CN112637069B - 数据报文的传输方法和装置 - Google Patents
数据报文的传输方法和装置 Download PDFInfo
- Publication number
- CN112637069B CN112637069B CN202011506163.9A CN202011506163A CN112637069B CN 112637069 B CN112637069 B CN 112637069B CN 202011506163 A CN202011506163 A CN 202011506163A CN 112637069 B CN112637069 B CN 112637069B
- Authority
- CN
- China
- Prior art keywords
- application
- key
- ipv6 data
- data message
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本说明书实施例提供了一种数据报文的传输方法和装置。根据该实施例的方法,首先应用客户端利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密后,发送给应用感知节点;然后应用感知节点利用第二密钥,对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密;利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理;其中,所述第二密钥为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给所述应用客户端的第一密钥相对应。
Description
技术领域
本说明书一个或多个实施例涉及网络通信技术领域,尤其涉及一种报文传输方法和装置。
背景技术
随着网络的高速发展,网络资源的优化配置成为网络管理的迫切需求,而APN6(Application-aware IPv6 Network,基于IPv6的应用流量感知网络架构)正是用以解决这一痛点。
在APN6的布局方案中,IPv6(Internet Protocol Version 6,互联网协议第6版)的数据报头可以携带应用信息,以方便运营商上对网络进行服务等级的划分,并依据不同的服务等级采用不同的路由策略,从而整体优化网络资源。然而,由于IPv6的数据报头携带应用信息,其在网络传输过程中面临被篡改的威胁,并且应用信息可能涉及到用户隐私,其在网络传输过程中也面临用户隐私泄露的威胁。
发明内容
本说明书一个或多个实施例描述了一种数据报文的传输方法和装置,以便于提高APN6中IPv6数据报文的传输安全性。
根据第一方面,提供了一种数据报文的传输方法,该方法包括:
应用感知节点接收来自应用客户端的IPv6数据报文;
利用第二密钥,对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密;
利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理;
所述第二密钥为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给所述应用客户端的第一密钥相对应。
在一个实施例中,该方法还包括:
所述应用感知节点接收所述运营商服务端提供的第二密钥以及应用标识信息,维护第二密钥与应用标识信息的对应关系;
利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥。
在另一个实施例中,在所述对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密之后,还包括:
利用所述IPv6数据报文携带的验证信息对所述IPv6数据报文进行验证;
如果验证成功,则执行所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理。
在一个实施例中,该方法还包括:
如果验证失败,则所述应用感知节点丢弃所述IPv6数据报文。
在另一个实施例中,所述验证信息包括CRC码和/或时间戳。
在一个实施例中,所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理包括:
利用解密得到的应用隐私信息确定对应的服务等级;
采用与所述服务等级对应的路由策略转发所述IPv6数据报文。
在另一个实施例中,对所述IPv6数据报文进行转发处理包括:
将所述应用隐私信息从所述IPv6数据报文中去除;
转发去除所述应用隐私信息的IPv6数据报文。
根据第二方面,提供了一种数据报文的传输方法,包括:
应用客户端利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密;
发送加密后得到的IPv6数据报文至应用感知节点;
其中,所述第一密钥为运营商服务端为所述应用客户端分配的,且所述第一密钥与所述运营商服务端提供给应用感知节点的第二密钥相对应。
在一个实施例中,该方法还包括:
所述应用客户端接收并维护所述运营商服务端分配的第一密钥。
在另一个实施例中,所述应用客户端为运营商的合约用户。
在一个实施例中,在所述对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密之前,还包括:
在所述IPv6数据报文中携带验证信息,以便所述应用感知节点利用所述验证信息对所述IPv6数据报文进行验证。
在一个实施例中,所述验证信息包括:循环冗余校验CRC码和/或时间戳。
根据第三方面,还提供了一种数据报文的传输方法,包括:
运营商服务端为应用客户端分配第一密钥;
将与所述第一密钥对应的第二密钥以及所述应用客户端对应的应用标识信息提供给应用感知节点。
在一个实施例中,所述第一密钥和所述第二密钥互为密钥对。
根据第四方面,本说明书提供了数据报文的传输装置,设置于应用感知节点,所述装置包括:
第一接收单元,被配置为接收来自应用客户端的IPv6数据报文;
解密单元,被配置为利用第二密钥,对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密;
转发单元,被配置为利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理;
所述第二密钥为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给所述应用客户端的第一密钥相对应。
在一个实施例中,该装置还包括:
第二接收单元,被配置为接收并维护所述运营商服务端提供的第二密钥以及应用标识信息;
所述转发单元,进一步被配置为利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥。
在另一个实施例中,还包括:
验证单元,被配置为利用所述IPv6数据报文携带的验证信息对所述IPv6数据报文进行验证;
所述转发单元,被配置为如果所述验证单元的验证结果为验证成功,则执行所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理。
在一个实施例中,所述转发单元,进一步被配置为如果所述验证单元的验证结果为验证失败,则丢弃所述IPv6数据报文。
在另一个实施例中,所述验证信息包括CRC码和/或时间戳。
在一个实施例中,所述转发单元,具体被配置为利用解密得到的应用隐私信息确定对应的服务等级;采用与所述服务等级对应的路由策略转发所述IPv6数据报文。
在另一个实施例中,所述转发单元,进一步被配置为将所述应用隐私信息从所述IPv6数据报文中去除,转发去除所述应用隐私信息的IPv6数据报文。
根据第五方面,还提供了一种数据报文的传输装置,设置于应用客户端,该装置包括:
加密单元,被配置为利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密;
发送单元,被配置为发送加密后得到的IPv6数据报文至应用感知节点;
其中,所述第一密钥为运营商服务端为所述应用客户端分配的,且所述第一密钥与所述运营商服务端提供给应用感知节点的第二密钥相对应。
在一个实施例中,还包括:
接收单元,被配置为接收并维护所述运营商服务端分配的第一密钥。
在另一个实施例中,所述应用客户端为运营商的合约用户。
在一个实施例中,还包括:
验证单元,被配置为在IPv6数据报文中携带验证信息后提供给所述加密单元。
在另一个实施例中,所述验证信息包括:CRC码和/或时间戳。
根据第六方面,还提供了一种数据报文的传输装置,设置于运营商服务端,该装置包括:
分配单元,被配置为为应用客户端分配第一密钥;
发送单元,被配置为将与所述第一密钥对应的第二密钥以及所述应用客户端对应的应用标识信息提供给应用感知节点。
在一个实施例中,所述第一密钥和所述第二密钥相同或者互为密钥对。
根据第七方面,提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现第一方面的方法。
根据本说明书实施例提供的方法和装置,应用客户端与应用感知节点分别从运营商服务端获取密钥,通过对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密传输,从而保证了应用隐私信息在传输过程中不被篡改和泄漏,提高了APN6中IPv6数据报文的传输安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本说明书所涉及和适用的***架构示意图;
图2示出了本说明书实施例提供的运营商服务端执行的方法流程图;
图3示出了本说明书实施例提供的应用客户端执行的方法流程图;
图4示出了本说明书实施例提供的应用感知节点执行的方法流程图;
图5示出了本说明书实施例提供的各网络节点之间的具体交互示意图;
图6示出了根据一个实施例的数据报文的传输装置的示意性框图;
图7示出了根据一个实施例的数据报文的传输装置的示意性框图;
图8示出了根据一个实施例的数据报文的传输装置的示意性框图。
具体实施方式
下面结合附图,对本说明书提供的方案进行描述。
为了方便对本说明书提供的方法进行理解,首先对本说明书所涉及和适用的***架构进行描述。如图1中所示,该***架构中主要包括三个网络节点:应用客户端、应用感知节点和运营商服务端。
其中应用客户端安装并运行于终端设备中,终端设备可以包括但不限于诸如:智能移动终端、智能家居设备、网络设备、可穿戴式设备、智能医疗设备、PC(个人计算机)等。其中智能移动设备可以包括诸如手机、平板电脑、笔记本电脑、PDA(个人数字助理)、互联网汽车等。智能家居设备可以包括智能家电设备,诸如智能电视、智能空调、智能热水器、智能冰箱、智能空气净化器等等,智能家居设备还可以包括智能门锁、智能插座、智能电灯、智能摄像头等。网络设备可以包括诸如交换机、无线AP、服务器等。可穿戴式设备可以包括诸如智能手表、智能眼镜、智能手环、虚拟现实设备、增强现实设备、混合现实设备(即可以支持虚拟现实和增强现实的设备)等等。智能医疗设备可以包括诸如智能体温计、智能血压仪、智能血糖仪等等。
应用客户端也可以是各种类型的应用,包括但不限于诸如支付类应用、多媒体播放类应用、地图类应用、文本编辑类应用、金融类应用、浏览器类应用、即时通信类应用等等。
运营商服务端指的是提供网络服务的供应商的服务端设备,可以是单一服务器,也可以是多个服务器构成的服务器群组。负责为各类应用提供网络服务,例如安全认证、网络服务等级的管理等等。
应用感知节点位于运营商网络的边缘,处于网关的位置。其负责依据应用客户端发送来的IPv6数据报文中携带的应用隐私信息为其提供与应用隐私信息相适应的路由策略,并将其转发至对应的应用服务器。
应该理解,图1中的应用客户端、应用感知节点、运营商服务器的数目仅仅是示意性的。根据实现需要,可以选择和布设任意数目。
图2为本说明书实施例提供的运营商服务端执行的方法流程图,如图2中所示,该方法可以包括以下步骤:
步骤201,运营商服务端为应用客户端分配第一密钥。
在本说明书中,运营商服务端负责为各应用分配密钥。为了对实施例中涉及的密钥进行区分,将为应用客户端分配的密钥称为“第一密钥”。本说明书中涉及的“第一”、“第二”等不具备大小、顺序和数量上的限制,仅仅用以区分不同的名称。
运营商服务端可以为一个应用分配一个第一密钥,也可以为一个应用分配多个第一密钥,但在同一时刻保证一个应用客户端仅具有一个第一密钥。并且为应用分配的第一密钥可以在受到特定事件触发或者达到一定时长后进行更新。
作为其中一种实现方式,运营商服务端为应用分配的第一密钥可以是运营商与应用签署合约的过程中预先约定,并预置于应用客户端的安装包中。当应用客户端被终端设备下载并安装运行后,从安装包中就能够获取到运营商服务端分配的第一密钥。同时,运营商服务端维护第一密钥与应用标识信息之间的对应关系。
作为另一种实现方式,运营商服务端可以为应用分配第一密钥,并维护第一密钥与应用标识信息之间的对应关系。并且会将第一密钥下发给该应用对应的各应用客户端。应用客户端接收到运营商服务端下发的第一密钥后,对该第一密钥进行存储并用以后续IPv6数据报文的处理。
步骤203,将与第一密钥对应的第二密钥以及应用客户端对应的应用标识信息提供给应用感知节点。
在本说明书中,第一密钥和第二密钥可以是相同的密钥,这种情况下,后续应用客户端与应用感知节点采用对称式加密算法来进行加密和解密。第一密钥和第二密钥也可以是一个密钥对,例如分别为公钥和私钥。这种情况下,后续应用客户端与应用感知节点采用非对称式加密算法来进行加密和解密。
另外,上面已经提及运营商服务端可以更新分配给应用客户端的第一密钥,这种情况下,运营商服务端也会及时将更新后第一密钥对应的第二密钥以及应用客户端对应的应用标识信息提供给应用感知节点。
图3为本说明书实施例提供的应用客户端执行的方法流程图,如图3中所示,该方法可以包括以下步骤:
步骤301,应用客户端利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密。
对于IPv6数据报文而言,其可以在报文头的扩展位中携带应用隐私信息。其中IPv6数据报文可扩展的报文头可以是HBH(Hop-by-hop Options Header,逐跳选项头)、DOH(Destination Options Header,目的选项头)、SRH(Segment Routing Header,段路由头)等,因此应用隐私信息可以在上述至少一个报文头中携带。
该应用隐私信息主要是一些用户对应用的一些使用信息,这部分信息能够体现一款应用对网络的需求。首先,不同应用对网络的需求不同,即便同一应用的不同类型的使用对网络的需求也不相同,例如用户使用一款应用进行页面浏览、音乐播放、视频播放等对于网络的需求就不相同。但用户具体使用了什么具体的内容涉及到用户隐私,应当避免篡改或泄露。
因此,应用客户端在对IPv6数据报文进行发送之前,可以利用运营商服务端分配给应用的第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密。
作为其中一种实现方式,应用客户端可以仅仅对其中携带应用隐私信息的字段进行加密。但由于IPv6数据报文的报文头的扩展位中除了携带应用隐私信息的字段之外,还可能携带其他字段。例如128bit的扩展位中可能进一步携带其他信息。因此作为另一种实现方式,应用客户端也可以对IPv6数据报文的报文头的整个扩展位进行加密。
图2所示实施例中已经提及,第一密钥和第二密钥可以是相同的密钥,这种情况下,应用客户端采用对称式加密算法来进行加密。例如可以采用AES(Advanced EncryptionStandard,高级加密标准)、DES(Data Encryption Standard,数据加密标准)等等。
第一密钥和第二密钥也可以是一个密钥对,例如分别为公钥和私钥。这种情况下,应用客户端可以采用非对称式加密算法来进行加密。例如可以采用RSA、Elgamal等等。
更进一步地,应用客户端还可以在IPv6数据报文中携带验证信息,以便应用感知节点能够利用验证信息对IPv6数据报文进行验证。
作为其中一种实现方式,验证信息可以是CRC(Cyclic Redundancy Check,循环冗余校验)码。即应用客户端生成IPv6数据报文的CRC码并携带于IPv6数据报文中,以使得应用感知节点能够利用CRC码对IPv6数据报文进行完整性校验。关于CRC码的生成可以利用目前比较成熟的技术,在此不做详述。
作为另一种实现方式,验证信息也可以是时间戳。即应用客户端可以将当前的时间戳携带于IPv6数据报文中后再发送IPv6数据报文,以便应用感知节点能够利用该时间戳对IPv6数据报文进行重放攻击的检测。
步骤303,发送加密后得到的IPv6数据报文至应用感知节点。
应用客户端发送的IPv6数据报文的目的节点是应用服务器端,也就是说,其目的地址是应用服务器端的地址。但在网络传输过程中,由于应用感知节点是运营商网络的边缘节点,位于网关位置,因此IPv6数据报文会经由应用感知节点转发至应用服务器端。
图4为本说明书实施例提供的应用感知节点执行的方法流程图,如图4中所示,该方法可以包括以下步骤:
步骤401,应用感知节点接收来自应用客户端的IPv6数据报文。
步骤403,利用第二密钥对IPv6数据报文的报文头中携带应用隐私信息的字段进行解密。
作为其中一种实现方式,应用感知节点预先从运营商服务端获取了第二密钥以及应用标识信息,因此在应用感知节点中维护有第二密钥与应用标识信息之间的对应关系。应用感知节点接收到来自应用客户端的IPv6数据报文后,可以从IPv6数据报文中获取应用标识信息,即可以获知所来源的应用。确定与该应用标识信息对应的第二密钥,并利用该第二密钥对IPv6数据报文的报文头中携带应用隐私信息的字段进行解密。
除了上述实现方式之外,也可以针对所有在运营商处注册的应用都采用统一的第一密钥,应用感知节点获取到的也是统一的第二密钥。直接利用该统一的第二密钥对接收到的IPv6数据报文的报文头中携带应用隐私信息的字段进行解密。
图2所示实施例中已经提及,第一密钥和第二密钥可以是相同的密钥,这种情况下,应用感知节点采用对称式加密算法来进行解密。例如可以采用AES、DES等等。
第一密钥和第二密钥也可以是一个密钥对,例如分别为公钥和私钥。这种情况下,应用感知节点可以采用非对称式加密算法来进行解密。例如可以采用RSA、Elgamal等等。
更进一步地,对携带应用隐私信息的字段进行解密之后,还可以利用IPv6数据报文中携带的验证信息对IPv6数据报文进行验证,如果验证成功,则执行步骤405;否则可以丢弃该IPv6数据报文。
作为其中一种实现方式,若上述验证信息为CRC码,则应用感知节点采用与应用客户端相同的方式生成IPv6数据报文的CRC码,然后将生成的CRC码与IPv6数据报文中携带的CRC码进行比对,如果一致,则通过完整性验证,如果不一致,则未通过完整性验证。
作为另一种实现方式,若上述验证信息为时间戳,则应用感知节点可以判断接收到该IPv6数据报文的时间与该时间戳之间的时间差是否超过预设的时长要求,如果是,则验证不通过,说明有重放攻击的嫌疑。否则,验证通过。
步骤405,利用解密得到的应用隐私信息,对IPv6数据报文进行转发处理。
由于应用隐私信息体现了用户对网络的使用需求,因此可以根据解密得到的应用隐私信息确定对应的服务等级,采用与服务等级对应的路由策略转发该IPv6数据报文。
例如用户正在使用应用中的某个视频服务,那么视频服务对于网络的实时性要求较高,因此可以对应一个较高的服务等级。应用感知节点就可以采用较高服务等级对应的路由策略来转发IPv6数据报文,以使得IPv6数据报文可以经由诸如带宽较高、处理能力较强的网络节点进行传输。
再例如用户正在使用应用中的网页浏览服务,网页浏览服务相对于视频服务就不需要那么高的服务等级,因此应用感知节点就可以采用较低的服务等级对应的路由策略来转发IPv6数据报文。
通过上述的路由策略就能够在保证用户所获取服务质量的基础上,尽可能地优化网络资源。
另外,由于应用感知节点是运营商网络的边缘节点,运营商网络通畅具有一定的安全性,应用感知节点可以将解密后的IPv6数据报文进行转发处理,转发后的IPv6数据报文实际上在运营商网络中继续传输。除了该方式之外,应用感知节点也可以将接收到的IPv6数据报文进行转发,这种情况下需要应用服务端也知晓第二密钥的信息。
还存在一种实现方式,由于应用隐私信息主要是用于应用感知节点来确定路由策略的,对于应用服务端而言的意义不大,因此应用感知节点在转发IPv6数据报文之前,可以将应用隐私信息从IPv6数据报文中去除后,转发去除应用隐私信息的IPv6数据报文。去除应用隐私信息后,原本应用隐私信息占用的扩展位可以采用诸如都设置为0等预设的无意义的数据进行填充。
作为一种典型的应用场景,本说明书提供的上述方式可以适用于合约用户。所谓合约用户指的是与运营商之间约定并进行注册的用户。进行注册后,运营商服务端预先知晓用户对于应用服务的网络需求,并提前同步至应用改制节点。该合约用户使用应用客户端进行IPv6数据报文的发送后,应用感知节点为该IPv6数据报文提供最优解的应用流量,即能够根据IPv6数据报文报文头中携带的应用隐私信息所体现的网络需求,为该IPv6数据报文提供与之相适应的路由策略。
为了更加直观地对本说明书的上述方式进行理解,下面通过图5所示一优选实施例对各网络节点之间的具体交互进行描述。如图5中所示,该流程包括以下步骤:
步骤501,运营商服务端为应用客户端分配第一密钥。
步骤503,运营商服务端将与第一密钥对应的第二密钥以及应用客户端对应的应用标识信息提供给应用感知节点。
步骤505,应用客户端利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密,针对IPv6数据报文生成CRC码和时间戳并携带于IPv6数据报文。
步骤507,应用客户端发送加密后得到的IPv6数据报文至应用感知节点。
步骤509,应用感知节点利用第二密钥对IPv6数据报文的报文头中携带应用隐私信息的字段进行解密。
步骤511,应用感知节点对IPv6数据报文携带的CRC码和时间戳进行验证,如果验证通过,则执行513。如果验证失败,则丢弃该IPv6数据报文,这种情况图5中未示出。
步骤513,应用感知节点利用解密得到的应用隐私信息确定对应的服务等级,采用与服务等级对应的路由策略转发解密后的IPv6数据报文。
上述流程中每个步骤涉及的具体处理可以参见图2~图4所示实施例中的具体描述,在此不做赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
根据另一方面的实施例,提供了一种数据报文的传输装置。图6示出了根据一个实施例的数据报文的传输装置的示意性框图。该装置可以设置于应用感知节点,用以完成上述实施例中应用感知节点的功能。如图6所示,该装置600包括:第一接收单元601、解密单元602和转发单元603,还可以进一步包括第二接收单元604、验证单元605。其中各组成单元的主要功能如下:
第一接收单元601,被配置为接收来自应用客户端的IPv6数据报文。
解密单元602,被配置为利用第二密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行解密。其中,第二密钥为运营商服务端提供给应用感知节点的,且第二密钥与运营商服务端分配给应用客户端的第一密钥相对应。
转发单元603,被配置为利用解密得到的应用隐私信息,对IPv6数据报文进行转发处理。
第二接收单元604,被配置为接收并维护运营商服务端提供的第二密钥以及应用标识信息。第二接收单元604预先从运营商服务端获取第二密钥以及应用标识信息,运营商服务端可以对分配给应用客户端的第一密钥进行更新,相应的也会对应用标识信息对应的第二密钥进行更新。
相应地,转发单元603,进一步被配置为利用IPv6数据报文携带的应用标识信息,确定与IPv6数据报文携带的应用标识信息对应的第二密钥。
验证单元605,被配置为利用IPv6数据报文携带的验证信息对IPv6数据报文进行验证。
转发单元603,被配置为如果验证单元605的验证结果为验证成功,则执行利用解密得到的应用隐私信息,对IPv6数据报文进行转发处理。如果验证单元605的验证结果为验证失败,则转发单元603丢弃IPv6数据报文。
其中,验证信息可以包括CRC码和/或时间戳。其中CRC码用于应用感知节点对IPv6数据报文进行完整性校验。时间戳用于应用感知节点对IPv6数据报文是否为重放攻击进行检验。
作为其中优选的实施方式,转发单元603,具体被配置为利用解密得到的应用隐私信息确定对应的服务等级;采用与服务等级对应的路由策略转发IPv6数据报文。
作为其中一种实现方式,转发单元603,进一步被配置为将应用隐私信息从IPv6数据报文中去除,转发去除应用隐私信息的IPv6数据报文。
根据另一方面的实施例,提供了一种数据报文的传输装置。图7示出了根据一个实施例的数据报文的传输装置的示意性框图。该装置可以设置于应用客户端,用以完成上述实施例中应用客户端的功能。如图7所示,该装置700包括:加密单元701和发送单元702,还可以进一步包括接收单元703和验证单元704。其中各组成单元的主要功能如下:
加密单元701,被配置为利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密。其中,第一密钥为运营商服务端为应用客户端分配的,且第一密钥与运营商服务端提供给应用感知节点的第二密钥相对应。
发送单元702,被配置为发送加密后得到的IPv6数据报文至应用感知节点。
接收单元703,被配置为接收并维护运营商服务端分配的第一密钥。接收单元703预先从运营商服务端获取第一密钥,运营商服务端可以对分配给应用客户端的第一密钥进行更新。
为了进一步提高报文传输的安全性,验证单元704,被配置为在IPv6数据报文中携带验证信息后提供给加密单元701。
上述验证信息可以包括诸如:CRC码和/或时间戳。其中CRC码用于应用感知节点对IPv6数据报文进行完整性校验。时间戳用于应用感知节点对IPv6数据报文是否为重放攻击进行检验。
作为一种典型的应用场景,上述的应用客户端可以为运营商的合约用户。
根据另一方面的实施例,提供了一种数据报文的传输装置。图8示出了根据一个实施例的数据报文的传输装置的示意性框图。该装置可以设置于运营商服务端,用以完成上述实施例中运营商服务端的功能。如图8所示,该装置800包括:分配单元801和发送单元802。其中各组成单元的主要功能如下:
分配单元801,用于为应用客户端分配第一密钥。
作为其中一种实现方式,运营商服务端为应用分配的第一密钥可以是运营商与应用签署合约的过程中预先约定,并预置于应用客户端的安装包中。当应用客户端被终端设备下载并安装运行后,从安装包中就能够获取到运营商服务端分配的第一密钥。同时,运营商服务端维护第一密钥与应用标识信息之间的对应关系。
作为另一种实现方式,运营商服务端可以为应用分配第一密钥,并维护第一密钥与应用标识信息之间的对应关系。并且会将第一密钥通过发送单元802下发给该应用对应的各应用客户端。应用客户端接收到运营商服务端下发的第一密钥后,对该第一密钥进行存储并用以后续IPv6数据报文的处理。
发送单元802,用于将与第一密钥对应的第二密钥以及应用客户端对应的应用标识信息提供给应用感知节点。
作为其中一种实现方式,若应用客户端和应用感知节点采用的加解密方法为对称加密算法,则第一密钥和第二密钥相同。若应用客户端和应用感知节点采用的加解密方法为非对称加密算法,则第一密钥和第二密钥互为密钥对。
根据另一方面的实施例,还提供一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行结合图2~图4所描述的方法。
根据再一方面的实施例,还提供一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现结合图2~图4所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (29)
1.数据报文的传输方法,应用感知节点维护有第二密钥与应用标识信息的对应关系,所述第二密钥以及应用标识信息为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给应用客户端的第一密钥相对应,所述方法包括:
应用感知节点接收来自应用客户端的IPv6数据报文;
利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥;
利用第二密钥,对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密;
利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理。
2.根据权利要求1所述的方法,该方法还包括:
所述应用感知节点接收所述运营商服务端提供的第二密钥以及应用标识信息,维护第二密钥与应用标识信息的对应关系。
3.根据权利要求1所述的方法,在所述对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密之后,还包括:
利用所述IPv6数据报文携带的验证信息对所述IPv6数据报文进行验证;
如果验证成功,则执行所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理。
4.根据权利要求3所述的方法,该方法还包括:
如果验证失败,则所述应用感知节点丢弃所述IPv6数据报文。
5.根据权利要求3所述的方法,其中,所述验证信息包括CRC码和/或时间戳。
6.根据权利要求1所述的方法,其中,所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理包括:
利用解密得到的应用隐私信息确定对应的服务等级;
采用与所述服务等级对应的路由策略转发所述IPv6数据报文。
7.根据权利要求1所述的方法,其中,对所述IPv6数据报文进行转发处理包括:
将所述应用隐私信息从所述IPv6数据报文中去除;
转发去除所述应用隐私信息的IPv6数据报文。
8.数据报文的传输方法,包括:
应用客户端利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密;
发送加密后得到的IPv6数据报文至应用感知节点,以便于所述应用感知节点利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥,并利用所述第二密钥对所述携带应用隐私信息的字段进行解密;
其中,所述第一密钥为运营商服务端为应用的各应用客户端分配的,且所述第一密钥与所述运营商服务端提供给应用感知节点的第二密钥相对应。
9.根据所述权利要求8所述的方法,该方法还包括:
所述应用客户端接收并维护所述运营商服务端分配的第一密钥。
10.根据权利要求8所述的方法,其中,所述应用客户端为运营商的合约用户。
11.根据权利要求8所述的方法,在所述对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密之前,还包括:
在所述IPv6数据报文中携带验证信息,以便所述应用感知节点利用所述验证信息对所述IPv6数据报文进行验证。
12.根据权利要求11所述的方法,其中,所述验证信息包括:循环冗余校验CRC码和/或时间戳。
13.数据报文的传输方法,包括:
运营商服务端为应用的各应用客户端分配第一密钥,并维护第一密钥与所述应用的应用标识信息之间的对应关系;
将与所述第一密钥对应的第二密钥以及所述应用标识信息提供给应用感知节点。
14.根据权利要求13所述的方法,其中,所述第一密钥和所述第二密钥互为密钥对。
15.数据报文的传输装置,设置于应用感知节点,所述应用感知节点维护有第二密钥与应用标识信息的对应关系,所述第二密钥以及应用标识信息为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给应用客户端的第一密钥相对应,所述装置包括:
第一接收单元,被配置为接收来自应用客户端的IPv6数据报文;
解密单元,被配置为利用第二密钥,对所述IPv6数据报文的报文头中携带应用隐私信息的字段进行解密;
转发单元,被配置为利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理;
所述第二密钥为运营商服务端提供给所述应用感知节点的,且所述第二密钥与所述运营商服务端分配给所述应用客户端的第一密钥相对应。
16.根据权利要求15所述的装置,还包括:
第二接收单元,被配置为接收并维护所述运营商服务端提供的第二密钥以及应用标识信息;
所述转发单元,进一步被配置为利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥。
17.根据权利要求15所述的装置,还包括:
验证单元,被配置为利用所述IPv6数据报文携带的验证信息对所述IPv6数据报文进行验证;
所述转发单元,被配置为如果所述验证单元的验证结果为验证成功,则执行所述利用解密得到的应用隐私信息,对所述IPv6数据报文进行转发处理。
18.根据权利要求17所述的装置,其中,所述转发单元,进一步被配置为如果所述验证单元的验证结果为验证失败,则丢弃所述IPv6数据报文。
19.根据权利要求17所述的装置,其中,所述验证信息包括CRC码和/或时间戳。
20.根据权利要求15所述的装置,其中,所述转发单元,具体被配置为利用解密得到的应用隐私信息确定对应的服务等级;采用与所述服务等级对应的路由策略转发所述IPv6数据报文。
21.根据权利要求15所述的装置,其中,所述转发单元,进一步被配置为将所述应用隐私信息从所述IPv6数据报文中去除,转发去除所述应用隐私信息的IPv6数据报文。
22.数据报文的传输装置,设置于应用客户端,该装置包括:
加密单元,被配置为利用第一密钥,对IPv6数据报文的报文头中携带应用隐私信息的字段进行加密;
发送单元,被配置为发送加密后得到的IPv6数据报文至应用感知节点,以便于所述应用感知节点利用所述IPv6数据报文携带的应用标识信息,确定与所述IPv6数据报文携带的应用标识信息对应的第二密钥,并利用所述第二密钥对所述携带应用隐私信息的字段进行解密;
其中,所述第一密钥为运营商服务端为应用的各应用客户端分配的,且所述第一密钥与所述运营商服务端提供给应用感知节点的第二密钥相对应。
23.根据权利要求22所述的装置,还包括:
接收单元,被配置为接收并维护所述运营商服务端分配的第一密钥。
24.根据权利要求22所述的装置,其中,所述应用客户端为运营商的合约用户。
25.根据权利要求22所述的装置,还包括:
验证单元,被配置为在IPv6数据报文中携带验证信息后提供给所述加密单元。
26.根据权利要求25所述的装置,其中,所述验证信息包括:CRC码和/或时间戳。
27.数据报文的传输装置,设置于运营商服务端,该装置包括:
分配单元,被配置为应用的各应用客户端分配第一密钥,并维护第一密钥与所述应用的应用标识信息之间的对应关系;
发送单元,被配置为将与所述第一密钥对应的第二密钥以及所述应用标识信息提供给应用感知节点。
28.根据权利要求27所述的装置,其中,所述第一密钥和所述第二密钥相同或者互为密钥对。
29.一种计算设备,包括存储器和处理器,其特征在于,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-14中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011506163.9A CN112637069B (zh) | 2020-12-18 | 2020-12-18 | 数据报文的传输方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011506163.9A CN112637069B (zh) | 2020-12-18 | 2020-12-18 | 数据报文的传输方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112637069A CN112637069A (zh) | 2021-04-09 |
| CN112637069B true CN112637069B (zh) | 2022-05-06 |
Family
ID=75317368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011506163.9A Active CN112637069B (zh) | 2020-12-18 | 2020-12-18 | 数据报文的传输方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112637069B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672957B (zh) * | 2021-08-23 | 2024-06-21 | 深圳平安智慧医健科技有限公司 | 埋点数据的处理方法、装置、设备及存储介质 |
| CN117439765A (zh) * | 2023-09-08 | 2024-01-23 | 重庆数智融合创新科技有限公司 | 基于应用感知的数据存储转发方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2611094A1 (en) * | 2011-12-30 | 2013-07-03 | British Telecommunications Public Limited Company | Obtaining information from data items |
| CN104272706A (zh) * | 2012-04-17 | 2015-01-07 | Wi-Lan研究所公司 | 用于通信网络中应用感知准入控制的***和方法 |
| CN105024929A (zh) * | 2015-07-22 | 2015-11-04 | 上海交通大学 | 软件定义网络中应用感知资源管理方法 |
| CN105579990A (zh) * | 2013-08-12 | 2016-05-11 | 慧与发展有限责任合伙企业 | 应用感知网络管理 |
| CN107154917A (zh) * | 2016-03-03 | 2017-09-12 | 华为技术有限公司 | 数据传输方法及服务器 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833732B (zh) * | 2012-07-25 | 2017-03-29 | 中兴通讯股份有限公司 | 一种IPv6地址无状态自动配置的***、数据卡及其实现方法 |
| US10440689B2 (en) * | 2015-03-11 | 2019-10-08 | Nokia Solutions And Networks Oy | Method and apparatus for resource allocation in V2V communications system |
| JP2019502313A (ja) * | 2015-12-23 | 2019-01-24 | ノキア ソリューションズ アンド ネットワークス オサケユキチュア | Sduセグメント化によるpdu形式設定のための方法、装置、及びコンピュータプログラム製品 |
| US10367677B2 (en) * | 2016-05-13 | 2019-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Network architecture, methods, and devices for a wireless communications network |
| US11095626B2 (en) * | 2018-09-26 | 2021-08-17 | Marvell Asia Pte, Ltd. | Secure in-line received network packet processing |
-
2020
- 2020-12-18 CN CN202011506163.9A patent/CN112637069B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2611094A1 (en) * | 2011-12-30 | 2013-07-03 | British Telecommunications Public Limited Company | Obtaining information from data items |
| CN104272706A (zh) * | 2012-04-17 | 2015-01-07 | Wi-Lan研究所公司 | 用于通信网络中应用感知准入控制的***和方法 |
| CN105579990A (zh) * | 2013-08-12 | 2016-05-11 | 慧与发展有限责任合伙企业 | 应用感知网络管理 |
| CN105024929A (zh) * | 2015-07-22 | 2015-11-04 | 上海交通大学 | 软件定义网络中应用感知资源管理方法 |
| CN107154917A (zh) * | 2016-03-03 | 2017-09-12 | 华为技术有限公司 | 数据传输方法及服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 基于"IPv6+"的应用感知网络;何林等;《电信科学》;20200817;正文第47页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112637069A (zh) | 2021-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20070070996A1 (en) | Port hopping scheme for peer-to-peer connections | |
| CN112637183B (zh) | 数据报文的传输方法和装置 | |
| CN113411190B (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及*** | |
| KR20050034607A (ko) | 데이터 프로세싱 시스템에서의 보안을 위한 방법 및 장치 | |
| CN112637069B (zh) | 数据报文的传输方法和装置 | |
| CN114938312B (zh) | 一种数据传输方法和装置 | |
| US11716367B2 (en) | Apparatus for monitoring multicast group | |
| CN106209401B (zh) | 一种传输方法及装置 | |
| CN113904809A (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| Festijo et al. | Software-defined security controller-based group management and end-to-end security management | |
| CN113993127B (zh) | 一键登录业务的实现方法和装置 | |
| CN114390524A (zh) | 一键登录业务的实现方法和装置 | |
| US8504832B2 (en) | Mobile terminal for sharing resources, method of sharing resources within mobile terminal and method of sharing resources between web server and terminal | |
| CN110943996B (zh) | 一种业务加解密的管理方法、装置及*** | |
| Tschofenig et al. | RSVP security properties | |
| CN116166749A (zh) | 数据共享方法、装置、电子设备及存储介质 | |
| CN112437098A (zh) | 数据报文的传输方法和装置 | |
| US20120257751A1 (en) | Controlled security domains | |
| US8121141B2 (en) | Confidential transmission of data by change of frequency in a telecommunications network | |
| CN111431846B (zh) | 数据传输的方法、装置和*** | |
| CN115567195A (zh) | 安全通信方法、客户端、服务器、终端和网络侧设备 | |
| CN112187750A (zh) | 一种基于互联网的信息加密方法及*** | |
| RU2358406C2 (ru) | Аутентификация и актуализация генераций ключей сеанса между предоставляющим услуги сетевым узлом и, по меньшей мере, одним коммуникационным оконечным устройством с идентификационной картой | |
| KR101609095B1 (ko) | 콘텐츠 전송 네트워크에서의 데이터 보안 장치 및 그 방법 | |
| CN113709100B (zh) | 一种共享文件访问控制方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |