本发明涉及网络安全,尤其是指一种数据安全传输方法、装置、网络设备及终端。
背景技术:
1、目前,基于量子密钥分发的量子保密通信技术已经进入实用化阶段,被应用于多个领域,为行业用户提供安全性保障。
2、为了满足移动终端对量子密钥的应用需求,当前主要采用离线灌装的方式将预先生成的一定量量子密钥充注入全球用户识别模块(universal subscriber identitymodule,usim)卡、可携式记忆(trans-flash,tf)密码卡等终端安全介质,并配发给移动终端用户使用。
3、由于终端安全介质留给量子相关业务的存储空间有限,一次灌装所能充注的密钥量也是有限的。因此,在预装密钥消耗完之后,通常要求量子移动端用户携带终端安全介质到业务运营商的指定网点与量子密钥充注设备对接,补充充注量子密钥,而频繁的加注给用户带来使用上的不便。
技术实现思路
1、本发明技术方案的目的在于提供一种数据安全传输方法、装置、网络设备及终端,用于解决现有技术具有较高保密等级要求的重要数据(如量子密钥)在终端设备上的分发部署,需要频繁加注,造成使用不便的问题。
2、本发明其中一实施例提供一种数据安全传输方法,应用于第一设备,其中,所述方法包括:
3、所述第一设备接收第二设备发送的第一消息;所述第一消息包括第二设备发送给第一终端的第一信息;
4、所述第一设备采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护;
5、所述第一设备将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端。
6、可选地,所述的数据安全传输方法,其中,所述第一密钥包括以下中的一项或多项:
7、所述第一设备和所述第一终端基于无线物理层密钥生成技术产生的密钥或进一步衍生得到的密钥;
8、根据所述第一设备和所述第一终端基于无线密钥生成技术产生的密钥与第五密钥,生成得到的密钥或进一步衍生得到的密钥;其中,所述第五密钥为密钥分发中心为第一设备与第一终端分发的密钥,或者所述第五密钥为所述第一设备和所述第一终端之间预共享的密钥;
9、基于所述第五密钥与第一参数所生成的密钥或进一步衍生得到的密钥;所述第一参数为所述第一设备和所述第一终端之间无线物理层密钥生成过程中的共有参数。
10、可选地,所述的数据安全传输方法,其中,所述第一信息包括供第一终端使用的第二密钥。
11、可选地,所述的数据安全传输方法,其中,所述第一设备采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护,包括:
12、所述第一设备采用所述第一密钥对所述第一信息进行加密和/或完整性保护。
13、可选地,所述的数据安全传输方法,其中,所述第一设备采用第一密钥对第一消息的全部或部分内容进行加密和/或完整性保护,包括:
14、所述第一设备存在可用的所述第一密钥的情况下,所述第一设备采用所述第一密钥对第一消息的全部或部分内容进行加密和/或完整性保护。
15、可选地,所述的数据安全传输方法,其中,所述方法还包括:
16、所述第一设备不存在可用的所述第一密钥的情况下,在所述第一设备接收所述第一消息后,则将所述第一消息发送至所述第一终端;或者,所述第一设备向第二设备发送第二消息;所述第二消息用于表示所述第一消息或所述第一信息传输失败。
17、可选地,所述的数据安全传输方法,其中,所述方法还包括:
18、所述第一设备不存在可用的所述第一密钥的情况下,所述第一设备生成能够与所述第一终端共享的第一密钥。
19、可选地,所述的数据安全传输方法,其中,所接收的所述第一消息,全部或部分内容经过第三密钥加密和/或完整性保护;
20、其中,所述第三密钥为所述第二设备与所述第一终端之间的共享密钥。
21、可选地,所述的数据安全传输方法,其中,所接收的所述第一消息,全部或部分内容在经过所述第三密钥加密和/或完整性保护后,还经过第四密钥进行加密和/或完整性保护;
22、其中,所述第四密钥为所述第一设备与所述第二设备之间的共享密钥。
23、可选地,所述的数据安全传输方法,其中,所述方法还包括:
24、所述第一设备接收第一终端发送的第三消息,所述第三消息的全部或部分内容为经过所述第一密钥加密和/或完整性保护;
25、所述第一设备将所述第三消息发送至所述第二设备。
26、可选地,所述的数据安全传输方法,其中,所述第一设备包括第一模块和第二模块;
27、其中,所述第一设备接收第二设备发送的第一消息,包括:
28、所述第一模块接收所述第二设备发送的第一消息;
29、其中,所述第一设备采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护,包括:
30、所述第一模块向所述第二模块发送加密请求,用于请求对所述第一消息的全部或部分内容进行加密和/或完整性保护;
31、所述第二模块采用所述第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护;
32、其中,所述第一设备将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端,包括:
33、所述第一模块或者所述第二模块将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端。
34、可选地,所述的数据安全传输方法,其中,所述第二模块采用所述第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护之后,所述方法还包括:
35、所述第二模块向所述第一模块发送所述加密请求的第一响应消息;其中,所述第一响应消息中包括经过加密和/或完整性保护后的所述第一消息;其中,所述第一模块接收所述第一响应消息后,所述第一模块将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端;
36、或者,所述第二模块将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端。
37、可选地,所述的数据安全传输方法,其中,所述方法还包括:
38、所述第一模块接收所述第二设备发送的第一消息后,向所述第二模块发送查询请求,用于请求查询是否存在可用的所述第一密钥;
39、所述第二模块向所述第一模块发送所述查询请求的第二响应消息;
40、其中,在所述第二响应消息为表示存在可用的所述第一密钥的情况下,所述第一模块向所述第二模块发送所述加密请求。
41、可选地,所述的数据安全传输方法,其中,所述方法还包括:
42、在所述第二响应消息为表示不存在可用的所述第一密钥的情况下,所述第一模块将所述第一消息发送至所述第一终端;或者,所述第一模块向所述第二设备发送第二消息,所述第二消息用于表示所述第一消息或所述第一信息传输失败。
43、可选地,所述的数据安全传输方法,其中,所述方法还包括:
44、在所述第二响应消息为表示不存在可用的所述第一密钥的情况下,所述第一模块向所述第二模块发送密钥生成请求,用于请求生成能够与所述第一终端共享的第一密钥;
45、和/或,
46、所述第二模块在生成与所述第一终端共享的第一密钥后,向所述第一模块发送第三响应消息。
47、可选地,所述的数据安全传输方法,其中,在所述第一模块接收所述第三响应消息后,所述方法还包括:
48、所述第一模块向所述第二模块发送所述加密请求。
49、可选地,所述的数据安全传输方法,其中,所述加密请求包括以下信息中的一项或多项:
50、所述第一消息中的待加密数据;
51、待加密数据的数据长度;
52、所述第一终端的标识信息;
53、所述第一终端的地址信息。
54、本发明其中一实施例还提供一种数据安全传输方法,应用于第一终端,其中,所述方法包括:
55、所述第一终端接收第一设备发送的第一消息;其中,所述第一消息包括由第二设备发送至所述第一终端的第一信息,且所述第一消息的全部或部分内容由所述第一设备采用第一密钥进行过加密和/或完整性保护;
56、采用所述第一密钥对所述第一消息进行解密。
57、可选地,所述的数据安全传输方法,其中,所述第一密钥包括以下中的一项或多项:
58、所述第一设备和所述第一终端基于无线物理层密钥生成技术产生的密钥或进一步衍生得到的密钥;
59、根据所述第一设备和所述第一终端基于无线密钥生成技术产生的密钥与第五密钥,生成得到的密钥或进一步衍生得到的密钥;其中,所述第五密钥为密钥分发中心为第一设备与第一终端分发的密钥,或者所述第五密钥为所述第一设备和所述第一终端之间预共享的密钥;
60、基于所述第五密钥与第一参数所生成的密钥或进一步衍生得到的密钥;所述第一参数为所述第一设备和所述第一终端之间无线物理层密钥生成过程中的共有参数。
61、可选地,所述的数据安全传输方法,其中,所述第一信息包括供第一终端使用的第二密钥。
62、可选地,所述的数据安全传输方法,其中,所接收的所述第一消息为全部或部分内容经过第三密钥加密和/或完整性保护之后,再经过所述第一密钥加密和/或完整性保护的消息;
63、其中,所述第三密钥为所述第二设备与所述第一终端之间的共享密钥。
64、可选地,所述的数据安全传输方法,其中,所接收的所述第一消息为全部或部分内容经过第三密钥加密和/或完整性保护,还经过第四密钥进行加密和/或完整性保护之后,再经过所述第一密钥加密和/或完整性保护的消息;
65、其中,所述第四密钥为所述第一设备与所述第二设备之间的共享密钥。
66、可选地,所述的数据安全传输方法,其中,所述方法还包括:
67、采用第一密钥,对待发送至所述第二设备的第三消息的全部或部分内容进行加密和/或完整性保护;
68、将经过加密和/或完整性保护后的所述第三消息发送至所述第一设备。
69、可选地,所述的数据安全传输方法,其中,所述第一终端包括第三模块和第四模块;
70、其中,所述第一终端接收第一设备发送的第一消息,包括:
71、所述第三模块接收所述第一设备发送的第一消息;
72、采用所述第一密钥对所述第一消息进行解密,包括:
73、所述第三模块向所述第四模块发送解密请求;
74、所述第四模块根据所述解密请求,采用所述第一密钥对所述第一消息进行解密;
75、所述第四模块向所述第三模块发送所述解密请求的第四响应消息,所述第四响应消息中包括解密后的所述第一消息。
76、可选地,所述的数据安全传输方法,其中,所述第一终端包括第三模块和第四模块;
77、其中,所述第一终端接收第一设备发送的第一消息,包括:
78、所述第四模块接收所述第一设备发送的第一消息;
79、采用所述第一密钥对所述第一消息进行解密,获得所述第一信息,包括:
80、所述第四模块采用所述第一密钥对所述第一消息进行解密;
81、所述第四模块向所述第三模块发送解密后的所述第一消息。
82、可选地,所述的数据安全传输方法,其中,所述方法还包括:
83、所述第三模块向所述第一设备或所述第四模块发送第五响应消息;其中,所述第五响应消息包括所述第一消息的接收结果。
84、可选地,所述的数据安全传输方法,其中,所述方法还包括:
85、所述第三模块向所述第一设备发送数据请求,用于请求获取所述第一信息。
86、本发明其中一实施例还提供一种网络设备,其中,所述网络设备为第一设备,其中,包括收发机和处理器,其中:
87、所述收发机用于,接收第二设备发送的第一消息;所述第一消息包括第二设备发送给第一终端的第一信息;
88、所述处理器用于,采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护;
89、所述收发机还用于,将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端。
90、本发明其中一实施例还提供一种终端,其中,所述终端为第一终端,其中,包括收发机和处理器;其中:
91、所述收发机用于,接收第一设备发送的第一消息;其中,所述第一消息包括由第二设备发送至所述第一终端的第一信息,且所述第一消息的全部或部分内容由所述第一设备采用第一密钥进行过加密和/或完整性保护;
92、所述处理器用于,采用所述第一密钥对所述第一消息进行解密。
93、本发明其中一实施例还提供一种数据安全传输装置,应用于第一设备,其中,所述装置包括:
94、第一消息接收模块,用于接收第二设备发送的第一消息;所述第一消息包括第二设备发送给第一终端的第一信息;
95、加密模块,用于采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护;
96、消息发送模块,用于将经过加密和/或完整性保护后的所述第一消息发送至所述第一终端。
97、本发明其中一实施例还提供一种数据安全传输装置,应用于第一终端,其中,所述装置包括:
98、第二消息接收模块,用于接收第一设备发送的第一消息;其中,所述第一消息包括由第二设备发送至所述第一终端的第一信息,且所述第一消息的全部或部分内容由所述第一设备采用第一密钥进行过加密和/或完整性保护;
99、解密模块,用于采用所述第一密钥对所述第一消息进行解密。
100、本发明其中一实施例还提供一种可读存储介质,其中,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如上任一项所述数据安全传输方法中的步骤。
101、本发明上述技术方案中的至少一个具有以下有益效果:
102、本发明实施例所述方法,第一设备在获得第二设备发送的第一消息后,采用第一密钥对第一消息的全部或部分内容进行加密和/或完整性保护,将第一消息发送至第一终端,这样利用第一设备与终端之间无线密钥生成、无线密钥加密等无线安全能力,实现在空口对终端进行量子密钥等敏感数据或重要数据的安全分发,避免采用离线灌装的方式向终端充入量子密钥等敏感数据或重要数据时,需要频繁加注,造成使用不便的问题。
1.一种数据安全传输方法,应用于第一设备,其特征在于,所述方法包括:
2.根据权利要求1所述的数据安全传输方法,其特征在于,所述第一密钥包括以下中的一项或多项:
3.根据权利要求1所述的数据安全传输方法,其特征在于,所述第一信息包括供第一终端使用的第二密钥。
4.根据权利要求3所述的数据安全传输方法,其特征在于,所述第一设备采用第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护,包括:
5.根据权利要求1所述的数据安全传输方法,其特征在于,所述第一设备采用第一密钥对第一消息的全部或部分内容进行加密和/或完整性保护,包括:
6.根据权利要求1所述的数据安全传输方法,其特征在于,所述方法还包括:
7.根据权利要求1或6所述的数据安全传输方法,其特征在于,所述方法还包括:
8.根据权利要求1所述的数据安全传输方法,其特征在于,所接收的所述第一消息,全部或部分内容经过第三密钥加密和/或完整性保护;
9.根据权利要求8所述的数据安全传输方法,其特征在于,所接收的所述第一消息,全部或部分内容在经过所述第三密钥加密和/或完整性保护后,还经过第四密钥进行加密和/或完整性保护;
10.根据权利要求1所述的数据安全传输方法,其特征在于,所述方法还包括:
11.根据权利要求1所述的数据安全传输方法,其特征在于,所述第一设备包括第一模块和第二模块;
12.根据权利要求11所述的数据安全传输方法,其特征在于,所述第二模块采用所述第一密钥对所述第一消息的全部或部分内容进行加密和/或完整性保护之后,所述方法还包括:
13.根据权利要求11所述的数据安全传输方法,其特征在于,所述方法还包括:
14.根据权利要求13所述的数据安全传输方法,其特征在于,所述方法还包括:
15.根据权利要求13或14所述的数据安全传输方法,其特征在于,所述方法还包括:
16.根据权利要求15所述的数据安全传输方法,其特征在于,在所述第一模块接收所述第三响应消息后,所述方法还包括:
17.根据权利要求11所述的数据安全传输方法,其特征在于,所述加密请求包括以下信息中的一项或多项:
18.一种数据安全传输方法,应用于第一终端,其特征在于,所述方法包括:
19.根据权利要求18所述的数据安全传输方法,特征在于,所述第一密钥包括以下中的一项或多项:
20.根据权利要求18所述的数据安全传输方法,其特征在于,所述第一信息包括供第一终端使用的第二密钥。
21.根据权利要求18所述的数据安全传输方法,其特征在于,所接收的所述第一消息为全部或部分内容经过第三密钥加密和/或完整性保护之后,再经过所述第一密钥加密和/或完整性保护的消息;
22.根据权利要求21所述的数据安全传输方法,其特征在于,所接收的所述第一消息为全部或部分内容经过第三密钥加密和/或完整性保护,还经过第四密钥进行加密和/或完整性保护之后,再经过所述第一密钥加密和/或完整性保护的消息;
23.根据权利要求18所述的数据安全传输方法,其特征在于,所述方法还包括:
24.根据权利要求18所述的数据安全传输方法,其特征在于,所述第一终端包括第三模块和第四模块;
25.根据权利要求18所述的数据安全传输方法,其特征在于,所述第一终端包括第三模块和第四模块;
26.根据权利要求24或25所述的数据安全传输方法,其特征在于,所述方法还包括:
27.根据权利要求24或25所述的数据安全传输方法,其特征在于,所述方法还包括:
28.一种网络设备,其中,所述网络设备为第一设备,其特征在于,包括收发机和处理器,其中:
29.一种终端,其中,所述终端为第一终端,其特征在于,包括收发机和处理器;其中:
30.一种数据安全传输装置,应用于第一设备,其特征在于,所述装置包括:
31.一种数据安全传输装置,应用于第一终端,其特征在于,所述装置包括:
32.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1至17任一项所述数据安全传输方法中的步骤,或者实现如权利要求18至27任一项所述数据安全传输方法中的步骤。
