CN113163395A - 一种终端与服务器通信、密钥配置的方法和装置 - Google Patents

一种终端与服务器通信、密钥配置的方法和装置 Download PDF

Info

Publication number
CN113163395A
CN113163395A CN202010015312.5A CN202010015312A CN113163395A CN 113163395 A CN113163395 A CN 113163395A CN 202010015312 A CN202010015312 A CN 202010015312A CN 113163395 A CN113163395 A CN 113163395A
Authority
CN
China
Prior art keywords
terminal
server
beacon frame
base station
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010015312.5A
Other languages
English (en)
Inventor
于小博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN202010015312.5A priority Critical patent/CN113163395A/zh
Publication of CN113163395A publication Critical patent/CN113163395A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例提供了一种终端与服务器通信、密钥配置的方法和装置,该终端与服务器通信的方法,包括:终端通过第一基站向服务器发送入网请求消息;所述终端通过所述第二基站接收所述服务器发送的入网接受消息;所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。本申请实施例中,终端可以在接收到入网接受消息后,根据入网接受消息确定是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。

Description

一种终端与服务器通信、密钥配置的方法和装置
技术领域
本申请涉及通信技术领域,特别是涉及一种终端与服务器通信的方法、一种密钥配置的方法、一种终端与服务器通信的装置和一种密钥配置的装置。
背景技术
物联网技术是继计算机和互联网之后的第三次信息技术革命,具有实时性和交互性的特点,已经被广泛应用于城市管理、数字家庭、定位导航、物流管理、安保系统等多个领域。其中,LoRa(Long Range)是物联网中的一种基于扩频技术的超远距离传输方案,具有传输距离远、低功耗、多节点和低成本等特性。
目前LoRa广域网缺乏对DDoS(Distributed Denial of Service,分布式拒绝服务攻击)的防护机制。例如,在LoRa Class B协议中,信标帧(Beacon)的传输起到了时间同步等重要作用。然而,信标帧的传输没有采取任何安全措施。攻击者可以通过仿冒信标帧的方式来发送假的Beacon帧给终端设备,造成终端设备的传输故障。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种终端与服务器通信的方法、一种密钥配置的方法、一种终端与服务器通信的装置和一种密钥配置的装置。
为了解决上述问题,本申请实施例公开了一种终端与服务器通信的方法,包括:
终端通过第一基站向服务器发送入网请求消息;
所述终端通过所述第二基站接收所述服务器发送的入网接受消息;
所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述入网接受消息包括安全指示信息;所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息,包括:
所述终端根据所述安全指示信息,确定所述服务器是否对所述信标帧进行加密。
可选地,所述入网接受消息还包括网络标识;所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息,包括:
所述终端根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
可选地,还包括:
所述终端通过第三基站向所述服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
本申请实施例还公开了一种终端与服务器通信的方法,包括:
终端通过第一基站接收服务器发送的第二请求消息;
所述终端根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述第二请求消息包括安全指示信息;所述终端根据所述第二请求消息,更改针对信标帧的安全配置信息,包括:
所述终端根据所述安全指示信息,更改是否启用对信标帧进行解密。
可选地,还包括:
在更改是否对信标帧进行解密后,所述终端生成第一回复消息,并通过第二基站向所述服务器发送所述第一回复消息,所述第一回复消息包括安全配置更改确认信息。
本申请实施例还公开了一种终端与服务器通信的方法,包括:
终端通过第一基站向服务器发送第三请求消息;
所述终端通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
本申请实施例还公开了一种密钥配置的方法,包括:
基站接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
所述基站向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
可选地,还包括:
所述基站将所述服务器发送的安全配置更改请求消息,转发至所述终端。
可选地,还包括:
所述基站将所述终端发送的安全配置更改结果消息,转发至所述服务器。
可选地,还包括:
所述基站将所述终端发送的密钥请求消息,转发至所述服务器。
本申请实施例还公开了一种终端与服务器通信的方法,包括:
服务器通过第一基站接收终端发送的入网请求消息;
所述服务器通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述入网接受消息包括安全指示信息;所述安全指示信息用于指示所述终端确定所述服务器是否对所述信标帧进行加密。
本申请实施例还公开了一种终端与服务器通信的方法,包括:
服务器通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
所述服务器通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
本申请实施例还公开了一种终端与服务器通信的方法,包括:
服务器通过第一基站接收终端发送的第六请求消息;
所述服务器通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
本申请实施例还公开了一种密钥配置的方法,包括:
服务器确定与终端匹配的第四密钥信息;
所述服务器向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于终端的入网请求消息发送模块,用于通过第一基站向服务器发送入网请求消息;
位于所述终端的入网接受消息接收模块,用于通过所述第二基站接收所述服务器发送的入网接受消息;
位于所述终端的安全配置信息确定模块,用于根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述入网接受消息包括安全指示信息;所述安全配置信息确定模块包括:
加密确定子模块,用于根据所述安全指示信息,确定所述服务器是否对所述信标帧进行加密。
可选地,所述入网接受消息还包括网络标识;所述安全配置信息确定模块包括:
第一密钥信息确定子模块,用于根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
可选地,还包括:
位于所述终端的第一请求消息发送模块,用于通过第三基站向所述服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于终端的第二请求消息接收模块,用于通过第一基站接收服务器发送的第二请求消息;
位于所述终端的安全配置信息更改模块,用于根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述第二请求消息包括安全指示信息;所述安全配置信息更改模块包括:
安全配置信息更改子模块,用于根据所述安全指示信息,更改是否启用对信标帧进行解密。
可选地,还包括:
位于所述终端的第一回复消息发送模块,用于在更改是否对信标帧进行解密后,生成第一回复消息,并通过第二基站向所述服务器发送所述第一回复消息,所述第一回复消息包括安全配置更改确认信息。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于终端的第三请求消息发送模块,用于通过第一基站向服务器发送第三请求消息;
位于所述终端的第三回复消息接收模块,用于通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
本申请实施例还公开了一种密钥配置的装置,包括:
位于基站的第一消息接收模块,用于接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
位于所述基站的信标帧发送模块,用于向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
可选地,还包括:
位于所述基站的安全配置更改请求消息转发模块,用于将所述服务器发送的安全配置更改请求消息,转发至所述终端。
可选地,还包括:
位于所述基站的安全配置更改结果消息转发模块,用于将所述终端发送的安全配置更改结果消息,转发至所述服务器。
可选地,还包括:
位于所述基站的密钥请求消息转发模块,用于将所述终端发送的密钥请求消息,转发至所述服务器。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于服务器的入网请求消息接收模块,用于通过第一基站接收终端发送的入网请求消息;
位于服务器的入网接受消息发送模块,用于通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
可选地,所述入网接受消息包括安全指示信息;所述安全指示信息用于指示所述终端确定所述服务器是否对所述信标帧进行加密。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于服务器的第五请求消息发送模块,用于通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
位于所述服务器的第五回复消息发送模块,用于通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
本申请实施例还公开了一种终端与服务器通信的装置,包括:
位于服务器的第六请求消息接收模块,用于通过第一基站接收终端发送的第六请求消息;
位于所述服务器的第六回复消息发送模块,用于通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
本申请实施例还公开了一种密钥配置的装置,包括:
位于服务器的第四密钥信息确定模块,用于确定与终端匹配的第四密钥信息;
位于所述服务器的第二消息发送模块,用于向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
本申请实施例还公开了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如上所述的一个或多个的方法。
本申请实施例还公开了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如上所述的一个或多个的方法。
本申请实施例包括以下优点:
本申请实施例中,终端可以在接收到入网接受消息后,根据入网接受消息确定是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
对于DDoS攻击,在终端启用对信标帧进行加解密后,终端可以根据密钥信息确保只接收可信的信标帧,而拒绝接收仿冒的信标帧,避免安全风险,并且提升了网络传输效率。
附图说明
图1是本申请的一种终端与服务器通信的方法实施例一的步骤流程图;
图2是本申请的一种终端与服务器通信的方法实施例二的步骤流程图;
图3是本申请的一种终端与服务器通信的方法实施例三的步骤流程图;
图4是本申请的一种密钥配置的方法实施例一的步骤流程图;
图5是本申请的一种终端与服务器通信的方法实施例四的步骤流程图;
图6是本申请的一种终端与服务器通信的方法实施例五的步骤流程图;
图7是本申请的一种终端与服务器通信的方法实施例六的步骤流程图;
图8是本申请的一种密钥配置的方法实施例二的步骤流程图;
图9是本申请实施例中终端与服务器通信的示意图;
图10是本申请的一种终端与服务器通信的装置实施例一的结构框图;
图11是本申请的一种终端与服务器通信的装置实施例二的结构框图;
图12是本申请的一种终端与服务器通信的装置实施例三的结构框图;
图13是本申请的一种密钥配置的装置实施例一的结构框图;
图14是本申请的一种终端与服务器通信的装置实施例四的结构框图;
图15是本申请的一种终端与服务器通信的装置实施例五的结构框图;
图16是本申请的一种终端与服务器通信的装置实施例六的结构框图;
图17是本申请的一种密钥配置的装置实施例二的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
LoRa网络包括终端节点、基站节点和服务器。终端具有LoRa网络连接能力,并接入该LoRa网络。根据该LoRa网络所部署的应用场景的不同,该终端可以包括不同的电子设备,比如,在该LoRa网络应用于城市管理中时,该终端可以包括智能电表;在该LoRa网络应用于数字家庭中时,该终端可以包括各种智能家电等等。
LoRa终端按照工作模式可以划分为三种类型:
Class A模式:运行在Class A模式的终端采用ALOHA协议按需上报数据。在每次上行后都会紧跟两个短暂的下行接收窗口,以此实现双向传输。这种传输模式功率使用最小,终端只有当数据发送时才会被唤醒。其余时间均处于睡眠状态。基于Class A,LoRaWAN可以适用于监视,短消息上报等应用场景。
Class B:也可以叫做Beacon模式。在ClassB模式下,终端周期性唤醒并接收下行数据。Class B模式的终端会有更多的周期性的接收时隙,除了Class A的随机接收窗口,Class B设备还会在指定时间打开别的接收窗口。为了让终端可以在指定时间打开接收窗口,终端需要从基站接收时间同步的信标(Beacon)。这样服务器也就可以获知终端设备的所有接收窗口的时刻。
Class C:持续接收模式,运行在Class C模式的终端基本是一直打开着接收窗口,只在发送时短暂关闭。终端运行在Class C模式会比运行在Class A模式和运行在Class B模式更加耗电。
基站,在LoRa网络中又称为网关(Gateway)或者集中器,具有无线连接汇聚功能,包括终端提供接入LoRa网络的入口,对来自服务器或终端的数据进行转发,实现该终端与该服务器之间的数据交互。当然,基站也能够与处于该基站的信号覆盖范围内的其它基站通过传输无线帧的方式进行数据交互。
服务器可以包括一个服务器或者服务器集群,用于根据从基站或终端获取到的数据进行业务处理,以及对该基站或该终端的工作模式和工作状态进行控制。本申请的所有实施例中,服务器也可以叫做网络服务器。
本申请实施例的核心构思之一在于,在终端和基站之间通过采用密钥信息对信标帧加密,以保证信标帧传输的安全性。本申请的所有实施例中,密钥信息也可以叫做密钥。
以下首先从终端的角度,对采用信标密钥传输信标帧的方式进行说明。
参照图1,示出了本申请的一种终端与服务器通信的方法实施例一的步骤流程图,具体可以包括如下步骤:
步骤101,终端通过第一基站向服务器发送入网请求消息;
终端通过第一基站向服务器发送入网请求消息(Join request message),以请求入网。
步骤102,所述终端通过所述第二基站接收所述服务器发送的入网接受消息;
如果服务器同意终端入网,则服务器通过第二基站向终端发送入网接受消息(Join-accept message)。
步骤103,所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
终端可以根据入网接受消息,确定是否启用了对信标帧(Beacon)进行加解密。
对信标帧采用加密处理的方法是基站通过预置的方式或者是从网络服务器下发的方式获取密钥信息,基站采用密钥信息对信标帧进行加密,然后向终端发送加密的信标帧;终端采用对应的密钥信息对加密的信标帧进行解密。具体的,基站拥有的密钥信息可以是对称密钥也可以是非对称密钥对中的私钥。当信标帧加解密采用对称密钥方式时,网络服务器可以向基站发送一个用于加密信标帧的对称密钥。终端可以通过预置或者向网络服务器请求的方式获取对称密钥。可选的,信标帧密钥配置请求消息还可以用于更新基站用于加密信标帧的私钥或者是对称密钥。在实际中,可以根据终端的性能、计算能力,选择合适的加解密算法和/或设置合适的密钥长度。例如,对于性能、计算能力低的终端,可以采用简单的加解密算法,和/或,设置较短的密钥长度;对于性能、计算能力高的终端,可以采用复杂的加解密算法和较长的密钥长度。
在本申请实施例中,若启用了对信标帧进行加解密,则终端在接收到信标帧后,采用第一密钥信息对信标帧进行解密;若未启用对信标帧进行加解密,则终端在接收到信标帧后,不采用第一密钥信息对信标帧进行解密。
入网接受消息可以包括安全指示信息(Beacon Security Indicator),终端可以根据安全指示信息,确定服务器是否对信标帧进行加密。例如,安全指示信息可以由一个比特位表示,如果值为1,表示启用了对信标帧加解密;如果值为0,表示未启用对信标帧进行加解密。当然安全指示信息也可以通过其他字符来表示信标帧是否启用加解密。具体的,安全指示信息可以位于信道频率列表(CFList)字段中。
入网接受消息还可以包括网络标识(NetID),网络标识唯一标识了一个发送信标帧的网络。所述步骤103可以进一步包括:终端根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
在本申请实施例中,安全配置信息可以包括启用配置信息和第一密钥信息,启用配置信息表示终端是否启用对所述信标帧进行解密;第一密钥信息表示了对信标帧加密时所用的密钥。
终端可以具有多个第一密钥信息,每个第一密钥信息分别与不同的网络标识对应。终端可以从具有的多个第一密钥信息中,查找与入网接受消息中的网络标识对应的第一密钥信息,查找到的第一密钥信息就是对信标帧进行加解密所用使用的第一密钥信息。
终端具有的多个密钥信息可以是预置的,可以是空口下载获得的,也可以是内部计算得到的。终端可以根据根密钥生成多个派生密钥,并且利用派生密钥来实现对信标帧的解密,根密钥和派生密钥都可以定时更换,以增强安全性。
如果终端从具有的多个第一密钥信息中,查找到与入网接受消息中的网络标识对应的第一密钥信息,则终端可以通过第三基站向服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
其中,第一请求消息可以是脉冲时隙信息请求消息(pingslotInfoReq)。终端通过向服务器发送信标密钥确认信息,告知服务器自身具有网络标识对应的第一密钥信息,可以进行信标帧加解密。密钥确认信息可以是BeaconKey confirm标志位。该标志位可以位于脉冲时隙信息请求消息中,脉冲时隙参数中的预留位(Reserved for Future Use,RFU)部分。该标志位置1时,可以表示该终端具有网络标识(NetID)对应的第一密钥信息。该标志位置0时,可以表示该终端不具有网络标识(NetID)对应的第一密钥信息。可选的,该标志位置1和置0也可以表示相反的含义,本申请实施例不做具体的限定。
如果终端从具有的多个第一密钥信息中,查找不到与入网接受消息中的网络标识对应的第一密钥信息,则终端不能实现对信标帧进行加解密,只能进行不加密的信标帧传输。
在终端具有的多个第一密钥信息中,第一密钥信息可以与基站一一对应,终端与各个基站传输信标帧时,所对应的第一密钥信息都是不一样的,这种方式可以提高安全保密性,但会增加运算成本。第一密钥信息也可以与多个基站对应,这种方式可以节省运算成本,在实际中更容易实现。在本申请实施例中,第一基站、第二基站、第三基站可以是不同的基站也可以是同一个基站。具体的,第一基站、第二基站以及第三基站可以全部或者两两在一个实体基站上,也可以不在一个实体基站上,本申请实施例不做具体限定。
本申请实施例中,终端可以在接收到入网接受消息后,根据入网接受消息确定是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
对于DDoS攻击,在终端启用对信标帧进行加解密后,终端可以根据密钥信息确保只接收可信的信标帧,而拒绝接收仿冒的信标帧,避免安全风险,并且提升了网络传输效率。
参照图2,示出了本申请的一种终端与服务器通信的方法实施例二的步骤流程图,具体可以包括如下步骤:
步骤201,终端通过第一基站接收服务器发送的第二请求消息;
步骤202,所述终端根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
在本申请实施例中,第二请求消息可以为媒体访问控制(Media Access Control,MAC)指令。例如,该MAC指令可以是信标帧安全配置请求(BeaconSecurityConfReq)。该MAC指令的用途是使得终端根据信标帧安全配置请求中的安全指示信息来更新安全策略。安全策略是指是否对信标帧进行解密操作。第二请求消息中可以包括安全指示信息(BeaconSecurity Indicator),终端可以根据安全指示信息,更改是否启用对信标帧进行解密。例如,当安全指示信息置1时,终端开启对信标帧的解密操作。当安全指示信息置0时,终端不再对信标帧进行解密操作。可选的,该标志位置1和置0也可以表示相反的含义,本申请实施例不做具体的限定。
具体的,针对移动终端,网络服务器可以根据终端移动性相关的MAC指令获知终端处在移动状态。网络服务器可以通过基站向终端发送信标帧安全配置请求消息,并且通过信标帧安全配置请求消息的安全指示信息来关闭终端对信标帧进行解密的操作。这样使得终端可以在跨越不同网络时,依然可以获取不同网络下的信标帧。可选的,如果终端相邻的基站拥有不同的用于加密信标帧的对称密钥或者是私钥,网络服务器可以根据终端的移动状态信息获取终端主要经过的基站,并且通过信标帧安全配置请求消息将主要经过的基站所对应的所有对称密钥或者是所有的公钥下发给终端。终端可以根据信标帧中携带的网络标识(NetID)以及基站标识(GatewayID)来判断用对应的密钥(对称密钥或者是公钥)来解密信标帧。可选的,终端也可以根据信标帧中携带的基站的全球定位系统(GlobalPositioning System,GPS)信息来判断用对应的密钥(对称密钥或者是公钥)来解密信标帧。
在终端更改是否对信标帧进行解密后,终端可以生成第一回复消息,并通过第二基站向服务器发送第一回复消息。第一回复消息可以是信标帧安全配置回复消息(BeaconSecurityConfRes)。第一回复消息可以包括安全配置更改确认信息。通过安全配置更改确认信息告知服务器,终端是否已经更改了是否启用对信标帧进行解密。例如,当安全配置更改确认信息为1时,代表终端已经修改了对信标帧解密的策略。此处的策略可以是变为不对信标帧进行解密,也可以是开启对信标帧进行解密。当安全配置更改确认信息为0时,代表终端没有修改对信标帧解密策略的修改或者是对信标帧解密策略的修改失败。可选的,该标志位置1和置0也可以表示相反的含义,本申请实施例不做具体的限定。
本申请实施例中,终端可以根据服务器发送的MAC指令,更改是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图3,示出了本申请的一种终端与服务器通信的方法实施例三的步骤流程图,具体可以包括如下步骤:
步骤301,终端通过第一基站向服务器发送第三请求消息;
步骤302,所述终端通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
第三请求消息可以为MAC指令。该MAC指令可以是信标帧安全配置请求消息(BeaconSecurityConfReq),该消息的作用是向网络服务器请求用于解密信标帧所对应的密钥。第三请求消息中可以包括:请求获取对信标帧进行解密所要使用的第二密钥信息的请求指示信息;服务器在接收到第三请求消息后,可以通过第二基站向终端发送第三回复消息。第三回复消息可以是信标帧安全配置回复消息(BeaconSecurityConfRes),该消息的作用是网络服务器通过基站向终端发送用于解密信标帧的密钥。第三回复消息中包括第二密钥信息。可选的,第三回复消息也可以只包括一个标识信息,用于表示终端发起的密钥获取请求失败。具体的,第三回复消息也可以包括密钥获取请求失败的原因信息,例如终端无权限获取信标帧密钥、网络不支持信标帧加密等。
本申请实施例中,终端可以从服务器获取对信标帧进行加解密所要使用的第二密钥信息。在终端与基站的通信过程中,若终端启用了对信标帧进行解密处理,基站可以采用第二密钥信息加密信标帧,并将信标帧发送给终端;终端可以在接收到信标帧后,采用第二密钥信息对信标帧进行解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
以下从基站的角度,对信标帧加解密方式中,如何配置密钥进行说明。
参照图4,示出了本申请的一种密钥配置的方法实施例一的步骤流程图,具体可以包括如下步骤:
步骤401,基站接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
步骤402,所述基站向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
第三密钥信息是启用对信标帧进行加解密时所使用的密钥,网络服务器在得知终端具有对信标帧进行加解密所要使用的第三密钥信息后,将第三密钥信息发给基站。基站可以采用第三密钥信息对信标帧进行加密,然后将加密后的信标帧发送给终端,终端可以采用第三密钥信息对加密后的信标帧进行解密。
网络服务器向基站发送密钥的消息可以是信标帧密钥配置请求消息(BeaconKeyConfReq)。该消息的作用是向基站发送加密信标帧所需要的密钥。当信标帧加解密采用非对称密钥方式时,网络服务器可以向基站发送一个用于加密信标帧的私钥。终端可以通过预置或者向网络服务器请求的方式获取一个基站私钥对应的公钥。当信标帧加解密采用对称密钥方式时,网络服务器可以向基站发送一个用于加密信标帧的对称密钥。终端可以通过预置或者向网络服务器请求的方式获取对称密钥。可选的,信标帧密钥配置请求消息还可以用于更新基站用于加密信标帧的私钥或者是对称密钥。
在本申请实施例中,基站还可以接收服务器发送的安全配置更改请求消息,并将安全配置更改请求消息转发给终端,安全配置更改请求消息中可以包括安全指示信息。终端可以根据安全配置更改请求消息,更改是否启用对信标帧进行解密处理。
终端在更改是否启用对信标帧进行解密处理后,生成安全配置更改结果消息,并将安全配置更改结果消息发送给基站;基站将安全配置更改结果消息转发至服务器,该安全配置更改结果消息中可以包括安全配置更改确认信息,以告知服务器终端的安全配置更改结果。
在本申请实施例中,终端还可以向基站发送密钥请求消息,基站将密钥请求消息转发至服务器;服务器可以向基站返回对应密钥请求消息的密钥应答消息,密钥应答消息中可以包括密钥信息。当信标帧加解密采用非对称密钥方式时,终端可以通过预置或者向网络服务器请求的方式获取一个基站私钥对应的公钥。当信标帧加解密采用对称密钥方式时,终端可以通过预置或者向网络服务器请求的方式获取对称密钥。
本申请实施例中,基站可以从网络服务器获取启用对信标帧进行加解密时所使用的第三密钥信息,基站可以采用第三密钥信息对信标帧进行加密,然后将信标帧发送给终端,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
以下从服务器的角度,对采用信标密钥传输信标帧的方式进行说明。
参照图5,示出了本申请的一种终端与服务器通信的方法实施例四的步骤流程图,具体可以包括如下步骤:
步骤501,服务器通过第一基站接收终端发送的入网请求消息;
步骤502,所述服务器通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
终端在接收到入网接受消息后,根据入网接受消息,确定针对信标帧的安全配置信息;安全配置信息包括是否启用对信标帧进行加解密的启用配置信息。
对信标帧采用加密处理的方法是基站通过预置的方式或者是从网络服务器下发的方式获取密钥信息,基站采用密钥信息对信标帧进行加密,然后向终端发送加密的信标帧;终端采用对应的密钥信息对加密的信标帧进行解密。具体的,基站拥有的密钥信息可以是对称密钥也可以是非对称密钥对中的私钥。当信标帧加解密采用对称密钥方式时,网络服务器可以向基站发送一个用于加密信标帧的对称密钥。终端可以通过预置或者向网络服务器请求的方式获取对称密钥。可选的,信标帧密钥配置请求消息还可以用于更新基站用于加密信标帧的私钥或者是对称密钥。
在本申请实施例中,若启用了对信标帧进行加解密,则终端在接收到信标帧后,采用密钥信息对信标帧进行解密;若未启用对信标帧进行加解密,则终端在接收到信标帧后,不采用密钥信息对信标帧进行解密。
入网接受消息可以包括安全指示信息(Beacon Security Indicator);安全指示信息用于指示终端确定所述服务器是否对所述信标帧进行加密。终端可以根据安全指示信息,确定服务器是否指示对信标帧进行加密。例如,安全指示信息可以由一个比特位表示,如果值为1,表示启用了对信标帧加解密;如果值为0,表示未启用对信标帧进行加解密。当然安全指示信息也可以通过其他字符来表示信标帧是否启用加解密。具体的,安全指示信息可以位于信道频率列表(CFList)字段中。
入网接受消息还可以包括网络标识(NetID),网络标识唯一标识了一个发送信标帧的网络。终端可以网络标识确定对信标帧加密时对应的密钥信息。
终端可以具有多个密钥信息,每个密钥信息分别与不同的网络标识对应。终端可以从具有的多个密钥信息中,查找与入网接受消息中的网络标识对应的密钥信息,查找到的密钥信息就是对信标帧进行加解密所用使用的密钥信息。
终端具有的多个密钥信息可以是预置的,可以是空口下载获得的,也可以是内部计算得到的。终端可以根据根密钥生成多个派生密钥,并且利用派生密钥来实现对信标帧的解密,根密钥和派生密钥都可以定时更换,以增强安全性。
本申请实施例中,服务器可以在通过基站接收到入网请求消息后,通过基站向终端发送入网接受消息;终端可以根据入网接受消息确定是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图6,示出了本申请的一种终端与服务器通信的方法实施例五的步骤流程图,具体可以包括如下步骤:
步骤601,服务器通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
在本申请实施例中,第五请求消息可以为MAC指令,例如,该MAC指令可以是信标帧安全配置请求(BeaconSecurityConfReq)。该MAC指令的用途是使得终端根据信标帧安全配置请求中的安全指示信息来更新安全策略。安全策略是指是否对信标帧进行解密操作。第五请求消息可以包括安全指示信息,终端可以根据安全指示信息,更改是否启用对信标帧进行解密。例如,当安全指示信息置1时,终端开启对信标帧的解密操作。当安全指示信息置0时,终端不再对信标帧进行解密操作。可选的,该标志位置1和置0也可以表示相反的含义,本申请实施例不做具体的限定。
具体的,针对移动终端,网络服务器可以根据终端移动性相关的MAC指令获知终端处在移动状态。网络服务器可以通过基站向终端发送信标帧安全配置请求消息,并且通过信标帧安全配置请求消息的安全指示信息来关闭终端对信标帧进行解密的操作。这样使得终端可以在跨越不同网络时,依然可以获取不同网络下的信标帧。可选的,如果终端相邻的基站拥有不同的用于加密信标帧的对称密钥或者是私钥,网络服务器可以根据终端的移动状态信息获取终端主要经过的基站,并且通过信标帧安全配置请求消息将主要经过的基站所对应的所有对称密钥或者是所有的公钥下发给终端。终端可以根据信标帧中携带的网络标识(NetID)以及基站标识(GatewayID)来判断用对应的密钥(对称密钥或者是公钥)来解密信标帧。可选的,终端也可以根据信标帧中携带的基站的全球定位系统(GlobalPositioning System,GPS)信息来判断用对应的密钥(对称密钥或者是公钥)来解密信标帧。
步骤602,所述服务器通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
在更改是否对信标帧进行解密后,终端可以生成第五回复消息,并通过第二基站向服务器发送第五回复消息,第五回复消息可以是信标帧安全配置回复消息(BeaconSecurityConfRes)。第五回复消息可以包括安全配置更改确认信息。通过安全配置更改确认信息告知服务器,终端已经更改了是否启用对信标帧进行解密。例如,当安全配置更改确认信息为1时,代表终端已经修改了对信标帧解密的策略。此处的策略可以是变为不对信标帧进行解密,也可以是开启对信标帧进行解密。当安全配置更改确认信息为0时,代表终端没有修改对信标帧解密策略的修改或者是对信标帧解密策略的修改失败。可选的,该标志位置1和置0也可以表示相反的含义,本申请实施例不做具体的限定。
本申请实施例中,服务器可以向终端发送带有安全指示信息的MAC指令,终端可以根据安全指示信息更改是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图7,示出了本申请的一种终端与服务器通信的方法实施例六的步骤流程图,具体可以包括如下步骤:
步骤701,服务器通过第一基站接收终端发送的第六请求消息;
步骤702,所述服务器通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
第六请求消息可以为MAC指令,该MAC指令可以是信标帧安全配置请求消息(BeaconSecurityConfReq),该消息的作用是向网络服务器请求用于解密信标帧所对应的密钥。第六请求消息中可以包括:请求获取对信标帧进行加解密所要使用的密钥信息的请求指示信息;服务器在接收到第六请求消息后,可以通过第二基站向终端发送第六回复消息,第六回复消息可以是信标帧安全配置回复消息(BeaconSecurityConfRes),该消息的作用是网络服务器通过基站向终端发送用于解密信标帧的密钥。第六回复消息中包括密钥信息。可选的,第六回复消息也可以只包括一个标识信息,用于表示终端发起的密钥获取请求失败。具体的,第六回复消息也可以包括密钥获取请求失败的原因信息,例如终端无权限获取信标帧密钥、网络不支持信标帧加密等。
本申请实施例中,在终端与基站的通信过程中,若终端启用了对信标帧进行加解密,服务器可以通知基站采用密钥信息加密信标帧,并将信标帧发送给终端;终端可以在接收到信标帧后,采用密钥信息对信标帧进行解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图8,示出了本申请的一种密钥配置的方法实施例二的步骤流程图,具体可以包括如下步骤:
步骤801,服务器确定与终端匹配的第四密钥信息;
步骤802,所述服务器向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
第四密钥信息是启用对信标帧进行加解密时所使用的密钥,服务器在得知终端确认了具有对信标帧进行加密的第四密钥信息后,将带有第四密钥信息的第二消息发给基站,基站采用第四密钥信息对信标帧进行加密,然后将信标帧发送给终端。
本申请实施例中,基站可以从服务器获取启用对信标帧进行加解密时所使用的第四密钥信息,基站可以采用第四密钥信息对信标帧进行加密,然后将信标帧发送给终端,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
为了使本领域技术人员能够更好地理解本申请实施例,下面通过一个例子对本申请实施例加以说明:
参照图9所示为本申请实施例中终端与服务器通信的示意图。
1.服务器可以预置密钥信息,密钥信息与网络标识一一对应;终端可以预置有至少一个密钥信息,每个密钥信息与网络标识一一对应。
2.终端向基站发送入网请求消息。
3.基站将入网请求消息转发给服务器。
4.服务器向基站发送入网接受消息,入网接受消息包括安全指示信息。
5.基站将入网接受消息转发给终端。终端可以根据安全指示信息,确定是否启用对信标帧加解密。
6.终端可以从入网接受消息获取当前的网络标识,查找是否具有与当前的网络标识对应的密钥信息;若终端具有与当前的网络标识对应的密钥信息,则跳转至步骤7;若终端不具有与当前的网络标识对应的密钥信息,则跳转至步骤15。
7.终端向基站发送脉冲时隙信息请求消息,脉冲时隙信息请求消息可以包括信标密钥确认信息。
8.基站将脉冲时隙信息请求消息转发给服务器。
9.服务器根据信标密钥确认信息得知终端具有对应的密钥信息,并向基站发送该对应的密钥信息。
10.基站与终端之间通过密钥信息对信标帧进行加密/解密。
11.可以利用MAC指令,来更改终端是否启用对信标帧加解密,由服务器向基站发送安全配置更改请求消息,该安全配置更改请求消息中可以带有安全指示信息。
12.基站将安全配置更改请求消息转发给终端,终端根据安全配置更改请求消息中的安全指示信息,更改终端是否启用对信标帧加解密。
13.终端在更改终端是否启用对信标帧加解密后,向基站发送安全配置更改结果消息,该安全配置更改结果消息包括安全配置更改确认信息。
14.终端将该安全配置更改结果消息转发给服务器。
15.终端可以向服务器请求获取密钥信息,由终端向基站发送密钥请求消息,该密钥请求消息包括密钥请求信息。
16.基站将该密钥请求消息转发给服务器。
17.服务器向基站发送对应密钥请求消息的密钥应答消息,该密钥应答消息包括密钥信息。
18.基站将该密钥应答消息转发给终端,终端从密钥应答消息获取密钥信息。
19.终端与基站之间通过密钥信息对信标帧进行加密/解密。
在上述步骤1-步骤19中,步骤1-步骤10描述了终端与基站之间如何实现信标帧的加解密。步骤11-步骤14描述了如何更改是否启用信标帧的加解密,步骤15-步骤18描述了终端如何获取密钥信息。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
参照图10,示出了本申请的一种终端与服务器通信的装置实施例一的结构框图,具体可以包括如下模块:
位于终端的入网请求消息发送模块1001,用于通过第一基站向服务器发送入网请求消息;
位于所述终端的入网接受消息接收模块1002,用于通过所述第二基站接收所述服务器发送的入网接受消息;
位于所述终端的安全配置信息确定模块1003,用于根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
在本申请实施例中,所述入网接受消息包括安全指示信息;所述安全配置信息确定模块1003可以包括:
加密确定子模块,用于根据所述安全指示信息,确定所述服务器是否对所述信标帧进行加密。
在本申请实施例中,所述入网接受消息还包括网络标识;所述安全配置信息确定模块1003可以包括:
第一密钥信息确定子模块,用于根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
在本申请实施例中,所述的装置还可以包括:
位于所述终端的第一请求消息发送模块,用于通过第三基站向所述服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
本申请实施例中,终端可以在接收到入网接受消息后,根据入网接受消息确定是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
对于DDoS攻击,在终端启用对信标帧进行加解密后,终端可以根据密钥信息确定真正的信标帧,只接收真正的信标帧,而拒绝接收仿冒的信标帧,避免终端传输故障,并且提升了网络传输效率。
参照图11,示出了本申请的一种终端与服务器通信的装置实施例二的结构框图,具体可以包括如下模块:
位于终端的第二请求消息接收模块1101,用于通过第一基站接收服务器发送的第二请求消息;
位于所述终端的安全配置信息更改模块1102,用于根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
在本申请实施例中,所述第二请求消息包括安全指示信息;所述安全配置信息更改模块1102可以包括:
安全配置信息更改子模块,用于根据所述安全指示信息,更改是否启用对信标帧进行解密。
在本申请实施例中,所述的装置还可以包括:
位于所述终端的第一回复消息发送模块,用于在更改是否对信标帧进行解密后,生成第一回复消息,并通过第二基站向所述服务器发送所述第一回复消息,所述第一回复消息包括安全配置更改确认信息。
本申请实施例中,终端可以根据服务器发送的第二请求消息,更改是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图12,示出了本申请的一种终端与服务器通信的装置实施例三的结构框图,具体可以包括如下模块:
位于终端的第三请求消息发送模块1201,用于通过第一基站向服务器发送第三请求消息;
位于所述终端的第三回复消息接收模块1202,用于通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
本申请实施例中,终端可以从服务器获取对信标帧进行加解密所要使用的第二密钥信息。在终端与基站的通信过程中,若终端启用了对信标帧进行加解密,基站可以采用第二密钥信息加密信标帧,并将信标帧发送给终端;终端可以在接收到信标帧后,采用第二密钥信息对信标帧进行解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图13,示出了本申请的一种密钥配置的装置实施例一的结构框图,具体可以包括如下模块:
位于基站的第一消息接收模块1301,用于接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
位于所述基站的信标帧发送模块1302,用于向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
在本申请实施例中,所述的装置还可以包括:
位于所述基站的安全配置更改请求消息转发模块,用于将所述服务器发送的安全配置更改请求消息,转发至所述终端。
在本申请实施例中,所述的装置还可以包括:
位于所述基站的安全配置更改结果消息转发模块,用于将所述终端发送的安全配置更改结果消息,转发至所述服务器。
在本申请实施例中,所述的装置还可以包括:
位于所述基站的密钥请求消息转发模块,用于将所述终端发送的密钥请求消息,转发至所述服务器。
本申请实施例中,基站可以获取启用对信标帧进行加解密时所使用的第三密钥信息,基站可以采用第三密钥信息对信标帧进行加密,然后将信标帧发送给终端,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图14,示出了本申请的一种终端与服务器通信的装置实施例四的结构框图,具体可以包括如下模块:
位于服务器的入网请求消息接收模块1401,用于通过第一基站接收终端发送的入网请求消息;
位于服务器的入网接受消息发送模块1402,用于通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
在本申请实施例中,所述入网接受消息包括安全指示信息;所述安全指示信息用于指示所述终端确定所述服务器是否对所述信标帧进行加密。
本申请实施例中,基站可以从服务器获取启用对信标帧进行加解密时所使用的第三密钥信息,基站可以采用第三密钥信息对信标帧进行加密,然后将信标帧发送给终端,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图15,示出了本申请的一种终端与服务器通信的装置实施例五的结构框图,具体可以包括如下模块:
位于服务器的第五请求消息发送模块1501,用于通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
位于所述服务器的第五回复消息发送模块1502,用于通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
本申请实施例中,服务器可以向终端发送带有安全指示信息的第五请求消息,终端可以根据安全指示信息更改是否启用对信标帧进行加解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图16,示出了本申请的一种终端与服务器通信的装置实施例六的结构框图,具体可以包括如下模块:
位于服务器的第六请求消息接收模块1601,用于通过第一基站接收终端发送的第六请求消息;
位于所述服务器的第六回复消息发送模块1602,用于通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
本申请实施例中,在终端与基站的通信过程中,若终端启用了对信标帧进行加解密,服务器可以通知基站采用密钥信息加密信标帧,并将信标帧发送给终端;终端可以在接收到信标帧后,采用密钥信息对信标帧进行解密,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
参照图17,示出了本申请的一种密钥配置的装置实施例二的结构框图,具体可以包括如下模块:
位于服务器的第四密钥信息确定模块1701,用于确定与终端匹配的第四密钥信息;
位于所述服务器的第二消息发送模块1702,用于向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
本申请实施例中,基站可以从服务器获取启用对信标帧进行加解密时所使用的第四密钥信息,基站可以采用第四密钥信息对信标帧进行加密,然后将信标帧发送给终端,从而实现在终端和基站之间通过密钥信息来保证信标帧传输的安全性。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例还提供了一种装置,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行本申请实施例所述的方法。
本申请实施例还提供了一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行本申请实施例所述的方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种终端与服务器通信的方法、一种密钥配置的方法、一种终端与服务器通信的装置和一种密钥配置的装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (36)

1.一种终端与服务器通信的方法,其特征在于,包括:
终端通过第一基站向服务器发送入网请求消息;
所述终端通过所述第二基站接收所述服务器发送的入网接受消息;
所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
2.根据权利要求1所述的方法,其特征在于,所述入网接受消息包括安全指示信息;所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息,包括:
所述终端根据所述安全指示信息,确定所述服务器是否对所述信标帧进行加密。
3.根据权利要求1所述的方法,其特征在于,所述入网接受消息还包括网络标识;所述终端根据所述入网接受消息,确定针对信标帧的安全配置信息,包括:
所述终端根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
4.根据权利要求3所述的方法,其特征在于,还包括:
所述终端通过第三基站向所述服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
5.一种终端与服务器通信的方法,其特征在于,包括:
终端通过第一基站接收服务器发送的第二请求消息;
所述终端根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
6.根据权利要求5所述的方法,其特征在于,所述第二请求消息包括安全指示信息;所述终端根据所述第二请求消息,更改针对信标帧的安全配置信息,包括:
所述终端根据所述安全指示信息,更改是否启用对信标帧进行解密。
7.根据权利要求5所述的方法,其特征在于,还包括:
在更改是否对信标帧进行解密后,所述终端生成第一回复消息,并通过第二基站向所述服务器发送所述第一回复消息,所述第一回复消息包括安全配置更改确认信息。
8.一种终端与服务器通信的方法,其特征在于,包括:
终端通过第一基站向服务器发送第三请求消息;
所述终端通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
9.一种密钥配置的方法,其特征在于,包括:
基站接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
所述基站向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
10.根据权利要求9所述的方法,其特征在于,还包括:
所述基站将所述服务器发送的安全配置更改请求消息,转发至所述终端。
11.根据权利要求9所述的方法,其特征在于,还包括:
所述基站将所述终端发送的安全配置更改结果消息,转发至所述服务器。
12.根据权利要求9所述的方法,其特征在于,还包括:
所述基站将所述终端发送的密钥请求消息,转发至所述服务器。
13.一种终端与服务器通信的方法,其特征在于,包括:
服务器通过第一基站接收终端发送的入网请求消息;
所述服务器通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
14.根据权利要求13所述的方法,其特征在于,所述入网接受消息包括安全指示信息;所述安全指示信息用于指示所述终端确定所述服务器是否对所述信标帧进行加密。
15.一种终端与服务器通信的方法,其特征在于,包括:
服务器通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
所述服务器通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
16.一种终端与服务器通信的方法,其特征在于,包括:
服务器通过第一基站接收终端发送的第六请求消息;
所述服务器通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
17.一种密钥配置的方法,其特征在于,包括:
服务器确定与终端匹配的第四密钥信息;
所述服务器向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
18.一种终端与服务器通信的装置,其特征在于,包括:
位于终端的入网请求消息发送模块,用于通过第一基站向服务器发送入网请求消息;
位于所述终端的入网接受消息接收模块,用于通过所述第二基站接收所述服务器发送的入网接受消息;
位于所述终端的安全配置信息确定模块,用于根据所述入网接受消息,确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
19.根据权利要求18所述的装置,其特征在于,所述入网接受消息包括安全指示信息;所述安全配置信息确定模块包括:
加密确定子模块,用于根据所述安全指示信息,确定所述服务器是否对所述信标帧进行加密。
20.根据权利要求18所述的装置,其特征在于,所述入网接受消息还包括网络标识;所述安全配置信息确定模块包括:
第一密钥信息确定子模块,用于根据所述网络标识确定对信标帧加密时对应的第一密钥信息。
21.根据权利要求20所述的装置,其特征在于,还包括:
位于所述终端的第一请求消息发送模块,用于通过第三基站向所述服务器发送第一请求消息,所述第一请求消息中包括信标密钥确认信息。
22.一种终端与服务器通信的装置,其特征在于,包括:
位于终端的第二请求消息接收模块,用于通过第一基站接收服务器发送的第二请求消息;
位于所述终端的安全配置信息更改模块,用于根据所述第二请求消息,更改针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
23.根据权利要求22所述的装置,其特征在于,所述第二请求消息包括安全指示信息;所述安全配置信息更改模块包括:
安全配置信息更改子模块,用于根据所述安全指示信息,更改是否启用对信标帧进行解密。
24.根据权利要求22所述的装置,其特征在于,还包括:
位于所述终端的第一回复消息发送模块,用于在更改是否对信标帧进行解密后,生成第一回复消息,并通过第二基站向所述服务器发送所述第一回复消息,所述第一回复消息包括安全配置更改确认信息。
25.一种终端与服务器通信的装置,其特征在于,包括:
位于终端的第三请求消息发送模块,用于通过第一基站向服务器发送第三请求消息;
位于所述终端的第三回复消息接收模块,用于通过第二基站接收所述服务器发送的对应所述第三请求消息的第三回复消息,所述第三回复消息包括第二密钥信息,所述第二密钥信息用于使得所述终端对信标帧进行解密操作。
26.一种密钥配置的装置,其特征在于,包括:
位于基站的第一消息接收模块,用于接收服务器发送的第一消息,所述第一消息包括第三密钥信息,所述第三密钥信息用于加密信标帧;
位于所述基站的信标帧发送模块,用于向终端发送信标帧,所述信标帧被所述第三密钥信息加密。
27.根据权利要求26所述的装置,其特征在于,还包括:
位于所述基站的安全配置更改请求消息转发模块,用于将所述服务器发送的安全配置更改请求消息,转发至所述终端。
28.根据权利要求26所述的装置,其特征在于,还包括:
位于所述基站的安全配置更改结果消息转发模块,用于将所述终端发送的安全配置更改结果消息,转发至所述服务器。
29.根据权利要求26所述的装置,其特征在于,还包括:
位于所述基站的密钥请求消息转发模块,用于将所述终端发送的密钥请求消息,转发至所述服务器。
30.一种终端与服务器通信的装置,其特征在于,包括:
位于服务器的入网请求消息接收模块,用于通过第一基站接收终端发送的入网请求消息;
位于服务器的入网接受消息发送模块,用于通过第二基站向所述终端发送入网接受消息;所述入网接受消息用于指示终端确定针对信标帧的安全配置信息;所述安全配置信息包括:是否启用对所述信标帧进行加解密的启用配置信息。
31.根据权利要求30所述的装置,其特征在于,所述入网接受消息包括安全指示信息;所述安全指示信息用于指示所述终端确定所述服务器是否对所述信标帧进行加密。
32.一种终端与服务器通信的装置,其特征在于,包括:
位于服务器的第五请求消息发送模块,用于通过第一基站向所述终端发送第五请求消息,所述第五请求消息包括安全指示信息,所述安全指示信息用于指示所述终端是否启用对信标帧进行解密;
位于所述服务器的第五回复消息发送模块,用于通过第二基站接收所述终端发送的对应所述第五请求消息的第五回复消息,所述第五回复消息包括安全配置更改确认信息。
33.一种终端与服务器通信的装置,其特征在于,包括:
位于服务器的第六请求消息接收模块,用于通过第一基站接收终端发送的第六请求消息;
位于所述服务器的第六回复消息发送模块,用于通过第二基站向所述终端发送对应所述第六请求消息的第六回复消息,所述第六回复消息用于指示所述第二基站对信标帧进行加密。
34.一种密钥配置的装置,其特征在于,包括:
位于服务器的第四密钥信息确定模块,用于确定与终端匹配的第四密钥信息;
位于所述服务器的第二消息发送模块,用于向基站发送第二消息,所述第二消息包括所述第四密钥信息,所述第四密钥信息用于加密所述基站向所述终端发送的信标帧。
35.一种装置,其特征在于,包括:
一个或多个处理器;和
其上存储有指令的一个或多个机器可读介质,当由所述一个或多个处理器执行时,使得所述装置执行如权利要求1-4或5-7或8或9-12或13-14或15或16或17所述的一个或多个的方法。
36.一个或多个机器可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1-4或5-7或8或9-12或13-14或15或16或17所述的一个或多个的方法。
CN202010015312.5A 2020-01-07 2020-01-07 一种终端与服务器通信、密钥配置的方法和装置 Pending CN113163395A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010015312.5A CN113163395A (zh) 2020-01-07 2020-01-07 一种终端与服务器通信、密钥配置的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010015312.5A CN113163395A (zh) 2020-01-07 2020-01-07 一种终端与服务器通信、密钥配置的方法和装置

Publications (1)

Publication Number Publication Date
CN113163395A true CN113163395A (zh) 2021-07-23

Family

ID=76881583

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010015312.5A Pending CN113163395A (zh) 2020-01-07 2020-01-07 一种终端与服务器通信、密钥配置的方法和装置

Country Status (1)

Country Link
CN (1) CN113163395A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9709339D0 (en) * 1996-06-28 1997-06-25 Mitsubishi Electric Corp Encryption apparatus
KR20050060636A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 및 그 방법
JP2010178388A (ja) * 2010-05-12 2010-08-12 Toshiba Corp 情報通信方法およびサーバ
CN102843675A (zh) * 2011-06-24 2012-12-26 中兴通讯股份有限公司 一种集群呼叫语音加密的方法、终端和系统
CN106791923A (zh) * 2016-12-30 2017-05-31 中广热点云科技有限公司 一种视频帧流处理方法、视频服务器及终端设备
CN109041055A (zh) * 2018-07-27 2018-12-18 马占朝 一种用于金融安防环境的移动终端与网关服务器传输方法
CN109688581A (zh) * 2017-10-18 2019-04-26 中国移动通信集团吉林有限公司 一种数据的安全传输方法及装置
CN110418302A (zh) * 2018-04-28 2019-11-05 无锡群欣物联科技有限公司 一种无线测温系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9709339D0 (en) * 1996-06-28 1997-06-25 Mitsubishi Electric Corp Encryption apparatus
US6016350A (en) * 1996-06-28 2000-01-18 Mitsubishi Denki Kabushiki Kaisha Encryption apparatus for enabling encryption and non-encryption terminals to be connected on the same network
KR20050060636A (ko) * 2003-12-17 2005-06-22 한국전자통신연구원 무선 랜(lan) 보안 시스템에서의 무선 장치의 암호 키생성 시스템 및 그 방법
JP2010178388A (ja) * 2010-05-12 2010-08-12 Toshiba Corp 情報通信方法およびサーバ
CN102843675A (zh) * 2011-06-24 2012-12-26 中兴通讯股份有限公司 一种集群呼叫语音加密的方法、终端和系统
CN106791923A (zh) * 2016-12-30 2017-05-31 中广热点云科技有限公司 一种视频帧流处理方法、视频服务器及终端设备
CN109688581A (zh) * 2017-10-18 2019-04-26 中国移动通信集团吉林有限公司 一种数据的安全传输方法及装置
CN110418302A (zh) * 2018-04-28 2019-11-05 无锡群欣物联科技有限公司 一种无线测温系统
CN109041055A (zh) * 2018-07-27 2018-12-18 马占朝 一种用于金融安防环境的移动终端与网关服务器传输方法

Similar Documents

Publication Publication Date Title
CN112260995B (zh) 接入认证方法、装置及服务器
Cao et al. GBAAM: group‐based access authentication for MTC in LTE networks
CN107005569B (zh) 端对端服务层认证
US9258692B2 (en) Relay assisted peer discovery
EP3082354B1 (en) Location privacy protection methods and devices
US9130743B2 (en) Method and apparatus for communicating between low message rate wireless devices and users via monitoring, control and information systems
Feng et al. A replay-attack resistant authentication scheme for the internet of things
CN111787533B (zh) 加密方法、切片管理方法、终端及接入和移动性管理实体
CA2674680C (en) Power distribution system secure access communication system and method
EP2789118A1 (en) Probabilistic key distribution in vehicular networks with infrastructure support
RU2008109827A (ru) Мобильная станция, сетевое устройство радиодоступа, мобильная коммутационная станция, мобильная система связи и способ предоставления доступа к службе связи
EP2666317A1 (en) Authentication and authorization of cognitive radio devices
CN108235300B (zh) 移动通信网络用户数据安全保护方法及系统
CN115396887A (zh) 一种高速移动终端快速安全切换认证方法、装置及系统
Kumaresan et al. Group key authentication scheme for vanet intrusion detection (GKAVIN)
CN114390521A (zh) 密钥更新方法、装置、设备及存储介质
CN113452515B (zh) 通信方法、密钥配置方法及装置
CN102143494A (zh) 数据上报方法、数据上报装置和m2m设备
CN113163395A (zh) 一种终端与服务器通信、密钥配置的方法和装置
JP6163880B2 (ja) 通信装置、通信システム及び通信方法
CN111343611B (zh) 一种信息同步的方法和装置
US20180131676A1 (en) Code encryption
CN114616844A (zh) 群组通信方法及相关产品
CN113194471B (zh) 基于区块链网络的无线网络接入方法、装置和终端
Li et al. PDAF: Proactive distributed authentication framework for regional network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination