[发明专利]一种数据传输方法、设备和可读存储介质

说明书

一种数据传输方法、设备和可读存储介质，第一设备生成数据流，并发送数据流。其中，数据流包括N个加密段，一个加密段包括：以头数据单元为起始，以尾数据单元为结尾的一段连续的数据单元。N个加密段中包括至少一个第一加密段，以及第一加密段对应的M1个第二加密段，数据流中承载对第一加密段进行加密的第一密钥的标识，未承载对该第二加密段进行加密的第二密钥的标识。N个加密段中包括至少一个第三加密段，以及第三加密段对应的M2个第四加密段，数据流中承载对第三加密段进行加密的第三初始向量的标识，未承载对该第四加密段进行加密的第四初始向量的标识。如此，可以减少需要同步的加密参数的数量，从而可以降低带宽膨胀。

技术领域

本申请涉及通信领域，尤其涉及一种数据传输方法、设备和可读存储介质。

背景技术

政企、金融等专线业务需要安全承载。安全是客户选择专线业务的一个至关重要的考虑因素。加密是保证数据安全的重要手段，可以有效防止私密信息被攻击者窃取。根据加密在开放式系统互联参考模型(Open System Interconnection Reference Model，OSI)的不同层次，加密可以分为二层加密MACsec、三层加密IPsec等。加密算法一般使用标准的高级加密标准伽罗华/计数器模式(Advanced Encryption Standard-Calois/CounterMode，AES-GCM)算法。

下面以一个二层加密为例来介绍加密的基本原理，图1示例性示出了一种二层加密的数据结构示意图，如图1所示，加密侧针对每个数据帧单独用一个密钥(Key)和一个初始向量(Initialization Vector，IV)进行加密。加密侧可以使用本地预先配置的密钥(Key)、初始向量对图中的一个数据帧的明码数据(Plain Data)进行加密。加密后该明码数据(Plain Data)将变为加密数据(Encrypted Data)。为了防止数据在传输过程中被攻击者篡改，加密侧通常还会生成一个校验值，例如完整性校验值(Integrity Check Value，ICV)。加密侧会将加密所使用的密钥的标识、IV的标识以及校验值携带在数据帧中，发送至解密侧，如图1所示，可以将密钥标识和初始向量标识携带在一个数据帧的源MAC与加密数据之间，将校验值携带在加密数据之后。

解密侧接收到该数据帧后，根据密钥的标识对应的密钥，以及IV的标识对应的IV对该数据帧进行解密。解密后该加密数据(Encrypted Data)将变为明码数据(PlainData)。为了判断数据在传输过程中是否被篡改，解密侧会计算一个ICV。只有当该ICV与数据帧中携带的ICV一致时才能认为此次解密是有效的，否则此次解密是无效的。

从上述处理过程可以看出，为了进行解密，加密侧需要在数据帧中携带密钥的标识、IV的标识以及ICV等加密参数，如此，带来了较大的带宽膨胀。

发明内容

本申请提供一种数据传输方法、设备和可读存储介质，用于通过减少密钥的标识、初始向量的标识的数据同步量，达到降低带宽膨胀。

第一方面，本发明提供了一种数据传输方法，该方法中，第一设备生成数据流；发送数据流。其中，数据流包括N个加密段，N为大于1的正整数，一个加密段包括：以头数据单元为起始，以尾数据单元为结尾的一段连续的数据单元。N个加密段中包括至少一个第一加密段，以及第一加密段对应的M1个第二加密段，其中，数据流中承载对第一加密段进行加密的第一密钥的标识；针对M1个第二加密段中的每个第二加密段，数据流未承载对该第二加密段进行加密的第二密钥的标识。N个加密段中包括至少一个第三加密段，以及第三加密段对应的M2个第四加密段，其中，数据流中承载对第三加密段进行加密的第三初始向量的标识；针对M2个第四加密段中的每个第四加密段，数据流未承载对该第四加密段进行加密的第四初始向量的标识。该M1为零或正整数，该M2为零或正整数，且该M1和该M2中至少有一个为正整数。如此，可以看出，针对有些加密段，数据流中并没有承载这些加密段的密钥标识和/或初始向量的标识，相比每个加密段都要传输该加密段的密钥标识和初始向量标识的方案来说，可以减少需要同步的数据量，从而可以降低带宽膨胀问题。