本發明實施例公開了一種數據傳輸方法、相關設備及系統，該系統包括接入網設備AN和用戶設備UE，其中：該AN用于接收核心網中管理密鑰的設備發送的基礎密鑰，該基礎密鑰為該UE與該核心網雙向認證生成的密鑰或者基于該雙向認證生成的密鑰推衍出的密鑰；該AN和該UE均用于按照預設規則處理該基礎密鑰以生成空口保護密鑰；該UE還用于通過該空口保護密鑰保護上行協議數據單元PDU中的目標字段，該目標字段包含用于標識該UE與目標節點之間的會話的信息，該目標節點與該UE之間的會話的數據在傳輸時需要經過該AN；該AN用于通過該空口保護密鑰解析該上行協議數據單元中的該目標字段。采用本發明，能夠防止會話被攻擊。

技術領域

本發明涉及計算機技術領域，尤其涉及一種數據傳輸方法、相關設備及系統。

背景技術

無線通信技術已經深入了人們的生活，我們在享受通信便利的同時也會面臨安全和隱私的威脅。空口傳輸是無線通信的重點特征，為了避免空口傳輸的內容被竊聽就需要制定相應的保護機制來對傳輸內容加密。在長期演進(英文：Long Term Evolution，簡稱：LTE)中，從用戶設備(英文：User Equipment，簡稱：UE)到Internet的安全保護機制為hop-by-hop機制，即采用分段加密的形式完成對會話中的所有信息進行保護，然而這些信息所經過的中間節點可以獲得這些信息的明文，因此不能夠抗擊中間節點竊聽。為了抗擊中間節點竊聽，本領域的技術人員提出了采用端到端地保護機制，例如，UE與核心網(英文：corenetwork，簡稱：CN)之間端到端地保護、UE與Internet服務器之間端到端地保護等等。

UE與CN之間端到端地保護具體是指UE與CN中的網元(例如，CN中的控制網元、CN中的運營商服務器、CN中的用戶面網關等)之間傳輸會話數據時，直接由該UE對上行協議數據單元(英文：Protocol data unit，簡稱：PDU)加密并由該CN中的網元對該上行協議數據單元解密，直接由該CN中的網元對下行數據進行加密并由該UE對該下行協議數據單元進行解密，該上行協議數據單元和該下行協議數據單元在傳輸過程中不需要經過該UE與該CN之間的中間節點(例如，接入網(英文：Access Network，簡稱：AN))加密和解密，從而避免了該中間節點的監聽。請參見圖1，圖1是現有技術中的一種端到端地保護機制的場景示意圖，圖1中包括UE、AN、控制面認證單元(英文：Control Plane-Authentication Unit，簡稱：CP-AU)、用戶面網關(英文：User Plane-Gateway，簡稱：UP-GW)和Internet服務器，該UE進行在網絡中通信的流程如下：

步驟101：UE采用空口技術向AN發送接入請求，UE與AN間屬于空口段；

步驟S102：AN接收該接入請求并將該接入請求發送給CN中的CP-AU；

步驟S103：UE與該CP-AU雙向認證；

步驟S104：UE與該CP-AU雙向認證成功后建立UE與CN之間的會話；

步驟S105：UE與該CN中的UP-GW基于該會話進行協議數據單元傳輸且采用端到端地保護機制來保護協議數據單元傳輸，即由UE對上行協議數據單元進行加密并由UP-GW對該上行協議數據單元進行解密，由UP-GW對下行協議數據單元進行加密并由該UE對該下行協議數據單元進行解密，該UE與該UP-GW之間的中間節點AN則負責對該上行協議數據單元和該下行協議數據單元進行中轉，但不進行加密和解密操作；從而避免了該AN竊聽該UE與該UP-GW之間的內容。

然而，端到端地保護機制所保護的對象通常為協議數據單元中的payload部分而非協議數據單元的header部分，因為中間節點需要讀取協議數據單元的header中用于標識會話的信息(例如，session ID、IMSI、承載標識等)，從而根據該信息確定如何轉發該協議數據單元。由于用于標識會話的信息未被加密，因此攻擊者可以輕易在空口傳輸階段獲取該信息并根據該信息追蹤到該會話，從而對該會話的安全帶來威脅。

發明內容