本发明涉及网络安全,尤其涉及网络数据安全传输方法及系统。
背景技术:
1、随着移动通信技术的不断发展,网络已经不再仅仅是一个简单的数据传输平台,而是逐渐发展成为一个全面的交互式服务平台。在这个平台上,多个终端可以以群组的形式接入到网络,以通过网络实现群组信息的共享和交互。这种技术的发展,为人们的生活带来了极大的便利,如我们可以随时随地与朋友聊天,参与网络游戏,甚至进行在线学习等。
2、对于群组业务,它的核心是群组内的每个终端针对该群组的业务与网络建立会话,用以通这些会话专门处理群组的业务数据,以保证数据安全。例如,在网络游戏系统中,会话可以传递玩家之间的交互的数据,游戏结果等。在互动聊天系统中,会话可以用于传递聊天信息。这些会话的建立和管理,需要网络提供强大的支持。首先,网络需要能够同时处理大量的会话。这需要网络有足够的带宽和处理能力,以应对大量数据的传输和处理。其次,网络需要能够有效地管理这些会话,以保证业务的正常运行。这需要网络有高效的管理机制,能够及时检测和处理异常情况。此外,对于群组业务,网络的性能也是一个重要的考虑因素。例如,网络需要有足够的吞吐量,以支持大量数据的传输。同时,网络也需要有低延迟,以保证实时交互的流畅性。
3、然而,目前这种建立会话的方式开销比较大,因此如何兼顾开销和数据安全是目前研究的热点问题。
技术实现思路
1、本发明实施例提供网络数据安全传输方法及系统,用以在群组业务的场景下兼顾开销和数据安全。
2、为达到上述目的,本发明采用如下技术方案:
3、第一方面,提供一种网络数据安全传输方法,应用于接入网设备,该方法包括:在需要执行适用到指定区域的群组任务的情况下,接入网设备确定群组中位于指定区域内的终端为m个终端,指定区域位于接入网设备的服务小区以内,群组任务是由群组内的终端配合执行的任务,m个终端已接入接入网设备,m为大于1的整数;接入网设备将m个终端中的k个终端确定为非透明节点,并将m个终端中除k个终端外的m-k个终端确定为透明节点,k为大于或等于1且小于m的整数;接入网设备通过分别与k个终端建立的针对群组任务的安全连接,传递m个终端针对群组任务的任务数据。
4、可选地,接入网设备将m个终端中的k个终端确定为非透明节点,并将m个终端中除k个终端外的m-k个终端确定为透明节点,包括:接入网设备根据m个终端各自的位置,将m个终端分为k个子群组,m个终端中每个终端属于k个子群组中对应的一个子群组;针对k个子群组中的第i个子群组,i为遍历1至k的整数,接入网设备将第i个子群组中的一个终端确定为非透明节点,并将第i个子群组中除为非透明节点的终端以外的其他终端确定为透明节点,在i=k的情况下,共有k个终端被确定为非透明节点,以及共有m-k个终端被确定为透明节点。
5、可选地,接入网设备根据m个终端各自的位置,将m个终端分为k个子群组,包括:接入网设备根据m个终端各自的位置,确定m个终端各的外接圆,外接圆外接于m个终端的位置分布;接入网设备从m个终端中选择位置位于外接圆上的终端#1,并从m个终端中选择与终端#1的距离小于预设的距离阈值的p1个终端,以将终端#1与p1个终端确定为k个子群组中的第1个子群组,p1为大于或等于1的整数;若第1个子群组包含的终端数目p1+1等于m,则接入网设备确定k个子群组即为1个子群组;若第1个子群组包含的终端数目p1+1小于m,则接入网设备执行如下步骤:接入网设备确定从m-(p1+1)个终端中选择终端#2,并从m-(p1+1)个终端中选择与终端#2的距离小于预设的距离阈值的p2个终端,以将终端#2与p2个终端确定为k个子群组中的第2个子群组,m-(p1+1)个终端为m个终端中除第1个子群组以外的其他终端,终端#2是m-(p1+1)个终端中与终端#1的距离最小的终端,p2为大于或等于0的整数;若第1个子群组与第2个子群组包含的终端数目之和p1+p2+2等于m,则接入网设备确定k个子群组即为2个子群组,否则,继续执行,直至确定k个子群组中的第k个子群组。
6、可选地,接入网设备将第i个子群组中的一个终端确定为非透明节点,并将第i个子群组中除为非透明节点的终端以外的其他终端确定为透明节点,包括:若第i个子群组仅包含1个终端,则接入网设备将该终端确定为非透明节点;若第i个子群组仅包含2个终端,则接入网设备随机将2个终端中的一个终端确定为非透明节点,并将2个终端中的另一个终端确定为透明节点;若第i个子群组包含2个以上终端,则接入网设备确定第i个子群组中每个终端的距离之和,该距离之和为该终端与第i个子群组中除该终端以外的其它终端的距离之和,接入网设备将第i个子群组中距离之和最小的终端确定为非透明节点,并将第i个子群组中除该被确定为非透明节点的终端以外的其他终端确定为透明节点。
7、可选地,方法还包括:接入网设备分别与k个终端建立的针对群组任务的安全连接,以及接入网设备指示m-k个终端中每个终端建立侧行安全连接,侧行安全连接为m-k个终端中每个终端与该终端所属的子群组中被配置为非透明节点的终端建立的安全连接。
8、可选地,接入网设备分别与k个终端建立的针对群组任务的安全连接,包括:针对k个终端中的任一个终端#k,接入网设备为终端#k分配终端#k针对群组任务的安全连接所使用的传输资源;针对k个终端中的任一个终端#k,接入网设备使用终端#k的as层密钥与k个终端中除终端#k以外随机选择一个终端的as层密钥,推演安全连接密钥#k,并使用终端#k的as层密钥将安全连接密钥#k加密发送给终端#k,安全连接密钥#k是终端#k与接入网设备针对群组任务的安全连接所使用的密钥;至此,接入网设备与终端#k针对群组任务的安全连接建立完成。
9、可选地,接入网设备指示m-k个终端中每个终端建立侧行安全连接,包括:若第i个子群组包含被确定为透明节点的pi个终端,pi为大于1的整数,则针对pi个终端中的任一个终端#pi,接入网设备指示终端#pi与终端#i建立侧行安全连接#i,终端#i为第i个子群组中被确定为非透明节点的终端,侧行安全连接#i用于传递终端#pi针对群组任务的任务数据。
10、可选地,接入网设备指示终端#pi与终端#i建立侧行安全连接#i,包括:接入网设备使用终端#pi的as层密钥与终端#i的as层密钥推演安全连接密钥#i,安全连接密钥#i是终端#pi与终端#i针对侧行安全连接#i所使用的密钥;接入网设备向终端#i发送指示信息#i,指示信息#i包含被终端#i的as层密钥加密的安全连接密钥#i;接入网设备向终端#pi发送指示信息#pi,指示信息#pi包含终端#i的标识,用以指示终端#pi需要与终端#i建立侧行安全连接#i,以及指示信息#pi还包含被终端#pi的as层密钥加密的安全连接密钥#i。
11、可选地,接入网设备确定群组中位于指定区域内的终端为m个终端,包括:接入网设备广播寻呼消息,寻呼消息携带标识信息,用以指示与标识信息指示的标识匹配的终端需要执行群组业务,标识信息指示的标识包括群组的标识以及群组业务的标识;接入网设备接收n个终端针对寻呼消息返回的响应,n为大于或等于m的整数,n个终端属于群组;接入网设备对n个终端进行定位,以确定n个终端中有m个终端位于指定区域内。
12、第二方面,提供一种网络数据安全传输系统,该系统包括接入网设备,该系统被配置为:在需要执行适用到指定区域的群组任务的情况下,接入网设备确定群组中位于指定区域内的终端为m个终端,指定区域位于接入网设备的服务小区以内,群组任务是由群组内的终端配合执行的任务,m个终端已接入接入网设备,m为大于1的整数;接入网设备将m个终端中的k个终端确定为非透明节点,并将m个终端中除k个终端外的m-k个终端确定为透明节点,k为大于或等于1且小于m的整数;接入网设备通过分别与k个终端建立的针对群组任务的安全连接,传递m个终端针对群组任务的任务数据。
13、可选地,接入网设备将m个终端中的k个终端确定为非透明节点,并将m个终端中除k个终端外的m-k个终端确定为透明节点,包括:接入网设备根据m个终端各自的位置,将m个终端分为k个子群组,m个终端中每个终端属于k个子群组中对应的一个子群组;针对k个子群组中的第i个子群组,i为遍历1至k的整数,接入网设备将第i个子群组中的一个终端确定为非透明节点,并将第i个子群组中除为非透明节点的终端以外的其他终端确定为透明节点,在i=k的情况下,共有k个终端被确定为非透明节点,以及共有m-k个终端被确定为透明节点。
14、可选地,接入网设备根据m个终端各自的位置,将m个终端分为k个子群组,包括:接入网设备根据m个终端各自的位置,确定m个终端各的外接圆,外接圆外接于m个终端的位置分布;接入网设备从m个终端中选择位置位于外接圆上的终端#1,并从m个终端中选择与终端#1的距离小于预设的距离阈值的p1个终端,以将终端#1与p1个终端确定为k个子群组中的第1个子群组,p1为大于或等于1的整数;若第1个子群组包含的终端数目p1+1等于m,则接入网设备确定k个子群组即为1个子群组;若第1个子群组包含的终端数目p1+1小于m,则接入网设备执行如下步骤:接入网设备确定从m-(p1+1)个终端中选择终端#2,并从m-(p1+1)个终端中选择与终端#2的距离小于预设的距离阈值的p2个终端,以将终端#2与p2个终端确定为k个子群组中的第2个子群组,m-(p1+1)个终端为m个终端中除第1个子群组以外的其他终端,终端#2是m-(p1+1)个终端中与终端#1的距离最小的终端,p2为大于或等于0的整数;若第1个子群组与第2个子群组包含的终端数目之和p1+p2+2等于m,则接入网设备确定k个子群组即为2个子群组,否则,继续执行,直至确定k个子群组中的第k个子群组。
15、可选地,接入网设备将第i个子群组中的一个终端确定为非透明节点,并将第i个子群组中除为非透明节点的终端以外的其他终端确定为透明节点,包括:若第i个子群组仅包含1个终端,则接入网设备将该终端确定为非透明节点;若第i个子群组仅包含2个终端,则接入网设备随机将2个终端中的一个终端确定为非透明节点,并将2个终端中的另一个终端确定为透明节点;若第i个子群组包含2个以上终端,则接入网设备确定第i个子群组中每个终端的距离之和,该距离之和为该终端与第i个子群组中除该终端以外的其它终端的距离之和,接入网设备将第i个子群组中距离之和最小的终端确定为非透明节点,并将第i个子群组中除该被确定为非透明节点的终端以外的其他终端确定为透明节点。
16、可选地,该系统被配置为:接入网设备分别与k个终端建立的针对群组任务的安全连接,以及接入网设备指示m-k个终端中每个终端建立侧行安全连接,侧行安全连接为m-k个终端中每个终端与该终端所属的子群组中被配置为非透明节点的终端建立的安全连接。
17、可选地,接入网设备分别与k个终端建立的针对群组任务的安全连接,包括:针对k个终端中的任一个终端#k,接入网设备为终端#k分配终端#k针对群组任务的安全连接所使用的传输资源;针对k个终端中的任一个终端#k,接入网设备使用终端#k的as层密钥与k个终端中除终端#k以外随机选择一个终端的as层密钥,推演安全连接密钥#k,并使用终端#k的as层密钥将安全连接密钥#k加密发送给终端#k,安全连接密钥#k是终端#k与接入网设备针对群组任务的安全连接所使用的密钥;至此,接入网设备与终端#k针对群组任务的安全连接建立完成。
18、可选地,接入网设备指示m-k个终端中每个终端建立侧行安全连接,包括:若第i个子群组包含被确定为透明节点的pi个终端,pi为大于1的整数,则针对pi个终端中的任一个终端#pi,接入网设备指示终端#pi与终端#i建立侧行安全连接#i,终端#i为第i个子群组中被确定为非透明节点的终端,侧行安全连接#i用于传递终端#pi针对群组任务的任务数据。
19、可选地,接入网设备指示终端#pi与终端#i建立侧行安全连接#i,包括:接入网设备使用终端#pi的as层密钥与终端#i的as层密钥推演安全连接密钥#i,安全连接密钥#i是终端#pi与终端#i针对侧行安全连接#i所使用的密钥;接入网设备向终端#i发送指示信息#i,指示信息#i包含被终端#i的as层密钥加密的安全连接密钥#i;接入网设备向终端#pi发送指示信息#pi,指示信息#pi包含终端#i的标识,用以指示终端#pi需要与终端#i建立侧行安全连接#i,以及指示信息#pi还包含被终端#pi的as层密钥加密的安全连接密钥#i。
20、可选地,接入网设备确定群组中位于指定区域内的终端为m个终端,包括:接入网设备广播寻呼消息,寻呼消息携带标识信息,用以指示与标识信息指示的标识匹配的终端需要执行群组业务,标识信息指示的标识包括群组的标识以及群组业务的标识;接入网设备接收n个终端针对寻呼消息返回的响应,n为大于或等于m的整数,n个终端属于群组;接入网设备对n个终端进行定位,以确定n个终端中有m个终端位于指定区域内。
21、第三方面,提供了一种电子设备,包括:处理器和存储器;该存储器用于存储计算机程序,当该处理器执行该计算机程序时,以使该电子设备执行第一方面所述的方法。
22、在一种可能的设计方案中,第三方面所述的电子设备还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第三方面所述的电子设备与其他电子设备通信。
23、在本发明实施例中,第三方面所述的电子设备可以为终端,或者可设置于该终端中的芯片(系统)或其他部件或组件,或者包含该终端的系统。
24、第四方面,提供一种计算机可读存储介质,包括:计算机程序或指令;当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面所述的方法。
25、综上,上述方法及系统具有如下技术效果:
26、在需要执行适用到指定区域的群组任务的情况下,接入网设备可以从自身的服务小区中确定群组中位于指定区域内的m个终端,在此基础上,接入网设备从m个终端中选择k个终端确定为非透明节点,仅针对这k个终端建立的针对群组任务的安全连接,而其余的m-k个终端作为透明节点则分别连接到这k个终端,相较于现有技术中群组内每个终端都针对该群组的业务与网络建立连接/会话的方式,该方法及系统中,仅有部分终端建立安全连接,可以降低网络开销,并兼顾数据安全。
1.一种网络数据安全传输方法,其特征在于,应用于接入网设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述接入网设备将所述m个终端中的k个终端确定为非透明节点,并将所述m个终端中除所述k个终端外的m-k个终端确定为透明节点,包括:
3.根据权利要求2所述的方法,其特征在于,所述接入网设备根据所述m个终端各自的位置,将所述m个终端分为k个子群组,包括:
4.根据权利要求2所述的方法,其特征在于,所述接入网设备将所述第i个子群组中的一个终端确定为非透明节点,并将所述第i个子群组中除为非透明节点的终端以外的其他终端确定为透明节点,包括:
5.根据权利要求2-4中任一项所述的方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述接入网设备分别与所述k个终端建立的针对所述群组任务的安全连接,包括:
7.根据权利要求5所述的方法,其特征在于,所述接入网设备指示所述m-k个终端中每个终端建立侧行安全连接,包括:
8.根据权利要求7所述的方法,其特征在于,所述接入网设备指示所述终端#pi与终端#i建立侧行安全连接#i,包括:
9.根据权利要求1所述的方法,其特征在于,所述接入网设备确定所述群组中位于所述指定区域内的终端为m个终端,包括:
10.一种网络数据安全传输系统,其特征在于,所述系统包括接入网设备,所述系统被配置为:
