[发明专利]数据传输方法、设备与系统

说明书

本申请实施例提供一种数据传输方法、设备与系统，该方法包括：接收外部网络设备发送的第一数据包；利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证；若验证通过，将所述第一数据包发送给物联网IoT设备。本申请实施例所提供的技术方案能够降低物联网中IoT设备的存储开销与计算开销，从而，实现IoT设备与外部网络设备之间端到端的安全通信，提高通信系统的安全性。

技术领域

本申请涉及通信技术领域，特别涉及数据传输方法、设备与系统。

背景技术

随着物联网技术的发展和普及，万物互联的物联网(Internet of Things，IOT)应用，已经逐步深入到交通、电力、家庭、工业等关系到人的生命安全和国家安全的领域。在物联网领域，通信安全至关重要。

目前，为实现物联网中端到端的安全通信，现有技术中一般通过引入更高层的安全协议来保障端到端的安全传输，如网络层安全协议(IP security，IPsec)等。当采用IPsec协议实现端到端的安全传输时，发送端与接收端各自在本地存储有二者协商好的一对密钥，发送端与接收端之间需要依据这一对密钥来实现对传输数据的来源验证和去向验证，以保障端到端的安全通信。而随着网络的不断延伸，每个收发节点都需要与其他多个收发节点进行通信，为了保障端到端的安全通信，收发节点需要在本地存储自身与其他各节点之间的密钥，导致收发节点具备较高的存储开销；且由于在数据收发过程中，均需要利用密钥进行验证，又导致收发节点具备较高的计算开销。换言之，现有的IPsec协议对收发节点的存储能力和计算能力均有较高要求。

但是，物联网中存在部分对计算和存储敏感的设备，这部分设备难以适应现有的IPsec协议中对存储能力及计算能力的较高要求，因而，难以保证端到端的安全通信，存在较大的安全风险。

发明内容

本申请提供了一种数据传输方法、设备与系统，以期降低物联网中IoT设备的存储开销与计算开销，从而，实现IoT设备与外部网络设备之间端到端的安全通信，提高通信系统的安全性。

第一方面，本申请提供了一种数据传输方法，该方法包括：接收外部网络设备发送的第一数据包；利用第一安全关联SA对所述第一数据包进行头验证AH包头的验证；若验证通过，将所述第一数据包发送给物联网IoT设备。其中，在该实现场景中，所述第一SA用于进行AH包头验证。通过本实施例提供的方案，数据传输设备分担了IoT设备进行AH包头验证的工作，降低了IoT设备的计算开销，实现了轻量级的端到端的安全传输。

在一种可能的设计中，所述将所述第一数据包发送给物联网IoT设备，包括：去除所述第一数据包的所述AH包头；将去除所述AH包头后的第一数据包发送给所述IoT设备。通过本实施例提供的方案，避免IoT设备重复验证AH包头的动作，进一步降低IOT设备的计算开销。

在一种可能的设计中，所述方法还包括：将第二SA发送至所述IoT设备，以使得所述IoT设备利用所述第二SA解析所述第一数据包。其中，在该实现场景中，所述第二SA用于解析第一数据包。也就是，数据传输设备承担了SA的存储工作，IoT设备需要根据数据传输设备发送的第二SA实现对数据包的解析，降低了IoT设备的存储开销，实现了轻量级的端到端的安全传输。

第二方面，本申请提供了一种数据传输方法，该方法包括：接收外部网络设备发送的第一数据包；将所述第一数据包与第二SA发送给物联网IoT设备，以使得所述IoT设备根据所述第二SA解析所述第一数据包。在该实现场景中，所述第二SA用于解析第一数据包。通过本实施例提供的方案，数据传输设备承担了SA的存储工作，IoT设备需要根据数据传输设备发送的第二SA实现对数据包的解析，降低了IoT设备的存储开销，实现了轻量级的端到端的安全传输。

在一种可能的设计中，所述第一数据包为利用第一SA进行AH包头的验证通过后发送的；其中，在该实现场景中，所述第一SA用于进行AH包头验证。通过本实施例提供的方案，数据传输设备分担了IoT设备进行AH包头验证的工作，降低了IoT设备的计算开销，实现了轻量级的端到端的安全传输。