CN101488847A - 一种数据加密的方法、装置和系统 - Google Patents
一种数据加密的方法、装置和系统 Download PDFInfo
- Publication number
- CN101488847A CN101488847A CNA2008100041576A CN200810004157A CN101488847A CN 101488847 A CN101488847 A CN 101488847A CN A2008100041576 A CNA2008100041576 A CN A2008100041576A CN 200810004157 A CN200810004157 A CN 200810004157A CN 101488847 A CN101488847 A CN 101488847A
- Authority
- CN
- China
- Prior art keywords
- security strategy
- granularity
- data
- terminal
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明实施例公开了一种数据加密的方法,包括:获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。还公开了数据加密的系统、终端、基站系统、数据网关及移动管理实体,利用本发明的实施例,能够在安全策略的控制下,对各种粒度,包括PDN(Packet DataNetwork,分组数据网)连接粒度数据或承载粒度数据或业务流粒度数据进行加密,在通信系统中实现了更精确的加密机制。
Description
技术领域
本发明涉及通信安全技术领域,特别是数据加密的方法、装置和系统。
背景技术
基于业务流的安全机制的实现方法对于实现安全通信具有重要的意义,现有技术中的实现方法是基于终端粒度的。
如图1所示,是一个分组移动通讯网络的架构示意图。终端通过基站系统接入网络,在移动管理实体中登记,其用户面数据经过接入网关汇聚后,通过数据网关接到业务网络。策略控制功能实体连接业务网络和承载网络,将业务的QoS(Quality of Service,服务质量)和策略控制规则下发到承载网络执行。
在不同的网络实现中,上述示意图中逻辑实体映射到不同的物理网元,例如:
在UMTS(Universal Mobile Telecommunications System,通用移动通信系统)网络中,基站系统对应NodeB(基站)和RNC(Radio Network Controller,无线网络控制器),移动管理实体和接入网关合一为SGSN(Serving GPRSSupport Node,服务GPRS支持节点),数据网关为GGSN(Gateway GPRSSupport Node,网关GPRS支持节点),用户签约数据库为HLR(Home LocationRegister,位置归属移位寄存器);
在下一代演进网络EPS(Evolved Packet System)中,基站系统为eNodeB(Evolved NodeB,演进基站),移动管理实体为MME(Mobility ManagementEntity,移动管理实体),接入网关为Serving GW(Serving Gateway,服务网关),数据网关为PDN GW(Packet Data Network Gateway,数据网关),用户签约数据库为HSS(Home Subscriber Server,归属地用户服务器);
在WiMax(World Interoperability for Microwave Access,微波存取全球互通技术)网络中,基站系统为BS(Base Station),移动管理实体和接入网关合一为ASN GW(Access Service Network Gateway,接入网关),数据网关为HA(Home Agent,家乡代理),用户签约数据库为AAA Server(Authentication,Authorization and Accounting Server,鉴权、授权和计费服务器);
由于无线系统中,空口传输的数据存在被窃听和篡改的可能性,因此一般移动通讯网络都提供空口数据加密的功能(本文后文中所指加密特制空口数据加密,同时也包括数据完整性保护),在有的系统中,加密通道建立在终端和基站系统之间,也有建立在终端和接入网关之间的。
以现有UMTS系统为例,其基于终端粒度的加密协商的流程如下:
1)终端附着到网络上,附着消息中携带自己的加密能力;
2)SGSN根据网络配置,与终端协商加密算法;
3)如果协商结果为需要加密,SGSN将确定的加密算法通知给终端和RNC,在终端和RNC之间建立加密通道保护用户的用户面数据。
上述UMTS网络的加密配置是基于终端粒度的,即如果网络中配置了打开加密功能,而终端又支持加密,则协商结果为需要加密。上述技术方案是也可以在用户签约数据中指示对该用户是否进行空口数据加密,网络根据该指示与终端协商是否加密。
现有技术对数据安全性的需求并不一定只有某些重要用户才有要求,任何人都不希望自己的通讯机密被窃听或篡改,如果普通用户的某些业务(如语音业务)由于缺少安全保护而产生泄密,同样可能造成重大损失,其结果是或者大多数用户都签约要求网络提供空口数据加密,甚至因某些原因,如法律强制要求网络必须对所有用户的某些基本业务(如语音业务)提供加密保护,运营商因此不得不仍然对大多数甚至所有用户的用户面数据进行加密保护。
申请人在进行本发明的发明创造过程中发现:如果现有网络的加密配置是基于终端粒度的。当网络侧配置了打开加密功能时,只要终端支持,则加密协商结果为使用加密。但是,在事实上,大多数终端都已经有能力支持加密。因此,一旦在网络配置中指定使用加密功能,则网络和支持加密的手机之间都需要进行加密。在分组域发展早期,网络能够提供的带宽很小,一般每个用户只有几十Kbps,使用分组业务的用户也很少,因此对所有用户数据都进行加密不存在太大问题。而随着移动通讯技术的迅速发展,网络提供的带宽越来越大,下一代演进网络EPS,能在一个小区内提供几百Mbps的带宽,平均一个终端也能够使用几十到上百Mbps的带宽。如果仍然对所有用户面数据都进行加密,则手机和网络侧的加密节点(基站系统或接入网关)需要很强的加解密能力。上述技术方案只能囿于终端粒度的层面,对所述终端的全部数据,进行全部加密。而不能够实现对于特定的业务网络、特定承载、特定的业务进行更细致的控制。
综上所述,现有技术中至少存在如下问题:其基于终端粒度的安全策略加密机制,不能够提供比终端粒度更精细的加密机制,不能实现对于基于业务网络、承载或业务流粒度的加密机制。由此,而大大增加了整个通信系统加密机制的复杂度,需要加密解密的数据量很大,运算量庞大,浪费了系统资源。
发明内容
有鉴于此,本发明一个或多个实施例的目的在于提供一种数据加密的方法、装置和系统,以实现在安全策略的控制下,对各种粒度,包括终端粒度、PDN(Packet Data Network,分组数据网)连接粒度数据或承载粒度数据或业务流粒度数据进行加密,在通信系统中实现了更精确的加密机制。
为解决上述问题,本发明实施例提供了一种数据加密的方法,包括:
获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。
还提供了一种数据加密的系统,包括:
安全策略获取设备,用于:获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密设备,用于:如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。
还提供了一种数据加密的终端,包括:
安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
安全策略发送单元,用于:发送所述各种粒度数据的安全策略,以用于指示是否需要进行加密;
加密单元,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
还提供了一种数据加密的终端,包括:
安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密单元,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
还提供了一种数据加密的基站系统,包括:
第二安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二加密单元,用于:如果所述安全策略指示需要进行加密,则根据所述安全策略,将终端的相应粒度的数据进行加密,否则,不进行加密。
还提供了一种数据加密的移动管理实体,包括:
第二安全策略获取单元,用于:从终端或用户签约数据库或策略控制功能实体获取各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略协商单元,用于:对获取的所述安全策略或生成的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向基站系统或终端发送需要加密的指示信息,否则,向基站系统或终端发送不需要加密的指示信息。
还提供了一种数据加密的数据网关,包括:
第三安全策略获取单元,用于:从策略控制功能实体获取安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略生成单元,用于:生成各种粒度数据的安全策略;
第二安全策略转发单元,用于:转发所述第三安全策略获取单元获取的安全策略和所述第三安全策略生成单元生成的安全策略;
专用承载建立指示单元,用于:对于需要加密的业务流,生成专用承载建立指令,以用于在终端和基站系统之间为所述业务流建立专用承载进行加密。
还提供了一种数据加密的策略控制功能实体,包括:
第四安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略发送单元,用于:发送所述各种粒度数据的安全策略。
还提供了一种数据加密的代理呼叫控制功能实体,包括:
第三安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略转发单元,用于:转发接收的所述各种粒度数据的安全策略;
第四安全策略协商单元,用于:对于接收的所述各种粒度的安全策略进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向网络系统或终端发送需要加密的指示信息,否则,向网络系统或终端发送不需要加密的指示信息。
还提供了一种数据加密的服务呼叫功能实体,包括:
第四安全策略接收单元,用于:从代理呼叫控制功能实体或用户签约数据库或业务对端接收各种粒度的数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第五安全策略协商单元,用于:对于接收的各种粒度的数据的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向代理呼叫控制功能实体发送需要加密的指示信息,否则,向代理呼叫控制功能实体发送不需要加密的指示信息。
与现有技术相比,本发明实施例具有以下优点:
首先,通过获取各种粒度数据的安全策略后,对于安全策略指示需要加密的相应粒度的数据,对其进行加密,而对于安全策略指示不需要加密的相应粒度的数据,则不对其进行加密。实现了根据安全策略来对各种粒度数据有选择地进行加密或不加密。与现有技术中基于网络粒度和终端粒度的加密机制相比,不再是对所有的网络粒度的数据或终端粒度的数据全部进行加密,从而减少了网络系统和终端的加密机制的工作量。
其次,工作量的降低相应地降低了现有技术带来的设备复杂度的上升的问题,也一并解决现有技术复杂度高而造成的成本高、功耗大、散热难和终端耗电量大等问题。
附图说明
图1所示,是一个分组移动通讯网络的架构示意图;
图2所示,是本发明的方法的第一个实施例的流程图
图3所示,是本发明的方法的实施例二的信令流程图;
图4所示,是本发明的方法的实施例三的信令流程图;
图5所示,是本发明的方法的实施例四的信令流程图;
图6所示,是本发明的方法的实施例五的信令流程图;
图7所示,是本发明的方法的实施例六的信令流程图;
图8所示,是本发明的方法的实施例七的信令流程图;
图9所示,是本发明的方法的实施例八的信令流程图;
图10所示,是本发明的方法的实施例九的信令流程图;
图11所示,是本发明的方法的实施例十的信令流程图;
图12所示,是本发明的方法的实施例十一的信令流程图;
图13所示,是本发明的数据加密的系统实施例一的框图;
图14所示,是本发明的数据加密的终端的实施例一的框图;
图15所示,是本发明的另一种数据加密的终端的实施例一的框图;
图16所示,是本发明的数据加密的基站系统的实施例一框图;
图17所示,是本发明的数据加密的移动管理实体的实施例一的框图;
图18所示,是本发明的数据加密的数据网关的实施例一的框图;
图19所示,是本发明的数据加密的策略控制功能实体的实施例一的框图;
图20所示,是本发明的数据加密的代理呼叫控制功能实体的实施例一的框图;
图21所示,是本发明的数据加密的服务呼叫功能实体的实施例一的框图。
具体实施方式
首先,说明与本发明的各个实施例的应用有关的因素。
在实际的运营环境中,并非所有的用户面数据都需要提供加密保护,下面一些因素需要考虑:
1)业务保密性的差异:有些业务对保密性要求高,如语音电话,短消息;而另外一些业务本身是公开的,对保密性要求相对较低,如internet浏览,视频点播等;
2)是否已经采取其他保密措施:有些业务本身已经在应用层有加密保护,因此,对承载网络的加密保护没有要求,如VPN访问,通过SSL保护的Web访问或email等。
3)用户个人对隐私的重视程度,有的用户对个人隐私和数据安全性非常重视,而有的用户并不太关心隐私问题而更在乎终端电池的使用时间等因素(如前所述,加密功能的使用增加了数据运算量,相应地增加终端的耗电量),而现有系统提供终端粒度的加密保护时,只能在签约数据中配置而不能让用户在终端上配置,因而缺乏更大的灵活性。
所以,本发明的实施例要根据用户和业务的不同特性和要求,在移动、网络及其他的通讯系统中提供更细粒度的加密控制,从而在不牺牲用户安全性的前提下,降低需要加密的用户数据流量,从而降低对终端和网络加密节点的加密性能要求,改善复杂性、成本、功耗、供电、散热和终端耗电量大等一系列问题。
为了更好理解本发明有关的各个实施例,需要先行说明几个不同的用户数据流粒度,除了前述网络粒度和终端粒度以外,还有如下几个粒度,按照从大到小的粒度,定义如下:
1)PDN连接粒度:一个PDN即一个业务网络,可以用一个接入点名字(APN,Access Point Name,接入点名称)来表示。一个终端可以同时连接到多个业务网络,一个终端到某一个PDN的用户数据通道称为一个PDN连接;在一个PDN连接中,终端使用从PDN地址空间分配到的相同地址访问PDN中的不同业务,根据不同业务对QoS等要求的不同,在PDN连接中可以细分多个不同QoS属性的承载来传输不同QoS要求的业务流;
2)承载粒度:如上所述,一个PDN连接中提供特定QoS服务质量的业务流的集合称为承载,一个承载中可能汇聚了一个或多个QoS要求相同或相近的业务流;
3)业务流粒度:通常是承载网络能够感知的最小粒度,即用户进行的某个业务的用户面数据流,具有相同或相近QoS要求的业务流在承载网被汇聚到一个承载中。
基于上述不同用户面数据粒度划分,本发明分别提供了以下控制方式,
1)基于PDN连接粒度的控制
方法1.1:终端在发起到PDN的连接过程中,在消息中指示网络是否希望对该PDN连接的用户面数据进行加密。
方法1.2:终端在附着到网络过程中,网络从用户签约数据库中取得用户签约数据,签约数据中包含对用户签约的每个PDN连接的用户面数据是否进行加密的指示,可能还包括对每个PDN使用的加密算法的列表。
方法1.3:当部署了策略控制实体时,也可以在终端建立到某个PDN连接时,由承载网络与策略控制实体交互,取得对该PDN连接的用户面是否进行加密的指示,可能还包括对该PDN使用的加密算法的列表。
2)基于承载和业务流的粒度控制
由于承载是相同或相近QoS属性业务流的集合,这些业务流在承载网络中被汇聚到一个承载中,业务流与承载的绑定在有的系统中在接入网关执行,在有的系统中在数据网关执行,在有的系统中还可以在策略控制功能实体执行。在在业务流汇聚到一个承载中后,承载网络按照承载的粒度进行用户数据调度,不再区分业务流。
有的移动网络支持终端发起的承载建立,有些移动网络支持终端发起业务流资源分配流程;有些移动网络还支持网络侧发起的承载建立或网络侧发起的业务流资源分配流程;在这些承载或业务流的建立过程中,终端、承载网络、业务网络之间可以协商是否需要对业务对应的承载或业务流提供加密保护。
方法2.1:终端根据获得的业务安全策略,在请求建立承载或者请求为业务流分配资源时,请求消息中携带是否需要对该承载或者业务流进行加密的指示,可能还包括对该承载或者业务流使用的加密算法列表。其中终端获得业务安全策略的方法包括:
方法2.1.1:终端根据本地业务模块配置的安全策略决定是否需要对业务对应的承载或业务流进行加密。
方法2.1.2:终端与业务网络进行业务协商,从而获得是否需要对业务对应的承载或业务流进行加密的指示。
方法2.2:业务网络根据业务协商的结果以及业务网络中签约业务数据,确定是否需要对业务对应的承载或业务流进行加密,并将指示携带给承载网络,由承载网络与终端进行协商。
上述承载网络或策略控制功能实体在执行业务流绑定时,还包括:
方法2.a:承载网络或策略控制功能实体在执行业务流绑定时,考虑业务流的加密需求,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载,将没有加密需求的业务流绑定到其它承载,以便终端和承载网络能根据承载来区分是否需要对用户数据流进行加密。
另外,本发明提供的实施例还能够在终端附着到网络上时,将终端是否希望对终端粒度的用户面数据进行加密的指示提供给网络,以给予终端灵活的打开或关闭用户面加密功能的能力,该指示结合网络的能力,在后续流程中为终端的用户面数据提供不同粒度,包括终端粒度、PDN连接粒度、承载或业务流粒度的加密控制能力。
除了上述确定是否需要对各个粒度的用户面数据进行加密的因素外,终端、承载网络,业务网络,策略控制功能实体的各个网元上还可以配置本地安全策略来共同决策是否对用户数据流进行加密。
上述各个网络实体中的加密策略,包括现有的终端粒度的控制策略在协商过程中共同起作用。例如用户进行的某个业务在业务协商过程中并不需要加密,但在承载网络的用户签约数据中,该用户是重要用户(如政府官员),则承载网络仍然对该用户所有数据进行加密。又比如,某用户的用户签约数据中并不要求对该用户进行加密,但用户进行的某项业务在业务网络的业务策略中配置为需要加密,则承载网络根据协商结果,仍然对该业务对应的承载或业务流进行加密。
下面,结合附图对本发明具体实施方式做进一步的详细阐述。
如图2所示,是本发明的方法的第一个实施例的流程图,包括步骤:
步骤201、获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;获取安全策略的主体可以是终端或基站系统或数据网关或移动管理实体等等,只要是参与协商或传递所述安全策略的主体均可以获取安全策略。终端粒度下的各种粒度数据中的一种粒度包括比终端粒度更细致的PDN连接粒度数据或承载粒度数据或业务流粒度数据,也包括其他所有比终端粒度更小的粒度数据。
步骤202、判断所述安全策略是否指示需要对一种粒度的数据进行加密,如果所述安全策略指示需要进行加密,进入步骤203,否则,进入步骤204;
步骤203:则根据所述安全策略进行加密;
步骤204:不进行加密。
利用本发明的实施例,能够通过获取终端粒度下的各种粒度数据的安全策略后,对于安全策略指示需要加密的相应粒度的数据,对其进行加密,而对于安全策略指示不需要加密的相应粒度的数据,则不对其进行加密。实现了根据安全策略来对各种粒度数据有选择地进行加密或不加密。与现有技术中基于终端粒度的加密机制相比,不再是对所有终端粒度的数据全部进行加密,从而减少了网络系统和终端的加密机制的工作量。
其次,由于工作量的降低,相应地降低了现有技术带来的设备复杂度的上升的问题,也一并解决现有技术复杂度高而造成的成本高、功耗大、散热难和终端耗电量大等问题。
如图3所示,是本发明的方法的实施例二的信令流程图,在本实施例中,HSS中配置的签约数据的承载链路粒度是基于PDN的,UE(User Equipment,终端)在附着时同时发起到缺省PDN的缺省承载建立。同时,在部署了PCC(Policy and Charging Control,策略控制和计费)系统的情况下,网络还可以从PCC系统中获取PDN相关安全策略,用于决策是否需要对UE至该PDN的用户面数据在空口进行加密。在本实施例中,UE在附着完成后又发起到一个新的PDN的缺省承载建立,在这个过程中UE和网络针对每个PDN协商是否需要在空口对用户数据加密。
步骤301:UE通过eNodeB向MME发起附着请求,消息中可以携带UE是否希望对本终端的所有用户面数据,或者在附着过程中连接的PDN的用户面数据进行承载链路的指示;
步骤302:MME向HSS请求用户签约数据,签约数据中包括用户签约的多个PDN连接的参数,包含对该用户的每个PDN连接是否需要进行承载链路的指示;
步骤303:MME向Serving GW和PDN GW交互,建立到缺省PDN的缺省承载;
步骤304:PDN GW与PCRF(Policy Control and Charging Rules Function,策略控制和计费规则决策功能实体)交互,获取所连接的PDN及至该PDN的缺省承载相关的PCC策略,其中包括是否需要对UE至该PDN的用户面数据在空口进行加密的指示。当然,本步骤是在部署了PCC系统的情况下,才存在的,如果没有部署PCC系统,则不需要进行此步骤;根据具体配置的不同,本步骤也可以包括从PDN GW上的本地配置中获取UE至该PDN的用户面数据是否在空口进行加密的指示;
步骤305:PDN GW向Serving GW,Serving GW再向MME返回缺省承载建立响应消息,如果步骤304被执行且PDN GW从PCRF或本地配置获得了该PDN连接的安全策略,则安全策略也被携带在响应消息中传递给MME;
步骤306:MME决策对该UE在附着过程中连接的PDN的空口是否进行加密,如果UE的附着请求消息中携带了终端粒度或PDN连接粒度的加密指示,或者MME从HSS中获取的用户签约数据包含了对该PDN用户面数据的空口安全策略,或者MME上本地配置了承载链路安全策略,或者网络从PCRF或PDN GW本地配置获取了对该PDN用户面数据的空口安全策略,则MME决策时需要考虑上述输入的各个安全策略;MME向eNodeB返回附着接受消息,其中携带是否对附着流程中UE连接的PDN的用户面数据进行加密的指示;
步骤307:eNodeB与UE进行协商,决定是否对无线承载进行加密,如果需要对该PDN的用户面数据使用加密,则在eNodeB和UE之间建立加密通道,不仅对在附着过程中建立的缺省承载中的用户面数据要进行承载链路,对后续该UE与该PDN建立的所有承载都需要在承载链路;
步骤308:eNodeB向MME返回附着接受消息;
步骤309:MME向Serving GW发送更新承载消息,更新缺省承载的下行隧道信息;
步骤310:UE附着完成后,在需要连接到新的PDN时,向MME发送PDN连接请求消息,消息中可以携带UE是否希望对至新连接的PDN的用户面数据进行承载链路的指示;由于在步骤302中已经将用户的签约数据从HSS中获取到MME,其中包括新连接的PDN相关的签约数据,因此MME不需要再与HSS交互;
步骤311~步骤317:基本原理同步骤303~步骤309,不同在于是对一个新的PDN连接及至该新PDN的缺省承载的操作,即仅仅是PDN不同;
步骤318:UE通过承载网络传输上、下行用户面数据,根据协商的各个PDN连接是否需要承载链路的结果,至不同PDN的用户面数据进行加密或者不加密。
如图4所示,是本发明的方法的实施例三的信令流程图,在本实施例中,由PCRF触发或者PDN GW的上预先配置的规则触发,PDN GW发起建立了一个专有承载建立流程。在PCRF提供的业务流规则或者PDN GW上预先配置的规则中,所述的业务流规则或PDN GW配置的规则作为安全策略,指明了该新接入的业务流是否需要在承载网提供加密保护的指示,网络将该指示传递到接入网,根据指示确定新建的承载是否需要在空口进行加密保护。包括步骤:
步骤401:PCRF向PDN GW下发新业务流PCC规则,其中携带了该业务流是否需要承载网络提供加密保护的指示。在运用本发明实施例的其他情况下,该步骤是可选的,如果没有部署PCC系统,PDN GW上预先配置的业务流规则也可以触发专有承载的建立。PCRF下发或者PDN GW上配置的业务流规则中包含了是否需要对业务流在承载网进行加密保护的指示。在本实施例中PDNGW决策需要为接入该新业务流建立一个新的专有承载,这些是否加密的指示,都被作为本发明的安全策略的一种实现方式;
步骤402:PDN GW通过Serving GW,再由Serving GW到MME发送专有承载建立请求消息,消息中携带了是否需要对该专有承载进行加密保护的指示;
步骤403:MME向eNodeB发送承载建立请求消息,消息中携带了是否需要对该专有承载进行加密保护的指示;
步骤404:eNodeB与UE协商为新建的专有承载分配无线资源,如果专有承载需要对用户面数据使用加密,则在eNodeB和UE之间为该专有承载建立加密通道;
步骤405:eNodeB向MME返回专有承载建立响应消息;
步骤406:MME向Serving GW发送创建专有承载响应消息,更新专有承载的下行隧道信息;Serving GW向PDN GW响应创建专有承载响应消息。
步骤407:如果本次专有承载建立是由步骤401中PCRF下发业务流PCC规则触发的,则PDN GW向PCRF应答业务流接入成功,如果不是由PCRF下属业务流PCC规则触发的,则不需要进行步骤407,步骤407是可选的。
需要说明的是,在应用本发明实施例的过程中,在接入新的业务流时,在满足一定条件时,承载绑定执行节点(如本实施例中的PDN GW)也可以将多个业务流汇聚到一个承载中。当前判断多个业务流能否被绑定到一个承载中主要考虑各个业务流的QoS属性是否相同或相近,在本发明中,除了QoS的因素外,承载绑定执行节点还要考虑各个业务流对承载网的加密需求,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载中,以便在承载网中按照承载的粒度能为承载中绑定的业务流提供加密服务。
如图5所示,是本发明的方法的实施例四的信令流程图,在本实施例中,UE要使用一个新的业务,向网络请求为该业务流分配资源,请求消息传递到PDN GW后,经过PCC系统授权,通过新建专有承载或更新现有专有承载的方式为业务流分配资源。
步骤501:UE已经建立到一个PDN的连接,UE要使用该PDN内提供的一个新业务,UE向MME发送业务流资源分配请求消息;
步骤502:MME向Serving GW,再由Serving GW向PDN GW发送资源分配请求消息;
步骤503:PDN GW与PCRF交互,对UE的业务流请求进行鉴权和授权,PCRF的授权信息中包括对该业务流是否需要进行承载链路保护的指示,本步骤中与PCRF的交互是可选的;也可以在PDN GW上配置本地安全策略对特定业务流是否需要承载链路保护进行指示。如果没有部署了PCC系统,则不需要与PCRF进行交互,只在PDN GW上配置本地安全策略即可;
步骤504:PDN GW根据对UE请求业务流鉴权和授权的结果,决定是需要新建一个专有承载来传输该业务流,还是将该业务流绑定到一个已有的承载并更新该承载。新建一个专有承载的流程在实施例三中描述,更新一个承载的消息流程与其类似。区别在于,对一个已经建立的承载进行更新,主要是更新承载的QoS属性。与实施例三类似,如果承载绑定执行节点(如本实施例中的PDN GW)在决定将新接入的业务流绑定到已有的承载时,需要考虑是否需要对该业务流提供加密保护,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载中,以便在承载网中按照承载的粒度能为承载中绑定的业务流提供加密服务。
如图6所示,是本发明的方法的实施例五的信令流程图,本实施例是为提供了从Idle(空闲)状态转换时,如何应用本发明的方法的技术方案。
在移动通讯系统中,为了在没有业务的时候节省无线资源,在一段时间没有业务进行时,网络侧会释放与UE的连接,此时的状态就称为Idle状态。在UE处于Idle态时,基站系统不保存有关UE的上下文,因此在UE要重新进行业务,从Idle转换到连接状态时,要进行Service Request流程。在这个流程中网络要重新指示eNodeB是否要对UE的用户面数据进行保护。按照Service request流程发起方的不同,分为UE发起的Service Request流程和网络侧发起的,本实施例中描述的是UE发起的Service Request流程,网络侧发起的Service Request流程的不同是网络侧要先通过寻呼消息触发UE发起Service Request流程,其他的步骤相同。
步骤601:UE通过eNodeB向MME发送Service Request消息;
步骤602:MME向eNodeB发送初始化上下文建立请求消息,在该消息可以为UE的一个或多个承载分配无线资源。如果对该用户的用户面数据的承载链路保护是基于终端粒度的,则MME在请求消息中携带用户的承载链路指示;如果对该用户的用户面数据的承载链路保护是基于PDN连接粒度的,则MME需要在请求消息中针对用户当前建立的每个PDN连接给予是否进行承载链路的指示;如果对该用户的用户面数据的承载链路是基于承载粒度的,则MME需要在请求消息中针对用户当前每个要分配无线资源的承载给予是否进行承载链路的指示。所述的这些请求消息是安全策略发送的一种方式。基于终端粒度的承载链路协商示例在现有技术中有详细的实现方案;基于PDN连接粒度的承载链路协商示例参见实施例二;基于承载或业务流粒度的承载链路协商示例参见三和实施例四;
步骤603:eNodeB与UE协商为要恢复的每个承载分配无线资源,根据上述步骤中的安全策略的指示,如果某个承载需要对用户面数据使用加密,则在eNodeB和UE之间为该承载建立加密通道;
步骤604:eNodeB向MME返回初始化上下文建立完成消息;
步骤605:MME向Serving GW发送更新承载消息,更新缺省承载的下行隧道信息;
步骤606:UE通过承载网络传输上、下行用户面数据,如果数据所属承载的协商结果为需要对该承载链路进行加密,则在UE至eNodeB的空口上传输的数据要经过加密处理。
如图7所示,是本发明的方法的实施例六的信令流程图,在本实施例中,接入网关通过代理移动IP协议接入到家乡代理(HA,Home Agent),在这个过程中,接入网可以通过HSS/AAA,PCRF,以及各个设备节点上的本地配置的安全策略获取是否需要对用户面数据进行加密的信息,并通过消息传递在UE和接入网之间建立加密通道。具体包括步骤:
步骤701、UE附着到特定接入网络并发起到PDN的连接,UE在消息中可以携带是否需要对用户面数据进行加密的指示;
步骤702、在进行步骤701的过程中,接入网关需要到HSS/AAA获取用户的签约数据,签约数据中可以包括是否需要对用户面数据进行承载链路保护的指示;
步骤703:接入网关向家乡代理发送代理绑定更新消息;
步骤704:在部署了PCC系统的情况下,家乡代理与PCRF交互,获取PCC规则,所述的PCC规则中的数据加密指示就是安全策略的一种形式,PCC规则中可以包括了是否用户面数据进行承载链路保护的指示;该步骤是可选的,如果没有部署PCC系统,或即使在部署PCC系统的情况下,同样地,在家乡代理上也可以配置本地安全策略,用于指示是否需要对该PDN连接的用户面数据进行承载链路保护;
步骤705:家乡代理向接入网关返回代理绑定更新响应消息,在步骤704中的加密指示可以在本消息中被传递给接入网关;
步骤706:由于在采用代理移动IP协议的网络架构通常承载绑定在接入网关上执行,因此在部署了PCC系统的情况下,接入网关也要和PCRF交互获取PCC规则,同样,PCC规则中也可能包括用户面数据进行承载链路保护的指示,该步骤是可选的;
步骤707:接入网络向UE返回PDN连接完成消息,根据上述步骤获取的加密指示,建立起UE与网络的加密通道,为用户面数据提供保护。
需要说明的是,在本实施例中,接入网采用何种接入技术没有特指,可以是3GPP(Third Generation Partnership Project,第三代移动通信伙伴项目)接入,WiMAX,CDMA(code division multiple access,码分多址)接入及WLAN(Wireless Local Area Network,无线局域网)接入等。这对于所属领域的技术人员而言,是完全能够根据本实施例的实施方式容易地应用于不同的网络。不同接入技术有不同的接入网无线资源管理机制,例如在适用LTE(Long Term Evolution,长期演进)接入时,本实施例中的步骤701和步骤707即使用现有技术中UE,eNodeB,MME及Serving GW网元之间的消息流程。WiMax,CDMA等移动通讯系统都有自己特有的接入网无线资源管理机制。本发明的实施例可以应用于这些不同的无线资源管理机制之下。
如图8所示,是本发明的方法的实施例七的信令流程图,在本实施例中,接入网关与家乡代理(HA)之间使用代理移动IP协议,业务流到承载的绑定在接入网关上执行,因此在接入新业务流时,PCRF分别向家乡代理和接入网关下发业务流的PCC规则,所述PCC规则中对用户面数据进行承载链路保护的指示就是本发明的安全策略的一种形式,对业务的用户面数据是否需要进行承载链路保护的指示由PCRF传递给接入网关。
步骤801:PCRF向家乡代理下发业务流的PCC规则;
步骤802:PCRF向接入网关下发业务流PCC规则,PCC规则中包括了是否用户面数据进行承载链路保护的指示;
步骤803:接入网络与UE交互为新业务流分配无线资源,根据上述步骤获取的加密指示,建立起UE与网络的加密通道,为用户面数据提供保护。
步骤804:接入网关向PCRF返回业务流接入响应消息。
在本实施例中,接入网采用何种接入技术没有特指,可以是3GPP接入,WiMAX,CDMA接入及WLAN接入等。不同接入技术有不同的接入网附着及PDN连接建立机制,例如在适用LTE接入时,本实施例中的步骤803即使用实施例三中UE、eNodeB、MME及Serving GW网元之间的消息流程。WiMax、CDMA等移动通讯系统都有自己特有的接入网附着及PDN连接建立机制。
作为优选的实施例,如果承载绑定在接入网关执行,除了QoS的因素外,承载绑定执行节点还要考虑各个业务流对承载网的加密需求,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载中,以便在承载网中按照承载的粒度能为承载中绑定的业务流提供加密服务。
如图9所示,是本发明的方法的实施例八的信令流程图,本实施例中,接入网关与家乡代理(HA)之间使用代理移动IP协议,UE请求为一个新的业务流分配资源。包括步骤:
步骤901:UE请求为业务流分配资源,消息中可以携带是否需要对用户面数据进行加密的指示;
步骤902:接入网关向PCRF请求业务的PCC规则;
步骤903:PCRF与家乡代理对业务流的资源请求进行协商;
步骤904:PCRF向接入网关返回接入业务流应答,其中可以包括PCRF决策后是否需要对业务流进行承载链路保护的指示;
步骤905:接入网络与UE交互为新业务流分配无线资源,根据上述步骤获取的加密指示,建立起UE与网络的加密通道,为用户面数据提供保护。
在本实施例中,接入网采用何种接入技术没有特指,可以是3GPP接入,WiMAX,CDMA接入及WLAN接入等。不同接入技术有不同的接入网附着及PDN连接建立机制,例如在适用LTE接入时,本实施例中的步骤905即使用实施例三中UE,eNodeB,MME及Serving GW网元之间的消息流程。WiMax,CDMA等移动通讯系统都有自己特有的接入网附着及PDN连接建立机制。
如果承载绑定在接入网关执行,除了QoS的因素外,承载绑定执行节点还要考虑各个业务流对承载网的加密需求,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载中,以便在承载网中按照承载的粒度能为承载中绑定的业务流提供加密服务。
如图10所示,是本发明的方法的实施例九的信令流程图,本实施例描述了UE通过Client MIP协议建立到PDN连接的过程。
步骤1001:UE建立本地连接;
步骤1002:在步骤1001的过程中,接入网关需要到HSS/AAA获取用户的签约数据,签约数据中可能包括是否需要对用户面数据进行承载链路保护的指示,在建立UE与接入网本地连接时即根据该指示确定是否需要对空口进行加密保护;
步骤1003:在部署了PCC系统的情况下,接入网关与PCRF交互,获取缺省的PCC规则,PCC规则中可以包括是否用户面数据进行承载链路保护的指示,如果未部署PCC系统,则不进行本步骤,本步骤是可选的;
步骤1004:UE向家乡代理发起绑定更新消息;
步骤1005:在部署了PCC系统的情况下,家乡代理与PCRF交互,获取PCC规则,PCC规则中可以包括是否用户面数据进行承载链路保护的指示,与步骤1003一样,本步骤1005是可选的;
步骤1006:家乡代理向UE返回绑定更新响应消息;
步骤1007:如果步骤1005被执行,并且导致PCRF需要更新接入网关上在步骤1003获取的PCC规则,PCRF与接入网关交互更新PCC规则,PCC规则中可以包括是否用户面数据进行承载链路保护的指示,与前述各个实施例中的理由类似,本步骤也是可选的;
步骤1008:如果步骤1003和步骤1007中PCC规则包含了对是否需要对用户面数据进行承载链路保护的指示,并且和步骤1001、1002中确定的安全策略相比有更新,则网络侧需要和UE建立承载链路通道,并进行加密。
如图11所示,是本发明的方法的实施例十的信令流程图,在本实施例中,UE通过Client MIP(Client Mobile IP Protocol,主机移动IP协议)协议建立到PDN的连接后,网络侧发起业务流接入流程。包括步骤:
步骤1101:PCRF向接入网关请求接入新业务流,其中携带作为安全策略的是否需要对业务用户数据进行承载链路保护的指示;
步骤1102:接入网络为新业务流申请无线资源;根据上述步骤获取的加密指示,为新业务建立在UE与网络之间的加密通道,为用户面数据提供保护;
步骤1103:接入网关向PCRF返回接入新业务流应答;
步骤1104:PCRF与家乡代理交互,请求接入新业务。
如果承载绑定在接入网关执行,除了QoS的因素外,承载绑定执行节点还要考虑各个业务流对承载网的加密需求,将QoS属性相同或相近,且加密需求相同的业务流绑定到一个承载中,以便在承载网中按照承载的粒度能为承载中绑定的业务流提供加密服务。
如图12所示,是本发明的方法的实施例十一的信令流程图,本实施例描述了一个IMS(IP Multimedia subsystem,IP多媒体子系统)呼叫建立过程,用于演示业务网络在应用层的安全策略协商如何进行,协商结果如何携带给承载网络,然后根据应用层的协商结果,在UE与承载网络间建立承载链路保护。包括步骤:
步骤1201:UE首先附着到承载网上,并通过承载网络连接到PDN,然后选择P-CSCF(Proxy-Call Session Control Function,代理呼叫控制功能实体),通过P-CSCF到S-CSCF(Seving-Call Session Control Function,服务呼叫功能实体)中完成IMS注册;
步骤1202:UE发起一个业务呼叫,SIP信令首先到达P-CSCF,UE可以在呼叫信令中携带是否会自行在应用层(即承载层之上)对业务数据流进行加密的指示;UE也可以直接携带是否希望承载网络对本业务用户数据进行加密保护的指示;
步骤1203:P-CSCF向PCC系统校验本次呼叫的资源请求是否符合签约数据中的要求,以及资源请求能否得到承载网络的满足,本步骤是可选的。在PCRF返回给P-CSCF的授权消息中,也可以携带是否需要在应用层或承载层对本业务用户数据进行加密保护的指示;
步骤1204:P-CSCF向S-CSCF转发呼叫请求,P-CSCF可以在SIP(SessionInitiation Protocol,会话协议)信令中携带综合了步骤1201,步骤1202获得的信息,以及P-CSCF本地配置后对业务流是否需要在应用层或者承载层加密的指示;
步骤1205:S-CSCF对呼叫中的资源请求进行鉴权,由于在IMS注册过程中,S-CSCF已经从HSS中获得用户的IMS签约数据,S-CSCF对P-CSCF中的加密指示进行检查,或者,根据从HSS中获得的签约数据或本地安全策略,修改、增加加密指示;然后S-CSCF与业务对端网络进行业务协商,由于业务对端的网络结构和本端是类似的,因此在业务对端网络也有一个与上述步骤类似的加密协商过程;对端网络业务协商完成后,对端网络返回呼叫响应消息至S-CSCF,其中可以携带协商后的业务流是否需要在应用层或者承载层加密的指示;
步骤1206:S-CSCF向P-CSCF返回呼叫响应,这里S-CSCF可以再次根据最新的业务协商结果修改、增加加密指示,以修改安全策略;
步骤1207:P-CSCF向UE返回呼叫响应消息,其中可以携带协商后的加密指示,这里P-CSCF也可以根据最新的业务协商结果修改、增加加密指示;
步骤1208:P-CSCF向PCRF发送消息请求承载网络接入新业务流,其中可以携带协商后的加密指示;
步骤1209:PCRF根据P-CSCF的业务流接入请求消息中携带的加密指示,从SPR(Subscription Profile Repository,签约信息库)上获得的用户业务签约数据,以及自己的本地配置确定该业务流是否需要在承载层进行加密保护;
步骤1210:PCRF向PCEF(Policy and Charging Enforcement Function,策略和计费执行功能实体)下发业务接入请求,其中携带该业务流是否需要在承载层进行加密保护的指示;
步骤1211:PCEF触发承载网为业务流分配资源,并根据加密指示,在UE至网络之间建立用户数据加密通道。承载网络为业务流分配资源并根据加密指示为UE至网络建立用户数据加密通道的示例步骤前面实施例已有描述,这里不再赘述。根据不同网络的架构,这里执行资源分配的PCEF可能是PDNGW,GGSN,HA或者接入网关;
步骤1212、步骤1213:PCEF向PCRF,PCRF再向P-CSCF报告业务流接入应答消息。
在IMS协商加密时,使用的是是否对承载加密而非前面有的实施例中的是否对空口进行加密保护,其原因在于IMS可以接入多种接入网络,可以是固定网络,也可以是移动网络,或者游牧网络(例如WLAN),不同网络的用户数据非安全区域及防范对策是不同的。例如固定网络虽然没有空口泄密的问题,但固定网络的接入点到接入网关这“最后一公里”链路因为暴露在外面,因此一般认为也是不安全的;而移动网络除了空口是不安全的以外,如果空口的机密保护通道是建立在UE和无线基站之间的,那么无线基站到接入网关之间的回程链路同样由于暴露在外面,一般也认为也是不安全的;从另一方面来说,某些网络主要定位与提供一个internet访问管道,尽管其同样存在用户数据可能被窃听或篡改的安全隐患,但由于其安全模型是由用户在应用层根据业务安全需要自行加密,因此也可能在承载网一层不提供任何加密保护的能力。因此业务网络下发给承载网络的加密指示如果在承载网络执行,要取决于具体承载网络的安全模型和保护能力。
IMS和PCC系统在确定是否需要对某个业务的数据进行加密时,要综合考虑多种因素,包括:
1)用户在HSS/AAA或SPR中签约或本地配置的终端粒度安全属性,例如用户甲是敏感重要用户,需要对其所有用户数据进行承载层保护;
2)用户在HSS/AAA或SPR中签约或本地配置的对用户各类业务的安全属性,例如用户甲的A类业务同时需要应用层加密和承载层加密,B类业务需要应用层加密不需要承载层加密,C类业务不需要应用层加密但需要承载层加密,D类业务均不需要;
3)运营商在HSS或SPR或本地配置中对其各类业务设置的安全属性,例如:不区分用户A类业务同时需要应用层加密和承载层加密,B类业务需要应用层加密不需要承载层加密,C类业务不需要应用层加密但需要承载层加密,D类业务均不需要;
4)UE的能力,例如有些UE不支持应用层加密算法,或不支持承载层加密算法;
5)UE当前接入的承载网络的能力,例如前所述,某些承载网络并不支持在承载层对用户数据进行加密保护;
6)业务双方的加密请求,例如在业务协商过程中,UE或业务对端可能会请求是否需要在应用层加密,或是否需要在承载层加密,或者均不需要。
本发明各实施例中的应用层是指终端上的应用(程序)与其业务对端之间的业务连接,业务对端可能是业务网络中一个提供业务的服务器,也可能是另外一个终端。应用层位于承载层之上,由承载层提供业务数据的传输服务。
最后,在本发明的各个实施例中,是否需要在承载层进行加密保护的协商结果应该综合考虑上述各个因素,并且,这里的综合,可能是采用“与”的关系,也可以采用“或”的关系。例如:如果当前承载网络不支持加密保护,则无论何种结果都不需要要求承载层提供加密保护;或者对重要用户,无论其应用层协商结果是否需要加密,只要UE和承载网络支持,都需要在承载层提供增强的加密保护;或者对某些用户的某些业务,只要应用层应用了加密,就不需再在承载层进行加密保护;或者对运营商某些业务,无论对任何用户,都在承载层提供加密保护,等等。这都取决于运营者、使用者对于具体加密条件的设置和需要等因素。
其中,在上述实施例中,所述各种粒度数据可以包括:
PDN连接粒度数据或承载粒度数据或业务流粒度数据。
其中,在上述实施例中,与所述获取至少一个安全策略步骤同时,还可以包括:
获取加密算法的列表,所述列表用于进行加密。
其中,在上述实施例中,所述获取至少一个安全策略具体为:
从终端或用户签约数据库或安全策略控制实体或承载网络或业务网络获取各种粒度数据的安全策略,或
根据终端、用户签约数据库、安全策略控制实体、承载网络、业务网络之间的每两者、每三者、每四者或全部的安全策略的协商结果,将所述协商结果确定为获取得到的各种粒度数据的安全策略。
其中,在上述实施例中,获取至少一个安全策略具体为:
终端在附着过程中,网络从用户签约数据库中取得用户签约数据,所述签约数据中包括是否需要对所述终端签约的每个PDN连接的用户面数据进行加密的指示;或
终端在与PDN建立连接时,承载网络与策略控制实体交互;
获取是否对所述PDN连接的进行加密的指示;或
终端读取本地业务模块配置的安全策略后,或终端与业务网络进行业务协商后,
在请求建立承载或请求为业务流分配资源时,在请求消息中携带是否需要对所述承载或所述业务流进行加密的指示;或
业务网络根据业务协商的结果,以及业务网络中签约业务数据,生成是否对业务对应的承载或业务进行加密的指示;
所述业务网络将所述指示携带给承载网络;
所述承载网络根据所述指示,与终端进行协商;
根据所述承载网络与所述终端的协商结果,确定是否需要对业务对应的承载或业务流进行加密。
其中,在上述实施例中,在所述获取至少一个安全策略步骤之后,还可以包括:
承载网络或策略控制功能实体在执行业务流绑定时,将QoS属性相同或相近,而且:
所述安全策略指示的加密属性相同的业务流绑定到相同的承载中。这是由于在将业务流绑定到承载时,QoS属性相同的业务流不一定会绑定到一个承载,也可能是多个,所以,需要加密的(或者不需要加密的)业务绑定到一个或多个承载,但是绑定在一个承载中的业务流的加密属性一般是相同的。也就是:加密属性相同的业务流绑定到相同的承载。当然,对于所属领域的技术人员来说,在进行业务流绑定到承载时,也可以考虑到加密算法的不同执行不同的绑定方式,这没有超出本发明的保护范围。
其中,在上述实施例中,所述根据所述安全策略进行加密具体为:
在终端和网络系统之间,对所述安全策略指示的终端粒度数据或PDN连接粒度数据或承载粒度数据或业务流粒度数据,建立加密通道。
其中,在上述实施例中,所述各种粒度数据的安全策略用于指示是否在应用层或承载层对业务数据进行加密。
其中,在上述实施例中,所述根据所述安全策略进行加密具体为:
在应用层或承载层对业务数据进行加密。
如图13所示,是本发明的数据加密的系统实施例一的框图,包括:
安全策略获取设备1301,用于:获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密设备1302,用于:如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。
其中,在上述实施例中,所述各种粒度数据包括:
PDN连接粒度数据或承载粒度数据或业务流粒度数据。
其中,在上述实施例中,还包括:
加密算法列表获取设备,用于:在所述获取至少一个安全策略步骤同时,获取加密算法的列表,所述列表用于进行加密。
其中,在上述实施例中,所述安全策略获取设备包括:
终端安全策略获取单元,用于:从终端获取所述安全策略,或
用户签约数据库安全策略获取单元,用于:从用户签约数据库获取所述安全策略,或
安全策略控制实体安全策略获取单元,用于:从安全策略控制实体获取所述安全策略,或
承载网络安全策略获取单元,用于:从承载网络获取所述安全策略,或
业务网络安全策略获取单元,用于:从业务网络获取单元所述安全策略。
其中,在上述实施例中,包括:
安全策略协商设备,用于,对所述终端安全策略获取单元、用户签约数据库安全策略获取单元、安全策略控制实体安全策略获取单元、承载网络安全策略获取单元或业务网络安全策略获取单元之间的每两者、每三者、每四者或全部的安全策略进行协商,将所述协商结果确定为获取得到的各种粒度数据的安全策略。
其中,在上述实施例中,包括:
业务流绑定设备,用于:在获取至少一个安全策略后,承载网络或策略控制功能实体在执行业务流绑定时,将QoS属性相同或相近,而且:
所述安全策略指示加密的业务流绑定到一个承载中;或
所述安全策略指示不加密的业务流绑定以另一个承载中。
其中,在上述实施例中,包括:
应用层加密设备,用于:根据所述安全策略,在应用层对业务数据进行加密;或
承载层加密设备,用于:根据所述安全策略,在承载层对业务数据进行加密。
如图14所示,是本发明的数据加密的终端的实施例一的框图,包括:
安全策略生成单元1401,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
安全策略发送单元1402,用于:发送所述各种粒度数据的安全策略,以用于指示是否需要进行加密;
加密单元1403,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
其中,在上述实施例中,包括:
安全策略协商单元,用于:与网络系统进行安全策略协商,根据协商结果,指示所述安全策略生成单元生成各种粒度数据的安全策略。
如图15所示,是本发明的另一种数据加密的终端的实施例一的框图,包括:
安全策略接收单元1501,用于:接收各种粒度数据的安全策略,以用于指示是否需要进行加密,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密单元1502,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
如图16所示,是本发明的数据加密的基站系统的实施例一框图,包括:
第二安全策略接收单元1601,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二加密单元1602,用于:如果所述安全策略指示需要进行加密,则根据所述安全策略,将终端的相应粒度的数据进行加密,否则,不进行加密。
其中,在上述实施例中,可以包括:
第二安全策略协商单元,用于:与业务网络或策略功能控制实体或用户签约数据库或终端进行安全策略协商,如果协商结果表明需要对相应粒度的数据进行加密,则指示所述第二加密单元对相应粒度的数据的进行加密,否则,不进行加密。
其中,在上述实施例中,可以包括:
安全策略转发单元,用于:转发所述第二安全策略接收单元接收的各种粒度数据的安全策略至终端或移动管理实体。
如图17所示,是本发明的数据加密的移动管理实体的实施例一的框图,包括:
第二安全策略获取单元1701,用于:从终端或用户签约数据库或策略控制功能实体获取各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略生成单元1702,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略协商单元1703,用于:对获取的所述安全策略或生成的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向基站系统或终端发送需要加密的指示信息,否则,向基站系统或终端发送不需要加密的指示信息。
如图18所示,是本发明的数据加密的数据网关的实施例一的框图,包括:
第三安全策略获取单元1801,用于:从策略控制功能实体获取安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略生成单元1802,用于:生成各种粒度数据的安全策略;
第二安全策略转发单元1803,用于:转发所述第三安全策略获取单元获取的安全策略和所述第三安全策略生成单元生成的安全策略;
专用承载建立指示单元1804,用于:对于需要加密的业务流,生成专用承载建立指令,以用于在终端和基站系统之间为所述业务流建立专用承载进行加密。
其中,在上述实施例中,可以包括:
QoS属性判断单元,用于:对加密属性相同的当前业务流,判断所述当前业务流的QoS属性是否相同或相近,如果相同或相近,则生成绑定指令;
承载绑定单元,用于:将加密属性相同的当前业务流,根据所述绑定指令,绑定到一个专用承载中。
如图19所示,是本发明的数据加密的策略控制功能实体的实施例一的框图,包括:
第四安全策略生成单元1901,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略发送单元1902,用于:发送所述各种粒度数据的安全策略。
如图20所示,是本发明的数据加密的代理呼叫控制功能实体的实施例一的框图,包括:
第三安全策略接收单元2001,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略转发单元2002,用于:转发接收的所述各种粒度数据的安全策略;
第四安全策略协商单元2003,用于:对于接收的所述各种粒度的安全策略进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向网络系统或终端发送需要加密的指示信息,否则,向网络系统或终端发送不需要加密的指示信息。
如图21所示,是本发明的数据加密的服务呼叫功能实体的实施例一的框图,包括:
第四安全策略接收单元2101,用于:从代理呼叫控制功能实体或或用户签约数据库或业务对端接收各种粒度的数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第五安全策略协商单元2102,用于:对于接收的各种粒度的数据的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向代理呼叫控制功能实体发送需要加密的指示信息,否则,向代理呼叫控制功能实体发送不需要加密的指示信息。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (28)
1、一种数据加密的方法,其特征在于,包括:
获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。
2、如权利要求1所述的方法,其特征在于,所述各种粒度数据包括:
PDN连接粒度数据或承载粒度数据或业务流粒度数据。
3、如权利要求1所述的方法,其特征在于,与所述获取至少一个安全策略步骤同时,还包括:
获取加密算法的列表,所述列表用于进行加密。
4、如权利要求1所述的方法,其特征在于,所述获取至少一个安全策略步骤具体为:
从终端或用户签约数据库或安全策略控制实体或承载网络或业务网络获取各种粒度数据的安全策略;或
根据终端、用户签约数据库、安全策略控制实体、承载网络、业务网络之间的每两者、每三者、每四者或全部的安全策略,进行协商,将所述协商的结果确定为获取得到的各种粒度数据的安全策略。
5、如权利要求1所述的方法,其特征在于,所述获取至少一个安全策略策略步骤具体为:
终端在附着过程中,网络从用户签约数据库中取得用户签约数据,所述签约数据中包括是否需要对所述终端签约的每个PDN连接的用户面数据进行加密的指示;或
终端在与PDN建立连接时,承载网络与策略控制实体交互,获取是否对所述PDN连接的进行加密的指示;或
终端读取本地业务模块配置的安全策略后,或终端与业务网络进行业务协商后,
在请求建立承载或请求为业务流分配资源时,在请求消息中携带是否需要对所述承载或所述业务流进行加密的指示;或
业务网络根据业务协商的结果,以及业务网络中签约业务数据,生成是否对业务对应的承载或业务进行加密的指示;
所述业务网络将所述指示携带给承载网络;
所述承载网络根据所述指示,与终端进行协商;
根据所述承载网络与所述终端的协商结果,确定是否需要对业务对应的承载或业务流进行加密。
6、如权利要求1所述的方法,其特征在于,在所述获取至少一个安全策略步骤之后,还包括:
承载网络或策略控制功能实体在执行业务流绑定时,将QoS属性相同或相近,而且:
所述安全策略指示的加密属性相同的业务流绑定到相同的承载中。
7、如权利要求1-6任一项所述的方法,其特征在于,所述根据所述安全策略进行加密具体为:
在终端和网络系统之间,对所述安全策略指示的终端粒度数据或PDN连接粒度数据或承载粒度数据或业务流粒度数据,建立加密通道。
8、如权利要求4所述的方法,其特征在于,所述各种粒度数据的安全策略用于指示是否在应用层或承载层对业务数据进行加密。
9、如权利要求8所述的方法,其特征在于,所述根据所述安全策略进行加密具体为:
在应用层或承载层对业务数据进行加密。
10、一种数据加密的系统,其特征在于,包括:
安全策略获取设备,用于:获取至少一个安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密设备,用于:如果所述安全策略指示需要对一种粒度的数据进行加密,则根据所述安全策略进行加密,否则,不进行加密。
11、如权利要求10所述的系统,其特征在于,所述各种粒度数据包括:
PDN连接粒度数据或承载粒度数据或业务流粒度数据。
12、如权利要求10所述的系统,其特征在于,还包括:
加密算法列表获取设备,用于:在所述获取至少一个安全策略步骤同时,获取加密算法的列表,所述列表用于进行加密。
13、如权利要求10所述的系统,其特征在于,所述安全策略获取设备包括:
终端安全策略获取单元,用于:从终端获取所述安全策略,或
用户签约数据库安全策略获取单元,用于:从用户签约数据库获取所述安全策略,或
安全策略控制实体安全策略获取单元,用于:从安全策略控制实体获取所述安全策略,或
承载网络安全策略获取单元,用于:从承载网络获取所述安全策略,或
业务网络安全策略获取单元,用于:从业务网络获取单元所述安全策略。
14、如权利要求13所述的系统,其特征在于,还包括:
安全策略协商设备,用于,对所述终端安全策略获取单元、用户签约数据库安全策略获取单元、安全策略控制实体安全策略获取单元、承载网络安全策略获取单元或业务网络安全策略获取单元之间的每两者、每三者、每四者或全部的安全策略进行协商,将所述协商结果确定为获取得到的各种粒度数据的安全策略。
15、如权利要求10所述的系统,其特征在于,还包括:
业务流绑定设备,用于:在获取至少一个安全策略后,承载网络或策略控制功能实体在执行业务流绑定时,将QoS属性相同或相近,而且:
所述安全策略指示加密的业务流绑定到一个承载中;或
所述安全策略指示不加密的业务流绑定以另一个承载中。
16、如权利要求10所述的系统,其特征在于,还包括:
承载层加密设备,用于:根据所述安全策略,在承载层对各种粒度的数据进行加密。
17、一种数据加密的终端,其特征在于,包括:
安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
安全策略发送单元,用于:发送所述各种粒度数据的安全策略,以用于指示是否需要进行加密;
加密单元,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
18、如权利要求17所述的数据加密的终端,其特征在于,还包括:
安全策略协商单元,用于:与网络系统进行安全策略协商,根据协商结果,指示所述安全策略生成单元生成各种粒度数据的安全策略。
19、一种数据加密的终端,其特征在于,包括:
安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
加密单元,用于:如果所述安全策略指示进行加密,则将终端与网络系统的相应粒度的数据加密,否则,不进行加密。
20、一种数据加密的基站系统,其特征在于,包括:
第二安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二加密单元,用于:如果所述安全策略指示需要进行加密,则根据所述安全策略,将终端的相应粒度的数据进行加密,否则,不进行加密。
21、如权利要求20所述的数据加密的基站系统,其特征在于,还包括:
第二安全策略协商单元,用于:与业务网络或策略功能控制实体或用户签约数据库或终端进行安全策略协商,如果协商结果表明需要对相应粒度的数据进行加密,则指示所述第二加密单元对相应粒度的数据的进行加密,否则,不进行加密。
22、如权利要求20所述的数据加密的基站系统,其特征在于,还包括:
安全策略转发单元,用于:转发所述第二安全策略接收单元接收的各种粒度数据的安全策略至终端或移动管理实体。
23、一种数据加密的移动管理实体,其特征在于,包括:
第二安全策略获取单元,用于:从终端或用户签约数据库或策略控制功能实体获取各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略协商单元,用于:对获取的所述安全策略或生成的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向基站系统或终端发送需要加密的指示信息,否则,向基站系统或终端发送不需要加密的指示信息。
24、一种数据加密的数据网关,其特征在于,包括:
第三安全策略获取单元,用于:从策略控制功能实体获取安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略生成单元,用于:生成各种粒度数据的安全策略;
第二安全策略转发单元,用于:转发所述第三安全策略获取单元获取的安全策略和所述第三安全策略生成单元生成的安全策略;
专用承载建立指示单元,用于:对于需要加密的业务流,生成专用承载建立指令,以用于在终端和基站系统之间为所述业务流建立专用承载进行加密。
25、如权利要求24所述的数据加密的数据网关,其特征在于,包括:
QoS属性判断单元,用于:对加密属性相同的当前业务流,判断所述当前业务流的QoS属性是否相同或相近,如果相同或相近,则生成绑定指令;
承载绑定单元,用于:将加密属性相同的当前业务流,根据所述绑定指令,绑定到一个承载中。
26、一种数据加密的策略控制功能实体,其特征在于,包括:
第四安全策略生成单元,用于:生成各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第二安全策略发送单元,用于:发送所述各种粒度数据的安全策略。
27、一种数据加密的代理呼叫控制功能实体,其特征在于,包括:
第三安全策略接收单元,用于:接收各种粒度数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第三安全策略转发单元,用于:转发接收的所述各种粒度数据的安全策略;
第四安全策略协商单元,用于:对于接收的所述各种粒度的安全策略进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向网络系统或终端发送需要加密的指示信息,否则,向网络系统或终端发送不需要加密的指示信息。
28、一种数据加密的服务呼叫功能实体,其特征在于,包括:
第四安全策略接收单元,用于:从代理呼叫控制功能实体或用户签约数据库或业务对端接收各种粒度的数据的安全策略,所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略;
第五安全策略协商单元,用于:对于接收的各种粒度的数据的所述安全策略,进行协商,如果协商结果表明需要对相应粒度的数据进行加密,则向代理呼叫控制功能实体发送需要加密的指示信息,否则,向代理呼叫控制功能实体发送不需要加密的指示信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100041576A CN101488847B (zh) | 2008-01-18 | 2008-01-18 | 一种数据加密的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100041576A CN101488847B (zh) | 2008-01-18 | 2008-01-18 | 一种数据加密的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101488847A true CN101488847A (zh) | 2009-07-22 |
| CN101488847B CN101488847B (zh) | 2011-09-14 |
Family
ID=40891542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100041576A Active CN101488847B (zh) | 2008-01-18 | 2008-01-18 | 一种数据加密的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101488847B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011066779A1 (zh) * | 2009-12-01 | 2011-06-09 | 中兴通讯股份有限公司 | 业务流加密处理方法及系统 |
| CN102244660A (zh) * | 2011-07-12 | 2011-11-16 | 北京航空航天大学 | 一种实现支持细粒度访问控制的加密方法 |
| CN102833222A (zh) * | 2011-06-17 | 2012-12-19 | 华为终端有限公司 | 访问方法和装置 |
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN103491648A (zh) * | 2013-09-18 | 2014-01-01 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN104683956A (zh) * | 2013-11-27 | 2015-06-03 | 普天信息技术研究院有限公司 | QoS控制方法和系统 |
| CN105141637A (zh) * | 2015-09-25 | 2015-12-09 | 中铁工程装备集团有限公司 | 一种以流为粒度的传输加密方法 |
| WO2016165312A1 (zh) * | 2015-04-16 | 2016-10-20 | 中兴通讯股份有限公司 | 加密方法、解密方法及其装置 |
| CN106453431A (zh) * | 2016-12-19 | 2017-02-22 | 四川长虹电器股份有限公司 | 基于pki实现互联网系统间认证的方法 |
| WO2017210811A1 (zh) * | 2016-06-06 | 2017-12-14 | 华为技术有限公司 | 安全策略的执行方法和设备 |
| CN107925575A (zh) * | 2015-06-22 | 2018-04-17 | 赛门铁克公司 | 用于管理网络通信隐私的技术 |
| CN108848071A (zh) * | 2018-05-30 | 2018-11-20 | 深圳市元征科技股份有限公司 | 一种数据传输方法、系统及设备和存储介质 |
| CN109246843A (zh) * | 2017-05-10 | 2019-01-18 | 展讯通信(上海)有限公司 | 一种pdn连接的建立方法、用户设备及网络侧设备 |
| WO2019062672A1 (zh) * | 2017-09-30 | 2019-04-04 | 华为技术有限公司 | 通信方法、装置和系统 |
| CN110493774A (zh) * | 2017-05-06 | 2019-11-22 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN112218345A (zh) * | 2016-08-24 | 2021-01-12 | 华为技术有限公司 | 策略控制方法、网元、系统及存储介质 |
| CN113676467A (zh) * | 2021-08-16 | 2021-11-19 | 北京全路通信信号研究设计院集团有限公司 | 一种数据处理方法、装置、设备以及存储介质 |
| WO2022194009A1 (zh) * | 2021-03-18 | 2022-09-22 | 华为技术有限公司 | 一种通信方法、装置及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7151832B1 (en) * | 1999-11-18 | 2006-12-19 | International Business Machines Corporation | Dynamic encryption and decryption of a stream of data |
| CN100574445C (zh) * | 2006-09-29 | 2009-12-23 | 清华大学深圳研究生院 | 基于h.264编码标准的质量可控的视频流加密方法 |
| CN101030857A (zh) * | 2007-04-10 | 2007-09-05 | 华东师范大学 | 细粒度的文档加密保护控制方法 |
-
2008
- 2008-01-18 CN CN2008100041576A patent/CN101488847B/zh active Active
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083062B (zh) * | 2009-12-01 | 2015-05-20 | 中兴通讯股份有限公司 | 业务流加密处理方法及系统 |
| WO2011066779A1 (zh) * | 2009-12-01 | 2011-06-09 | 中兴通讯股份有限公司 | 业务流加密处理方法及系统 |
| CN101790162B (zh) * | 2010-01-29 | 2013-01-02 | 华为技术有限公司 | 安全关联获取方法及装置 |
| CN102833222A (zh) * | 2011-06-17 | 2012-12-19 | 华为终端有限公司 | 访问方法和装置 |
| CN102833222B (zh) * | 2011-06-17 | 2016-08-24 | 华为终端有限公司 | 访问方法和装置 |
| CN102244660A (zh) * | 2011-07-12 | 2011-11-16 | 北京航空航天大学 | 一种实现支持细粒度访问控制的加密方法 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN103686704B (zh) * | 2012-09-19 | 2017-02-15 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN103491648A (zh) * | 2013-09-18 | 2014-01-01 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
| CN103491648B (zh) * | 2013-09-18 | 2018-04-10 | 宇龙计算机通信科技(深圳)有限公司 | 基于wifi的通信方法及系统 |
| CN104683956B (zh) * | 2013-11-27 | 2018-01-26 | 普天信息技术研究院有限公司 | QoS控制方法和系统 |
| CN104683956A (zh) * | 2013-11-27 | 2015-06-03 | 普天信息技术研究院有限公司 | QoS控制方法和系统 |
| WO2016165312A1 (zh) * | 2015-04-16 | 2016-10-20 | 中兴通讯股份有限公司 | 加密方法、解密方法及其装置 |
| CN107925575A (zh) * | 2015-06-22 | 2018-04-17 | 赛门铁克公司 | 用于管理网络通信隐私的技术 |
| CN105141637A (zh) * | 2015-09-25 | 2015-12-09 | 中铁工程装备集团有限公司 | 一种以流为粒度的传输加密方法 |
| WO2017210811A1 (zh) * | 2016-06-06 | 2017-12-14 | 华为技术有限公司 | 安全策略的执行方法和设备 |
| CN112218345B (zh) * | 2016-08-24 | 2022-02-25 | 华为技术有限公司 | 策略控制方法、网元、系统及存储介质 |
| US11825356B2 (en) | 2016-08-24 | 2023-11-21 | Huawei Technologies Co., Ltd. | Policy control method and system, network element, and storage medium |
| CN112218345A (zh) * | 2016-08-24 | 2021-01-12 | 华为技术有限公司 | 策略控制方法、网元、系统及存储介质 |
| US11240711B2 (en) | 2016-08-24 | 2022-02-01 | Huawei Technologies Co., Ltd. | Policy control method and system, network element, and storage medium |
| CN106453431A (zh) * | 2016-12-19 | 2017-02-22 | 四川长虹电器股份有限公司 | 基于pki实现互联网系统间认证的方法 |
| CN106453431B (zh) * | 2016-12-19 | 2019-08-06 | 四川长虹电器股份有限公司 | 基于pki实现互联网系统间认证的方法 |
| CN110493774A (zh) * | 2017-05-06 | 2019-11-22 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN110493774B (zh) * | 2017-05-06 | 2023-09-26 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN109246843A (zh) * | 2017-05-10 | 2019-01-18 | 展讯通信(上海)有限公司 | 一种pdn连接的建立方法、用户设备及网络侧设备 |
| CN109246843B (zh) * | 2017-05-10 | 2020-08-25 | 展讯通信(上海)有限公司 | 一种pdn连接的建立方法、用户设备及网络侧设备 |
| WO2019062672A1 (zh) * | 2017-09-30 | 2019-04-04 | 华为技术有限公司 | 通信方法、装置和系统 |
| US11546771B2 (en) | 2017-09-30 | 2023-01-03 | Huawei Technologies Co., Ltd. | Communication method, communications apparatus, and system |
| CN108848071A (zh) * | 2018-05-30 | 2018-11-20 | 深圳市元征科技股份有限公司 | 一种数据传输方法、系统及设备和存储介质 |
| WO2022194009A1 (zh) * | 2021-03-18 | 2022-09-22 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| CN113676467A (zh) * | 2021-08-16 | 2021-11-19 | 北京全路通信信号研究设计院集团有限公司 | 一种数据处理方法、装置、设备以及存储介质 |
| CN113676467B (zh) * | 2021-08-16 | 2024-01-05 | 北京全路通信信号研究设计院集团有限公司 | 一种数据处理方法、装置、设备以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101488847B (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101488847B (zh) | 一种数据加密的方法、装置和系统 | |
| US7826353B2 (en) | Method, system and network element for authorizing a data transmission | |
| CN101060367B (zh) | 用于匹配核心网络承载的资源量和受访问网络承载的资源量的移动通信系统 | |
| US9001659B2 (en) | OpenFlow enabled WiFi management entity architecture | |
| CN101322428B (zh) | 用于传递密钥信息的方法和设备 | |
| WO2016041344A1 (zh) | 一种实现能力开放的系统、方法及能力开放平台 | |
| JP6406259B2 (ja) | 通信装置、制御装置、通信方法、制御方法およびプログラム | |
| CN110493774A (zh) | 密钥配置方法、装置以及系统 | |
| CN101931946B (zh) | 演进的分组系统中的终端的多接入方法及系统 | |
| EP3107258A1 (en) | Security key management in ims-based multimedia broadcast and multicast services (mbms) | |
| WO2020034864A1 (zh) | 一种用户面安全策略实现方法、装置及系统 | |
| CN103716775A (zh) | 数据流控制方法及相关设备和通信系统 | |
| US20150288529A1 (en) | Access network selection | |
| CN104904263A (zh) | 用于控制wlan系统中的过载的装置和方法 | |
| JP2015515835A (ja) | マルチサービスユーザデバイスのためのネットワーク制御による拡張アクセス規制 | |
| WO2016023262A1 (zh) | 资源共享方法和资源共享系统 | |
| CN100512276C (zh) | 用于无线通信网中承载授权的方法和系统 | |
| US20040125748A1 (en) | Handling traffic flows in a mobile communications network | |
| JP6477476B2 (ja) | 通信装置、制御装置、通信システム、通信方法、制御方法およびプログラム | |
| EP3729907A1 (en) | Tunnel filtering system and method | |
| CN101500277A (zh) | 一种接入网获取QoS信息的方法、设备和系统 | |
| CN102572932B (zh) | 一种实现家庭基站网络资源区分管理控制的方法和系统 | |
| CN101729383B (zh) | 跨接入网关切换时建立业务流映射的控制方法、目标接入网关 | |
| KR101780401B1 (ko) | 무선 통신 시스템에서의 인증 및 보안 설정을 위한 방법 및 이를 위한 장치 | |
| KR102158329B1 (ko) | 서비스 품질 정보 갱신 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |