[发明专利]数据的安全传输方法和设备

权利要求书

1.一种数据的安全传输方法，其特征在于，包括：

用户设备UE接收服务器通过互通设备IWF和移动性管理实体MME发送的第一数据包，所述第一数据包携带所述服务器的ID或所述IWF的ID；

所述UE根据所述第一数据包中的所述服务器的ID或所述IWF的ID，获得所述服务器的公钥，其中，所述UE签约的服务器的公钥存储在所述UE上，且通过所述服务器的ID或所述IWF的ID来标识，和/或，SDT安全上下文，其中，与归属用户服务器HSS协商生成SDT安全上下文存储在所述UE上，且通过所述服务器的ID或所述IWF的ID来标识；

所述UE根据所述服务器的公钥和所述UE的私钥，或者所述SDT安全上下文，或者所述服务器的公钥和所述SDT安全上下文，对所述第一数据包进行验证和解密处理，得到解密后的第一数据包。

2.根据权利要求1所述的方法，其特征在于，还包括：所述UE与归属用户服务器HSS协商生成所述SDT安全上下文，具体步骤包括：

接收所述HSS发送的密钥生成参数；

根据所述密钥生成参数，生成所述SDT密钥；

在非接入安全模式命令NAS SMC过程中协商所述SDT安全保护算法，或者，在非接入安全模式命令NAS SMC过程中协商的非接入层安全算法作为所述SDT安全保护算法。

3.根据权利要求1或2所述的方法，其特征在于，所述UE根据所述服务器的公钥和所述UE的私钥，或者所述SDT安全上下文，或者所述服务器的公钥和所述SDT安全上下文，对所述第一数据包进行验证和解密处理，得到解密后的第一数据包，包括：

所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效；

所述UE若验证所述第一数据包中的签名有效，则根据所述UE的私钥对所述第一数据包进行解密处理，得到解密后的所述第一数据包。

4.根据权利要求2所述的方法，其特征在于，所述UE根据所述服务器的公钥和所述UE的私钥，或者所述SDT安全上下文，或者所述服务器的公钥和所述SDT安全上下文，对所述第一数据包进行验证和解密处理，得到解密后的第一数据包，包括：

所述UE根据所述SDT安全上下文验证所述第一数据包中的消息认证码MAC-I；若验证成功，则对所述第一数据包进行解密处理，得到解密后的所述第一数据包。

5.根据权利要求2所述的方法，其特征在于，所述UE根据所述服务器的公钥和所述UE的私钥，或者所述SDT安全上下文，或者所述服务器的公钥和所述SDT安全上下文，对所述第一数据包进行验证和解密处理，得到解密后的第一数据包，包括：

所述UE根据所述服务器的公钥验证所述第一数据包中的签名是否有效；若验证所述第一数据包的签名有效，则根据所述SDT安全上下文对所述第一数据包进行解密处理，或者根据所述SDT安全上下文对所述第一数据包进行完整性验证和解密处理，得到解密后的所述第一数据包。

6.根据权利要求4或5所述的方法，其特征在于，还包括：

所述UE从所述HSS接收的参数包括所述IWF的ID、APP的ID、随机数RAND、临时数据中的至少一项；

所述密钥生成参数包括所述SDT密钥的生成参数；其中，所述SDT密钥的生成参数包括接入安全管理实体密钥、完整性保护密钥IK、加密密钥CK、所述IWF的ID、所述UE的ID或国际移动用户标识IMSI、所述APP的ID、所述RAND、所述临时数据、SDT密钥标签中的至少一项。