数据保护方法、装置以及系统制造方法及图纸

本发明专利技术实施例公开一种数据保护方法、装置及系统，该方法包括：第一设备获取原始数据；第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥；第一设备使用对称密钥或对称密钥推演的密钥对所述原始数据进行安全性保护，以得到受保护数据包；安全性保护包括加密和/或完整性保护；第一设备向第二设备发送受保护数据包；其中，当第一设备为用户设备时，第二设备为接入网设备；当第一设备为接入网设备时，第二设备为用户设备；接入网设备为接入网的集中处理单元CU。实施本发明专利技术实施例能够实现小数据不需要网络认证就能安全入网，提高IOT设备的入网效率，降低IOT设备的流量费用。

Data protection methods, devices and systems

【技术实现步骤摘要】
【国外来华专利技术】数据保护方法、装置以及系统
本专利技术涉及通信领域，尤其涉及数据保护方法、装置以及系统。
技术介绍
随着移动互联网的快速发展，越来越多垂直行业的的物联网（internetofthings,IoT)设备需要接入运营商经营的通信网络。不同于传统的移动设备，I0T设备的特征是数量大，而且I0T设备生命周期的大部分时间都是发送零星的小数据（smalldata)。在当前的通信网络（如蜂窝网络）中，设备通常采用针对全球用户识别卡(universalsubscriberidentitymodule,USBi)中包含的身份和对称密钥进行验证的方式入网，其认证方式主要包括EPS-AKA(evolvedpacketsystem-authenticationandkeyagreement)认证协议。在这种验证方式下，一方面，认证是一个中心化的认证方式，所有的认证最后都需要用户签约服务器（homesubscriberserver,HSS)的参与。另一方面，USIM卡加密所要求相对高的流量费用。对于I0T设备而言，基于现有技术的验证方式入网时，大量的I0T设备的入网认证会导致HSS的拥塞，大大降低数据入网效率。另外，大量的I0T设备也难以承受该验证方式所带来的高流量费用。也就是说，目前的加密认证方法并不匹配I0T设备的数据特点。
技术实现思路
本专利技术实施例公开了数据保护方法、装置以及系统，实施本专利技术实施例能够解决目前的加密认证方法不匹配I0T设备的数据特点的问题，实现小数据不需要网络认证就能安全入网，提高I0T设备的入网效率，降低I0T设备的流量费用。第一方面，本专利技术实施例公开了一种数据保护方法，从第一设备单侧描述。该方法包括：第一设备获取待传输的原始数据；所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥；所述第一设备使用安全密钥对所述原始数据进行安全性保护，以得到受保护数据包；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性保护包括加密和/或完整性保护；所述第一设备向第二设备发送所述受保护数据包；其中，当所述第一设备为用户设备（（userequipment,UE)时，所述第二设备为接入网设备；当所述第一设备为接入网设备时，所述第二设备为用户设备；其中，所述接入网设备包括接入网AN的集中处理单元（centralunit,CU)或者接入网的网关。其中，所述原始数据为小数据（smalldata)。在可能的实施例中，所述第一设备的私钥预配置于所述第一设备中。在本专利技术实施例中，在所述第一设备和所述第二设备不建立空口连接的情况下，所述第一设备向所述第二设备发送所述受保护数据包。也即是说，在第一设备不需要事先与第二设备进行通信认证就可以发送所述受保护数据包。具体的，所述受保护数据包为分组数据汇聚协议(packetdataconvergenceprotocol,PDCP)数据包。实施本专利技术实施例，UE与其对应的CU之间独立进行安全性的保护/验证，不需要进行网络认证就可实现小数据入网，有利于实现大量的UE与CU之间的小数据传输，有效避免了中心化认证方式的弊端，而且由于受保护数据包中携带较少验证信息，所以能够减少数据入网的流量。结合第一方面，在第一种可能的应用场景中，所述第一设备为用户设备，所述第二设备为接入网设备，在这种场景下，数据传输为上行传输，具体如下：所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥（CU公钥）生成对称密钥。结合第一方面的第一种可能的应用场景，在可能的实施方式中，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的。在本专利技术实施例中，UE为可以物联网I0T设备、终端设备或通信设备。当UE为I0T设备时，I0T设备大部分时间发送零星的小数据，但是偶尔也会发送连续的大数据。例如当有突发性事件发生的时候，如火灾、车祸、或者需要进行功能测试、软件更新、运行复杂功能应用的时候，这些I0T设备可能也会发送连续数据，因此，这些I0T设备也需要具备传统网络设备通过双向认证建立宽带连接的能力。在这种情况下，如果UE、CU和认证服务器网元（authenticationserverfunction,AUSF)事先预置了各自的基于身份的密码技术(identitybasedcryptography,IBC)信任状(credential),那么UE通过CU、AMF进而与AUSF做双向认证。完成双向认证后，接入与移动管理网元（accessandmobilitymanagementfunction,AMF)获得UE公钥，并向CU发送所述UE公钥，CU进而向UE发送CU公钥。此时，所述受保护数据包包括：用户设备的临时身份标识T—ID。可选的，所述用户设备的临时身份标识为所述用户设备与核心网（corenetwork,CN)认证成功之后，所述用户设备从核心网网元获取到的；在本专利技术可能的实施例中，为了提高数据传输和保护的隐私性，AMF生成用户设备的临时身份标识T—ID，并向UE和CU配置所述T—ID，所述T—ID用于表征UE临时性的合法身份，例如所述T—ID可以是随机字符串、编码序列等等。所述T—ID预设有临时性的期限，在预设的期限内（例如1天/5天/10天等等），UE和CU将T—ID作为需要保护的小数据的唯一安全保护标识，所述UE和CU可基于所述T—ID对小数据进行相应的安全性保护/验证。UE需要向CU上传小数据时，将T—ID封装在所述受保护数据包中。在本专利技术实施例中，所述T—ID预设有临时性的期限，在预设的期限内UE和CU可基于所述T—ID对小数据进行相应的安全性保护/验证，超过预设的期限时，该T—ID失效，UE和CU需要更新T—ID才能继续进行相应的安全性保护/验证。可选的，所述用户设备通过所述接入网设备向所述核心网网元发送临时身份标识的更新请求，以便于所述核心网网元基于所述更新请求生成所述用户设备新的临时身份标识，从而实现所述用户设备的临时身份标识的更新。在可能的实施例中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的；其中，所述接入网设备用于生成所述用户设备的临时身份标识。相应的，T—ID接近预设期限时，所述用户设备向所述接入网设备发送临时身份标识的更新请求，以便于所述接入网设备基于所述更新请求生成所述用户设备新的临时身份标识，从而实现所述用户设备的临时身份标识的更新。结合第一方面的第一种可能的应用场景，在可能的实施方式中，所述接入网设备的公钥为所述用户设备从所述接入网设备的广播消息中获得的。在本专利技术实施例中，UE和CU各自提前获取了基于IBC的信任状。UE通过接收基站的广播消息，获得CU公钥，相应的，CU存储所述CU公钥。具体的，所述UE公钥为基于RFC6507的IBC公钥。此时，所述受保护数据包包括所述用户设备的公钥。在具体的实施例本文档来自技高网...

【技术保护点】
权利 要求 /n1、 一种数据保护方法， 其特征在于， 包括： /n 第一设备获取待传输的原始数据； /n 所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥； /n 所述第一设备使用安全密钥对所述原始数据进行安全性保护， 以得到受保护数据包； 其中， 所述安全密钥包括所述对称密钥， 或者， 所述安全密钥包括由所述对称密钥推演的 密钥； 所述安全性保护包括加密和 /或完整性保护； /n 所述第一设备向第二设备发送所述受保护数据包； /n 其中， 当所述第一设备为用户设备时， 所述第二设备为接入网设备； 当所述第一设备 为接入网设备时， 所述第二设备为用户设备； 其中， 所述接入网设备包括接入网 AN的集中 处理单元 CU或者接入网的网关。 /n2、 根据权利要求 1所述的方法， 其特征在于， 所述第一设备向第二设备发送所述受保 护数据包， 具体为： /n 在所述第一设备和所述第二设备不建立空口连接的情况下， 所述第一设备向所述第二 设备发送所述受保护数据包。 /n3、 根据权利要求 1或 2所述的方法， 其特征在于， 在所述第一设备为用户设备， 所述 第二设备为接入网设备的情况下， /n 所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥， 具体为： 所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。 /n4、 根据权利要求 3所述的方法， 其特征在于， 所述接入网设备的公钥为所述用户设备 与核心网认证成功之后， 所述用户设备从所述接入网设备获取到的。 /n5、 根据权利要求 4所述的方法， 其特征在于， 所述受保护数据包包括： 用户设备的临 时身份标识， 用户设备的临时身份标识预设有期限阈值； /n 其中， 所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后， 所述用 户设备从核心网网元获取到的； 当所述用户设备检测到所述临时身份标识的使用时间达到 所述期限阈值， 所述用户设备通过所述接入网设备向所述核心网网元发送临时身份标识的 更新请求， 以便于所述核心网网元基于所述更新请求更新所述用户设备的临时身份标识； 或者， 所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后， 所述用 户设备从所述接入网设备获取到的； 当所述用户设备检测到所述临时身份标识的使用时间 达到所述期限阈值， 所述用户设备向所述接入网设备发送临时身份标识的更新请求， 以便 于所述接入网设备基于所述更新请求更新所述用户设备的临时身份标识。 /n6、 根据权利要求 3所述的方法， 其特征在于， 所述接入网设备的公钥为所述用户设备 从所述接入网设备的广播消息中获得的。 /n7、 根据权利要求 1或 2所述的方法， 其特征在于， 在所述第一设备为接入网设备， 所 述第二设备为用户设备的情况下， /n 所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥， 具体为： 所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。 /n8、 根据权利要求 7所述的方法， 其特征在于， 所述用户设备的公钥为所述用户设备与 核心网认证成功之后， 所述接入网设备从核心网网元获取到的； /n 其中，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥。 /n9、 根据权利要求 8所述的方法， 其特征在于， 所述受保护数据包包括： 所述用户设备 的临时身份标识； /n 其中， 所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后， 所述接 入网设备从所述核心网网元获取到的； /n 或者， 所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后， 所述接 入网设备生成的。 /n10、 根据权利要求 8或 9所述的方法， 其特征在于， 所述方法还包括： /n 在需要切换接入网设备的通信场景下， 所述接入网设备向目标接入网设备发送第一切 换消息； 所述第一切换消息包括： 所述用户设备的公钥、 用户设备的临时身份标识、 路由 信息； /n 所述接入网设备接收所述目标接入网设备反馈的第一切换确认消息； 所述第一切换确 认消息包括所述目标接入网设备的公钥； /n 所述接入网设备向所述用户设备发送第二切换消息； 所述第二切换消息包括所述目标 接入网设备的公钥； /n 所述接入网设备接收所述用户设备反馈的第二切换确认消息， 基于所述第二切换确认 消息删除所述接入网设备中的所述用户设备的临时身份标识和所述用户设备的公钥。 /n11、 根据权利要求 7所述的方法， 其特征在于， 在所述接入网设备基于所述接入网设 备的私钥和所述用户设备的公钥生成对称密钥之前， 包括： /n 所述接入网设备接收所述所述用户设备发送的受保护数据包， 所述受保护数据包包括 所述用户设备的公钥； /n 所述接...

【技术特征摘要】
【国外来华专利技术】权利要求
1、一种数据保护方法，其特征在于，包括：
第一设备获取待传输的原始数据；
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥；
所述第一设备使用安全密钥对所述原始数据进行安全性保护，以得到受保护数据包；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性保护包括加密和/或完整性保护；
所述第一设备向第二设备发送所述受保护数据包；
其中，当所述第一设备为用户设备时，所述第二设备为接入网设备；当所述第一设备为接入网设备时，所述第二设备为用户设备；其中，所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。
2、根据权利要求1所述的方法，其特征在于，所述第一设备向第二设备发送所述受保护数据包，具体为：
在所述第一设备和所述第二设备不建立空口连接的情况下，所述第一设备向所述第二设备发送所述受保护数据包。
3、根据权利要求1或2所述的方法，其特征在于，在所述第一设备为用户设备，所述第二设备为接入网设备的情况下，
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。
4、根据权利要求3所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的。
5、根据权利要求4所述的方法，其特征在于，所述受保护数据包包括：用户设备的临时身份标识，用户设备的临时身份标识预设有期限阈值；
其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述用户设备从核心网网元获取到的；当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值，所述用户设备通过所述接入网设备向所述核心网网元发送临时身份标识的更新请求，以便于所述核心网网元基于所述更新请求更新所述用户设备的临时身份标识；或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的；当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值，所述用户设备向所述接入网设备发送临时身份标识的更新请求，以便于所述接入网设备基于所述更新请求更新所述用户设备的临时身份标识。
6、根据权利要求3所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备
从所述接入网设备的广播消息中获得的。
7、根据权利要求1或2所述的方法，其特征在于，在所述第一设备为接入网设备，所述第二设备为用户设备的情况下，
所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。
8、根据权利要求7所述的方法，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述接入网设备从核心网网元获取到的；
其中，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥。
9、根据权利要求8所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；
其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述接入网设备从所述核心网网元获取到的；
或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述接入网设备生成的。
10、根据权利要求8或9所述的方法，其特征在于，所述方法还包括：
在需要切换接入网设备的通信场景下，所述接入网设备向目标接入网设备发送第一切换消息；所述第一切换消息包括：所述用户设备的公钥、用户设备的临时身份标识、路由信息；
所述接入网设备接收所述目标接入网设备反馈的第一切换确认消息；所述第一切换确认消息包括所述目标接入网设备的公钥；
所述接入网设备向所述用户设备发送第二切换消息；所述第二切换消息包括所述目标接入网设备的公钥；
所述接入网设备接收所述用户设备反馈的第二切换确认消息，基于所述第二切换确认消息删除所述接入网设备中的所述用户设备的临时身份标识和所述用户设备的公钥。
11、根据权利要求7所述的方法，其特征在于，在所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥之前，包括：
所述接入网设备接收所述所述用户设备发送的受保护数据包，所述受保护数据包包括所述用户设备的公钥；
所述接入网设备存储所述用户设备的公钥。
12、根据权利要求8至10任一项所述的方法，其特征在于，所述核心网网元为接入与移动管理网元AMF。
13、一种数据保护方法，其特征在于，包括：
第二设备接收第一设备发送的受保护数据包；
所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥；所述第二设备使用安全密钥对所述受保护数据包进行安全性验证，以得到原始数据；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性验证包括解密和/或完整性验证。
其中，当所述第二设备为接入网设备时，所述第一设备为用户设备；当所述第二设备为用户设备时，所述一设备为接入网设备；其中，所述接入网设备包括接入网AN的集中处理单元CU，或者接入网的网关。
14、根据权利要求13所述的方法，其特征在于，第二设备接收第一设备发送的受保护数据包，具体为-在所述第一设备和所述第二设备不建立空口连接的情况下，所述第二设备接收所述第一设备发送的受保护数据包。
15、根据权利要求13或14所述的方法，其特征在于，在所述第二设备为接入网设备，所述第一设备为用户设备的情况下，
所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥，具体为:所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。
16、根据权利要求15所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；
第二设备接收第一设备发送的受保护数据包，包括：所述接入网设备基于所述用户设备的临时身份标识接收所述用户设备发送的受保护数据包。
17、根据权利要求16所述的方法，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述接入网设备从核心网网元获取到的，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥；
所述用户设备的公钥与所述用户设备的临时身份标识具有对应关系，所述接入网设备基于所述用户设备的临时身份标识确定所述用户设备的公钥。
18、根据权利要求15所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的公钥；
在所述第二设备接收所述第一设备发送的受保护数据包之后，包括：所述接入网设备从所述受保护数据包中获得并存储所述用户设备的公钥。
19、根据权利要求13或14所述的方法，其特征在于，在所述第二设备为用户设备，所述第一设备为接入网设备的情况下，所述第二设备基于所述第二设备的私钥和所述第一
设备的公钥生成对称密钥，具体为：
所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。
20、根据权利要求19所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；
第二设备接收第一设备发送的受保护数据包，包括：所述用户设备基于所述用户设备的临时身份标识接收所述接入网设备发送的受保护数据包。
21、根据权利要求20所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的。
22、根据权利要求19所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备从所述接入网设备的广播消息中获得的。
23、一种设备，其特征在于，所述设备为第一设备，所述第一设备包括：收发器、存储器和与存储器耦合的处理器；所述存储器用于存储程序代码；当所述程序代码被运行时，所述处理器执行以下操作：
获取待传输的原始数据；
基于所述第一设备的私钥和第二设备的公钥生成对称密钥；
使用安全密钥对所述原始数据进行安全性保护，以得到受保护数据包；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性保护包括加密和/或完整性保护；
通过所述收发器向第二设备发送所述受保护数据包；
其中，当所述第一设备为用户设备时，所述第二设备为接入网设备；当所述第一设备为接入网设备时，所述第二设备为用户设备；其中，所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。
24、根据权利要求23所述的设备，其特征在于，所述处理器执行通过所述收发器向第二设备发送所述受保护数据包，具体为：
在所述第一设备和所述第二设备不建立空口连接的情况下，所...

【专利技术属性】
技术研发人员：王海光，刘斐，康鑫，雷中定，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡;SG