[发明专利]一种数据传输方法、相关设备及系统

说明书

本发明实施例公开了一种数据传输方法、相关设备及系统，该系统包括接入网设备AN和用户设备UE，其中：该AN用于接收核心网中管理密钥的设备发送的基础密钥，该基础密钥为该UE与该核心网双向认证生成的密钥或者基于该双向认证生成的密钥推衍出的密钥；该AN和该UE均用于按照预设规则处理该基础密钥以生成空口保护密钥；该UE还用于通过该空口保护密钥保护上行协议数据单元PDU中的目标字段，该目标字段包含用于标识该UE与目标节点之间的会话的信息，该目标节点与该UE之间的会话的数据在传输时需要经过该AN；该AN用于通过该空口保护密钥解析该上行协议数据单元中的该目标字段。采用本发明，能够防止会话被攻击。

技术领域

本发明涉及计算机技术领域，尤其涉及一种数据传输方法、相关设备及系统。

背景技术

无线通信技术已经深入了人们的生活，我们在享受通信便利的同时也会面临安全和隐私的威胁。空口传输是无线通信的重点特征，为了避免空口传输的内容被窃听就需要制定相应的保护机制来对传输内容加密。在长期演进(英文：Long Term Evolution，简称：LTE)中，从用户设备(英文：User Equipment，简称：UE)到Internet的安全保护机制为hop-by-hop机制，即采用分段加密的形式完成对会话中的所有信息进行保护，然而这些信息所经过的中间节点可以获得这些信息的明文，因此不能够抗击中间节点窃听。为了抗击中间节点窃听，本领域的技术人员提出了采用端到端地保护机制，例如，UE与核心网(英文：corenetwork，简称：CN)之间端到端地保护、UE与Internet服务器之间端到端地保护等等。

UE与CN之间端到端地保护具体是指UE与CN中的网元(例如，CN中的控制网元、CN中的运营商服务器、CN中的用户面网关等)之间传输会话数据时，直接由该UE对上行协议数据单元(英文：Protocol data unit，简称：PDU)加密并由该CN中的网元对该上行协议数据单元解密，直接由该CN中的网元对下行数据进行加密并由该UE对该下行协议数据单元进行解密，该上行协议数据单元和该下行协议数据单元在传输过程中不需要经过该UE与该CN之间的中间节点(例如，接入网(英文：Access Network，简称：AN))加密和解密，从而避免了该中间节点的监听。请参见图1，图1是现有技术中的一种端到端地保护机制的场景示意图，图1中包括UE、AN、控制面认证单元(英文：Control Plane-Authentication Unit，简称：CP-AU)、用户面网关(英文：User Plane-Gateway，简称：UP-GW)和Internet服务器，该UE进行在网络中通信的流程如下：

步骤101：UE采用空口技术向AN发送接入请求，UE与AN间属于空口段；

步骤S102：AN接收该接入请求并将该接入请求发送给CN中的CP-AU；

步骤S103：UE与该CP-AU双向认证；

步骤S104：UE与该CP-AU双向认证成功后建立UE与CN之间的会话；

步骤S105：UE与该CN中的UP-GW基于该会话进行协议数据单元传输且采用端到端地保护机制来保护协议数据单元传输，即由UE对上行协议数据单元进行加密并由UP-GW对该上行协议数据单元进行解密，由UP-GW对下行协议数据单元进行加密并由该UE对该下行协议数据单元进行解密，该UE与该UP-GW之间的中间节点AN则负责对该上行协议数据单元和该下行协议数据单元进行中转，但不进行加密和解密操作；从而避免了该AN窃听该UE与该UP-GW之间的内容。

然而，端到端地保护机制所保护的对象通常为协议数据单元中的payload部分而非协议数据单元的header部分，因为中间节点需要读取协议数据单元的header中用于标识会话的信息(例如，session ID、IMSI、承载标识等)，从而根据该信息确定如何转发该协议数据单元。由于用于标识会话的信息未被加密，因此攻击者可以轻易在空口传输阶段获取该信息并根据该信息追踪到该会话，从而对该会话的安全带来威胁。

发明内容