專利名稱:一種數(shù)據(jù)加密的方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信安全技術(shù)領(lǐng)域,特別是數(shù)據(jù)加密的方法、裝置和系統(tǒng)。
背景技術(shù):
基于業(yè)務(wù)流的安全機(jī)制的實(shí)現(xiàn)方法對(duì)于實(shí)現(xiàn)安全通信具有重要的意義, 現(xiàn)有技術(shù)中的實(shí)現(xiàn)方法是基于終端粒度的。
如圖l所示,是一個(gè)分組移動(dòng)通訊網(wǎng)絡(luò)的架構(gòu)示意圖。終端通過基站系 統(tǒng)接入網(wǎng)絡(luò),在移動(dòng)管理實(shí)體中登記,其用戶面數(shù)據(jù)經(jīng)過接入網(wǎng)關(guān)匯聚后, 通過數(shù)據(jù)網(wǎng)關(guān)接到業(yè)務(wù)網(wǎng)絡(luò)。策略控制功能實(shí)體連接業(yè)務(wù)網(wǎng)絡(luò)和承載網(wǎng)絡(luò),
將業(yè)務(wù)的QoS (Quality of Service,服務(wù)質(zhì)量)和策略控制規(guī)則下發(fā)到承載網(wǎng) 絡(luò)執(zhí)行。
在不同的網(wǎng)絡(luò)實(shí)現(xiàn)中,上述示意圖中邏輯實(shí)體映射到不同的物理網(wǎng)元, 例如
在UMTS ( Universal Mobile Telecommunications System,通用移動(dòng)通信系 統(tǒng))網(wǎng)絡(luò)中,基站系統(tǒng)對(duì)應(yīng)NodeB (基站)和RNC ( Radio Network Controller, 無線網(wǎng)絡(luò)控制器),移動(dòng)管理實(shí)體和接入網(wǎng)關(guān)合一為SGSN ( Serving GPRS Support Node,服務(wù)GPRS支持節(jié)點(diǎn)),數(shù)據(jù)網(wǎng)關(guān)為GGSN (Gateway GPRS Support Node,網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)),用戶簽約數(shù)據(jù)庫(kù)為HLR( Home Location Register,位置歸屬移位寄存器);
在下一代演進(jìn)網(wǎng)絡(luò)EPS (Evolved Packet System)中,基站系統(tǒng)為eNodeB (Evolved NodeB,演進(jìn)基站),移動(dòng)管理實(shí)體為MME(Mobility Management Entity,移動(dòng)管理實(shí)體),接入網(wǎng)關(guān)為Serving GW ( Serving Gateway,服務(wù)網(wǎng)關(guān)), 數(shù)據(jù)網(wǎng)關(guān)為PDN GW (Packet Data Network Gateway,數(shù)據(jù)網(wǎng)關(guān)),用戶簽約 數(shù)據(jù)庫(kù)為HSS ( Home Subscriber Server,歸屬地用戶服務(wù)器);
在WiMax ( World Interoperability for Microwave Access,微波存取全球互 通技術(shù))網(wǎng)絡(luò)中,基站系統(tǒng)為BS (Base Station),移動(dòng)管理實(shí)體和4妄入網(wǎng)關(guān)
8合一為ASN GW ( Access Service Network Gateway,接入網(wǎng)關(guān)),數(shù)據(jù)網(wǎng)關(guān)為 HA ( Home Agent,家鄉(xiāng)代理),用戶簽約.數(shù)據(jù)庫(kù)為AAA Server (Authentication, Authorization and Accounting Server,鑒4又、授4又和i十費(fèi)月良務(wù)器);
由于無線系統(tǒng)中,空口傳輸?shù)臄?shù)據(jù)存在被竊聽和篡改的可能性,因此一 般移動(dòng)通訊網(wǎng)絡(luò)都提供空口數(shù)據(jù)加密的功能(本文后文中所指加密特制空口 數(shù)據(jù)加密,同時(shí)也包括數(shù)據(jù)完整性保護(hù)),在有的系統(tǒng)中,加密通道建立在終 端和基站系統(tǒng)之間,也有建立在終端和接入網(wǎng)關(guān)之間的。
以現(xiàn)有UMTS系統(tǒng)為例,其基于終端粒度的加密協(xié)商的流程如下
1) 終端附著到網(wǎng)絡(luò)上,附著消息中攜帶自己的加密能力;
2) SGSN根據(jù)網(wǎng)絡(luò)配置,與終端協(xié)商加密算法;
3) 如果協(xié)商結(jié)果為需要加密,SGSN將確定的加密算法通知給終端和 RNC,在終端和RNC之間建立加密通道保護(hù)用戶的用戶面數(shù)據(jù)。
上述UMTS網(wǎng)絡(luò)的加密配置是基于終端粒度的,即如果網(wǎng)絡(luò)中配置了打 開加密功能,而終端又支持加密,則協(xié)商結(jié)果為需要加密。上述技術(shù)方案是 也可以在用戶簽約數(shù)據(jù)中指示對(duì)該用戶是否進(jìn)行空口數(shù)據(jù)加密,網(wǎng)絡(luò)根據(jù)該 指示與終端協(xié)商是否加密。
現(xiàn)有技術(shù)對(duì)數(shù)據(jù)安全性的需求并不一定只有某些重要用戶才有要求,任 何人都不希望自己的通訊機(jī)密被竊聽或篡改,如果普通用戶的某些業(yè)務(wù)(如 語(yǔ)音業(yè)務(wù))由于缺少安全保護(hù)而產(chǎn)生泄密,同樣可能造成重大損失,其結(jié)果 是或者大多數(shù)用戶都簽約要求網(wǎng)絡(luò)提供空口數(shù)據(jù)加密,甚至因某些原因,如 法律強(qiáng)制要求網(wǎng)絡(luò)必須對(duì)所有用戶的某些基本業(yè)務(wù)(如語(yǔ)音業(yè)務(wù))提供加密 保護(hù),運(yùn)營(yíng)商因此不得不仍然對(duì)大多數(shù)甚至所有用戶的用戶面數(shù)據(jù)進(jìn)行加密 保護(hù)。
申請(qǐng)人在進(jìn)行本發(fā)明的發(fā)明創(chuàng)造過程中發(fā)現(xiàn)如果現(xiàn)有網(wǎng)絡(luò)的加密配置 是基于終端粒度的。當(dāng)網(wǎng)絡(luò)側(cè)配置了打開加密功能時(shí),只要終端支持,則加 密協(xié)商結(jié)果為使用加密。但是,在事實(shí)上,大多數(shù)終端都已經(jīng)有能力支持加 密。因此, 一旦在網(wǎng)絡(luò)配置中指定使用加密功能,則網(wǎng)絡(luò)和支持加密的手機(jī) 之間都需要進(jìn)行加密。在分組域發(fā)展早期,網(wǎng)絡(luò)能夠提供的帶寬很小, 一般 每個(gè)用戶只有幾十Kbps,使用分組業(yè)務(wù)的用戶也很少,因此對(duì)所有用戶數(shù)據(jù)都進(jìn)行加密不存在太大問題。而隨著移動(dòng)通訊技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)提供的
帶寬.越來越大,下一代演進(jìn)網(wǎng)絡(luò)EPS,能在一個(gè)小區(qū)內(nèi)提供幾百M(fèi)bps的帶寬, 平均一個(gè)終端也能夠使用幾十到上百M(fèi)bps的帶寬。如果仍然對(duì)所有用戶面數(shù) 據(jù)都進(jìn)行加密,則手機(jī)和網(wǎng)絡(luò)側(cè)的加密節(jié)點(diǎn)(基站系統(tǒng)或接入網(wǎng)關(guān))需要很 強(qiáng)的加解密能力。上述技術(shù)方案只能囿于終端粒度的層面,對(duì)所述終端的全 部數(shù)據(jù),進(jìn)行全部加密。而不能夠?qū)崿F(xiàn)對(duì)于特定的業(yè)務(wù)網(wǎng)絡(luò)、特定承載、特 定的業(yè)務(wù)進(jìn)行更細(xì)致的控制。
綜上所述,現(xiàn)有技術(shù)中至少存在如下問題其基于終端粒度的安全策略 加密機(jī)制,不能夠提供比終端粒度更精細(xì)的加密機(jī)制,不能實(shí)現(xiàn)對(duì)于基于業(yè) 務(wù)網(wǎng)絡(luò)、承載或業(yè)務(wù)流粒度的加密機(jī)制。由此,而大大增加了整個(gè)通信系統(tǒng) 加密機(jī)制的復(fù)雜度,需要加密解密的數(shù)據(jù)量很大,運(yùn)算量龐大,浪費(fèi)了系統(tǒng) 資源。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明一個(gè)或多個(gè)實(shí)施例的目的在于提供一種數(shù)據(jù)加密的方 法、裝置和系統(tǒng),以實(shí)現(xiàn)在安全策略的控制下,對(duì)各種粒度,包括終端粒度、 PDN(Packet Data Network,分組數(shù)據(jù)網(wǎng))連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù) 流粒度數(shù)據(jù)進(jìn)行加密,在通信系統(tǒng)中實(shí)現(xiàn)了更精確的加密機(jī)制。
為解決上述問題,本發(fā)明實(shí)施例提供了一種數(shù)據(jù)加密的方法,包括
獲取至少一個(gè)安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種 粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;
如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加密,則根據(jù)所述安 全策略進(jìn)行加密,否則,不進(jìn)行加密。
還提供了一種數(shù)據(jù)加密的系統(tǒng),包括
安全策略獲取設(shè)備,用于獲取至少一個(gè)安全策略,所述安全策略是指 示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;
加密設(shè)備,用于如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加 密,則根據(jù)所述安全策略進(jìn)行加密,否則,不進(jìn)行加密。
還提供了一種數(shù)據(jù)加密的終端,包括
安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略,所述安全策
10略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全
策略;
安全策略發(fā)送單元,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略,以用于
指示是否需要進(jìn)行加密;
加密單元,用于如果所述安全策略指示進(jìn)行加密,則將終端與網(wǎng)絡(luò)系
統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。
還提供了一種數(shù)據(jù)加密的終端,包括
安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安全策 略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全 策略;
加密單元,用于如果所述安全策略指示進(jìn)行加密,則將終端與網(wǎng)絡(luò)系 統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。 還提供了一種數(shù)據(jù)加密的基站系統(tǒng),包括
第二安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安 全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略;
第二加密單元,用于如果所述安全策略指示需要進(jìn)行加密,則根據(jù)所 述安全策略,將終端的相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,否則,不進(jìn)行加密。 還提供了一種數(shù)據(jù)加密的移動(dòng)管理實(shí)體,包括
第二安全策略獲取單元,用于從終端或用戶簽約數(shù)據(jù)庫(kù)或策略控制功 能實(shí)體獲取各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度 下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加密的安全策略;
第二安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略,所述安 全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略; —
第三安全策略協(xié)商單元,用于對(duì)獲取的所述安全策略或生成的所述安 全策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則 向基站系統(tǒng)或終端發(fā)送需要加密的指示信息,否則,向基站系統(tǒng)或終端發(fā)送 不需要加密的指示信息。
ii還提供了一種數(shù)據(jù)加密的數(shù)據(jù)網(wǎng)關(guān),包括
第三安全策略獲取單元,用于從策略控制功能實(shí)體獲取安全策略,所 述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;
第三安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略; 第二安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述第三安全策略獲取單元獲取的
安全策略和所述第三安全策略生成單元生成的安全策略;
專用承載建立指示單元,用于對(duì)于需要加密的業(yè)務(wù)流,生成專用承載
建立指令,以用于在終端和基站系統(tǒng)之間為所述業(yè)務(wù)流建立專用承栽進(jìn)"f亍加密。
還提供了一種數(shù)據(jù)加密的策略控制功能實(shí)體,包括
第四安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略,所述安 全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略;
第二安全策略發(fā)送單元,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略。 還提供了 一種數(shù)據(jù)加密的代理呼叫控制功能實(shí)體,包括 第三安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的
安全策略;
第三安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收的所述各種粒度數(shù)據(jù)的安全策
略;
第四安全策略協(xié)商單元,用于對(duì)于接收的所述各種粒度的安全策略進(jìn) 行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則向網(wǎng)絡(luò)系統(tǒng) 或終端發(fā)送需要加密的指示信息,否則,向網(wǎng)絡(luò)系統(tǒng)或終端發(fā)送不需要加密 的指示信息。
還提供了一種數(shù)據(jù)加密的服務(wù)呼叫功能實(shí)體,包括
第四安全策略接收單元,用于從代理呼叫控制功能實(shí)體或用戶簽約數(shù) 據(jù)庫(kù)或業(yè)務(wù)對(duì)端接收各種粒度的數(shù)據(jù)的安全策略,所述安全策略是指示是否 對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;第五安全策略協(xié)商單元,用于對(duì)于接收的各種粒度的數(shù)據(jù)的所述安全
策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則向 代理呼叫控制功能實(shí)體發(fā)送需要加密的指示信息,否則,向代理呼叫控制功 能實(shí)體發(fā)送不需要加密的指示信息。
與現(xiàn)有技術(shù)相比,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)
首先,通過獲取各種粒度數(shù)據(jù)的安全策略后,對(duì)于安全策略指示需要加 密的相應(yīng)粒度的數(shù)據(jù),對(duì)其進(jìn)行加密,而對(duì)于安全策略指示不需要加密的相 應(yīng)粒度的數(shù)據(jù),則不對(duì)其進(jìn)行加密。實(shí)現(xiàn)了根據(jù)安全策略來對(duì)各種粒度數(shù)據(jù) 有選擇地進(jìn)行加密或不加密。與現(xiàn)有技術(shù)中基于網(wǎng)絡(luò)粒度和終端粒度的加密 機(jī)制相比,不再是對(duì)所有的網(wǎng)絡(luò)粒度的數(shù)據(jù)或終端粒度的數(shù)據(jù)全部進(jìn)行加密, 從而減少了網(wǎng)絡(luò)系統(tǒng)和終端的加密機(jī)制的工作量。
其次,工作量的降低相應(yīng)地降低了現(xiàn)有技術(shù)帶來的設(shè)備復(fù)雜度的上升的 問題,也一并解決現(xiàn)有技術(shù)復(fù)雜度高而造成的成本高、功耗大、散熱難和終 端耗電量大等問題。
圖1所示,是一個(gè)分組移動(dòng)通訊網(wǎng)絡(luò)的架構(gòu)示意圖; 圖2所示,是本發(fā)明的方法的第一個(gè)實(shí)施例的流程圖 圖3所示,是本發(fā)明的方法的實(shí)施例二的信令流程圖; 圖4所示,是本發(fā)明的方法的實(shí)施例三的信令流程圖; 圖5所示,是本發(fā)明的方法的實(shí)施例四的信令流程圖; 圖6所示,是本發(fā)明的方法的實(shí)施例五的信令流程圖; 圖7所示,是本發(fā)明的方法的實(shí)施例六的信令流程圖; 圖8所示,是本發(fā)明的方法的實(shí)施例七的信令流程圖; 圖9所示,是本發(fā)明的方法的實(shí)施例八的信令流程圖; 圖IO所示,是本發(fā)明的方法的實(shí)施例九的信令流程圖; 圖ll所示,是本發(fā)明的方法的實(shí)施例十的信令流程圖; 圖12所示,是本發(fā)明的方法的實(shí)施例十一的信令流程圖; 圖13所示,是本發(fā)明的數(shù)據(jù)加密的系統(tǒng)實(shí)施例一的框圖; 圖14所示,是本發(fā)明的數(shù)據(jù)加密的終端的實(shí)施例一的框13圖15所示,是本發(fā)明的另一種數(shù)據(jù)加密的終端的實(shí)施例一的框圖; 圖^所示,是本發(fā)明的數(shù)據(jù)加密的基站系統(tǒng)的實(shí)施例一框圖; 圖17所示,是本發(fā)明的數(shù)據(jù)加密的移動(dòng)管理實(shí)體的實(shí)施例一的框圖; 圖18所示,是本發(fā)明的數(shù)據(jù)加密的數(shù)據(jù)網(wǎng)關(guān)的實(shí)施例一的框圖; 圖19所示,是本發(fā)明的數(shù)據(jù)加密的策略控制功能實(shí)體的實(shí)施例一的框圖; 圖20所示,是本發(fā)明的數(shù)據(jù)加密的代理呼叫控制功能實(shí)體的實(shí)施例一的 框圖21所示,是本發(fā)明的數(shù)據(jù)加密的服務(wù)呼叫功能實(shí)體的實(shí)施例一的框圖。
具體實(shí)施例方式
首先,說明與本發(fā)明的各個(gè)實(shí)施例的應(yīng)用有關(guān)的因素。
在實(shí)際的運(yùn)營(yíng)環(huán)境中,并非所有的用戶面數(shù)據(jù)都需要提供加密保護(hù),下面 一些因素需要考慮
1) 業(yè)務(wù)保密性的差異有些業(yè)務(wù)對(duì)保密性要求高,如語(yǔ)音電話,短消息;
而另外一些業(yè)務(wù)本身是公開的,對(duì)保密性要求相對(duì)較低,如intemet 瀏覽,視頻點(diǎn)播等;
2) 是否已經(jīng)采取其他保密措施有些業(yè)務(wù)本身已經(jīng)在應(yīng)用層有加密保護(hù),
因此,對(duì)承載網(wǎng)絡(luò)的加密保護(hù)沒有要求,如VPN訪問,通過SSL保護(hù) 的Webi方問或email等。
3) 用戶個(gè)人對(duì)隱私的重視程度,有的用戶對(duì)個(gè)人隱私和數(shù)據(jù)安全性非常
重視,而有的用戶并不太關(guān)心隱私問題而更在乎終端電池的使用時(shí)間 等因素(如前所述,加密功能的使用增加了數(shù)據(jù)運(yùn)算量,相應(yīng)地增加 終端的耗電量),而現(xiàn)有系統(tǒng)提供終端粒度的加密保護(hù)時(shí),只能在簽 約數(shù)據(jù)中配置而不能讓用戶在終端上配置,因而缺乏更大的靈活性。 所以,本發(fā)明的實(shí)施例要根據(jù)用戶和業(yè)務(wù)的不同特性和要求,在移動(dòng)、 網(wǎng)絡(luò)及其他的通訊系統(tǒng)中提供更細(xì)粒度的加密控制,從而在不犧牲用戶安全 性的前提下,降低需要加密的用戶數(shù)據(jù)流量,從而降低對(duì)終端和網(wǎng)絡(luò)加密節(jié) 點(diǎn)的加密性能要求,改善復(fù)雜性、成本、功耗、供電、散熱和終端耗電量大 等一系列問題。為了更好理解本發(fā)明有關(guān)的各個(gè)實(shí)施例,需要先行說明幾個(gè)不同的用戶數(shù)據(jù)流粒度,除了前述網(wǎng)絡(luò)粒度和終端粒度以外,還有如下幾個(gè)粒度,按照
從大到小的粒度,定義如下
1 ) PDN連接粒度 一個(gè)PDN即一個(gè)業(yè)務(wù)網(wǎng)絡(luò),可以用一個(gè)接入點(diǎn)名字(APN, Access Point Name,接入點(diǎn)名稱)來表示。 一個(gè)終端可以同時(shí)連接到
多個(gè)業(yè)務(wù)網(wǎng)絡(luò), 一個(gè)終端到某一個(gè)PDN的用戶數(shù)據(jù)通道稱為一個(gè)PDN連接;在一個(gè)PDN連接中,終端使用從PDN地址空間分配到的相同地址訪問PDN中的不同業(yè)務(wù),根據(jù)不同業(yè)務(wù)對(duì)QoS等要求的不同,在PDN連接中可以細(xì)分多個(gè)不同QoS屬性的承載來傳輸不同QoS要求的業(yè)務(wù)流;
2 )承載粒度如上所述, 一個(gè)PDN連接中提供特定QoS服務(wù)質(zhì)量的業(yè)務(wù)流的集合稱為承載, 一個(gè)承載中可能匯聚了 一個(gè)或多個(gè)QoS要求相同或相近的業(yè)務(wù)流;
3 )業(yè)務(wù)流粒度通常是承載網(wǎng)絡(luò)能夠感知的最小粒度,即用戶進(jìn)行的某個(gè)業(yè)務(wù)的用戶面數(shù)據(jù)流,具有相同或相近QoS要求的業(yè)務(wù)流在承載網(wǎng)被匯聚到一個(gè)承載中。
基于上述不同用戶面數(shù)據(jù)粒度劃分,本發(fā)明分別提供了以下控制方式,1 )基于PDN連接粒度的控制
方法l.l:終端在發(fā)起到PDN的連接過程中,在消息中指示網(wǎng)絡(luò)是否希望對(duì)該P(yáng)DN連4妄的用戶面凄t據(jù)進(jìn)行加密。
方法1.2:終端在附著到網(wǎng)絡(luò)過程中,網(wǎng)絡(luò)從用戶簽約數(shù)據(jù)庫(kù)中取得用戶簽約數(shù)據(jù),簽約數(shù)據(jù)中包含對(duì)用戶簽約的每個(gè)PDN連接的用戶面數(shù)據(jù)是否進(jìn)行加密的指示,可能還包括對(duì)每個(gè)PDN使用的加密算法的列表。
方法1.3:當(dāng)部署了策略控制實(shí)體時(shí),也可以在終端建立到某個(gè)PDN連接時(shí),由承載網(wǎng)絡(luò)與策略控制實(shí)體交互,取得對(duì)該P(yáng)DN連接的用戶面是否進(jìn)行加密的指示,可能還包括對(duì)該P(yáng)DN4吏用的加密算法的列表。2)基于承載和業(yè)務(wù)流的粒度控制
由于承載是相同或相近QoS屬性業(yè)務(wù)流的集合,這些業(yè)務(wù)流在承載網(wǎng)絡(luò)中
15被匯聚到 一個(gè)承載中,業(yè)務(wù)流與承載的綁定在有的系統(tǒng)中在接入網(wǎng)關(guān)執(zhí)行,在有的系統(tǒng)中在數(shù)據(jù)網(wǎng)關(guān)執(zhí)行,在有的系統(tǒng)中還可以在策略控制功能實(shí)體執(zhí)行。在在業(yè)務(wù)流匯聚到一個(gè)承載中后,承載網(wǎng)絡(luò)按照承栽的粒度進(jìn)行用戶數(shù)據(jù)調(diào)度,不再區(qū)分業(yè)務(wù)流。
有的移動(dòng)網(wǎng)絡(luò)支持終端發(fā)起的承載建立,有些移動(dòng)網(wǎng)絡(luò)支持終端發(fā)起業(yè)
務(wù)流資源分配流程;有些移動(dòng)網(wǎng)絡(luò)還支持網(wǎng)絡(luò)側(cè)發(fā)起的承載建立或網(wǎng)絡(luò)側(cè)發(fā)起的業(yè)務(wù)流資源分配流程;在這些承載或業(yè)務(wù)流的建立過程中,終端、承載
網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)之間可以協(xié)商是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)流提供加密保護(hù)。
方法2.1:終端根據(jù)獲得的業(yè)務(wù)安全策略,在請(qǐng)求建立承載或者請(qǐng)求為業(yè)務(wù)流分配資源時(shí),請(qǐng)求消息中攜帶是否需要對(duì)該承載或者業(yè)務(wù)流進(jìn)行加密的指示,可能還包括對(duì)該承載或者業(yè)務(wù)流使用的加密算法列表。其中終端獲得業(yè)務(wù)安全策略的方法包括
方法2丄l:終端根據(jù)本地業(yè)務(wù)才莫塊配置的安全策略決定是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的^^載或業(yè)務(wù)流進(jìn)行加密。
方法2丄2:終端與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)協(xié)商,從而獲得是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)流進(jìn)行加密的指示。
方法2 .2:業(yè)務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)協(xié)商的結(jié)果以及業(yè)務(wù)網(wǎng)絡(luò)中簽約業(yè)務(wù)數(shù)據(jù),確定是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)流進(jìn)行加密,并將指示攜帶給承載網(wǎng)絡(luò),由承載網(wǎng)絡(luò)與終端進(jìn)行協(xié)商。
上述承載網(wǎng)絡(luò)或策略控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),還包括
方法2.a:承載網(wǎng)絡(luò)或策略控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),考慮業(yè)務(wù)流的加密需求,將QoS屬性相同或相近,且加密需求相同的業(yè)務(wù)流綁定到一個(gè)承載,將沒有加密需求的業(yè)務(wù)流綁定到其它承載,以便終端和承載網(wǎng)絡(luò)能根據(jù)承載來區(qū)分是否需要對(duì)用戶數(shù)據(jù)流進(jìn)行加密。
另外,本發(fā)明提供的實(shí)施例還能夠在終端附著到網(wǎng)絡(luò)上時(shí),將終端是否希望對(duì)終端粒度的用戶面數(shù)據(jù)進(jìn)行加密的指示提供給網(wǎng)絡(luò),以給予終端靈活
16的打開或關(guān)閉用戶面加密功能的能力,該指示結(jié)合網(wǎng)絡(luò)的能力,在后續(xù)流程
中為終端的用戶面數(shù)據(jù)提供不同粒度,包括終端粒度、PDN連接粒度、承載
或業(yè)務(wù)流粒度的加密控制能力。
除了上述確定是否需要對(duì)各個(gè)粒度的用戶面數(shù)據(jù)進(jìn)行加密的因素外,終端、承載網(wǎng)絡(luò),業(yè)務(wù)網(wǎng)絡(luò),策略控制功能實(shí)體的各個(gè)網(wǎng)元上還可以配置本地安全策略來共同決策是否對(duì)用戶數(shù)據(jù)流進(jìn)行加密。
上述各個(gè)網(wǎng)絡(luò)實(shí)體中的加密策略,包括現(xiàn)有的終端粒度的控制策略在協(xié)商過程中共同起作用。例如用戶進(jìn)行的某個(gè)業(yè)務(wù)在業(yè)務(wù)協(xié)商過程中并不需要加密,但在承載網(wǎng)絡(luò)的用戶簽約數(shù)據(jù)中,該用戶是重要用戶(如政府官員),則承載網(wǎng)絡(luò)仍然對(duì)該用戶所有數(shù)據(jù)進(jìn)行加密。又比如,某用戶的用戶簽約數(shù)據(jù)中并不要求對(duì)該用戶進(jìn)行加密,但用戶進(jìn)行的某項(xiàng)業(yè)務(wù)在業(yè)務(wù)網(wǎng)絡(luò)的業(yè)務(wù)策略中配置為需要加密,則承載網(wǎng)絡(luò)根據(jù)協(xié)商結(jié)果,仍然對(duì)該業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)流進(jìn)行加密。
下面,結(jié)合附圖對(duì)本發(fā)明具體實(shí)施方式
做進(jìn)一步的詳細(xì)闡述。
如圖2所示,是本發(fā)明的方法的第一個(gè)實(shí)施例的流程圖,包括步驟
步驟201、獲取至少一個(gè)安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;獲取安全策略的主體可以是終端或基站系統(tǒng)或數(shù)據(jù)網(wǎng)關(guān)或移動(dòng)管理實(shí)體等等,只要是參與協(xié)商或傳遞所述安全策略的主體均可以獲取安全策略。終端粒度下的各種粒度數(shù)據(jù)中的一種粒度包括比終端粒度更細(xì)致的PDN連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù),也包括其他所有比終端粒度更小的粒度數(shù)據(jù)。
步驟202、判斷所述安全策略是否指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加密,如果所述安全策略指示需要進(jìn)行加密,進(jìn)入步驟203,否則,進(jìn)入步驟204;
步驟203:則根據(jù)所述安全策略進(jìn)行加密;
步蹀204:不進(jìn)行加密。
利用本發(fā)明的實(shí)施例,能夠通過獲取終端粒度下的各種粒度數(shù)據(jù)的安全策略后,對(duì)于安全策略指示需要加密的相應(yīng)粒度的數(shù)據(jù),對(duì)其進(jìn)行加密,而對(duì)于安全策略指示不需要加密的相應(yīng)粒度的數(shù)據(jù),則不對(duì)其進(jìn)行加密。實(shí)現(xiàn)了根據(jù)安全策略來對(duì)各種粒度數(shù)據(jù)有選擇地進(jìn)行加密或不加密。與現(xiàn)有技術(shù)中基于終端粒度的加密機(jī)制相比,不再是對(duì)所有終端粒度的數(shù)據(jù)全部進(jìn)行加密,從而減少.了網(wǎng)絡(luò)系統(tǒng)和終端的加密機(jī)制的工作量。
其次,由于工作量的降低,相應(yīng)地降低了現(xiàn)有技術(shù)帶來的設(shè)備復(fù)雜度的上升的問題,也一并解決現(xiàn)有技術(shù)復(fù)雜度高而造成的成本高、功耗大、散熱難和終端耗電量大等問題。
如圖3所示,是本發(fā)明的方法的實(shí)施例二的信令流程圖,在本實(shí)施例中,
HSS中配置的簽約數(shù)據(jù)的承載鏈路粒度是基于PDN的,UE (User Equipment,終端)在附著時(shí)同時(shí)發(fā)起到缺省PDN的缺省承載建立。同時(shí),在部署了 PCC(Policy and Charging Control ,策略控制和計(jì)費(fèi))系統(tǒng)的情況下,網(wǎng)絡(luò)還可以從PCC系統(tǒng)中獲取PDN相關(guān)安全策略,用于決策是否需要對(duì)UE至該P(yáng)DN的用戶面婆:據(jù)在空口進(jìn)行加密。在本實(shí)施例中,UE在附著完成后又發(fā)起到一個(gè)新的PDN的缺省承載建立,在這個(gè)過程中UE和網(wǎng)絡(luò)針對(duì)每個(gè)PDN協(xié)商是否需要在空口對(duì)用戶數(shù)據(jù)加密。
步驟301: UE通過eNodeB向MME發(fā)起附著請(qǐng)求,消息中可以攜帶UE是否希望對(duì)本終端的所有用戶面數(shù)據(jù),或者在附著過程中連接的PDN的用戶面數(shù)據(jù)進(jìn)行承載鏈路的指示;
步驟302: MME向HSS請(qǐng)求用戶簽約數(shù)據(jù),簽約數(shù)據(jù)中包括用戶簽約的多個(gè)PDN連接的參數(shù),包含對(duì)該用戶的每個(gè)PDN連接是否需要進(jìn)行承載鏈路的指示;
步驟303: MME向Serving GW和PDN GW交互,建立到缺省PDN的缺省承載;
步驟304: PDN GW與PCRF ( Policy Control and Charging Rules Function,策略控制和計(jì)費(fèi)規(guī)則決策功能實(shí)體)交互,獲取所連接的PDN及至該P(yáng)DN的缺省承載相關(guān)的PCC策略,其中包括是否需要對(duì)UE至該P(yáng)DN的用戶面數(shù)據(jù)在空口進(jìn)行加密的指示。當(dāng)然,本步驟是在部署了 PCC系統(tǒng)的情況下,才存在的,如果沒有部署PCC系統(tǒng),則不需要進(jìn)行此步驟;根據(jù)具體配置的不同,本步驟也可以包括從PDN GW上的本地配置中獲取UE至該P(yáng)DN的用戶面數(shù)據(jù)是否在空口進(jìn)行加密的指示;
18步驟305: PDN GW向Serving GW, Serving GW再向MME返回缺省承載建立響應(yīng)消息,如果步驟304被執(zhí)行且PDN GW從PCRF或本地配置獲得了該P(yáng)DN連接的安全策略,則安全策略也被攜帶在響應(yīng)消息中傳遞給MME;
步驟306: MME決策對(duì)該UE在附著過程中連接的PDN的空口是否進(jìn)行加密,如果UE的附著請(qǐng)求消息中攜帶了終端粒度或PDN連接粒度的加密指示,或者M(jìn)ME從HSS中獲取的用戶簽約數(shù)據(jù)包含了對(duì)該P(yáng)DN用戶面數(shù)據(jù)的空口安全策略,或者M(jìn)ME上本地配置了承載鏈路安全策略,或者網(wǎng)絡(luò)從PCRF或PDN GW本地配置獲取了對(duì)該P(yáng)DN用戶面數(shù)據(jù)的空口安全策略,則MME決策時(shí)需要考慮上述輸入的各個(gè)安全策略;MME向eNodeB返回附著接受消息,其中攜帶是否對(duì)附著流程中UE連接的PDN的用戶面數(shù)據(jù)進(jìn)行加密的指示;
步驟307: eNodeB與UE進(jìn)行協(xié)商,決定是否對(duì)無線承載進(jìn)行加密,如果需要對(duì)該P(yáng)DN的用戶面數(shù)據(jù)使用加密,則在eNodeB和UE之間建立加密通道,不僅對(duì)在附著過程中建立的缺省承載中的用戶面數(shù)據(jù)要進(jìn)行承載鏈路,對(duì)后續(xù)該UE與該P(yáng)DN建立的所有承載都需要在承載鏈路;
步驟308: eNodeB向MME返回附著接受消息;
步驟309: MME向Serving GW發(fā)送更新承載消息,更新缺省承載的下4亍隧道信息;
步驟310: UE附著完成后,在需要連接到新的PDN時(shí),向MME發(fā)送PDN連接請(qǐng)求消息,消息中可以攜帶UE是否希望對(duì)至新連接的PDN的用戶面數(shù)據(jù)進(jìn)行承載鏈路的指示;由于在步驟302中已經(jīng)將用戶的簽約數(shù)據(jù)從HSS中獲取到MME,其中包括新連接的PDN相關(guān)的簽約數(shù)據(jù),因此MME不需要再與HSS交互;
步驟311 步驟317:基本原理同步驟303 步驟309,不同在于是對(duì)一個(gè)新的PDN連接及至該新PDN的缺省承載的操作,即僅僅是PDN不同;
步驟318: UE通過承載網(wǎng)絡(luò)傳輸上、下行用戶面數(shù)據(jù),根據(jù)協(xié)商的各個(gè)PDN連接是否需要承載鏈路的結(jié)果,至不同PDN的用戶面數(shù)據(jù)進(jìn)行加密或者
19不加密。
如圖4所示,是本發(fā)明的方法的實(shí)施例三的信令流程圖,在本實(shí)施例中,
由PCRF觸發(fā)或者PDN GW的上預(yù)先配置的規(guī)則觸發(fā),PDN GW發(fā)起建立了 一個(gè)專有承載建立流程。在PCRF提供的業(yè)務(wù)流規(guī)則或者PDN GW上預(yù)先配 置的規(guī)則中,所述的業(yè)務(wù)流規(guī)則或PDNGW配置的規(guī)則作為安全策略,指明 了該新接入的業(yè)務(wù)流是否需要在承載網(wǎng)提供加密保護(hù)的指示,網(wǎng)絡(luò)將該指示 傳遞到接入網(wǎng),根據(jù)指示確定新建的承載是否需要在空口進(jìn)行加密保護(hù)。包 括步驟
步驟401: PCRF向PDNGW下發(fā)新業(yè)務(wù)流PCC規(guī)則,其中攜帶了該業(yè)務(wù)流 是否需要承載網(wǎng)絡(luò)提供加密保護(hù)的指示。在運(yùn)用本發(fā)明實(shí)施例的其他情況下, 該步驟是可選的,如果沒有部署PCC系統(tǒng),PDNGW上預(yù)先配置的業(yè)務(wù)流規(guī)則 也可以觸發(fā)專有承載的建立。PCRF下發(fā)或者PDN GW上配置的業(yè)務(wù)流規(guī)則中 包含了是否需要對(duì)業(yè)務(wù)流在承載網(wǎng)進(jìn)行加密保護(hù)的指示。在本實(shí)施例中PDN GW決策需要為接入該新業(yè)務(wù)流建立一個(gè)新的專有承載,這些是否加密的指 示,都^皮作為本發(fā)明的安全策略的一種實(shí)現(xiàn)方式;
步驟402: PDN GW通過Serving GW,再由Serving GW到MME發(fā)送專有承 載建立請(qǐng)求消息,消息中攜帶了是否需要對(duì)該專有承載進(jìn)行加密保護(hù)的指示;
步驟403: MME向eNodeB發(fā)送承載建立請(qǐng)求消息,消息中攜帶了是否需 要對(duì)該專有承載進(jìn)行加密保護(hù)的指示;
步驟404: eNodeB與UE協(xié)商為新建的專有承載分配無線資源,如果專有 承載需要對(duì)用戶面數(shù)據(jù)使用加密,則在eNodeB和UE之間為該專有承載建立加 密通道;
步驟405: eNodeB向MME返回專有承載建立響應(yīng)消息;
步驟406: MME向Serving GW發(fā)送創(chuàng)建專有承載響應(yīng)消息,更新專有岸義 載的下行隧道信息;Serving GW向PDN GW響應(yīng)創(chuàng)建專有承載響應(yīng)消息。
步驟407:如果本次專有承載建立是由步驟401中PCRF下發(fā)業(yè)務(wù)流PCC規(guī) 則觸發(fā)的,則PDNGW向PCRF應(yīng)答業(yè)務(wù)流接入成功,如果不是由PCRF下屬業(yè) 務(wù)流PCC規(guī)則觸發(fā)的,則不需要進(jìn)行步驟407,步驟407是可選的。
需要說明的是,在應(yīng)用本發(fā)明實(shí)施例的過程中,在接入新的業(yè)務(wù)流時(shí),
20在滿足一定條件時(shí),承載綁定執(zhí)行節(jié)點(diǎn)(如本實(shí)施例中的PDN GW)也可以 將多個(gè)業(yè)務(wù)流匯聚到一個(gè)承載中。當(dāng)前判斷多個(gè)業(yè)務(wù).流能否被綁定到一個(gè)承 載中主要考慮各個(gè)業(yè)務(wù)流的QoS屬性是否相同或相近,在本發(fā)明中,除了 QoS 的因素外,承載綁定執(zhí)行節(jié)點(diǎn)還要考慮各個(gè)業(yè)務(wù)流對(duì)承栽網(wǎng)的加密需求,將 QoS屬性相同或相近,且加密需求相同的業(yè)務(wù)流綁定到一個(gè)承載中,以i"更在 承載網(wǎng)中按照承載的粒度能為承載中綁定的業(yè)務(wù)流提供加密服務(wù)。
如圖5所示,是本發(fā)明的方法的實(shí)施例四的信令流程圖,在本實(shí)施例中, UE要使用一個(gè)新的業(yè)務(wù),向網(wǎng)絡(luò)請(qǐng)求為該業(yè)務(wù)流分配資源,請(qǐng)求消息傳遞到 PDNGW后,經(jīng)過PCC系統(tǒng)授權(quán),通過新建專有承載或更新現(xiàn)有專有承載的 方式為業(yè)務(wù)流分配資源。
步驟501: UE已經(jīng)建立到一個(gè)PDN的連接,UE要使用該P(yáng)DN內(nèi)提供 的一個(gè)新業(yè)務(wù),UE向MME發(fā)送業(yè)務(wù)流資源分配請(qǐng)求消息;
步驟502: MME向Serving GW,再由Serving GW向PDN GW發(fā)送資源 分配請(qǐng)求消息;
步驟503: PDN GW與PCRF交互,對(duì)UE的業(yè)務(wù)流請(qǐng)求進(jìn)行鑒權(quán)和授一又, PCRF的授權(quán)信息中包括對(duì)該業(yè)務(wù)流是否需要進(jìn)行承載鏈路保護(hù)的指示,本步 驟中與PCRF的交互是可選的;也可以在PDN GW上配置本地安全策略對(duì)特 定業(yè)務(wù)流是否需要承載鏈路保護(hù)進(jìn)行指示。如果沒有部署了 PCC系統(tǒng),則不 需要與PCRF進(jìn)行交互,只在PDN GW上配置本地安全策略即可;
步驟504: PDNGW根據(jù)對(duì)UE請(qǐng)求業(yè)務(wù)流鑒權(quán)和授權(quán)的結(jié)果,決定是需 要新建一個(gè)專有承載來傳輸該業(yè)務(wù)流,還是將該業(yè)務(wù)流綁定到一個(gè)已有的承 載并更新該承載。新建一個(gè)專有承載的流程在實(shí)施例三中描述,更新一個(gè)承 載的消息流程與其類似。區(qū)別在于,對(duì)一個(gè)已經(jīng)建立的承載進(jìn)行更新,主要 是更新承載的QoS屬性。與實(shí)施例三類似,如果承載綁定執(zhí)行節(jié)點(diǎn)(如本實(shí) 施例中的PDN GW)在決定將新接入的業(yè)務(wù)流綁定到已有的承載時(shí),需要考 慮是否需要對(duì)該業(yè)務(wù)流提供加密保護(hù),將QoS屬性相同或相近,且加密需求 相同的業(yè)務(wù)流綁定到 一個(gè)承載中,以便在承載網(wǎng)中按照承載的粒度能為承載 中綁定的業(yè)務(wù)流提供加密服務(wù)。如圖6所示,是本發(fā)明的方法的實(shí)施例五的信令流程圖,本實(shí)施例是為 提供了從Idle (空閑)狀態(tài)轉(zhuǎn)換時(shí),如何應(yīng)用本發(fā)明的方法的技術(shù)方案。
在移動(dòng)通訊系統(tǒng)中,為了在沒有業(yè)務(wù)的時(shí)候節(jié)省無線資源,在一段時(shí)間 沒有業(yè)務(wù)進(jìn)行時(shí),網(wǎng)絡(luò)側(cè)會(huì)釋放與UE的連接,此時(shí)的狀態(tài)就稱為Idle狀態(tài)。 在UE處于Idle態(tài)時(shí),基站系統(tǒng)不保存有關(guān)UE的上下文,因此在UE要重新 進(jìn)行業(yè)務(wù),從Idle轉(zhuǎn)換到連接狀態(tài)時(shí),要進(jìn)行Service Request流程。在這個(gè) 流程中網(wǎng)絡(luò)要重新指示eNodeB是否要對(duì)UE的用戶面數(shù)據(jù)進(jìn)行保護(hù)。按照 Service request流程發(fā)起方的不同,分為UE發(fā)起的Service Request流程和網(wǎng) 絡(luò)側(cè)發(fā)起的,本實(shí)施例中描述的是UE發(fā)起的Service Request流程,網(wǎng)絡(luò)側(cè)發(fā) 起的Service Request流程的不同是網(wǎng)絡(luò)側(cè)要先通過尋呼消息觸發(fā)UE發(fā)起 Service Request流程,其他的步驟相同。
步驟601: UE通過eNodeB向MME發(fā)送Service Request消息;
步驟602: MME向eNodeB發(fā)送初始化上下文建立請(qǐng)求消息,在該消息 可以為UE的一個(gè)或多個(gè)承載分配無線資源。如果對(duì)該用戶的用戶面數(shù)據(jù)的承 載鏈路保護(hù)是基于終端粒度的,則MME在請(qǐng)求消息中攜帶用戶的承載鏈路指 示;如果對(duì)該用戶的用戶面數(shù)據(jù)的承載鏈路保護(hù)是基于PDN連接粒度的,則 MME需要在請(qǐng)求消息中針對(duì)用戶當(dāng)前建立的每個(gè)PDN連接給予是否進(jìn)行承 載鏈路的指示;如果對(duì)該用戶的用戶面數(shù)據(jù)的承載鏈路是基于承載粒度的, 則MME需要在請(qǐng)求消息中針對(duì)用戶當(dāng)前每個(gè)要分配無線資源的承載給予是 否進(jìn)行承載鏈路的指示。所述的這些請(qǐng)求消息是安全策略發(fā)送的 一種方式。
PDN連接粒度的承載鏈路協(xié)商示例參見實(shí)施例二;基于承載或業(yè)務(wù)流粒度的
承載鏈路協(xié)商示例參見三和實(shí)施例四;
步驟603: eNodeB與UE協(xié)商為要恢復(fù)的每個(gè)承載分配無線資源,根據(jù)
上述步驟中的安全策略的指示,如果某個(gè)承載需要對(duì)用戶面數(shù)據(jù)使用加密,
則在eNodeB和UE之間為該承載建立加密通道;
步驟604: eNodeB向MME返回初始化上下文建立完成消息;
步驟605: MME向Serving GW發(fā)送更新承載消息,更新缺省承載的下
行隧道信息;
22步驟606: UE通過承載網(wǎng)絡(luò)傳輸上、下行用戶面數(shù)據(jù),如果數(shù)據(jù)所屬承 載的協(xié)商結(jié)果為需要對(duì)該承載鏈路進(jìn)行加密,則在UE至eNodeB的空口上傳 輸?shù)臄?shù)據(jù)要經(jīng)過加密處理。
如圖7所示,是本發(fā)明的方法的實(shí)施例六的信令流程圖,在本實(shí)施例中, 接入網(wǎng)關(guān)通過代理移動(dòng)IP協(xié)議接入到家鄉(xiāng)代理(HA, Home Agent ),在這個(gè) 過程中,接入網(wǎng)可以通過HSS/AAA, PCRF,以及各個(gè)設(shè)備節(jié)點(diǎn)上的本地配 置的安全策略獲取是否需要對(duì)用戶面數(shù)據(jù)進(jìn)行加密的信息,并通過消息傳遞 在UE和接入網(wǎng)之間建立加密通道。具體包括步驟
步驟701、 UE附著到特定接入網(wǎng)絡(luò)并發(fā)起到PDN的連接,UE在消息中 可以攜帶是否需要對(duì)用戶面數(shù)據(jù)進(jìn)行加密的指示;
步驟702、在進(jìn)行步驟701的過程中,接入網(wǎng)關(guān)需要到HSS/AAA獲取用 戶的簽約數(shù)據(jù),簽約數(shù)據(jù)中可以包括是否需要對(duì)用戶面數(shù)據(jù)進(jìn)行承載鏈路保 護(hù)的指示;
步驟703:接入網(wǎng)關(guān)向家鄉(xiāng)代理發(fā)送代理綁定更新消息;
步驟704:在部署了 PCC系統(tǒng)的情況下,家鄉(xiāng)代理與PCRF交互,獲取 PCC規(guī)則,所述的PCC規(guī)則中的數(shù)據(jù)加密指示就是安全策略的一種形式,PCC 規(guī)則中可以包括了是否用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示;該步驟是可選 的,如果沒有部署PCC系統(tǒng),或即使在部署PCC系統(tǒng)的情況下,同樣地,在 家鄉(xiāng)代理上也可以配置本地安全策略,用于指示是否需要對(duì)該P(yáng)DN連接的用 戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù);
步驟705:家鄉(xiāng)代理向接入網(wǎng)關(guān)返回代理綁定更新響應(yīng)消息,在步驟704 中的加密指示可以在本消息中^皮傳遞給4妄入網(wǎng)關(guān);
步驟706:由于在采用代理移動(dòng)IP協(xié)議的網(wǎng)絡(luò)架構(gòu)通常承載綁定在接入 網(wǎng)關(guān)上執(zhí)行,因此在部署了 PCC系統(tǒng)的情況下,接入網(wǎng)關(guān)也要和PCRF交互 獲取PCC規(guī)則,同樣,PCC規(guī)則中也可能包括用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù) 的指示,該步驟是可選的;
步驟707:接入網(wǎng)絡(luò)向UE返回PDN連接完成消息,根據(jù)上述步驟獲取 的加密指示,建立起UE與網(wǎng)絡(luò)的加密通道,為用戶面數(shù)據(jù)提供保護(hù)。
需要說明的是,在本實(shí)施例中,接入網(wǎng)采用何種接入技術(shù)沒有特指,可以是3GPP ( Third Generation Partnership Project,第三代移動(dòng)通信伙伴項(xiàng)目) 接入,WiMAX, CDMA (code division multiple access,碼分多址)接入及 WLAN (Wireless Local Area Network,無線局域網(wǎng))接入等。這對(duì)于所屬領(lǐng)域 的技術(shù)人員而言,是完全能夠根據(jù)本實(shí)施例的實(shí)施方式容易地應(yīng)用于不同的 網(wǎng)絡(luò)。不同接入技術(shù)有不同的接入網(wǎng)無線資源管理機(jī)制,例如在適用LTE (Long Term Evolution,長(zhǎng)期演進(jìn))4妄入時(shí),本實(shí)施例中的步驟701和步驟707 即使用現(xiàn)有技術(shù)中UE, eNodeB, MME及Serving GW網(wǎng)元之間的消息流 程。WiMax, CDMA等移動(dòng)通訊系統(tǒng)都有自己特有的接入網(wǎng)無線資源管理機(jī)
如圖8所示,是本發(fā)明的方法的實(shí)施例七的信令流程圖,在本實(shí)施例中, 接入網(wǎng)關(guān)與家鄉(xiāng)代理(HA)之間使用代理移動(dòng)IP協(xié)議,業(yè)務(wù)流到承載的綁 定在接入網(wǎng)關(guān)上執(zhí)行,因此在接入新業(yè)務(wù)流時(shí),PCRF分別向家鄉(xiāng)代理和接入 網(wǎng)關(guān)下發(fā)業(yè)務(wù)流的PCC規(guī)則,所述PCC規(guī)則中對(duì)用戶面數(shù)據(jù)進(jìn)行承載鏈路保 護(hù)的指示就是本發(fā)明的安全策略的一種形式,對(duì)業(yè)務(wù)的用戶面數(shù)據(jù)是否需要 進(jìn)行承載鏈路保護(hù)的指示由PCRF傳遞給接入網(wǎng)關(guān)。
步驟801: PCRF向家鄉(xiāng)代理下發(fā)業(yè)務(wù)流的PCC規(guī)則;
步驟802: PCRF向接入網(wǎng)關(guān)下發(fā)業(yè)務(wù)流PCC規(guī)則,PCC規(guī)則中包括了 是否用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示;
步驟803:接入網(wǎng)絡(luò)與UE交互為新業(yè)務(wù)流分配無線資源,根據(jù)上述步驟 獲取的加密指示,建立起UE與網(wǎng)絡(luò)的加密通道,為用戶面數(shù)據(jù)提供保護(hù)。
步驟804:接入網(wǎng)關(guān)向PCRP返回業(yè)務(wù)流接入響應(yīng)消息。
在本實(shí)施例中,接入網(wǎng)采用何種接入技術(shù)沒有特指,可以是3GPP接入, WiMAX, CDMA接入及WLAN接入等。不同接入技術(shù)有不同的接入網(wǎng)附著 及PDN連接建立機(jī)制,例如在適用LTE接入時(shí),本實(shí)施例中的步驟803即使 用實(shí)施例三中UE 、 eNodeB 、 MME及Serving GW網(wǎng)元之間的消息流程。 WiMax、 CDMA等移動(dòng)通訊系統(tǒng)都有自己特有的接入網(wǎng)附著及PDN連接建 立才幾制。
24作為優(yōu)選的實(shí)施例,如果承栽綁定在接入網(wǎng)關(guān)執(zhí)行,除了 QoS的因素夕卜, 承載綁定執(zhí)行節(jié)點(diǎn)還要考慮各個(gè)業(yè)務(wù)流對(duì)承載網(wǎng)的加密需求,將QoS屬性相 同或相近,且加密需求相同的業(yè)務(wù)流綁定到一個(gè)承載中,以便在承載網(wǎng)中按 照承載的粒度能為承載中綁定的業(yè)務(wù)流提供加密服務(wù)。
如圖9所示,是本發(fā)明的方法的實(shí)施例八的信令流程圖,本實(shí)施例中, 接入網(wǎng)關(guān)與家鄉(xiāng)代理(HA)之間使用代理移動(dòng)IP協(xié)議,UE請(qǐng)求為一個(gè)新 的業(yè)務(wù)流分配資源。包括步驟
步驟901: UE請(qǐng)求為業(yè)務(wù)流分配資源,消息中可以攜帶是否需要對(duì)用戶 面數(shù)據(jù)進(jìn)行加密的指示;
步驟卯2:接入網(wǎng)關(guān)向PCRF請(qǐng)求業(yè)務(wù)的PCC規(guī)則;
步驟903: PCRF與家鄉(xiāng)代理對(duì)業(yè)務(wù)流的資源請(qǐng)求進(jìn)行協(xié)商;
步驟904: PCRF向接入網(wǎng)關(guān)返回接入業(yè)務(wù)流應(yīng)答,其中可以包括PCRF 決策后是否需要對(duì)業(yè)務(wù)流進(jìn)行承載鏈路保護(hù)的指示;
步驟905:接入網(wǎng)絡(luò)與UE交互為新業(yè)務(wù)流分配無線資源,根據(jù)上述步驟 獲取的加密指示,建立起UE與網(wǎng)絡(luò)的加密通道,為用戶面數(shù)據(jù)提供保護(hù)。
在本實(shí)施例中,接入網(wǎng)采用何種接入技術(shù)沒有特指,可以是3GPP接入, WiMAX, CDMA接入及WLAN接入等。不同接入技術(shù)有不同的接入網(wǎng)附著 及PDN連接建立機(jī)制,例如在適用LTE接入時(shí),本實(shí)施例中的步驟905即使 用實(shí)施例三中UE, eNodeB, MME及Serving GW網(wǎng)元之間的消息流程。 WiMax, CDMA等移動(dòng)通訊系統(tǒng)都有自己特有的接入網(wǎng)附著及PDN連接建 立才幾制。
如果承載綁定在接入網(wǎng)關(guān)執(zhí)行,除了 QoS的因素外,承載綁定執(zhí)行節(jié)點(diǎn) 還要考慮各個(gè)業(yè)務(wù)流對(duì)承載網(wǎng)的加密需求,將QoS屬性相同或相近,且加密 需求相同的業(yè)務(wù)流綁定到一個(gè)承載中,以便在承載網(wǎng)中按照承載的粒度能為 承載中綁定的業(yè)務(wù)流提供加密服務(wù)。
如圖IO所示,是本發(fā)明的方法的實(shí)施例九的信令流程圖,本實(shí)施例描述 了 UE通過Client MIP協(xié)議建立到PDN連接的過程。 步驟1001: UE建立本地連接;
25步驟1002:在步驟1001的過程中,接入網(wǎng)關(guān)需要到HSS/AAA獲取用戶 的簽約數(shù)據(jù),簽約數(shù)據(jù).中可能包括是否需要對(duì)用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù) 的指示,在建立UE與接入網(wǎng)本地連接時(shí)即根據(jù)該指示確定是否需要對(duì)空口進(jìn) 行加密保護(hù);
步驟1003:在部署了 PCC系統(tǒng)的情況下,接入網(wǎng)關(guān)與PCRF交互,獲取 缺省的PCC規(guī)則,PCC規(guī)則中可以包括是否用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的 指示,如果未部署PCC系統(tǒng),則不進(jìn)行本步驟,本步驟是可選的;
步驟1004: UE向家鄉(xiāng)代理發(fā)起綁定更新消息;
步驟1005:在部署了 PCC系統(tǒng)的情況下,家鄉(xiāng)代理與PCRF交互,獲取 PCC規(guī)則,PCC規(guī)則中可以包括是否用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示, 與步驟1003 —樣,本步驟1005是可選的;
步驟1006:家鄉(xiāng)代理向UE返回綁定更新響應(yīng)消息;
步驟1007:如果步驟1005被執(zhí)行,并且導(dǎo)致PCRF需要更新接入網(wǎng)關(guān)上 在步驟1003獲取的PCC規(guī)則,PCRF與接入網(wǎng)關(guān)交互更新PCC規(guī)則,PCC 規(guī)則中可以包括是否用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示,與前述各個(gè)實(shí)施 例中的理由類似,本步驟也是可選的;
步驟1008:如果步驟1003和步驟1007中PCC規(guī)則包含了對(duì)是否需要對(duì) 用戶面數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示,并且和步驟1001、 1002中確定的安全 策略相比有更新,則網(wǎng)絡(luò)側(cè)需要和UE建立承載鏈路通道,并進(jìn)行加密。
如圖11所示,是本發(fā)明的方法的實(shí)施例十的信令流程圖,在本實(shí)施例中, UE通過Client MIP (Client Mobile IP Protocol,主機(jī)移動(dòng)IP協(xié)議)協(xié)i義 建立到PDN的連接后,網(wǎng)絡(luò)側(cè)發(fā)起業(yè)務(wù)流接入流程。包括步驟
步驟1101: PCRF向接入網(wǎng)關(guān)請(qǐng)求接入新業(yè)務(wù)流,其中攜帶作為安全策 略的是否需要對(duì)業(yè)務(wù)用戶數(shù)據(jù)進(jìn)行承載鏈路保護(hù)的指示;
步驟1102:接入網(wǎng)絡(luò)為新業(yè)務(wù)流申請(qǐng)無線資源;根據(jù)上述步驟獲取的加 密指示,為新業(yè)務(wù)建立在UE與網(wǎng)絡(luò)之間的加密通道,為用戶面數(shù)據(jù)提供保護(hù); 步驟1103:接入網(wǎng)關(guān)向PCRF返回接入新業(yè)務(wù)流應(yīng)答; 步驟1104: PCRF與家鄉(xiāng)代理交互,請(qǐng)求接入新業(yè)務(wù)。 如果承載綁定在接入網(wǎng)關(guān)執(zhí)行,除了QoS的因素外,承載綁定執(zhí)行節(jié)點(diǎn)
26還要考慮各個(gè)業(yè)務(wù)流對(duì)承載網(wǎng)的加密需求,將QoS屬性相同或相近,且加密
需求相同的業(yè)務(wù)流綁定到一個(gè)承載中,以便在承載網(wǎng)中按照承載的粒度能為 承載中綁定的業(yè)務(wù)流提供加密服務(wù)。
如圖12所示,是本發(fā)明的方法的實(shí)施例十一的信令流程圖,本實(shí)施例描 述了 一個(gè)IMS (IP Multimedia subsystem, IP多媒體子系統(tǒng))呼叫建立過程, 用于演示業(yè)務(wù)網(wǎng)絡(luò)在應(yīng)用層的安全策略協(xié)商如何進(jìn)行,協(xié)商結(jié)果如何攜帶給 承載網(wǎng)絡(luò),然后根據(jù)應(yīng)用層的協(xié)商結(jié)果,在UE與承載網(wǎng)絡(luò)間建立承載鏈路保 護(hù)。包括步驟
步驟1201: UE首先附著到承載網(wǎng)上,并通過承載網(wǎng)絡(luò)連接到PDN,然 后選擇P-CSCF (Proxy - Call Session Control Function,代理呼叫控制功能實(shí) 體),通過P-CSCF到S-CSCF ( Seving - Call Session Control Function,服務(wù)呼 叫功能實(shí)體)中完成IMS注冊(cè);
步驟1202: UE發(fā)起一個(gè)業(yè)務(wù)呼叫,SIP信令首先到達(dá)P-CSCF, UE可以 在呼叫信令中攜帶是否會(huì)自行在應(yīng)用層(即承載層之上)對(duì)業(yè)務(wù)數(shù)據(jù)流進(jìn)行 加密的指示;UE也可以直接攜帶是否希望承載網(wǎng)絡(luò)對(duì)本業(yè)務(wù)用戶數(shù)據(jù)進(jìn)行加 密保護(hù)的指示;
步驟1203: P-CSCF向PCC系統(tǒng)校驗(yàn)本次呼叫的資源請(qǐng)求是否符合簽約 數(shù)據(jù)中的要求,以及資源請(qǐng)求能否得到承載網(wǎng)絡(luò)的滿足,本步驟是可選的。 在PCRF返回給P-CSCF的授權(quán)消息中,也可以攜帶是否需要在應(yīng)用層或承載 層對(duì)本業(yè)務(wù)用戶數(shù)據(jù)進(jìn)行加密保護(hù)的指示;
步驟1204: P-CSCF向S-CSCF轉(zhuǎn)發(fā)呼叫請(qǐng)求,P-CSCF可以在SIP( Session Initiation Protocol,會(huì)話協(xié)議)信令中攜帶綜合了步驟1201,步驟1202獲得 的信息,以及P-CSCF本地配置后對(duì)業(yè)務(wù)流是否需要在應(yīng)用層或者承載層加密 的指示;
步驟1205: S-CSCF對(duì)呼叫中的資源請(qǐng)求進(jìn)行鑒權(quán),由于在IMS注冊(cè)過 程中,S-CSCF已經(jīng)從HSS中獲得用戶的IMS簽約數(shù)據(jù),S-CSCF對(duì)P-CSCF 中的加密指示進(jìn)行檢查,或者,才艮據(jù)從HSS中獲得的簽約數(shù)據(jù)或本地安全策 略,修改、增加加密指示;然后S-CSCF與業(yè)務(wù)對(duì)端網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)協(xié)商,由于 業(yè)務(wù)對(duì)端的網(wǎng)絡(luò)結(jié)構(gòu)和本端是類似的,因此在業(yè)務(wù)對(duì)端網(wǎng)絡(luò)也有一個(gè)與上述
27步驟類似的加密協(xié)商過程;對(duì)端網(wǎng)絡(luò)業(yè)務(wù)協(xié)商完成后,對(duì)端網(wǎng)絡(luò)返回呼叫響 應(yīng)消息至S-CSCF,其中可以攜帶協(xié)商后的業(yè)務(wù)流是否需要在應(yīng)用層或者承載 層加密的指示;
步驟1206: S-CSCF向P-CSCF返回呼叫響應(yīng),這里S-CSCF可以再次才艮 據(jù)最新的業(yè)務(wù)協(xié)商結(jié)果修改、增加加密指示,以修改安全策略;
步驟1207: P-CSCF向UE返回呼叫響應(yīng)消息,其中可以攜帶協(xié)商后的加 密指示,這里P-CSCF也可以根據(jù)最新的業(yè)務(wù)協(xié)商結(jié)果修改、增加加密指示;
步驟1208: P-CSCF向PCRF發(fā)送消息請(qǐng)求承載網(wǎng)絡(luò)接入新業(yè)務(wù)流,其中 可以攜帶協(xié)商后的加密指示;
步驟1209: PCRF根據(jù)P-CSCF的業(yè)務(wù)流接入請(qǐng)求消息中攜帶的加密指示, 從SPR ( Subscription Profile Repository,簽約信息庫(kù))上獲得的用戶業(yè)務(wù)簽約 數(shù)據(jù),以及自己的本地配置確定該業(yè)務(wù)流是否需要在承載層進(jìn)行加密保護(hù);
步驟1210: PCRF向PCEF (Policy and Charging Enforcement Function, 策略和計(jì)費(fèi)執(zhí)行功能實(shí)體)下發(fā)業(yè)務(wù)接入請(qǐng)求,其中攜帶該業(yè)務(wù)流是否需要
在承載層進(jìn)行加密保護(hù)的指示;
步驟1211: PCEF觸發(fā)承載網(wǎng)為業(yè)務(wù)流分配資源,并才艮據(jù)加密指示,在 UE至網(wǎng)絡(luò)之間建立用戶數(shù)據(jù)加密通道。承載網(wǎng)絡(luò)為業(yè)務(wù)流分配資源并根據(jù)加 密指示為UE至網(wǎng)絡(luò)建立用戶數(shù)據(jù)加密通道的示例步驟前面實(shí)施例已有描述, 這里不再贅述。根據(jù)不同網(wǎng)絡(luò)的架構(gòu),這里執(zhí)行資源分配的PCEF可能是PDN GW, GGSN, HA或者接入網(wǎng)關(guān);
步驟1212、步驟1213: PCEF向PCRF, PCRF再向P-CSCF凈艮告業(yè)務(wù)流 接入應(yīng)答消息。
在IMS協(xié)商力p密時(shí),使用的是是否對(duì)承載加密而非前面有的實(shí)施例中的 是否對(duì)空口進(jìn)行力a密保護(hù),其原因在于IMS可以接入多種接入網(wǎng)絡(luò),可以是 固定網(wǎng)絡(luò),也可以是移動(dòng)網(wǎng)絡(luò),或者游牧網(wǎng)絡(luò)(例如WLAN),不同網(wǎng)絡(luò)的用 戶數(shù)據(jù)非安全區(qū)域及防范對(duì)策是不同的。例如固定網(wǎng)絡(luò)雖然沒有空口泄密的 問題,但固定網(wǎng)絡(luò)的接入點(diǎn)到接入網(wǎng)關(guān)這"最后一公里"鏈路因?yàn)楸┞对谕?面,因此一般認(rèn)為也是不安全的;而移動(dòng)網(wǎng)絡(luò)除了空口是不安全的以外,如 果空口的機(jī)密保護(hù)通道是建立在UE和無線基站之間的,那么無線基站到接入
28網(wǎng)關(guān)之間的回程鏈路同樣由于暴露在外面, 一般也認(rèn)為也是不安全的;從另 一方面來說,某些網(wǎng)絡(luò)主要定位與提供一個(gè)internet訪問管道,.盡管其同樣存 在用戶數(shù)據(jù)可能被竊聽或篡改的安全隱患,但由于其安全模型是由用戶在應(yīng) 用層根據(jù)業(yè)務(wù)安全需要自行加密,因此也可能在承載網(wǎng) 一層不提供任何加密 保護(hù)的能力。因此業(yè)務(wù)網(wǎng)絡(luò)下發(fā)給承載網(wǎng)絡(luò)的加密指示如果在承載網(wǎng)絡(luò)執(zhí)行, 要取決于具體承載網(wǎng)絡(luò)的安全模型和保護(hù)能力。
IMS和PCC系統(tǒng)在確定是否需要對(duì)某個(gè)業(yè)務(wù)的數(shù)據(jù)進(jìn)行加密時(shí),要綜合 考慮多種因素,包括
1 )用戶在HSS/AAA或SPR中簽約或本地配置的終端粒度安全屬性, 例如用戶曱是敏感重要用戶,需要對(duì)其所有用戶數(shù)據(jù)進(jìn)行承載層保護(hù);
2 ) 用戶在HSS/AAA或SPR中簽約或本地配置的對(duì)用戶各類業(yè)務(wù)的安 全屬性,例如用戶甲的A類業(yè)務(wù)同時(shí)需要應(yīng)用層加密和承載層加密,B類業(yè) 務(wù)需要應(yīng)用層加密不需要承載層加密,C類業(yè)務(wù)不需要應(yīng)用層加密但需要承 載層加密,D類業(yè)務(wù)均不需要;
3 ) 運(yùn)營(yíng)商在HSS或SPR或本地配置中對(duì)其各類業(yè)務(wù)設(shè)置的安全屬性, 例如不區(qū)分用戶A類業(yè)務(wù)同時(shí)需要應(yīng)用層加密和承載層加密,B類業(yè)務(wù)需 要應(yīng)用層加密不需要承載層加密,C類業(yè)務(wù)不需要應(yīng)用層加密但需要承載層 加密,D類業(yè)務(wù)均不需要;
4) UE的能力,例如有些UE不支持應(yīng)用層加密算法,或不支持承載 層加密算法;
5) UE當(dāng)前接入的承載網(wǎng)絡(luò)的能力,例如前所述,某些承載網(wǎng)絡(luò)并不 支持在承載層對(duì)用戶數(shù)據(jù)進(jìn)行加密保護(hù);
6) 業(yè)務(wù)雙方的加密請(qǐng)求,例如在業(yè)務(wù)協(xié)商過程中,UE或業(yè)務(wù)對(duì)端可 能會(huì)請(qǐng)求是否需要在應(yīng)用層加密,或是否需要在承載層加密,或者均不需要。
本發(fā)明各實(shí)施例中的應(yīng)用層是指終端上的應(yīng)用(程序)與其業(yè)務(wù)對(duì)端之 間的業(yè)務(wù)連接,業(yè)務(wù)對(duì)端可能是業(yè)務(wù)網(wǎng)絡(luò)中一個(gè)提供業(yè)務(wù)的服務(wù)器,也可能 是另外一個(gè)終端。應(yīng)用層位于承載層之上,由承載層提供業(yè)務(wù)數(shù)據(jù)的傳輸服 務(wù)。
最后,在本發(fā)明的各個(gè)實(shí)施例中,是否需要在承載層進(jìn)行加密保護(hù)的協(xié)商結(jié)果應(yīng)該綜合考慮上述各個(gè)因素,并且,這里的綜合,可能是采用"與"
的關(guān)系,也可以釆用"或".的關(guān)系。例如如果當(dāng)前承載網(wǎng)絡(luò)不支持加密保 護(hù),則無論何種結(jié)果都不需要要求承載層提供加密保護(hù);或者對(duì)重要用戶, 無論其應(yīng)用層協(xié)商結(jié)果是否需要加密,只要UE和承載網(wǎng)絡(luò)支持,都需要在承 載層提供增強(qiáng)的加密保護(hù);或者對(duì)某些用戶的某些業(yè)務(wù),只要應(yīng)用層應(yīng)用了 加密,就不需再在承載層進(jìn)行加密保護(hù);或者對(duì)運(yùn)營(yíng)商某些業(yè)務(wù),無論對(duì)任 何用戶,都在承載層提供加密保護(hù),等等。這都取決于運(yùn)營(yíng)者、使用者對(duì)于 具體加密條件的設(shè)置和需要等因素。
其中,在上述實(shí)施例中,所述各種粒度數(shù)據(jù)可以包括 PDN連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù)。 其中,在上述實(shí)施例中,與所述獲取至少一個(gè)安全策略步驟同時(shí),還可 以包括
獲取加密算法的列表,所述列表用于進(jìn)行加密。
其中,在上述實(shí)施例中,所述獲取至少一個(gè)安全策略具體為
從終端或用戶簽約數(shù)據(jù)庫(kù)或安全策略控制實(shí)體或承載網(wǎng)絡(luò)或業(yè)務(wù)網(wǎng)絡(luò)獲
取各種粒度數(shù)據(jù)的安全策略,或
根據(jù)終端、用戶簽約數(shù)據(jù)庫(kù)、安全策略控制實(shí)體、承載網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)
之間的每?jī)烧摺⒚咳?、每四者或全部的安全策略的協(xié)商結(jié)果,將所述協(xié)商
結(jié)果確定為獲取得到的各種粒度數(shù)據(jù)的安全策略。
其中,在上述實(shí)施例中,獲取至少一個(gè)安全策略具體為 終端在附著過程中,網(wǎng)絡(luò)從用戶簽約數(shù)據(jù)庫(kù)中取得用戶簽約數(shù)據(jù),所述
簽約數(shù)據(jù)中包括是否需要對(duì)所述終端簽約的每個(gè)PDN連接的用戶面數(shù)據(jù)進(jìn)行
加密的指示;或
終端在與PDN建立連接時(shí),承載網(wǎng)絡(luò)與策略控制實(shí)體交互; 獲取是否對(duì)所述PDN連接的進(jìn)行加密的指示;或
終端讀取本地業(yè)務(wù)模塊配置的安全策略后,或終端與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù) 協(xié)商后,
在請(qǐng)求建立承載或請(qǐng)求為業(yè)務(wù)流分配資源時(shí),在請(qǐng)求消息中攜帶是否需 要對(duì)所述承載或所述業(yè)務(wù)流進(jìn)行加密的指示;或業(yè)務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)協(xié)商的結(jié)果,以及業(yè)務(wù)網(wǎng)絡(luò)中簽約業(yè)務(wù)數(shù)據(jù),生成是
否對(duì)業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)進(jìn)行加密的指示; 所述業(yè)務(wù)網(wǎng)絡(luò)將所述指示攜帶給承載網(wǎng)絡(luò); 所述承載網(wǎng)絡(luò)根據(jù)所述指示,與終端進(jìn)行協(xié)商;
根據(jù)所述承載網(wǎng)絡(luò)與所述終端的協(xié)商結(jié)果,確定是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的 承載或業(yè)務(wù)流進(jìn)行加密。
其中,在上述實(shí)施例中,在所述獲取至少一個(gè)安全策略步驟之后,還可 以包括
承載網(wǎng)絡(luò)或策略控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),將QoS屬性相同或 相近,而且
所述安全策略指示的加密屬性相同的業(yè)務(wù)流綁定到相同的承載中。這是 由于在將業(yè)務(wù)流綁定到承載時(shí),QoS屬性相同的業(yè)務(wù)流不一定會(huì)綁定到一個(gè) 承載,也可能是多個(gè),所以,需要加密的(或者不需要加密的)業(yè)務(wù)綁定到 一個(gè)或多個(gè)承載,但是綁定在一個(gè)承載中的業(yè)務(wù)流的加密屬性一般是相同的。 也就是加密屬性相同的業(yè)務(wù)流綁定到相同的承載。當(dāng)然,對(duì)于所屬領(lǐng)域的 技術(shù)人員來說,在進(jìn)行業(yè)務(wù)流綁定到承載時(shí),也可以考慮到加密算法的不同 執(zhí)行不同的綁定方式,這沒有超出本發(fā)明的保護(hù)范圍。
其中,在上述實(shí)施例中,所述根據(jù)所述安全策略進(jìn)行加密具體為
在終端和網(wǎng)絡(luò)系統(tǒng)之間,對(duì)所述安全策略指示的終端粒度數(shù)據(jù)或PDN連 接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù),建立加密通道。
其中,在上述實(shí)施例中,所述各種粒度數(shù)據(jù)的安全策略用于指示是否在 應(yīng)用層或承載層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
其中,在上述實(shí)施例中,所述根據(jù)所述安全策略進(jìn)行加密具體為
在應(yīng)用層或承載層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
如圖13所示,是本發(fā)明的數(shù)據(jù)加密的系統(tǒng)實(shí)施例一的框圖,包括 安全策略獲取設(shè)備1301,用于獲取至少一個(gè)安全策略,所述安全策略
是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策
略;
加密設(shè)備1302,用于如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加密,則根據(jù)所述安全策略進(jìn)行加密,否則,不進(jìn)行加密。
其中,在上述實(shí)施例中,所述各種粒度數(shù)據(jù)包括 PDN連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù)。 其中,在上述實(shí)施例中,還包括
加密算法列表獲取設(shè)備,用于在所述獲取至少一個(gè)安全策略步驟同時(shí),
獲取加密算法的列表,所述列表用于進(jìn)行加密。
其中,在上述實(shí)施例中,所述安全策略獲取設(shè)備包括 終端安全策略獲取單元,用于從終端獲取所述安全策略,或 用戶簽約數(shù)據(jù)庫(kù)安全策略獲取單元,用于從用戶簽約數(shù)據(jù)庫(kù)獲取所述
安全策略,或
安全策略控制實(shí)體安全策略獲取單元,用于從安全策略控制實(shí)體獲取 所述安全策略,或
承載網(wǎng)絡(luò)安全策略獲取單元,用于從承載網(wǎng)絡(luò)獲取所述安全策略,或 業(yè)務(wù)網(wǎng)絡(luò)安全策略獲取單元,用于從業(yè)務(wù)網(wǎng)絡(luò)獲取單元所述安全策略。 其中,在上述實(shí)施例中,包括
安全策略協(xié)商設(shè)備,用于,對(duì)所述終端安全策略獲取單元、用戶簽約數(shù) 據(jù)庫(kù)安全策略獲取單元、安全策略控制實(shí)體安全策略獲取單元、承載網(wǎng)絡(luò)安 全策略獲取單元或業(yè)務(wù)網(wǎng)絡(luò)安全策略獲取單元之間的每?jī)烧摺⒚咳?、每?者或全部的安全策略進(jìn)行協(xié)商,將所述協(xié)商結(jié)果確定為獲取得到的各種粒度 數(shù)據(jù)的安全策略。
其中,在上述實(shí)施例中,包括
業(yè)務(wù)流綁定設(shè)備,用于在獲取至少一個(gè)安全策略后,承載網(wǎng)絡(luò)或策略 控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),將QoS屬性相同或相近,而且 所述安全策略指示加密的業(yè)務(wù)流綁定到一個(gè)承載中;或 所述安全策略指示不加密的業(yè)務(wù)流綁定以另 一個(gè)承載中。 其中,在上述實(shí)施例中,包括
應(yīng)用層加密設(shè)備,用于根據(jù)所述安全策略,在應(yīng)用層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行 力口密;或
承載層加密設(shè)備,用于根據(jù)所述安全策略,在承載層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行
32加密。
如圖14所示,是本發(fā)明的數(shù)據(jù)加密的終端的實(shí)施例一的框圖,.包括 安全策略生成單元1401,用于生成各種粒度數(shù)據(jù)的安全策略,所述安
全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的
安全策略;
安全策略發(fā)送單元1402,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略,以 用于指示是否需要進(jìn)行加密;
加密單元1403,用于如果所述安全策略指示進(jìn)^f亍加密,則將終端與網(wǎng) 絡(luò)系統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。
其中,在上述實(shí)施例中,包括
安全策略協(xié)商單元,用于與網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全策略協(xié)商,才艮據(jù)協(xié)商結(jié) 果,指示所述安全策略生成單元生成各種粒度數(shù)據(jù)的安全策略。
如圖15所示,是本發(fā)明的另一種數(shù)據(jù)加密的終端的實(shí)施例一的框圖,包
括
安全策略接收單元1501,用于接收各種粒度數(shù)據(jù)的安全策略,以用于 指示是否需要進(jìn)行加密,所述安全策略是指示是否對(duì)終端粒度下的各種粒度 數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;
加密單元1502,用于如果所述安全策略指示進(jìn)^f亍加密,則將終端與網(wǎng) 絡(luò)系統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。
如圖16所示,是本發(fā)明的數(shù)據(jù)加密的基站系統(tǒng)的實(shí)施例一框圖,包括
第二安全策略接收單元1601,用于接收各種粒度數(shù)據(jù)的安全策略,所 述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;
第二加密單元1602,用于如果所述安全策略指示需要進(jìn)行加密,則根 據(jù)所述安全策略,將終端的相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,否則,不進(jìn)行加密。 其中,在上述實(shí)施例中,可以包括
第二安全策略協(xié)商單元,用于與業(yè)務(wù)網(wǎng)絡(luò)或策略功能控制實(shí)體或用戶 簽約數(shù)據(jù)庫(kù)或終端進(jìn)行安全策略協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的 數(shù)據(jù)進(jìn)行加密,則指示所述第二加密單元對(duì)相應(yīng)粒度的數(shù)據(jù)的進(jìn)行加密,否
33則,不進(jìn)行加密。
其中,在上述實(shí)施例中,可p包括
安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述第二安全策略接收單元接收的各種 粒度數(shù)據(jù)的安全策略至終端或移動(dòng)管理實(shí)體。
如圖17所示,是本發(fā)明的數(shù)據(jù)加密的移動(dòng)管理實(shí)體的實(shí)施例一的框圖, 包括
第二安全策略獲取單元1701,用于從終端或用戶簽約數(shù)據(jù)庫(kù)或策略控 制功能實(shí)體獲取各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端 粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;
第二安全策略生成單元1702,用于生成各種粒度數(shù)據(jù)的安全策略,所 述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;
第三安全策略協(xié)商單元1703,用于對(duì)獲取的所述安全策略或生成的所 述安全策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密, 則向基站系統(tǒng)或終端發(fā)送需要加密的指示信息,否則,向基站系統(tǒng)或終端發(fā) 送不需要力口密的指示信息。
如圖18所示,是本發(fā)明的數(shù)據(jù)加密的數(shù)據(jù)網(wǎng)關(guān)的實(shí)施例一的框圖,包括 第三安全策略獲取單元1801,用于從策略控制功能實(shí)體獲取安全策略, 所述安全略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行 加密的安全策略;
第三安全策略生成單元1802,用于生成各種粒度數(shù)據(jù)的安全策略; 第二安全策略轉(zhuǎn)發(fā)單元1803,用于轉(zhuǎn)發(fā)所述第三安全策略獲取單元獲
取的安全策略和所述第三安全策略生成單元生成的安全策略;
專用承載建立指示單元1804,用于對(duì)于需要加密的業(yè)務(wù)流,生成專用
承載建立指令,以用于在終端和基站系統(tǒng)之間為所述業(yè)務(wù)流建立專用承載進(jìn)
行力口密。
其中,在上述實(shí)施例中,可以包括
QoS屬性判斷單元,用于對(duì)加密屬性相同的當(dāng)前業(yè)務(wù)流,判斷所述當(dāng) 前業(yè)務(wù)流的QoS屬性是否相同或相近,如果相同或相近,則生成綁定指令;承載綁定單元,用于將加密屬性相同的當(dāng)前業(yè)務(wù)流,根據(jù)所述綁定指
令,綁定到一個(gè)專用承載中。
如圖19所示,是本發(fā)明的數(shù)據(jù)加密的策略控制功能實(shí)體的實(shí)施例一的框 圖,包括
第四安全策略生成單元1901,用于生成各種粒度數(shù)據(jù)的安全策略,所 述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;
第二安全策略發(fā)送單元1902,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略。 如圖20所示,是本發(fā)明的凄t據(jù)力口密的^理呼叫控制功能實(shí)體的實(shí)施例一 的框圖,包括
第三安全策略接收單元2001,用于接收各種粒度數(shù)據(jù)的安全策略,所 述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;
第三安全策略轉(zhuǎn)發(fā)單元2002,用于:轉(zhuǎn)發(fā)接收的所述各種粒度數(shù)據(jù)的安 全策略;
第四安全策略協(xié)商單元2003,用于對(duì)于接收的所述各種粒度的安全策 略進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則向網(wǎng)絡(luò) 系統(tǒng)或終端發(fā)送需要加密的指示信息,否則,向網(wǎng)絡(luò)系統(tǒng)或終端發(fā)送不需要 加密的指示信息。
如圖21所示,是本發(fā)明的數(shù)據(jù)加密的服務(wù)呼叫功能實(shí)體的實(shí)施例一的框 圖,包括
第四安全策略接收單元2101,用于從代理呼叫控制功能實(shí)體或或用戶 簽約數(shù)據(jù)庫(kù)或業(yè)務(wù)對(duì)端接收各種粒度的數(shù)據(jù)的安全策略,所述安全策略是指 示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;
第五安全策略協(xié)商單元2102,用于對(duì)于接收的各種粒度的數(shù)據(jù)的所述 安全策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密, 則向代理呼叫控制功能實(shí)體發(fā)送需要加密的指示信息,否則,向代理呼叫控 制功能實(shí)體發(fā)送不需要加密的指示信息。
以上所述的本發(fā)明實(shí)施方式,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定。任何
35在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等,均應(yīng)包含在本 發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種數(shù)據(jù)加密的方法,其特征在于,包括獲取至少一個(gè)安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加密的安全策略;如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加密,則根據(jù)所述安全策略進(jìn)行加密,否則,不進(jìn)行加密。
2、 如權(quán)利要求l所述的方法,其特征在于,所述各種粒度數(shù)據(jù)包括 PDN連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù)。
3、 如權(quán)利要求l所述的方法,其特征在于,與所述獲取至少一個(gè)安全策 略步驟同時(shí),還包括獲取加密算法的列表,所述列表用于進(jìn)行加密。
4、 如權(quán)利要求l所述的方法,其特征在于,所述獲取至少一個(gè)安全策略 步驟具體為從終端或用戶簽約數(shù)據(jù)庫(kù)或安全策略控制實(shí)體或承載網(wǎng)絡(luò)或業(yè)務(wù)網(wǎng)絡(luò)獲 取各種粒度數(shù)據(jù)的安全策略;或根據(jù)終端、用戶簽約數(shù)據(jù)庫(kù)、安全策略控制實(shí)體、承載網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò) 之間的每?jī)烧?、每三者、每四者或全部的安全策略,進(jìn)行協(xié)商,將所述協(xié)商 的結(jié)果確定為獲取得到的各種粒度數(shù)據(jù)的安全策略。
5、 如權(quán)利要求l所述的方法,其特征在于,所述獲取至少一個(gè)安全策 略策略步驟具體為終端在附著過程中,網(wǎng)絡(luò)從用戶簽約數(shù)據(jù)庫(kù)中取得用戶簽約數(shù)據(jù),所述加密的指示;或終端在與PDN建立連接時(shí),承載網(wǎng)絡(luò)與策略控制實(shí)體交互,獲取是否對(duì) 所述PDN連接的進(jìn)行加密的指示;或終端讀取本地業(yè)務(wù)模塊配置的安全策略后,或終端與業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行業(yè)務(wù) 協(xié)商后,在請(qǐng)求建立承載或請(qǐng)求為業(yè)務(wù)流分配資源時(shí),在請(qǐng)求消息中攜帶是否需 要對(duì)所述承載或所述業(yè)務(wù)流進(jìn)行加密的指示;或業(yè)務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)協(xié)商的結(jié)果,以及業(yè)務(wù)網(wǎng)絡(luò)中簽約業(yè)務(wù)數(shù)據(jù),生成是否對(duì)業(yè)務(wù)對(duì)應(yīng)的承載或業(yè)務(wù)進(jìn)行加密的指示; 所述業(yè)務(wù)網(wǎng)絡(luò)將所述指示攜帶給承載網(wǎng)絡(luò); 所述承載網(wǎng)絡(luò)根據(jù)所述指示,與終端進(jìn)行協(xié)商;根據(jù)所述承載網(wǎng)絡(luò)與所述終端的協(xié)商結(jié)果,確定是否需要對(duì)業(yè)務(wù)對(duì)應(yīng)的 承載或業(yè)務(wù)流進(jìn)行加密。
6、 如權(quán)利要求1所述的方法,其特征在于,在所述獲取至少一個(gè)安全 策略步驟之后,還包括承載網(wǎng)絡(luò)或策略控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),將QoS屬性相同或 相近,而且所述安全策略指示的加密屬性相同的業(yè)務(wù)流綁定到相同的承載中。
7、 如權(quán)利要求l - 6任一項(xiàng)所述的方法,其特征在于,所述根據(jù)所述 安全策略進(jìn)行加密具體為在終端和網(wǎng)絡(luò)系統(tǒng)之間,對(duì)所述安全策略指示的終端粒度數(shù)據(jù)或PDN連 接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù),建立加密通道。
8、 如權(quán)利要求4所述的方法,其特征在于,所述各種粒度數(shù)據(jù)的安全 策略用于指示是否在應(yīng)用層或承載層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
9、 如權(quán)利要求8所述的方法,其特征在于,所述根據(jù)所述安全策略進(jìn) 4亍加密具體為在應(yīng)用層或承載層對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
10、 一種數(shù)據(jù)加密的系統(tǒng),其特征在于,包括安全策略獲取設(shè)備,用于獲取至少一個(gè)安全策略,所述安全策略是指 示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;加密設(shè)備,用于如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加 密,則根據(jù)所述安全策略進(jìn)行加密,否則,不進(jìn)行加密。
11、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述各種粒度數(shù)據(jù)包括 PDN連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù)。
12、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,還包括 加密算法列表獲取設(shè)備,用于在所述獲取至少一個(gè)安全策略步驟同時(shí),獲取加密算法的列表,所述列表用于進(jìn)行加密。
13、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述安全策略獲取設(shè)備包括 _ 終端安全策略獲取單元,用于從終端獲取所述安全策略,或用戶簽約數(shù)據(jù)庫(kù)安全策略獲取單元,用于從用戶簽約數(shù)據(jù)庫(kù)獲取所述安全策略,或安全策略控制實(shí)體安全策略獲取單元,用于從安全策略控制實(shí)體獲取 所述安全策略,或承載網(wǎng)絡(luò)安全策略獲取單元,用于從承栽網(wǎng)絡(luò)獲取所述安全策略,或業(yè)務(wù)網(wǎng)絡(luò)安全策略獲取單元,用于從業(yè)務(wù)網(wǎng)絡(luò)獲取單元所述安全策略。
14、 如權(quán)利要求13所述的系統(tǒng),其特征在于,還包括 安全策略協(xié)商設(shè)備,用于,對(duì)所述終端安全策略獲取單元、用戶簽約數(shù)據(jù)庫(kù)安全策略獲取單元、安全策略控制實(shí)體安全策略獲取單元、承載網(wǎng)絡(luò)安 全策略獲取單元或業(yè)務(wù)網(wǎng)絡(luò)安全策略獲取單元之間的每?jī)烧?、每三者、每?者或全部的安全策略進(jìn)行協(xié)商,將所述協(xié)商結(jié)果確定為獲取得到的各種粒度 數(shù)據(jù)的安全策略。
15、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,還包括 業(yè)務(wù)流綁定設(shè)備,用于在獲取至少一個(gè)安全策略后,承載網(wǎng)絡(luò)或策略控制功能實(shí)體在執(zhí)行業(yè)務(wù)流綁定時(shí),將QoS屬性相同或相近,而且 所述安全策略指示加密的業(yè)務(wù)流綁定到一個(gè)^c載中;或所述安全策略指示不加密的業(yè)務(wù)流綁定以另 一個(gè)承載中。
16、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,還包括 承載層加密設(shè)備,用于根據(jù)所述安全策略,在承載層對(duì)各種粒度的數(shù)據(jù)進(jìn)行加密。
17、 一種數(shù)據(jù)加密的終端,其特征在于,包括安全策略生成單元,用于生成各種粒度it據(jù)的安全策略,所述安全策 略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全 策略;安全策略發(fā)送單元,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略,以用于 指示是否需要進(jìn)行加密;加密單元,用于如果所述安全策略指示進(jìn)行加密,則將終端與網(wǎng)絡(luò)系 統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。
18、 如權(quán)利要求17所述的數(shù)據(jù)加密的終端,其特征在于,還包括 安全策略協(xié)商單元,用于與網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全策略協(xié)商,根據(jù)協(xié)商結(jié)果,指示所述安全策略生成單元生成各種粒度數(shù)據(jù)的安全策略。
19、 一種數(shù)據(jù)加密的終端,其特征在于,包括安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安全策 略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全 策略;加密單元,用于如果所述安全策略指示進(jìn)行加密,則將終端與網(wǎng)絡(luò)系 統(tǒng)的相應(yīng)粒度的數(shù)據(jù)加密,否則,不進(jìn)行加密。
20、 一種數(shù)據(jù)加密的基站系統(tǒng),其特征在于,包括 第二安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略;第二加密單元,用于如果所述安全策略指示需要進(jìn)行加密,則根據(jù)所 述安全策略,將終端的相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,否則,不進(jìn)行加密。
21、 如權(quán)利要求20所述的數(shù)據(jù)加密的基站系統(tǒng),其特征在于,還包括 第二安全策略協(xié)商單元,用于與業(yè)務(wù)網(wǎng)絡(luò)或策略功能控制實(shí)體或用戶簽約數(shù)據(jù)庫(kù)或終端進(jìn)行安全策略協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的 數(shù)據(jù)進(jìn)行加密,則指示所述第二加密單元對(duì)相應(yīng)粒度的數(shù)據(jù)的進(jìn)行加密,否 則,不進(jìn)行加密。
22、 如權(quán)利要求20所述的數(shù)據(jù)加密的基站系統(tǒng),其特征在于,還包括 安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述第二安全策略接收單元^t妄收的各種粒度數(shù)據(jù)的安全策略至終端或移動(dòng)管理實(shí)體。
23、 一種數(shù)據(jù)加密的移動(dòng)管理實(shí)體,其特征在于,包括 第二安全策略獲取單元,用于從終端或用戶簽約數(shù)據(jù)庫(kù)或策略控制功能實(shí)體獲取各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度 下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;第二安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略,所述安 .全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略;第三安全策略協(xié)商單元,用于對(duì)獲取的所述安全策略或生成的所述安 全策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則 向基站系統(tǒng)或終端發(fā)送需要加密的指示信息,否則,向基站系統(tǒng)或終端發(fā)送 不需要加密的指示信息。
24、 一種數(shù)據(jù)加密的數(shù)據(jù)網(wǎng)關(guān),其特征在于,包括: 第三安全策略獲取單元,用于從策略控制功能實(shí)體獲取安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加 密的安全策略;第三安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略; 第二安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)所述第三安全策略獲取單元獲取的安全策略和所述第三安全策略生成單元生成的安全策略;專用承載建立指示單元,用于對(duì)于需要加密的業(yè)務(wù)流,生成專用承載建立指令,以用于在終端和基站系統(tǒng)之間為所述業(yè)務(wù)流建立專用承載進(jìn)行加密。
25、 如權(quán)利要求24所述的數(shù)據(jù)加密的數(shù)據(jù)網(wǎng)關(guān),其特征在于,包括-. QoS屬性判斷單元,用于對(duì)加密屬性相同的當(dāng)前業(yè)務(wù)流,判斷所述當(dāng)前業(yè)務(wù)流的QoS屬性是否相同或相近,如果相同或相近,則生成綁定指令;承載綁定單元,用于將加密屬性相同的當(dāng)前業(yè)務(wù)流,根據(jù)所述綁定指 令,綁定到一個(gè)承載中。
26、 一種數(shù)據(jù)加密的策略控制功能實(shí)體,其特征在于,包括 第四安全策略生成單元,用于生成各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的 安全策略;第二安全策略發(fā)送單元,用于發(fā)送所述各種粒度數(shù)據(jù)的安全策略。
27、 一種數(shù)據(jù)加密的代理呼叫控制功能實(shí)體,其特征在于,包括 第三安全策略接收單元,用于接收各種粒度數(shù)據(jù)的安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加密的安全策略;第三安全策略轉(zhuǎn)發(fā)單元,用于轉(zhuǎn)發(fā)接收的所述各種粒度數(shù)據(jù)的安全策略;第四安全策略協(xié)商單元,用于對(duì)于接收的所述各種粒度的安全策略進(jìn) 行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則向網(wǎng)絡(luò)系統(tǒng) 或終端.發(fā)送需要加密的指示信息,否則,向網(wǎng)絡(luò)系統(tǒng)或終端發(fā)送不需要加密 的指示信息。
28、 一種數(shù)據(jù)加密的服務(wù)呼叫功能實(shí)體,其特征在于,包括 第四安全策略接收單元,用于從代理呼叫控制功能實(shí)體或用戶簽約數(shù) 據(jù)庫(kù)或業(yè)務(wù)對(duì)端接收各種粒度的數(shù)據(jù)的安全策略,所述安全策略是指示是否 對(duì)終端粒度下的各種粒度數(shù)據(jù)中的 一種粒度數(shù)據(jù)行加密的安全策略;第五安全策略協(xié)商單元,用于對(duì)于接收的各種粒度的數(shù)據(jù)的所述安全 策略,進(jìn)行協(xié)商,如果協(xié)商結(jié)果表明需要對(duì)相應(yīng)粒度的數(shù)據(jù)進(jìn)行加密,則向 代理呼叫控制功能實(shí)體發(fā)送需要加密的指示信息,否則,向代理呼叫控制功 能實(shí)體發(fā)送不需要加密的指示信息。
全文摘要
本發(fā)明實(shí)施例公開了一種數(shù)據(jù)加密的方法,包括獲取至少一個(gè)安全策略,所述安全策略是指示是否對(duì)終端粒度下的各種粒度數(shù)據(jù)中的一種粒度數(shù)據(jù)行加密的安全策略;如果所述安全策略指示需要對(duì)一種粒度的數(shù)據(jù)進(jìn)行加密,則根據(jù)所述安全策略進(jìn)行加密,否則,不進(jìn)行加密。還公開了數(shù)據(jù)加密的系統(tǒng)、終端、基站系統(tǒng)、數(shù)據(jù)網(wǎng)關(guān)及移動(dòng)管理實(shí)體,利用本發(fā)明的實(shí)施例,能夠在安全策略的控制下,對(duì)各種粒度,包括PDN(Packet DataNetwork,分組數(shù)據(jù)網(wǎng))連接粒度數(shù)據(jù)或承載粒度數(shù)據(jù)或業(yè)務(wù)流粒度數(shù)據(jù)進(jìn)行加密,在通信系統(tǒng)中實(shí)現(xiàn)了更精確的加密機(jī)制。
文檔編號(hào)H04L9/08GK101488847SQ20081000415
公開日2009年7月22日 申請(qǐng)日期2008年1月18日 優(yōu)先權(quán)日2008年1月18日
發(fā)明者宇 銀 申請(qǐng)人:華為技術(shù)有限公司