一种tls通讯数据安全传输方法

一种tls通讯数据安全传输方法
【专利摘要】本发明公开了一种TLS通讯数据安全传输方法。本方法为：1)将客户端的TLS执行环境分为安全环境与普通环境；2)客户端在普通环境中与服务器端协商出本次会话所采用的加密套件、TLS协议版本、压缩算法、会话ID，以及两共享随机数；3)客户端将所需参数由普通环境传入安全环境，然后在安全环境中生成客户端预主密钥、主密钥和密钥分组，以及根据密钥分组导出会话密钥；4)客户端在安全环境用服务器端的公钥对预主密钥进行加密后传入普通环境，然后在普通环境中将加密的预主密钥发送给服务器端；5)普通环境将待加密或解密数据传入安全环境进行相应处理，然后安全环境将处理后的数据传入普通环境。本发明提高了客户端的通信安全。
【专利说明】
一种TLS通讯数据安全传输方法
技术领域
[0001]本发明属于通信协议安全领域，主要是关于基于TrustZone的TLS安全增强方法，具体的来说提出一种新的基于TrustZone的TLS库安全实现方案。
【背景技术】
[0002]目前，针对数据在网络中的安全传输已引入许多安全机制，原理都是通过在协议栈的不同层提供额外的安全措施，如网络层的IPSec协议、传输层的SSL/TLS协议、应用层的SET等。其中TLS协议是在电子商务中应用最广泛的安全协议之一，该协议主要部署在HTTPS、邮件传输、VPN、无线通信中，为信息在网络中的传输提供认证、机密性和完整性等安全服务，已经成为事实上的传输层安全标准。针对TLS协议的实现有许多，比如OpenSSL、NSS、GnuTLS、PolarSSL、CyaSSUMatrixSSL等。OpenSSL是开源安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL/TLS协议，并提供丰富的应用程序供测试或其它目的使用。
[0003]TrustZone技术是ARM提供的系统范围的安全方法，针对高性能计算平台上的大量应用，包括安全支付、数字版权管理(DRM)、企业服务和基于Web的服务。它在CPU内核中集成系统安全性扩展技术来为嵌入式操作系统提供安全硬件基础，通过隔离所有SoC硬件和软件资源来确保系统安全，使它们分别位于用于安全子系统的安全环境以及用于存储其他所有内容的普通环境，普通环境无权访问安全环境的任何资源。
[0004]传统TLS协议的执行流程包括:握手与数据传输过程。在握手过程中，TLS协议规定使用RSA、Diffie - Hellman等密钥交换算法确保预主密钥的加密传输，PRF算法生成密钥数据，握手状态机制确保握手的正确进行，最终客户端与服务器端双方生成相应的会话密钥；在数据传输过程中，所有在网络中传输的消息都被加密，并且使用MAC对消息的完整性进行保护。针对TLS协议安全的研究主要包括三个方面:协议逻辑、协议规范、协议实现，如通过对MAC错误消息与Decrypt1n错误消息的统一实现可以抵御Padding Oracle攻击，IETF制定的安全重协商机制可以抵御重协商攻击，通过在握手状态机制里面验证主密钥可以抵御CCS注入攻击，使用AES-GCM加密验证机制代替RC4与CBC加密模式，这一系列的修复措施使得TLS协议安全性不断增强。
[0005]但是，对于上述提到的攻击都是通过与服务器进行交互的方式，比如攻击者向服务器发送非法挑战消息或者充当中间人的角色劫持连接，没有考虑到如果客户端已被控制的情况。当攻击者通过植入木马或者系统漏洞等方式已获取目标系统的最高权限，攻击者就可以窃取客户端运行内存同时对网络通信进行监听，此时保护TLS通信中的敏感信息就显得至关重要，其中最关键的要属会话密钥的保护。

【发明内容】

[0006]针对上述问题，本发明的目的在于提供一种一种TLS通讯数据安全传输方法。本发明定义了一种TrustZone平台之上的软件系统整体架构，该架构包括客户端TLS通信过程中安全环境的执行流程以及普通环境与安全环境的交互过程。
[0007]本发明所解决的技术问题可以采用以下技术方案来实现。
[0008]—种TLS通讯数据安全传输方法，其步骤为:
[0009]I)将客户端的TLS执行环境分为安全环境与普通环境；
[0010]2)客户端在普通环境中与服务器端协商出本次会话所采用的加密套件、TLS协议版本、压缩算法、会话ID，以及两共享随机数:客户端随机数、服务器端随机数；
[0011]3)客户端将所需参数由普通环境传入安全环境，然后在安全环境中生成客户端预主密钥、主密钥和密钥分组，以及根据密钥分组导出会话密钥；
[0012]4)客户端在安全环境用服务器端的公钥对预主密钥进行加密后传入普通环境，然后在普通环境中将加密的预主密钥发送给服务器端；
[0013]5)客户端在安全环境计算主密钥的摘要，并将计算结果传入普通环境后发送给服务器端进行验证；
[0014]6)验证通过后，普通环境将待加密或解密数据传入安全环境进行相应处理，然后安全环境将处理后的数据传入普通环境。
[0015]进一步的，所述预主密钥、主密钥的生成方法为:客户端首先在安全环境生成预主密钥，然后基于预主密钥和传入的客户端随机数、服务器端随机数生成主密钥。
[0016]进一步的，根据所述主密钥、客户端随机数、服务器端随机数生成所述密钥分组。
[0017]进一步的，所述密钥分组包括六部分:客户端写MAC密钥、服务器端写MAC密钥、客户端写密钥、服务器端写密钥、客户端写初始化向量、服务器端写初始化向量，每部分长度分别对应为 mac_len、mac_len、key_len、key_len、iv_len、iv_len。
[0018]进一步的，所述安全环境根据由所述普通环境传入的MAC密钥长度mac_len、对称加密密钥长度key_len、对称加密初始化向量长度iv_len从密钥分组中导出所述会话密钥；其中，所述客户端写MAC密钥、服务器端写MAC密钥传入并存储于所述普通环境；所述客户端写密钥、服务器端写密钥、客户端写初始化向量、服务器端写初始化向量存储于所述安全环境。
[0019]进一步的，所述安全环境对传入的待加密或解密数据进行处理的方法为:首先在安全环境中创建一加解密结构体，其包括用于初次加密使用的原始向量和非初次加密使用的有效向量；并在安全环境设置一全局数组记录每次加解密之后的有效向量；然后当收到待加密数据后，为该加解密结构体分配堆内存，并初始化该加解密结构体，包括:加解密标志，加密算法，加密密钥，原始向量；然后判断待处理数据是否为首次加解密，如果是，则调用加解密函数对数据进行相应操作，然后记录本次操作的有效向量、释放内存；如果不是，则根据全局数组的记录结果更新加解密结构体中的有效向量，调用加解密函数对数据进行相应操作，然后记录本次操作的有效向量、释放内存。
[0020]进一步的，所述安全环境通过共享内存的方式接收普通环境传来的参数。
[0021]本发明主要包括TLS密钥的安全产生与存储、数据的安全加解密。本发明的实现基础为OpenSSL开源软件，在安全环境中生成TLS相关密钥，利用TrustZone系统总线构造的内存隔离机制，达到会话密钥安全存储的目的。即使攻击者已经获取普通环境的最高权限，也能确保客户端通信过程中会话密钥的安全，进而确保通信内容的安全。
[0022]本发明提出了基于TrustZone技术的新的TLS安全实现系统架构。在本架构中，主要功能包括如下几类:
[0023]1、TLS密钥的安全生成与存储:TLS相关密钥在安全环境中产生，普通环境内存中不存在任何与会话密钥有关的信息，所需参数由应用程序在普通环境中通过调用安全服务传入安全环境。
[0024]2、数据的安全加解密:在数据传输阶段，应用程序通过调用安全服务将原始数据传入安全环境，并在其中进行相应操作后，将数据返回至应用程序。
[0025]具体来说，上述新的TLS库的安全实现，其特征如下所示:
[0026]特征1:所述方案中，客户端TLS的执行环境被TrustZone技术分为安全环境与普通环境，安全环境负责TLS密钥生成以及数据加解密操作，普通环境负责TLS连接的建立以及数据传输操作。
[0027]特征2:如特征I所述，原始的安全环境是没有加解密功能的，但是由于要将TLS密钥产生与数据加解密操作放入安全环境中执行，所以需要在其中重新设计加密库，即安全环境应提供对称加密、非对称加密、摘要功能，具体设计功能如下:
[0028]①Stack:存放缓存数据；
[0029]②哈希表:加快查询操作；
[0030]③Buffer机制:一种缓存数据的封装形式；
[0031 ] ④摘要算法:MD5、SHAl、HMAC,对数据做摘要操作；
[0032]⑤大数:支撑RSA操作；
[0033]⑥EVP封装:调用更加简洁规范，可以统一操作；
[0034]⑦ASNl库:实现RSA密钥的DER编码；
[0035]⑧随机数:填充预主密钥；
[0036]⑨RSA算法:加密安全环境生成的预主密钥；
[0037]⑩对称加密算法:AES、DES，加解密应用数据。
[0038]特征3:如特征I所述，会话密钥产生于安全环境，由于TLS协议规定使用PRF算法产生主密钥与密钥分组，因此需要在安全环境添加PRF算法。
[0039]特征4:如特征I所述，为确保会话密钥的安全产生于存储，客户端TLS需要调用安全服务在安全环境中完成密钥生成操作，调用的安全服务依次如下所述:
[0040]生成预主密钥与主密钥的安全服务。预主密钥在传统TLS会话中是由客户端产生的，客户端使用服务器端传来的RSA公钥加密后将加密后的预主密钥传递给服务器端，月艮务器端利用RSA私钥解密得到预主密钥；主密钥根据两个随机数、预主密钥生成，由于通信双方已经共享三者，所以可以生成相同的主密钥。在本发明中，客户端TLS在普通环境中收到RSA公钥后，首先将RSA公钥进行DER编码，然后调用本安全服务将编码值传递至安全环境，此时执行环境会切换至安全环境，然后客户端TLS在安全环境中产生预主密钥，之后客户端TLS在安全环境中获取RSA公钥，之后客户端TLS在安全环境中加密预主密钥，之后客户端TLS在安全环境中生成主密钥，之后客户端TLS在安全环境中将加密的预主密钥返回至普通环境，此时执行环境切换至普通环境，最后客户端TLS在普通环境中发送加密的预主密钥至服务器端，这样就保证客户端TLS的预主密钥与主密钥的安全性。下面的描述为预主密钥与主密钥生成安全服务处理流程，其中d2i函数由ASNl库提供。下面描述了本安全服务的接口定义，调用本安全服务时，普通环境向安全环境传递的参数以及安全服务的数据处理流程，最后说明了返回至普通环境的数据内容。
[0041]①接口定义:
[0042]int process_otz_echo_send_cmd_gen_prem_m_key(void*req_buf, u32req_buf_len,void氺res—buf, u32res_buf_len, struct otzc_encode_meta*meta_data, u32*ret_res_buf_len)
[0043]②参数传递:客户端随机数、服务器端随机数、协议版本号clijer、RSA公钥DER编码值；
[0044]③安全服务数据处理流程:
[0045]利用d2i操作获得RSA公钥；
[0046]——随机填充预主密钥；
[0047]一一调用PRF算法生成主密钥；
[0048]——使用RSA公钥加密预主密钥；
[0049]④数据返回:返回加密后的预主密钥；
[0050]生成密钥分组安全服务。密钥分组在普通TLS会话中的作用是导出会话密钥，由主密钥、客户端随机数、服务器端随机数生成。下面描述了本安全服务的接口定义，调用本安全服务时，普通环境向安全环境传递的参数以及安全服务的数据处理流程，最后说明了返回至普通环境的数据内容。
[0051]①接口定义:
[0052]int process_otz_echo_send_cmd_gen_key_block(void*req_buf, u32req_buf_len,void氺res—buf, u32res_buf_len, struct otzc_encode_meta*meta_data, u32*ret_res_buf_len)
[0053]②参数传递:密钥分组的长度、MAC算法标志；
[0054]③数据处理:
[0055]——内存分配；
[0056]一一调用PRF算法生成密钥分组；
[0057]——内存释放；
[0058]④数据返回:无；
[0059]生成会话密钥安全服务。密钥分组是一个数组，在导出会话密钥时，首先将密钥分组分为六部分，每部分长度分别为 mac_len、mac_len、key_len、key_len、iv_len、iv_len，分别对应客户端写MAC密钥、服务器端写MAC密钥、客户端写密钥、服务器端写密钥、客户端写初始化向量、服务器端写初始化向量。HMAC算法在对数据做哈希操作时需要用到MAC密钥，客户端在发送数据时需要使用客户端写MAC密钥对数据做哈希操作，客户端收到服务器端数据时需要用到服务器端写MAC密钥验证数据完整性，客户端写MAC密钥、服务器端写MAC密钥不用存储于安全环境，由普通环境存储即可；在080加密模式下，客户端在发送数据时使用客户端写密钥、客户端写初始化向量加密数据，客户端收到服务器端数据时使用服务器端写密钥、服务器端写初始化向量解密数据。下面描述了本安全服务的接口定义，调用本安全服务时，普通环境向安全环境传递的参数以及安全服务的数据处理流程，最后说明了返回至普通环境的数据内容。
[0060]①接口定义:
[0061]int process_otz_echo_send_cmd_gen_sess1n_key (void*req_buf，u32req_buf_len，void*res_buf，u32res_buf_len，struct otzc_encode_meta*meta_data,u32氺ret—res—buf—len)
[0062]②参数传递:MAC密钥长度mac—len、对称加密密钥长度key—len、对称加密初始化向量长度iv_len ；
[0063]③数据处理:
[0064]一一根据密钥分组导出会话密钥；
[0065]④数据返回:客户端写MAC密钥、服务器端写MAC密钥。
[0066]特征5:如特征I所述，会话密钥存储于安全环境，所以在数据传输阶段，客户端在接收、发送数据时需要调用加密安全服务或者解密安全服务在安全环境中完成数据加解密操作。下面描述了本安全服务的接口定义，调用两个安全服务时，普通环境向安全环境传递的参数以及安全服务的数据处理流程，最后说明了返回至普通环境的数据内容。
[0067]①接口定义:
[0068]int process_otz_echo_send_cmd_enc_data (void*req_buf, u32req_buf_len,void*res_buf，u32res_buf_len，struct otzc_encode_meta*meta_data，u32*ret_res—buf—len)
[0069]int process_otz_echo_send_cmd_dec_data(void*req_buf，u32req_buf_len,void*res_buf，u32res_buf_len，struct otzc_encode_meta*meta_data，u32*ret_res—buf—len)
[0070]②参数传递:待加密或解密的数据；
[0071]③数据处理:
[0072]——判断是否为首次加密，不是则更新加解密结构体中的有效初始化向量；
[0073]——进行加密或解密操作；
[0074]——记录本次加解密结构体的有效初始化向量；
[0075]④数据返回:返回加密或者解密后的数据。
[0076]特征6:如特征I所述，改进之后客户端相关密钥均存储在安全环境，由于握手期间计算消息最终MAC值时会用到主密钥，所以握手过程中的该步操作需在安全环境中执行，即客户端TLS需要调用最终MAC计算安全服务。下面描述了本安全服务的接口定义，调用本安全服务时，普通环境向安全环境传递的参数以及安全服务的数据处理流程，最后说明了返回至普通环境的数据内容。
[0077]①接口定义:
[0078]int process_otz_echo_send_cmd_final_MAC(void氺req_buf, u32req_buf_len,void*res_buf，u32res_buf_len，struct otzc_encode_meta*meta_data，u32*ret_res—buf—len)
[0079]②参数传递:原始握手数据；
[0080]③数据处理:
[0081]—一调用PRF算法计算原始握手数据、主密钥的MAC值；
[0082]④数据返回:返回计算的MAC值。
[0083]与现有技术相比，本发明的积极效果为:
[0084]本发明基于TrustZone技术提供了一种安全TLS库的实现方案。利用该系统的硬件隔离机制，重组TLS握手流程，将有关会话密钥产生的操作放到安全操作系统中执行，进而达到握手过程中关键环节保护的目的，提升会话密钥抵抗攻击的能力。即使普通环境的用户层甚至内核层已被入侵，但是攻击者仍然不能窃取会话密钥，继而保护客户端的通信安全。
【附图说明】
[0085]图1为本发明安全TLS库实现的系统架构图
[0086]图2为本发明安全TLS库实现的通信流程图
[0087]图3为本发明安全TLS库实现的客户端通信执行流程图
[0088]图4为本发明安全TLS库实现的安全加解密流程图
【具体实施方式】
[0089]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，可以理解的是，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0090]图1中所示是本实施例中面向安全TLS库具体实现的系统架构图。整个嵌入式安全系统由三部分组成:
[0091](I)ARM TrustZone 硬件安全平台。
[0092](2)通用操作系统。通用操作系统在内核层对安全操作系统的API接口进行封装，以供上层应用程序调用安全操作系统提供的服务；在通用操作系统中会运行各层的协议，其中TLS握手协议与安全环境交互完成会话密钥的安全产生与存储操作，TLS记录协议与安全环境交互完成数据的安全加解密操作。
[0093](3)面向任务的安全操作系统。在其中会运行各种自定义的安全服务以供通用操作系统调用，通过共享内存的方式接收普通环境传来的参数；本方案中存在数据加密服务、数据解密服务、预主密钥和主密钥生成服务、密钥分组生成服务、会话密钥导出服务、最终MAC计算服务，上述服务依赖于在安全环境设计的加密库。
[0094]图2中所示是本实施例中面向基于TrustZone的安全TLS通信执行流程图。图3中所示是本实施例中面向改进之后的客户端TLS执行流程图，本实施例中执行流程如下所示:
[0095]①客户端发送客户端问候消息client_hello,在该消息中有客户端支持的TLS协议最高版本、客户端随机数、加密套件列表、压缩算法列表、Sess1nID，该步在普通环境下执行；
[0096]②客户端接收服务器端问候消息server_hello、服务器端证书certificate*(证书中包含服务器端RSA公钥)、服务器端问候结束消息server_hello_done，其中server_hello消息中包含服务器端随机数，到此为止双方共享两个随机数，并协商出本次会话所采用的加密套件、TLS协议版本、压缩算法、Sess1nID，该步在普通环境下执行；
[0097]③客户端执行至客户端密钥交换消息client_key_exchange，该消息对应至实现中是一个函数，在普通TLS通信中，客户端TLS通过该函数生成预主密钥，并将它加密发送至服务器端。对于更改之后的TLS执行流程，当客户端TLS执行至该函数体内时，调用生成预主密钥与主密钥安全服务，同时传入参数:客户端随机数、服务器端随机数、协议版本号cli_ver,RSA公钥DER编码值，在安全环境中完成客户端预主密钥、主密钥的生成以及预主密钥的加密操作，预主密钥的生成以及加密操作在安全环境下执行，加密的预主密钥的发送操作在普通环境下执行；
[0098]④客户端向服务器发送更改密钥消息change_cipher_spec，该消息是客户端生成主密钥之后发送的，包含的内容是一个字节，作用是提醒服务器端本方会进行密钥生成操作，该步在普通环境下执行；
[0099]⑤客户端生成密钥分组时，客户端TLS调用密钥分组生成安全服务，同时传入参数:密钥分组的长度、MAC算法标志，在安全环境中根据主密钥以及客户端随机数、服务器端随机数生成密钥分组并存储，该步在安全环境下执行；
[0100]⑥客户端更改密钥状态时，客户端TLS调用会话密钥生成安全服务，同时传入参数:MAC密钥长度mac_len、对称加密密钥长度key_len、对称加密初始化向量长度iv_len，在安全环境中根据密钥分组导出会话密钥并存储，该步在安全环境下执行；
[0101]⑦客户端计算握手消息最终MAC值时，客户端TLS调用最终MAC计算安全服务，同时传入参数:原始握手数据，在安全环境中计算主密钥的摘要并将结果传回普通环境，该步在安全环境下执行；
[0102]⑧客户端发送含有此摘要信息的握手结束消息finished，该步在普通环境下执行；
[0103]⑨客户端接收服务器端更改密钥消息change_cipher_spec、握手结束消息finished，握手结束，该步在安全环境下执行；
[0104]⑩客户端发送应用数据，客户端TLS调用数据加密或数据解密安全服务，在安全环境完成数据加解密操作，并返回至普通环境。
[0105]图4中所示是本实施例中面向TLS库安全加解密的过程示意图。本实施例中，由于握手阶段产生的会话密钥存储于安全环境，所以当客户端应用接发数据时须调用数据加解密安全服务将源数据传入安全环境，并在其中完成相应操作后传回普通环境。加解密结构体(由安全环境加密库的EVP封装提供)存在两个初始化向量:原始向量，初次加密使用；有效向量，非初次加解密使用，每次加密后该向量会发生改变。因此，安全环境须设置全局数组记录本次加解密之后的有效向量。具体加解密执行流程为:
[0106]①为加解密结构体分配堆内存；
[0107]②初始化加解密结构体，包括:加解密标志，加密算法，加密密钥，原始向量；
[0108]③判断是否为首次加解密，若为首次加解密则执行⑤；否则执行④；
[0109]④根据全局数组的记录结果更新加解密结构体中的有效向量；
[0110]⑤调用加解密函数对数据进行相应操作；
[0111]⑥记录本次操作的有效向量；
[0112]⑦内存释放。
[0113]以上通过简单的说明描述了本发明提供的基于TrustZone技术的TLS库安全实现方案，本领域的技术人员应该理解，在不超出本发明实质和范围的情况下，可以进行修改，本发明的保护范围应以权利要求所述为准。
【主权项】
1.一种TLS通讯数据安全传输方法，其步骤为: 1)将客户端的TLS执行环境分为安全环境与普通环境； 2)客户端在普通环境中与服务器端协商出本次会话所采用的加密套件、TLS协议版本、压缩算法、会话ID，以及两共享随机数:客户端随机数、服务器端随机数； 3)客户端将所需参数由普通环境传入安全环境，然后在安全环境中生成客户端预主密钥、主密钥和密钥分组，以及根据密钥分组导出会话密钥； 4)客户端在安全环境用服务器端的公钥对预主密钥进行加密后传入普通环境，然后在普通环境中将加密的预主密钥发送给服务器端； 5)客户端在安全环境计算主密钥的摘要，并将计算结果传入普通环境后发送给服务器端进行验证； 6)验证通过后，普通环境将待加密或解密数据传入安全环境进行相应处理，然后安全环境将处理后的数据传入普通环境。2.如权利要求1所述的方法，其特征在于，所述预主密钥、主密钥的生成方法为:客户端首先在安全环境生成预主密钥，然后基于预主密钥和传入的客户端随机数、服务器端随机数生成主密钥。3.如权利要求1或2所述的方法，其特征在于，根据所述主密钥、客户端随机数、服务器端随机数生成所述密钥分组。4.如权利要求3所述的方法，其特征在于，所述密钥分组包括六部分:客户端写MAC密钥、服务器端写MAC密钥、客户端写密钥、服务器端写密钥、客户端写初始化向量、服务器端写初始化向量，每部分长度分别对应为mac_len、mac_len、key_len、key_len、iv_len、iv_Ien05.如权利要求4所述的方法，其特征在于，所述安全环境根据由所述普通环境传入的MAC密钥长度mac_len、对称加密密钥长度key_len、对称加密初始化向量长度iv_len从密钥分组中导出所述会话密钥；其中，所述客户端写MAC密钥、服务器端写MAC密钥传入并存储于所述普通环境；所述客户端写密钥、服务器端写密钥、客户端写初始化向量、服务器端写初始化向量存储于所述安全环境。6.如权利要求1或2所述的方法，其特征在于，所述安全环境对传入的待加密或解密数据进行处理的方法为:首先在安全环境中创建一加解密结构体，其包括用于初次加密使用的原始向量和非初次加密使用的有效向量；并在安全环境设置一全局数组记录每次加解密之后的有效向量；然后当收到待加密数据后，为该加解密结构体分配堆内存，并初始化该加解密结构体，包括:加解密标志，加密算法，加密密钥，原始向量；然后判断待处理数据是否为首次加解密，如果是，则调用加解密函数对数据进行相应操作，然后记录本次操作的有效向量、释放内存；如果不是，则根据全局数组的记录结果更新加解密结构体中的有效向量，调用加解密函数对数据进行相应操作，然后记录本次操作的有效向量、释放内存。7.如权利要求1所述的方法，其特征在于，所述安全环境通过共享内存的方式接收普通环境传来的参数。
【文档编号】H04L29/06GK105991569SQ201510066824
【公开日】2016年10月5日
【申请日】2015年2月9日
【发明人】于爱民, 穆振, 马建刚
【申请人】中国科学院信息工程研究所