CN113765861A - 一种数据处理方法及装置 - Google Patents

Abstract

本发明公开了一种数据处理方法及装置，涉及通信领域，解决了在数据包转发过程中，有效验证数据包真实性的问题。该方法包括：第一设备生成包括第一设备标识、第一认证码和第一密文的第一数据包；第一网络设备接收第一数据包，并通过第一代理重加密算法对第一密文加密获得第二密文，将第二密文添加到第一数据包头部，得到第二数据包；第二网络设备接收第二数据包，并获得第二认证码，若第二认证码和第一认证码相同，则确定第二数据包合法，转发第二数据包。

Description

一种数据处理方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种数据处理方法及装置。

背景技术

IP地址是数据包在网络中传输的身份标识，确保数据包身份标识的真实性是实现数据包追踪溯源的基础。域内真实源地址验证技术SAVI是一种源地址验证和过滤技术，通过维护源IP和MAC或端口的映射关系来实现验证，其安全依赖于实现SAVI技术的第一跳路由或交换机是安全可信的。然而，靠近用户终端设备的第一跳交换机和路由器等边缘网络设备的安全性通常难以得到保障。这类设备由于缺乏有效的物理隔离或者强健的安全防御机制，容易被攻击者入侵并被植入恶意代码，破坏其真实性验证能力。

因此，针对现有技术方案存在的问题，如何有效验证源数据包的真实性是亟需解决的问题。

发明内容

本申请提供一种数据处理方法及装置，解决了IP地址等网络数据包源ID的伪造问题，达到了高效的验证数据包真实性的效果。

为达到上述目的，本申请采用如下技术手段：第一方面，本申请提供了一种数据处理方法，该方法可应用于终端，以及终端的接入设备，如接入点AP、路由器等，以下统称第一设备，或者该方法可应用于可以支持终端以及终端的接入设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：根据第一临时密钥获得第一认证码；根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文；生成第一数据包，第一数据包中包括第一设备标识、第一认证码和第一密文；向第一网络设备发送第一数据包。

在一种可能的实现方式中，根据第一临时密钥获得第一认证码，包括：根据第一临时密钥和第一待认证信息获得第一认证码。

在另一种可能的实现方式中，第一待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

通过引入动态参数，在发生单次密钥泄露的情况下，在下次数据包发送时使用不同的动态参数，有效保证了密钥的安全性。

在另一种可能的实现方式中，根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文，包括：根据第一设备标识对应的第一密钥和密钥参数加密第一临时密钥获得第一密文。

通过第一临时密钥获得第一密文，使得第一设备和真实性验证设备之间不需要提前共享密钥，从而减少第一设备与真实性验证设备之间的信令交互。

在另一种可能的实现方式中，密钥参数包括以下至少一项：时间参数、盐值和密钥标识。

在另一种可能的实现方式中，方法还包括：第一临时密钥的获得具有临时性或随机性。

在另一种可能的实现方式中，方法还包括：第一密钥为对称密钥。

在另一种可能的实现方式中，方法还包括：第一设备标识、第一认证码和第一密文设置于第一数据包包含的链路层头部或网络层协议头部中或传输层协议头部中。

可选的，第一设备标识、第一认证码和第一密文设置于所述第一数据包包含的网络层协议头部中的下一个首部字段内或互联网协议IP地址字段内。

可选的，第一设备标识、第一认证码和第一密文设置于所述第一数据包包含的传输控制协议TCP头部中的选项字段内。

第二方面，本申请提供了一种数据处理方法，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：第一网络设备接收第一数据包，第一数据包中包括第一设备标识和第一密文；根据第一代理重加密密钥加密第一密文获得第二密文；将第二密文添加到第一数据包头部，得到第二数据包；向第二网络设备发送第二数据包。

通过上述方法，本申请实施例解决了IP地址等网络数据包源ID的伪造问题，基于代理重加密技术在网络设备上实现数据包的真实性验证。即使靠近第一设备的第一网络设备不可信，依然可在远端可信的第二网络设备上实现高效的验证数据包的真实性。

在一种可能的实现方式中，第一数据包中还包括组ID；或，第一网络设备为第一数据包提供组ID。

在另一种可能的实现方式中，组ID为安全组ID，安全组ID用于执行安全策略。在验证安全组ID时，第一代理重加密密钥的生成中内嵌了安全组ID信息，并且网络设备在转发数据包时，会带上安全组信息。由于代理重加密计算的过程内嵌了安全组ID，那么验证设备在验证的时候计算验证相关密钥也需要内嵌安全组ID，从而天然将安全组ID与验证密钥进行了绑定，能够防止安全组ID伪造。

在另一种可能的实现方式中，根据第一设备标识和验证网关标识获得第一代理重加密密钥。

在另一种可能的实现方式中，根据第一设备标识和验证网关标识获得第一代理重加密密钥，包括：根据第一设备标识获得第一设备标识对应的代理密钥列表；根据目的实体的标识确定第一数据包转发途经的验证网关标识；根据代理密钥列表中与第一设备标识相对应的验证网关标识获得第一代理重加密密钥。

在另一种可能的实现方式中，根据代理密钥列表中与第一设备标识相对应的验证网关标识获得第一代理重加密密钥，包括：根据代理密钥列表中与第一设备标识相对应的验证网关标识和组ID获得第一代理重加密密钥。

在另一种可能的实现方式中，第一代理重加密密钥通过本地存储器获得；或，第一代理重加密密钥通过请求远程服务器获得。

在另一种可能的实现方式中，第一设备标识、第一认证码、第二密文和组ID设置于第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

可选的，第一设备标识、第一认证码、第二密文和组ID设置于所述第一数据包包含的网络层协议头部中的下一个首部字段内或互联网协议IP地址字段内。

可选的，第一设备标识、第一认证码、第二密文和组ID设置于所述第一数据包包含的传输控制协议TCP头部中的选项字段内。在另一种可能的实现方式中，第一数据包头部可以为以下其中一项：链路层头部、网络层头部或传输层头部。

第三方面，本申请提供了一种数据处理方法，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：第二网络设备接收第二数据包，第二数据包中包括第一设备标识、第一认证码和第二密文；第二密文用于获得验证密钥验证第二数据包的合法性；根据第二密钥获得解密密钥；第二密钥为验证网关对应的密钥；根据解密密钥和第二密文进行解密获得验证密钥；根据验证密钥和第二待认证信息获得第二认证码；当第二认证码和第一认证码相同时，确定第二数据包合法。

通过上述方法，本申请实施例解决了IP地址等网络数据包源ID的伪造问题，基于代理重加密技术在网络设备上实现数据包的真实性验证。即使靠近第一设备的第一网络设备不可信，依然可在远端可信的第二网络设备上实现高效的验证数据包的真实性。

在一种可能的实现方式中，根据第二密钥获得解密密钥，包括：根据第一设备标识和第二密钥获得解密密钥；或，根据第一设备标识、组ID和第二密钥获得解密密钥。

在另一种可能的实现方式中，方法还包括：若确定第二数据包合法，向目的实体转发第二数据包。

在另一种可能的实现方式中，第二待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

通过引入动态参数，在发生单次密钥泄露的情况下，在下次数据包发送时使用不同的动态参数，有效保证了密钥的安全性。

在另一种可能的实现方式中，方法还包括：第二密钥为对称密钥。

在另一种可能的实现方式中，第一设备标识、第二认证码、第二密文和组ID设置于第二数据包包含的链路层协议头部中或网络层协议头部中或传输层协议头部中。

第四方面，本申请提供了一种数据处理方法，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：接收第一请求消息，第一请求消息包含第一设备标识和第一数据包途径的验证网关标识；根据第一设备标识、第一设备标识对应的第一密钥、验证网关标识以及验证网关标识对应的第二密钥获得第一代理重加密密钥。

通过上述方法，本申请实施例解决了IP地址等网络数据包源ID的伪造问题，基于代理重加密技术在网络设备上实现数据包真实性验证。即使靠近第一设备的第一网络设备不可信，依然可在远端可信的第二网络设备上实现高效的验证数据包真实性。

第五方面，本申请还提供了一种通信装置，用于实现上述第一方面描述的方法。通信装置为终端或以及终端的接入设备，如接入点AP、路由器等或支持终端或终端的接入设备实现该第一方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如，该通信装置包括：处理单元和收发单元。处理单元，用于根据第一临时密钥获得第一认证码，处理单元，还用于根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文，处理单元，还用于生成第一数据包，第一数据包中包括第一设备标识、第一认证码和第一密文；收发单元，用于向第一网络设备发送第一数据包。

可选地，处理单元，用于根据第一临时密钥生成第一认证码，根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文，生成第一数据包的方法同第一方面中相应的描述，这里不再赘述。

第六方面，本申请还提供了一种通信装置，用于实现上述第二方面描述的方法。通信装置为网络设备或支持网络设备实现该第二方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如，通信装置包括：收发单元和处理单元。收发单元，用于接收第一数据包，第一数据包中包括第一设备标识和第一密文；处理单元，用于根据第一代理重加密密钥加密第一密文获得第二密文；处理单元，还用于将第二密文添加到第一数据包头部，得到第二数据包；收发单元，用于向第二网络设备发送第二数据包。

可选地，处理单元，用于根据第一代理重加密密钥加密所述第一密文获得第二密文；将第二密文添加到第一数据包头部，得到第二数据包。所述的方法与第二方面中描述的相同，此处不再赘述。

第七方面，本申请还提供了一种通信装置，用于实现上述第三方面描述的方法。通信装置为网络设备或支持网络设备实现该第三方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如，通信装置包括：收发单元和处理单元。收发单元，用于接收第二数据包，第二数据包中包括第一设备标识、第一认证码和第二密文，第二密文用于获得验证密钥验证第二数据包的合法性；处理单元，用于根据第二密钥获得解密密钥，其中，第二密钥为验证网关对应的密钥；处理单元，还用于根据解密密钥和第二密文进行解密获得验证密钥；根据验证密钥和第二待验证信息获得第二认证码；处理单元，还用于当第二认证码和第一认证码相同时，确定第二数据包合法。

可选地，处理单元，用于根据第二密钥获得解密密钥；还用于根据解密密钥和第二密文进行解密获得验证密钥；根据验证密钥和第二待认证信息获得第二认证码。所述的方法与第三方面中描述的相同，此处不再赘述。

第八方面，本申请还提供了一种通信装置，用于实现上述第四方面描述的方法。通信装置为网络设备或支持网络设备实现该第四方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如，通信装置包括：收发单元和处理单元。收发单元，用于接收第一请求消息，第一请求消息包含第一设备标识和第一数据包途径的验证网关标识；处理单元，还用于根据第一设备标识、第一设备标识对应的第一密钥、验证网关标识以及验证网关标识对应的第二密钥获得第一代理重加密密钥。

第九方面，本申请还提供了一种通信装置，用于实现上述第一方面描述的方法。所述通信装置为终端或终端的接入设备，如接入点AP、路由器等，或支持终端实现该第一方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如所述通信装置包括处理器，用于实现上述第一方面描述的方法的功能。所述通信装置还可以包括存储器，用于存储程序指令和数据。所述存储器与所述处理器耦合，所述处理器可以调用并执行所述存储器中存储的程序指令，用于实现上述第一方面描述的方法中的功能。所述通信装置还可以包括通信接口，所述通信接口用于该通信装置与其它设备进行通信。示例性地，若所述通信装置为终端，该其它设备为网络设备。

在一种可能的设备中，该通信装置包括：收发器和处理器。收发器，用于向第一网络设备发送第一数据包；处理器，用于根据第一临时密钥获得第一认证码；处理器，还用于根据第一设备标识对应的第一密钥加密所述第一临时密钥获得第一密文；处理器，还用于生成第一数据包。

可选地，根据第一临时密钥获得第一认证码；根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文的方法同第一方面中相应的描述，这里不再赘述。

第十方面，本申请还提供了一种通信装置，用于实现上述第二方面描述的方法。所述通信装置为网络设备或支持网络设备实现该第二方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如所述通信装置包括处理器，用于实现上述第二方面描述的方法的功能。所述通信装置还可以包括存储器，用于存储程序指令和数据。所述存储器与所述处理器耦合，所述处理器可以调用并执行所述存储器中存储的程序指令，用于实现上述第二方面描述的方法中的功能。所述通信装置还可以包括通信接口，所述通信接口用于该通信装置与其它设备进行通信。示例性地，若所述通信装置为网络设备，该其它设备为终端。

在一种可能的设备中，该通信装置包括：收发器和处理器。收发器，用于接收第一数据包，第一数据包中包括第一设备标识和第一密文；处理器，用于根据第一代理重加密密钥加密第一密文获得第二密文；处理器，还用于将第二密文添加到第一数据包头部，得到第二数据包；收发器，还用于向第二网络设备发送数据包。

可选地，获得第二密文的方法同第二方面中相应的描述，这里不再赘述。

第十一方面，本申请还提供了一种通信装置，用于实现上述第三方面描述的方法。所述通信装置为应用服务器或支持应用服务器实现该第三方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如所述通信装置包括处理器，用于实现上述第三方面描述的方法的功能。所述通信装置还可以包括存储器，用于存储程序指令和数据。所述存储器与所述处理器耦合，所述处理器可以调用并执行所述存储器中存储的程序指令，用于实现上述第三方面描述的方法中的功能。所述通信装置还可以包括通信接口，所述通信接口用于该通信装置与其它设备进行通信。示例性地，若所述通信装置为应用服务器，该其它设备为终端。

在一种可能的设备中，该通信装置包括：收发器和处理器。收发器，用于接收第二数据包，第二数据包中包括第一设备标识、第一认证码和第二密文，其中，第二密文用于获得验证密钥验证第二数据包的合法性；处理器，用于根据第二密钥获得解密密钥，第二密钥为验证网关对应的密钥；处理器，还用于根据解密密钥和第二密文进行解密获得验证密钥；处理器，还用于根据验证密钥和第二待认证信息获得第二认证码；当第二认证码和第一认证码相同时，确定第二数据包合法。

可选地，根据第二密钥获得解密密钥，根据解密密钥和第二密文进行解密获得验证密钥，根据验证密钥和第二待认证信息获得第二认证码同第三方面中相应的描述，这里不再赘述。

第十二方面，本申请还提供了一种计算机可读存储介质，包括：计算机软件指令；当计算机软件指令在通信装置中运行时，使得通信装置执行上述第一方面至第四方面中任一方面所述的方法。

第十三方面，本申请还提供了一种包含指令的计算机程序产品，当计算机程序产品在通信装置中运行时，使得通信装置执行上述第一方面至第四方面中任一方面所述的方法。

第十四方面，本申请提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述方法中网络设备、终端或应用服务器的功能。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第十五方面，本申请还提供了一种通信系统，所述通信系统包括终端或终端的接入设备以及支持终端实现该第一方面描述的方法的通信装置，以及网络设备或支持网络设备实现该第二方面、第三方面或第四方面描述的方法的通信装置。

本申请中，第一设备、网络设备和通信装置的名字对设备本身不构成限定，在实际实现中，这些设备可以以其他名称出现。只要各个设备的功能和本申请类似，属于本申请权利要求及其等同技术的范围之内。

附图说明

图1为本申请实施例提供的一种通信系统的架构示例图；

图2为本申请实施例提供的一种数据处理方法流程图；

图3为本申请实施例提供的另一种数据处理方法流程图；

图4为本申请实施例提供的一种IPv6数据包的结构示意图；

图5为本申请实施例提供的一种TCP数据包的结构示意图；

图6为本申请实施例提供的一种通信装置的组成示意图；

图7为本申请实施例提供的另一种通信装置的组成示意图；

图8为本申请实施例提供的一种终端设备的结构示意图；

图9为本申请实施例提供的一种网络设备的结构示意图；

具体实施方式

本申请实施例技术方案中的网络设备可以是任意一种具有无线或有线收发功能的设备或可设置于该设备的芯片，该设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(Radio Network Controller，RNC)、节点B(Node B，NB)、基站控制器(Base Station Controller，BSC)、基站收发台(Base Transceiver Station，BTS)、家庭基站(例如，Home evolved NodeB，或Home Node B，HNB)、基带单元(BaseBand Unit，BBU)，无线保真(Wireless Fidelity，WIFI)系统中的接入点(Access Point，AP)、无线中继节点、无线回传节点、传输点(transmission point，TP)或者传输发送接收点(Transmissionreceiving point，TRP)、路由器等，还可以为5G，如NR，系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

在一些部署中，gNB可以包括集中式单元(centralized unit，CU)和DU。gNB还可以包括射频单元(radio unit，RU)。CU实现gNB的部分功能，DU实现gNB的部分功能，比如，CU实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet dataconvergence protocol，PDCP)层的功能，DU实现无线链路控制(radio link control，RLC)、媒体接入控制(media access control，MAC)和物理(physical，PHY)层的功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令或PHCP层信令，也可以认为是由DU发送的，或者，由DU+RU发送的。可以理解的是，网络设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外，CU可以划分为接入网RAN中的网络设备，也可以将CU划分为核心网CN中的网络设备，在此不做限制。

还应理解，本申请实施例中的第一设备可以为终端设备或终端的接入设备。终端设备也可以称为用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。可以是能够接收基站调度和指示信息的无线终端设备，无线终端设备可以是指向用户提供语音和/或数据连通性的设备，或具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端设备可以经无线接入网(如，radio access network，RAN)与一个或多个核心网或者互联网进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话，手机(mobile phone))、计算机和数据卡，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personaldigital assistant，PDA)、平板电脑(Pad)、带无线收发功能的电脑等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile station，MS)、远程站(remote station)、接入点(access point，AP)、远程终端设备(remote terminal)、接入终端设备(accessterminal)、用户终端设备(user terminal)、用户代理(user agent)、用户站(subscriberstation，SS)、用户端设备(customer premises equipment，CPE)、终端(terminal)、用户设备(user equipment，UE)、移动终端(mobile terminal，MT)等。对于URLLC应用场景，终端设备可以为工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。终端的接入设备可以为接入点AP、路由器等等。本申请的实施例对应用场景不做限定。

为便于理解本申请实施例，首先对本申请中涉及的几个术语做简单说明。

第一临时密钥：通过随机数生成。示例性的，第一设备可以通过生成算法生成随机数，从而通过随机数生成第一临时密钥。可选的，第一设备还可以直接通过随机数生成算法生成第一临时密钥。通过随机数生成的第一临时密钥，使得第一临时密钥具有临时性或随机性。

第一认证码：用于认证数据包的合法性。示例性的，第一认证码可以被携带于数据包包含的链路层头部中，也可以被携带于数据包包含的网络层协议头部中，也可以被携带于数据包包含的传输层协议头部中。示例性的，第一认证码可以通过第一临时密钥获得，由于第一临时密钥具有临时性或随机性，使得获得的第一认证码也具有临时性或随机性。当网络设备对数据包进行认证时，首先提取数据包包含的认证码，若认证码认证通过，则通过网络设备完成数据包的转发。

第一设备标识：为能够识别第一设备的所有物理量。通过第一设备标识，能够查找到对应的第一设备。示例性的，可以为第一设备的ID，也可以为用户ID，也可以为IP地址，也可以为其它设备分配的标识等等。本申请实施例对第一设备标识不坐具体限定，只要能唯一识别第一设备，就可以为第一设备标识。

本申请实施例中其它标识，如验证网关标识、目的实体标识和密钥标识也具有宽泛的解释空间，只要能唯一识别验证网关、目的实体和密钥，就可以为对应的网关标识、目的实体标识和密钥标识。

第一密钥：是第一设备的长期密钥。示例性的，在第一设备出厂后，会自身携带一个初始密钥，也就是第一设备对应的长期密钥。或者设备入网后，权威服务器分发的一个长久密钥，如SIM卡中的密钥。或者初次配置的一个密钥。本申请实施例对第一密钥的获得方式不作限定。

第二密钥：是验证网关的长期密钥。示例性的，在网络设备出厂后，会自身携带一个初始密钥，也就是网络设备对应的长期密钥。或者设备入网后，权威服务器分发的一个长久密钥，如SIM卡中的密钥。或者初次配置的一个密钥。本申请实施例对第二密钥的获得方式不作限定。

盐值(SALT值)：SALT值属于随机值。用户注册时，系统用来和用户密码进行组合而生成的随机数值，称作SALT值。示例性的，SALT值是随机生成的一组字符串，可以包括随机的大小写字母、数字、字符，位数可以根据要求而不一样。

目的实体：所谓目的实体可以理解为是受保护的设备或攻击者需要攻击的设备。本申请的实施例中目的实体可以是应用服务器、路由器或物联网(Internet of Things，IoT)中的设备等，本申请对此不作限定。例如，IoT设备可以是消防报警设备等。如果消防报警设备遭受攻击，使其不能感应火灾进行报警，从而使其无法往外发送报警消息，带来严重的安全威胁。

动态参数：用于使得每个数据包的认证码都不一样的参数。示例性的，可以是可以同步的时间参数，也可以是随包带的一个变化的参数。当攻击者不断重放包含相同认证码的数据包时，能够有效防止验证者误判该重放的数据包为合法的数据包。

密钥参数：可以动态更新密钥的参数。示例性的，可以一段时间内不变，比如1天不变，1个月不变，甚至只要密钥不泄露都不可以不变。可以防止短期密钥泄露带来的身份假冒以及ID假冒问题。

组ID：每个UE都属于一个安全组。示例性的，网络设备添加安全组ID或通过UE携带。

在验证安全组ID时，第一代理重加密密钥的生成中内嵌了安全组ID信息，并且第一网络设备在转发数据包时，会带上安全组ID信息。由于代理密钥计算的过程内嵌了安全组ID，那么验证设备在验证的时候计算验证相关密钥也需要内嵌安全组ID，从而天然将安全组ID与验证密钥进行了绑定，能够防止安全组ID伪造。

此外，为了便于理解本申请实施例，作出以下几点说明。

第一，在本申请实施例中，为便于描述，在下文示出的实施例中第一、第二以及各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围。例如，区分不同的网络设备。

第二，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

第三，本申请实施例中涉及的“存储”，可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器，可以是单独的设置，也可以是集成在编码器或者译码器，处理器、或通信装置中。所述一个或者多个存储器，也可以是一部分单独设置，一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质，本申请并不对此限定。

第四，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b和c中的至少一项(个)，可以表示：a，或，b，或，c，或，a和b，或，a和c，或，b和c，或，a、b和c。其中a、b和c分别可以是单个，也可以是多个。

下面将结合附图对本申请实施例的实时方式进行详细描述。

为便于理解本申请实施例，下面以图1示出的通信系统为详细说明适用于本申请实施例提供的数据传输方法的通信系统。图1示出的是可以应用于本申请实施例的通信系统的架构示例图100。如图1所述，该通信系统包括至少一个终端101和互联网服务提供商(Internet Service Provider，ISP)网络。ISP可以是指向广大用户综合提供互联网接入业务、信息业务和增值业务的电信运营商。其中，ISP网络可以包括网络设备102和网络设备103(如：边界路由器和交换机)等。服务器可以包括至少一个服务器104。多个服务器可以是独立的不同的物理设备，也可以是将多个服务器的功能集成在同一个物理设备上(如：云服务提供商管辖范围内的多个服务器)，还可以是一个物理设备上集成了部分服务器的功能。每个服务器上可以运行一个或多个服务(如：游戏服务)。服务也可称为应用。每个服务可以部署在多个服务器上，由多个服务器支持运行。终端101通过无线或有线的方式与网络设备102或网络设备103相连。网络设备102或网络设备103将通过无线或有线方式连接。网络设备102或网络设备103通过无线或有线方式与控制中心服务器104连接。终端设备可以是固定位置的，也可以是可移动的。图1只是示意图，该通信系统中还可以包括其它设备，如还可以包括无线中继设备和无线回传设备，在图1中未画出。本申请的实施例对该通信系统中包括的终端、网络设备和应用服务器的数量不做限定。

IP地址是数据包在网络中传输的身份标识，确保数据包身份标识的真实性是实现数据包追踪溯源的基础。域内真实源地址验证技术SAVI是一种源地址验证和过滤技术，通过维护源IP和MAC或端口的映射关系来实现验证，其安全依赖于实现SAVI技术的第一跳路由或交换机是安全可信的。然而，靠近用户第一设备的第一跳交换机和路由器等边缘网络设备的安全性通常难以得到保障。这类设备由于缺乏有效的物理隔离或者强健的安全防御机制，容易被攻击者入侵并被植入恶意代码，破坏其真实性验证能力。

因此，针对现有技术方案存在的问题，本申请提供一种数据处理方法，该方法包括：根据第一临时密钥获得第一认证码；根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文；生成第一数据包，第一数据包中包括第一设备标识、第一认证码和第一密文；向第一网络设备发送第一数据包。在第一网络设备接收到第一数据包后，根据第一代理重加密密钥加密第一密文获得第二密文，将第二密文添加到第一数据包头部，得到第二数据包；向第二网络设备发送第二数据包。第二网络设备接收包括第一设备标识、第一认证码和第二密文的第二数据包，并根据第二密钥获得解密密钥，根据解密密钥和第二密文进行解密获得验证密钥；根据验证密钥和第二待认证信息获得第二认证码；当第二认证码和第一认证码相同时，确定第二数据包合法。

通过上述方法，本申请实施例解决了IP地址等网络数据包源ID的伪造问题，基于代理重加密技术在网络设备上实现数据包的真实性验证。即使靠近第一设备的第一网络设备不可信，依然可在远端可信的第二网络设备上实现高效的验证数据包真实性。

图2是从设备交互的角度示出的本申请实施例提供的数据处理方法200的示意性流程图。如图所示，该方法200可以包括步骤S201至步骤S215。以下详细说明方法200中的各步骤。

在步骤S201中，第一设备根据第一临时密钥获得第一认证码。

在本实施例中，第一设备使用一个安全的伪随机数算法生成第一临时密钥，其中，第一临时密钥的获得具有临时性或随机性。

可选的，第一临时密钥作为第一认证码的第一输入密钥。

示例性的，将第一设备记为ID1，第一临时密钥记为Key，第一输入密钥记为InKey，则InKey＝Key。

可选的，通过密钥派生函数对第一临时密钥进行运算，获得第一认证码的第一输入密钥。例如，密钥派生函数可以使用PBKDF2.0中的算法。

示例性的，将第一设备标识记为ID1，第一临时密钥记为Key，第一输入密钥记为InKey，密钥派生函数记为KDF()，则InKey＝KDF(Key)或InKey＝KDF(ID1，Key)，其中ID1是可选的输入参数。

第一设备根据第一临时密钥获得第一认证码包括以下两种可能的实施例：

在一种可能的实施例中，第一设备根据第一临时密钥进行计算获得第一认证码。第一设备可以采用杂凑算法HMAC根据第一临时密钥获得第一认证码。杂凑算法又可称为哈希(hash)函数。所谓杂凑算法可以是指将任意长的输入消息串变化成固定长的输出串的一种函数。

在另一种可能的实施例中，第一设备根据第一临时密钥和第一待认证信息获得第一认证码。第一设备可以采用杂凑算法根据第一临时密钥和第一待认证信息获得第一认证码。

可选的，第一待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。示例性的，动态参数可以是随时间、序列号变化的参数。数据包包头中的静态信息即在数据包转发过程中不会发生改变的数据。

在步骤S202中，第一设备根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文。

可选的，第一密钥为对称密钥。

根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文包括以下两种可能的实施例。

在一种可能的实施例中，根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文。示例性的，将第一设备标识记为ID1，第一临时密钥记为Key，第一密钥记为SK，加密算法记为Encrypt()，则CK＝Encrypt(ID1，SK，Key)。

在另一种可能的实施例中，根据根据第一设备标识对应的第一密钥和密钥参数加密第一临时密钥获得第一密文。

可选的，密钥参数包括以下至少一项：时间参数、盐值和密钥标识。示例性的，密钥参数为时间参数，记为TS1，终端标识记为ID1，第一临时密钥记为Key，第一密钥记为SK，加密算法记为Encrypt()，则CK＝Encrypt(ID1，TS1，SK，Key)。

在步骤S203中，第一设备生成第一数据包，第一数据包中包括第一设备标识、第一认证码和第一密文。

在步骤S204中，第一设备向第一网络设备发送第一数据包。第一数据包的头部携带有第一标识、第一认证码和第一密文。其中，第一标识、第一认证码和第一密文设置于第一数据包包含的链路层头部或网络层协议头部中或传输层协议头部中。

在第一种可实现方式中，第一标识、第一认证码和第一密文可以设置于第一数据包包含的目的IP地址内。例如，目的IP地址可以是指IPv6数据报中的目的IP地址。

示例的，如图4所示，为IPv6数据报的结构示例图。IPv6数据报包括基本首部、N个扩展首部和数据部分。N个扩展首部和数据部分可以称为有效载荷(payload)或净负荷。其中，基本首部包括版本(version)、通信量类(traffic class)、流标号(flow label)、有效载荷长度(payload length)、下一个首部(next header)、跳数限制(hop limit)、源地址(source address)和目的地址(destination address)。关于IPv6数据报的各字段具体解释可以参考现有技术的阐述，不予赘述。

目的地址是指数据报的接收端的IP地址，占128bit。例如，终端标识、第一认证码和第一密文可以设置于IPv6数据报中的目的IP地址内。

又例如，目的IP地址可以是指IPv4数据报中的目的IP地址。

在一些实施例中，第一设备标识、第一认证码和第一密文可以设置于第一数据包包含的源IP地址内。例如，源IP地址可以是指IPv6数据报中的源IP地址。又例如，源IP地址可以是指IPv4数据报中的源IP地址。

在第二种可实现方式中，第一设备标识、第一认证码和第一密文可以设置于第一数据包包含的网络层协议头部中的下一个首部内。

在第三种可实现方式中，第一设备标识、第一认证码和第一密文可以设置于第一数据包包含的网络层协议头部中的可选字段内。

在第四种可实现方式中，第一设备标识、第一认证码和第一密文可以设置于TCP首部中的可选字段中。示例的，如图5所示，为TCP数据报的结构示例图。TCP数据报包含于IP数据报的数据部分内。TCP数据报包括TCP首部和TCP数据报的数据部分。TCP首部包括源端口(source port)、目的端口(destination port)、序列号(sequence number)、确认号(acknowledgment number)、数据偏移(header length)、保留(resv)、紧急(UGR)、确认(ACK)、推送(PSH)、复位(RST)、同步(SYN)、终止(FIN)、窗口(window size)、检验和(checksum)、紧急指针(urgent pointer)和选项(options)。关于TCP数据报的各字段具体解释可以参考现有技术的阐述，不予赘述。

在步骤S205中，第一网络设备接收第一数据包，并提取出第一数据包头部携带的第一设备标识和第一密文。

在步骤S206中，第一网络设备根据第一代理重加密密钥加密第一密文获得第二密文。

可选的，第一代理重加密密钥根据第一设备标识和验证网关标识获得，验证网关标识为第一数据包途经的验证网关标识。

在一种可能的实施方式中，第一网络设备根据第一设备标识获得第一设备标识对应的代理密钥列表；根据目的实体的标识确定第一数据包转发途经的验证网关标识；根据代理密钥列表中与第一设备标识相对应的验证网关标识获得第一代理重加密密钥。

在另一种可能的实施的方式中，第一网络设备根据第一设备标识获得第一设备标识对应的代理密钥列表；根据目的实体的标识确定第一数据包转发途经的验证网关标识；根据代理密钥列表中与第一设备标识相对应的验证网关标识和组ID获得第一代理重加密密钥。

可选的，组ID为安全组ID，安全组ID用于执行安全策略。

可选的，组ID通过第一数据包携带，或，由第一网络设备提供给第一数据包。

在一种可能的实施方式中，第一数据包中携带有第一设备的组ID，第一网络设备提取第一数据包中的组ID。

在另一种可能的实施方式中，第一网络设备存储组ID。

可选的，第一代理重加密密钥通过本地存储获得，或，通过请求远程服务器获得。

在一种可能的实施方式中，第一代理重加密密钥通过本地存储获得，即第一网络设备存储并维护第一设备标识和验证网关标识相配对的第一代理重加密密钥。

在另一种可能的实施方式中，第一代理重加密密钥通过请求远程服务器获得，即第一网络设备通过向第三网络设备发送请求消息，请求获得第一设备标识和验证网关标识相配对的第一代理重加密密钥。如图3所示是从设备交互的角度示出的通过请求远程服务器获得第一代理重加密密钥的方法，该方法300可以包括步骤S2051、步骤S2052和步骤S2053。

在步骤S2051中，第一网络设备向第三网络设备发送第一请求消息。

其中，第一请求消息包含第一设备标识和第一数据包途经的的验证网关标识。

在步骤S2052中，第三网络设备接收第一请求消息。

在步骤S2053中，第三网络设备根据第一设备标识、第一设备对应的第一密钥、验证网关标识以及验证网关标识对应的第二密钥获得第一代理重加密密钥。

其中，第三网络设备为可信网络，存储第一密钥和第二密钥，用于生成第一代理重加密密钥。

示例性的，第三网络设备可以为权威服务器，权威服务器在收到第一网络设备的请求消息之后，根据第一设备标识查询密钥数据库中与第一设备标识对应的第一密钥，根据验证网关标识查询与验证网关标识对应的第二密钥，计算获得第一代理重加密密钥，并向第一网络设备发送第一代理重加密密钥。

在步骤S207中，将第二密文添加到第一数据包头部，得到第二数据包。

可选的，将第一数据包中的第一密文替换为第二密文，得到第二数据包。

可选的，第一数据包头部可以为以下其中一项：链路层头部、网络层头部或传输层头部。可能的实现方式如步骤204所述，此处不再一一赘述。

在步骤S208中，向第二网络设备发送第二数据包，第二数据包中包括第一设备标识、第一认证码和第二密文。

可选的，第一设备标识、第一认证码、第二密文和组ID设置于第二数据包包含的网络层协议头部中或传输层协议头部中，可选的实施方式如步骤S204所述，此处不再一一赘述。

在步骤S209中，第二网络设备接收第二数据包。并提取出第二数据包头部携带的第一设备标识、第一认证码和第二密文。其中，第二密文用于获得验证密钥，验证密钥用于验证第二数据包的合法性。

在步骤S210中，第二网络设备根据第二密钥获得解密密钥，第二密钥为验证网关对应的密钥，为验证网关的长期密钥。

可选的，第二密钥为一种对称密钥。

在一些实施例中，第二网络设备根据第二密钥获得解密密钥，包括以下两种可选的实施方式：

在一种可能的实施方式中，第二网络设备根据第一设备标识和第二密钥获得解密密钥。

在另一种可能的实施方式中，第二网格设备根据第一设备标识、组ID和第二密钥获得解密密钥。

在步骤211中，第二网络设备根据解密密钥和第二密文进行解密获得验证密钥。

在步骤212中，第二网络设备根据验证密钥和第二待认证信息获得第二认证码。

在一些实施例中，根据验证密钥和第二待认证信息获得第二认证码，示例性的，当第二待认证信息为动态参数时，可以根据验证密钥和动态参数获得第二认证码。动态参数是随时间可变的。在一些实施例中，动态参数可以是时间信息。需要说明的是，这里的动态参数与第一设备采用杂凑算法生成第一认证码时采用的动态参数相同，避免由于动态参数不同而造成的验证失败。

可选的，第二待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。示例性的，动态参数可以是随时间、序列号变化的参数。数据包包头中的静态信息即在数据包转发过程中不会发生改变的数据。

在步骤S213中，判断第一认证码和第二认证码是否相同。当第二认证码和第一认证码相同时，执行步骤S214。当第二认证码和第一认证码不相同时，执行步骤S215。

在步骤S214中，第二网络设备确定第二数据包合法，向目的实体转发数据包。

在步骤S215中，第二网络设备确定第二数据包不合法。

在一些实施例中，第二网络设备确定第二数据包不合法，可以表明第二网络设备可能接收到了非法数据包，则第二网络设备丢弃第二数据包。

上述本申请提供的实施例中，分别从第一设备、网络设备，以及第一设备、网络设备之间交互的角度对本申请实施例提供的方法进行了介绍。可以理解的是，各个网元，例如第一设备、网络设备为了实现上述本申请实施例提供的方法中的各功能，第一设备、网络设备包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对第一设备、网络设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图6示出了上述和实施例中涉及的通信装置600的一种可能的组成示例图，该通信装置能执行本申请各方法实施例中任一方法实施例中第一设备和网络设备所执行的步骤。如图6所示，该通信装置可以包括：收发单元601和处理单元602。

当所述通信装置为第一设备或支持第一设备实现实施例中提供的方法的通信装置，例如该通信装置可以是芯片系统。

其中，收发单元601，用于支持通信装置执行本申请实施例中描述的方法。

例如，收发单元601，用于执行或用于支持通信装置执行图3所示的数据处理方法中的S204。

其中，处理单元602，用于支持通信装置执行本申请实施例中描述的方法。

例如，处理单元602，用于执行或用于支持通信装置执行图3所示的数据处理方法中的S201、S202和S203。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，当第一设备为终端设备，该通信装置600为终端设备时，该通信装置600中的收发单元601和/或发送单元可对应于图8中示出的终端设备2000中的收发器2020，该通信装置600中的处理单元602可对应于图8中示出的终端设备2000中的处理器2010。

还应理解，该通信装置600为配置于第一设备中的芯片时，该通信装置600中的收发单元601可以为输入/输出接口。

当所述通信装置为网络设备或支持网络设备实现实施例中提供的方法的通信装置，例如该通信装置可以是芯片系统。

其中，收发单元601，用于支持通信装置执行本申请实施例中描述的方法。

例如，收发单元601，用于执行或用于支持通信装置执行图3所示的数据处理方法中的S205、S208和S209，图4所示的数据处理方法中的S2051和S2052。

例如，处理单元602，用于执行或用于支持通信装置执行图3所示的数据处理方法中的S206、S207、S210、S211、S212和S213，图4所示的数据处理方法中的S2053。

还应理解，该通信装置600为网络设备时，该通信装置600中的收发单元601为可对应于图9中示出的网络设备3000中的收发器3200，该通信装置600中的处理单元602可对应于图9中示出的网络设备3000中的处理器3100。

还应理解，该通信装置600为配置于网络设备中的芯片时，该通信装置600中的收发单元601可以为输入/输出接口。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本申请实施例提供的通信装置，用于执行上述任意实施例的方法，因此可以达到与上述实施例的方法相同的效果。

如图7所示为本申请实施例提供的通信装置700，用于实现上述方法中网络设备的功能。该通信装置700可以是网络设备，也可以是网络设备中的装置。其中，该通信装置700可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。或者，通信装置700用于实现上述方法中终端的功能。该通信装置700可以是终端，也可以是终端中的装置，也可以是终端接入设备的装置。其中，该通信装置700可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。或者，通信装置700用于实现上述方法中应用服务器的功能。该通信装置700可以是应用服务器，也可以是应用服务器中的装置。其中，该通信装置700可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

通信装置700包括至少一个处理器701，用于实现本申请实施例提供的方法中终端设备和网络设备的功能。示例性地，处理器701可以用于根据第一临时密钥获得第一认证码；根据第一设备标识对应的第一密钥加密第一临时密钥获得第一密文等等，具体参见方法示例中的详细描述，此处不做赘述。

通信装置700还可以包括至少一个存储器702，用于存储程序指令和/或数据。存储器702和处理器701耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器701可能和存储器702协同操作。处理器701可能执行存储器702中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

通信装置700还可以包括通信接口703，用于通过传输介质和其它设备进行通信，从而用于通信装置700中的装置可以和其它设备进行通信。示例性地，若通信装置为网络设备，该其它设备为终端。若通信装置为终端，该其它设备为网络设备。若通信装置为终端，该其它设备为应用服务器。处理器701利用通信接口703收发数据，并用于实现图3和图4对应的实施例中所述的第一设备和网络设备所执行的方法。

本申请实施例中不限定上述通信接口703、处理器701以及存储器702之间的具体连接介质。本申请实施例在图7中以通信接口703、处理器701以及存储器702之间通过总线704连接，总线在图7中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

当第一设备为终端设备时，图8是本申请实施例提供的终端设备2000的结构示意图。该终端设备2000可应用于如图1所示的系统中，执行上述方法实施例中终端设备的功能。

如图所示，该终端设备2000包括处理器2010和收发器2020。可选地，该终端设备2000还包括存储器2030。其中，处理器2010、收发器2020和存储器2030之间可以通过内部连接通路互相通信，传递控制和/或数据信号，该存储器2030用于存储计算机程序，该处理器2010用于从该存储器2030中调用并运行该计算机程序，以控制该收发器2020收发信号。可选地，终端设备2000还可以包括天线2040，用于将收发器2020输出的上行数据或上行控制信令通过无线信号发送出去。

上述处理器2010和存储器2030可以合成一个处理装置，处理器2010用于执行存储器2030中存储的程序代码来实现上述功能。具体实现时，该存储器2030也可以集成在处理器2010中，或者独立于处理器2010。该处理器2010可以与图6中的处理单元对应。

上述收发器2020可以与图6中的收发单元601对应，也可以称为收发单元。收发器2020可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中，接收器用于接收信号，发射器用于发射信号。

应理解，图8所示的终端设备2000能够实现图2所示方法200和/或图3所示方法300实施例中涉及第一设备的各个过程。终端设备2000中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述处理器2010可以用于执行前面方法实施例中描述的由终端设备内部实现的动作，而收发器2020可以用于执行前面方法实施例中描述的终端设备向网络设备发送或从网络设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

可选地，上述终端设备2000还可以包括电源2050，用于给终端设备中的各种器件或电路提供电源。

除此之外，为了使得终端设备的功能更加完善，该终端设备2000还可以包括输入单元2060、显示单元2070、音频电路2080、摄像头2090和传感器2100等中的一个或多个，所述音频电路还可以包括扬声器2082、麦克风2084等。

图9是本申请实施例提供的网络设备的结构示意图，例如可以为基站的结构示意图。该基站3000可应用于如图1所示的系统中，执行上述方法实施例中网络设备的功能。

如图所示，该基站3000可以包括一个或多个射频单元，如远端射频单元(remoteradio unit，RRU)3100和一个或多个基带单元(baseband unit，BBU)(也可称为数字单元，digital unit，DU)3200。所述RRU 3100可以称为收发单元，与图6中的收发单元601对应。可选地，该收发单元3100还可以称为收发机、收发电路、或者收发器等等，其可以包括至少一个天线3101和射频单元3102。可选地，收发单元3100可以包括接收单元和发送单元，接收单元可以对应于接收器(或称接收机、接收电路)，发送单元可以对应于发射器(或称发射机、发射电路)。所述RRU 3100部分主要用于射频信号的收发以及射频信号与基带信号的转换，例如用于向终端设备发送指示信息。所述BBU 3200部分主要用于进行基带处理，对基站进行控制等。所述RRU 3100与BBU 3200可以是物理上设置在一起，也可以物理上分离设置的，即分布式基站。

所述BBU 3200为基站的控制中心，也可以称为处理单元，可以与图6中的处理单元602对应，主要用于完成基带处理功能，如信道编码，复用，调制，扩频等等。例如所述BBU(处理单元)可以用于控制基站执行上述方法实施例中关于网络设备的操作流程，例如，生成上述指示信息等。

在一个示例中，所述BBU 3200可以由一个或多个单板构成，多个单板可以共同支持单一接入制式的无线接入网(如LTE网)，也可以分别支持不同接入制式的无线接入网(如LTE网，5G网或其他网)。所述BBU 3200还包括存储器3201和处理器3202。所述存储器3201用以存储必要的指令和数据。所述处理器3202用于控制基站进行必要的动作，例如用于控制基站执行上述方法实施例中关于网络设备的操作流程。所述存储器3201和处理器3202可以服务于一个或多个单板。也就是说，可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路。

应理解，图9所示的基站3000能够实现图2的方法200和/或图3中的方法300实施例中涉及网络设备的各个过程。基站3000中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述BBU 3200可以用于执行前面方法实施例中描述的由网络设备内部实现的动作，而RRU 3100可以用于执行前面方法实施例中描述的网络设备向终端设备发送或从终端设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

本申请实施例还提供了一种处理装置，包括处理器和接口；所述处理器，用于执行上述方法实施例中的通信的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图2和图3所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图2和图3所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的一个或多个终端设备以及一个或多个网络设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中网络设备与终端设备和方法实施例中的网络设备或终端设备完全对应，由相应的模块或单元执行相应的步骤，例如通信单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可在上面存储有各种数据结构的各种计算机可读介质执行。部件可根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step)，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，各功能单元的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (48)

1.一种数据处理方法，其特征在于，包括：

根据第一临时密钥获得第一认证码；

根据第一设备标识对应的第一密钥加密所述第一临时密钥获得第一密文；

生成第一数据包，所述第一数据包中包括所述第一设备标识、所述第一认证码和所述第一密文；

向第一网络设备发送所述第一数据包。

2.根据权利要求1所述的方法，所述根据第一临时密钥获得第一认证码，包括：

根据所述第一临时密钥和第一待认证信息获得所述第一认证码。

3.根据权利要求2所述的方法，所述第一待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

4.根据权利要求1所述的方法，所述根据第一设备标识对应的第一密钥加密所述第一临时密钥获得第一密文，包括：

根据所述第一设备标识对应的所述第一密钥和密钥参数加密所述第一临时密钥获得所述第一密文。

5.根据权利要求4所述的方法，所述密钥参数包括以下至少一项：时间参数、盐值和密钥标识。

6.根据权利要求1或2或4中所述的方法，其特征在于，所述第一临时密钥的获得具有临时性或随机性。

7.根据权利要求1所述的方法，其特征在于，包括：所述第一密钥为对称密钥。

8.根据权利要求1-6中任一项所述的方法，其特征在于，所述第一设备标识、所述第一认证码和所述第一密文设置于所述第一数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

9.一种数据处理方法，其特征在于，包括：

第一网络设备接收第一数据包，所述第一数据包中包括第一设备标识和第一密文；

根据第一代理重加密密钥加密所述第一密文获得第二密文；

将所述第二密文添加到所述第一数据包头部，得到第二数据包；

向第二网络设备发送所述第二数据包。

10.根据权利要求9所述的方法，其特征在于，包括：所述第一数据包中还包括组ID；或，所述第一网络设备为所述第二数据包提供所述组ID。

11.根据权利要求9-10中任一项所述的方法，其特征在于，包括：根据所述第一设备标识和验证网关标识获得所述第一代理重加密密钥。

12.根据权利要求11所述的方法，其特征在于，包括：

根据所述第一设备标识获得所述第一设备标识对应的代理密钥列表；

根据目的实体的标识确定所述第一数据包转发途经的所述验证网关标识；

根据所述代理密钥列表中与所述第一设备标识相对应的所述验证网关标识获得所述第一代理重加密密钥。

13.根据权利要求12所述的方法，所述根据所述代理密钥列表中与所述第一设备标识相对应的所述验证网关标识获得所述第一代理重加密密钥，包括：

根据所述代理密钥列表中与所述第一设备标识相对应的所述验证网关标识和所述组ID获得所述第一代理重加密密钥。

14.根据权利要求9所述的方法，其特征在于，所述第一代理重加密密钥通过本地存储器获得；或，所述第一代理重加密密钥通过请求远程服务器获得。

15.根据权利要求9-13中任一项所述的方法，其特征在于，所述第一设备标识、所述第一认证码、所述第二密文和所述组ID设置于所述第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

16.根据权利要求9所述的方法，所述第一数据包头部可以为以下其中一项：链路层头部、网络层头部或传输层头部。

17.一种数据处理方法，其特征在于，包括：

第二网络设备接收第二数据包，所述第二数据包中包括第一设备标识、第一认证码和第二密文；

根据第二密钥获得解密密钥，所述第二密钥为验证网关对应的密钥；

根据所述解密密钥和所述第二密文进行解密获得验证密钥；

根据所述验证密钥和第二待认证信息获得第二认证码；

当所述第二认证码和所述第一认证码相同时，确定所述第二数据包合法。

18.根据权利要求17所述的方法，所述根据第二密钥获得解密密钥，包括：

根据所述第一设备标识和所述第二密钥获得所述解密密钥；或，

根据所述第一设备标识、组ID和所述第二密钥获得所述解密密钥。

19.根据权利要求17-18中任一项所述的方法，其特征在于，所述方法还包括：

若确定所述第二数据包合法，向目的实体转发所述第二数据包。

20.根据权利要求17所述的方法，所述第二待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

21.根据权利要求17所述的方法，其特征在于，包括：所述第二密钥为对称密钥。

22.根据权利要求17-18中任一项所述的方法，其特征在于，所述第一设备标识、所述第二认证码、所述第二密文和所述组ID设置于所述第二数据包包含的链路层协议头部中或网络层协议头部中或传输层协议头部中。

23.一种数据处理方法，其特征在于，包括：

接收第一请求消息，所述第一请求消息包含第一设备标识和第一数据包转发途经的验证网关标识；

根据所述第一设备标识、所述第一设备标识对应的第一密钥、所述验证网关标识以及所述验证网关标识对应的第二密钥获得第一代理重加密密钥。

24.一种通信装置，其特征在于，包括：

处理单元，用于根据第一临时密钥获得第一认证码；

所述处理单元，还用于根据第一设备标识对应的第一密钥加密所述第一临时密钥获得第一密文；

所述处理单元，还用于生成第一数据包，所述第一数据包中包括所述第一设备标识、所述第一认证码和所述第一密文；

收发单元，用于向第一网络设备发送所述第一数据包。

25.根据权利要求24所述的装置，所述处理单元还用于，根据所述第一临时密钥和第一待认证信息获得所述第一认证码。

26.根据权利要求25所述的装置，所述第一待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

27.根据权利要求24所述的装置，所述处理单元还用于，

根据所述第一设备标识对应的所述第一密钥和密钥参数加密所述第一临时密钥获得所述第一密文。

28.根据权利要求27所述的装置，所述密钥参数包括以下至少一项：时间参数、盐值和密钥标识。

29.根据权利要求24或25或27中所述的装置，其特征在于，所述第一临时密钥的获得具有临时性或随机性。

30.根据权利要求24所述的装置，其特征在于，包括：所述第一密钥为对称密钥。

31.根据权利要求24-29中任一项所述的装置，其特征在于，所述第一设备标识、所述第一认证码和所述第一密文设置于所述第一数据包包含的链路层头部或网络层协议头部中或传输层协议头部中。

32.一种通信装置，其特征在于，包括：

收发单元，用于接收第一数据包；所述第一数据包中包括第一设备标识和第一密文；

处理单元，用于根据第一代理重加密密钥加密所述第一密文获得第二密文；

所述处理单元，还用于将所述第二密文添加到所述第一数据包头部，得到第二数据包；

所述收发单元，用于向第二网络设备发送所述第二数据包。

33.根据权利要求32所述的装置，其特征在于，包括：所述第一数据包中还包括组ID；或，所述第一网络设备为所述第二数据包提供所述组ID。

34.根据权利要求32-33中任一项所述的装置，所述处理单元，还用于根据所述第一设备标识和验证网关标识获得所述第一代理重加密密钥。

35.根据权利要求34所述的装置，所述处理单元还用于，

根据所述终端标识获得所述第一设备标识对应的代理密钥列表；

根据目的实体的标识确定所述第一数据包转发途经的验证网关标识；

根据所述代理密钥列表中与所述第一设备标识相对应的所述验证网关标识获得所述第一代理重加密密钥。

36.根据权利要求35所述的装置，所述处理单元，还用于，

根据所述代理密钥列表中与所述第一设备标识相对应的所述验证网关标识和所述组ID获得所述第一代理重加密密钥。

37.根据权利要求32所述的装置，其特征在于，所述第一代理重加密密钥通过本地存储器获得；或，所述第一代理重加密密钥通过请求远程服务器获得。

38.根据权利要求32-37中任一项所述的装置，其特征在于，所述第一设备标识、所述第一认证码、所述第二密文和所述组ID设置于所述第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

39.根据权利要求32所述的装置，所述第一数据包头部可以为以下其中一项：链路层头部、网络层头部或传输层头部。

40.一种数据处理装置，其特征在于，包括：

收发单元，用于接收第二数据包，所述第二数据包中包括第一设备标识、第一认证码和第二密文；

处理单元，用于根据第二密钥获得解密密钥，所述第二密钥为验证网关对应的密钥；

所述处理单元，还用于根据所述解密密钥和所述第二密文进行解密获得验证密钥；

所述处理单元，还用于根据所述验证密钥和第二待认证信息获得第二认证码；

所述处理单元，还用于当所述第二认证码和所述第一认证码相同时，确定所述第二数据包合法。

41.根据权利要求40所述的装置，所述处理单元，还用于：

根据所述第一设备标识和所述第二密钥获得解密密钥；或，

根据所述第一设备标识、组ID和所述第二密钥获得所述解密密钥。

42.根据权利要求40-41中任一项所述的装置，其特征在于，所述处理单元还用于：

若确定所述第二数据包合法，向目的实体转发所述第二数据包。

43.根据权利要求40所述的装置，所述第二待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。

44.根据权利要求40所述的装置，其特征在于，包括：所述第二密钥为对称密钥。

45.根据权利要求40-41中任一项所述的装置，其特征在于，所述第一设备标识、所述第二认证码、所述第二密文和所述组ID设置于所述第二数据包包含的链路层协议头部中或网络层协议头部中或传输层协议头部中。

46.一种数据处理的装置，其特征在于，包括：

收发单元，用于接收第一请求消息，所述第一请求消息包含第一设备标识和第一数据包转发途径的验证网关标识；

处理单元，用于根据所述第一设备标识、所述第一设备标识对应的第一密钥、所述验证网关标识以及所述验证网关标识对应的第二密钥获得第一代理重加密密钥。

47.一种通信装置，其特征在于，包括：至少一个处理器、存储器和总线，其中，所述存储器用于存储计算机程序，使得所述计算机程序被所述至少一个处理器执行时实现如权利要求1-8中任一项所述的数据处理方法，或者如权利要求9-16中任一项所述的数据处理方法，或者如权利要求17-22中任一项所述的数据处理方法，或者如权利要求23所述的数据处理方法。

48.一种计算机可读存储介质，其特征在于，包括：计算机软件指令；

当所述计算机软件指令在计算机设备或内置在计算机设备的芯片中运行时，使得所述计算机设备执行如权利要求1-8中任一项所述的数据处理方法，或者如权利要求8-16中任一项所述的数据处理方法，或者如权利要求17-22中任一项所述的数据处理方法，或者如权利要求23所述的数据处理方法。

Images