CN114826673A - 一种传输数据的保护系统、方法及装置 - Google Patents

一种传输数据的保护系统、方法及装置 Download PDF

Info

Publication number
CN114826673A
CN114826673A CN202210311892.1A CN202210311892A CN114826673A CN 114826673 A CN114826673 A CN 114826673A CN 202210311892 A CN202210311892 A CN 202210311892A CN 114826673 A CN114826673 A CN 114826673A
Authority
CN
China
Prior art keywords
public key
data
message
enc
gpk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210311892.1A
Other languages
English (en)
Inventor
王海光
刘斐
康鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210311892.1A priority Critical patent/CN114826673A/zh
Publication of CN114826673A publication Critical patent/CN114826673A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/601Broadcast encryption

Abstract

本发明实施例公开了一种传输数据的保护系统、方法及装置,所述系统包括:用户设备UE和接入点;接入点发送广播消息,其中携带加密公钥;UE接收并存储加密公钥;UE从第一预存数据中获取全局公钥或者UE对应的私钥,并使用加密公钥和全局公钥或者UE对应的私钥对传输数据进行保护;UE向接入点发送保护消息,保护消息中携带传输数据的保护方式的指示消息;接入点在接收到保护消息之后,根据保护方式的指示消息从其第二预存数据中获取全局公钥和接入点对应的私钥,并使用全局公钥和接入点对应的私钥对保护消息进行解析;接入点将解析得到的传输数据发送到核心网。采用本发明实施例,具有可对传输数据进行保护,过滤不安全数据,从而提高网络的安全性。

Description

一种传输数据的保护系统、方法及装置
本申请是分案申请,原申请的申请号是201610526350.0,原申请日是2016年07月06日,原申请的全部内容通过引用结合在本申请中。
技术领域
本发明涉及通信技术领域,尤其涉及一种传输数据的保护系统、方法及装置。
背景技术
在4G网络中,在用户设备(英文:user equipment,UE)与网络交互认证完成之前,UE与网络之间没有建立共享密钥。UE与网络的数据传输采用的是明文传输,攻击者容易通过空口信令监听到UE的身份信息,造成UE的隐私泄露。在5G网络中也同样存在上述数据传输的安全隐患。
在4G网络的现有技术中,为了保护身份信息,UE需要在向网络发送附着请求(英文:attachment request)中携带UE的非永久身份信息,例如,移动用户伪标识(英文:pseudo mobile subscriber informaiton,PMSI)。网络侧接收到UE的PMSI之后,给UE分配一个新的PMSI并通过认证向量传递给UE。UE接收到新的PMSI之后,在下一次入网时可采用新的PMSI给网络侧发送附着请求,避免使用UE的永久身份信息(例如,移动用户身份(英文:international mobile subscriber identity,IMSI))发送附着请求,进而避免了攻击者通过空口窃听UE的IMSI,造成UE的隐私泄露。然而,UE每次都使用新的PMSI向HSS发送附着请求,网络侧需要维护UE临时身份的更新,增加了网络侧服务器的复杂度,实现成本高,在5G网络的数据传输中适用性低。
此外,在5G网络中,为了更好地支撑物联网(英文:internet of things,IOT)设备的数据传输,还需要对无连接数据的传输进行保护。在3GPP TR 22.799中,针对无连接数据(英文:connection less data)的发送是在UE与网络认证并建立连接后,网络侧为UE生成包含安全上下文的Cookie并发送给UE。UE接收由网络侧发送的带有安全上下文的Cookie并保存。当UE需要发送数据时,UE使用Cookie中包含的安全上下文信息对数据进行加密,将Cookie连同安全上下文发送到网络侧。基站或者网络侧接受到包含安全上下文的Cookie后,使用该Cookie提供的信息重建安全上下文并解密数据包。由于Cookie的内容可能较大,增加了数据传输的信令开销,同时Cookie中也包含了用户身份等隐私信息,无法保护Cookie中的用户身份等敏感信息,因而存在安全方面的隐患。
发明内容
本申请提供了一种传输数据的保护系统、方法及装置,可对传输数据进行保护,过滤不安全数据,提高了网络的安全性。
第一方面,提供了一种传输数据的保护系统,其可包括:用户设备UE和接入点;
所述接入点用于发送广播消息,所述广播消息中携带加密公钥;
所述UE用于接收所述接入点的所述广播消息,并存储所述加密公钥;
所述UE还用于在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
所述UE还用于向所述接入点发送所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息;
所述接入点还用于在接收到所述保护消息之后,根据所述保护方式的指示消息从其第二预存数据中获取所述全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据;
所述接入点还用于将解析得到的所述UE发送的传输数据发送到核心网中。
在本申请中,UE向接入点发送上行数据时,可使用接入点的身份等信息作为加密公钥,并使用IBC技术的全局公钥对上传传输数据进行加密,可以有效解决网络中对空口信令及其数据的保护,防止用户隐私、信令内容的泄露。接入点对UE发送的消息进行解密和签名、完整性校验码等验证,过滤非法信令和数据,保护核心网的安全。
结合第一方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述接入点对应的私钥包括第一私钥和第二私钥;
所述接入点还用于在发送广播消息之前,从网络或者密钥管理系统KMS中获取系统参数,并将所述系统参数存储为所述接入点的第二预存数据;
其中,所述系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第一私钥,或者第二全局公钥和第二私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第一私钥为IBC技术的所述接入点对应的数据加密私钥SKBS_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第二私钥为IBC技术的所述接入点对应的数据签名私钥SKBS_ID_Sig
结合第一方面第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为基站BS的身份BS_ID,或者所述加密公钥包含BS_ID;或者
所述加密公钥包括无线保真Wi-Fi切入点AP的介质控制子层MAC地址,或者Wi-FiAP的服务集标识SSID;或者
所述加密公钥包括热点UE的身份UE_ID,或者热点UE的移动用户身份IMSI。
结合第一方面,在第三种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE还用于在接收所述接入点的广播消息之前,从网络或者KMS中获取所述UE用于处理传输数据的处理参数,并将所述处理参数存储为所述UE的第一预存数据;
其中,所述处理参数包括UE所属运营商的身份operator ID1以及以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第一方面第二种可能的实现方式或者第一方面第三种可能的实现方式,在第四种可能的实现方式中,所述第二预存数据中包括所述GPKSig和所述SKBS_ID_Sig
所述接入点还用于使用所述GPKSig和所述SKBS_ID_Sig对所述广播消息进行签名以得到所述广播消息的签名Sig1,并在所述广播消息中携带所述接入点具有数据签名功能的指示信息或者所述广播消息的签名Sig1。
结合第一方面第四种可能的实现方式,在第五种可能的实现方式中,所述第一预存数据中包括所述operator ID1和所述GPKSig
所述UE具体用于:
根据接收到的所述广播消息中携带的指示信息确定所述接入点具有数据签名功能,并根据所述广播消息对应的接入点的标识信息确定所述接入点所属的运营商的身份operator ID2;
将所述operator ID2与所述operator ID1进行匹配,从所述第一预存数据中查找所述接入点对应的第三全局公钥GPKSig1;
当所述广播消息中携带签名Sig1时,使用所述GPK Sig1和所述接入点的标识信息对所述广播消息进行验证;
当所述广播消息验证通过时,确定将所述广播消息携带的所述加密公钥添加至所述第一预存数据中。
结合第一方面第五种可能的实现方式,在第六种可能的实现方式中,所述第一预存数据中包括所述GPKenc
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥、所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据进行加密。
结合第一方面第六种可能的实现方式,在第七种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc、所述GPKSig和所述SKBS_ID_Sig
所述接入点具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKBS_ID_enc和所述GPKenc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
执行将所述解密消息中携带的所述UE发送的传输数据发送到核心网的步骤。
结合第一方面第五种可能的实现方式,在第八种可能的实现方式中,所述第一预存数据中包括所述GPKenc和所述SKUE_ID_enc
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成第一对称钥K1,并将所述传输数据和所述K1输入系统函数以获取第三完整性校验码MAC2;
使用所述加密公钥和所述GPKenc对所述传输数据以及所述UE的标识信息、所述MAC2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据、所述UE的标识信息以及所述MAC2进行加密。
结合第一方面第八种可能的实现方式,在第九种可能的实现方式中,所述第二预存数据中包括加密公钥、所述GPKenc和所述SKBS_ID_enc
所述接入点具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
所述接入点还用于:
从所述解密消息中获取所述保护消息携带的所述MAC2、UE的标识信息以及所述传输数据;
使用所述UE的标识信息、所述GPKenc和所述SKBS_ID_enc生成对称钥K2;
使用所述对称钥K2、所述UE的标识信息和解密得到的传输数据计算第四完整性校验码MAC3,并当所述MAC3与所述MAC2相匹配时,执行将所述UE发送的传输数据发送到核心网的步骤。
结合第一方面第五种可能的实现方式,在第十种可能的实现方式中,所述第一预存数据中包括所述GPKenc和SKUE_ID_Sig
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig2,并使用所述加密公钥、所述GPKenc对所述传输数据、所述UE的标识信息和所述Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述Sig2进行加密。
结合第一方面第十种可能的实现方式,在第十一种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc和所述GPKSig
所述接入点具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以获取所述传输数据;
所述接入点还用于:
从所述保护消息解密得到的解密消息中获取所述UE的标识信息和所述签名Sig2;
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKsig
使用所述UE的标识信息以及所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,执行将所述UE发送的传输数据发送到核心网的步骤。
第二方面,提供了一种传输数据的保护系统,其可包括:用户设备UE、接入点和核心网节点;
所述UE用于在需要发送传输数据时,从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
所述UE还用于向所述接入点发送所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息;
所述接入点用于向所述核心网节点发送所述保护消息;
所述核心网节点用于在接收到所述保护消息之后,根据所述保护方式的指示消息从其第二预存数据中获取所述全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
在本申请中,UE向核心网节点发送上行数据时,可使用核心网节点的身份等信息作为加密公钥,并使用IBC技术的全局公钥和核心网节点对应的私钥对上传传输数据进行加密,可以有效解决网络中对空口信令及其数据的保护,防止用户隐私、信令内容的泄露。核心网节点对UE发送的消息进行解密和签名、完整性校验码等验证,过滤非法信令和数据,保护核心网的安全。
结合第二方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点还用于从密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第二方面第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为核心网认证节点的身份,或者所述加密公钥包含所述核心网节点的身份。
结合第二方面,在第三种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE还用于从核心网中获取加密公钥、所述UE用于处理传输数据的核心网处理参数,并将所述加密公钥和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第二方面第二种可能的实现方式或者第二方面第三种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述加密公钥和所述GPKenc
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥和所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据进行加密。
结合第二方面第四种可能的实现方式,在第五种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKCP_ID_enc和所述GPKenc,并使用所述SKCP_ID_enc和所述GPKenc对所述保护消息进行解密以得到所述UE的传输数据。
结合第二方面第二种可能的实现方式或者第二方面第三种可能的实现方式,在第六种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和所述SKUE_ID_enc
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成对称钥K3,并将所述传输数据和所述K3输入系统函数以获取第四完整性校验码MAC3;
使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密。
结合第二方面第六种可能的实现方式,在第七种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKCP_ID_enc,对所述保护消息进行解密以得到解密消息;
使用所述UE的标识信息、所述GPKenc和所述SKCP_ID_enc生成对称钥K4;
使用所述K4、所述UE的标识信息和所述解密消息生成第五完整性校验码MAC4,并当所述MAC4与所述MAC3相匹配时,获取所述传输数据。
结合第二方面第三种可能的实现方式或者第二方面第三种可能的实现方式,在第八种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和SKUE_ID_Sig
所述UE具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig3,并使用所述加密公钥、所述GPKenc对所述传输数据和所述签名Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述签名进行加密。
结合第二方面第八种可能的实现方式,在第九种可能的实现方式中,所述第二预存数据中包括所述加密公钥、所述GPKenc、所述SKCP_ID_enc和所述GPKSig
所述核心网节点具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并使用从所述第二预存数据中获取的所述GPKenc、所述加密公钥和所述SKCP_ID_enc对所述保护消息进行解密;
从所述保护消息解密得到的解密消息中获取所述签名Sig3,并使用所述UE的标识信息和所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,获取所述传输数据。
第三方面,提供了一种传输数据的保护系统,其可包括:用户设备UE、接入点和核心网节点;
所述核心网节点用于接收用户面网关下发的传输数据,并从其第二预存数据中获取所述UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥;
所述核心网节点还用于使用所述UE的标识信息、所述全局公钥和所述私钥对所述传输数据进行保护以得到保护消息,并将所述保护消息发送给所述接入点;
所述接入点用于将所述保护消息发送给所述UE;
所述UE从其第一预存数据中获取所述核心网节点的标识,所述全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据。
在本申请中,UE和核心网节点可使用基于IBC的技术对下行数据进行加密和验证保护,增强了网络传输数据的安全性。
结合第三方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点还用于从网络或者密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第三方面,在第二种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE还用于从核心网中获取其标识信息、所述UE用于处理传输数据的核心网处理参数,并将所述标识信息和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下两组数据中至少一组:第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第三方面第一种可能的实现方式或者第三方面第二种可能的实现方式,在第三种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点具体用于:
在接收到所述传输数据之后,从所述第二预存数据中获取所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc
根据所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc生成对称钥K5,并将所述传输数据和所述K5输入系统函数以获取第六完整性校验码MAC5;
使用所述K5对所述传输数据加密得到保护消息。
结合第三方面第三种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述UE的标识信息、所述核心网节点的标识、所述GPKenc和所述SKUE_ID_enc
所述UE具体用于:
从所述第一预存数据中获取所述GPKenc和所述SKUE_ID_enc,并使用所述GPKenc和所述SKUE_ID_enc对所述保护消息进行解密以得到解密消息;
使用所述核心网节点的标识信息、所述GPKenc和所述SKUE_ID_enc生成对称钥K6;
使用所述K6对所述保护消息进行解密以得到解密消息;
使用所述K6和所述解密消息生成第七完整性校验码MAC6,并当所述MAC6与所述解密消息中携带的MAC5相匹配时,获取所述传输数据。
第四方面,提供了一种传输数据的保护方法,其可包括:
用户设备UE接收接入点发送的广播消息,并存储所述广播消息中携带的加密公钥;
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
所述UE向所述接入点发送所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息。
结合第四方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE接收所述接入点的广播消息之前,所述方法还包括:
所述UE从网络或者KMS中获取所述UE用于处理传输数据的处理参数,并将所述处理参数存储为所述UE的第一预存数据;
其中,所述处理参数包括UE所属运营商的身份operator ID1以及以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第四方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述operator ID1和所述GPKSig
所述UE存储所述广播消息中携带的加密公钥之前,所述方法还包括:
所述UE根据接收到的所述广播消息中携带的指示信息确定所述接入点具有数据签名功能,并根据所述广播消息对应的接入点的标识信息确定所述接入点所属的运营商的身份operator ID2;
将所述operator ID2与所述operator ID1进行匹配,从所述第一预存数据中查找所述接入点对应的第三全局公钥GPKSig1;
当所述广播消息中携带签名Sig1时,使用所述GPK Sig1和所述接入点的标识信息对所述广播消息进行验证;
当所述广播消息验证通过时,确定将所述广播消息携带的所述加密公钥添加至所述第一预存数据中。
结合第四方面第二种可能的实现方式,在第三种可能的实现方式中,所述第一预存数据中包括所述GPKenc
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥,并使用所述加密公钥和所述全局公钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥、所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据进行加密。
结合第四方面第二种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述GPKenc和所述SKUE_ID_enc
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成第一对称钥K1,并将所述传输数据和所述K1输入系统函数以获取第三完整性校验码MAC2;
使用所述加密公钥和所述GPKenc对所述传输数据以及所述UE的标识信息、所述MAC2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据、所述UE的标识信息以及所述MAC2进行加密。
结合第四方面第二种可能的实现方式,在第五种可能的实现方式中,所述第一预存数据中包括所述GPKenc和SKUE_ID_Sig
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig2,并使用所述加密公钥、所述GPKenc对所述传输数据、所述UE的标识信息和所述Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述Sig2进行加密。
第五方面,提供了一种传输数据的保护方法,其可包括:
接入点发送广播消息,所述广播消息中携带加密公钥;
所述接入点接收用户设备UE发送的根据所述加密公钥对传输数据进行保护得到的保护消息,所述保护消息中携带所述UE发送的传输数据的保护方式的指示消息;
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据;
所述接入点将解析得到的所述UE发送的传输数据发送到核心网中。
结合第五方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述接入点对应的私钥包括第一私钥和第二私钥;
所述接入点发送广播消息之前,所述方法还包括:
所述接入点从网络或者密钥管理系统KMS中获取系统参数,并将所述系统参数存储为所述接入点的第二预存数据;
其中,所述系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第一私钥,或者第二全局公钥和第二私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第一私钥为IBC技术的所述接入点对应的数据加密私钥SKBS_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第二私钥为IBC技术的所述接入点对应的数据签名私钥SKBS_ID_Sig
结合第五方面第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为基站BS的身份BS_ID,或者所述加密公钥包含BS_ID;或者
所述加密公钥包括无线保真Wi-Fi切入点AP的介质控制子层MAC地址,或者Wi-FiAP的服务集标识SSID;或者
所述加密公钥包括热点UE的身份UE_ID,或者热点UE的移动用户身份IMSI。
结合第五方面第二种可能的实现方式,在第三种可能的实现方式中,所述第二预存数据中包括所述GPKSig和所述SKBS_ID_Sig
所述接入点发送广播消息之前,所述方法还包括:
所述接入点使用所述GPKSig和所述SKBS_ID_Sig对所述广播消息进行签名以得到所述广播消息的签名Sig1,并在所述广播消息中携带所述接入点具有数据签名功能的指示信息或者所述广播消息的签名Sig1。
结合第五方面第二种可能的实现方式,在第四种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc、所述GPKSig和所述SKBS_ID_Sig
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
所述接入点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述SKBS_ID_enc和所述GPKenc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息。
结合第五方面第二种可能的实现方式,在第五种可能的实现方式中,所述第二预存数据中包括加密公钥、所述GPKenc和所述SKBS_ID_enc
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
所述接入点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
所述接入点将解析得到的所述UE发送的传输数据发送到核心网中包括:
所述接入点从所述解密消息中获取所述保护消息携带的第三完整性保护码MAC2、UE的标识信息以及所述传输数据;
使用所述UE的标识信息、所述GPKenc和所述SKBS_ID_enc生成对称钥K2;
使用所述对称钥K2、所述UE的标识信息和解密得到的传输数据计算第四完整性校验码MAC3,并当所述MAC3与所述MAC2相匹配时,将所述UE发送的传输数据发送到核心网。
结合第五方面第二种可能的实现方式,在第六种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc和所述GPKSig
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以获取所述传输数据;
所述接入点将解析得到的所述UE发送的传输数据发送到核心网中包括:
从所述保护消息解密得到的解密消息中获取所述UE的标识信息和所述签名Sig2;
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKsig
使用所述UE的标识信息以及所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,将所述UE发送的传输数据发送到核心网。
第六方面,提供了一种传输数据的保护方法,其可包括:
用户设备UE在需要发送传输数据时,从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
所述UE向接入点发送所述保护消息,以通过所述接入点将所述保护消息发送给核心网节点,所述保护消息中携带所述传输数据的保护方式的指示消息。
结合第六方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE发送传输数据之前,所述方法还包括:
所述UE从核心网中获取加密公钥、所述UE用于处理传输数据的核心网处理参数,并将所述加密公钥和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第六方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述加密公钥和所述GPKenc
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥,并使用所述加密公钥,以及所述全局公钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥和所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据进行加密。
结合第六方面第一种可能的实现方式,在第三种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和所述SKUE_ID_enc
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成对称钥K3,并将所述传输数据和所述K3输入系统函数以获取第四完整性校验码MAC3;
使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密。
结合第六方面第二种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和SKUE_ID_Sig
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig3,并使用所述加密公钥、所述GPKenc对所述传输数据和所述签名Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述签名进行加密。
第七方面,提供了一种传输数据的保护方法,其可包括:
核心网节点接收接入点发送的保护消息,所述保护消息中携带用户设备UE发送的所述传输数据的保护方式的指示消息;
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
结合第七方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点接收接入点发送的保护消息之前,所述方法还包括:
所述核心网节点从密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第七方面第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为核心网认证节点的身份,或者所述加密公钥包含所述核心网节点的身份。
结合第七方面第二种可能的实现方式,在第三种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKCP_ID_enc和所述GPKenc,并使用所述SKCP_ID_enc和所述GPKenc对所述保护消息进行解密以得到所述UE的传输数据。
结合第七方面第二种可能的实现方式,在第四种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKCP_ID_enc,对所述保护消息进行解密以得到解密消息;
获取所述解密消息中携带的第四完整性校验码MAC3,并使用所述UE的标识信息、所述GPKenc和所述SKCP_ID_enc生成对称钥K4;
使用所述K4、所述UE的标识信息和所述解密消息生成第五完整性校验码MAC4,并当所述MAC4与所述MAC3相匹配时,获取所述传输数据。
结合第七方面第二种可能的实现方式,在第五种可能的实现方式中,所述第二预存数据中包括所述加密公钥、所述GPKenc、所述SKCP_ID_enc和所述GPKSig
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述加密方式的指示消息确定所述传输数据的保护方式,并使用从所述第二预存数据中获取的所述GPKenc、所述加密公钥和所述SKCP_ID_enc对所述保护消息进行解密;
从所述保护消息解密得到的解密消息中获取所述签名Sig3,并使用所述UE的标识信息和所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,获取所述传输数据。
第八方面,提供了一种传输数据的保护方法,其可包括:
核心网节点接收用户面网关下发的传输数据,并从其第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥;
所述核心网节点使用所述UE的标识信息、所述全局公钥和所述私钥对所述传输数据进行保护以得到保护消息,并将所述保护消息发送给接入点。
结合第八方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点接收用户面网关下发的传输数据之前,所述方法还包括:
所述核心网节点从网络或者密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第八方面第一种可能的实现方式,在第二种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点从其第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥包括:
所述核心网节点从所述第二预存数据中获取所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc
所述核心网节点使用所述UE的标识信息、所述全局公钥和所述私钥对所述传输数据进行保护以得到保护消息包括:
所述核心网节点根据所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc生成对称钥K5,并将所述传输数据和所述K5输入系统函数以获取第六完整性校验码MAC5;
使用所述K5对所述传输数据加密得到保护消息。
第九方面,提供了一种传输数据的保护方法,其可包括:
用户设备UE接收接入点发送的保护消息;
所述UE从其第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据。
结合第九方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE接收接入点发送的保护消息之前,所述方法还包括:
所述UE从核心网中获取其标识信息、所述UE用于处理传输数据的核心网处理参数,并将所述标识信息和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下两组数据中至少一组:第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第九方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述UE的标识信息、所述核心网节点的标识、所述GPKenc和所述SKUE_ID_enc
所述UE从其第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据包括:
所述UE从所述第一预存数据中获取所述GPKenc和所述SKUE_ID_enc,并使用所述GPKenc和所述SKUE_ID_enc对所述保护消息进行解密以得到解密消息;
使用所述核心网节点的标识信息、所述GPKenc和所述SKUE_ID_enc生成对称钥K6;
使用所述K6对所述保护消息进行解密以得到解密消息;
使用所述K6和所述解密消息生成第七完整性校验码MAC6,并当所述MAC6与所述解密消息中携带的第六完整性校验码MAC5相匹配时,获取所述传输数据。
第十方面,提供了一种传输数据的保护装置,其可包括:
接收单元,用于接收接入点发送的广播消息,并存储所述广播消息中携带的加密公钥;
处理单元,用于在需要向所述接入点发送传输数据时,从用户设备UE的第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述接收单元接收的所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
发送单元,用于向所述接入点发送所述处理单元处理的所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息。
结合第十方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述处理单元还用于:
从网络或者KMS中获取所述UE用于处理传输数据的处理参数,并将所述处理参数存储为所述UE的第一预存数据;
其中,所述处理参数包括UE所属运营商的身份operator ID1以及以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第十方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述operator ID1和所述GPKSig
所述接收单元具体用于:
根据接收到的所述广播消息中携带的指示信息确定所述接入点具有数据签名功能,并根据所述广播消息对应的接入点的标识信息确定所述接入点所属的运营商的身份operator ID2;
将所述operator ID2与所述operator ID1进行匹配,从所述第一预存数据中查找所述接入点对应的第三全局公钥GPKSig1;
当所述广播消息中携带签名Sig1时,使用所述GPK Sig1和所述接入点的标识信息对所述广播消息进行验证;
当所述广播消息验证通过时,确定将所述广播消息携带的所述加密公钥添加至所述第一预存数据中。
结合第十方面第二种可能的实现方式,在第三种可能的实现方式中,所述第一预存数据中包括所述GPKenc
所述处理单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥、所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据进行加密。
结合第十方面第二种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述GPKenc和所述SKUE_ID_enc
所述处理单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成第一对称钥K1,并将所述传输数据和所述K1输入系统函数以获取第三完整性校验码MAC2;
使用所述加密公钥和所述GPKenc对所述传输数据以及所述UE的标识信息、所述MAC2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据、所述UE的标识信息以及所述MAC2进行加密。
结合第十方面第二种可能的实现方式,在第五种可能的实现方式中,所述第一预存数据中包括所述GPKenc和SKUE_ID_Sig
所述处理单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig2,并使用所述加密公钥、所述GPKenc对所述传输数据、所述UE的标识信息和所述Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述Sig2进行加密。
第十一方面,提供了一种传输数据的保护装置,其可包括:
发送单元,用于发送广播消息,所述广播消息中携带加密公钥;
接收单元,用于接收用户设备UE发送的根据所述发送单元发送的所述加密公钥对传输数据进行保护得到的保护消息,所述保护消息中携带所述UE发送的传输数据的保护方式的指示消息;
解析单元,用于根据所述接收单元接收的所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据;
所述发送单元,还用于将所述解析单元解析得到的所述UE发送的传输数据发送到核心网中。
结合第十一方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述接入点对应的私钥包括第一私钥和第二私钥;
所述解析单元还用于:
从网络或者密钥管理系统KMS中获取系统参数,并将所述系统参数存储为所述接入点的第二预存数据;
其中,所述系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第一私钥,或者第二全局公钥和第二私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第一私钥为IBC技术的所述接入点对应的数据加密私钥SKBS_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第二私钥为IBC技术的所述接入点对应的数据签名私钥SKBS_ID_Sig
结合第十一方面第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为基站BS的身份BS_ID,或者所述加密公钥包含BS_ID;或者
所述加密公钥包括无线保真Wi-Fi切入点AP的介质控制子层MAC地址,或者Wi-FiAP的服务集标识SSID;或者
所述加密公钥包括热点UE的身份UE_ID,或者热点UE的移动用户身份IMSI。
结合第十一方面第二种可能的实现方式,在第三种可能的实现方式中,所述第二预存数据中包括所述GPKSig和所述SKBS_ID_Sig
所述发送单元具体用于:
使用所述GPKSig和所述SKBS_ID_Sig对所述广播消息进行签名以得到所述广播消息的签名Sig1,并在所述广播消息中携带所述接入点具有数据签名功能的指示信息或者所述广播消息的签名Sig1。
结合第十一方面第二种可能的实现方式,在第四种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc、所述GPKSig和所述SKBS_ID_Sig
所述解析单元具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述SKBS_ID_enc和所述GPKenc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息。
结合第十一方面第二种可能的实现方式,在第五种可能的实现方式中,所述第二预存数据中包括加密公钥、所述GPKenc和所述SKBS_ID_enc
所述解析单元具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
所述发送单元具体用于:
从所述解析单元解析得到的所述解密消息中获取所述保护消息携带的第三完整性保护码MAC2、UE的标识信息以及所述传输数据;
使用所述UE的标识信息、所述GPKenc和所述SKBS_ID_enc生成对称钥K2;
使用所述对称钥K2、所述UE的标识信息和解密得到的传输数据计算第四完整性校验码MAC3,并当所述MAC3与所述MAC2相匹配时,将所述UE发送的传输数据发送到核心网。
结合第十一方面第二种可能的实现方式,在第六种可能的实现方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc和所述GPKSig
所述解析单元具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以获取所述传输数据;
所述发送单元具体用于:
从所述保护消息解密得到的解密消息中获取所述UE的标识信息和所述签名Sig2;
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKsig
使用所述UE的标识信息以及所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,将所述UE发送的传输数据发送到核心网。
第十二方面,提供了一种传输数据的保护装置,其可包括:
保护单元,用于在需要发送传输数据时,从用户设备的第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息;
发送单元,用于向接入点发送所述保护单元处理得到的所述保护消息,以通过所述接入点将所述保护消息发送给核心网节点,所述保护消息中携带所述传输数据的保护方式的指示消息。
结合第十二方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述保护单元还用于:
从核心网中获取加密公钥、所述UE用于处理传输数据的核心网处理参数,并将所述加密公钥和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第十二方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述加密公钥和所述GPKenc
所述保护单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥和所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据进行加密。
结合第十二方面第一种可能的实现方式,在第三种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和所述SKUE_ID_enc
所述保护单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成对称钥K3,并将所述传输数据和所述K3输入系统函数以获取第四完整性校验码MAC3;
使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密。
结合第十二方面第一种可能的实现方式,在第四种可能的实现方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和SKUE_ID_Sig
所述保护单元具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig3,并使用所述加密公钥、所述GPKenc对所述传输数据和所述签名Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述签名进行加密。
第十三方面,提供了一种传输数据的保护装置,其可包括:
接收单元,用于接收接入点发送的保护消息,所述保护消息中携带用户设备UE发送的所述传输数据的保护方式的指示消息;
解析单元,用于根据所述接收单元接收的所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
结合第十三方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述解析单元还用于:
从密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第十三方面,第一种可能的实现方式,在第二种可能的实现方式中,所述加密公钥为核心网认证节点的身份,或者所述加密公钥包含所述核心网节点的身份。
结合第十三方面,第二种可能的实现方式,在第三种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述解析单元具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKCP_ID_enc和所述GPKenc,并使用所述SKCP_ID_enc和所述GPKenc对所述保护消息进行解密以得到所述UE的传输数据。
结合第十三方面,第二种可能的实现方式,在第四种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述解析单元具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKCP_ID_enc,对所述保护消息进行解密以得到解密消息;
获取所述解密消息中携带的第四完整性校验码MAC3,并使用所述UE的标识信息、所述GPKenc和所述SKCP_ID_enc生成对称钥K4;
使用所述K4、所述UE的标识信息和所述解密消息生成第五完整性校验码MAC4,并当所述MAC4与所述MAC3相匹配时,获取所述传输数据。
结合第十三方面,第二种可能的实现方式,在第五种可能的实现方式中,所述第二预存数据中包括所述加密公钥、所述GPKenc、所述SKCP_ID_enc和所述GPKSig
所述解析单元具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并使用从所述第二预存数据中获取的所述GPKenc、所述加密公钥和所述SKCP_ID_enc对所述保护消息进行解密;
从所述保护消息解密得到的解密消息中获取所述签名Sig3,并使用所述UE的标识信息和所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,获取所述传输数据。
第十四方面,提供了一种传输数据的保护装置,其可包括:
接收单元,用于接收用户面网关下发的传输数据;
处理单元,用于从核心网节点的第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥,并使用所述UE的标识信息、所述全局公钥和所述私钥对所述接收单元接收的所述传输数据进行保护以得到保护消息。
发送单元,用于将所述处理单元处理得到的所述保护消息发送给接入点。
结合第十四方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述处理单元还用于:
从网络或者密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
结合第十四方面第一种可能的实现方式,在第二种可能的实现方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述处理单元具体用于:
从所述第二预存数据中获取所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc
根据所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc生成对称钥K5,并将所述传输数据和所述K5输入系统函数以获取第六完整性校验码MAC5;
使用所述K5对所述传输数据加密得到保护消息。
第十五方面,提供了一种传输数据的保护装置,其可包括:
接收单元,用于接收接入点发送的保护消息;
解析单元,用于从用户设备的第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据。
结合第十五方面,在第一种可能的实现方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述解析单元还用于:
从核心网中获取其标识信息、所述UE用于处理传输数据的核心网处理参数,并将所述标识信息和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下两组数据中至少一组:第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
结合第十五方面第一种可能的实现方式,在第二种可能的实现方式中,所述第一预存数据中包括所述UE的标识信息、所述核心网节点的标识、所述GPKenc和所述SKUE_ID_enc
所述解析单元具体用于:
从所述第一预存数据中获取所述GPKenc和所述SKUE_ID_enc,并使用所述GPKenc和所述SKUE_ID_enc对所述保护消息进行解密以得到解密消息;
使用所述核心网节点的标识信息、所述GPKenc和所述SKUE_ID_enc生成对称钥K6;
使用所述K6对所述保护消息进行解密以得到解密消息;
使用所述K6和所述解密消息生成第七完整性校验码MAC6,并当所述MAC6与所述解密消息中携带的MAC5相匹配时,获取所述传输数据。
第十六方面提供了一种用户设备,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第四方面提供的传输数据的保护方法。
第十七方面提供了一种接入点,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第五方面提供的传输数据的保护方法。
第十八方面提供了一种用户设备,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第六方面提供的传输数据的保护方法。
第十九方面提供了一种核心网节点,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第七方面提供的传输数据的保护方法。
第二十方面提供了一种核心网节点,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第八方面提供的传输数据的保护方法。
第二十一方面提供了一种用户设备,其可包括:存储器和处理器,所述存储器和所述处理器相连;
所述存储器用于存储一组程序代码;
所述处理器用于调用所述存储器中存储的程序代码,执行如上述第九方面提供的传输数据的保护方法。
由上可知,本申请公开了一种传输数据的保护系统、方法及装置,上述系统包括:用户设备UE和接入点;接入点发送广播消息,其中携带加密公钥;UE接收并存储加密公钥;UE从第一预存数据中获取全局公钥或者UE对应的私钥,并使用加密公钥和全局公钥或者UE对应的私钥对传输数据进行保护;UE向接入点发送保护消息,保护消息中携带传输数据的保护方式的指示消息;接入点在接收到保护消息之后,根据保护方式的指示消息从其第二预存数据中获取全局公钥和接入点对应的私钥,并使用全局公钥和接入点对应的私钥对保护消息进行解析;接入点将解析得到的传输数据发送到核心网。采用本申请,具有可对传输数据进行保护,过滤不安全数据,从而提高网络的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的数据传输的一传输架构图;
图2是本发明实施例提供的传输数据的保护系统进行数据传输的一交互示意图;
图3是本发明实施例提供的保护系统在场景一中的一交互示意图;
图4是本发明实施例提供的保护系统在场景一中的另一交互示意图;
图5是本发明实施例提供的保护系统在场景二中的一交互示意图;
图6是本发明实施例提供的保护系统在场景二中的另一交互示意图;
图7是本发明实施例提供的保护系统在场景三中的交互示意图;
图8是本发明实施例提供的保护系统在场景四中的交互示意图;
图9是本发明实施例提供的数据传输的另一传输架构图;
图10是本发明实施例提供的传输数据的保护系统进行数据传输的另一交互示意图;
图11是本发明实施例提供的保护系统在场景五中的一交互示意图;
图12是本发明实施例提供的保护系统在场景五中的另一交互示意图;
图13是本发明实施例提供的保护系统在场景五中的另一交互示意图;
图14是本发明实施例提供的数据传输的另一传输架构图;
图15是本发明实施例提供的传输数据的保护系统进行下行数据传输的交互示意图;
图16是本发明实施例提供的保护系统在场景六中的交互示意图;
图17是本发明实施例提供的传输数据的保护方法的一流程示意图;
图18是本发明实施例提供的传输数据的保护方法的另一流程示意图;
图19是本发明实施例提供的传输数据的保护方法的另一流程示意图;
图20是本发明实施例提供的传输数据的保护方法的另一流程示意图;
图21是本发明实施例提供的传输数据的保护方法的另一流程示意图;
图22是本发明实施例提供的传输数据的保护方法的另一流程示意图;
图23是本发明实施例提供的传输数据的保护装置的一结构示意图;
图24是本发明实施例提供的传输数据的保护装置的另一结构示意图;
图25是本发明实施例提供的传输数据的保护装置的另一结构示意图;
图26是本发明实施例提供的传输数据的保护装置的另一结构示意图;
图27是本发明实施例提供的传输数据的保护装置的另一结构示意图;
图28是本发明实施例提供的传输数据的保护装置的另一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
基于身份的密码(英文:Identity Based Cryptography,IBC)技术提供一种基于身份的加密(英文:Identity Based Encryption,IBE)技术和基于身份的签名(英文:Identity Based Signature,IBS)技术等。IBC技术属于一种公钥技术。首先密钥的产生是基于一对全局参数,包括全局公钥(英文:Global Public Key,GPK)和全局私钥(英文:Global Secret Key,GSK)。其中,密钥产生方根据用户提供的身份(英文:Identity,ID)信息,使用上述全局参数进行运算,为用户产生一个对应于该用户的ID的私钥SKID。例如,密钥产生方可根据UE提供的身份(如,UE_ID),使用上述全局参数进行运算得到UE对应的私钥SKUE_ID。进一步的,可将上述用户的ID、私钥SKID和全局公钥GPK通过可靠手段分发给用户,具体手段可根据实际应用场景确定。
在使用IBC技术加密时,加密方需要获得加密公钥(具体可为接收方的ID)和全局公钥GPK。加密方使用接收方的ID和全局公钥加密用户的明文数据M,形成密文E(M),并发送给接收方。接收方接收到密文E(M),首先根据自身的ID获得该ID相对应的用于解密的私钥SKID和全局公钥GPK,并使用SKID和GPK解密密文E(M),获得相应的明文M。
在使用IBC技术签名时,签名方需要拥有自身的ID,用于签名的私钥SKID和全局公钥GPK。签名方使用全局公钥和私钥SKID对用户的明文数据M签名,形成签名Sig(SKID,M),并把签名后的消息{ID,M,Sig(SKID,M)}发送给接收方。接收方接收到带有签名的消息后,首先根据消息中携带的ID获得相对应的全局公钥GPK,并使用ID和GPK验证消息中携带的签名Sig(SKID,M),以验证消息的完整性。
IBC技术与现有的基于公钥基础设施(英文:Public Key Infrastructure,PKI)的公钥技术不同之处在于,现有PKI技术中的公钥是一串随机数字,不具有身份意义特征,而IBC技术弥补了这方面的缺陷。在IBC技术中,公钥可以是任意一串有意义的字符,通常是我们现实生活中的身份信息,如email地址abc@xyz.com等,也可以使用电话号码或者IMSI等信息,便于记忆和验证。
本发明实施例可使用IBC技术保护空口信令或者低频小数据的传输,即本发明中所描述的传输数据可包括空口信令或者无连接的低频小数据等,具体可根据实际应用场景确定,在此不做限制。
参见图1,是本发明实施例提供的数据传输的一传输架构图。在图1所示的传输架构中,可包括UE、接入点和核心网等数据传输端。其中,接入点可包括基站(英文:BaseStation,BS),无线保真(英文:Wireless-Fidelity,Wi-Fi)网络中的接入点(英文:AccessPoint,AP)或者作为网络热点的热点UE。其中,上述BS可为3G网络中的基站(英文:Node B,NB),也可为4G网络中的演进性基站(英文:Evolved Node B,eNB),或者更早前的网络时代中的基站,在此不做限制。
参见图2,图2是本发明实施例提供的传输数据的保护系统进行数据传输的一交互示意图。本发明实施例提供的保护系统中各个数据传输端进行数据传输的过程可包括步骤:
S201,接入点向UE发送广播消息。
在一些可行的实施方式中,接入点发送广播消息之前,可预先从网络或者密钥管理系统(英文:Key Management System,KMS)获取系统参数,并将获取的系统参数存储在接入点的指定存储空间,即可将获取的系统参数存储为接入点的预存数据(即第二预存数据)。其中,接入点从网络或者KMS中获取的系统参数可包括加密公钥,或者第一全局公钥和私钥,或者第二全局公钥和私钥等。其中,接入点从网络或者KMS中获取的系统参数具体包含的信息可根据接入点在实际应用场景中执行的数据传输操作的需求确定,在此不做限制。
具体实现中,上述加密公钥可为接入点的标识。若具体应用场景中,上述接入点为BS,则上述加密公钥可为BS的身份(即BS_ID),或者上述加密公钥包含BS_ID。其中,上述加密公钥包含BS_ID表示上述加密公钥由BS_ID和其他数据构成,BS_ID只是加密公钥的长串数据中的一部分数据,具体可根据时间采用的加密公钥的数据形式确定,在此不做限制。
若具体应用场景中,上述接入点为Wi-Fi AP,则上述加密公钥可为Wi-Fi AP的介质控制子层(英文:Media Access Control,MAC)地址,或者Wi-Fi AP的服务集标识(英文:Service Set Identifier,SSID)。具体实现中,接入点为WiFi AP时,加密公钥的具体组成形式可根据实际应用场景确定,在此不做限制。
若具体应用场景中,上述接入点为热点UE,则上述加密公钥可为热点UE的UE_ID,或者热点UE的移动用户身份(英文:International Mobile Subscriber Identity,IMSI)。具体实现中,接入点为热点UE时,加密公钥的具体组成形式可根据实际应用场景确定,在此不做限制。
进一步的,具体实现中,上述接入点从网络或者KMS中获取的第一全局公钥可为IBC技术的数据加密全局公钥GPKenc。第一私钥可使用IBC技术根据接入点的ID和上述GPKenc生成的接入点对应的数据加密私钥SKBS_ID_enc。其中,上述接入点BS、Wi-Fi AP和热点UE在数据传输中都作为基站,上述生成数据加密私钥时使用的接入点的ID包括BS的ID、WiFi AP的ID或者热点UE的ID,因此接入点对应的数据加密私钥均表示为SKBS_ID_enc。上述第二全局公钥为IBC技术的数据签名全局公钥GPKSig。第二私钥为使用IBC技术根据接入点的ID和上述GPKSig生成的接入点对应的数据签名私钥SKBS_ID_Sig。同理,上述接入点BS、Wi-Fi AP和热点UE在数据传输中都作为基站,上述生成数据签名私钥时使用的接入点的ID包括BS的ID、WiFi AP的ID或者热点UE的ID,因此接入点对应的数据签名私钥均表示为SKBS_ID_Sig
在一些可行的实施方式中,UE也可从网络或者上述KMS中获取用于处理传输数据的处理参数。其中,上述处理参数可包括UE所属运营商的身份、全局公钥或者UE对应的私钥等。其中,上述UE所属运营商的身份可表示为operator ID1,例如UE所属运营商为运营商A时,上述operator ID1则为运营商A的身份。上述全局公钥包括第一全局公钥和第二全局公钥,上述私钥包括第三私钥和第四私钥。其中,上述第一全局公钥为与接入点获取的第一全局公钥相同的数据加密全局公钥GPKenc。上述第二全局公钥为与接入点获取的第二全局公钥相同的数据签名全局公钥GPKsig。上述第三私钥可使用IBC技术根据UE_ID和上述GPKenc生成的UE对应的数据加密私钥SKUE_ID_enc。上述第四私钥为使用IBC技术根据UE_ID和上述GPKsig生成的UE对应的数据签名私钥SKUE_ID_Sig
具体实现中,接入点可周期性向UE发送广播消息,并在上述广播消息中携带上述加密公钥,以供UE根据上述加密公钥进行数据保护。
进一步的,在一些可行的实施方式中,接入点可使用第二预存数据中存储的GPKSig和SKBS_ID_Sig对所述广播消息进行签名以得到广播消息的签名(表示为Sig1),并在广播消息中携带接入点具有数据签名功能的指示信息。进一步的,也可在上述广播消息中携带上述Sig1。
S202,UE接收接入点的广播消息,并存储广播消息中携带的加密公钥。
在一些可行的实施方式中,UE接收到接入点发送的广播消息之后,可根据上述广播消息中携带的信息确定接入点是否支持基于加密公钥的数据加密或者数据签名,以及加密公钥的类型。其中,上述加密公钥的类型可包括IBC技术的加密公钥,或者PKI技术的公钥。本发明实施例将具体支持对IBC技术的加密公钥的数据传输进行描述。具体实现中,若接入点发送的广播消息不携带加密公钥,则可确定接入点不支持加密公钥的数据加密,UE可向该接入点发送数据时无需加密,对此类应用场景,本发明实施例不具体描述。若上述广播消息中携带加密公钥,但是不包含接入点是否具有数据签名功能的指示信息,UE则可直接存储上述广播消息中携带的加密公钥,以根据上述加密公钥对后续需要向接入点发送的数据进行加密处理。
在一些可行的实施方式中,若UE接收到上述接入点发送的广播消息,并且确定上述广播消息中携带指示信息,则可根据上述指示信息确定接入点是否具有数据签名功能。UE还可验证上述广播消息中携带的时间戳(英文:timestamp)或者序列号(英文:sequencenumber)是否合法,若上述时间戳或者序列号合法,则可进一步直接存储上述广播消息中携带的信息,包括加密公钥、时间戳和序列号等信息。
进一步的,在一些可行的实施方式中,若UE根据广播消息中携带的指示信息确定接入点具有数据签名功能,则可根据上述广播消息中携带的签名验证广播消息的合法性。具体的,UE可根据广播消息中携带的接入点的标识信息(例如接入点的ID等)确定接入点所属的运营商的身份operator ID2。将上述operator ID2与operator ID1进行匹配,若上述operator ID2与operator ID1相同,则可确定上述接入点和UE同属一个运营商。进一步的,UE确定接入点与其同属一个运营商之后,则可根据operator ID1(此时operator ID2与operator ID1相同)从其第一预存数据中查找operator ID1对应的数据签名全局公钥(设定为第三全局公钥),即接入点对应的第三全局公钥GPKSig1。进一步的,若上述广播消息中携带签名Sig1,UE可则使用上述GPKSig1和接入点的ID等信息对广播消息进行验证。当广播消息验证通过时,确定将广播消息携带的加密公钥、时间戳或者序列号等信息添加至UE的第一预存数据中,以备后续传输数据处理时使用。若上述广播消息验证不通过,则丢弃该广播消息。UE需要发送传输数据时,则可根据第一存储数据中存储的目标接入点的信息进行数据处理并发送给目标接入点。
S203,UE在需要向接入点发送传输数据时,使用从第一预存数据中获取的加密公钥、全局公钥或者UE对应的私钥对传输数据进行保护以得到保护消息。
具体实现中,上述全局公钥可包括GPKenc或者GPKSig,具体可根据UE对传输数据的具体处理方式确定。上述UE对应的私钥可包括SKUE_ID_enc或者SKUE_ID_Sig,具体可根据UE对传输数据的具体处理方式确定。下面将结合步骤S204-S206对数据传输的实现方式进行具体描述。
S204,UE向接入点发送保护消息。
具体实现中,上述保护消息中携带传输数据的保护方式的指示消息。其中,上述保护方式可包括加密、或者加密和签名、或者加密使用的密钥,以及签名使用的密钥等信息。下面将结合步骤S205-S206对数据传输的实现方式进行具体描述。
S205,接入点根据保护方式的指示消息从第二预存数据中获取全局公钥和接入点对应的私钥,并使用全局公钥和接入点对应的私钥对保护消息进行解析。
S206,接入点将解析得到的传输数据发送到核心网中。
在一些可行的实施方式中,UE可在需要向目标接入点发送传输数据时,可根据目标接入点的ID等标识信息从第一预存数据中获取目标接入点对应的加密公钥和GPKenc。其中,上述目标接入点可为UE的第一预存数据中包含的一个或者多个接入点信息中的某一个接入点。例如,若上述目标接入点为目标BS(简称BS),则可根据BS_ID从第一预存数据中获取加密公钥,其中,加密公钥可为BS_ID,或者加密公钥包含BS_ID。进一步的,UE还可在其第一预存数据中获取自身的标识信息,例如UE_ID等信息。UE可将需要发送的传输数据和UE_ID等信息输入系统函数以获取第一完整性校验码(英文Message Authentication Code,MAC)(如MAC0),并使用加密公钥、GPKenc对传输数据和MAC0进行加密以得到保护消息。其中,上述保护消息可携带传输数据的保护方式的指示信息。上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据和MAC0进行加密。
进一步的,在一些可行的实施方式中,UE生成完整性校验码时也可将存储在第一预存数据中的时间戳和序列号等信息,连同需要发送的传输数据、UE_ID等信息输入系统函数,通过系统函数生成MAC0。将时间戳和序列号等信息添加到生成MAC0的数据中,可供接入点更好地验证消息的完整性,增强数据传输的安全性。下面各个应用场景中完整性校验码的生成也可根据实际应用场景需求添加时间戳和序列号到输入系统函数的数据中,增强各个应用场景中数据传输的安全性,下面不再赘述。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知接入点上述传输数据的保护方式。
在一些可行的实施方式中,接入点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,若上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据和MAC0进行加密,接入点则可从第二预存数据中获取SKBS_ID_enc和GPKenc,并使用SKBS_ID_enc和GPKenc对保护消息进行解密以得到解密消息。进一步的,接入点还可从解密消息中获取保护消息携带的MAC0。接入点解密得到上述解密消息之后,还可将解密消息输入到一个系统函数,获得一个完整性校验码(具体可设定为第二完整性校验码MAC1)。其中,上述生成MAC1的数据中也可包含时间戳和序列号等信息。具体的,若接入点的广播消息中携带时间戳和序列号等信息,UE生成完整性校验码时可将时间戳和序列号添加到生成完整性校验码的数据中。相对应的,接入点验证UE发送的保护消息时,也可将时间戳和序列号等信息添加在生成用于验证保护消息的完整性校验码的数据中,具体可根据实际应用场景确定。下述各个应用场景中完整性校验码的生成也可根据实际应用场景需求确定是否添加时间戳和完整性校验码,在此不再赘述。当MAC1与MAC0相匹配时,则可获取上述保护消息中携带的传输数据,进而可将上述传输数据发送到核心网。
进一步的,在一些可行的实施方式中,UE需要向目标接入点(下面简称接入点)发送传输数据时,还可对传输数据进行签名。具体的,UE可在需要向接入点发送传输数据时,从第一预存数据中获取加密公钥、GPKenc、GPKsig以及SKUE_ID_Sig。进而可根据GPKsig和SKUE_ID_Sig对传输数据进行签名以得到签名Sig2,并使用上述加密公钥、GPKenc对传输数据、UE的标识信息和上述Sig2进行加密以得到保护消息。其中,上述保护消息可携带传输数据的保护方式的指示信息。上述传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig2进行加密。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知接入点上述传输数据的保护方式。
在一些可行的实施方式中,接入点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,上述传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig2进行加密。接入点根据加密方式的指示消息确定传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig2进行加密之后,可从第二预存数据中获取GPKenc和SKBS_ID_enc,并使用SKBS_ID_enc和GPKenc对保护消息进行解密以获取传输数据。进一步的,接入点还可从保护消息解密得到的解密消息中获取UE的标识信息(如UE_ID)和上述Sig2。具体实现中,UE向接入点发送保护消息时,可在上述保护消息中携带UE_ID等标识,以供接入点根据UE_ID等标识对保护消息中的签名进行验证,以确定是否将传输数据发送到核心网。
具体实现中,接入点根据加密方式的指示消息确定传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig2进行加密之后,可从第二预存数据中获取上述GPKsig,并使用UE_ID和上述GPKsig对上述保护消息中携带的Sig2进行验证。若上述当保护消息中的Sig2验证成功,接入点则可将传输数据发送到核心网。
在本发明实施例中,UE向接入点发送上行数据时,可使用接入点的身份等信息作为加密公钥,并使用IBC技术的全局公钥对上传传输数据进行加密,可以有效解决5G网络中对空口信令及其数据的保护,防止用户隐私、信令内容的泄露。接入点对UE发送的消息进行解密和签名、完整性校验码等验证,过滤非法信令和数据,保护核心网的安全。
参见图3,图3是本发明实施例提供的保护系统在场景一中的一交互示意图。下面将结合图3,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景一中数据交互过程进行描述。其中,接入点为BS。当接入点为BS时,加密公钥可为BS_ID或者加密公钥中包含BS_ID。私钥SKBS_ID_enc和私钥SKBS_ID_Sig具体为BS对应的数据加密私钥和数据签名私钥。
在该应用场景中,UE和接入网(英文:Radio Access Network,RAN)使用IBE的技术对从UE到RAN的上行数据的传输实施了加密,但是UE不对消息提供认证信息,因此RAN对用户消息无认证能力。其中,上述RAN为接入点所属的网络,RAN可提供上述接入点的功能。在该应用场景中,RAN侧将以基站为例进行说明,UE和基站组成的系统执行数据传输包含的具体流程包括步骤:
31、基站获取IBC技术的系统参数。
具体实现中,基站可从网络中获取系统参数,其中,上述系统参数可包括加密公钥(如BS_ID)、全局公钥GPK,以及基站对应的加密或者签名的密钥SKBS_ID。当基站同时具有加密和签名的功能时,基站需要从网络中获取的系统参数包括两个全局公钥,分别为GPKenc和GPKSig,和两个私钥,分别为SKBS_ID_enc,SKBS_ID_Sig
32、基站存储IBC技术的系统参数。
其中,上述系统参数包括BS_ID,GPKenc、GPKSig,SKBS_ID_enc和SKBS_ID_Sig等。
33、UE获取IBC技术的处理参数。
具体实现中,UE从网络中获取其所属运营商的operator ID和基于IBC技术的公钥GPK。GPK可以是两个,分别对应于加密和签名,如GPKenc和GPKSig
34、基站发送广播消息。
具体实现中,广播消息中包含一个指示位(英文:indicator),该指示位(如indicator1)可用于标明消息中是否包含PKI技术的公钥,或者IBC技术的公钥,或者还可用于指明基站的身份(即BS_ID),或者用于表明基站是否支持IBE技术的加密,基站是否具有签名的能力等信息。广播消息中还可能携带时间戳或者一个消息序列号。
进一步的,基站可以使用GPKSig和私钥SKBS_ID_Sig对该消息进行签名得到Sig1。
35、UE验证消息并存储广播消息中携带的相关数据。
具体实现中,UE接收到基站发送的广播消息后,首先根据广播消息中包含的indicator1,确认基站是否支持基于公钥的加密及公钥的类型,其中,公钥的类型包括PKI公钥或者IBC公钥,本发明实施例将对IBC公钥进行描述,对PKI公钥不做限制。UE还可进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中包含一个签名(如上述Sig1),UE根据基站所属运营商获得相应的operator ID(例如上述operator ID2),并进一步确认operator ID2相对应的全局公钥GPKSig。UE使用基站的标识信息(如BS_ID)和GPKSig验证消息的合法性。如果消息合法,则存储广播消息中包含的加密公钥(如BS_ID,其中BS_ID也为基站的标识信息)、Timestamp以及Sequence number等信息。否则,UE丢弃该消息。具体实现中,上述签名和广播消息的验证可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
36、UE生成完整性校验码,并对传输数据进行加密以得到保护消息。
具体实现中,当UE需要向RAN发送信令或者无连接的小数据时,UE首先根据接收方的ID(如BS_ID)从第一预存数据中获取BS_ID相对应的加密公钥(加密公钥具体可为BS_ID或者包含BS_ID的密钥)及BS_ID相对应的系统参数(如Timestamp,Sequence number和GPKenc)。UE把用户要加密的消息输入到一个系统函数(具体可为哈希函数(Hash))中获取一个完整性校验码(如MAC0)。其中,上述用户要加密的消息可为信令(或者无连接的小数据),进一步的,上述用户要加密的消息也可包括信令(或者无连接的小数据)、Timestamp和Sequence number等。其中,timestamp或者Sequence number可以是UE最近接收到的数值。UE使用BS对应的加密公钥(BS_ID)或者全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其MAC0进行加密操作以得到保护消息。
37、UE向基站发送由上述第36步加密的保护消息。
具体实现中,上述保护消息中包含一个指示位(如indicator2),标明该保护消息是否被加密,或者该保护消息的保护方式,例如是否使用了BS_ID进行了消息的加密等。
38、基站验证UE发送的消息。
具体实现中,基站接收到UE发送的保护消息后,首先根据保护消息中携带的指示位(如indicator2)确定保护消息的保护方式。如果保护消息是使用BS_ID和GPKenc进行了加密,基站则可从其预存数据中获取BS_ID及其相对应的私钥SKBS_ID_enc、全局公钥GPKenc。进而基站可使用获取的参数(SKBS_ID_enc及其全局公钥GPKenc)对接收到的保护消息进行解密。如果消息中还包含了完整性校验码(MAC0),基站进一步根据解密得到的消息生成另一个完整性校验码(MAC1),通过MAC0和MAC1的比对来验证消息的完整性。
39、基站将解密后的消息发送到核心网。
具体实现中,若基站通过MAC0和MAC1的比对确定了保护消息的完整性,则可将保护消息中携带的传输数据发送到核心网。进一步的,完成消息验证后,基站可更新相关用户的计费信息,并发送到核心网的计费单元。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
参见图4,图4是本发明实施例提供的保护系统在场景一中的另一交互示意图。下面将结合图4,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景一中数据交互过程进行描述。其中,接入点为Wi-Fi AP。当接入点为Wi-Fi AP时,加密公钥可为Wi-Fi AP的MAC地址或者SSID。私钥SKBS_ID_enc和私钥SKBS_ID_Sig具体为Wi-Fi AP对应的数据加密私钥和数据签名私钥。
在该应用场景中,UE和Wi-Fi AP使用IBE的技术对从UE到RAN的数据实施了加密,但是UE不对消息提供认证信息,因此Wi-Fi AP对用户消息无认证能力。其中,上述RAN为接入点所属的网络,RAN可提供上述接入点的功能。在该应用场景中,RAN侧将以Wi-Fi AP为例进行说明,UE和Wi-Fi AP组成的系统执行数据传输包含的具体流程包括步骤:
41、Wi-Fi AP获取IBC技术的系统参数。
具体实现中,Wi-Fi AP可从网络中获取系统参数,其中,上述系统参数可包括加密公钥(如MAC地址或者SSID)、全局公钥GPK,以及基站对应的加密或者签名的密钥SKBS_ID。当Wi-Fi AP同时具有加密和签名的功能时,Wi-Fi AP需要从网络中获取的系统参数包括两个全局公钥,分别为GPKenc和GPKSig,和两个私钥,分别为SKBS_ID_enc,SKBS_ID_Sig
42、Wi-Fi AP存储IBC技术的系统参数。
其中,上述系统参数包括MAC地址或者SSID、GPKenc、GPKSig,SKBS_ID_enc和SKBS_ID_Sig等。
43、UE获取IBC技术的处理参数。
具体实现中,UE从网络中获取其所属运营商的operator ID和基于IBC技术的公钥GPK。GPK可以是两个,分别对应于加密和签名,如GPKenc和GPKSig
44、Wi-Fi AP发送广播消息或者单播消息。
具体实现中,上述广播消息可为Beacon,单播消息可为Probe response,下面将以广播消息为例进行说明。广播消息中包含一个指示位(英文:indicator),该指示位(如indicator1)可用于标明消息中是否包含PKI技术的公钥,或者IBC技术的公钥,或者还可用于指明Wi-Fi AP的身份(即MAC地址或者SSID),或者用于表明Wi-Fi AP是否支持IBE技术的加密,Wi-Fi AP是否具有签名的能力等信息。广播消息中还可能携带时间戳或者消息序列号。
进一步的,Wi-Fi AP可以使用MAC地址或者SSID和私钥SKBS_ID_Sig对该消息进行签名得到Sig1。
45、UE验证消息并存储广播消息或者单播消息中携带的相关数据。
具体实现中,UE接收到Wi-Fi AP发送的广播消息后,首先根据广播消息中包含的indicator1,确认Wi-Fi AP是否支持基于公钥的加密及公钥的类型,其中,公钥的类型包括PKI公钥或者IBC公钥,本发明实施例将对IBC公钥进行描述,对PKI公钥不做限制。UE还可进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中包含一个签名(如上述Sig1),UE根据Wi-Fi AP的MAC地址或者SSID进一步确认MAC地址或者SSID相对应的全局公钥GPKSig。UE使用Wi-Fi AP的标识信息(如MAC地址或者SSID)和GPKSig验证消息的合法性。如果消息合法,则存储广播消息中包含的加密公钥(如MAC地址或者SSID,其中,MAC地址或者SSID也为Wi-Fi AP的标识信息)、Timestamp以及Sequence number等信息。否则,UE丢弃该消息。具体实现中,上述签名和广播消息的验证可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
46、UE生成完整性校验码,并对传输数据进行加密以得到保护消息。
具体实现中,当UE需要向RAN发送信令或者无连接的小数据时,UE首先根据接收方的ID(如MAC地址或者SSID)从第一预存数据中获取MAC地址或者SSID相对应的加密公钥(加密公钥具体可为MAC地址或者SSID或者包含MAC地址或者SSID的密钥),以及MAC地址或者SSID相对应的系统参数(如Timestamp,Sequence number和GPKenc)。UE把用户要加密的消息输入到一个系统函数(具体可为哈希函数(Hash))中获取一个完整性校验码(如MAC0)。其中,上述用户要加密的消息可为信令(或者无连接的小数据),进一步的,上述用户要加密的消息也可包括信令(或者无连接的小数据)、Timestamp和Sequence number等。其中,timestamp或者Sequence number可以是UE最近接收到的数值。UE使用Wi-Fi AP对应的加密公钥(如MAC地址或者SSID)或者全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其MAC0进行加密操作以得到保护消息。
47、UE向Wi-Fi AP发送由上述第46步加密的保护消息。该保护消息中包含一个指示位(如indicator2),标明该保护消息是否被加密,或者该保护消息的保护方式,例如是否使用了Wi-Fi AP的MAC地址或者SSID进行了消息的加密等。
48、Wi-Fi AP进行消息验证。
具体实现中,Wi-Fi AP接受到UE发送的保护消息后,首先根据保护消息中携带的指示位(如indicator2)确定保护消息的保护方式。如果保护消息是使用MAC地址或者SSID和GPKenc进行了加密,Wi-Fi AP则可从其预存数据中获取MAC地址或者SSID及其相对应的私钥SKBS_ID_enc和全局公钥GPKenc。进而Wi-Fi AP可使用获取的参数(SKBS_ID_enc及其全局公钥GPKenc)对接收到的保护消息进行解密。如果消息中还包含了完整性校验码(MAC0),Wi-FiAP进一步根据解密得到的消息生成另一个完整性校验码(MAC1),通过MAC0和MAC1的比对来验证消息的完整性。
49、Wi-Fi AP将解密后的消息发送到核心网。
具体实现中,若Wi-Fi AP通过MAC0和MAC1的比对确定了保护消息的完整性,则可将保护消息中携带的传输数据发送到核心网。具体实现中,上述各个步骤的更多详细实现方式可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
进一步的,在一些可行的实施方式中,UE需要向接入点发送传输数据时,还可根据加密公钥、全局公钥以及UE对应的数据加密私钥等数据生成对称钥,进而可使用对称钥对传输数据进行保护。具体的,UE可在需要向接入点发送传输数据时,从第一预存数据中获取加密公钥、GPKenc以及SKUE_ID_enc。进一步的,UE可根据上述加密公钥、GPKenc以及SKUE_ID_enc生成对称钥(设定为第一对称钥K1),并将上述传输数据和上述K1输入系统函数以获取一个完整性校验码(设定为第三完整性校验码MAC2)。需要说明的是,本发明实施例中所描述的系统函数具体可为哈希函数,也可为其他可实现完整性校验码的生成的系统函数,具体可根据实际应用场景确定,在此不再做限制。
具体实现中,UE根据加密公钥、GPKenc以及SKUE_ID_enc生成K1之后,可使用上述加密公钥和上述GPKenc对传输数据、UE_ID等UE标识信息以及上述生成的MAC2进行加密以得到保护消息。进一步的,UE可在上述保护消息中携带上述传输数据的保护方式的指示信息,上述指示信息用于指示传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC2进行加密。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知接入点上述传输数据的保护方式。
在一些可行的实施方式中,接入点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC2进行加密。接入点可根据上述保护方式的指示消息确定传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC2进行加密,进而可从上述第二预存数据中获取GPKenc和SKBS_ID_enc,并使用上述SKBS_ID_enc和GPKenc对保护消息进行解密以得到解密消息。进一步的,接入点还可从上述解密消息中获取保护消息携带的MAC2、UE_ID以及传输数据,并使用上述加密公钥、UE_ID、GPKenc和SKBS_ID_enc生成对称钥K2。接入点生成上述K2之后,则可使用上述K2、UE_ID和解密得到的传输数据计算一个完整性校验码(设定为第四完整性校验码MAC3)。若上述MAC3与保护消息中携带的上述MAC2相匹配,接入点则可将上述保护消息中携带的UE发送的传输数据发送到核心网中。
需要说明的是,在本发明实施例中,同一个应用场景中,UE进行数据加密使用的加密公钥与接入点进行数据解密或者验证使用的加密公钥相同,进而可实现加密数据在接收方的正确解密。加密公钥通过广播消息等方式从传输数据接收方(即接入点)传递给传输数据发送方(即UE),传输数据发送方使用传输数据接收方提供的公钥进行数据保护,进而可避免在数据传输中携带数据加密密钥等信息造成信息泄露,增强了网络的安全性。
参见图5,图5是本发明实施例提供的保护系统在场景二中的一交互示意图。下面将结合图5,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景二中数据交互过程进行描述。其中,接入点为BS。当接入点为BS时,加密公钥可为BS_ID或者加密公钥中包含BS_ID。私钥SKBS_ID_enc和私钥SKBS_ID_Sig具体为BS对应的数据加密私钥和数据签名私钥。
在该应用场景中,与上述图3所示的应用场景提供的实现方式不同的是,UE和RAN使用IBE的技术对从UE到RAN的上行数据的传输实施了加密,并且UE对消息提供认证信息,因此RAN对用户消息有认证能力。其中,上述RAN为接入点所属的网络,RAN可提供上述接入点的功能。在该应用场景中,RAN侧将以基站为例进行说明,UE和基站组成的系统执行数据传输包含的具体流程包括步骤:
51、基站获取IBC技术的系统参数。
具体实现中,基站可从网络中获取系统参数,其中,上述系统参数可包括加密公钥(如BS_ID)、全局公钥GPK,以及基站对应的加密或者签名的密钥SKBS_ID。当基站同时具有加密和签名的功能时,基站需要从网络中获取的系统参数包括两个全局公钥,分别为GPKenc和GPKSig,和两个私钥,分别为SKBS_ID_enc,SKBS_ID_Sig
52、基站存储IBC技术的系统参数。
其中,上述系统参数包括BS_ID,GPKenc、GPKSig,SKBS_ID_enc和SKBS_ID_Sig等。
53、UE获取IBC技术的处理参数。
具体实现中,UE从网络中获取其所属运营商的operator ID1和基于IBC技术的公钥GPK以及私钥。GPK可以是两个,分别对应于加密和签名,如GPKenc和GPKSig。私钥也可以是两个,分别对应于加密和签名,如SKUE_ID_enc和SKUE_ID_sig
54、基站发送广播消息。
具体实现中,广播消息中包含一个指示位,该指示位(如indicator1)可用于标明消息中是否包含PKI技术的公钥,或者IBC技术的公钥,或者还可用于指明基站的身份(即BS_ID),或者用于表明基站是否支持IBE技术的加密,基站是否具有签名的能力等信息。广播消息中还可能携带时间戳或者一个消息序列号。
进一步的,基站可以使用BS_ID和私钥SKBS_ID_Sig对该消息进行签名得到Sig1。
55、UE验证消息并存储广播消息中携带的相关数据。
UE接收到基站发送的广播消息后,首先根据广播消息中包含的indicator1,确认基站是否支持基于公钥的加密及公钥的类型,其中,公钥的类型包括PKI公钥或者IBC公钥,本发明实施例将对IBC公钥进行描述,对PKI公钥不做限制。UE还可进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中包含一个签名(如上述Sig1),UE根据基站所属运营商获得相应的operator ID(例如上述operator ID2),并进一步确认operator ID2相对应的全局公钥GPKSig。UE使用基站的标识信息(如BS_ID)和GPKSig验证消息的合法性。如果消息合法,则存储广播消息中包含的加密公钥(如BS_ID,其中BS_ID也为基站的标识信息)、Timestamp以及Sequence number等信息。否则,UE丢弃该消息。具体实现中,上述签名和广播消息的验证可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
56、UE生成认证码,并使用加密公钥和全局公钥对传输数据进行加密以得到保护消息。
具体实现中,当UE需要向RAN发送信令或者无连接的小数据时,UE首先根据接收方的ID(如BS_ID)从第一预存数据中获取BS_ID相对应的加密公钥(加密公钥具体可为BS_ID或者包含BS_ID的密钥)及BS_ID相对应的系统参数(如Timestamp,Sequence number和GPKenc)。进一步的,UE可为需要发送的消息生成一个认证码。其中,生成认证码的方式可包括两种:
其一,UE使用私钥SKUE_ID、以及全局公钥GPKenc,以及加密公钥(即BS_ID)等数据生成一个对称钥(设定为K1)。UE把用户要加密的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号,时间戳或者序列号可以是UE最近接收到的数值,以及使用上述方法生成的K1)输入到一个系统函数中获取一个具有认证能力的完整性校验码(设定为MAC2)。
其二,UE直接使用GPKsig和SKUE_ID_sig对要发送的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号等)进行签名得到签名Sig2。
UE使用BS对应的加密公钥(BS_ID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其MAC2进行加密操作以得到保护消息。进一步的,UE也可UE使用BS对应的加密公钥(BS_ID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其Sig2进行加密操作以得到保护消息。
57、UE向基站发送由上述第56步加密的保护消息。
该保护消息中包含一个指示位(如indicator2),标明该保护消息是否被加密,或者该保护消息的保护方式,例如是否使用了BS_ID进行了消息的加密等。
58、基站对保护消息进行验证。
具体实现中,基站接收到UE发送的保护消息后,首先根据保护消息中携带的指示位(如indicator2)确定保护消息的保护方式。如果保护消息是使用BS_ID和GPKenc进行了加密,基站则可从其预存数据中获取BS_ID及其相对应的私钥SKBS_ID_enc、全局公钥GPKenc。进而基站可使用获取的参数(SKBS_ID_enc及其全局公钥GPKenc)对接收到的保护消息进行解密。
如果消息中还包含了认证码(完整性校验码或者签名),基站则需进一步验证消息的完整性。如果消息使用了对称钥K1进行了完整性保护,则基站使用私钥SKBS_ID_enc、全局公钥GPKenc,以及UE_ID生成对称密钥K2,然后使用K2和UE_ID以及对保护消息进行解密得到的传输数据计算一个完整性校验码MAC3。通过MAC3和MAC2的比对来进行保护消息的验证。如果UE对该保护消息进行了签名,基站则使用消息中携带的UE_ID,结合全局公钥GPKsig(进一步的,还可包括其他参数如时间戳或者序列号等)对保护消息进行认证。
59、基站将解密后的消息发送到核心网。
具体实现中,若基站通过MAC3和MAC2的比对或者Sig2的验证确定了保护消息的完整性,则可将保护消息中携带的传输数据发送到核心网。具体实现中,上述各个步骤的更多详细实现方式可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
参见图6,图6是本发明实施例提供的保护系统在场景二中的另一交互示意图。下面将结合图6,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景二中数据交互过程进行描述。其中,接入点为Wi-Fi AP。当接入点为Wi-Fi AP时,加密公钥可为Wi-Fi AP的MAC地址或者SSID。私钥SKBS_ID_enc和私钥SKBS_ID_Sig具体为Wi-Fi AP对应的数据加密私钥和数据签名私钥。
在该应用场景中,与上述图3所示的应用场景提供的实现方式不同的是,UE和RAN使用IBE的技术对从UE到RAN的上行数据的传输实施了加密,并且UE对消息提供认证信息,因此RAN对用户消息有认证能力。其中,上述RAN为接入点所属的网络,RAN可提供上述接入点的功能。在该应用场景中,RAN侧将以Wi-Fi AP为例进行说明,UE和Wi-Fi AP组成的系统执行数据传输包含的具体流程包括步骤:
61、Wi-Fi AP获取IBC技术的系统参数。
具体实现中,Wi-Fi AP可从网络中获取系统参数,其中,上述系统参数可包括加密公钥(如MAC地址或者SSID)、全局公钥GPK,以及Wi-Fi AP对应的加密或者签名的密钥SKBS_ID。当Wi-Fi AP同时具有加密和签名的功能时,Wi-Fi AP需要从网络中获取的系统参数包括两个全局公钥,分别为GPKenc和GPKSig,和两个私钥,分别为SKBS_ID_enc,SKBS_ID_Sig
62、Wi-Fi AP存储IBC技术的系统参数。
其中,上述系统参数包括MAC地址或者SSID,GPKenc、GPKSig,SKBS_ID_enc和SKBS_ID_Sig等。
63、UE获取IBC技术的处理参数。
具体实现中,UE从网络中获取其MAC地址和基于IBC技术的公钥GPK以及私钥。GPK可以是两个,分别对应于加密和签名,如GPKenc和GPKSig。私钥也可以是两个,分别对应于加密和签名,如SKMAC_enc和SKMAC_sig
64、Wi-Fi AP发送广播消息或者单播消息。
具体实现中,上述广播消息可为Beacon,单播消息可为Probe response,下面将以广播消息为例进行说明。广播消息中包含一个指示位(英文:indicator),该指示位(如indicator1)可用于标明消息中是否包含PKI技术的公钥,或者IBC技术的公钥,或者还可用于指明Wi-Fi AP的身份(即MAC地址或者SSID),或者用于表明Wi-Fi AP是否支持IBE技术的加密,Wi-Fi AP是否具有签名的能力等信息。广播消息中还可能携带时间戳或者消息序列号。
进一步的,Wi-Fi AP可以使用MAC地址或者SSID和私钥SKBS_ID_Sig对该消息进行签名得到Sig1。
65、UE验证消息并存储广播消息中携带的相关数据。
具体实现中,UE接收到Wi-Fi AP发送的广播消息后,首先根据广播消息中包含的indicator1,确认Wi-Fi AP是否支持基于公钥的加密及公钥的类型,其中,公钥的类型包括PKI公钥或者IBC公钥,本发明实施例将对IBC公钥进行描述,对PKI公钥不做限制。UE还可进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中包含一个签名(如上述Sig1),UE根据Wi-Fi AP的MAC地址或者SSID进一步确认MAC地址或者SSID相对应的全局公钥GPKSig。UE使用Wi-Fi AP的标识信息(如MAC地址或者SSID)和GPKSig验证消息的合法性。如果消息合法,则存储广播消息中包含的加密公钥(如MAC地址或者SSID,其中MAC地址或者SSID也为基站的标识信息)、Timestamp以及Sequence number等信息。否则,UE丢弃该消息。具体实现中,上述签名和广播消息的验证可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
66、UE生成认证码,并使用加密公钥和全局公钥对传输数据进行加密以得到保护消息。
具体实现中,当UE需要向RAN发送信令或者无连接的小数据时,UE首先根据接收方的ID(如MAC地址或者SSID)从第一预存数据中获取MAC地址或者SSID相对应的加密公钥(加密公钥具体可为MAC地址或者SSID,或者包含MAC地址或者SSID的密钥)及MAC地址或者SSID相对应的系统参数(如Timestamp,Sequence number和GPKenc)。进一步的,UE可为需要发送的消息生成一个认证码。其中,生成认证码的方式可包括两种:
其一,UE使用私钥SKMAC_enc、以及全局公钥GPKenc,以及自己的MAC地址或者SSID等数据生成一个对称钥(设定为K1)。UE把用户要加密的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号,时间戳或者序列号可以是UE最近接收到的数值,以及使用上述方法生成的K1)输入到一个系统函数中获取一个具有认证能力的完整性校验码(设定为MAC2)。
其二,UE直接使用GPKsig和SKMAC_sig对要发送的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号等)进行签名得到签名Sig2。
UE使用WiFi AP对应的加密公钥(MAC地址或者SSID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其MAC2进行加密操作以得到保护消息。进一步的,UE也可UE使用WiFi AP对应的加密公钥(MAC地址或者SSID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其Sig2进行加密操作以得到保护消息。
67、UE向Wi-Fi AP发送由上述第56步加密的保护消息。
该保护消息中包含一个指示位(如indicator2),标明该保护消息是否被加密,或者该保护消息的保护方式,例如是否使用了WiFi AP的MAC地址或者SSID进行了消息的加密等。
68、Wi-Fi AP进行消息验证。
具体实现中,Wi-Fi AP接收到UE发送的保护消息后,首先根据保护消息中携带的指示位(如indicator2)确定保护消息的保护方式。如果保护消息是使用WiFi AP的MAC地址或者SSID、和GPKenc进行了加密,Wi-Fi AP则可从其预存数据中获取WiFi AP的MAC地址或者SSID及其相对应的私钥SKBS_ID_enc、全局公钥GPKenc。进而基站可使用获取的参数(SKBS_ID_enc及其全局公钥GPKenc)对接收到的保护消息进行解密。
如果消息中还包含了认证码(完整性校验码或者签名),Wi-Fi AP则需进一步验证消息的完整性。如果消息使用了对称钥K1进行了完整性保护,则Wi-Fi AP使用加密公钥(如WiFi AP的MAC地址或者SSID)、私钥SKBS_ID_enc、全局公钥GPKenc,以及UE_ID生成对称密钥K2,然后使用K2和UE_ID以及对保护消息进行解密得到的传输数据计算一个完整性校验码MAC3。通过MAC3和MAC2的比对来进行保护消息的验证。如果UE对该保护消息进行了签名,Wi-Fi AP则使用消息中携带的UE_ID,结合全局公钥GPKsig(进一步的,还可包括其他参数如时间戳或者序列号等)对保护消息进行认证。
69、Wi-Fi AP将解密后的消息发送到核心网。
具体实现中,若Wi-Fi AP通过MAC3和MAC2的比对或者Sig2的验证确定了保护消息的完整性,则可将保护消息中携带的传输数据发送到核心网。具体实现中,上述各个步骤的更多详细实现方式可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
参见图7,图7是本发明实施例提供的保护系统在场景三中的交互示意图。下面将结合图7,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景三中数据交互过程进行描述。其中,接入点为BS。当接入点为BS时,加密公钥可为BS_ID或者加密公钥中包含BS_ID。私钥SKBS_ID_enc和私钥SKBS_ID_Sig具体为BS对应的数据加密私钥和数据签名私钥。
在该应用场景中,与上述图3所示的应用场景提供的实现方式不同的是,UE和RAN使用IBE的技术对从UE到RAN的上行数据的传输实施了加密,并且UE对消息提供认证信息,因此RAN对用户消息有认证能力。其中,上述RAN为接入点所属的网络,RAN可提供上述接入点的功能。在该应用场景中,UE和RAN组成的系统还可和核心网中的网元进行数据交互,其中,核心网中的网元包括:用户面网关(英文:User Plane Gateway,UP-GW)、KMS和控制面认证单元(英文:Control Plane Authentication Unit,CP-AU)等。下面RAN侧将以基站为例进行说明,UE和基站组成的系统执行数据传输包含的具体流程包括步骤:
71、基站获取IBC技术的系统参数。
具体实现中,基站可从KMS中获取系统参数,其中,上述系统参数可包括加密公钥(如BS_ID)、全局公钥GPK,以及基站对应的加密或者签名的密钥SKBS_ID。当基站同时具有加密和签名的功能时,基站需要从网络中获取的系统参数包括两个全局公钥,分别为GPKenc和GPKSig,两个私钥,分别为SKBS_ID_enc,SKBS_ID_Sig
72、基站存储IBC技术的系统参数。
其中,上述系统参数包括BS_ID,GPKenc、GPKSig,SKBS_ID_enc和SKBS_ID_Sig等。
73、UP-GW从KMS获取IBC技术的系统参数。
其中,上述UP-GW从KMS获取的系统参数包括GPKenc和GPKSig,分别用于加密和签名。
74、UE与核心网进行交互认证。
其中,UE与核心网进行交互认证时可核心网中的认证单元可为3GPP TR 23.799中定义的CP-AU,具体认证方式可参见3GPP TR 23.799中描述的实现方式,在此不再赘述。
75、UE通知核心网的KMS与核心网认证成功。
76、UE获取IBC技术的处理参数。
具体实现中,UE从KMS获取其所属运营商的operator ID和基于IBC技术的公钥GPK以及私钥。GPK可以是两个,分别对应于加密和签名,如GPKenc和GPKSig。私钥也可以是两个,分别对应于加密和签名,如SKUE_ID_enc和SKUE_ID_sig
77、基站发送广播消息。
具体实现中,广播消息中包含一个指示位,该指示位(如indicator1)可用于标明消息中是否包含PKI技术的公钥,或者IBC技术的公钥,或者还可用于指明基站的身份(即BS_ID),或者用于表明基站是否支持IBE技术的加密,基站是否具有签名的能力等信息。广播消息中还可能携带时间戳或者一个消息序列号。
进一步的,基站可以使用BS_ID和私钥SKBS_ID_Sig对该消息进行签名得到Sig1。
78、UE验证消息并存储广播消息中携带的相关数据。
具体实现中,UE接收到基站发送的广播消息后,首先根据广播消息中包含的indicator1,确认基站是否支持基于公钥的加密及公钥的类型,其中,公钥的类型包括PKI公钥或者IBC公钥,本发明实施例将对IBC公钥进行描述,对PKI公钥不做限制。UE还可进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中包含一个签名(如上述Sig1),UE根据基站所属运营商获得相应的operator ID(例如上述operator ID2),并进一步确认operator ID2相对应的全局公钥GPKSig。UE使用基站的标识信息(如BS_ID)和GPKSig验证消息的合法性。如果消息合法,则存储广播消息中包含的加密公钥(如BS_ID,其中BS_ID也为基站的标识信息)、Timestamp以及Sequence number等信息。否则,UE丢弃该消息。具体实现中,上述签名和广播消息的验证可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
79、UE生成认证码,并使用加密公钥和全局公钥对传输数据进行加密以得到保护消息。
具体实现中,当UE需要向RAN发送信令或者无连接的小数据时,UE首先根据接收方的ID(如BS_ID)从第一预存数据中获取BS_ID相对应的加密公钥(加密公钥具体可为BS_ID或者包含BS_ID的密钥)及BS_ID相对应的系统参数(如Timestamp,Sequence number和GPKenc)。进一步的,UE可为需要发送的消息生成一个认证码。其中,生成认证码的方式可包括两种:
其一,UE使用私钥SKUE_ID、以及全局公钥GPKenc,以及加密公钥(即BS_ID)等数据生成一个对称钥(设定为K1)。UE把用户要加密的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号,时间戳或者序列号可以是UE最近接收到的数值,以及使用上述方法生成的K1)输入到一个系统函数中获取一个具有认证能力的完整性校验码(设定为MAC2)。
其二,UE直接使用GPKsig和SKUE_ID_sig对要发送的消息(即传输数据,例如信令或者无连接的小数据,进一步的还可包括一个时间戳或者序列号等)进行签名得到签名Sig2。
UE使用BS对应的加密公钥(BS_ID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其MAC2进行加密操作以得到保护消息。进一步的,UE也可UE使用BS对应的加密公钥(BS_ID)和全局公钥GPKenc对要发送的信令(或者无连接的小数据)及其Sig2进行加密操作以得到保护消息。
711、UE向基站发送由上述第79步加密的保护消息。
具体实现中,上述保护消息中包含一个指示位(如indicator2),标明该保护消息是否被加密,或者该保护消息的保护方式,例如是否使用了BS_ID进行了消息的加密,以及是否使用了UE_ID进行了消息的签名等。
712、基站验证UE发送的消息。
具体实现中,基站接收到UE发送的保护消息后,首先根据保护消息中携带的指示位(如indicator2)确定保护消息的保护方式。如果保护消息是使用BS_ID和GPKenc进行了加密,基站则可从其预存数据中获取BS_ID及其相对应的私钥SKBS_ID_enc、全局公钥GPKenc。进而基站可使用获取的参数(SKBS_ID_enc及其全局公钥GPKenc)对接收到的保护消息进行解密。
如果消息中还包含了认证码(完整性校验码或者签名),基站则需进一步验证消息的完整性。如果消息使用了对称钥K1进行了完整性保护,则基站使用加密公钥(如BS_ID)、私钥SKBS_ID_enc、全局公钥GPKenc,以及UE_ID生成对称密钥K2,然后使用K2和UE_ID以及对保护消息进行解密得到的传输数据计算一个完整性校验码MAC3。通过MAC3和MAC2的比对来进行保护消息的验证。如果UE对该保护消息进行了签名,基站则使用消息中携带的UE_ID,结合全局公钥GPKsig(进一步的,还可包括其他参数如时间戳或者序列号等)对保护消息进行认证。
713、基站将解密后的消息发送到核心网。
具体实现中,基站对保护消息认证通过之后,可将解密后的消息发送给核心网的UP-GW。其中,发送给UP-GW的消息中包含UE_ID和UE使用SKUE_ID_sig对消息产生的签名等信息。
714、UP-GW验证消息。
具体实现中,UP-GW接收到消息之后,可使用GPKsig和UE_ID对消息中携带的签名进行验证。具体验证方式可参见上述各个应用场景中描述的签名的验证方式,在此不再赘述。验证通过后,则进一步转发给其它路由器或者服务器。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S201-S206中各个步骤的相关描述,在此不再赘述。
参见图8,图8是本发明实施例提供的保护系统在场景四中的交互示意图。下面将结合图8,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景四中数据交互过程进行描述。其中,接入点为BS。
在该应用场景中,数据的加密和解密是基于PKI,密钥为基于PKI的公钥和私钥。UE和RAN可使用PKI技术,结合上述使用IBC技术的相同原理的实现方式实现传输数据的保护。在该用于场景中,UE和RAN使用PKI的技术对从UE到RAN的数据实施了加密,但是UE不对消息提供认证信息,因此RAN对用户消息无认证能力。具体流程包括如下步骤:
81、基站获取基于PKI技术的系统参数。
具体实现中,上述系统参数包括基站的身份(如BS_ID),基站用于加密的公钥PK1及其证书和解密的公钥PK2及其证书,用于加密的私钥SK1和用于解密的私钥SK2等。
82、基站存储基于PKI技术的系统参数。
具体实现中,上述系统参数包括BS_ID,PK1、PK2、SK1和SK2等。
83、UE从网络获取运营商的operator ID和基于PKI技术的PK1和PK2等。
84、基站发送广播消息。
具体实现中,广播消息中包含一个指示位(如indicator3),该指示位标明消息中是否包含基于PKI的公钥PK(包括PK1和PK2)及其证书。
85、UE使用PKI密钥验证广播消息。
具体实现中,UE接收到基站发送的广播消息后,首先根据广播消息中包含的indicator3,确认基站是否支持基于PKI公钥的加密。UE进一步确认消息中的Timestamp或者sequence number是否合法。UE还要确定消息中是否携带了签名。如果广播消息中还包含一个签名,UE使用PK2验证消息的合法性。如果消息合法,则存储BS_ID,PK1和PK2,进一步的,还可存储Timestamp,或者Sequence number等。否则,如果消息不合法,UE丢弃该消息。
86、UE进行传输数据的保护。
具体实现中,当UE需要向网络侧发送传输数据(包括信令或者是无连接的小数据)时,UE首先根据基站的BS_ID获取相应的加密公钥PK1,及其Timestamp和Sequence number等数据,并将获取的上述数据输入到一个系统函数中获取一个完整性校验码(设为MAC8)。UE使用BS_ID和PK1对要发送的消息及其MAC8进行加密操作。
87、UE向基站发送由上述第86步加密的消息。
具体实现中,上述消息中包含一个指示位(如indicator4),标明该消息是否被加密,或者是否使用了基站的基于PKI的公钥进行了加密。
88、基站验证消息。
具体实现中,基站接收到UE发送的消息后,首先根据消息中携带的指示位确定消息的加密方式。如果消息是使用PKI公钥PK1进行了加密,基站获取基站相对应的私钥SK1并使用获取的SK1等参数对接收到消息进行解密。如果消息中还包含了完整性保护码,基站进一步根据SK1等参数验证消息的完整性。
89、基站将解密后的消息发送到核心网。
具体实现中,上述各个步骤的更多详细实现方式可参见上述基于IBS技术的各个应用场景中各个步骤的相关描述,在此不再赘述。
参见图9,是本发明实施例提供的数据传输的另一传输架构图。在图9所示的传输架构中,可包括UE、接入点和核心网节点等数据传输端。其中,接入点可包括BS,Wi-FiAP或者作为网络热点的热点UE。其中,上述BS可为3G网络中的NB,也可为4G网络中的eNB,或者更前的网络时代中的基站,在此不做限制。本发明实施例将以BS为例进行说明。
其中,上述核心网节点可包括:CP-AU、HSS、控制面功能(英文:Control PlaneFunction,CP-Function)或者KMS等。
参见图10,图10是本发明实施例提供的传输数据的保护系统进行数据传输的另一交互示意图。本发明实施例提供的保护系统中各个数据传输端进行数据传输的过程可包括步骤:
S901,UE在需要发送传输数据时,从其第一预存数据中获取加密公钥、全局公钥或者UE对应的私钥对传输数据进行保护以得到保护消息。
S902,UE向接入点发送保护消息。
S903,接入点向核心网节点发送保护消息。
S904,核心网节点在接收到保护消息之后,根据保护方式的指示消息从其第二预存数据中获取全局公钥和核心网节点对应的私钥对保护消息进行解析。
在一些可行的实施方式中,UE发送通过BS发送传输数据到核心网之前,可与核心网进行交互认证。具体的,核心网节点可预先从KMS获取系统参数,并将获取的系统参数存储在核心网节点的指定存储空间,即可将获取的系统参数存储为核心网节点的预存数据(设为第二预存数据)。其中,核心网节点从KMS获取的系统参数可包括加密公钥,或者第一全局公钥和第五私钥,或者第二全局公钥和第六私钥等。其中,核心网节点从KMS获取的系统参数具体包含的信息可根据核心网节点在实际应用场景中执行的数据传输操作的需求确定,在此不做限制。
具体实现中,上述加密公钥可为核心网节点的标识,如核心网节点的ID,或者上述加密公钥包含核心网节点的ID等。若具体应用场景中,上述核心网节点为CP_AU,则上述加密公钥可为CP-AU的身份(即CP_AU_ID),或者上述加密公钥包含CP_AU_ID。其中,上述加密公钥包含CP_AU_ID表示上述加密公钥由CP_AU_ID和其他数据构成,CP_AU_ID只是加密公钥的长串数据中的一部分数据,具体可根据时间采用的加密公钥的数据形式确定,在此不做限制。
若具体应用场景中,上述接入点为HSS,则上述加密公钥可为HSS_ID,或者上述加密公钥包含HSS_ID。具体实现中,接入点为HSS时,加密公钥的具体组成形式可根据实际应用场景确定,在此不做限制。
进一步的,具体实现中,上述接入点从KMS获取的第一全局公钥可为IBC技术的数据加密全局公钥GPKenc。第五私钥可使用IBC技术根据核心网节点的ID和上述GPKenc生成的核心网节点对应的数据加密私钥SKCP_ID_enc。其中,上述CP-AU和HSS在数据传输中都作为核心网节点,上述生成数据加密私钥时使用的核心网节点的ID包括CP_AU_ID和HSS_ID,因此核心网节点对应的数据加密私钥均表示为SKCP_ID_enc。上述第二全局公钥为IBC技术的数据签名全局公钥GPKSig。第六私钥为使用IBC技术根据核心网节点的ID和上述GPKSig生成的核心网节点对应的数据签名私钥SKCP_ID_Sig
在一些可行的实施方式中,UE可从核心网获取加密公钥和用于处理传输数据的核心网处理参数,并将上述加密公钥和核心网处理参数存储为UE的第一预存数据。其中,上述核心网处理参数可包括全局公钥或者UE对应的私钥等。其中,上述全局公钥包括第一全局公钥和第二全局公钥,上述私钥包括第三私钥和第四私钥。其中,上述第一全局公钥为与核心网节点获取的第一全局公钥相同的数据加密全局公钥GPKenc。上述第二全局公钥为与核心网节点获取的第二全局公钥相同的数据签名全局公钥GPKsig。上述第三私钥可使用IBC技术根据UE_ID和上述GPKenc生成的UE对应的数据加密私钥SKUE_ID_enc。上述第四私钥为使用IBC技术根据UE_ID和上述GPKsig生成的UE对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,UE可在需要向接入点发送传输数据时,可根据核心网节点的ID等标识信息从第一预存数据中获取核心网节点对应的加密公钥和GPKenc。例如,若上述核心网节点为CP-AU,则可根据CP_AU_ID从第一预存数据中获取加密公钥,其中,加密公钥可为CP_AU_ID,或者加密公钥包含CP_AU_ID。进一步的,UE可使用加密公钥、GPKenc对传输数据进行加密以得到保护消息。其中,上述保护消息可携带传输数据的保护方式的指示信息。上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据进行加密。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知核心网节点上述传输数据的保护方式。接入点接收到上述保护消息之后,可向核心网节点转发上述保护消息以及上述保护消息中携带的指示信息等。
在一些可行的实施方式中,核心网节点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,若上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据进行加密,核心网节点则可从第二预存数据中获取SKCP_ID_enc和GPKenc,并使用SKBS_ID_enc和GPKenc对保护消息进行解密以得到解密消息。
进一步的,在一些可行的实施方式中,UE需要向核心网节点发送传输数据时,还可对传输数据进行签名。具体的,UE可在需要向核心网节点发送传输数据时,从第一预存数据中获取加密公钥、GPKenc、GPKsig以及SKUE_ID_Sig。进而可根据GPKsig和SKUE_ID_Sig对传输数据进行签名以得到签名Sig3,并使用上述加密公钥、GPKenc对传输数据、UE的标识信息和上述Sig3进行加密以得到保护消息。其中,上述保护消息可携带传输数据的保护方式的指示信息。上述传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig3进行加密。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。接入点可将上述保护消息转发给核心网节点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知接入点上述传输数据的保护方式。
在一些可行的实施方式中,核心网节点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,上述传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig3进行加密。核心网节点根据加密方式的指示消息确定传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig3进行加密之后,可从第二预存数据中获取GPKenc和SKCP_ID_enc,并使用SKCP_ID_enc和GPKenc对保护消息进行解密以获取传输数据。进一步的,核心网节点还可从保护消息解密得到的解密消息中获取UE的标识信息(如UE_ID)和上述Sig3。具体实现中,UE向核心网节点发送保护消息时,可在上述保护消息中携带UE_ID等标识,以供核心网节点根据UE_ID等标识对保护消息中的签名进行验证。
具体实现中,核心网节点根据加密方式的指示消息确定传输数据的保护方式为使用加密公钥、GPKenc对传输数据以及上述Sig3进行加密之后,可从第二预存数据中获取上述GPKsig,并使用UE_ID和上述GPKsig对上述保护消息中携带的Sig3进行验证。若上述当保护消息中的Sig3验证成功,核心网节点则可将传输数据发送到核心网中的相关网元。
进一步的,在一些可行的实施方式中,UE需要向核心网节点发送传输数据时,还可根据加密公钥、全局公钥以及UE对应的数据加密私钥等数据生成对称钥K3,进而可使用对称钥对传输数据进行保护。具体的,UE可在需要向核心网节点发送传输数据时,从第一预存数据中获取加密公钥、GPKenc以及SKUE_ID_enc。进一步的,UE可根据上述加密公钥、GPKenc以及SKUE_ID_enc生成对称钥(设定为K3),并将上述传输数据和上述K3输入系统函数以获取一个完整性校验码(设定为第四完整性校验码MAC3)。需要说明的是,本发明实施例中所描述的系统函数具体可为哈希函数,也可为其他可实现完整性校验码的生成的系统函数,具体可根据实际应用场景确定,在此不再做限制。
具体实现中,UE根据加密公钥、GPKenc以及SKUE_ID_enc生成K3之后,可使用上述加密公钥和上述GPKenc对传输数据、UE_ID等UE标识信息以及上述生成的MAC3进行加密以得到保护消息。进一步的,UE可在上述保护消息中携带上述传输数据的保护方式的指示信息,上述指示信息用于指示传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC3进行加密。
具体实现中,UE对传输数据进行加密得到保护消息之后,则可将上述保护消息发送给接入点。接入点可将上述保护消息发送给核心网节点。其中,上述保护消息可包含一个指示位,上述指示位用于传输上述指示信息,用于告知接入点上述传输数据的保护方式。
在一些可行的实施方式中,核心网节点接到上述保护消息之后,可首先根据上述保护消息确定传输数据的保护方式,进而可根据保护方式从第二预存数据中获取相关的数据对传输数据进行解析。其中,上述传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC3进行加密。核心网节点可根据上述保护方式的指示消息确定传输数据的保护方式为使用加密公钥和GPKenc对传输数据、UE_ID以及MAC3进行加密,进而可从上述第二预存数据中获取GPKenc和SKCP_ID_enc,并使用上述SKCP_ID_enc和GPKenc对保护消息进行解密以得到解密消息。进一步的,核心网节点还可从上述解密消息中获取保护消息携带的MAC3、UE_ID以及传输数据,并使用上述加密公钥、UE_ID、GPKenc和SKCP_ID_enc生成对称钥K4。核心网节点生成上述K4之后,则可使用上述K4、UE_ID和解密得到的传输数据计算一个完整性校验码(设定为第五完整性校验码MAC4)。若上述MAC4与保护消息中携带的上述MAC3相匹配,核心网节点则可将上述保护消息中携带的UE发送的传输数据发送到核心网中相关网元。
需要说明的是,在本发明实施例中,同一个应用场景中,UE进行数据加密使用的加密公钥与核心网节点进行数据解密或者验证使用的加密公钥相同,进而可实现加密数据在接收方的正确解密。加密公钥通过KMS下发等方式从核心网传递给UE,传输数据发送方使用传输数据接收方提供的公钥进行数据保护,进而可避免在数据传输中携带数据加密密钥等信息造成信息泄露,增强了网络的安全性。
在本发明实施例中,UE向核心网节点发送上行数据时,可使用核心网节点的身份等信息作为加密公钥,并使用IBC技术的全局公钥和核心网节点对应的私钥对上传传输数据进行加密,可以有效解决5G网络中对空口信令及其数据的保护,防止用户隐私、信令内容的泄露。核心网节点对UE发送的消息进行解密和签名、完整性校验码等验证,过滤非法信令和数据,保护核心网的安全。
参见图11,图11是本发明实施例提供的保护系统在场景五中的一交互示意图。下面将结合图11,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景五中数据交互过程进行描述。其中,上述核心网节点具体可为CP-AU,则对应的加密公钥则为CP_AU_ID或者包含CP_AU_ID。
在该应用场景中,UE和CP-AU使用基于IBC的技术对从UE到核心网的信令和数据实施了加密,具体流程如下步骤:
111、CP-AU获取基于IBC的系统参数。
具体实现中,CP-AU可从KMS中获取系统参数。其中,上述系统参数包括CP_AU_ID,GPKenc,GPKsig,SKCP_AU_ID_enc以及SKCP_AU_ID_sig等。CP-AU获取得到上述系统参数之后可将上述系统参数存储为其预存数据。
112、UE与CP-AU完成交互认证。
UE与CP-AU认证完成之后,UE告知CP-AU该UE支持基于IBC的加密能力。
113、UE从核心网获取核心网处理参数。
其中,上述核心网处理参数包括CP_AU_ID、GPKsig和GPKenc,或者还包含UE_ID、SKUE_ID_enc和SKUE_ID_sig
114、UE存储上述步骤113获取的核心网处理参数。
进一步的,UE可将上述核心网处理参数存储为其预存数据。
115、UE根据核心网处理参数对需要发送的传输数据进行保护。
具体实现中,UE收到应用需要发送的信令或者数据,从第一预存数据中获取CP_AU_ID,GPKsig,GPKenc等参数,UE使用GPKsig和SKUE_ID_sig对信令或者数据进行签名,UE还可使用CP_AU_ID和GPKenc对数据或者信令进行加密以得到保护消息。
116、UE将加密后的信令或者数据发给基站。
117、基站向CP-AU转发加密后的信令或者数据。
118、CP-AU验证收到的信令或者数据。
CP-AU使用GPKenc和SKCP_AU_ID_enc解密数据或者信令,进一步的,CP-AU还可使用UE_ID和GPKsig对保护消息中携带的签名进行验证。具体实现中,上述CP-AU对保护消息中的加密数据进行解密以及保护消息中的签名进行验证的具体实现方式可参见上述各个应用场景中各个步骤描述的实现方式,在此不再赘述。
119、CP-AU转发数据。
具体实现中,CP-AU对保护消息进行解密和验证之后,若判断得接收到的消息是用户面数据包,CP-AU则可根据解密后的数据包中包含的地址信息,向相对应的核心网数据网关(如UP_GW)转发数据。若判断得接收到的消息是信令消息时,CP-AU则可根据解密后的数据包中包含的信息,自己处理或者向相对应的核心网节点(如HSS)发送信令。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S901-S904中各个步骤的相关描述,在此不再赘述。
参见图12,图12是本发明实施例提供的保护系统在场景五中的另一交互示意图。下面将结合图12,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景五中数据交互过程进行描述。其中,上述核心网节点具体可为HSS,则对应的加密公钥则为HSS_ID或者包含HSS_ID。
在该应用场景中,UE和HSS使用基于IBC的技术对从UE到核心网的信令和数据实施了加密,具体流程如下步骤:
121、HSS获取基于IBC的系统参数。
具体实现中,HSS可从KMS中获取系统参数,其中,上述系统参数可包括HSS_ID、GPKenc、GPKsig、SKHSS_ID_enc和SKHSS_ID_sig等。HSS可将上述系统参数存储为其预存数据。
122、UE与CP-AU完成交互认证。
具体实现中,UE与CP-AU完成交互认证之后,还可告知CP-AU该UE支持基于IBC的加密或者认证等能力。
123、UE从核心网获取核心网处理参数。
其中,上述核心网处理参数可包括:HSS_ID、GPKsig和GPKenc等。
124、UE存储上述步骤123获取的核心网处理参数。
进一步的,UE可将获取的核心网处理参数存储为其预存数据。
125、UE根据核心网处理参数对需要发送的传输数据进行保护。
具体实现中,UE收到应用需要发送的信令(如attach消息)时,可从第一预存数据中获取HSS_ID、GPKsig和GPKenc等参数,使用HSS_ID和GPKenc对信令加密以得到保护消息。
126、UE将加密后的信令发送给基站。
其中,上述加密后的信令中携带HSS_ID。
127、基站向CP-AU转发加密后的信令。
128、CP-AU向HSS转发加密后的信令。
129、HSS解密信令。
具体实现中,HSS使用HSS_ID、GPKenc和SKHSS_ID_enc等参数解密信令并与UE开展后续信令交互。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S901-S904中各个步骤的相关描述,在此不再赘述。
参见图13,图13是本发明实施例提供的保护系统在场景五中的另一交互示意图。下面将结合图13,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景五中数据交互过程进行描述。其中,上述核心网节点具体可为CP-AU和CP-Function,则对应的加密公钥则为CP_AU_ID或者包含CP_AU_ID。
在该应用场景中,UE和CP-AU使用基于IBC的技术对从UE到核心网的信令和数据实施了加密,具体流程如下步骤:
131、UE与CP-AU进行交互认证。
具体实现中,UE与CP-AU进行相互认证成功之后,UE可告知CP-AU其支持的基于IBC的加密和认证等能力。
132、UE从核心网获取核心网处理参数。
具体实现中,上述核心网处理参数可包括CP_AU_ID、GPKsig、GPKenc和SKUE_ID等。
133、UE存储上述步骤132获取的核心网处理参数。
具体实现中,UE可将获取得到的核心网处理参数存储为其预存数据。
134、UE对传输数据进行保护。
具体实现中,UE收到应用需要发送的传输数据之后,可从其预存数据中获取CP_AU_ID、GPKsig和GPKenc等参数,UE使用CP_AU_ID、SKUE_ID、GPKsig和GPKenc等参数生成对称密钥K3,使用K3对数据进行加密并提供完整性保护MAC3以得到保护消息。
135、UE将上述保护消息发送给基站。
其中,上述保护消息中携带UE_ID,传输数据和MAC3等,其中包含UE_ID具体可为全球唯一临时UE标识(英文:Globally Unique Temporary UE Identity,GUTI)。
136、基站向核心网的CP-Function转发数据。
其中,上述CP-Function是核心网专门处理小数据的节点。
137、CP-Function获取解密数据。
CP-Function可使用GUTI获取UE_ID,并使用UE_ID,SKCP_AU_ID、GPKenc或者GPKsig生成对称密钥K4。进一步的,可根据K4和UE_ID以及保护消息对消息中包含的MAC3进行验证并获取传输数据。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S901-S904中各个步骤的相关描述,在此不再赘述。
参见图14,是本发明实施例提供的数据传输的另一传输架构图。在图14所示的传输架构中,可包括UE、接入点和核心网节点等数据传输端。其中,接入点可包括基站(英文:Base Station,BS),无线保真(英文:Wireless-Fidelity,Wi-Fi)网络中的接入点(英文:Access Point,AP)或者作为网络热点的热点UE。其中,上述BS可为3G网络中的基站(英文:Node B,NB),也可为4G网络中的演进性基站(英文:Evolved Node B,eNB),或者更前的网络时代中的基站,在此不做限制。本发明实施例将以BS为例进行说明。
其中,上述核心网节点可包括:核心网认证节点CP-AU、HSS、CP-Function或者UP-Function等。
参见图15,图15是本发明实施例提供的传输数据的保护系统进行下行数据传输的交互示意图。本发明实施例提供的保护系统中各个数据传输端进行数据传输的过程可包括步骤:
S1501,核心网节点接收用户面网关下发的传输数据。
进一步的,核心网节点还可从其第二预存数据中获取UE的标识信息、基于身份的密码IBC技术的全局公钥以及核心网节点对应的私钥等数据。
S1502,核心网节点使用UE的标识信息、全局公钥和其对应的私钥对传输数据进行保护以得到保护消息,并将保护消息发送给接入点。
S1503,接入点用于将保护消息发送给UE。
S1504,UE从其第一预存数据中获取所述核心网节点的标识,全局公钥和UE对应的私钥对保护消息进行解析以得到传输数据。
在一些可行的实施方式中,上述全局公钥包括第一全局公钥和第二全局公钥,上述核心网节点对应的私钥包括第五私钥和第六私钥。核心网节点可从网络或者KMS中获取核心网系统参数,并将核心网系统参数存储为核心网接入点的第二预存数据。其中,上述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥等。上述第一全局公钥为GPKenc;上述第五私钥为IBC技术的核心网节点对应的数据加密私钥SKCP_ID_enc;上述第二全局公钥为IBC技术的数据签名全局公钥GPKSig;上述述第六私钥为IBC技术的核心网节点对应的数据签名私钥SKCP_ID_Sig
具体实现中,UE可从核心网中获取其标识信息和核心网处理参数,并将标识信息和核心网处理参数存储为UE的第一预存数据。其中,上述核心网处理参数包括GPKenc、SKUE_ID_enc、GPKSig以及SKUE_ID_Sig等,其中,上述各个参数的定义可参见上述各个应用场景中各个步骤描述的实现方式,在此不再赘述。
在一些可行的实施方式中,核心网节点可接收用户面网关发送的下行传输数据(以下简称传输数据),进而可在接收到传输数据之后,从第二预存数据中获取UE的标识信息(如UE_ID)、GPKenc以及SKCP_ID_enc等参数,并根据UE的标识信息、GPKenc以及SKCP_ID_enc生成对称钥K5,进而可将传输数据和K5输入系统函数以获取第六完整性校验码MAC5。进一步的,核心网节点还可使用K5对传输数据和MAC5进行加密得到保护消息。
核心网节点将上述保护消息发送给基站,并通过基站发送给UE。UE接收到消息之后,可根据保护消息中携带的信息确认消息是发给自己的,进而可对消息进行解密。
具体实现中,UE对消息进行解密时,可从其第一预存数据中获取GPKenc和SKUE_ID_enc,并使用GPKenc和SKUE_ID_enc对保护消息进行解密以得到解密消息。进一步的,UE可使用上述UE的标识信息、GPKenc和SKUE_ID_enc生成对称钥K6,并使用K6、UE的标识信息和解密消息生成第七完整性校验码MAC6,并当所述MAC6与解密消息中携带的MAC5相匹配时,获取传输数据。
在本发明实施例中,UE和核心网节点可使用基于IBC的技术对下行数据进行加密和验证保护,增强了网络传输数据的安全性。具体实现中,上述UE和核心网节点对下行数据的具体加密和验证保护的方式可参见上述上行数据传输中UE和接入点或者核心网节点对上行数据的加密和验证保护的实现方式,在此不再赘述。
参见图16,图16是本发明实施例提供的保护系统在场景六中的交互示意图。下面将结合图16,对本发明实施例提供的传输数据的保护系统中各个数据传输端在场景六中数据交互过程进行描述。其中,上述核心网节点具体可为UP-GW、UP-Function和CP-Function,则对应的加密公钥则为CP_Function_ID(以下简称CP_ID)或者包含CP_Function_ID。
在该应用场景中,UE和CP-Function使用基于IBC的技术对从UE到核心网的信令和数据实施了加密,具体流程如下步骤:
161、核心网节点CP_Function收到UP-GW发来的数据。
162、CP_Function对数据进行保护。
具体实现中,CP_Function可使用UE_ID,SKCP_ID,GPKenc生成对称密钥K5,使用对称密钥K5对数据进行加密,并根据传输数据和K5生成完整性校验码MAC5,以对加密后的数据提供完整性保护。
163、CP-Function发送上述加密后的数据到RAN。
其中,上述CP-Function发送给RAN的数据中包括UE的GUTI、加密后的数据和上述MAC5。
164、RAN发送数据到UE。
其中,RAN向UE发送的数据中包括GUTI、加密后的数据以及MAC5。
165、UE解密数据。
具体实现中,UE可根据GUTI确认消息是自己的,并从其预存数据中获取UE_ID,使用CP_ID,SKUE_ID和GPKenc生成对称密钥K6,使用K6验证签名并解密数据。
具体实现中,上述各个步骤的更多详细实现方式可参见上述S1501-S1504中各个步骤的相关描述,在此不再赘述。
参见图17,是本发明实施例提供的传输数据的保护方法的一流程示意图。本发明实施例提供的方法,包括步骤:
S1701,UE接收接入点发送的广播消息,并存储所述广播消息中携带的加密公钥。
S1702,所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息。
S1703,所述UE向所述接入点发送所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE接收所述接入点的广播消息之前,所述方法还包括:
所述UE从网络或者KMS中获取所述UE用于处理传输数据的处理参数,并将所述处理参数存储为所述UE的第一预存数据;
其中,所述处理参数包括UE所属运营商的身份operator ID1以及以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述operator ID1和所述GPKSig
所述UE存储所述广播消息中携带的加密公钥之前,所述方法还包括:
所述UE根据接收到的所述广播消息中携带的指示信息确定所述接入点具有数据签名功能,并根据所述广播消息对应的接入点的标识信息确定所述接入点所属的运营商的身份operator ID2;
将所述operator ID2与所述operator ID1进行匹配,从所述第一预存数据中查找所述接入点对应的第三全局公钥GPKSig1;
当所述广播消息中携带签名Sig1时,使用所述GPK Sig1和所述接入点的标识信息对所述广播消息进行验证;
当所述广播消息验证通过时,确定将所述广播消息携带的所述加密公钥添加至所述第一预存数据中。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥,并使用所述加密公钥和所述全局公钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥、所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc和所述SKUE_ID_enc
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成第一对称钥K1,并将所述传输数据和所述K1输入系统函数以获取第三完整性校验码MAC2;
使用所述加密公钥和所述GPKenc对所述传输数据以及所述UE的标识信息、所述MAC2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据、所述UE的标识信息以及所述MAC2进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc和SKUE_ID_Sig
所述UE在需要向所述接入点发送传输数据时,从其第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig2,并使用所述加密公钥、所述GPKenc对所述传输数据、所述UE的标识信息和所述Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述Sig2进行加密。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图18,是本发明实施例提供的传输数据的保护方法的另一流程示意图。本发明实施例提供的方法,包括步骤:
S1801,接入点发送广播消息。
其中,所述广播消息中携带加密公钥。
S1802,所述接入点接收用户设备UE发送的根据所述加密公钥对传输数据进行保护得到的保护消息。
其中,所述保护消息中携带所述UE发送的传输数据的保护方式的指示消息。
S1803,所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
S1804,所述接入点将解析得到的所述UE发送的传输数据发送到核心网中。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述接入点对应的私钥包括第一私钥和第二私钥;
所述接入点发送广播消息之前,所述方法还包括:
所述接入点从网络或者密钥管理系统KMS中获取系统参数,并将所述系统参数存储为所述接入点的第二预存数据;
其中,所述系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第一私钥,或者第二全局公钥和第二私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第一私钥为IBC技术的所述接入点对应的数据加密私钥SKBS_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第二私钥为IBC技术的所述接入点对应的数据签名私钥SKBS_ID_Sig
在一些可行的实施方式中,所述加密公钥为基站BS的身份BS_ID,或者所述加密公钥包含BS_ID;或者
所述加密公钥包括无线保真Wi-Fi切入点AP的介质控制子层MAC地址,或者Wi-FiAP的服务集标识SSID;或者
所述加密公钥包括热点UE的身份UE_ID,或者热点UE的移动用户身份IMSI。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKSig和所述SKBS_ID_Sig
所述接入点发送广播消息之前,所述方法还包括:
所述接入点使用所述GPKSig和所述SKBS_ID_Sig对所述广播消息进行签名以得到所述广播消息的签名Sig1,并在所述广播消息中携带所述接入点具有数据签名功能的指示信息或者所述广播消息的签名Sig1。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc、所述GPKSig和所述SKBS_ID_Sig
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
所述接入点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述SKBS_ID_enc和所述GPKenc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息。
在一些可行的实施方式中,所述第二预存数据中包括加密公钥、所述GPKenc和所述SKBS_ID_enc
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
所述接入点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
所述接入点将解析得到的所述UE发送的传输数据发送到核心网中包括:
所述接入点从所述解密消息中获取所述保护消息携带的第三完整性保护码MAC2、UE的标识信息以及所述传输数据;
使用所述UE的标识信息、所述GPKenc和所述SKBS_ID_enc生成对称钥K2;
使用所述对称钥K2、所述UE的标识信息和解密得到的传输数据计算第四完整性校验码MAC3,并当所述MAC3与所述MAC2相匹配时,将所述UE发送的传输数据发送到核心网。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc和所述GPKSig
所述接入点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析包括:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以获取所述传输数据;
所述接入点将解析得到的所述UE发送的传输数据发送到核心网中包括:
从所述保护消息解密得到的解密消息中获取所述UE的标识信息和所述签名Sig2;
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKsig
使用所述UE的标识信息以及所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,将所述UE发送的传输数据发送到核心网。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图19,是本发明实施例提供的传输数据的保护方法的另一流程示意图。本发明实施例提供的方法,包括步骤:
S1901,用户设备UE在需要发送传输数据时,从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息。
S1902,所述UE向接入点发送所述保护消息,以通过所述接入点将所述保护消息发送给核心网节点。
其中,所述保护消息中携带所述传输数据的保护方式的指示消息。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE发送传输数据之前,所述方法还包括:
所述UE从核心网中获取加密公钥、所述UE用于处理传输数据的核心网处理参数,并将所述加密公钥和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥和所述GPKenc
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥,并使用所述加密公钥,以及所述全局公钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥和所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和所述SKUE_ID_enc
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成对称钥K3,并将所述传输数据和所述K3输入系统函数以获取第四完整性校验码MAC3;
使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和SKUE_ID_Sig
所述UE从其第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护包括:
所述UE在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig3,并使用所述加密公钥、所述GPKenc对所述传输数据和所述签名Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述签名进行加密。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图20,是本发明实施例提供的传输数据的保护方法的另一流程示意图。本发明实施例提供的方法,包括步骤:
S2001,核心网节点接收接入点发送的保护消息。
其中,所述保护消息中携带用户设备UE发送的所述传输数据的保护方式的指示消息。
S2002,所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点接收接入点发送的保护消息之前,所述方法还包括:
所述核心网节点从密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
在一些可行的实施方式中,所述加密公钥为核心网认证节点的身份,或者所述加密公钥包含所述核心网节点的身份。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKCP_ID_enc和所述GPKenc,并使用所述SKCP_ID_enc和所述GPKenc对所述保护消息进行解密以得到所述UE的传输数据。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKCP_ID_enc,对所述保护消息进行解密以得到解密消息;
获取所述解密消息中携带的第四完整性校验码MAC3,并使用所述UE的标识信息、所述GPKenc和所述SKCP_ID_enc生成对称钥K4;
使用所述K4、所述UE的标识信息和所述解密消息生成第五完整性校验码MAC4,并当所述MAC4与所述MAC3相匹配时,获取所述传输数据。
在一些可行的实施方式中,所述第二预存数据中包括所述加密公钥、所述GPKenc、所述SKCP_ID_enc和所述GPKSig
所述核心网节点根据所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析包括:
所述核心网节点根据所述加密方式的指示消息确定所述传输数据的保护方式,并使用从所述第二预存数据中获取的所述GPKenc、所述加密公钥和所述SKCP_ID_enc对所述保护消息进行解密;
从所述保护消息解密得到的解密消息中获取所述签名Sig3,并使用所述UE的标识信息和所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,获取所述传输数据。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图21,是本发明实施例提供的传输数据的保护方法的另一流程示意图。本发明实施例提供的方法,包括步骤:
S2101,核心网节点接收用户面网关下发的传输数据,并从其第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥。
S2102,所述核心网节点使用所述UE的标识信息、所述全局公钥和所述私钥对所述传输数据进行保护以得到保护消息,并将所述保护消息发送给接入点。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述核心网节点接收用户面网关下发的传输数据之前,所述方法还包括:
所述核心网节点从网络或者密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述核心网节点从其第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥包括:
所述核心网节点从所述第二预存数据中获取所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc
所述核心网节点使用所述UE的标识信息、所述全局公钥和所述私钥对所述传输数据进行保护以得到保护消息包括:
所述核心网节点根据所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc生成对称钥K5,并将所述传输数据和所述K5输入系统函数以获取第六完整性校验码MAC5;
使用所述K5对所述传输数据加密得到保护消息。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图22,是本发明实施例提供的传输数据的保护方法的另一流程示意图。本发明实施例提供的方法,包括步骤:
S2201,用户设备UE接收接入点发送的保护消息。
S2202,所述UE从其第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述UE接收接入点发送的保护消息之前,所述方法还包括:
所述UE从核心网中获取其标识信息、所述UE用于处理传输数据的核心网处理参数,并将所述标识信息和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下两组数据中至少一组:第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述UE的标识信息、所述核心网节点的标识、所述GPKenc和所述SKUE_ID_enc
所述UE从其第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据包括:
所述UE从所述第一预存数据中获取所述GPKenc和所述SKUE_ID_enc,并使用所述GPKenc和所述SKUE_ID_enc对所述保护消息进行解密以得到解密消息;
使用所述核心网节点的标识信息、所述GPKenc和所述SKUE_ID_enc生成对称钥K6;
使用所述K6对所述保护消息进行解密以得到解密消息;
使用所述K6和所述解密消息生成第七完整性校验码MAC6,并当所述MAC6与所述解密消息中携带的第六完整性校验码MAC5相匹配时,获取所述传输数据。
具体实现中,本发明实施例提供的传输数据的保护方法中各个步骤所描述的实现方式可参见上述各个系统中相关描述,在此不再赘述。
参见图23,是本发明实施例提供的传输数据的保护装置的一结构示意图。本发明实施例提供的保护装置,包括:
接收单元231,用于接收接入点发送的广播消息,并存储所述广播消息中携带的加密公钥。
处理单元232,用于在需要向所述接入点发送传输数据时,从用户设备UE的第一预存数据中获取基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述接收单元接收的所述加密公钥和所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息。
发送单元233,用于向所述接入点发送所述处理单元处理的所述保护消息,所述保护消息中携带所述传输数据的保护方式的指示消息。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述处理单元232还用于:
从网络或者KMS中获取所述UE用于处理传输数据的处理参数,并将所述处理参数存储为所述UE的第一预存数据;
其中,所述处理参数包括UE所属运营商的身份operator ID1以及以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述operator ID1和所述GPKSig
所述接收单元231具体用于:
根据接收到的所述广播消息中携带的指示信息确定所述接入点具有数据签名功能,并根据所述广播消息对应的接入点的标识信息确定所述接入点所属的运营商的身份operator ID2;
将所述operator ID2与所述operator ID1进行匹配,从所述第一预存数据中查找所述接入点对应的第三全局公钥GPKSig1;
当所述广播消息中携带签名Sig1时,使用所述GPK Sig1和所述接入点的标识信息对所述广播消息进行验证;
当所述广播消息验证通过时,确定将所述广播消息携带的所述加密公钥添加至所述第一预存数据中。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc
所述处理单元232具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥、所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc和所述SKUE_ID_enc
所述处理单元232具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成第一对称钥K1,并将所述传输数据和所述K1输入系统函数以获取第三完整性校验码MAC2;
使用所述加密公钥和所述GPKenc对所述传输数据以及所述UE的标识信息、所述MAC2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据、所述UE的标识信息以及所述MAC2进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述GPKenc和SKUE_ID_Sig
所述处理单元232具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig2,并使用所述加密公钥、所述GPKenc对所述传输数据、所述UE的标识信息和所述Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述Sig2进行加密。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
参见图24,是本发明实施例提供的传输数据的保护装置的另一结构示意图。本发明实施例提供的保护装置,包括:
发送单元241,用于发送广播消息,所述广播消息中携带加密公钥。
接收单元242,用于接收用户设备UE发送的根据所述发送单元发送的所述加密公钥对传输数据进行保护得到的保护消息,所述保护消息中携带所述UE发送的传输数据的保护方式的指示消息。
解析单元243,用于根据所述接收单元接收的所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述接入点对应的私钥,并使用所述全局公钥和所述接入点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
所述发送单元241,还用于将所述解析单元解析得到的所述UE发送的传输数据发送到核心网中。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述接入点对应的私钥包括第一私钥和第二私钥;
所述解析单元243还用于:
从网络或者密钥管理系统KMS中获取系统参数,并将所述系统参数存储为所述接入点的第二预存数据;
其中,所述系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第一私钥,或者第二全局公钥和第二私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第一私钥为IBC技术的所述接入点对应的数据加密私钥SKBS_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第二私钥为IBC技术的所述接入点对应的数据签名私钥SKBS_ID_Sig
在一些可行的实施方式中,所述加密公钥为基站BS的身份BS_ID,或者所述加密公钥包含BS_ID;或者
所述加密公钥包括无线保真Wi-Fi切入点AP的介质控制子层MAC地址,或者Wi-FiAP的服务集标识SSID;或者
所述加密公钥包括热点UE的身份UE_ID,或者热点UE的移动用户身份IMSI。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKSig和所述SKBS_ID_Sig
所述发送单元241具体用于:
使用所述GPKSig和所述SKBS_ID_Sig对所述广播消息进行签名以得到所述广播消息的签名Sig1,并在所述广播消息中携带所述接入点具有数据签名功能的指示信息或者所述广播消息的签名Sig1。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc、所述GPKSig和所述SKBS_ID_Sig
所述解析单元243具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述SKBS_ID_enc和所述GPKenc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息。
在一些可行的实施方式中,所述第二预存数据中包括加密公钥、所述GPKenc和所述SKBS_ID_enc
所述解析单元243具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以得到解密消息;
所述发送单元241具体用于:
从所述解析单元解析得到的所述解密消息中获取所述保护消息携带的第三完整性保护码MAC2、UE的标识信息以及所述传输数据;
使用所述UE的标识信息、所述GPKenc和所述SKBS_ID_enc生成对称钥K2;
使用所述对称钥K2、所述UE的标识信息和解密得到的传输数据计算第四完整性校验码MAC3,并当所述MAC3与所述MAC2相匹配时,将所述UE发送的传输数据发送到核心网。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc、所述SKBS_ID_enc和所述GPKSig
所述解析单元243具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKenc和所述SKBS_ID_enc,并使用所述SKBS_ID_enc和所述GPKenc对所述保护消息进行解密以获取所述传输数据;
所述发送单元241具体用于:
从所述保护消息解密得到的解密消息中获取所述UE的标识信息和所述签名Sig2;
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述GPKsig
使用所述UE的标识信息以及所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,将所述UE发送的传输数据发送到核心网。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
参见图25,是本发明实施例提供的传输数据的保护装置的另一结构示意图。本发明实施例提供的保护装置,包括:
保护单元251,用于在需要发送传输数据时,从用户设备的第一预存数据中获取加密公钥、基于身份的密码IBC技术的全局公钥或者所述UE对应的私钥,并使用所述加密公钥,以及所述全局公钥或者所述UE对应的私钥对所述传输数据进行保护以得到保护消息。
发送单元252,用于向接入点发送所述保护单元处理得到的所述保护消息,以通过所述接入点将所述保护消息发送给核心网节点,所述保护消息中携带所述传输数据的保护方式的指示消息。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述保护单元251还用于:
从核心网中获取加密公钥、所述UE用于处理传输数据的核心网处理参数,并将所述加密公钥和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下三组数据中至少一组:第一全局公钥,或者第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥和所述GPKenc
所述保护单元251具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥和所述GPKenc
使用所述加密公钥和所述GPKenc对所述传输数据进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和所述SKUE_ID_enc
所述保护单元251具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc以及所述SKUE_ID_enc
根据所述加密公钥、所述GPKenc以及所述SKUE_ID_enc生成对称钥K3,并将所述传输数据和所述K3输入系统函数以获取第四完整性校验码MAC3;
使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥和所述GPKenc对所述传输数据和所述MAC3进行加密。
在一些可行的实施方式中,所述第一预存数据中包括所述加密公钥、所述GPKenc和SKUE_ID_Sig
所述保护单元251具体用于:
在需要向所述接入点发送传输数据时,从所述第一预存数据中获取所述加密公钥、所述GPKenc、所述GPKsig以及所述SKUE_ID_Sig
根据所述GPKsig和所述SKUE_ID_Sig对所述传输数据进行签名以得到签名Sig3,并使用所述加密公钥、所述GPKenc对所述传输数据和所述签名Sig2进行加密得到保护消息;
其中,所述传输数据的保护方式为使用所述加密公钥、所述GPKenc对所述传输数据以及所述签名进行加密。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
参见图26,是本发明实施例提供的传输数据的保护装置的另一结构示意图。本发明实施例提供的保护装置,包括:
接收单元261,用于接收接入点发送的保护消息,所述保护消息中携带用户设备UE发送的所述传输数据的保护方式的指示消息。
解析单元262,用于根据所述接收单元接收的所述保护方式的指示消息从其第二预存数据中获取基于身份的密码IBC技术的全局公钥和所述核心网节点对应的私钥,并使用所述全局公钥和所述核心网节点对应的私钥对所述保护消息进行解析以得到所述UE发送的传输数据。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述解析单元262还用于:
从密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
在一些可行的实施方式中,所述加密公钥为核心网认证节点的身份,或者所述加密公钥包含所述核心网节点的身份。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述解析单元262具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,并从所述第二预存数据中获取所述SKCP_ID_enc和所述GPKenc,并使用所述SKCP_ID_enc和所述GPKenc对所述保护消息进行解密以得到所述UE的传输数据。
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述解析单元262具体用于:
根据所述保护方式的指示消息确定所述传输数据的保护方式,从所述第二预存数据中获取所述GPKenc和所述SKCP_ID_enc,对所述保护消息进行解密以得到解密消息;
获取所述解密消息中携带的第四完整性校验码MAC3,并使用所述UE的标识信息、所述GPKenc和所述SKCP_ID_enc生成对称钥K4;
使用所述K4、所述UE的标识信息和所述解密消息生成第五完整性校验码MAC4,并当所述MAC4与所述MAC3相匹配时,获取所述传输数据。
在一些可行的实施方式中,所述第二预存数据中包括所述加密公钥、所述GPKenc、所述SKCP_ID_enc和所述GPKSig
所述解析单元262具体用于:
根据所述加密方式的指示消息确定所述传输数据的保护方式,并使用从所述第二预存数据中获取的所述GPKenc、所述加密公钥和所述SKCP_ID_enc对所述保护消息进行解密;
从所述保护消息解密得到的解密消息中获取所述签名Sig3,并使用所述UE的标识信息和所述GPKsig对所述保护消息进行验证,当所述保护消息验证成功时,获取所述传输数据。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
参见图27,是本发明实施例提供的传输数据的保护装置的另一结构示意图。本发明实施例提供的保护装置,包括:
接收单元271,用于接收用户面网关下发的传输数据。
处理单元272,用于从核心网节点的第二预存数据中获取用户设备UE的标识信息、基于身份的密码IBC技术的全局公钥以及所述核心网节点对应的私钥,并使用所述UE的标识信息、所述全局公钥和所述私钥对所述接收单元接收的所述传输数据进行保护以得到保护消息。
发送单元273,用于将所述处理单元处理得到的所述保护消息发送给接入点。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述核心网节点对应的私钥包括第五私钥和第六私钥;
所述处理单元272还用于:
从网络或者密钥管理系统KMS中获取核心网系统参数,并将所述核心网系统参数存储为所述核心网接入点的第二预存数据;
其中,所述核心网系统参数包括加密公钥以及以下两组数据中至少一组:第一全局公钥和第五私钥,或者第二全局公钥和第六私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第五私钥为IBC技术的所述核心网节点对应的数据加密私钥SKCP_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第六私钥为IBC技术的所述核心网节点对应的数据签名私钥SKCP_ID_Sig
在一些可行的实施方式中,所述第二预存数据中包括所述GPKenc和所述SKCP_ID_enc
所述处理单元272具体用于:
从所述第二预存数据中获取所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc
根据所述UE的标识信息、所述GPKenc以及所述SKCP_ID_enc生成对称钥K5,并将所述传输数据和所述K5输入系统函数以获取第六完整性校验码MAC5;
使用所述K5对所述传输数据加密得到保护消息。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
参见图28,是本发明实施例提供的传输数据的保护装置的另一结构示意图。本发明实施例提供的保护装置,包括:
接收单元281,用于接收接入点发送的保护消息。
解析单元282,用于从用户设备的第一预存数据中获取核心网节点的标识,基于身份的密码IBC技术的全局公钥和所述UE对应的私钥对所述保护消息进行解析以得到所述传输数据。
在一些可行的实施方式中,所述全局公钥包括第一全局公钥和第二全局公钥,所述UE对应的私钥包括第三私钥和第四私钥;
所述解析单元282还用于:
从核心网中获取其标识信息、所述UE用于处理传输数据的核心网处理参数,并将所述标识信息和所述核心网处理参数存储为所述UE的第一预存数据;
其中,所述核心网处理参数包括以下两组数据中至少一组:第一全局公钥和第三私钥,或者第二全局公钥和第四私钥;
所述第一全局公钥为IBC技术的数据加密全局公钥GPKenc
所述第三私钥为IBC技术的所述UE_ID对应的数据加密私钥SKUE_ID_enc
所述第二全局公钥为IBC技术的数据签名全局公钥GPKSig
所述第四私钥为IBC技术的所述UE_ID对应的数据签名私钥SKUE_ID_Sig
在一些可行的实施方式中,所述第一预存数据中包括所述UE的标识信息、所述核心网节点的标识、所述GPKenc和所述SKUE_ID_enc
所述解析单元282具体用于:
从所述第一预存数据中获取所述GPKenc和所述SKUE_ID_enc,并使用所述GPKenc和所述SKUE_ID_enc对所述保护消息进行解密以得到解密消息;
使用所述核心网节点的标识信息、所述GPKenc和所述SKUE_ID_enc生成对称钥K6;
使用所述K6对所述保护消息进行解密以得到解密消息;
使用所述K6和所述解密消息生成第七完整性校验码MAC6,并当所述MAC6与所述解密消息中携带的MAC5相匹配时,获取所述传输数据。
具体实现中,本发明实施例提供的传输数据的保护装置中各个单元所执行的实现方式可参见上述各个系统中相关数据传输中对应的实现方式,在此不再赘述。
本发明的说明书、权利要求书以及附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或者单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或者单元,或可选地还包括对于这些过程、方法、系统、产品或设备固有的其他步骤或单元。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (16)

1.一种传输数据的保护方法,其特征在于,包括:
用户设备UE接收接入点发送的广播消息;所述广播消息包括指示信息、所述接入点的标识信息以及签名;其中,所述指示信息用于指示所述接入点具有数据签名功能;
所述UE根据所述指示信息以及所述标识信息,获取所述接入点对应的第三全局公钥GPKSig1;
所述UE使用所述GPKSig1和所述接入点的标识信息对所述广播消息进行验证;以及
当所述广播消息验证通过时,所述UE保存所述广播消息中携带的相关数据。
2.如权利要求1所述的保护方法,其特征在于,所述UE根据所述指示信息以及所述标识信息,获取所述接入点对应的第三全局公钥GPKSig1,包括:
所述UE根据所述指示信息,确定所述接入点具有数据签名功能,并根据所述标识信息确定所述接入点所属的运营商的身份;以及
所述UE根据所述运营商的身份,从第一预存数据中查找所述第三全局公钥GPKSig1;其中,其中,所述第一预存数据中包括所述运营商的身份和所述签名全局公钥GPKSig1。
3.如权利要求2所述的保护方法,其特征在于,所述方法还包括;
所述UE从网络或者密钥管理系统中获取所述运营商身份和所述签名全局公钥GPKSig1,以及
将所述运营商身份和所述签名全局公钥GPKSig1保存在所述第一预存数据中。
4.如权利要求1-3任一所述的保护方法,其特征在于,所述方法还包括:
当所述广播消息验证不通过时,所述UE丢弃所述广播消息。
5.如权利要求1-4任一所述的保护方法,其特征在于,所述广播消息还包括时间戳或者序列号,所述方法还包括:
所述UE验证所述时间戳或者序列号是否合法。
6.一种传输数据的保护方法,其特征在于,包括:
接入点从网络或者密钥管理系统获取用于数据签名的第二全局公钥GPKSig以及第二全局私钥SKBS_ID_Sig;其中,所述SKBS_ID_Sig是根据所述接入点的标识信息和所述GPKSig生成的所述接入点对应的数据签名私钥;
所述接入点使用所述GPKSig和所述SKBS_ID_Sig对待发送的广播消息进行签名得到Sig1;以及
所述接入点广播所述广播消息,其中,所述广播消息包括所述接入点具有数据签名功能的指示信息、所述接入点的标识信息以及所述Sig1。
7.如权利要求6所述的保护方法,其特征在于,所述广播消息还包括时间戳或者序列号。
8.一种保护装置,其特征在于,包括:
用于接收接入点发送的广播消息的单元;所述广播消息包括指示信息、所述接入点的标识信息以及签名;其中,所述指示信息用于指示所述接入点具有数据签名功能;
用于根据所述指示信息以及所述标识信息,获取所述接入点对应的第三全局公钥GPKSig1的单元;
用于使用所述GPKSig1和所述接入点的标识信息对所述广播消息进行验证的单元;以及
用于当所述广播消息验证通过时,保存所述广播消息中携带的相关数据的单元。
9.根据权利要求8所述的保护装置,其特征在于,所述用于根据所述指示信息以及所述标识信息,获取所述接入点对应的第三全局公钥GPKSig1的单元,具体包括:
用于根据所述指示信息,确定所述接入点具有数据签名功能,并根据所述标识信息确定所述接入点所属的运营商的身份的单元;以及
用于根据所述运营商的身份,从第一预存数据中查找所述第三全局公钥GPKSig1的单元;其中,其中,所述第一预存数据中包括所述运营商的身份和所述签名全局公钥GPKSig1。
10.根据权利要求9所述的保护装置,其特征在于,所述保护装置还包括:
用于从网络或者密钥管理系统中获取所述运营商身份和所述签名全局公钥GPKSig1的单元,以及
用于将所述运营商身份和所述签名全局公钥GPKSig1保存在所述第一预存数据中的单元。
11.根据权利要求8-10任一所述的保护装置,其特征在于,所述保护装置还包括:
用于当所述广播消息验证不通过时,丢弃所述广播消息的单元。
12.根据权利要求8-11任一所述的保护装置,其特征在于,所述广播消息还包括时间戳或者序列号,所述保护装置还包括:
用于验证所述时间戳或者序列号是否合法的单元。
13.一种保护装置,其特征在于,所述保护装置包括:
用于从网络或者密钥管理系统获取用于数据签名的第二全局公钥GPKSig以及第二全局私钥SKBS_ID_Sig的单元;其中,所述SKBS_ID_Sig是根据所述保护装置的标识信息和所述GPKSig生成的所述保护装置对应的数据签名私钥;
用于使用所述GPKSig和所述SKBS_ID_Sig对待发送的广播消息进行签名得到Sig1的单元;以及
用于广播所述广播消息的单元,其中,所述广播消息包括所述保护装置具有数据签名功能的指示信息、所述保护装置的标识信息以及所述Sig1。
14.根据权利要求13所述的保护装置,其特征在于,所述广播消息还包括时间戳或者序列号。
15.一种通信装置,其特征在于,包括处理器,所述处理器用于读取并执行存储器中的指令,以使所述通信装置实现如权利要求1-7任一所述的方法。
16.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-7任一所述的方法。
CN202210311892.1A 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置 Pending CN114826673A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210311892.1A CN114826673A (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201610526350.0A CN107592281B (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置
CN202210311892.1A CN114826673A (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201610526350.0A Division CN107592281B (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置

Publications (1)

Publication Number Publication Date
CN114826673A true CN114826673A (zh) 2022-07-29

Family

ID=60901772

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201610526350.0A Active CN107592281B (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置
CN202210311892.1A Pending CN114826673A (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201610526350.0A Active CN107592281B (zh) 2016-07-06 2016-07-06 一种传输数据的保护系统、方法及装置

Country Status (4)

Country Link
US (1) US11122428B2 (zh)
EP (1) EP3468138B1 (zh)
CN (2) CN107592281B (zh)
WO (1) WO2018006627A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108235376B (zh) * 2016-12-21 2020-03-06 电信科学技术研究院 一种用户面锚点选择方法及装置
CN110383755B (zh) * 2017-01-05 2022-04-19 皇家飞利浦有限公司 网络设备和可信第三方设备
EP3619954B1 (en) * 2017-05-03 2022-07-13 Telefonaktiebolaget LM Ericsson (PUBL) Ue handling in ran
US10880085B1 (en) * 2017-08-03 2020-12-29 The University Of Tulsa Device, system, and method to facilitate secure data transmission, storage and key management
US20210368345A1 (en) * 2018-01-12 2021-11-25 Telefonaktiebolaget Lm Ericsson (Publ) Validation of Subscription Concealed Identifiers in Mobile Networks
WO2019210437A1 (en) * 2018-04-30 2019-11-07 Qualcomm Incorporated An addressing model and method
WO2020010515A1 (en) 2018-07-10 2020-01-16 Apple Inc. Identity-based message integrity protection and verification for wireless communication
CN108964908A (zh) * 2018-08-10 2018-12-07 飞天诚信科技股份有限公司 一种受控密钥协商的方法及系统
US11546138B2 (en) * 2018-09-28 2023-01-03 Benjamin Allan Mord Information integrity in blockchain and related technologies
CN111464934B (zh) * 2019-01-21 2021-10-15 华为技术有限公司 数据传输系统、方法及其装置
WO2020252790A1 (zh) * 2019-06-21 2020-12-24 Oppo广东移动通信有限公司 一种信息传输方法及装置、网络设备、用户设备
CN110621016B (zh) * 2019-10-18 2022-08-12 中国联合网络通信集团有限公司 一种用户身份保护方法、用户终端和基站
CN112887971B (zh) * 2019-11-30 2023-03-21 华为技术有限公司 数据传输方法和装置
CN113381852A (zh) * 2020-03-09 2021-09-10 中国电信股份有限公司 电子邮件安全传送方法和系统
CN111918292B (zh) * 2020-09-02 2022-08-16 中国联合网络通信集团有限公司 一种接入方法及装置
CN112532626A (zh) * 2020-11-30 2021-03-19 南威软件股份有限公司 一种点对点加密聊天方法
CN113316152A (zh) * 2021-05-21 2021-08-27 重庆邮电大学 LTE系统中针对终端的DoS攻击检测方法及防御方法
CN115996367A (zh) * 2021-10-20 2023-04-21 华为技术有限公司 一种接入通信网络的方法和装置
WO2024000597A1 (en) * 2022-07-01 2024-01-04 Zte Corporation Method, device and computer program product for wireless communication

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7096358B2 (en) * 1998-05-07 2006-08-22 Maz Technologies, Inc. Encrypting file system
US20050089173A1 (en) * 2002-07-05 2005-04-28 Harrison Keith A. Trusted authority for identifier-based cryptography
US7003117B2 (en) 2003-02-05 2006-02-21 Voltage Security, Inc. Identity-based encryption system for secure data distribution
US8108678B1 (en) * 2003-02-10 2012-01-31 Voltage Security, Inc. Identity-based signcryption system
US7017181B2 (en) * 2003-06-25 2006-03-21 Voltage Security, Inc. Identity-based-encryption messaging system with public parameter host servers
US7580521B1 (en) 2003-06-25 2009-08-25 Voltage Security, Inc. Identity-based-encryption system with hidden public key attributes
US7103911B2 (en) * 2003-10-17 2006-09-05 Voltage Security, Inc. Identity-based-encryption system with district policy information
US20050135610A1 (en) * 2003-11-01 2005-06-23 Liqun Chen Identifier-based signcryption
GB2414367B (en) * 2004-05-20 2009-03-04 Vodafone Plc Data transmission
GB2416282B (en) * 2004-07-15 2007-05-16 Hewlett Packard Development Co Identifier-based signcryption with two trusted authorities
US7657037B2 (en) * 2004-09-20 2010-02-02 Pgp Corporation Apparatus and method for identity-based encryption within a conventional public-key infrastructure
JP4546231B2 (ja) * 2004-12-09 2010-09-15 株式会社日立製作所 Idベース署名及び暗号化システムおよび方法
US20060215837A1 (en) * 2004-12-18 2006-09-28 Hewlett-Packard Development Company, L.P. Method and apparatus for generating an identifier-based public/private key pair
CN101485137B (zh) * 2006-06-30 2013-07-24 皇家飞利浦电子股份有限公司 用于加密/解密数据的方法和设备
US8347090B2 (en) * 2006-10-16 2013-01-01 Nokia Corporation Encryption of identifiers in a communication system
US7827408B1 (en) * 2007-07-10 2010-11-02 The United States Of America As Represented By The Director Of The National Security Agency Device for and method of authenticated cryptography
CN101626294A (zh) * 2008-07-07 2010-01-13 华为技术有限公司 基于身份的认证方法、保密通信方法、设备和系统
US9928379B1 (en) * 2008-09-08 2018-03-27 Steven Miles Hoffer Methods using mediation software for rapid health care support over a secured wireless network; methods of composition; and computer program products therefor
US8510558B2 (en) 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
US20100250949A1 (en) * 2009-03-31 2010-09-30 Torino Maria E Generation, requesting, and/or reception, at least in part, of token
EP2658164B1 (en) 2009-04-24 2015-09-16 Nippon Telegraph And Telephone Corporation Cryptographic system, cryptographic communication method, encryption apparatus, key generation apparatus, decryption apparatus, content server, program, and storage medium
US10454674B1 (en) * 2009-11-16 2019-10-22 Arm Limited System, method, and device of authenticated encryption of messages
CN101951603B (zh) 2010-10-14 2013-05-22 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
CN103765810B (zh) 2011-07-15 2018-03-13 阿尔卡特朗讯公司 用于安全群组消息传递的方法和设备
US9166953B2 (en) * 2011-10-31 2015-10-20 Nokia Technologies Oy Method and apparatus for providing identity based encryption in distributed computations
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
US8694771B2 (en) * 2012-02-10 2014-04-08 Connect In Private Panama Corp. Method and system for a certificate-less authenticated encryption scheme using identity-based encryption
KR102095405B1 (ko) * 2012-05-10 2020-03-31 삼성전자주식회사 데이터 패킷들의 업링크 및 다운링크 동안 비연결형 전송을 위한 방법 및 시스템
CN103812650B (zh) * 2012-11-12 2017-05-31 华为技术有限公司 信息处理方法、用户设备和加密设备
CN103002417B (zh) * 2012-12-17 2015-04-08 中国联合网络通信集团有限公司 短信加密处理方法及装置
US9191208B2 (en) * 2012-12-18 2015-11-17 Empire Technology Development Llc Schemes for signcryption
CN104243153B (zh) * 2013-06-07 2017-11-17 华为终端有限公司 一种用于发现设备的用户的方法和用户设备
US9953315B2 (en) * 2013-12-02 2018-04-24 Mastercard International Incorporated Method and system for generating an advanced storage key in a mobile device without secure elements
US9455979B2 (en) * 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
GB2528874A (en) * 2014-08-01 2016-02-10 Bae Systems Plc Improvements in and relating to secret communications
US9032501B1 (en) * 2014-08-18 2015-05-12 Bionym Inc. Cryptographic protocol for portable devices
CN104901803A (zh) * 2014-08-20 2015-09-09 易兴旺 一种基于cpk标识认证技术的数据交互安全保护方法
CN107005562B (zh) * 2014-12-08 2020-04-07 皇家飞利浦有限公司 网络中的设备的调试
US10136310B2 (en) * 2015-04-24 2018-11-20 Microsoft Technology Licensing, Llc Secure data transmission
CN104902471B (zh) * 2015-06-01 2018-12-14 东南大学 无线传感器网络中基于身份的密钥交换设计方法
US10263965B2 (en) * 2015-10-16 2019-04-16 Cisco Technology, Inc. Encrypted CCNx
US10305864B2 (en) * 2016-01-25 2019-05-28 Cisco Technology, Inc. Method and system for interest encryption in a content centric network
US10050946B2 (en) * 2016-06-17 2018-08-14 The Boeing Company Secured data transmission using identity-based cryptography
SG10201606061PA (en) * 2016-07-22 2018-02-27 Huawei Int Pte Ltd A method for unified network and service authentication based on id-based cryptography
SG10201606165SA (en) * 2016-07-26 2018-02-27 Huawei Int Pte Ltd A key generation and distribution method based on identity-based cryptography
US10880085B1 (en) * 2017-08-03 2020-12-29 The University Of Tulsa Device, system, and method to facilitate secure data transmission, storage and key management
US11252689B2 (en) * 2019-07-12 2022-02-15 Charter Communications Operating, Llc Wi-fi access point coordinated transmission of data

Also Published As

Publication number Publication date
EP3468138B1 (en) 2021-05-05
EP3468138A4 (en) 2019-06-26
CN107592281B (zh) 2022-04-05
WO2018006627A1 (zh) 2018-01-11
EP3468138A1 (en) 2019-04-10
CN107592281A (zh) 2018-01-16
US11122428B2 (en) 2021-09-14
US20190141524A1 (en) 2019-05-09

Similar Documents

Publication Publication Date Title
CN107592281B (zh) 一种传输数据的保护系统、方法及装置
KR101490214B1 (ko) 공유된 일시적 키 데이터의 세트를 갖는 교환들을 인코딩하기 위한 시스템들 및 방법들
CN101741555B (zh) 身份认证和密钥协商方法及系统
TWI418194B (zh) 行動台、基地台及流量加密密鑰之產生方法
CN111246471B (zh) 终端接入方法及装置
JP4234718B2 (ja) 移動通信加入者認証の安全な伝送方法
US8625798B2 (en) Method and apparatus for encrypting short data in a wireless communication system
CN111865603A (zh) 认证方法、认证装置和认证系统
CN101512537A (zh) 在自组无线网络中安全处理认证密钥资料的方法和系统
CN109075973B (zh) 一种使用基于id的密码术进行网络和服务统一认证的方法
KR20070120176A (ko) 키 머티리얼의 교환
CN101552668A (zh) 用户设备接入网络时的认证方法、用户设备及基站
CN102036238A (zh) 一种基于公钥实现用户与网络认证和密钥分发的方法
CN112087724A (zh) 一种通信方法、网络设备、用户设备和接入网设备
CN111901795B (zh) 接入方法及核心网设备、微基站管理服务器
JP2015122764A (ja) 無線通信装置および無線通信装置の動作方法
CN108882233B (zh) 一种imsi的加密方法、核心网和用户终端
WO2011003352A1 (zh) 终端私密性的保护方法及装置
CN111885600B (zh) 双卡终端的接入方法、终端及服务器
CN111800791B (zh) 认证方法及核心网设备、终端
CN111988777A (zh) 一号双终端业务的处理方法及核心网设备、服务器
CN115412909A (zh) 一种通信方法及装置
CN111432404B (zh) 信息处理方法及装置
KR100794792B1 (ko) 브로드캐스트 프레임 보호 방법
IL254758B2 (en) Method, equipment and computer software product for code encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination