CN113938286A - 一种数据处理方法及装置 - Google Patents

Abstract

本申请实施例公开了一种数据处理方法及装置，涉及通信领域，该方法包括：第一网络设备生成代理重加密密钥，并向第二网络设备发送第一访问权限列表中记录的信息及第一代理重加密密钥。第二网络设备接收第一终端发送的第一数据包，并第一代理重加密密钥加密第一密文获得第二密文；将第二密文添加到第一数据包头部，得到第二数据包，并向第三网络设备发送第二数据包。第三网络设备基于接收到的信息验证数据包是否合法。通过上述方案，将第一访问权限列表中记录的信息编码到密钥计算过程中，可以将复杂的信息维护下沉到第二网络设备；在第二网络设备不可信时，可以简化集中化的第三网络设备的权限验证。

Description

一种数据处理方法及装置

技术领域

本申请涉及通信领域，尤其涉及一种数据处理方法及装置。

背景技术

零信任网络是业界安全架构发展的趋势，在零信任网络模型下，靠近终端设备的边缘网络设备(如接入网络设备)可能由于暴露在非物理隔离的环境中、或者没有部署强健的安全防御措施，容易遭受攻击变得不可信，因此，现有的零信任网络方案通常需要集中化的服务器或者平台来实现零信任安全模型，难以将复杂的访问控制策略下放到边缘的不完全可信的接入设备。而高集中的访问控制节点通常需要维护庞大复杂的访问控制策略信息，并需要实时等查询这些策略信息来做出数据包通信与否的决策。

因此，业界缺乏面向零信任安全模型、在转发面实时验证和发现非法流量的有效方案。

发明内容

本申请提供一种数据处理方法及装置，通过引入代理重加密技术，可以将复杂的访问权限列表(Access Control List，ACL)维护和第一步的策略执行下沉到不完全可信的边缘网络设备(如接入设备)，简化集中化访问控制节点的策略维护和执行，通过将集中化控制节点的一些复杂功能分布式部署到边缘设备，来提升集中控制节点的性能、降低管理和更新策略的复杂度和成本，同时确保安全，即使边缘网络设备被攻击，边缘网络设备没有诚实执行策略，安全不降级。

本申请实施例所涉及的通信实体可以是终端设备与终端设备之间的通信，也可以是终端设备与网络设备之间的通信，也可以是网络设备与网络设备之间的通信。本申请实施例中，第一终端可以是终端设备，也可以是网络设备；第二终端可以是终端设备，也可以是网络设备。

为达到上述目的，本申请采用如下技术手段：第一方面，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：第一网络设备根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息确定第一代理重加密密钥，其中，第一访问权限列表中记录的信息包括第一终端的信息与第一终端所能访问的第二终端的信息；第一网络设备向第二网络设备发送第一访问权限列表中记录的信息及第一代理重加密密钥。

通过上述方法，本申请实施例解决了零信任网络中访问控制存在的高集中、难下沉、复杂ACL难维护和更新的问题。

在一种可能的实施方式中，第一网络设备根据第一访问权限列表中记录的信息确定第一访问控制标签，并向第二网络设备发送第一访问控制标签。第一访问控制标签用于指示第一访问权限列表中记录的信息。

在另一种可能的实施方式中，第一访问权限列表中记录的信息包括以下一项或多项：第一终端的IP地址、第一终端的ID、第一终端的组ID、第一终端的端口号、第二终端的IP地址、第二终端的服务ID、第二终端的端口号和第二终端所使用的访问协议号。

第二方面，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：第二网络设备从第一终端接收第一数据包，第一数据包携带第一终端的标识和第一密文，第一密文为根据第一终端的密钥加密第一临时密钥获得；根据与第一终端的标识匹配的第一访问权限列表中记录的信息确定第一代理重加密密钥；根据第一代理重加密密钥加密第一密文获得第二密文；将第二密文添加到第一数据包头部，得到第二数据包；第二网络设备向第三网络设备发送第二数据包。

通过上述方法，基于代理重加密技术，将ACL信息编码到密钥计算过程中，一方面可以将复杂的ACL信息维护下沉到分布式的边缘网络设备，另一方面在边缘网络设备不可信时，可以简化集中化的策略执行设备的权限验证。

在一种可能的实施方式中，第二网络设备根据第一访问权限列表中记录的信息生成第一访问控制标签，或，从第一网络设备接收第一访问控制标签，第一访问控制标签用于指示第一访问权限列表中记录的信息。

在另一种可能的实施方式中，第一访问控制标签添加在第二数据包头部。

在另一种可能的实施方式中，第一数据包中还包括组ID；或，第二网络设备为第二数据包提供组ID。

在另一种可能的实施方式中，若第一访问权限列表中记录的信息关联组ID信息，则将组ID信息添加到第二数据包头部。

在另一种可能的实施方式中，第一访问控制标签和组ID设置于第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

第三方面，该方法可应用于网络设备，或者该方法可应用于可以支持网络设备实现该方法的通信装置，例如该通信装置包括芯片系统，方法包括：第三网络设备从第二网络设备接收第二数据包，第二数据包携带第一终端的标识、第一令牌、第二密文和第一访问控制标签；根据第三网络设备的密钥、第二密文和第一访问控制标签指示的信息获得第一临时密钥；根据第一临时密钥获得第二令牌，当第二令牌和第二数据包携带的第一令牌相同时，确定第二数据包合法。

在一种可能的实施方式中，根据第三网络设备的密钥、第二密文和第一访问控制标签指示的信息获得第一临时密钥，包括：根据第一访问控制标签以及数据流的标识确定密钥计算参数；根据第三网络设备的密钥和密钥计算参数确定解密密钥；根据解密密钥解密第二密文，确定第一临时密钥。

其中，数据流的标识为5元组信息中的至少一项：源IP地址，源端口，目的IP地址，目的端口和传输层协议。

第四方面，本申请还提供了一种通信装置，用于实现上述第一方面和/或第二方面和/或第三方面描述的方法。通信装置为网络设备或支持网络设备实现该第一方面和/或第二方面和/或第三方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如，通信装置包括：收发单元和处理单元。处理单元和收发单元。处理单元，用于根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息确定第一代理重加密密钥。收发单元，用于向第二网络设备发送第一访问权限列表中记录的信息及第一代理重加密密钥。

详细的方法同第一方面和/或第二方面和/或第三方面中相应的描述，这里不再赘述。

第五方面，本申请还提供了一种通信装置，用于实现上述第一方面和/或第二方面和/或第三方面描述的方法。通信装置为网络设备或支持网络设备实现该第一方面和/或第二方面和/或第三方面描述的方法的通信装置，例如该通信装置包括芯片系统。例如通信装置包括处理器，用于实现上述第一方面和/或第二方面和/或第三方面描述的方法的功能。通信装置还可以包括存储器，用于存储程序指令和数据。存储器与处理器耦合，处理器可以调用并执行存储器中存储的程序指令，用于实现上述第一方面和/或第二方面和/或第三方面描述的方法中的功能。通信装置还可以包括通信接口，通信接口用于该通信装置与其它设备进行通信。示例性地，若通信装置为终端设备，该其它设备为网络设备；若通信装置为网络设备，该其它设备为终端设备。

在一种可能的设备中，该通信装置包括：收发器和处理器。处理器，用于根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息确定第一代理重加密密钥。收发器，用于向第二网络设备发送第一访问权限列表中记录的信息及第一代理重加密密钥。详细的方法同第一方面和/或第二方面和/或第三方面中相应的描述，这里不再赘述。

第六方面，本申请还提供了一种计算机可读存储介质，包括：计算机软件指令；当计算机软件指令在通信装置中运行时，使得通信装置执行上述第一方面至第三方面中任一方面的方法。

第七方面，本申请还提供了一种包含指令的计算机程序产品，当计算机程序产品在通信装置中运行时，使得通信装置执行上述第一方面至第三方面中任一方面的方法。

第八方面，本申请提供了一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现上述方法中网络设备、终端或应用服务器的功能。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

第九方面，本申请还提供了一种通信系统，通信系统包括终端或终端的接入设备以及支持终端实现该第一方面至第三方面中任一方面描述的方法的通信装置。

本申请中，第一终端、第二终端、第一网络设备、第二网络设备、第三网络设备和通信装置的名字对设备本身不构成限定，在实际实现中，这些设备可以以其他名称出现。只要各个设备的功能和本申请类似，属于本申请权利要求及其等同技术的范围之内。

附图说明

图1为本申请实施例提供的一种通信系统的架构示例图；

图2为本申请实施例提供的一种数据处理方法流程图；

图3为本申请实施例提供的另一种数据处理方法流程图；

图4为本申请实施例提供的一种访问控制标签指示方式示意图；

图5为本申请实施例提供的一种IPv6数据包的结构示意图；

图6为本申请实施例提供的一种TCP数据包的结构示意图；

图7为本申请实施例提供的一种通信装置的组成示意图；

图8为本申请实施例提供的另一种通信装置的组成示意图；

图9为本申请实施例提供的一种可能的终端设备的实现方式的结构示意图；

图10为本申请实施例提供的一种可能的网络设备的实现方式的结构示意图。

具体实施方式

本申请实施例技术方案中的网络设备可以是任意一种具有有线或无线收发功能的设备或可设置于该设备的芯片，该设备包括但不限于：演进型节点B(evolved Node B，eNB)、无线网络控制器(Radio Network Controller，RNC)、节点B(Node B，NB)、基站控制器(Base Station Controller，BSC)、基站收发台(Base Transceiver Station，BTS)、家庭基站(例如，Home evolved NodeB，或Home Node B，HNB)、基带单元(BaseBand Unit，BBU)，无线保真(Wireless Fidelity，WIFI)系统中的接入点(Access Point，AP)、无线中继节点、无线回传节点、传输点(transmission point，TP)或者传输发送接收点(Transmissionreceiving point，TRP)、路由器、服务器、身份管理服务器、交换机等，还可以为5G，如NR，系统中的gNB，或，传输点(TRP或TP)，5G系统中的基站的一个或一组(包括多个天线面板)天线面板，或者，还可以为构成gNB或传输点的网络节点，如基带单元(BBU)，或，分布式单元(distributed unit，DU)等。

在一些部署中，gNB可以包括集中式单元(centralized unit，CU)和DU。gNB还可以包括射频单元(radio unit，RU)。CU实现gNB的部分功能，DU实现gNB的部分功能，比如，CU实现无线资源控制(radio resource control，RRC)，分组数据汇聚层协议(packet dataconvergence protocol，PDCP)层的功能，DU实现无线链路控制(radio link control，RLC)、媒体接入控制(media access control，MAC)和物理(physical，PHY)层的功能。由于RRC层的信息最终会变成PHY层的信息，或者，由PHY层的信息转变而来，因而，在这种架构下，高层信令，如RRC层信令或PHCP层信令，也可以认为是由DU发送的，或者，由DU+RU发送的。可以理解的是，网络设备可以为CU节点、或DU节点、或包括CU节点和DU节点的设备。此外，CU可以划分为接入网RAN中的网络设备，也可以将CU划分为核心网CN中的网络设备，在此不做限制。

还应理解，本申请实施例中的终端设备可以为终端设备或终端的接入设备。终端设备也可以称为用户设备(user equipment，UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。可以是能够接收基站调度和指示信息的无线终端设备，无线终端设备可以是指向用户提供语音和/或数据连通性的设备，或具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进的公共陆地移动网络(public land mobilenetwork，PLMN)网络中的终端设备以及智能家居设备等。无线终端设备可以经无线接入网(如，radio access network，RAN)与一个或多个核心网或者互联网进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话，手机(mobile phone))、计算机和数据卡，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)、平板电脑(Pad)、带无线收发功能的电脑等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station)，移动站(mobile station)、移动台(mobile station，MS)、远程站(remote station)、接入点(access point，AP)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户站(subscriber station，SS)、用户端设备(customer premises equipment，CPE)、终端(terminal)、用户设备(user equipment，UE)、移动终端(mobile terminal，MT)等。对于URLLC应用场景，终端设备可以为工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。终端的接入设备可以为接入点AP、路由器等等。本申请的实施例对应用场景不做限定。

为便于理解本申请实施例，首先对本申请中涉及的几个术语做简单说明。

组ID：每个UE都属于一个安全组。示例性的，网络设备添加安全组ID或通过UE携带。

在验证安全组ID时，第一代理重加密密钥的生成中内嵌了安全组ID信息，并且第二网络设备在转发数据包时，会带上安全组ID信息。由于代理密钥计算的过程内嵌了安全组ID，那么验证设备在验证的时候计算验证相关密钥也需要内嵌安全组ID，从而天然将安全组ID与验证密钥进行了绑定，能够防止安全组ID伪造。

此外，为了便于理解本申请实施例，作出以下几点说明。

第一，在本申请实施例中，为便于描述，在下文示出的实施例中第一、第二以及各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围。例如，区分不同的网络设备。

第二，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

第三，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b和c中的至少一项(个)，可以表示：a，或，b，或，c，或，a和b，或，a和c，或，b和c，或，a、b和c。其中a、b和c分别可以是单个，也可以是多个。

下面将结合附图对本申请实施例的实时方式进行详细描述。

为便于理解本申请实施例，下面以图1示出的通信系统为详细说明适用于本申请实施例提供的数据传输方法的通信系统。图1示出的是可以应用于本申请实施例的通信系统的架构示例图100。如图1所述，该通信系统包括至少一个终端101和互联网服务提供商(Internet Service Provider，ISP)网络。ISP可以是指向广大用户综合提供互联网接入业务、信息业务和增值业务的电信运营商。其中，ISP网络可以包括网络设备102和网络设备103(如：边界路由器和交换机)等。服务器可以包括至少一个服务器104。多个服务器可以是独立的不同的物理设备，也可以是将多个服务器的功能集成在同一个物理设备上(如：云服务提供商管辖范围内的多个服务器)，还可以是一个物理设备上集成了部分服务器的功能。每个服务器上可以运行一个或多个服务(如：游戏服务)。服务也可称为应用。每个服务可以部署在多个服务器上，由多个服务器支持运行。终端101通过无线或有线的方式与网络设备102或网络设备103相连。网络设备102或网络设备103将通过无线或有线方式连接。网络设备102或网络设备103通过无线或有线方式与服务器104连接。终端101通过有线或无线的方式与另一个终端105相连。终端设备可以是固定位置的，也可以是可移动的。图1只是示意图，该通信系统中还可以包括其它设备，如还可以包括无线中继设备和无线回传设备，在图1中未画出。本申请的实施例对该通信系统中包括的终端、网络设备和服务器的数量不做限定。

在本申请实施例中，通信主体可以是图1中所示的终端101和终端105进行通信，也可以是终端101与网络设备102之间的的通信，也可以是网络设备102与网络设备103之间的通信。根据图1所示的场景，一种可能的实施方式，可以在园区网和企业网中网络侧根据数据包头部信息执行访问控制。园区网中有大量的终端设备(包括大量的LoT设备)，并且有自己的接入设备，如WIFI、交换机、路由器等网络设备。终端设备发送数据包给互联网中的其它设备，需要途径半诚实网络代理设备(如接入网AP)、策略执行设备(如安全网关、防火墙等)，策略执行设备通过验证数据包的合法性，决定是否将数据包转发给目的端的服务器或其它终端设备。本申请对通信主体不做限定。

零信任网络是业界安全架构发展的趋势，在零信任网络模型下，靠近终端设备的边缘网络设备(如接入网络设备)可能由于暴露在非物理隔离的环境中、或者没有部署强健的安全防御措施，容易遭受攻击变得不可信，因此，现有的零信任网络方案通常需要集中化的服务器或者平台来实现零信任安全模型，难以将复杂的访问控制策略下放到边缘的不完全可信的接入设备。而高集中的访问控制节点通常需要维护庞大复杂的访问控制策略信息，并需要实时等查询这些策略信息来做出数据包通信与否的决策。

因此，业界缺乏面向零信任安全模型、在转发面实时验证和发现非法流量的有效方案。

针对现有技术方案存在的问题，本申请实施例提供一种数据处理方法，该方法包括：

第一网络设备根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表(Access Control List，ACL)中记录的信息确定第一代理重加密密钥，并向第二网络设备发送第一访问权限列表中记录的信息及第一代理重加密密钥。

第二网络设备接收第一终端发送的第一数据包，其中，第一数据包携带第一终端的标识和第一密文，第一密文为根据第一终端的密钥、第二终端的标识加密第一临时密钥获得；根据与第一终端的标识匹配的第一访问权限列表中记录的信息确定第一代理重加密密钥；根据第一代理重加密密钥加密第一密文获得第二密文；将第二密文添加到第一数据包头部，得到第二数据包，并向第三网络设备发送第二数据包。

第三网络设备接收第二数据包，其中，第二数据包携带第一终端的标识、第一令牌、第二密文和第一访问控制标签；根据第三网络设备的密钥、第二密文和第一访问控制标签指示的信息获得第一临时密钥；根据第一临时密钥获得第二令牌，当第二令牌和第二数据包携带的第一令牌相同时，确定第二数据包合法。

通过上述技术方案，本申请实施例可以解决零信任网络中访问控制存在的高集中、难下沉、复杂ACL难维护和更新的问题。基于代理重加密技术，将ACL信息编码到密钥计算过程中，一方面可以将复杂的ACL信息维护下沉到分布式的边缘网络设备，另一方面在边缘网络设备不可信时，可以简化集中化的策略执行设备的权限验证。

图2是从设备交互的角度示出的本申请实施例提供的数据处理方法200的示意性流程图。示例性的，在图2中，第二网络设备可以为半诚实代理网络设备，第三网络设备可以为策略执行设备。如图所示，该方法200可以包括步骤S201至步骤S215。以下详细说明方法200中的各步骤。

在步骤S201中，第一终端根据第一临时密钥获得第一令牌。

其中，第一终端可以通过生成算法生成一个随机数，从而通过随机数生成第一临时密钥，或，第一终端还可以直接通过随机数生成第一临时密钥。通过随机数生成的第一临时密钥，使得第一临时密钥具有临时性或随机性。

可选的，第一临时密钥作为第一认证码的验证密钥。

示例性的，将第一终端的标识记为ID1，第一临时密钥记为Key，验证密钥记为AK，则AK＝Key。

可选的，通过密钥派生函数对第一临时密钥进行运算，获得第一认证码的验证密钥。例如，密钥派生函数可以使用PBKDF2.0中的算法。

示例性的，将第一终端的标识记为ID1，第一临时密钥记为Key，验证密钥记为AK，密钥派生函数记为KDF()，则AK＝KDF(Key)或AK＝KDF(ID1，Key)，其中ID1是可选的输入参数。

第一终端根据第一临时密钥获得第一令牌包括以下两种可能的实施例：

在一种可能的实施例中，第一终端根据第一临时密钥进行计算获得第一令牌。第一终端可以采用杂凑算法HMAC根据第一临时密钥获得第一令牌。杂凑算法又可称为哈希(hash)函数。所谓杂凑算法可以是指将任意长的输入消息串变化成固定长的输出串的一种函数。

在另一种可能的实施例中，第一终端根据第一临时密钥和第一待认证信息获得第一令牌。第一终端可以采用杂凑算法根据第一临时密钥和第一待认证信息获得第一令牌。

可选的，第一待认证信息包括以下至少一项：动态参数、数据包包头中的静态信息和数据包负荷信息。示例性的，动态参数可以是随时间、序列号变化的参数。数据包包头中的静态信息即在数据包转发过程中不会发生改变的数据。

在步骤S202中，第一终端根据第一终端的密钥加密第一临时密钥获得第一密文。

示例性的，将第一终端的密钥记为SK1，第一临时密钥记为Key，加密算法记为Encrypt()，第一密文记为CK1，则CK1＝Encrypt(SK1，Key)。

可选的，第一终端根据第一终端的密钥和第三网络设备的标识加密第一临时密钥获得第一密文。

示例性的，将第一终端的密钥记为SK1，第一临时密钥记为Key，加密算法记为Encrypt()，第一密文记为CK1，第三网络设备的标识记为IDv，则CK1＝Encrypt(SK1，IDv，Key)。

可选的，第一终端的密钥为对称密钥。

在步骤S203中，第一终端生成第一数据包，第一数据包头部携带第一终端的标识、第一密文以及第一令牌。

在步骤S204中，第一终端向第二网络设备发送第一数据包。

在步骤S205中，第二网络设备从第一终端接收第一数据包。第一数据包头部携带第一终端的标识、第一密文以及第一令牌。

在步骤S206中，第二网络设备根据与第一终端的标识匹配的第一访问权限列表中记录的信息确定第一代理重加密密钥。

其中，第一访问权限列表中记录的信息为第二网络设备从第一网络设备中接收的信息。

可选的，根据第一访问权限列表中就的信息生成第一访问控制标签，或，从第一网络设备接收第一访问控制标签。

可选的，第一代理重加密密钥通过本地存储获得，或，通过请求远程服务器获得。

在一种可能的实施方式中，第一代理重加密密钥通过本地存储获得，即第二网络设备存储并维护第一终端的标识和第三网络设备的标识相配对的第一代理重加密密钥。

在另一种可能的实施方式中，第一代理重加密密钥通过请求远程服务器获得，即第二网络设备通过向第一网络设备发送请求消息，请求获得第一终端的标识和第三网络设备的标识相配对的第一代理重加密密钥。如图3所示是从设备交互的角度示出的通过请求远程服务器获得第一代理重加密密钥的方法，示例性的，在图3中，第一网络设备可以为权威服务器，第二网络设备为半诚实代理网络设备。该方法300可以包括步骤S2051、步骤S2052和步骤S2054。

在步骤S2051中，第二网络设备向第一网络设备发送第一请求消息。

其中，第一请求消息包含第一终端的标识和第三网络设备的标识。

在步骤S2052中，第一网络设备接收第一请求消息。

在步骤S2053中，第一网络设备根据第一终端的密钥、第三网络设备的密钥和第一访问权限信息列表中记录的信息确定第一代理重加密密钥。

可选的，第一网络设备根据第一终端的标识、第一终端的密钥、第三网络设备的标识、第三网络设备的密钥和第一访问权限信息列表中记录的信息获得第一代理重加密密钥。

其中，第一网络设备为可信网络，例如，第一网络设备可以为权威服务器，存储第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息，用于生成第一代理重加密密钥。基于代理重加密技术，将第一访问权限列表中记录的信息编码到密钥计算过程中，一方面可以将第一访问权限列表中记录的复杂的信息维护下沉到分布式的边缘网络设备(例如实施例中第二网络设备)，另一方面，可以简化集中化的策略执行设备(例如实施例中第三网络设备)的权限验证，使得策略执行设备无需维护复杂的第一访问权限列表中记录的信息以及无需与第一终端提前共享安全信息。

示例性的，第一网络设备可以为权威服务器，权威服务器在收到第二网络设备的请求消息之后，根据第一终端的标识查询密钥数据库中与第一终端的标识对应的第一终端的密钥，根据第三网络设备的标识查询与第三网络设备的标识对应的第三网络设备的密钥，进一步，根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息计算获得第一代理重加密密钥。

通过将访问控制策略灵活下发到边缘网络设备(如接入网设备，示例性的，实施例中的第二网络设备)，无需将流量转到下一个汇聚的策略执行点(示例性的，实施例中的第三网络设备)过滤，所有区域的策略执行点都需要过滤。示例性的，第一终端从园区区域A移动到园区区域B，一种方式B区域不配置第一终端控制策略的情况下，无需将流量重定向到A；如果由B执行访问控制，则需要B获得所有关于第一终端的访问控制策略信息。

可选的，第一网络权限列表中记录的信息包括以下一项或多项：第一终端的IP地址、第一终端的ID、第一终端的组ID、第一终端的端口号、第二终端的IP地址、第二终端的服务ID、第二终端的端口号和第二终端所使用的访问协议号。

可选的，第一网络设备根据第一访问权限列表中记录的信息确定第一访问控制标签。第一访问控制标签用于指示第一访问控制列表中记录的信息。如图4所示，访问控制标签可以包含5个指示位段：源ID指示位、目的指示位、协议指示位、目的端口指示位、源端口位段。

在一种可能的实施例中，例如通过1bit来描述源ID指示位，源ID指示位用于指示具体ID或安全组ID。如果访问控制规则与具体的源ID或IP相关，则使用0表示；如果访问控制规则与安全组ID相关，则用1表示，即指示策略执行者在计算解密密钥时需要将具体的源ID或安全组ID作为输入。

在另一种可能的实施例中，例如通过2bit来描述目的指示位，目的指示位用于指示具体IP或IP字段。如果访问控制规则与目的标识符ID或IP的前48bit相关，则用10表示；如果访问控制规则与前64bit相关，则用01表示；如果访问控制规则与后64bit相关则用00表示，即指示策略执行者在计算解密密钥时需要提取多少位的目的ID或IP作为输入。

在另一种可能的实施方式中，例如通过2bit来描述协议指示位，协议指示位指示允许的协议类型。如果访问控制规则规定了明确的协议，用01表示允许TCP协议，10表示允许TCP和UDP协议，11表示允许ICMP协议，00表示允许任意协议。

在另一种可能的实施方式中，例如通过2bit来描述目的端口指示位，目的端口指示位指示具体端口或端口段。如果访问控制规则对可访问的目的端口进行限定，用00表示允许访问任意目的端口，用10表示仅允许数据包头部标注的具体单一端口，用01表示允许访问高8位端口号，用11表示允许访问低8位端口号。

在另一种可能的实施方式中，例如通过2bit来描述源端口位段，源端口位段指示具体端口或端口段。如果访问控制对源端口号进行规定，同样可以用2bit来表示任意端口、单端口、高8位段端口和低8位位段端口等。

可选的，第一网络设备向第二网络设备发送第一访问控制标签。

在步骤S2054中，第一网络设备向第二网络设备发送第一代理重加密密钥。

可选的，第一网络设备向第二网络设备发送第一访问控制标签。

在步骤S207中，第二网络设备根据第一代理重加密密钥加密第一密文获得第二密文。

在步骤S208中，将第二密文添加到第一数据包头部，得到第二数据包。

其中，第二密文设置于所述第一数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

可选的，将第一访问控制标签添加在第二数据包头部。

可选的，第二网络设备从第一终端接收的第一数据包中还包括组ID；或，第二网络设备为第二数据包提供组ID。

若第一访问权限列表中记录的信息关联组ID信息，则将组ID信息添加到第二数据包头部。

其中，第一访问控制标签和组ID设置于第二数据包包含的链路层头部或网络层协议头部中或传输层协议头部中。

在第一种可实现方式中，第二密文、第一访问控制标签和组ID可以设置于第二数据包包含的目的IP地址内。例如，目的IP地址可以是指IPv6数据报中的目的IP地址。

示例的，如图5所示，为IPv6数据报的结构示例图。IPv6数据报包括基本首部、N个扩展首部和数据部分。N个扩展首部和数据部分可以称为有效载荷(payload)或净负荷。其中，基本首部包括版本(version)、通信量类(traffic class)、流标号(flow label)、有效载荷长度(payload length)、下一个首部(next header)、跳数限制(hop limit)、源地址(source address)和目的地址(destination address)。关于IPv6数据报的各字段具体解释可以参考现有技术的阐述，不予赘述。

目的地址是指数据报的接收端的IP地址，占128bit。例如，第二密文、第一访问控制标签和组ID可以设置于IPv6数据报中的目的IP地址内。

又例如，目的IP地址可以是指IPv4数据报中的目的IP地址。

在一些实施例中，第二密文、第一访问控制标签和组ID可以设置于第二数据包包含的源IP地址内。例如，源IP地址可以是指IPv6数据报中的源IP地址。又例如，源IP地址可以是指IPv4数据报中的源IP地址。

在第二种可实现方式中，第二密文、第一访问控制标签和组ID可以设置于第二数据包包含的网络层协议头部中的下一个首部内。

在第三种可实现方式中，第二密文、第一访问控制标签和组ID可以设置于第二数据包包含的网络层协议头部中的可选字段内。

在第四种可实现方式中，第二密文、第一访问控制标签和组ID可以设置于TCP首部中的可选字段中。示例的，如图6所示，为TCP数据报的结构示例图。TCP数据报包含于IP数据报的数据部分内。TCP数据报包括TCP首部和TCP数据报的数据部分。TCP首部包括源端口(source port)、目的端口(destination port)、序列号(sequence number)、确认号(acknowledgment number)、数据偏移(header length)、保留(resv)、紧急(UGR)、确认(ACK)、推送(PSH)、复位(RST)、同步(SYN)、终止(FIN)、窗口(window size)、检验和(checksum)、紧急指针(urgent pointer)和选项(options)。关于TCP数据报的各字段具体解释可以参考现有技术的阐述，不予赘述。

在步骤S209中，第二网络设备向第三网络设备发送第二数据包。

在步骤S210中，第三网络设备从第二网络设备接收第二数据包。

在步骤S211中，第三网络设备根据第三网络设备的密钥、第二密文和第一访问控制标签指示的信息获得第一临时密钥。

其中，根据第三网络设备的密钥、第二密文和第一访问控制标签指示的信息获得第一临时密钥，包括：

根据第一访问控制标签以及流标识(5元组信息)确定密钥计算参数；根据第三网络设备的密钥和密钥计算参数确定解密密钥；根据解密密钥解密第二密文，确定第一临时密钥。

在步骤S212中，第三网络设备根据第一临时密钥获得第二令牌。

在步骤S213中，第三网络设备判断第二令牌和第一令牌是否相同。若相同，则执行步骤S214；若不同，则执行步骤S215。

在步骤S214中，若第二令牌和第一令牌相同，则确定第二数据包合法。

在步骤S215中，若第二令牌和第一令牌相同，则确定第二数据包不合法。

上述本申请提供的实施例中，分别从第一终端、第一网络设备、第二网络设备以及第三网络设备之间交互的角度对本申请实施例提供的方法进行了介绍。可以理解的是，各个网元，例如第一终端、第一网络设备、第二网络设备以及第三网络设备为了实现上述本申请实施例提供的方法中的各功能，第一终端、第一网络设备、第二网络设备以及第三网络设备包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对第一终端、第一网络设备、第二网络设备以及第三网络设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图7示出了上述和实施例中涉及的通信装置600的一种可能的组成示例图，该通信装置能执行本申请各方法实施例中任一方法实施例中第一终端和第二终端所执行的步骤。如图7所示，该通信装置可以包括：收发单元601和处理单元602。

当所述通信装置为第一终端或支持第一终端实现实施例中提供的方法的通信装置，例如该通信装置可以是芯片系统。

其中，收发单元601，用于支持通信装置执行本申请实施例中描述的方法。

例如，收发单元601，用于执行或用于支持通信装置执行图2所示的数据处理方法中的S205和S210。

其中，处理单元602，用于支持通信装置执行本申请实施例中描述的方法。

例如，处理单元602，用于执行或用于支持通信装置执行图3所示的数据处理方法中的S201、S202和S203。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，当第一终端为终端设备，该通信装置600为终端设备时，该通信装置600中的收发单元601可对应于图9中示出的终端设备2000中的收发器2020，该通信装置600中的处理单元602可对应于图9中示出的终端设备2000中的处理器2010。

还应理解，该通信装置600为配置于第一终端中的芯片时，该通信装置600中的收发单元601可以为输入/输出接口。

当所述通信装置为网络设备或支持网络设备实现实施例中提供的方法的通信装置，例如该通信装置可以是芯片系统。

其中，收发单元601，用于支持通信装置执行本申请实施例中描述的方法。

例如，收发单元601，用于执行或用于支持通信装置执行图2所示的数据处理方法中的S205和S210，图3所示的数据处理方法中的S2052。

例如，处理单元602，用于执行或用于支持通信装置执行图2所示的数据处理方法中的S201、S202和S203，图4所示的数据处理方法中的S2053。

还应理解，该通信装置600为网络设备时，该通信装置600中的收发单元601为可对应于图10中示出的网络设备3000中的收发器3200，该通信装置600中的处理单元602可对应于图10中示出的网络设备3000中的处理器3100。

还应理解，该通信装置600为配置于网络设备中的芯片时，该通信装置600中的收发单元601可以为输入/输出接口。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本申请实施例提供的通信装置，用于执行上述任意实施例的方法，因此可以达到与上述实施例的方法相同的效果。

如图8所示为本申请实施例提供的通信装置700，用于实现上述方法中第一终端、第一网络设备、第二网络设备和第三网络设备的功能。该通信装置700可以是终端设备，也可以是终端设备中的装置，也可以是终端接入设备的装置。其中，该通信装置700可以为芯片系统。该通信装置700可以是网络设备，也可以是网络设备中的装置。其中，该通信装置700可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。或者，通信装置700用于实现上述方法中终端的功能。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。或者，通信装置700用于实现上述方法中第一网络设备的功能。该通信装置700可以是权威服务器，也可以是权威服务器中的装置。其中，该通信装置700可以为芯片系统。本申请实施例中，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

通信装置700包括至少一个处理器701，用于实现本申请实施例提供的方法中终端设备和网络设备的功能。示例性地，处理器701可以用于根据第一临时密钥获得第一令牌，根据第一终端的密钥加密第一临时密钥获得第一密文等等，具体参见方法示例中的详细描述，此处不做赘述。

通信装置700还可以包括至少一个存储器702，用于存储程序指令和/或数据。存储器702和处理器701耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器701可能和存储器702协同操作。处理器701可能执行存储器702中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

通信装置700还可以包括通信接口703，用于通过传输介质和其它设备进行通信，从而用于通信装置700中的装置可以和其它设备进行通信。示例性地，若通信装置为网络设备，该其它设备为终端。若通信装置为终端，该其它设备为网络设备。若通信装置为终端，该其它设备为应用服务器。处理器701利用通信接口703收发数据，并用于实现图2和图3对应的实施例中所述的第一终端、第一网络设备、第二网络设备和第三网络设备所执行的方法。

本申请实施例中不限定上述通信接口703、处理器701以及存储器702之间的具体连接介质。本申请实施例在图8中以通信接口703、处理器701以及存储器702之间通过总线704连接，总线在图8中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

在本申请实施例中，存储器可以是非易失性存储器，比如硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)等，还可以是易失性存储器(volatilememory)，例如随机存取存储器(random-access memory，RAM)。存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

图9是本申请实施例提供的一种可能的终端设备2000的结构示意图。该终端设备2000可应用于如图1所示的系统中，执行上述方法实施例中终端设备的功能。

如图所示，该终端设备2000包括处理器2010和收发器2020。可选地，该终端设备2000还包括存储器2030。其中，处理器2010、收发器2020和存储器2030之间可以通过内部连接通路互相通信，传递控制和/或数据信号，该存储器2030用于存储计算机程序，该处理器2010用于从该存储器2030中调用并运行该计算机程序，以控制该收发器2020收发信号。可选地，终端设备2000还可以包括天线2040，用于将收发器2020输出的上行数据或上行控制信令通过无线信号发送出去。

上述处理器2010和存储器2030可以合成一个处理装置，处理器2010用于执行存储器2030中存储的程序代码来实现上述功能。具体实现时，该存储器2030也可以集成在处理器2010中，或者独立于处理器2010。该处理器2010可以与图7中的处理单元对应。

上述收发器2020可以与图7中的收发单元601对应，也可以称为收发单元。收发器2020可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中，接收器用于接收信号，发射器用于发射信号。

应理解，示例性的，当第一终端为终端设备时，图6所示的终端设备2000能够实现图2所示方法200和/或图3所示方法300实施例中涉及一种可能的终端设备的实现方式中的各个过程。终端设备2000中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述处理器2010可以用于执行前面方法实施例中描述的由终端设备内部实现的动作，而收发器2020可以用于执行前面方法实施例中描述的终端设备向网络设备发送或从网络设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

可选地，上述终端设备2000还可以包括电源2050，用于给终端设备中的各种器件或电路提供电源。

除此之外，为了使得终端设备的功能更加完善，该终端设备2000还可以包括输入单元2060、显示单元2070、音频电路2080、摄像头2090和传感器2100等中的一个或多个，所述音频电路还可以包括扬声器2082、麦克风2084等。

应理解，当第一终端为网络设备时，示例性的，图7是本申请实施例提供的一种可能的网络设备实现方式中的结构示意图，例如可以为基站的结构示意图。该基站3000可应用于如图1所示的系统中，执行上述方法实施例中网络设备的功能。

如图所示，该基站3000可以包括一个或多个射频单元，如远端射频单元(remoteradio unit，RRU)3100和一个或多个基带单元(baseband unit，BBU)(也可称为数字单元，digital unit，DU)3200。所述RRU 3100可以称为收发单元，与图7中的收发单元601对应。可选地，该收发单元3100还可以称为收发机、收发电路、或者收发器等等，其可以包括至少一个天线3101和射频单元3102。可选地，收发单元3100可以包括接收单元和发送单元，接收单元可以对应于接收器(或称接收机、接收电路)，发送单元可以对应于发射器(或称发射机、发射电路)。所述RRU 3100部分主要用于射频信号的收发以及射频信号与基带信号的转换，例如用于向终端设备发送指示信息。所述BBU 3200部分主要用于进行基带处理，对基站进行控制等。所述RRU 3100与BBU 3200可以是物理上设置在一起，也可以物理上分离设置的，即分布式基站。

所述BBU 3200为基站的控制中心，也可以称为处理单元，可以与图7中的处理单元602对应，主要用于完成基带处理功能，如信道编码，复用，调制，扩频等等。例如所述BBU(处理单元)可以用于控制基站执行上述方法实施例中关于网络设备的操作流程，例如，生成上述指示信息等。

在一个示例中，所述BBU 3200可以由一个或多个单板构成，多个单板可以共同支持单一接入制式的无线接入网(如LTE网)，也可以分别支持不同接入制式的无线接入网(如LTE网，5G网或其他网)。所述BBU 3200还包括存储器3201和处理器3202。所述存储器3201用以存储必要的指令和数据。所述处理器3202用于控制基站进行必要的动作，例如用于控制基站执行上述方法实施例中关于网络设备的操作流程。所述存储器3201和处理器3202可以服务于一个或多个单板。也就是说，可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路。

应理解，图10所示的基站3000能够实现图2的方法200和/或图3中的方法300实施例中涉及第一网络设备、第二网络设备和第三网络设备的各个过程。基站3000中的各个模块的操作和/或功能，分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详述描述。

上述BBU 3200可以用于执行前面方法实施例中描述的由网络设备内部实现的动作，而RRU 3100可以用于执行前面方法实施例中描述的网络设备向终端设备发送或从终端设备接收的动作。具体请见前面方法实施例中的描述，此处不再赘述。

本申请实施例还提供了一种处理装置，包括处理器和接口；所述处理器，用于执行上述方法实施例中的通信的方法。

应理解，上述处理装置可以是一个芯片。例如，该处理装置可以是现场可编程门阵列(field programmable gate array，FPGA)，可以是专用集成芯片(applicationspecific integrated circuit，ASIC)，还可以是系统芯片(system on chip，SoC)，还可以是中央处理器(central processor unit，CPU)，还可以是网络处理器(networkprocessor，NP)，还可以是数字信号处理电路(digital signal processor，DSP)，还可以是微控制器(micro controller unit，MCU)，还可以是可编程控制器(programmable logicdevice，PLD)或其他集成芯片。

在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

应注意，本申请实施例中的处理器可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(randomaccess memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(dynamic RAM，DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(directrambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行图2和图3所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行图2和图3所示实施例中任意一个实施例的方法。

根据本申请实施例提供的方法，本申请还提供一种系统，其包括前述的一个或多个终端设备以及一个或多个网络设备。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，高密度数字视频光盘(digital video disc，DVD))、或者半导体介质(例如，固态硬盘(solid state disc，SSD))等。

上述各个装置实施例中网络设备与终端设备和方法实施例中的网络设备或终端设备完全对应，由相应的模块或单元执行相应的步骤，例如通信单元(收发器)执行方法实施例中接收或发送的步骤，除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中，处理器可以为一个或多个。

在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如，部件可以是但不限于，在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示，在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中，部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外，这些部件可在上面存储有各种数据结构的各种计算机可读介质执行。部件可根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据，例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step)，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，各功能单元的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (24)

1.一种数据处理方法，其特征在于，包括：

第一网络设备根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息确定第一代理重加密密钥，其中，所述第一访问权限列表中记录的信息包括所述第一终端的信息与所述第一终端所能访问的第二终端的信息；

所述第一网络设备向第二网络设备发送所述第一访问权限列表中记录的信息及所述第一代理重加密密钥。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据所述第一访问权限列表中记录的信息确定第一访问控制标签，并向所述第二网络设备发送所述第一访问控制标签。

3.根据权利要求1或2所述的方法，其特征在于，所述第一访问权限列表中记录的信息包括以下一项或多项：

第一终端的IP地址、第一终端的ID、第一终端的组ID、第一终端的端口号、第二终端的IP地址、第二终端的服务ID、第二终端的端口号和第二终端所使用的访问协议号。

4.一种数据处理方法，其特征在于，包括：

第二网络设备从第一终端接收第一数据包，所述第一数据包携带第一终端的标识和第一密文，所述第一密文为根据第一终端的密钥加密第一临时密钥获得；

根据与所述第一终端的标识匹配的第一访问权限列表中记录的信息确定第一代理重加密密钥；

根据所述第一代理重加密密钥加密所述第一密文获得第二密文；

将所述第二密文添加到所述第一数据包头部，得到第二数据包；

所述第二网络设备向第三网络设备发送所述第二数据包。

5.根据权利要求4所述的方法，其特征在于，所述方法包括：

根据所述第一访问权限列表中记录的信息生成第一访问控制标签，或，

从第一网络设备接收所述第一访问控制标签，

所述第一访问控制标签用于指示所述第一访问权限列表中记录的信息。

6.根据权利要求5所述的方法，所述第一访问控制标签添加在第二数据包头部。

7.根据权利要求4所述的方法，所述第一数据包中还包括组ID；或，所述第二网络设备为所述第二数据包提供所述组ID。

8.根据权利要求4-7任一项所述的方法，其特征在于，包括：

若所述第一访问权限列表中记录的信息关联所述组ID信息，则将所述组ID信息添加到所述第二数据包头部。

9.根据权利要求6或8所述的方法，其特征在于，所述第一访问控制标签和所述组ID设置于所述第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

10.一种数据处理方法，其特征在于，包括：

第三网络设备从第二网络设备接收第二数据包，所述第二数据包携带第一终端的标识、第一令牌、第二密文和第一访问控制标签；

根据所述第三网络设备的密钥、所述第二密文和所述第一访问控制标签指示的信息获得第一临时密钥；

根据所述第一临时密钥获得第二令牌，当所述第二令牌和所述第二数据包携带的所述第一令牌相同时，确定所述第二数据包合法。

11.根据权利要求10所述的方法，所述根据所述第三网络设备的密钥、所述第二密文和所述第一访问控制标签指示的信息获得第一临时密钥，包括：

根据所述第一访问控制标签以及数据流的标识确定密钥计算参数；

根据所述第三网络设备的密钥和所述密钥计算参数确定解密密钥；

根据所述解密密钥解密所述第二密文，确定所述第一临时密钥。

12.一种数据处理装置，其特征在于，包括：

处理单元，用于根据第一终端的密钥、第三网络设备的密钥和第一访问权限列表中记录的信息确定第一代理重加密密钥，其中，所述第一访问权限列表中记录的信息包括所述第一终端的信息与所述第一终端所能访问的第二终端的信息；

收发单元，用于向第二网络设备发送所述第一访问权限列表中记录的信息及所述第一代理重加密密钥。

13.根据权利要求12所述的装置，其特征在于，所述装置还包括：

所述处理单元，用于根据所述第一访问权限列表中记录的信息确定第一访问控制标签，

所述收发单元，用于向所述第二网络设备发送所述第一访问控制标签。

14.根据权利要求12或13所述的装置，其特征在于，所述第一访问权限列表中记录的信息包括以下一项或多项：

第一终端的IP地址、第一终端的ID、第一终端的组ID、第一终端的端口号、第二终端的IP地址、第二终端的服务ID、第二终端的端口号和第二终端所使用的访问协议号。

15.一种数据处理装置，其特征在于，包括：

收发单元，用于从第一终端接收第一数据包，所述第一数据包携带第一终端的标识和第一密文，所述第一密文为根据第一终端的密钥加密第一临时密钥获得；

处理单元，用于根据与所述第一终端的标识匹配的第一访问权限列表中记录的信息确定第一代理重加密密钥；

所述处理单元，还用于根据所述第一代理重加密密钥加密所述第一密文获得第二密文；

所述处理单元，还用于将所述第二密文添加到所述第一数据包头部，得到第二数据包；

所述收发单元，还用于向第三网络设备发送所述第二数据包。

16.根据权利要求15所述的装置，其特征在于，所述装置包括：

所述处理单元，用于根据所述第一访问权限列表中记录的信息生成第一访问控制标签，或，

所述收发单元，用于从第一网络设备接收所述第一访问控制标签，

所述第一访问控制标签用于指示所述第一访问权限列表中记录的信息。

17.根据权利要求16所述的装置，所述处理单元，用于将所述第一访问控制标签添加在第二数据包头部。

18.根据权利要求15所述的装置，所述第一数据包中还包括组ID；或，所述第二网络设备为所述第二数据包提供所述组ID。

19.根据权利要求15-18任一项所述的装置，所述处理单元，用于：

若所述第一访问权限列表中记录的信息关联所述组ID信息，则将所述组ID信息添加到所述第二数据包头部。

20.根据权利要求17或19所述的装置，其特征在于，所述第一访问控制标签和所述组ID设置于所述第二数据包包含的链路层头部中或网络层协议头部中或传输层协议头部中。

21.一种数据处理装置，其特征在于，包括：

收发单元，用于从第二网络设备接收第二数据包，所述第二数据包携带第一终端的标识、第一令牌、第二密文和第一访问控制标签；

处理单元，还用于根据所述第三网络设备的密钥、所述第二密文和所述第一访问控制标签指示的信息获得第一临时密钥；

所述处理单元，还用于根据所述第一临时密钥获得第二令牌，当所述第二令牌和所述第二数据包携带的所述第一令牌相同时，确定所述第二数据包合法。

22.根据权利要求21所述的装置，所述处理单元，用于：

根据所述第一访问控制标签以及数据流的标识确定密钥计算参数；

根据所述第三网络设备的密钥和所述密钥计算参数确定解密密钥；

根据所述解密密钥解密所述第二密文，确定所述第一临时密钥。

23.一种通信装置，其特征在于，包括：

至少一个处理器、存储器和总线；

其中，所述存储器用于存储计算机程序，使得所述计算机程序被所述至少一个处理器执行时实现如权利要求1-3中任一项所述的数据处理方法，或者如权利要求4-9中任一项所述的数据处理方法，或者如权利要求10-11中任一项所述的数据处理方法。

24.一种计算机可读存储介质，其特征在于，包括：

计算机软件指令；

当所述计算机软件指令在计算机设备或内置在计算机设备的芯片中运行时，使得所述计算机设备执行如权利要求1-3中任一项所述的数据处理方法，或者如权利要求4-9中任一项所述的数据处理方法，或者如权利要求10-11中任一项所述的数据处理方法。

Images