[发明专利]数据安全传输方法及节点设备

权利要求书

1.一种数据安全传输方法，其特征在于，所述方法应用于身份网络ION结构，所述方法包括：

第一节点设备生成数据包；其中，所述数据包中携带：安全连接索引SCI以及目标待传输数据；其中，所述SCI用于指示所述第一节点设备与第二节点设备之间的安全连接所对应的安全连接参数；

所述第一节点设备向第二节点设备发送所述数据包。

2.根据权利要求1所述的方法，其特征在于，所述第一节点设备生成数据包，包括：

所述第一节点设备根据所述SCI以及映射信息确定所述安全连接参数；其中，所述映射信息中包括：所述SCI与所述安全连接参数之间的映射关系；

所述第一节点设备根据所述安全连接参数生成所述数据包。

3.根据权利要求2所述的方法，其特征在于，所述第一节点设备根据所述安全连接参数生成所述数据包，包括：

所述第一节点设备根据所述安全连接参数中的完整性保护密钥和认证算法生成消息认证码MAC；

所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包；所述SCI和所述MAC位于所述数据包的包头，所述目标待传输数据位于所述数据包的数据载荷部分。

4.根据权利要求3所述的方法，其特征在于，所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包，包括：

所述第一节点根据所述SCI、所述MAC、第一完整性保护指示信息以及所述目标待传输数据生成所述数据包；所述第一完整性保护指示信息位于所述数据包的包头；

其中，所述第一完整性保护指示信息用于指示所述目标待传输数据为完整性保护数据，所述第一完整性保护指示信息包括：消息认证码指示MACI和/或所述认证算法；所述MACI等于第一预设值，用于指示所述目标待传输数据为完整性保护数据。

5.根据权利要求3或4所述的方法，其特征在于，若不需要进行加密，则所述第一节点根据所述SCI、所述MAC以及所述目标待传输数据生成所述数据包，包括：

所述第一节点根据所述SCI、所述MAC、第一加密指示信息以及所述目标待传输数据生成所述数据包；所述第一加密指示信息位于所述数据包的包头；

其中，所述第一加密指示信息用于指示所述目标待传输数据为非加密数据，所述第一加密指示信息包括加密指示EI；所述EI等于第二预设值，用于指示所述目标待传输数据为非加密数据。

6.根据权利要求2所述的方法，其特征在于，所述第一节点设备根据所述安全连接参数生成所述数据包，包括：

所述第一节点设备根据所述安全连接参数中的加密密钥和加密算法对初始待传输数据加密得到所述目标待传输数据；

所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包；所述SCI位于所述数据包的包头，所述目标待传输数据位于所述数据包的数据载荷部分。

7.根据权利要求6所述的方法，其特征在于，所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包，包括：

所述第一节点设备根据所述SCI、第二加密指示信息以及所述目标待传输数据生成所述数据包；所述第二加密指示信息位于所述数据包的包头；

其中，所述第二加密指示信息用于指示所述目标待传输数据为加密数据，所述第二加密指示信息包括：加密指示EI和/或所述加密算法；所述EI等于第三预设值，用于指示所述目标待传输数据为加密数据。

8.根据权利要求6或7所述的方法，其特征在于，若不需要进行完整性保护，则所述第一节点设备根据所述SCI以及所述目标待传输数据生成所述数据包，包括：

所述第一节点设备根据所述SCI、第二完整性保护指示信息以及所述目标待传输数据生成所述数据包；所述第二完整性保护指示信息位于所述数据包的包头；

其中，所述第二完整性保护指示信息用于指示所述目标待传输数据为非完整性保护数据，所述第二完整性保护指示信息包括消息认证码指示MACI；所述MACI等于第四预设值，用于指示所述目标待传输数据为非完整性保护数据。