;
所述处理器验证所述第一Cookie,获得验证结果,包括:
若T0<T-TX,则所述验证结果为第一Cookie有效;
若T-TX<T0<T+TX,则验证结果为第一Cookie即将过期;
若T0>T+TX,则验证结果为第一Cookie无效;
其中,所述TX为预设时间值;
所述处理器基于所述验证结果处理所述原始数据,包括:
若验证结果为第一Cookie有效,则所述处理器解密所述原始数据,所述发射器向目标服务器发送经解密的原始数据;
若验证结果为第一Cookie即将过期,则所述处理器与所述用户设备进行快速重认证,以便于更新所述用户设备中的第一Cookie;所述发射器向目标服务器发送经解密的原始数据。
31.根据权利要求30所述的核心网设备,其特征在于,在所述接收器接收所述用户设备发送的数据包之前,包括:
所述处理器与所述用户设备进行双向认证;
认证通过后,所述处理器根据用户设备标识生成所述第一Cookie。
32.根据权利要求30或31所述的核心网设备,其特征在于,所述第一Cookie包括:加密的用户设备标识、加密的快速重认证计数器、Cookie类型、第一Cookie ID、消息认证码MAC;所述MAC=HMAC(第一Cookie ID||过期时间||Cookie类型||En(用户设备标识,K)||En(快速重认证计数器,K),第一Cookie密钥),其中,En为加密函数;
所述接收器用于根据所述第一Cookie类型接收所述数据包,所述处理器用于根据所述第一Cookie ID识别所述第一Cookie,根据所述MAC对所述第一Cookie进行完整性检验。
33.根据权利要求30至32任一项所述的核心网设备,其特征在于,所述处理器与所述用户设备进行快速重认证,包括:
所述处理器生成第二Cookie;
所述发射器向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥,所述第一消息包括第二Cookie、第二Cookie密钥和第二Cookie ID;所述第二Cookie密钥是所述处理器基于预设的主密钥推演出来的密钥。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SG2017/050371 WO2019017839A1 (zh) | 2017-07-21 | 2017-07-21 | 数据传输方法、相关设备以及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111615837A CN111615837A (zh) | 2020-09-01 |
| CN111615837B true CN111615837B (zh) | 2023-10-13 |
Family
ID=65015262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780092970.0A Active CN111615837B (zh) | 2017-07-21 | 2017-07-21 | 数据传输方法、相关设备以及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11381973B2 (zh) |
| EP (1) | EP3637815B1 (zh) |
| CN (1) | CN111615837B (zh) |
| BR (1) | BR112020000870A2 (zh) |
| WO (1) | WO2019017839A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11509466B2 (en) * | 2021-01-14 | 2022-11-22 | Ford Global Technologies, Llc | Transmission of authentication keys |
| US11811760B2 (en) * | 2021-04-14 | 2023-11-07 | Citrix Systems, Inc. | Sessionless validation of client connections while mitigating cookie hijack attacks |
| EP4420300A1 (en) * | 2021-10-18 | 2024-08-28 | Sophos Limited | Network appliances for secure enterprise resources |
| CN114189359B (zh) * | 2021-11-18 | 2023-12-01 | 临沂大学 | 一种避免数据篡改的物联网设备、数据安全传输方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101193424A (zh) * | 2006-11-28 | 2008-06-04 | 中国移动通信集团公司 | 一种鉴权方法、通信系统以及设备 |
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN105072088A (zh) * | 2010-01-22 | 2015-11-18 | 交互数字专利控股公司 | 一种在具有用户的无线设备处执行的方法 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6032260A (en) * | 1997-11-13 | 2000-02-29 | Ncr Corporation | Method for issuing a new authenticated electronic ticket based on an expired authenticated ticket and distributed server architecture for using same |
| US7313816B2 (en) * | 2001-12-17 | 2007-12-25 | One Touch Systems, Inc. | Method and system for authenticating a user in a web-based environment |
| US7373508B1 (en) * | 2002-06-04 | 2008-05-13 | Cisco Technology, Inc. | Wireless security system and method |
| US8024784B1 (en) * | 2004-09-16 | 2011-09-20 | Qurio Holdings, Inc. | Method and system for providing remote secure access to a peer computer |
| US8402141B2 (en) * | 2004-09-28 | 2013-03-19 | International Business Machines Corporation | Gracefully reestablishing an expired browser session |
| US8887233B2 (en) * | 2005-04-08 | 2014-11-11 | Netapp, Inc. | Cookie-based acceleration of an authentication protocol |
| WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
| US8064948B2 (en) * | 2006-01-09 | 2011-11-22 | Cisco Technology, Inc. | Seamless roaming for dual-mode WiMax/WiFi stations |
| KR100755394B1 (ko) * | 2006-03-07 | 2007-09-04 | 한국전자통신연구원 | Umts와 무선랜간의 핸드오버 시 umts에서의 빠른재인증 방법 |
| US7793094B2 (en) * | 2006-04-18 | 2010-09-07 | Cisco Technology, Inc. | HTTP cookie protection by a network security device |
| US8965338B2 (en) * | 2008-06-09 | 2015-02-24 | Apple Inc | Network access control methods and apparatus |
| US8245039B2 (en) * | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| US8555069B2 (en) * | 2009-03-06 | 2013-10-08 | Microsoft Corporation | Fast-reconnection of negotiable authentication network clients |
| DE102009051201B4 (de) * | 2009-10-29 | 2012-12-20 | Siemens Aktiengesellschaft | Authentifikation und Datenintegritätschutz eines Tokens |
| US8392562B2 (en) * | 2009-12-23 | 2013-03-05 | Citrix Systems, Inc. | Systems and methods for managing preferred client connectivity to servers via multi-core system |
| US9479488B2 (en) * | 2012-01-26 | 2016-10-25 | Facebook, Inc. | Network access based on social-networking information |
| US20130298209A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using sngle sign-on systems |
| CN104661171B (zh) | 2013-11-25 | 2020-02-28 | 中兴通讯股份有限公司 | 一种用于mtc设备组的小数据安全传输方法和系统 |
| WO2015185878A1 (en) * | 2014-06-02 | 2015-12-10 | Kabushiki Kaisha Toshiba | Access point for facilitating connection of one or more wireless user devices to a communications channel |
| WO2015197121A1 (en) * | 2014-06-26 | 2015-12-30 | Nokia Solutions And Networks Oy | Offloading of a wireless node authentication with core network |
| US9590962B2 (en) * | 2014-07-07 | 2017-03-07 | Alcatel-Lucent Usa Inc. | Using cookies to identify security contexts for connectionless service |
| US9860324B1 (en) * | 2014-12-10 | 2018-01-02 | Google Llc | Rapid establishment of a connection from multiple address locations |
| CN104506502B (zh) * | 2014-12-12 | 2018-08-24 | 国家电网公司 | 一种融合通信网络与主站对接的方法 |
| CN105471833B (zh) * | 2015-05-14 | 2019-04-16 | 瑞数信息技术(上海)有限公司 | 一种安全通讯方法和装置 |
| US10299244B2 (en) | 2015-06-19 | 2019-05-21 | Qualcomm Incorporated | Small data transmission in a wireless communications system |
| US10097562B2 (en) * | 2016-05-06 | 2018-10-09 | Sap Se | Service token handling |
| US10193895B2 (en) * | 2016-05-18 | 2019-01-29 | Abdulrahman Alhothaily | System and method for remote authentication with dynamic usernames |
| WO2018064519A1 (en) * | 2016-09-29 | 2018-04-05 | Convida Wireless, Llc | Storing and retrieving the network context of a device |
| US10250634B2 (en) * | 2016-11-11 | 2019-04-02 | Juniper Networks, Inc | Apparatus, system, and method for protecting against denial of service attacks using one-time cookies |
| US11323529B2 (en) * | 2017-07-18 | 2022-05-03 | A10 Networks, Inc. | TCP fast open hardware support in proxy devices |
| US10903999B1 (en) * | 2019-09-11 | 2021-01-26 | Zscaler, Inc. | Protecting PII data from man-in-the-middle attacks in a network |
-
2017
- 2017-07-21 BR BR112020000870-2A patent/BR112020000870A2/pt not_active IP Right Cessation
- 2017-07-21 CN CN201780092970.0A patent/CN111615837B/zh active Active
- 2017-07-21 WO PCT/SG2017/050371 patent/WO2019017839A1/zh unknown
- 2017-07-21 EP EP17918558.2A patent/EP3637815B1/en active Active
-
2020
- 2020-01-21 US US16/748,556 patent/US11381973B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101193424A (zh) * | 2006-11-28 | 2008-06-04 | 中国移动通信集团公司 | 一种鉴权方法、通信系统以及设备 |
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN105072088A (zh) * | 2010-01-22 | 2015-11-18 | 交互数字专利控股公司 | 一种在具有用户的无线设备处执行的方法 |
Non-Patent Citations (1)
| Title |
|---|
| Huawei ; HiSilicon .3GPP tsg_sa\WG3_Security,TSGS3_85_Santa_Cruz,S3-161683 "A Ticket-Based Solution for Small Data Transmission in User Plane".2016,正文"5.14.4.X Solution #14.X: A Ticket-Based Solution for Small Data Transmission in User Plane". * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200162922A1 (en) | 2020-05-21 |
| US11381973B2 (en) | 2022-07-05 |
| WO2019017839A1 (zh) | 2019-01-24 |
| CN111615837A (zh) | 2020-09-01 |
| EP3637815B1 (en) | 2022-05-25 |
| EP3637815A4 (en) | 2020-06-17 |
| EP3637815A1 (en) | 2020-04-15 |
| BR112020000870A2 (pt) | 2020-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6979420B2 (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| CN109417690B (zh) | 核心网无连接小数据传递 | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| US8374582B2 (en) | Access method and system for cellular mobile communication network | |
| EP3910977B1 (en) | Security protection method, computer readable storage medium and apparatus | |
| US8397071B2 (en) | Generation method and update method of authorization key for mobile communication | |
| US11381973B2 (en) | Data transmission method, related device, and related system | |
| CN110720202B (zh) | 针对未经认证的用户设备利用安全密钥交换以进行受限服务的附着过程的方法和装置 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| US11316670B2 (en) | Secure communications using network access identity | |
| WO2012174959A1 (zh) | 一种机器到机器通信中组认证的方法、系统及网关 | |
| CN116391378A (zh) | 使用验证数字标识的订阅入网 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| WO2017000620A1 (zh) | 重认证识别方法、演进分组数据网关及系统 | |
| WO2017009714A1 (en) | Establishing a temporary subscription with isolated e-utran network | |
| WO2012068801A1 (zh) | 移动终端的认证方法及移动终端 | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
| WO2008069627A1 (en) | Generation method and update method of authorization key for mobile communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |