数据传输方法、相关设备以及系统技术方案

本申请公开了数据传输方法、相关设备和系统，该方法包括：第一接入网设备接收用户设备(例如IoT设备)发送的数据包(例如小数据)，所述数据包包括第一Cookie和原始数据；所述第一接入网设备验证所述第一Cookie，获得验证结果；所述第一接入网设备基于所述验证结果处理所述原始数据。实施本发明专利技术实施例，能够减轻大量用户设备需要进行通信时网络侧的负担，提高数据传输效率。

【技术实现步骤摘要】
【国外来华专利技术】数据传输方法、相关设备以及系统
本申请涉及通信
，尤其涉及数据传输方法、相关设备以及系统。
技术介绍
随着移动互联网的快速发展，越来越多垂直行业的的物联网（InternetofThings,IoT)设备需要接入运营商经营的通信网络。不同于传统的移动设备，ΙΟΤ设备的特征是数量大，而且ΙΟΤ设备生命周期的大部分时间都是发送零星的小数据（smalldata)。在当前的通信网络（如蜂窝网络）中，用户设备通常采用针对全球用户识别卡(universalsubscriberidentitymodule,USIM)中包含的身份和对称密钥进行验证的方式入网，其认证方式主要包括EPS-AKA(evolvedpacketsystem-authenticationandkeyagreement)认证协议。用户设备需要进行数据传输时，通常是用户设备首先与网络侧先进行网络认证，认证过后再建立通信连接，然后用户设备再发送数据到网络侧。然后，对于物联网而言，面对IoT设备成千上万的通信连接需求，网络侧通信负担巨大，基于USIM对称密钥的认证方案由于认证链条较长，认证效率低，将大大降低数据传输效率，这也成为制约物联网大规模应用及用户数增长的障碍。
技术实现思路
本专利技术实施例公开一种数据传输方法、相关设备以及系统，能够减轻大量用户设备需要进行通信时网络侧的负担，提高数据传输效率。第一方面，本专利技术实施例提供了一种数据传输方法，该方法包括：第一接入网设备接收用户设备发送的数据包，所述数据包包括第一Cookie和原始数据；所述第一接入网设备验证所述第一Cookie,获得验证结果；所述第一接入网设备基于所述验证结果处理所述原始数据。在具体实施例中，所述第一Cookie包括过期时间T，假设接入网在TO时间验证所述第一Cookie;那么，所述第一接入网设备验证所述第一Cookie,获得验证结果，包括：若T0<T-TX,则所述验证结果为第一Cookie有效；若Τ-ΤΧ<Τ0<Τ+ΤΧ,则验证结果为第一Cookie即将过期；若T0>T+TX,则验证结果为第一Cookie无效；其中，所述TX为预设时间值。相应的，若验证结果为第一Cookie有效，则所述第一接入网设备解密所述原始数据，并向核心网设备发送经解密的原始数据；若验证结果为第一Cookie即将过期，则所述第一接入网设备与所述用户设备进行快速重认证，以便于更新所述用户设备中的第一Cookie;所述第一接入网设备向核心网设备发送经解密的原始数据；若验证结果为Cookie无效，则第一接入网设备与所述用户设备进行双向认证，证明用户设备身份合法性后，再重新向所述用户设备配置新的Cookie。在本专利技术实施例中，所述第一接入网设备生成所述第一Cookie,并向所述用户设备发送所述第一Cookie。具体的生成过程包括：所述第一设备与所述用户设备进行双向认证；认证通过后，所述接入网设备根据用户设备标识生成所述第一Cookie。在具体的实施例中，所述第一Cookie还包括第一Cookie类型；所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的；在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下，所述第一接入网设备验证所述第一Cookie。在具体的实施例中，所述第一Cookie还包括：第一CookieID、第一消息认证码MAC,其中：所述第一MAC=HMAC(第一CookieIDII过期时间II第一Cookie类型II第一Cookie密钥)；其中，所述第一Cookie密钥为所述接入网设备推演出来的密钥，所述第一Cookie密钥=KDF(第一CookieID,过期时间，第一Cookie类型，K);其中，所述HMAC是密钥相关的哈希运算消息认证码，KDF为密钥推演函数，K为所述第一接入网设备预设的主密钥。在收到数据包后，所述第一接入网设备根据所述第一CookieID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。在可能的实施例中，所述第一Cookie还包括：加密的用户设备标识、加密的快速重认证计数器；所述第一MAC具体为：所述第一MAC=HMAC(第一CookieIDII过期时间II第一Cookie类型IIEn(用户设备标识,K)IIEn(快速重认证计数器，K),第一Cookie密钥），其中，En为加密函数。在本专利技术实施例中，当Cookie即将过期，那么，所述第一接入网设备将与所述用户设备进行快速重认证，以更新用户设备的Cookie,过程包括：所述第一接入网设备生成第二Cookie；所述第一接入网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥，所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID;其中，所述第二Cookie密钥是第一接入网设备基于预设的主密钥推演出来的密钥。在具体实现中，所述第一消息为快速重认证消息，所述快速重认证消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段，其中，所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥，所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二CookieID。在可能的实施例中，所述第一Cookie还包括第一接入网设备标识RANID,所述RANID用于指示生成所述第一Cookie的接入网设备的ID。在第一接入网设备接收用户设备发送的数据包之后，所述第一接入网设备检验所述RANID是否为所述第一接入网设备的ID，包括以下情况：情况一：如果所述RANID是所述第一接入网设备的ID，则所述第一接入网设备验证所述第一Cookie;情况二：如果所述RANID不是所述接入网的ID，则所述第一接入网设备向所述RANID所指示的第二接入网设备发送所述第一Cookie;所述第一接入网设备接收所述第二接入网设备基于所述第一Cookie反馈的第一Cookie信息；其中，所述第一Cookie信息存储于所述第二接入网设备，所述第一Cookie信息包括所述第一CookieID、所述第一Cookie密钥和所述用户设备标识；具体的，所述第一接入网设备根据所述第一Cookie信息验证所述第一Cookie。在可能的实施例中，所述第一接入网设备还会基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥；并向所述用户设备发送所述第三Cookie和所述第三Cookie密钥，以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥；其中，所述第三Cookie中的RANID指示所述第一接入网设备的ID。在具体的实施例中，所述第一接入网设备向所述RANID所指示的第二接入网设备发送所述第一Cookie,包括两种情况：...

【技术保护点】
1、 一种数据传输方法， 其特征在于， 包括： /n 第一接入网设备接收用户设备发送的数据包，所述数据包包括第一 Cookie和原始 数据； /n 所述第一接入网设备验证所述第一 Cookie , 获得验证结果； /n 所述第一接入网设备基于所述验证结果处理所述原始数据。 /n 2、根据权利要求 1所述的方法， 其特征在于， 所述第一 Cookie包括过期时间 T， 接入网在 TO时间验证所述第一 Cookie; /n 所述第一接入网设备验证所述第一 Cookie , 获得验证结果， 包括： /n 若 T0< Τ-ΤΧ,则所述验证结果为第一 Cookie有效； /n 若 Τ-ΤΧ< Τ0<Τ+ΤΧ , 则验证结果为第一 Cookie即将过期； /n 若 T0> Τ+ΤΧ,则验证结果为第一 Cookie无效； /n 其中， 所述 TX为预设时间值。 /n 3、 根据权利要求 2所述的方法， 其特征在于， 所述第一接入网设备基于所述验证 结果处理所述原始数据， 包括： /n 若验证结果为第一 Cookie有效， 则所述第一接入网设备解密所述原始数据， 并向 核心网设备发送经解密的原始数据； /n 若验证结果为第一 Cookie即将过期，则所述第一接入网设备与所述用户设备进行 快速重认证， 以便于更新所述用户设备中的第一 Cookie; 所述第一接入网设备向核心 网设备发送经解密的原始数据。 /n 4、 根据权利要求 1至 3任一项所述的方法， 其特征在于， 在所述第一接入网设备 接收所述用户设备发送的数据包之前， 包括： /n 所述第一接入网设备与所述用户设备进行双向认证； /n 认证通过后， 所述接入网设备根据用户设备标识生成所述第一 Cookie。 /n 5、 根据权利要求 1至 4任一项所述的方法， 其特征在于， 所述第一 Cookie还包 括第一 Cookie类型； 所述第一 Cookie类型用于指示所述第一 Cookie由接入网设备或 核心网设备生成的； /n 所述第一接入网设备验证所述第一 Cookie , 包括： /n 在所述第一 Cookie类型指示所述第一 Cookie由接入网设备进行验证的情况下， 所述第一接入网设备验证所述第一 Cookie。 /n 6、根据权利要求 5所述的方法，其特征在于，所述第一 Cookie还包括：第一 Cookie ID、 第一消息认证码 MAC, 其中： /n 所述第一 MAC= HMAC (第一 Cookie IDII过期时间 II第一 Cookie类型 II第一 Cookie 密钥)； /n 其中， 所述第一 Cookie密钥为所述接入网设备推演出来的密钥， 所述第一 Cookie 密钥 =KDF (第一 Cookie ID, 过期时间， 第一 Cookie类型， K) ; /n 其中， 所述 HMAC是密钥相关的哈希运算消息认证码， KDF为密钥推演函数， K为所述第一接入网设备预设的主密钥； 所述第一接入网设备根据所述第一 Cookie ID识别所述第一 Cookie, 根据所述第 一 MAC对所述第一 Cookie进行完整性检验。 /n 7、 根据权利要求 6所述的方法， 其特征在于， 所述第一 Cookie还包括： 加密的 用户设备标识、 加密的快速重认证计数器； /n 所述第一 MAC具体为： /n 所述第一 MAC= HMAC (第一 Cookie IDII过期时间 II第一 Cookie类型 IIEn (用户设备 标识 ,K)IIEn (快速重认证计数器， K), 第一 Cookie密钥）， 其中， En为加密函数。 /n 8、 根据权利要求 1至 7任一项所述的方法， 其特征在于， 所述第一接入网设备与 所述用户设备进行快速重认证， 包括： /n 所述第一接入网设备生成第二 Cookie ； /n 所述第一接入网设备向所述用户设备发送第一消息以便于更新所述用户设备中的 第一 Cookie和第一 Cookie密钥， 所述第一消息包括第二 Cookie、 第二 Cookie密钥和 第二 Cookie ID; 其中， 所述第二 Cookie密钥是所述第一接入网设备基于预设的主密 钥推演出来的密钥。 /n 9、 根据权利要求 8所述的方法， 其特征在于， 所述第一消息包括第二 Cookie、 第二 Cookie密钥和第二 Cookie ID， 具体为： /n 所述第一消息包括 AT_IV 字段、 AT_ENCR_DATA 字段、 经加密的 AT_NEXT_REAUTH_ID字段， 其中， 所述 AT_IV字段携带有所述第二 Cookie密钥和 /或所述第二 Cookie, 所述 AT_ENCR_DATA字段携带有所述第二 Cookie和 /...

【技术特征摘要】
【国外来华专利技术】1、一种数据传输方法，其特征在于，包括：
第一接入网设备接收用户设备发送的数据包，所述数据包包括第一Cookie和原始数据；
所述第一接入网设备验证所述第一Cookie,获得验证结果；
所述第一接入网设备基于所述验证结果处理所述原始数据。
2、根据权利要求1所述的方法，其特征在于，所述第一Cookie包括过期时间T，接入网在TO时间验证所述第一Cookie;
所述第一接入网设备验证所述第一Cookie,获得验证结果，包括：
若T0<Τ-ΤΧ,则所述验证结果为第一Cookie有效；
若Τ-ΤΧ<Τ0<Τ+ΤΧ,则验证结果为第一Cookie即将过期；
若T0>Τ+ΤΧ,则验证结果为第一Cookie无效；
其中，所述TX为预设时间值。
3、根据权利要求2所述的方法，其特征在于，所述第一接入网设备基于所述验证结果处理所述原始数据，包括：
若验证结果为第一Cookie有效，则所述第一接入网设备解密所述原始数据，并向核心网设备发送经解密的原始数据；
若验证结果为第一Cookie即将过期，则所述第一接入网设备与所述用户设备进行快速重认证，以便于更新所述用户设备中的第一Cookie;所述第一接入网设备向核心网设备发送经解密的原始数据。
4、根据权利要求1至3任一项所述的方法，其特征在于，在所述第一接入网设备接收所述用户设备发送的数据包之前，包括：
所述第一接入网设备与所述用户设备进行双向认证；
认证通过后，所述接入网设备根据用户设备标识生成所述第一Cookie。
5、根据权利要求1至4任一项所述的方法，其特征在于，所述第一Cookie还包括第一Cookie类型；所述第一Cookie类型用于指示所述第一Cookie由接入网设备或核心网设备生成的；
所述第一接入网设备验证所述第一Cookie,包括：
在所述第一Cookie类型指示所述第一Cookie由接入网设备进行验证的情况下，所述第一接入网设备验证所述第一Cookie。
6、根据权利要求5所述的方法，其特征在于，所述第一Cookie还包括：第一CookieID、第一消息认证码MAC,其中：
所述第一MAC=HMAC(第一CookieIDII过期时间II第一Cookie类型II第一Cookie密钥)；
其中，所述第一Cookie密钥为所述接入网设备推演出来的密钥，所述第一Cookie密钥=KDF(第一CookieID,过期时间，第一Cookie类型，K);
其中，所述HMAC是密钥相关的哈希运算消息认证码，KDF为密钥推演函数，K为所述第一接入网设备预设的主密钥；
所述第一接入网设备根据所述第一CookieID识别所述第一Cookie,根据所述第一MAC对所述第一Cookie进行完整性检验。
7、根据权利要求6所述的方法，其特征在于，所述第一Cookie还包括：加密的用户设备标识、加密的快速重认证计数器；
所述第一MAC具体为：
所述第一MAC=HMAC(第一CookieIDII过期时间II第一Cookie类型IIEn(用户设备标识,K)IIEn(快速重认证计数器，K),第一Cookie密钥），其中，En为加密函数。
8、根据权利要求1至7任一项所述的方法，其特征在于，所述第一接入网设备与所述用户设备进行快速重认证，包括：
所述第一接入网设备生成第二Cookie；
所述第一接入网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一Cookie和第一Cookie密钥，所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID;其中，所述第二Cookie密钥是所述第一接入网设备基于预设的主密钥推演出来的密钥。
9、根据权利要求8所述的方法，其特征在于，所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID，具体为：
所述第一消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段，其中，所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Cookie密钥，所述经加密的AT_NEXT_REAUTH_ID字段携带有所述第二CookieID。
10、根据权利要求1至9任一项所述的方法，其特征在于，所述第一Cookie还包括第一接入网设备标识RANID,所述RANID用于指示生成所述第一Cookie的接入网设备的ID;
在第一接入网设备接收用户设备发送的数据包之后，还包括：所述第一接入网设备检验所述RANID是否为所述第一接入网设备的ID;
所述第一接入网设备验证所述第一Cookie,具体为：在所述RANID是所述第一接入网设备的ID的情况下，所述第一接入网设备验证所述第一Cookie。
11、根据权利要求10所述的方法，其特征在于，所述方法还包括：
所述第一接入网设备验证所述第一Cookie之前，还包括：
在所述RANID不是所述接入网的ID的情况下，所述第一接入网设备向所述RAN
ID所指示的第二接入网设备发送所述第一Cookie;所述第一接入网设备接收所述第二接入网设备基于所述第一Cookie反馈的第一Cookie信息；其中，所述第一Cookie信息存储于所述第二接入网设备，所述第一Cookie信息包括所述第一CookieID、所述第一Cookie密钥和所述用户设备标识；
所述第一接入网设备验证所述第一Cookie,具体为：所述第一接入网设备根据所述第一Cookie信息验证所述第一Cookie。
12、根据权利要求10或11所述的方法，其特征在于，所述第一接入网设备向所述RANID所指示的第二接入网设备发送所述第一Cookie,包括：
如果所述第一接入网设备和所述第二接入网设备之间具有X2接口，则所述第一
接入网设备通过X2接口向所述RANID所指示的第二接入网设备发送所述第一Cookie。如果所述第一接入网设备和所述第二接入网设备之间不具有X2接口，所述第一接入网设备通过核心网设备向所述RANID所指示的第二接入网设备发送所述第一Cookie
13、根据权利要求10所述的方法，其特征在于，所述方法还包括：
在所述RANID不是所述接入网的ID的情况下，所述第一接入网设备向所述RANID所指示的第三接入网设备发送所述数据包；
所述第一接入网设备接收所述第三接入网设备反馈的经解密的原始数据；所述第一接入网设备向核心网发送所述经解密的原始数据。
14、根据权利要求13所述的方法，其特征在于，所述方法还包括：
所述第一接入网设备还接收所述第三接入网设备反馈的密钥；所述密钥是所述第三接入网设备基于所述第一Cookie密钥和所述第一接入网的ID生成的；
所述第一接入网设备基于根据所述用户设备标识生成第三Cookie和第三Cookie密钥；其中，所述第三Cookie中的RANID指示所述第一接入网设备的ID;
所述接入网设备向所述用户设备发送所述第三Cookie和经过所述密钥加密的第三Cookie密钥，以便所述用户设备使用所述第三Cookie和所述第三Cookie密钥更新所述第一Cookie和所述第一Cookie密钥。
15、一种数据传输方法，其特征在于，包括：
核心网设备接收用户设备发送的数据包，所述数据包包括第一Cookie和原始数据;所述核心网设备验证所述第一Cookie,获得验证结果；
所述核心网设备基于所述验证结果处理所述原始数据。
16、根据权利要求15所述的方法，其特征在于，所述第一Cookie包括过期时间T，接入网在TO时间验证所述第一Cookie;
所述核心网设备验证所述第一Cookie,获得验证结果，包括：
若T0<Τ-ΤΧ,则所述验证结果为第一Cookie有效；
若T-TX<Τ0<Τ+ΤΧ,则验证结果为第一Cookie即将过期；
若T0>Τ+ΤΧ,则验证结果为第一Cookie无效；
其中，所述TX为预设时间值。
17、根据权利要求16所述的方法，其特征在于，所述核心网设备基于所述验证结果处理所述原始数据，包括：
若验证结果为第一Cookie有效，则所述核心网设备解密所述原始数据，并向目标服务器发送经解密的原始数据；
若验证结果为第一Cookie即将过期，则所述核心网设备与所述用户设备进行快速重认证，以便于更新所述用户设备中的第一Cookie;所述核心网设备向目标服务器发送经解密的原始数据。
18、根据权利要求15至17任一项所述的方法，其特征在于，在所述核心网设备接收所述用户设备发送的数据包之前，包括：
所述核心网设备与所述用户设备进行双向认证；
认证通过后，所述核心网设备根据用户设备标识生成所述第一Cookie。
19、根据权利要求15至18任一项所述的方法，其特征在于，所述第一Cookie包括：加密的用户设备标识、加密的快速重认证计数器、Cookie类型、第一CookieID、消息认证码MAC;所述MAC=HMAC(第一CookieIDII过期时间IICookie类型IIEn(用户设备标识,K)IIEn(快速重认证计数器，K),第一Cookie密钥），其中，En为加密函数；所述核心网设备根据所述第一Cookie类型接收所述数据包，根据所述第一Cookie
ID识别所述第一Cookie,根据所述MAC对所述第一Cookie进行完整性检验。
20、根据权利要求15至19任一项所述的方法，其特征在于，所述核心网设备与所述用户设备进行快速重认证，包括：
所述核心网设备生成第二Cookie；
所述核心网设备向所述用户设备发送第一消息以便于更新所述用户设备中的第一
Cookie和第一Cookie密钥，所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID;其中，所述第二Cookie密钥是所述核心网设备基于预设的主密钥推演出来的密钥。
21、根据权利要求20所述的方法，其特征在于，所述第一消息包括第二Cookie、第二Cookie密钥和第二CookieID，具体为：
所述第一消息包括AT_IV字段、AT_ENCR_DATA字段、经加密的AT_NEXT_REAUTH_ID字段，其中，所述AT_IV字段携带有所述第二Cookie密钥和/或所述第二Cookie,所述AT_ENCR_DATA字段携带有所述第二Cookie和/或所述第二Co...

【专利技术属性】
技术研发人员：康鑫，王海光，雷中定，刘斐，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡;SG