用户数据报协议报文的转发方法及装置制造方法及图纸

本申请实施例中公开了一种用户数据报协议报文的转发方法及装置。代理服务器在接收物联网设备发送的标识和密钥认证码后，当该标识与存储的标识一致，且存储的标识对应的密钥认证码与该密钥认证码一致时，向物联网设备发送转发服务的服务信息；基于物联网设备发送的至少一个密码套件，向物联网设备发送目标密码套件；之后接收物联网设备发送的第一UDP报文，第一UDP报文包括目标业务服务器的位置信息和第一数据后，基于目标密码套件，对第一UDP报文进行解密，得到目标服务器的位置信息和第一数据；最后将第一数据发送至位置信息对应的目标业务服务器，实现了完全基于UDP协议进行UDP报文的转发，且提高了UDP报文的安全性。

Forwarding method and device of user datagram protocol message

【技术实现步骤摘要】
用户数据报协议报文的转发方法及装置
本申请涉及通信
，尤其涉及一种用户数据报协议报文的转发方法及装置。
技术介绍
用户数据报协议(UserDatagramProtocol，UDP)是开放式系统互联(OpenSystemInterconnection，OSI)参考模型中一种无连接的传输层协议。与TCP协议不同，UDP协议是无连接的，不需要维持收包次序，也不需要维护滑动窗口等，因此实现更简单很多；而因为不需要有三次握手建立连接，可以立即发送UDP数据包，所以发送时延更低。UDP协议在物联网络中得到广泛应用，如海思蜂窝的窄带物联网(NarrowBandInternetofThings，NB-IoT)芯片只支持UDP协议，而不支持传输控制协议TransmissionControlProtocol，TCP)；高通和台湾联发MTK的NB-IoT芯片同时支持TCP协议和UDP协议。传统的物联网络包括客户端、代理服务器(或称“物联网安全(SecurityEnabledPlatform，SEP)平台”)和业务服务器。其中，代理服务器可以只支持TCP协议，或者可以支持UDP协议的防火墙安全会话转换协议(Socks:Protocolforsessionstraversalacrossfirewallsecurely，SOCKS)代理协议，但其控制连接仍然为TCP协议，并且SOCKS代理协议不提供传输的UDP数据包的加密措施。可见，传统的物联网络中的代理服务器不能完全支持UDP协议，或者在支持UDP协议的SOCKS代理协议时UDP报文不能加密，导致没有安全保障。
技术实现思路
本申请实施例提供一种用户数据报协议报文的转发方法及装置，实现完全基于UDP协议进行UDP报文的转发，且提高了UDP报文的安全性。第一方面，提供了一种用户数据报协议报文的转发方法，该方法可以包括：接收物联网设备发送的代理请求，代理请求包括物联网设备的标识和密钥认证码，密钥认证码是物联网设备采用预设密钥算法对派生密钥进行运算获取的；当接收的标识与存储的标识一致，且存储的标识对应的密钥认证码与接收的密钥认证码一致时，向物联网设备发送转发服务的服务信息，服务信息包括IP地址、端口信息和有效时间；基于物联网设备发送的至少一个密码套件，向物联网设备发送目标密码套件；接收物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文，第一UDP报文是物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的，第一UDP报文包括目标业务服务器的位置信息和第一数据，位置信息包括目标IP地址、目标端口信息；基于目标密码套件，对第一UDP报文进行解密，得到位置信息和第一数据；将第一数据发送至位置信息对应的目标业务服务器。上述技术方案实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发，提高了UDP报文的安全性。在一个可选的实现中，接收物联网设备发送的代理请求之前，该方法还可以包括：基于物联网设备发送的注册请求，获取派生密钥和分配给物联网设备的标识；向物联网设备发送标识。该方式使物联网设备获取代理服务器为其分配的唯一标识，以便后续基于该标识为其分配转发服务。在一个可选的实现中，将第一数据发送至目标业务服务信息对应的目标业务服务器之后，该方法还可以包括：接收目标业务服务器基于第一数据发送的第二数据；向物联网设备发送第二UDP报文，第二UDP报文是采用预设密码套件，对待发送UDP报文进行加密得到的，第二UDP报文包括目标业务服务器的位置信息和第二数据。上述技术方案进一步实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发，提高了UDP报文的安全性。在一个可选的实现中，基于物联网设备发送的至少一个密码套件，向物联网设备发送目标密码套件，包括：接收物联网设备发送至少一个密码套件；从至少一个密码套件中选取的目标密码套件；向物联网设备发送目标密码套件，以建立DTLS连接。该方式具体介绍了代理服务器与物联网设备间建立的DTLS连接。在一个可选的实现中，该方法还可以包括：对与物联网设备建立的DTLS连接设置第一时间阈值，第一时间阈值为DTLS连接在代理服务器侧的空闲保活时间；在接收到物联网设备发送的第一UDP报文之后，重新对DTLS连接的第一时间阈值进行计时。上述实施方式可以维持本次转发服务不关闭，不必多次建立DTLS连接，节省了额外的代理步骤。在一个可选的实现中，当物联网设备的数量为至少一个时，向物联网设备发送转发服务的服务信息，服务信息包括IP地址和端口信息和有效时间，包括：向至少一个物联网设备发送转发服务的服务信息，服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。上述实施方式进一步说明一个转发服务可以同时服务多个物联网设备，实现转发服务的端口复用，降低资源消耗。第二方面，提供了另一种用户数据报协议报文的转发方法，该方法可以包括：向代理服务器发送代理请求，代理请求包括标识和密钥认证码，密钥认证码是采用预设密钥算法，对标识和派生密钥进行运算获取的，标识是所述代理服务器分配的；接收代理服务器根据所述标识和密钥认证码发送的转发服务的服务信息，服务信息包括IP地址、端口信息和有效时间；基于向代理服务器发送至少一个密码套件，获取代理服务器从至少一个密码套件中选取的目标密码套件，以建立DTLS连接；采用目标密码套件，对待发送UDP报文进行加密，得到第一UDP报文，第一UDP报文包括目标业务服务器的位置信息和第一数据，位置信息包括目标IP地址、目标端口信息；基于服务信息，向代理服务器发送第一UDP报文。上述技术方案实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发，提高了UDP报文的安全性。在一个可选的实现中，向代理服务器发送代理请求之前，该方法还可以包括：向代理服务器发送注册请求；接收所述代理服务器基于注册请求发送的标识。该方式使物联网设备获取代理服务器为其分配的唯一标识，以便后续基于该标识为其分配转发服务。在一个可选的实现中，向代理服务器发送第一UDP报文之后，该方法还包括：接收代理服务器发送的第二UDP报文，第二UDP报文是采用预设密码套件，对待发送UDP报文进行加密得到的，第二UDP报文包括目标业务服务器的位置信息和第二数据，第二数据为目标业务服务器基于第一数据发送的数据。上述技术方案进一步实现了在代理服务器与物联网设备间是基于UDP协议进行UDP报文的转发，提高了UDP报文的安全性。在一个可选的实现中，该方法还可以包括：对与代理服务器建立的DTLS连接设置第二时间阈值，第二时间阈值为DTLS连接在物联网设备侧的空闲保活时间；在接收代理服务器发送的第二UDP报文之后，重新对DTLS连接的第二时本文档来自技高网...

【技术保护点】
1.一种用户数据报协议报文的转发方法，其特征在于，所述方法包括：/n接收物联网设备发送的代理请求，所述代理请求包括所述物联网设备的标识和密钥认证码，所述密钥认证码是所述物联网设备采用预设密钥算法对派生密钥进行运算获取的；/n当接收的所述标识与存储的标识一致，且存储的标识对应的密钥认证码与接收的所述密钥认证码一致时，向所述物联网设备发送转发服务的服务信息，所述服务信息包括IP地址、端口信息和有效时间；/n基于所述物联网设备发送的至少一个密码套件，向所述物联网设备发送目标密码套件；/n接收所述物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文，所述第一UDP报文是所述物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的，所述第一UDP报文包括目标业务服务器的位置信息和第一数据，所述位置信息包括目标IP地址、目标端口信息；/n基于所述目标密码套件，对所述第一UDP报文进行解密，得到所述位置信息和所述第一数据；/n将所述第一数据发送至所述位置信息对应的目标业务服务器。/n

【技术特征摘要】
1.一种用户数据报协议报文的转发方法，其特征在于，所述方法包括：
接收物联网设备发送的代理请求，所述代理请求包括所述物联网设备的标识和密钥认证码，所述密钥认证码是所述物联网设备采用预设密钥算法对派生密钥进行运算获取的；
当接收的所述标识与存储的标识一致，且存储的标识对应的密钥认证码与接收的所述密钥认证码一致时，向所述物联网设备发送转发服务的服务信息，所述服务信息包括IP地址、端口信息和有效时间；
基于所述物联网设备发送的至少一个密码套件，向所述物联网设备发送目标密码套件；
接收所述物联网设备基于所述服务信息发送的第一用户数据报协议UDP报文，所述第一UDP报文是所述物联网设备采用所述目标密码套件对待发送UDP报文进行加密得到的，所述第一UDP报文包括目标业务服务器的位置信息和第一数据，所述位置信息包括目标IP地址、目标端口信息；
基于所述目标密码套件，对所述第一UDP报文进行解密，得到所述位置信息和所述第一数据；
将所述第一数据发送至所述位置信息对应的目标业务服务器。


2.如权利要求1所述的方法，其特征在于，接收物联网设备发送的代理请求之前，所述方法还包括：
基于物联网设备发送的注册请求，获取派生密钥和分配给所述物联网设备的标识；
向所述物联网设备发送所述标识。


3.如权利要求1或2所述的方法，其特征在于，将所述第一数据发送至所述目标业务服务信息对应的目标业务服务器之后，所述方法还包括：
接收所述目标业务服务器基于所述第一数据发送的第二数据；
向所述物联网设备发送第二UDP报文，所述第二UDP报文是采用所述预设密码套件，对待发送UDP报文进行加密得到的，所述第二UDP报文包括所述目标业务服务器的位置信息和所述第二数据。


4.如权利要求1所述的方法，其特征在于，基于所述物联网设备发送的至少一个密码套件，向所述物联网设备发送目标密码套件，包括：
接收所述物联网设备发送至少一个密码套件；
从所述至少一个密码套件中选取的目标密码套件；
向所述物联网设备发送所述目标密码套件，以建立数据包传输层安全性协议DTLS连接。


5.如权利要求4所述的方法，其特征在于，所述方法还包括：
对与所述物联网设备建立的DTLS连接设置第一时间阈值，所述第一时间阈值为所述DTLS连接在所述代理服务器侧的空闲保活时间；
在接收到所述物联网设备发送的第一UDP报文之后，重新对所述DTLS连接的所述第一时间阈值进行计时。


6.如权利要求1所述的方法，其特征在于，当所述物联网设备的数量为至少一个时，所述向所述物联网设备发送转发服务的服务信息，所述服务信息包括IP地址和端口信息和有效时间，包括：
向所述至少一个物联网设备发送转发服务的服务信息，所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。


7.一种用户数据报协议报文的转发方法，其特征在于，所述方法包括：
向代理服务器发送代理请求，所述代理请求包括标识和密钥认证码，所述密钥认证码是采用预设密钥算法，对所述标识和派生密钥进行运算获取的，所述标识是所述代理服务器分配的；
接收所述代理服务器根据所述标识和所述密钥认证码发送的转发服务的服务信息，所述服务信息包括IP地址、端口信息和有效时间；
基于向所述代理服务器发送至少一个密码套件，获取所述代理服务器从所述至少一个密码套件中选取的目标密码套件，以建立DTLS连接；
采用所述目标密码套件，对待发送UDP报文进行加密，得到第一UDP报文，所述第一UDP报文包括目标业务服务器的位置信息和第一数据，所述位置信息包括目标IP地址、目标端口信息；
基于所述服务信息，向所述代理服务器发送第一UDP报文。


8.如权利要求7所述的方法，其特征在于，向代理服务器发送代理请求之前，所述方法还包括：
向代理服务器发送注册请求；
接收所述代理服务器基于所述注册请求发送的标识。


9.如权利要求7或8所述的方法，其特征在于，向所述代理服务器发送第一UDP报文之后，所述方法还包括：
接收所述代理服务器发送的第二UDP报文，所述第二UDP报文是采用所述预设密码套件，对待发送UDP报文进行加密得到的，所述第二UDP报文包括所述目标业务服务器的位置信息和第二数据，所述第二数据为所述目标业务服务器基于所述第一数据发送的数据。


10.如权利要求7所述的方法，其特征在于，所述方法还包括：
对与所述代理服务器建立的DTLS连接设置第二时间阈值，所述第二时间阈值为所述DTLS连接在所述物联网设备侧的空闲保活时间；
在接收所述代理服务器发送的第二UDP报文之后，重新对所述DTLS连接的所述第二时间阈值进行计时。


11.如权利要求7所述的方法，其特征在于，所述服务信息包括至少一个IP地址、至少一个端口信息和至少一个有效时间。


12.一种转发装置，其特征在于，所述装置包括：
接收单元，用于接收物联网设备发送的代理请求，所述代理请求包括所述物联网设备的标识和密钥认证码，所述密钥认证码是所述物联网设备采用预设密钥算法对派生密钥进行运算获取的；
发送单元，用于当接收的所述标识与存储的标识一致，且存储的标识对应的密钥认证码与接收的所述密钥认证码一致时，向所述物联网设备发送转发服务的服务信息，所述服务信息包括IP地址、端口信息和有效时间；
基于所述物联网设备发送的至少一个密码套件，向所述物联网设备发送目标密码套件；
...

【专利技术属性】
技术研发人员：曾英佩，徐志辉，孟祥路，王海栋，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团有限公司，
类型：发明
国别省市：浙江;33