CN101562813B - 实时数据业务的实现方法、实时数据业务系统和移动终端 - Google Patents
实时数据业务的实现方法、实时数据业务系统和移动终端 Download PDFInfo
- Publication number
- CN101562813B CN101562813B CN2009101386319A CN200910138631A CN101562813B CN 101562813 B CN101562813 B CN 101562813B CN 2009101386319 A CN2009101386319 A CN 2009101386319A CN 200910138631 A CN200910138631 A CN 200910138631A CN 101562813 B CN101562813 B CN 101562813B
- Authority
- CN
- China
- Prior art keywords
- real
- time data
- data service
- mpdu
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000011664 signaling Effects 0.000 claims abstract description 101
- 230000005540 biological transmission Effects 0.000 claims abstract description 79
- 230000008569 process Effects 0.000 claims abstract description 21
- 230000003993 interaction Effects 0.000 claims abstract description 7
- 238000004806 packaging method and process Methods 0.000 claims abstract description 6
- 230000004044 response Effects 0.000 description 13
- 238000010276 construction Methods 0.000 description 11
- 238000005538 encapsulation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种实时数据业务的实现方法、实时数据业务系统和移动终端,该方法包括:当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
Description
技术领域
本发明涉及通信领域,尤其涉及一种实时数据业务的实现方法、实时数据业务系统和移动终端。
背景技术
随着3G网络的成熟以及移动终端性能的提升,利用移动终端进行实时数据业务已经成为可能。例如,用户可以使用手机电视客户端观看手机电视、利用手机流媒体客户端进行音视频节目的点播或音视频直播节目的观看。实时数据业务的发展将会有效提升3G时代的手机用户体验,基于实时数据业务的运营也将成为3G时代运营商关注的热点和重点。
实时数据业务包括:手机电视、视频点播、视频直播等。在无线局域网(Wireless Local Area Networks,简称WLAN)中部署实时数据业务服务器后,用户可以使用移动终端上的实时数据业务客户端接入实时数据业务服务器,获取实时业务数据流,进行包括手机电视节目浏览、视频点播、视频直播等实时数据业务的体验。
由于无线局域网安全性不高,为了保护合法移动终端安全、高质量地使用实时数据业务,防止非法移动终端接入实时数据业务服务器,必须采用某种无线局域网认证和保护协议以提高实时数据业务的安全性,无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,简称WAPI)协议无疑是一种最佳的选择。
WAPI是针对IEEE802.11中WEP(Wried Equivalent Privacy,有线等效隐私)等协议的安全问题,经多方反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。
WAPI协议主要通过WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)协议规定的证书鉴别和密钥协商过程进行移动终端的接入认证和密钥的协商,并通过WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)协议规定的加解密过程完成数据在MAC(Media AccessControl,介质访问控制)层的加密传输,以保证合法的移动终端安全地接入实时数据业务服务器。
图1是现有技术中基于无线局域网的实时数据业务的实现方法流程图,该方法包括:
101:移动终端、实时数据业务系统的接入点(AP)和鉴别服务器采用WAI协议进行交互,完成移动终端与接入点的双向证书鉴别;
在证书鉴别过程中,移动终端和AP之间可以协商出基密钥(BK)。
102:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和AP之间协商出单播会话密钥、组播密钥等会话密钥。
其中,本步骤中使用的基密钥可以是在步骤101中协商出的基密钥,也可以是移动终端和AP基于预共享密钥(PSK)导出的基密钥。
完成WAI协议的证书鉴别过程和会话密钥协商过程后,AP打开控制端口,允许移动终端与实时数据业务系统的实时数据业务服务器进行交互。
103:移动终端和实时数据业务服务器进行交互,完成实时数据业务控制信令的传输;
在此过程中,移动终端和AP之间使用步骤102中协商得到的单播会话密钥对控制信令报文进行加密传输,而AP和实时数据业务服务器之间由于存在较为安全的通信链路,因此可以进行明文传输、或使用其他安全方式进行控制信令报文的传输。
其中,控制信令的主要作用包括:进行实时数据业务参数的协商、建立音视频传输通道、启动/控制实时数据业务音视频数据的传输等,例如:
103a:移动终端通过AP向实时数据业务服务器发送寻呼请求(DescribeRequest)信令,将移动终端支持的媒体参数发送给实时数据业务服务器;实时数据业务服务器通过AP向移动终端发送寻呼响应(Describe Response)信令,将实时数据业务服务器选定的媒体参数发送给移动终端;通过上述信令交互,移动终端与实时数据业务服务器完成实时数据业务媒体参数的协商;
103b:移动终端通过AP向实时数据业务服务器发送音视频传输通道构建请求(Setup Request)信令;实时数据业务服务器通过AP向移动终端发送音视频传输通道构建响应(Setup Response)信令;通过上述信令交互,在移动终端与实时数据业务服务器之间建立音视频传输通道;
103c:移动终端通过AP向实时数据业务服务器发送音视频数据播放控制信令(例如,Play(播放)、Pause(暂停)、Stop(停止)等),以便启动、暂停、停止音视频数据的传输。
104:实时数据业务服务器通过AP向移动终端发送音视频数据;
同样,在此过程中实时数据业务服务器与AP之间可以采用明文方式、或采用其他安全方式进行音视频数据报文的传输,而在AP和移动终端之间使用步骤102中协商得到的单播会话密钥或组播密钥对音视频数据报文进行加密传输。
需要注意的是,在实时数据业务服务器向移动终端传输音视频数据报文的过程中,实时数据业务服务器和移动终端之间可以随时进行控制信令报文的传输,但是音视频数据和控制信令不会在相同的报文中传输,也就是说,音视频数据和控制信令在不同的逻辑通道中传输。
通过以上描述可知,将WAPI协议引入实时数据业务系统后,可以极大地增强基于无线局域网的实时数据业务系统的安全性。但是,上述方法也存在以下不足之处:
1)由于实时数据业务需要传输的音视频数据的数据量非常大,AP从实时数据业务服务器接收到音视频数据后需要对其进行加密后传输给移动终端,这极大地加重了AP的处理负荷;尤其是AP需要同时为多个移动终端提供实时数据业务数据时,会对AP的服务质量造成极大的影响;
2)同样,移动终端需要对接收到的音视频数据进行解密后才能正常播放,对大量的音视频数据采用WPI协议所规定的解密算法进行解密也对移动终端软硬件处理能力提出了更高的要求;
3)某些实时数据业务的音视频数据本身就是加扰的数据,对其采用WPI所规定的加密算法进行加密造成了一定程度的浪费。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提出一种实时数据业务的实现方法和系统,以降低AP和移动终端的处理负荷和软硬件成本。
为了解决上述技术问题,本发明提供了一种实时数据业务的实现方法,该方法包括:
当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;
移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;
实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;
其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
此外,AP发送给移动终端的MPDU中包含明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
此外,将MPDU的保留字段中的n1个比特作为所述明文传输标识;或
将MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
此外,将数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示以明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
本发明还提供一种实时数据业务系统,用于为移动终端提供实时数据业务,该系统包含:AP、鉴别服务器和实时数据业务服务器;所述AP中设置有:WAI单元、无线局域网保密基础结构WPI单元;其中,
所述WAI单元用于与所述移动终端和所述鉴别服务器交互,完成WAI协议的证书鉴别过程,并与所述移动终端协商得到会话密钥K;
所述WPI单元用于在所述移动终端与所述实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将所述实时数据业务服务器发送的实时数据业务的音视频数据报文发送给所述移动终端;
其中,所述WPI单元与所述移动终端之间使用所述会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且所述WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给所述移动终端。
此外,所述WPI单元在发送给所述移动终端的MPDU中设置明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
此外,所述WPI单元使用其发送的MPDU的保留字段中的n1个比特作为所述明文传输标识;或
所述WPI单元使用其发送的MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
此外,所述WPI单元使用其发送的MPDU的数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示采用明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
本发明还提供一种移动终端,该移动终端中设置有:WAI单元、WPI单元和实时数据业务应用单元;其中,
所述WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与所述AP协商得到会话密钥K;
所述实时数据业务应用单元用于通过所述WPI单元向实时数据业务系统的实时数据业务服务器发送并从所述实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过所述WPI单元接收所述实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
所述WPI单元用于接收所述实时数据业务应用单元发送的控制信令报文,使用所述会话密钥K对其加密后封装在MPDU中,通过所述AP发送给所述实时数据业务服务器;并在接收到所述实时数据业务服务器通过所述AP发送的加密封装在MPDU中的控制信令报文后,使用所述会话密钥K解密后将控制信令报文发送给所述实时数据业务应用单元;
所述WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的所述实时数据业务服务器发送的音视频数据报文,并判断所述音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取所述音视频数据报文,并提交给所述实时数据业务应用单元;如果不是采用明文方式封装,则使用所述会话密钥K对封装在MPDU中的所述音视频数据报文进行解密后,提交给所述实时数据业务应用单元。
此外,所述WPI单元根据接收到的MPDU中包含的明文传输标识判断所述音视频数据报文是否采用明文方式封装。
综上所述,在移动终端采用WAI协议接入实时数据业务系统后,实时数据业务系统的AP通过将实时数据业务的部分或全部音视频数据报文以明文方式封装在MPDU中发送给移动终端,减少了AP和移动终端用于WPI加解密的处理负荷,提高了AP的服务质量,降低了AP和移动终端的软硬件成本。
附图说明
图1是现有技术中基于无线局域网的实时数据业务的实现方法流程图;
图2是WPI的MPDU封装结构示意图;
图3是本发明实施例基于无线局域网的实时数据业务的实现方法流程图;
图4是本发明实施例实时数据业务系统的结构示意图。
具体实施方式
本发明的核心思想是,AP中的WPI模块在进行MPDU(MAC ProtocolData Unit,介质访问控制协议数据单元)的封装前,对需要封装到MPDU中的数据的类型进行判断,如果是实时数据业务的控制信令报文,则对其加密后封装在MPDU的数据(PDU)字段中发送给移动终端;如果是实时数据业务的音视频数据报文,则不进行加密,以明文方式直接封装在MPDU的数据(PDU)字段中发送给移动终端。
WPI的MPDU封装结构如图2所示,其中:
MAC头字段的长度为24字节或30字节;
会话密钥索引字段长度为1个字节,表示USKID(单播会话密钥索引)或MSKID(组播会话密钥索引)或STAKeyID(站间密钥索引)值,即表示加密本MPDU所使用的会话密钥的索引;
保留字段的长度为1字节;
PN(数据分组序号)字段的长度为16字节,该字段的值可以作为数据加解密时所需的IV(初始向量);
PDU(数据)字段封装有MPDU数据,最大长度为2278字节,其中封装有高层协议数据报文,包括实时数据业务的控制信令报文和音视频数据报文等应用层协议数据报文;
MIC(完整性校验码)字段的长度为16字节;
FCS字段的长度为4字节,为MAC帧格式的帧校验序列。
此外,图2中还示出了一种实时数据业务的控制信令报文和音视频数据报文的封装方式。
其中,实时数据业务的控制信令报文和音视频数据报文统称为实时数据业务报文,由实时数据业务报文头和实时业务数据组成;实时业务数据的类型包括:实时数据业务的控制信令和实时数据业务的音视频数据。实时数据业务报文头中包含有实时业务数据的类型等信息。
实时数据业务报文可以封装在TCP(Transfer Control Protocol,传输控制协议)报文或UDP(User Datagram Protocol,用户数据报协议)报文中传输。在TCP头和UDP头中包含有实时数据业务所使用的端口号等信息。
TCP报文和UDP报文可以封装在IP(Internet Protocol,因特网协议)报文中传输。在IP头中包含有移动终端/实时数据业务服务器的IP地址等信息。
需要注意的是,图2所示的实时数据业务的控制信令报文和音视频数据报文在PDU字段中的封装方式仅是一种示例,也可以采用其它封装方式封装实时数据业务的控制信令报文和音视频数据报文。
下面将结合附图和实施例对本发明进行详细描述。
图3是本发明实施例基于无线局域网的实时数据业务的实现方法流程图,该方法包括:
301:移动终端、实时数据业务系统的接入点(AP)和鉴别服务器采用WAI协议进行交互,完成移动终端与接入点的双向证书鉴别;
在证书鉴别过程中,移动终端和AP之间可以协商出基密钥(BK)。
302:移动终端和AP使用基密钥完成会话密钥的协商,在移动终端和AP之间协商出单播会话密钥、组播密钥等会话密钥。
其中,本步骤中使用的基密钥可以是在步骤301中协商出的基密钥,也可以是移动终端和AP基于预共享密钥(PSK)导出的基密钥。
完成WAI的证书鉴别过程和会话密钥协商过程后,AP打开控制端口,允许移动终端与实时数据业务系统的实时数据业务服务器进行交互。
在以下步骤(步骤303~步骤312)中,移动终端和实时数据业务服务器进行交互,进行实时数据业务控制信令的传输,以协商实时数据业务的媒体参数、建立音视频传输通道、最终启动实时数据业务。其中,在移动终端和AP之间采用单播会话密钥对实时数据业务控制信令进行加密传输。
303:移动终端对寻呼请求信令进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP;
移动终端可以使用单播会话密钥对寻呼请求信令进行加密;
寻呼请求信令中包含移动终端支持的媒体参数;
MPDU中的各字段的使用方法可以参考WAPI协议。
304:接收到封装有寻呼请求信令的MPDU后,AP使用MPDU中的会话密钥索引字段所标识的会话密钥(本实施例中为单播会话密钥)对PDU字段中的加密信令进行解密,并将解密后的寻呼请求信令发送给实时数据业务服务器。
305:接收到寻呼请求信令后,实时数据业务服务器根据移动终端支持的媒体参数以及本地的设置选择媒体参数,并将选定的媒体参数包含在寻呼响应信令中发送给AP。
306:接收到寻呼响应信令后,AP使用单播会话密钥对寻呼响应信令进行加密,并将加密的信令封装到MPDU的PDU字段中发送给移动终端;
接收到封装有寻呼响应信令的MPDU后,移动终端使用单播会话密钥对PDU字段中的加密寻呼响应信令进行解密,得到实时数据业务服务器支持的媒体参数,完成实时数据业务媒体参数的协商。
307:移动终端使用单播会话密钥对音视频传输通道构建请求信令进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP。
308:接收到封装有音视频传输通道构建请求信令的MPDU后,AP使用单播会话密钥对PDU字段中的加密的信令进行解密,并将解密后的音视频传输通道构建请求信令发送给实时数据业务服务器。
309:接收到音视频传输通道构建请求信令后,实时数据业务服务器向AP发送音视频传输通道构建响应信令。
310:接收到音视频传输通道构建响应信令后,AP使用单播会话密钥对该信令进行加密,并将加密后的信令封装到MPDU的PDU字段中发送给移动终端;
接收到封装有音视频传输通道构建响应信令的MPDU后,移动终端使用单播会话密钥对PDU字段中的加密信令进行解密,得到音视频传输通道构建响应信令,并根据该信令中包含的参数完成音视频传输通道的建立。
311:移动终端使用单播会话密钥对音视频数据播放控制信令(例如,播放请求信令)进行加密后,将加密的信令封装到MPDU的PDU字段中发送给AP。
312:接收到封装有播放信令的MPDU后,AP使用单播会话密钥对PDU字段中的加密的信令进行解密,并将解密后的播放请求信令发送给实时数据业务服务器。
313:接收到播放请求信令后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文。
314:接收到实时数据业务服务器发送给移动终端的音视频数据报文后,AP将该音视频数据报文以明文方式封装到MPDU中发送给移动终端;
为了便于移动终端识别出该MPDU为明文传输的MPDU,AP可以通过以下方式在其发送给移动终端的MPDU中设置明文传输标识:
1)将MPDU中的保留字段中的n1(1≤n1≤8)个比特作为明文传输标识,例如,将明文传输标识的值设置为1表示明文传输的MPDU,将明文传输标识设置为0表示加密传输的MPDU;
2)将会话密钥索引字段的比特1至比特7(即第2个至第8个比特,WAPI协议中未使用的比特位置)中的n2(1≤n2≤7)个比特作为明文传输标识,当明文传输标识的值大于0时表示明文传输的MPDU,当明文传输标识的值等于0时表示加密传输的MPDU;
需要注意的是,会话密钥索引字段的比特0为单播会话密钥索引或组播会话密钥索引或站间密钥索引占用的比特。
3)除在以上位置设置明文传输标识以外,由于PN(数据分组序号)字段在明文传输MPDU时无需使用,因此明文传输标识也可以设置在PN字段的位置,当PN字段的值为偶数时表示明文传输的MPDU,当PN字段的值为奇数时表示加密传输的MPDU(按照WAPI协议的规定,在AP侧的加密过程中将PN字段的值作为IV使用时,该字段的值必须为奇数)。
315:移动终端接收到封装有音视频数据报文的MPDU后,根据明文传输标识获知该MPDU中封装有明文传输的数据,因此无需进行解密处理;移动终端播放音视频数据报文中封装的音视频数据。
移动终端除了通过明文传输标识获知该MPDU为明文传输的MPDU外,还可以通过解析PDU字段中封装的数据的格式判断该MPDU是否为明文传输的MPDU;例如,检查IP头的值是否正确,如果不正确则认为IP头被加密,进而判定该MPDU不是明文传输的MPDU。
需要注意的是,由于在音视频数据报文的传输过程中,实时数据业务服务器随时可以向移动终端发送控制信令报文,移动终端随时会接收到加密传输的MPDU,因此通过明文传输标识来识别明文传输或加密传输的MPDU会提高移动终端的处理效率。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
AP可以根据当前的负载情况对部分音视频数据报文进行加密后封装在MPDU中发送给移动终端,而对部分音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
图4是本发明实施例实时数据业务系统的结构示意图,该系统用于为移动终端提供实时数据业务。如图4所示,该系统包含:AP、鉴别服务器和实时数据业务服务器;其中:
所述AP中设置有:WAI单元、无线局域网保密基础结构WPI单元;
WAI单元用于与移动终端和鉴别服务器交互,完成WAI协议的证书鉴别过程,并与移动终端协商得到会话密钥K;
WPI单元用于在移动终端与实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将实时数据业务服务器发送的实时数据业务的音视频数据报文发送给移动终端;
其中,WPI单元与移动终端之间使用会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
移动终端中设置有:WAI单元、WPI单元和实时数据业务应用单元;
WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与AP协商得到会话密钥K;
实时数据业务应用单元用于通过WPI单元向实时数据业务系统的实时数据业务服务器发送并从实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过WPI单元接收实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
WPI单元用于接收实时数据业务应用单元发送的控制信令报文,使用会话密钥K对其加密后封装在MPDU中,通过AP发送给实时数据业务服务器;并在接收到实时数据业务服务器通过AP发送的加密封装在MPDU中的控制信令报文后,使用会话密钥K解密后将控制信令报文发送给实时数据业务应用单元;
WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的实时数据业务服务器发送的音视频数据报文,并判断音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取音视频数据报文,并提交给实时数据业务应用单元;如果不是采用明文方式封装,则使用会话密钥K对封装在MPDU中的音视频数据报文进行解密后,提交给实时数据业务应用单元。
综上所述,本发明通过将实时数据业务的部分或全部音视频数据报文以明文方式封装在MPDU中发送给移动终端,减少了AP和移动终端用于WPI加解密的处理负荷,提高了AP的服务质量,降低了移动终端的软硬件成本。
需要注意的是,由于本发明中对实时数据业务的控制信令报文仍然采用加密方式进行封装和传输,而非授权用户即使能接收到实时数据业务的全部音视频数据报文,也会由于缺少在控制信令报文中包含的媒体参数(例如,解码参数)无法正常使用/播放音视频数据报文中封装的音视频数据,因此仍然能够保障实时数据业务的安全性。
Claims (10)
1.一种实时数据业务的实现方法,其特征在于,该方法包括:
当移动终端与实时数据业务系统的接入点AP和鉴别服务器交互,完成无线局域网鉴别基础结构WAI协议的证书鉴别过程后,移动终端与AP协商得到会话密钥K;
移动终端通过AP与实时数据业务系统的实时数据业务服务器进行实时数据业务的控制信令报文的交互,以启动并控制实时数据业务;
实时数据业务启动后,实时数据业务服务器通过AP向移动终端发送实时数据业务的音视频数据报文;
其中,移动终端与AP之间使用所述会话密钥K将控制信令报文进行加密后封装在介质访问控制协议数据单元MPDU中进行传输;并且AP将至少一个音视频数据报文采用明文方式封装在MPDU中发送给移动终端。
2.如权利要求1所述的方法,其特征在于,
AP发送给移动终端的MPDU中包含明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
3.如权利要求2所述的方法,其特征在于,
将MPDU的保留字段中的n1个比特作为所述明文传输标识;或
将MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
4.如权利要求2所述的方法,其特征在于,
将数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示以明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
5.一种实时数据业务系统,用于为移动终端提供实时数据业务,该系统包含:AP、鉴别服务器和实时数据业务服务器;所述AP中设置有:无线局域网鉴别基础结构WAI单元、无线局域网保密基础结构WPI单元;其中,
所述WAI单元用于与所述移动终端和所述鉴别服务器交互,完成WAI协议的证书鉴别过程,并与所述移动终端协商得到会话密钥K;
所述WPI单元用于在所述移动终端与所述实时数据业务服务器之间传输用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,将所述实时数据业务服务器发送的实时数据业务的音视频数据报文发送给所述移动终端;
其中,所述WPI单元与所述移动终端之间使用所述会话密钥K将控制信令报文进行加密后封装在MPDU中进行传输;并且所述WPI单元将至少一个音视频数据报文采用明文方式封装在MPDU中发送给所述移动终端。
6.如权利要求5所述的系统,其特征在于,
所述WPI单元在发送给所述移动终端的MPDU中设置明文传输标识,用于表示该MPDU中的音视频数据报文是否采用明文方式封装。
7.如权利要求6所述的系统,其特征在于,
所述WPI单元使用其发送的MPDU的保留字段中的n1个比特作为所述明文传输标识;或
所述WPI单元使用其发送的MPDU的会话密钥索引字段中的第2个至第8个比特中的n2个比特作为所述明文传输标识;
其中,1≤n1≤8,1≤n2≤7。
8.如权利要求6所述的系统,其特征在于,
所述WPI单元使用其发送的MPDU的数据分组序号字段作为所述明文传输标识,当所述明文传输标识的值为偶数时表示采用明文方式将音视频数据报文封装在MPDU中;当所述明文传输标识的值为奇数时表示以加密方式将音视频数据报文封装在MPDU中。
9.一种移动终端,该移动终端中设置有:无线局域网鉴别基础结构WAI单元、无线局域网保密基础结构WPI单元和实时数据业务应用单元;其中,
所述WAI单元用于与实时数据业务系统的AP和鉴别服务器交互,以完成WAI协议的证书鉴别过程,并与所述AP协商得到会话密钥K;
所述实时数据业务应用单元用于通过所述WPI单元向实时数据业务系统的实时数据业务服务器发送并从所述实时数据业务服务器接收用于启动并控制实时数据业务的控制信令报文;并在实时数据业务启动后,通过所述WPI单元接收所述实时数据业务服务器发送的实时数据业务的音视频数据报文,并播放该报文中封装的音视频数据;
所述WPI单元用于接收所述实时数据业务应用单元发送的控制信令报文,使用所述会话密钥K对其加密后封装在MPDU中,通过所述AP发送给所述实时数据业务服务器;并在接收到所述实时数据业务服务器通过所述AP发送的加密封装在MPDU中的控制信令报文后,使用所述会话密钥K解密后将控制信令报文发送给所述实时数据业务应用单元;
所述WPI单元还用于在实时数据业务启动后,从AP接收封装在MPDU中的所述实时数据业务服务器发送的音视频数据报文,并判断所述音视频数据报文是否采用明文方式封装在MPDU中,如果采用明文方式封装,则从MPDU中提取所述音视频数据报文,并提交给所述实时数据业务应用单元;如果不是采用明文方式封装,则使用所述会话密钥K对封装在MPDU中的所述音视频数据报文进行解密后,提交给所述实时数据业务应用单元。
10.如权利要求9所述的移动终端,其特征在于,
所述WPI单元根据接收到的MPDU中包含的明文传输标识判断所述音视频数据报文是否采用明文方式封装。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101386319A CN101562813B (zh) | 2009-05-12 | 2009-05-12 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
US13/259,011 US8694775B2 (en) | 2009-05-12 | 2009-12-25 | Method enabling real-time data service, realization, real-time data service system and mobile terminal |
PCT/CN2009/076036 WO2010130140A1 (zh) | 2009-05-12 | 2009-12-25 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
EP09844551.3A EP2421293B1 (en) | 2009-05-12 | 2009-12-25 | Method enabling real-time data service realization, real-time data service system and mobile terminal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101386319A CN101562813B (zh) | 2009-05-12 | 2009-05-12 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101562813A CN101562813A (zh) | 2009-10-21 |
CN101562813B true CN101562813B (zh) | 2012-01-11 |
Family
ID=41221390
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101386319A Expired - Fee Related CN101562813B (zh) | 2009-05-12 | 2009-05-12 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8694775B2 (zh) |
EP (1) | EP2421293B1 (zh) |
CN (1) | CN101562813B (zh) |
WO (1) | WO2010130140A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103096303B (zh) * | 2011-10-31 | 2016-04-20 | 华为技术有限公司 | 传输数据包的方法及设备 |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101562813B (zh) | 2009-05-12 | 2012-01-11 | 中兴通讯股份有限公司 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
CN102143605B (zh) * | 2011-01-20 | 2016-02-24 | 中兴通讯股份有限公司 | 一种无线局域网中手机电视业务数据共享的方法和系统 |
US20130262873A1 (en) * | 2012-03-30 | 2013-10-03 | Cgi Federal Inc. | Method and system for authenticating remote users |
CN103491648B (zh) * | 2013-09-18 | 2018-04-10 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
US9509605B2 (en) * | 2014-02-06 | 2016-11-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for handling communication in a communication system comprising an access point and a wire line network node connected via wire line to the access point |
WO2016108880A1 (en) | 2014-12-31 | 2016-07-07 | Ruckus Wireless, Inc. | Wlan testing using an rf abstraction layer |
US10326733B2 (en) | 2015-12-30 | 2019-06-18 | Symantec Corporation | Systems and methods for facilitating single sign-on for multiple devices |
US10375114B1 (en) | 2016-06-27 | 2019-08-06 | Symantec Corporation | Systems and methods for enforcing access-control policies |
US10462184B1 (en) | 2016-06-28 | 2019-10-29 | Symantec Corporation | Systems and methods for enforcing access-control policies in an arbitrary physical space |
US10469457B1 (en) | 2016-09-26 | 2019-11-05 | Symantec Corporation | Systems and methods for securely sharing cloud-service credentials within a network of computing devices |
US10812981B1 (en) | 2017-03-22 | 2020-10-20 | NortonLifeLock, Inc. | Systems and methods for certifying geolocation coordinates of computing devices |
US10708199B2 (en) * | 2017-08-18 | 2020-07-07 | Missing Link Electronics, Inc. | Heterogeneous packet-based transport |
US11356388B2 (en) | 2017-08-18 | 2022-06-07 | Missing Link Electronics, Inc. | Real-time multi-protocol heterogeneous packet-based transport |
CN109194494B (zh) * | 2018-06-28 | 2022-10-04 | 武汉船用机械有限责任公司 | 一种基于惰性气体系统的通信方法、装置和系统 |
CN110830989B (zh) * | 2018-08-09 | 2021-06-08 | 华为技术有限公司 | 一种通信方法和装置 |
CN109286628A (zh) * | 2018-10-10 | 2019-01-29 | 全球能源互联网研究院有限公司 | 数据安全传输方法、系统、电子设备及存储介质 |
CN110337010A (zh) * | 2019-05-22 | 2019-10-15 | 深圳警圣技术股份有限公司 | 视音频数据处理方法、执法记录仪、管理服务器及执法系统 |
US11695546B2 (en) * | 2019-05-30 | 2023-07-04 | AdsWizz Inc. | Decoupled custom event system based on ephemeral tokens for enabling secure custom services on a digital audio stream |
CN112702775B (zh) * | 2020-12-04 | 2023-06-23 | 锐捷网络股份有限公司 | 一种为无线终端提供无线接入服务的方法和无线控制器 |
CN112738643B (zh) * | 2020-12-24 | 2022-09-23 | 北京睿芯高通量科技有限公司 | 一种使用动态密钥实现监控视频安全传输的系统及方法 |
CN114501143B (zh) * | 2022-01-29 | 2024-02-13 | 南京南瑞信息通信科技有限公司 | 一种基于端口选择性加密的视频安全接入方法及系统 |
Family Cites Families (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1562911A (en) | 1976-09-17 | 1980-03-19 | Girling Ltd | Hydraulically operated disc brakes for vehicles |
US6317832B1 (en) * | 1997-02-21 | 2001-11-13 | Mondex International Limited | Secure multiple application card system and process |
FI111208B (fi) * | 2000-06-30 | 2003-06-13 | Nokia Corp | Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä |
US7127619B2 (en) | 2001-06-06 | 2006-10-24 | Sony Corporation | Decoding and decryption of partially encrypted information |
US7350082B2 (en) | 2001-06-06 | 2008-03-25 | Sony Corporation | Upgrading of encryption |
US7218738B2 (en) | 2002-01-02 | 2007-05-15 | Sony Corporation | Encryption and content control in a digital broadcast system |
US7215770B2 (en) | 2002-01-02 | 2007-05-08 | Sony Corporation | System and method for partially encrypted multimedia stream |
US7765567B2 (en) | 2002-01-02 | 2010-07-27 | Sony Corporation | Content replacement by PID mapping |
MXPA04006400A (es) * | 2002-01-02 | 2004-10-04 | Sony Electronics Inc | Cifrado parcial de flujos elementales. |
US7292691B2 (en) | 2002-01-02 | 2007-11-06 | Sony Corporation | Progressive video refresh slice detection |
US7292690B2 (en) | 2002-01-02 | 2007-11-06 | Sony Corporation | Video scene change detection |
US7233669B2 (en) | 2002-01-02 | 2007-06-19 | Sony Corporation | Selective encryption to enable multiple decryption keys |
US7039938B2 (en) | 2002-01-02 | 2006-05-02 | Sony Corporation | Selective encryption for video on demand |
US8027470B2 (en) | 2002-01-02 | 2011-09-27 | Sony Corporation | Video slice and active region based multiple partial encryption |
US8051443B2 (en) | 2002-01-02 | 2011-11-01 | Sony Corporation | Content replacement by PID mapping |
US7823174B2 (en) | 2002-01-02 | 2010-10-26 | Sony Corporation | Macro-block based content replacement by PID mapping |
US7302059B2 (en) | 2002-01-02 | 2007-11-27 | Sony Corporation | Star pattern partial encryption |
US7155012B2 (en) | 2002-01-02 | 2006-12-26 | Sony Corporation | Slice mask and moat pattern partial encryption |
US7376233B2 (en) | 2002-01-02 | 2008-05-20 | Sony Corporation | Video slice and active region based multiple partial encryption |
CA2478274C (en) * | 2003-08-19 | 2015-12-08 | Certicom Corp. | Method and apparatus for synchronizing an adaptable security level in an electronic communication |
JP2007532043A (ja) * | 2003-11-04 | 2007-11-08 | ネクストホップ テクノロジーズ,インク | ワイドエリアネットワークを横切る安全なスタンダードベースの通信 |
US7613920B2 (en) * | 2005-08-22 | 2009-11-03 | Alcatel Lucent | Mechanism to avoid expensive double-encryption in mobile networks |
US7599317B2 (en) * | 2006-04-14 | 2009-10-06 | Motorola, Inc. | Method and apparatus for prediction of a connection identifier in a downlink burst |
US8320567B2 (en) * | 2007-01-05 | 2012-11-27 | Cisco Technology, Inc. | Efficient data path encapsulation between access point and access switch |
US8122313B2 (en) * | 2007-10-08 | 2012-02-21 | Nokia Siemens Networks Oy | Acknowledgment packet |
EP2226967B1 (en) * | 2007-12-19 | 2017-10-25 | Fujitsu Limited | Encryption implementation control system and encryption implementation control devices |
US8175015B1 (en) * | 2008-01-02 | 2012-05-08 | Marvell International Ltd. | WiMAX MAC |
US8261074B2 (en) * | 2008-05-27 | 2012-09-04 | Fujitsu Semiconductor Limited | Verifying a cipher-based message authentication code |
WO2009148263A2 (en) * | 2008-06-03 | 2009-12-10 | Samsung Electronics Co., Ltd. | A system and method of reducing encryption overhead by concatenating multiple connection packets associated with a security association |
CN101562813B (zh) * | 2009-05-12 | 2012-01-11 | 中兴通讯股份有限公司 | 实时数据业务的实现方法、实时数据业务系统和移动终端 |
-
2009
- 2009-05-12 CN CN2009101386319A patent/CN101562813B/zh not_active Expired - Fee Related
- 2009-12-25 US US13/259,011 patent/US8694775B2/en active Active
- 2009-12-25 EP EP09844551.3A patent/EP2421293B1/en not_active Not-in-force
- 2009-12-25 WO PCT/CN2009/076036 patent/WO2010130140A1/zh active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103096303B (zh) * | 2011-10-31 | 2016-04-20 | 华为技术有限公司 | 传输数据包的方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
EP2421293A1 (en) | 2012-02-22 |
US8694775B2 (en) | 2014-04-08 |
CN101562813A (zh) | 2009-10-21 |
WO2010130140A1 (zh) | 2010-11-18 |
US20120072719A1 (en) | 2012-03-22 |
EP2421293A4 (en) | 2016-05-18 |
EP2421293B1 (en) | 2018-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101562813B (zh) | 实时数据业务的实现方法、实时数据业务系统和移动终端 | |
US8745396B2 (en) | Method for implementing the real time data service and real time data service system | |
CN113630773B (zh) | 安全实现方法、设备以及系统 | |
US11228908B2 (en) | Data transmission method and related device and system | |
CN105792193A (zh) | 基于iOS操作系统的移动终端语音端到端加密方法 | |
WO2013060302A1 (zh) | 一种加密方法,解密方法和相关装置 | |
KR101574594B1 (ko) | 이동 통신 시스템의 비계층 프로토콜 처리 방법 및 이동통신 시스템 | |
CN108601093B (zh) | 一种无线通信方法及系统 | |
US9179303B2 (en) | Methods and apparatus for transmitting and receiving secure and non-secure data | |
CN113518315B (zh) | 一种配置无线承载的方法、装置及系统 | |
CN104038931B (zh) | 基于lte网络的配用电通信系统及其通信方法 | |
WO2018222133A2 (zh) | 数据保护方法、装置以及系统 | |
US20080118067A1 (en) | Method and apparatus for performing ciphering in a wireless communications system | |
CN114500167B (zh) | 信息处理方法、装置及电子设备和存储介质 | |
US20250008321A1 (en) | A method for operating a cellular network | |
TW202441984A (zh) | 通信裝置和通信方法 | |
CN116582825A (zh) | Sidelink通信广播方法、装置及电子设备 | |
CN118741182A (zh) | 一种视音频流的传输方法、装置及系统 | |
CN114302503A (zh) | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120111 Termination date: 20210512 |
|
CF01 | Termination of patent right due to non-payment of annual fee |