买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：华为国际有限公司

摘要：本发明实施例公开一种数据保护方法、装置及系统，该方法包括：第一设备获取原始数据；第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥；第一设备使用对称密钥或对称密钥推演的密钥对所述原始数据进行安全性保护，以得到受保护数据包；安全性保护包括加密和或完整性保护；第一设备向第二设备发送受保护数据包；其中，当第一设备为用户设备时，第二设备为接入网设备；当第一设备为接入网设备时，第二设备为用户设备；接入网设备为接入网的集中处理单元CU。实施本发明实施例能够实现小数据不需要网络认证就能安全入网，提高IOT设备的入网效率，降低IOT设备的流量费用。

主权项：权利要求1、一种数据保护方法，其特征在于，包括：第一设备获取待传输的原始数据；所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥；所述第一设备使用安全密钥对所述原始数据进行安全性保护，以得到受保护数据包；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性保护包括加密和或完整性保护；所述第一设备向第二设备发送所述受保护数据包；其中，当所述第一设备为用户设备时，所述第二设备为接入网设备；当所述第一设备为接入网设备时，所述第二设备为用户设备；其中，所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。2、根据权利要求1所述的方法，其特征在于，所述第一设备向第二设备发送所述受保护数据包，具体为：在所述第一设备和所述第二设备不建立空口连接的情况下，所述第一设备向所述第二设备发送所述受保护数据包。3、根据权利要求1或2所述的方法，其特征在于，在所述第一设备为用户设备，所述第二设备为接入网设备的情况下，所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。4、根据权利要求3所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的。5、根据权利要求4所述的方法，其特征在于，所述受保护数据包包括：用户设备的临时身份标识，用户设备的临时身份标识预设有期限阈值；其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述用户设备从核心网网元获取到的；当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值，所述用户设备通过所述接入网设备向所述核心网网元发送临时身份标识的更新请求，以便于所述核心网网元基于所述更新请求更新所述用户设备的临时身份标识；或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的；当所述用户设备检测到所述临时身份标识的使用时间达到所述期限阈值，所述用户设备向所述接入网设备发送临时身份标识的更新请求，以便于所述接入网设备基于所述更新请求更新所述用户设备的临时身份标识。6、根据权利要求3所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备 从所述接入网设备的广播消息中获得的。7、根据权利要求1或2所述的方法，其特征在于，在所述第一设备为接入网设备，所述第二设备为用户设备的情况下，所述第一设备基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。8、根据权利要求7所述的方法，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述接入网设备从核心网网元获取到的；其中，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥。9、根据权利要求8所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述接入网设备从所述核心网网元获取到的；或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述接入网设备生成的。10、根据权利要求8或9所述的方法，其特征在于，所述方法还包括：在需要切换接入网设备的通信场景下，所述接入网设备向目标接入网设备发送第一切换消息；所述第一切换消息包括：所述用户设备的公钥、用户设备的临时身份标识、路由信息；所述接入网设备接收所述目标接入网设备反馈的第一切换确认消息；所述第一切换确认消息包括所述目标接入网设备的公钥；所述接入网设备向所述用户设备发送第二切换消息；所述第二切换消息包括所述目标接入网设备的公钥；所述接入网设备接收所述用户设备反馈的第二切换确认消息，基于所述第二切换确认消息删除所述接入网设备中的所述用户设备的临时身份标识和所述用户设备的公钥。11、根据权利要求7所述的方法，其特征在于，在所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥之前，包括：所述接入网设备接收所述所述用户设备发送的受保护数据包，所述受保护数据包包括所述用户设备的公钥；所述接入网设备存储所述用户设备的公钥。12、根据权利要求8至10任一项所述的方法，其特征在于，所述核心网网元为接入与移动管理网元AMF。 13、一种数据保护方法，其特征在于，包括：第二设备接收第一设备发送的受保护数据包；所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥；所述第二设备使用安全密钥对所述受保护数据包进行安全性验证，以得到原始数据；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性验证包括解密和或完整性验证。其中，当所述第二设备为接入网设备时，所述第一设备为用户设备；当所述第二设备为用户设备时，所述一设备为接入网设备；其中，所述接入网设备包括接入网AN的集中处理单元CU，或者接入网的网关。14、根据权利要求13所述的方法，其特征在于，第二设备接收第一设备发送的受保护数据包，具体为-在所述第一设备和所述第二设备不建立空口连接的情况下，所述第二设备接收所述第一设备发送的受保护数据包。15、根据权利要求13或14所述的方法，其特征在于，在所述第二设备为接入网设备，所述第一设备为用户设备的情况下，所述第二设备基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥，具体为:所述接入网设备基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。16、根据权利要求15所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；第二设备接收第一设备发送的受保护数据包，包括：所述接入网设备基于所述用户设备的临时身份标识接收所述用户设备发送的受保护数据包。17、根据权利要求16所述的方法，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述接入网设备从核心网网元获取到的，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥；所述用户设备的公钥与所述用户设备的临时身份标识具有对应关系，所述接入网设备基于所述用户设备的临时身份标识确定所述用户设备的公钥。18、根据权利要求15所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的公钥；在所述第二设备接收所述第一设备发送的受保护数据包之后，包括：所述接入网设备从所述受保护数据包中获得并存储所述用户设备的公钥。19、根据权利要求13或14所述的方法，其特征在于，在所述第二设备为用户设备，所述第一设备为接入网设备的情况下，所述第二设备基于所述第二设备的私钥和所述第一 设备的公钥生成对称密钥，具体为：所述用户设备基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。20、根据权利要求19所述的方法，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；第二设备接收第一设备发送的受保护数据包，包括：所述用户设备基于所述用户设备的临时身份标识接收所述接入网设备发送的受保护数据包。21、根据权利要求20所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述用户设备从所述接入网设备获取到的。22、根据权利要求19所述的方法，其特征在于，所述接入网设备的公钥为所述用户设备从所述接入网设备的广播消息中获得的。23、一种设备，其特征在于，所述设备为第一设备，所述第一设备包括：收发器、存储器和与存储器耦合的处理器；所述存储器用于存储程序代码；当所述程序代码被运行时，所述处理器执行以下操作：获取待传输的原始数据；基于所述第一设备的私钥和第二设备的公钥生成对称密钥；使用安全密钥对所述原始数据进行安全性保护，以得到受保护数据包；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性保护包括加密和或完整性保护；通过所述收发器向第二设备发送所述受保护数据包；其中，当所述第一设备为用户设备时，所述第二设备为接入网设备；当所述第一设备为接入网设备时，所述第二设备为用户设备；其中，所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。24、根据权利要求23所述的设备，其特征在于，所述处理器执行通过所述收发器向第二设备发送所述受保护数据包，具体为：在所述第一设备和所述第二设备不建立空口连接的情况下，所述处理器执行通过所述收发器向所述第二设备发送所述受保护数据包。25、根据权利要求23或24所述的设备，其特征在于，在所述第一设备为用户设备，所述第二设备为接入网设备的情况下，所述处理器执行基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为：所述处理器执行基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。26、根据权利要求25所述的设备，其特征在于，所述接入网设备的公钥为所述用户设 备与核心网认证成功之后，所述处理器通过所述收发器从所述接入网设备获取到的。27、根据权利要求26所述的设备，其特征在于，所述受保护数据包包括：用户设备的临时身份标识，用户设备的临时身份标识预设有期限阈值；其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述处理器通过所述收发器从核心网网元获取到的；当所述处理器检测到所述临时身份标识的使用时间达到所述期限阈值，所述处理器利用所述收发器通过所述接入网设备向所述核心网网元发送临时身份标识的更新请求，以便于所述核心网网元基于所述更新请求更新所述用户设备的临时身份标识；或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述处理器通过所述收发器从所述接入网设备获取到的；当所述处理器检测到所述临时身份标识的使用时间达到所述期限阈值，所述处理器通过所述收发器向所述接入网设备发送临时身份标识的更新请求，以便于所述接入网设备基于所述更新请求更新所述用户设备的临时身份标识。28、根据权利要求25所述的设备，其特征在于，所述接入网设备的公钥为所述处理器通过所述收发器从所述接入网设备的广播消息中获得的。29、根据权利要求23或24所述的设备，其特征在于，在所述第一设备为接入网设备，所述第二设备为用户设备的情况下，所述处理器执行基于所述第一设备的私钥和第二设备的公钥生成对称密钥，具体为-所述处理器执行基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。30、根据权利要求29所述的设备，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述处理器通过所述收发器从核心网网元获取到的；其中，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥。31、根据权利要求30所述的设备，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；其中，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述处理器通过所述收发器从所述核心网网元获取到的；或者，所述用户设备的临时身份标识为所述用户设备与核心网认证成功之后，所述处理器生成的。32、根据权利要求30或31所述的设备，其特征在于，所述处理器还用于：在需要切换接入网设备的通信场景下，通过所述收发器向目标接入网设备发送第一切换消息；所述第一切换消息包括：所述用户设备的公钥、用户设备的临时身份标识、路由信息； 通过所述收发器接收所述目标接入网设备反馈的第一切换确认消息；所述第一切换确认消息包括所述目标接入网设备的公钥；通过所述收发器向所述用户设备发送第二切换消息；所述第二切换消息包括所述目标接入网设备的公钥；通过所述收发器接收所述用户设备反馈的第二切换确认消息，基于所述第二切换确认消息删除所述接入网设备中的所述用户设备的临时身份标识和所述用户设备的公钥。33、根据权利要求29所述的设备，其特征在于，在所述处理器基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥之前，包括：所述处理器通过所述收发器接收所述所述用户设备发送的受保护数据包，所述受保护数据包包括所述用户设备的公钥；所述处理器通过所述存储器存储所述用户设备的公钥。34、一种设备，其特征在于，所述设备为第二设备，所述第二设备包括：收发器、存储器和与存储器耦合的处理器，所述存储器用于存储程序代码；当所述程序代码被运行时，所述处理器执行以下操作：通过所述收发器接收第一设备发送的受保护数据包；基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥：使用安全密钥对所述受保护数据包进行安全性验证，以得到原始数据；其中，所述安全密钥包括所述对称密钥，或者，所述安全密钥包括由所述对称密钥推演的密钥；所述安全性验证包括解密和或完整性验证。其中，当所述第二设备为接入网设备时，所述第一设备为用户设备；当所述第二设备为用户设备时，所述一设备为接入网设备；其中，所述接入网设备包括接入网AN的集中处理单元CU，或者接入网的网关。35、根据权利要求34所述的设备，其特征在于，所述处理器执行通过所述收发器接收第一设备发送的受保护数据包，具体为：在所述第一设备和所述第二设备不建立空口连接的情况下，所述处理器执行通过所述收发器接收所述第一设备发送的受保护数据包。36、根据权利要求34或35所述的设备，其特征在于，在所述第二设备为接入网设备，所述第一设备为用户设备的情况下，所述处理器执行基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥，具体为：所述处理器执行基于所述接入网设备的私钥和所述用户设备的公钥生成对称密钥。37、根据权利要求36所述的设备，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识； 所述处理器执行通过所述收发器接收第一设备发送的受保护数据包，包括：所述处理器执行通过所述收发器基于所述用户设备的临时身份标识接收所述用户设备发送的受保护数据包。38、根据权利要求37所述的设备，其特征在于，所述用户设备的公钥为所述用户设备与核心网认证成功之后，所述处理器执行通过所述收发器从核心网网元获取到的，所述核心网网元用于在用户设备与核心网认证过程中获得所述用户设备的公钥；所述用户设备的公钥与所述用户设备的临时身份标识具有对应关系，所述处理器执行通过所述收发器基于所述用户设备的临时身份标识确定所述用户设备的公钥。39、根据权利要求36所述的设备，其特征在于，所述受保护数据包包括：所述用户设备的公钥；在所述处理器通过所述收发器接收所述第一设备发送的受保护数据包之后，包括：所述处理器从所述受保护数据包中获得所述用户设备的公钥，并通过所述存储器存储所述用户设备的公钥。40、根据权利要求34或35所述的设备，其特征在于，在所述第二设备为用户设备，所述第一设备为接入网设备的情况下，所述所述处理器执行基于所述第二设备的私钥和所述第一设备的公钥生成对称密钥，具体为-所述所述处理器执行基于所述用户设备的私钥和所述接入网设备的公钥生成对称密钥。41、根据权利要求40所述的设备，其特征在于，所述受保护数据包包括：所述用户设备的临时身份标识；所述处理器通过所述收发器接收第一设备发送的受保护数据包，包括：所述处理器通过所述收发器基于所述用户设备的临时身份标识接收所述接入网设备发送的受保护数据包。42、根据权利要求41所述的设备，其特征在于，所述接入网设备的公钥为所述用户设备与核心网认证成功之后，所述处理器通过所述收发器从所述接入网设备获取到的。43、根据权利要求40所述的设备，其特征在于，所述接入网设备的公钥为所述处理器通过所述收发器从所述接入网设备的广播消息中获得的。44、一种数据保护方法，其特征在于，包括：核心网网元接收用户设备与接入网设备之间通信的请求；所述请求包括所述用户设备的公钥；所述核心网网元基于所述请求生成用户设备的临时身份标识；所述核心网网元向所述接入网设备和所述用户设备发送所述用户设备的临时身份标识， 以便于所述用户设备和所述接入网设备将所述临时身份标识作为所述用户设备与所述接入网设备之间传输的数据的唯一标识；所述核心网网元向所述接入网设备发送所述用户设备的公钥，以便于所述接入网设备根据所述用户设备的公钥与所述接入网设备的私钥所生成的对称密钥对所述数据进行安全性保护或安全性验证。45、根据权利要求44所述的方法，其特征在于，所述核心网网元为接入与移动管理网元AMF;所述接入网设备包括接入网AN的集中处理单元CU或者接入网的网关。46、一种通信系统；其特征在于，包括：第一设备和第二设备，其中：所述第一设备为如权利要求23至33任一项所述的设备；所述第二设备为如权利要求34至43任一项所述的设备。47、一种存储计算机指令的可读非易失性存储介质，其特征在于，包括计算机指令，所述计算机指令被执行以实现权利要求1至12任一项描述的方法，或者权利要求13至22任一项描述的方法。48、一种计算机程序产品，其特征在于，当计算机程序产品运行于计算机时，被执行以实现权利要求1至12任一项描述的方法，或者权利要求13至22任一项描述的方法。

全文数据：

权利要求：

百度查询： 华为国际有限公司 数据保护方法、装置以及系统