【技术实现步骤摘要】
【国外来华专利技术】数据保护方法、装置以及系统
本专利技术涉及通信领域,尤其涉及数据保护方法、装置以及系统。
技术介绍
随着移动互联网的快速发展,越来越多垂直行业的的物联网(internetofthings,IoT)设备需要接入运营商经营的通信网络。不同于传统的移动设备,I0T设备的特征是数量大,而且I0T设备生命周期的大部分时间都是发送零星的小数据(smalldata)。在当前的通信网络(如蜂窝网络)中,设备通常采用针对全球用户识别卡(universalsubscriberidentitymodule,USBi)中包含的身份和对称密钥进行验证的方式入网,其认证方式主要包括EPS-AKA(evolvedpacketsystem-authenticationandkeyagreement)认证协议。在这种验证方式下,一方面,认证是一个中心化的认证方式,所有的认证最后都需要用户签约服务器(homesubscriberserver,HSS)的参与。另一方面,USIM卡加密所要求相对高的流量费用。对于I0T设备而言,基于现有技术的验证方式入网时,大量的I0T设备的入网认证会导致HSS的拥塞,大大降低数据入网效率。另外,大量的I0T设备也难以承受该验证方式所带来的高流量费用。也就是说,目前的加密认证方法并不匹配I0T设备的数据特点。
技术实现思路
本专利技术实施例公开了数据保护方法、装置以及系统,实施本专利技术实施例能够解决目前的加密认证方法不匹配I0T设备的数据特点的问题,实现小数据不需要网络认证就能安全入网,提高I0T设备的入网效率,降低I0T设 ...
【技术保护点】
权利 要求 /n1、 一种数据保护方法, 其特征在于, 包括: /n 第一设备获取待传输的原始数据; /n 所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥; /n 所述第一设备使用安全密钥对所述原始数据进行安全性保护, 以得到受保护数据包; 其中, 所述安全密钥包括所述对称密钥, 或者, 所述安全密钥包括由所述对称密钥推演的 密钥; 所述安全性保护包括加密和 /或完整性保护; /n 所述第一设备向第二设备发送所述受保护数据包; /n 其中, 当所述第一设备为用户设备时, 所述第二设备为接入网设备; 当所述第一设备 为接入网设备时, 所述第二设备为用户设备; 其中, 所述接入网设备包括接入网 AN的集中 处理单元 CU或者接入网的网关。 /n2、 根据权利要求 1所述的方法, 其特征在于, 所述第一设备向第二设备发送所述受保 护数据包, 具体为: /n 在所述第一设备和所述第二设备不建立空口连接的情况下, 所述第一设备向所述第二 设备发送所述受保护数据包。 /n3、 根据权利要求 1或 2所述的方法, 其特征在于, 在所述第一设备为用户设备, 所述 第二设备为接入网设备的 ...
【技术特征摘要】
【国外来华专利技术】权利要求
1、一种数据保护方法,其特征在于,包括:
第一设备获取待传输的原始数据;
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥;
所述第一设备使用安全密钥对所述原始数据进行安全性保护,以得到受保护数据包;其中,所述安全密钥包括所述对称密钥,或者,所述安全密钥包括由所述对称密钥推演的密钥;所述安全性保护包括加密和/或完整性保护;
所述第一设备向第二设备发送所述受保护数据包;
其中,当所述第一设备为用户设备时,所述第二设备为接入网设备;当所述第一设备为接入网设备时,所述第二设备为用户设备;其中,所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。
2、根据权利要求1所述的方法,其特征在于,所述第一设备向第二设备发送所述受保护数据包,具体为:
在所述第一设备和所述第二设备不建立空口连接的情况下,所述第一设备向所述第二设备发送所述受保护数据包。
3、根据权利要求1或2所述的方法,其特征在于,在所述第一设备为用户设备,所述第二设备为接入网设备的情况下,
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥,具体为:所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。
4、根据权利要求3所述的方法,其特征在于,所述接入网设备的公钥为所述用户设备与核心网认证成功之后,所述用户设备从所述接入网设备获取到的。
5、根据权利要求4所述的方法,其特征在于,所述受保护数据包包括:用户设备的临时身份标识,用户设备的临时身份标识预设有期限阈值;
其中,所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后,所述用户设备从核心网网元获取到的;当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值,所述用户设备通过所述接入网设备向所述核心网网元发送临时身份标识的更新请求,以便于所述核心网网元基于所述更新请求更新所述用户设备的临时身份标识;或者,所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后,所述用户设备从所述接入网设备获取到的;当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值,所述用户设备向所述接入网设备发送临时身份标识的更新请求,以便于所述接入网设备基于所述更新请求更新所述用户设备的临时身份标识。
6、根据权利要求3所述的方法,其特征在于,所述接入网设备的公钥为所述用户设备
从所述接入网设备的广播消息中获得的。
7、根据权利要求1或2所述的方法,其特征在于,在所述第一设备为接入网设备,所述第二设备为用户设备的情况下,
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥,具体为:所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。
8、根据权利要求7所述的方法,其特征在于,所述用户设备的公钥为所述用户设备与核心网认证成功之后,所述接入网设备从核心网网元获取到的;
其中,所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥。
9、根据权利要求8所述的方法,其特征在于,所述受保护数据包包括:所述用户设备的临时身份标识;
其中,所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后,所述接入网设备从所述核心网网元获取到的;
或者,所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后,所述接入网设备生成的。
10、根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
在需要切换接入网设备的通信场景下,所述接入网设备向目标接入网设备发送第一切换消息;所述第一切换消息包括:所述用户设备的公钥、用户设备的临时身份标识、路由信息;
所述接入网设备接收所述目标接入网设备反馈的第一切换确认消息;所述第一切换确认消息包括所述目标接入网设备的公钥;
所述接入网设备向所述用户设备发送第二切换消息;所述第二切换消息包括所述目标接入网设备的公钥;
所述接入网设备接收所述用户设备反馈的第二切换确认消息,基于所述第二切换确认消息删除所述接入网设备中的所述用户设备的临时身份标识和所述用户设备的公钥。
11、根据权利要求7所述的方法,其特征在于,在所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥之前,包括:
所述接入网设备接收所述所述用户设备发送的受保护数据包,所述受保护数据包包括所述用户设备的公钥;
所述接入网设备存储所述用户设备的公钥。
12、根据权利要求8至10任一项所述的方法,其特征在于,所述核心网网元为接入与移动管理网元AMF。
13、一种数据保护方法,其特征在于,包括:
第二设备接收第一设备发送的受保护数据包;
所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥;所述第二设备使用安全密钥对所述受保护数据包进行安全性验证,以得到原始数据;其中,所述安全密钥包括所述对称密钥,或者,所述安全密钥包括由所述对称密钥推演的密钥;所述安全性验证包括解密和/或完整性验证。
其中,当所述第二设备为接入网设备时,所述第一设备为用户设备;当所述第二设备为用户设备时,所述一设备为接入网设备;其中,所述接入网设备包括接入网AN的集中处理单元CU,或者接入网的网关。
14、根据权利要求13所述的方法,其特征在于,第二设备接收第一设备发送的受保护数据包,具体为-在所述第一设备和所述第二设备不建立空口连接的情况下,所述第二设备接收所述第一设备发送的受保护数据包。
15、根据权利要求13或14所述的方法,其特征在于,在所述第二设备为接入网设备,所述第一设备为用户设备的情况下,
所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥,具体为:所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。
16、根据权利要求15所述的方法,其特征在于,所述受保护数据包包括:所述用户设备的临时身份标识;
第二设备接收第一设备发送的受保护数据包,包括:所述接入网设备基于所述用户设备的临时身份标识接收所述用户设备发送的受保护数据包。
17、根据权利要求16所述的方法,其特征在于,所述用户设备的公钥为所述用户设备与核心网认证成功之后,所述接入网设备从核心网网元获取到的,所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥;
所述用户设备的公钥与所述用户设备的临时身份标识具有对应关系,所述接入网设备基于所述用户设备的临时身份标识确定所述用户设备的公钥。
18、根据权利要求15所述的方法,其特征在于,所述受保护数据包包括:所述用户设备的公钥;
在所述第二设备接收所述第一设备发送的受保护数据包之后,包括:所述接入网设备从所述受保护数据包中获得并存储所述用户设备的公钥。
19、根据权利要求13或14所述的方法,其特征在于,在所述第二设备为用户设备,所述第一设备为接入网设备的情况下,所述第二设备基于所述第二设备的私钥和所述第一
设备的公钥生成对称密钥,具体为:
所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。
20、根据权利要求19所述的方法,其特征在于,所述受保护数据包包括:所述用户设备的临时身份标识;
第二设备接收第一设备发送的受保护数据包,包括:所述用户设备基于所述用户设备的临时身份标识接收所述接入网设备发送的受保护数据包。
21、根据权利要求20所述的方法,其特征在于,所述接入网设备的公钥为所述用户设备与核心网认证成功之后,所述用户设备从所述接入网设备获取到的。
22、根据权利要求19所述的方法,其特征在于,所述接入网设备的公钥为所述用户设备从所述接入网设备的广播消息中获得的。
23、一种设备,其特征在于,所述设备为第一设备,所述第一设备包括:收发器、存储器和与存储器耦合的处理器;所述存储器用于存储程序代码;当所述程序代码被运行时,所述处理器执行以下操作:
获取待传输的原始数据;
基于所述第一设备的私钥和第二设备的公钥生成对称密钥;
使用安全密钥对所述原始数据进行安全性保护,以得到受保护数据包;其中,所述安全密钥包括所述对称密钥,或者,所述安全密钥包括由所述对称密钥推演的密钥;所述安全性保护包括加密和/或完整性保护;
通过所述收发器向第二设备发送所述受保护数据包;
其中,当所述第一设备为用户设备时,所述第二设备为接入网设备;当所述第一设备为接入网设备时,所述第二设备为用户设备;其中,所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。
24、根据权利要求23所述的设备,其特征在于,所述处理器执行通过所述收发器向第二设备发送所述受保护数据包,具体为:
在所述第一设备和所述第二设备不建立空口连接的情况下,所...
【专利技术属性】
技术研发人员:王海光,刘斐,康鑫,雷中定,
申请(专利权)人:华为国际有限公司,
类型:发明
国别省市:新加坡;SG
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。