CN101790162B - 安全关联获取方法及装置 - Google Patents

安全关联获取方法及装置 Download PDF

Info

Publication number
CN101790162B
CN101790162B CN 201010104790 CN201010104790A CN101790162B CN 101790162 B CN101790162 B CN 101790162B CN 201010104790 CN201010104790 CN 201010104790 CN 201010104790 A CN201010104790 A CN 201010104790A CN 101790162 B CN101790162 B CN 101790162B
Authority
CN
China
Prior art keywords
security association
security
attribute information
business stream
secure execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN 201010104790
Other languages
English (en)
Other versions
CN101790162A (zh
Inventor
宋照红
李瀛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN 201010104790 priority Critical patent/CN101790162B/zh
Publication of CN101790162A publication Critical patent/CN101790162A/zh
Application granted granted Critical
Publication of CN101790162B publication Critical patent/CN101790162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种安全关联获取方法及装置,该方法包括:接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息;根据与用户终端共同支持的安全能力以及安全关联属性信息获取安全关联,以根据安全关联对安全关联属性信息对应的业务流进行安全保护。本发明实施例,通过业务流属性信息中的安全关联属性信息对该业务流进行安全保护,安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,获取与业务流对应的安全关联,对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。

Description

安全关联获取方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种安全关联获取方法及装置。 
背景技术
在基站(Base Staion,以下简称为:BS)-网关(GateWay,以下简称为:GW)的接入网系统中,有多种类型的空中接口业务流。这些业务流可以分为两类:一种是安全保护级别需求低的业务流,例如普通的上网看电影或文件传输协议(File Transfer Protocol,简称为:FTP)等业务流;另一种是安全保护级别需求高的业务流,例如银行转帐等业务流。 
现有的BS可以根据在BS上设置的业务流安全保护开关来判断是否对该BS接入的业务流进行安全保护。例如:当业务流安全保护开关设置为开时,BS对该BS接入的所有的业务流都进行安全保护;当加密开关设置为关时,BS对该BS接入的所有的业务流都不进行安全保护。由此,现有的BS无法做到针对不同的业务流进行不同安全级别的安全保护。 
发明内容
本发明实施例提供一种安全关联获取方法及装置,用以实现针对不同的业务流进行不同级别的安全保护。 
本发明实施例提供一种安全关联获取方法,包括: 
安全执行实体接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息; 
所述安全执行实体根据与用户终端共同支持的安全能力以及所述安全关联属性信息,获取安全关联,以根据获取的所述安全关联对所述安全关联属 性信息对应的业务流进行安全保护。 
本发明实施例还提供一种安全关联获取方法,包括: 
管理实体或安全传输实体接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信息; 
所述管理实体或安全传输实体获取安全关联属性信息,并根据所述安全执行实体与用户终端共同支持的安全能力以及获取的安全关联属性信息,将包括与所述安全能力匹配的安全关联参数的业务流属性信息发送给所述安全执行实体,以使所述安全执行实体根据所述安全关联参数获取安全关联。 
本发明实施例还提供一种安全关联获取方法,包括: 
安全执行实体将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实体; 
所述安全执行实体接收所述安全传输实体或管理实体根据所述安全能力信息和安全关联属性信息、发送的包括与所述安全能力信息匹配的安全关联参数的业务流属性信息;根据所述安全关联参数获取安全关联,以根据所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。 
本发明实施例提供一种安全执行实体,包括: 
第一接收模块,用于接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息; 
第一获取模块,用于根据与用户终端共同支持的安全能力以及所述安全关联属性信息,获取安全关联,以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。 
本发明实施例提供一种安全关联获取装置,包括: 
第二接收模块,用于接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信息; 
第二发送模块,用于获取安全关联属性信息,并根据所述安全执行实体与用户终端共同支持的安全能力以及所述安全关联属性信息,将包括与所述 安全能力匹配的安全关联参数的业务流属性信息发送给所述安全执行实体,以使所述安全执行实体根据所述安全关联参数获取安全关联。 
本发明实施例的安全关联获取方法及装置,通过业务流属性信息中的安全关联属性信息来对该业务流进行安全保护,安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,获取与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同的业务流可以进行选择性的安全保护。 
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 
图1为本发明安全关联获取方法实施例一的流程图; 
图2为本发明安全关联获取方法实施例二的流程图; 
图3为本发明安全关联获取方法实施例三的信令图; 
图4为本发明安全关联获取方法实施例四的信令图; 
图5为本发明安全关联获取方法实施例五的流程图; 
图6为本发明安全关联获取方法实施例六的流程图; 
图7为本发明安全关联获取方法实施例七的流程图; 
图8为本发明安全关联获取方法实施例八的信令图; 
图9为本发明安全执行实体实施例一的结构图; 
图10为本发明安全执行实体实施例二的结构图; 
图11为本发明安全关联获取装置实施例一的结构图; 
图12为本发明安全关联获取装置实施例二的结构图; 
图13为本发明安全执行实体实施例三的结构图。 
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。 
空口协议中指定了终端和基站通讯的安全关联(Security Association,以下简称为:SA)属性信息,其中,SA是两个通讯实体之间的安全能力的协商参数集。然而关于SA如何使用,空口协议802.16e和网络工作组(Network Group,以下简称为:NWG)协议都没明确指示;其中NWG是世界微波接入互通(Worldwide Interoperability of Microwave Access,以下简称为:WiMAX)论坛的一个技术组;本发明以下各实施例提供一种使用SA来实现针对不同业务流进行不同安全级别的安全保护的方案。 
本发明各实施例可以应用在多种系统中,在不同的系统中,管理实体、安全执行实体和安全传输实体可以对应不同的实际产品,多个实体的实现可以在一个产品中;其中安全传输实体又可以称为安全属性及计费实体。本发明以下各实施例以应用在世界微波接入互通(WorldwideInteroperability of Microwave Access,以下简称为:WiMAX)系统为例进行说明。在WiMAX系统中,管理实体可以为认证授权记帐(Authentication,Authorization,Accounting,以下简称为:AAA)服务器,安全执行实体可以为BS,安全传输实体可以为GW。需要说明的是,本发明实施例并不限于应用在WiMAX系统。 
在本发明实施例提供的技术方案中可以包括以下情况:(1)在BS侧进行是否对业务流进行安全保护的判断;(2)在GW侧进行是否对业 务流进行安全保护的判断;(3)在核心网AAA服务器侧进行是否对业务流进行安全保护的判断。下面通过具体实施例分别进行说明。 
图1为本发明安全关联获取方法实施例一的流程图,本实施例是在BS侧进行判断的情况,如图1所示,该方法包括: 
步骤101、接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息。 
例如,AAA服务器为管理实体,GW为安全传输实体。AAA服务器中存储有用户签约信息,该用户签约信息中包括用户注册的业务流属性信息,业务流属性信息用于描述用户得到的服务的各种参数。当该业务流需要进行安全保护时,该业务流对应的业务流属性信息中包括有安全关联属性信息;当该业务流不需要安全保护时,该业务流对应的业务流属性信息中就不包括安全关联属性信息。 
AAA服务器在对接入网络的用户终端认证成功后,向GW发送业务流属性信息,GW将该业务流属性信息转发给BS。 
步骤102、根据与用户终端共同支持的安全能力以及安全关联属性信息,获取安全关联,以根据获取的安全关联对安全关联属性信息对应的业务流进行安全保护。 
BS对接收到的业务流属性信息进行判断。若一业务流属性信息中包括有安全关联属性信息,则获知需要对该业务流进行安全保护;若一业务流属性信息中不包括安全关联属性信息,则获知不需要对该业务流进行安全保护。 
在用户终端接入网络后,用户终端会将其自身的安全能力上报给BS。BS将其自身的安全能力与用户终端的安全能力取交集,即获取BS和用户终端都支持的安全能力。 
当BS获知需要对某个业务流进行安全保护时,BS根据其与用户终端都支持的安全能力以及接收到的该业务流属性信息中的安全关联属性信 息,获取一安全关联,然后BS使用该安全关联可以对该业务流进行安全保护。BS根据不同的安全关联属性信息,可以获取到不同安全级别的安全关联,根据该安全关联就可以对不同的业务流进行不同安全级别的安全保护。其中,获取安全关联可以包括:BS在自身查找是否存储有符合条件的安全关联,若有,则直接获取,若没有则创建;或者BS直接创建出符合条件的安全关联。 
其中,安全关联属性信息可以包括安全关联类型、安全关联业务类型和加密套件,还可以包括:业务加密密钥参数,例如:密钥、密钥序列号、密钥生命周期、初始化向量和密钥父钥序列号等。 
安全保护可以包括:加密、解密、数据鉴权等。BS根据安全关联对业务流进行安全保护的流程具体可以为:BS通过启动SA管理状态机来维护管理SA,BS控制面把SA配置到数据面中,BS中数据面接收到发送给终端对应业务流的数据包,首先读取配置中的SA属性参数,如果启动数据加密或数据鉴权,则用当前激活的业务加密密钥对数据进行加密或鉴权,并在处理后的数据包头中设置加密指示、并指示使用的密钥序列号,终端通过此密钥序列号来查找正确的密钥以进行解密或数据鉴权;BS接收到终端发送上来的数据包,如果数据包头中的加密指示位被设置为有效,则说明是加密过的数据包,则通过数据包头中的密钥序列号来找到正确的密钥来对数据解密;由此实现了对业务流进行安全保护。 
本实施例的安全关联获取方法,通过业务流属性信息中的安全关联属性信息对该业务流进行安全保护,安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,获取与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图2为本发明安全关联获取方法实施例二的流程图,在方法实施例一的基础上,如图2所示,该方法可以包括: 
步骤201、管理实体根据接收到的用户终端的身份标识,获取与用户终端对应的包括业务流属性信息的用户签约信息。 
例如,AAA服务器为管理实体,GW为安全传输实体。用户终端入网后,先向AAA服务器发送身份标识,以进行身份认证。AAA服务器接收到用户终端的身份标识后,根据该身份标识获取到该用户终端的用户签约信息,该用户签约信息中包括了用户签约的一个或多个业务流的业务流属性信息;每个业务流对应一个业务流属性信息。其中,该业务流属性信息中可以包括:业务流标识、业务流方向、业务流业务质量QoS、业务流数据隧道、业务流分类器规则和业务流安全推荐属性等参数。 
步骤202、接收管理实体通过安全传输实体发送的业务流属性信息;判断业务流属性信息中是否包括安全关联属性信息,若业务流属性信息不包括安全关联属性信息,执行步骤203,若业务流属性信息中包括安全关联属性信息,执行步骤204。 
AAA服务器在用户认证成功后,会向GW发送认证成功消息,在该认证成功消息中,包括该用户签约的业务流属性信息。GW接收到该业务流属性信息后,将该业务流属性信息转发给BS。 
BS对接收到的业务流属性信息进行判断,若该业务流属性信息中包括有安全关联属性信息,则对该业务流属性信息对应的业务流进行安全保护,若该业务流属性信息中没有包括安全关联属性信息,则无需对该业务流属性信息对应的业务流进行安全保护。 
步骤203、若判断该业务流属性信息对应的业务流为非安全业务,则不对该业务流进行安全保护,结束。 
步骤204、判断安全执行实体与用户终端共同支持的安全能力是否支持安全关联属性信息,是则执行步骤205,否则执行步骤206。 
安全关联属性信息(RecommendedServiceSecurity IE)可以包括:推荐等级参数(RecommendedLevel)、匹配优先级参数(Matching Level)、 安全关联类型(SA Type)、安全关联业务类型(SA Service Type)和加密套件(Cryptographic List)。 
其中,推荐等级参数可以为1个字节长度,该参数表示该安全关联业务推荐的强度。当推荐等级参数为第一推荐等级参数时,表示该安全关联业务的推荐强度很高,即要求该业务流一定要根据该安全关联属性信息来进行安全保护;若BS与用户终端共同的安全能力无法支持该安全关联业务,则BS就拒绝该安全关联业务,同时拒绝传输该业务流;该业务流可以经由其他安全能力高的BS进行传输。当推荐等级参数为第二推荐等级参数时,表示该安全关联业务的推荐强度较低,即没有严格要求该业务流一定要根据该安全关联属性信息来进行安全保护;若BS与用户终端共同的安全能力无法支持该安全关联业务,则BS就根据支持的安全能力选择或创建最接近的安全关联。 
匹配优先级参数可以为1字节长度,表示安全关联类型、安全关联业务类型和加密套件的优先级的高低。当BS创建最接近的安全关联时,根据该匹配优先级参数来选择或创建最接近的安全关联。 
安全关联类型可以为1字节长度,表示安全关联类型是主SA(PrimarySA)、静态SA(Staitic SA)或动态SA(Dynamic SA)。 
加密套件可以为3个字节长度,表示数据加密、数据认证和TEK加密方法。如果BS或终端任一方不支持加密,则安全关联中加密套件属性可以设置为不使用加密方法。 
步骤205、根据安全关联类型、安全关联业务类型和加密套件获取第一安全关联;并将第一安全关联对应的安全级别发送给安全传输实体,以使安全传输实体根据安全级别对第一安全关联对应的业务流进行计费。 
BS根据接收到的业务流属性信息中的安全关联类型、安全关联业务类型和加密套件选择或创建第一安全关联,该第一安全关联为BS和用户终端的安全能力都支持的;然后BS根据该第一安全关联对该业务流属性信息对应 的业务流进行安全保护。例如:该第一安全关联包括:动态安全关联、单播业务和加密套件,该加密套件包括:数据加密(CCM mode 128bits AES)、数据鉴权(CCM mode)、业务加密密钥TEK加密方法(AES key wrap with128-bit key)。若BS中存储有与第一安全关联相同的安全关联,则BS在向用户面配置业务流信息时指明保护此业务流的安全关联标识,BS在发送MS对应业务流的下行数据时使此安全关联的功能对数据进行保护(通过TEK和相应的算法进行数据鉴权、数据加密等处理),BS在接收到MS对应业务流的上行数据时同样通过业务流对应的安全关联标识来查找到安全关联,通过安全关联对数据进行鉴权或解密(通过TEK和相应的算法进行数据鉴权、数据解密等处理。 
BS创建的每个安全关联,都对应有安全级别,对于不同的安全级别可以执行不同的计费标准。当BS没有对业务流进行安全保护时,也对应一种计费标准。 
BS将获取到的第一安全关联对应的安全级别发送给GW;以使GW根据该安全级别对该第一安全关联对应的业务流进行计费,以实现根据保密性的高低对业务流执行不同的计费。其中,BS可以在选择或创建第一安全关联之后,将该第一安全关联对应的安全级别发送给GW;BS也可以在步骤204中判断出BS与MS共同支持的安全能力能够支持安全关联属性信息之后,而在选择或创建第一安全关联之前,就将待获取的第一安全关联对应的安全级别发送给GW,此时虽然BS还没有选择或创建第一安全关联,但BS经过判断已经获知待选择或创建的第一安全关联对应的安全级别。 
步骤206、判断推荐等级参数的类型,若推荐等级参数为第一推荐等级参数,则执行步骤207,若推荐等级参数为第二推荐等级参数,则执行步骤208。 
步骤207、安全执行实体拒绝创建安全关联,结束。 
若BS判断出推荐等级参数为第一推荐等级参数,即该业务流的安全推 荐等级为高,而BS和用户终端的安全能力又无法支持创建该安全关联,则BS拒绝创建安全关联。该业务流的安全保护可以通过其他BS来完成,例如可以通过空口的消息重新指配或切换消息指示终端选择到其他BS来入网,消息中指示推荐的BS的信息,终端则选择推荐的BS作为目标BS。 
步骤208、根据通过匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件,选择或创建第二安全关联;并将第二安全关联对应的安全级别发送给安全传输实体,以使安全传输实体根据安全级别对第二安全关联对应的业务流进行计费。 
其中,BS可以在选择或创建第二安全关联之后,将该第二安全关联对应的安全级别发送给GW;BS也可以在步骤206中判断出推荐等级参数为第二推荐等级参数之后,而在选择或创建第二安全关联之前,就将待获取的第二安全关联对应的安全级别发送给GW,此时虽然BS还没有选择或创建第二安全关联,但BS经过判断已经获知待选择或创建的第二安全关联对应的安全级别。 
若BS判断出推荐等级参数为第二推荐等级参数,即该业务流的安全推荐等级为低,则在BS和用户终端的安全能力不支持创建该安全关联时,BS根据匹配优先级参数选择或创建一最接近的第二安全关联;其中,上述不支持可以为:BS与用户终端共同的安全能力与安全关联属性信息完全不匹配或部分不匹配。匹配优先级参数定义了安全关联类型、安全关联业务类型和加密套件这三个参数的优先级,对于不同类型的业务流,这三个参数的优先级可能不同。BS根据匹配优先级参数选择或创建一最接近的第二安全关联具体可以为:BS根据匹配优先级参数,选取安全关联类型、安全关联业务类型和加密套件这三个参数中优先级最高的一个,然后判断BS与用户终端共同的安全能力能否支持该参数;若支持,则根据该参数选择或创建第二安全关联,若不支持,则选取与该参数最接近的参数选择或创建安全关联。例如:若匹配优先级参数指示安全关联类型的优先级最高,安全关联属性信息中的安全 关联类型是动态安全关联,但基站不支持动态安全关联,则基站优先选择基本安全关联来选择或创建安全关联方法;若匹配优先级参数指示加密套件的优先级最高,安全关联属性信息中的数据加密方式为CBC mode 128-bit AES,但基站不支持这种数据加密方式,则基站从和终端共同支持的加密方式中优先选择数据加密方式最接近CCM mode AES的来选择或创建安全关联方法。 
下面举例说明匹配优先级参数的使用,匹配优先级参数可以为6位二进制数,并以2位一组分成3组,这3组数从左到右分别表示安全关联类型、安全关联业务类型、加密套件的匹配符合度。假设接收的匹配优先级参数为十进制数6,则十进制6对应的二进制数为000110,00、01、10分别表示安全关联类型、安全关联业务类型、加密套件的匹配符合度,最高位的00表示安全关联类型允许任何类型安全关联(匹配符合度低)、中间的01表示表示安全关联业务类型要尽量满足(匹配符合度中)、最低位的10表示加密套件要优先满足(匹配符合度高)。 
本发明实施例中选择或创建的安全关联可以对应不同的安全级别,由此可以实现对不同类型的业务实现不同级别的安全保护,例如:对于一些需要高保密性的业务流,可以使用安全级别高的安全关联属性信息以建立安全级别高的安全关联。 
需要说明的是,推荐等级参数可以分为多种级别,以表示对该业务流进行安全保护的不同程度的要求。最高等级的推荐等级参数可以表示:一定要完全依照安全关联属性信息进行安全关联的创建;最低等级的推荐等级参数可以表示:安全执行实体可以根据安全执行实体和对端通讯实体共同支持的安全能力情况直接选择或创建安全关联,而不用根据安全关联属性信息的指示;介于最高和最低等级之间的推荐等级参数,可以结合匹配优先级参数来选择或创建最接近安全关联,例如:某个介于最高和最低等级之间的推荐等级参数可以表示,当优先级最高的一个参数被BS与用户终端共同的安全能力支持时,根据该参数创建第二安全关联,否则拒绝创建安全关联。本发明 并不限定选择或创建最接近安全关联的方法。 
本实施例的安全关联获取方法,除了具有方法实施例一的有益效果之外,还能根据安全属性信息建立具有不同安全级别的安全关联,实现了针对不同安全级别的业务流可以进行不同安全级别的安全保护,并根据不同安全级别的安全保护对业务流进行计费。 
本发明方法实施例一和实施例二中描述的GW向BS发送业务流属性信息,可以有两种情况:一是GW主动向BS发送的,二是BS向GW请求发送的。下面在方法实施例一和方法实施例二的基础上,通过具体实施例说明这两种情况。 
图3为本发明安全关联获取方法实施例三的信令图,本实施例是GW主动向BS发送业务流属性信息的情况,在本发明方法实施例一和方法实施例二的基础上,如图3所示,该方法包括: 
步骤301、在认证成功后AAA给GW发送Access-Acept消息,表示认证成功,其中携带AAA配置的业务流属性信息。 
终端(Mobile Station,以下简称为:MS)在初始入网、切换重入网或空闲模式(IDLE)重入网过程中,向AAA上报用户信息以进行认证。 
步骤302、GW通过发送Path_Reg_Req消息向BS发起建立数据通讯链路的请求,其中Path_Reg_Req消息中包括业务流属性信息。 
GW通过Path_Reg_Req消息把业务流属性信息发送给BS。 
步骤303、BS接收到GW发送的建立请求后,对Path_Reg_Req消息中的业务流属性信息进行判断,通过Path_Reg_Rsp消息对该请求进行响应,并通过Path_Reg_Rsp消息将判断的结果发送给GW。 
BS对接收到的业务流属性信息进行判断,若其中包括有安全关联属性信息,则根据BS与MS共同的安全能力判断进行以下哪种操作:获取安全关联、获取最接近的安全关联或拒绝获取安全关联;其中,当判断出获取安全关联或者判断出获取最接近的安全关联时,BS同时也获知了待 获取的安全关联或最接近的安全关联对应的安全级别,BS通过Path_Reg_Rsp消息将BS选择的操作和待获取的安全关联对应的安全级别返回给GW。 
步骤304、GW通过向BS发送Path_Reg_Ack消息来对数据通讯链路的建立进行确认。 
GW通过Path_Reg_Ack消息通知BS,GW同意了BS选择的操作。 
步骤305、BS根据其自身与MS共同的安全能力,以及安全关联属性信息获取安全关联,或者拒绝创建安全关联。 
当BS选择或创建安全关联后,BS通过该安全关联对相应的业务流进行安全保护。具体选择或创建安全关联以及根据安全关联对业务流进行包括的过程参见前述各实施例中的描述,在此不再赘述。 
可选的,GW对BS与MS之间传输的业务流进行计费时,可以根据对业务流进行安全保护的级别高低进行不同的计费,例如:当根据该安全关联对相应的业务流进行安全保护时,GW可以根据Path_Reg_Rsp消息携带的该安全关联对应的安全级别对该业务流进行计费,并将计费信息通过Accounting_Start消息发送给AAA。 
本实施例的安全关联获取方法,除了具有方法实施例一的有益效果之外,还能根据安全属性信息建立具有不同安全级别的安全关联,实现了针对不同安全级别的业务流可以进行不同安全级别的安全保护,并根据不同安全级别的安全保护对业务流进行计费。 
图4为本发明安全关联获取方法实施例四的信令图,本实施例是BS向GW请求发送业务流属性信息的情况,在本发明方法实施例一和方法实施例二的基础上,如图4所示,该方法包括: 
步骤401、在认证成功后AAA给GW发送Access-Acept消息,表示认证成功,其中携带AAA配置的业务流属性信息。 
步骤402、BS通过发送Path_Reg_Req消息向GW发起建立数据通讯链 路的请求。 
步骤403、GW接收到BS发送的建立数据通讯链路的请求后,通过Path_Reg_Rsp消息对该请求进行响应,其中Path_Reg_Rsp消息中包括业务流属性信息。 
GW通过Path_Reg_Rsp消息把业务流属性信息发送给BS。 
步骤404、BS对Path_Reg_Rep消息中的业务流属性信息进行判断,通过向GW发送Path_Reg_Ack消息来对数据通讯链路的建立进行确认,并通过Path_Reg_Ack消息将判断的结果发送给GW。 
BS对接收到的业务流属性信息进行判断,若其中包括有安全关联属性信息,则根据BS与MS共同的安全能力判断进行以下哪种操作:获取安全关联、获取最接近的安全关联或拒绝获取安全关联;其中,当判断出获取安全关联或者判断出获取最接近的安全关联时,BS同时也获知了待获取的安全关联或最接近的安全关联对应的安全级别,BS通过Path_Reg_Ack消息将BS选择的操作和待获取的安全关联对应的安全级别返回给GW。 
步骤405、BS根据其自身与MS共同的安全能力,以及安全关联属性信息获取安全关联,或者拒绝创建安全关联。 
当BS选择或创建安全关联后,BS通过该安全关联对相应的业务流进行安全保护。具体选择或创建安全关联以及根据安全关联对业务流进行包括的过程参见前述各实施例中的描述,在此不再赘述。 
可选的,GW对BS与MS之间传输的业务流进行计费时,可以根据对业务流进行安全保护的级别高低进行不同的计费,例如:当根据该安全关联对相应的业务流进行安全保护时,GW可以根据Path_Reg_Ack消息中包括的该安全关联对应的安全级别对该业务流进行计费,并将计费信息通过Accounting_Start消息发送给AAA。 
本实施例的安全关联获取方法,除了具有方法实施例一的有益效果之 外,还能根据安全属性信息建立具有不同安全级别的安全关联,实现了针对不同安全级别的业务流可以进行不同安全级别的安全保护,并根据不同安全级别的安全保护对业务流进行计费。 
图5为本发明安全关联获取方法实施例五的流程图,本实施例是在GW侧或者AAA侧进行判断的情况,如图5所示,该方法包括: 
步骤501、接收安全执行实体发送的、安全执行实体与用户终端共同支持的安全能力信息。 
例如,BS为安全执行实体,AAA服务器为管理实体,GW为安全传输实体。在MS接入网络后,MS会将其自身的安全能力上报给BS。BS将其自身的安全能力与MS的安全能力取交集,即获取BS和MS都支持的安全能力。然后BS将其自身与MS都支持的安全能力上报给GW,或者BS将其自身与MS都支持的安全能力通过GW上报给AAA。 
当本实施例是在GW侧进行判断的情况时,GW接收到BS上报的安全能力信息;当本实施例是在AAA侧进行判断的情况时,BS将安全能力信息发送给GW,GW再把该安全能力信息发送给AAA。 
步骤502、获取安全关联属性信息,并根据安全执行实体与用户终端共同支持的安全能力以及安全关联属性信息,将包括与安全能力匹配的安全关联参数的业务流属性信息发送给安全执行实体,以使安全执行实体根据安全关联参数获取安全关联。 
AAA服务器中存储有用户签约信息,该用户签约信息中包括用户注册的业务流属性信息,业务流属性信息用于描述业务流的参数。当该业务流需要进行安全保护时,该业务流对应的业务流属性信息中包括有安全关联属性信息;当该业务流不需要安全保护时,该业务流对应的业务流属性信息中就不包括安全关联属性信息。 
当本实施例是在GW侧进行判断的情况时,AAA服务器在对接入网络的用户认证成功后,向GW发送业务流属性信息;当本实施例是在AAA侧进 行判断的情况时,AAA服务器可以直接获取到业务流属性信息中的安全关联属性信息。下面详细描述在GW侧进行判断的情况,在AAA侧进行判断的情况与在GW侧进行判断的情况相类似。 
GW对接收到的业务流属性信息进行判断。若一业务流属性信息中包括有安全关联属性信息,则获知需要对该业务流进行安全保护;若一业务流属性信息中不包括安全关联属性信息,则获知不需要对该业务流进行安全保护。 
当GW获知需要对某个业务流进行安全保护时,GW根据BS与MS都支持的安全能力以及接收到的该业务流属性信息中的安全关联属性信息,获取BS能够选择或创建的一安全关联对应的安全关联参数,然后GW将包括该安全关联参数的业务流属性信息发送给BS,以使BS根据该安全关联参数选择或创建一安全关联,然后BS根据该安全关联可以对该业务流进行安全保护。其中,安全关联属性信息可以包括安全关联类型、安全关联业务类型和加密套件,BS根据选择或创建的安全关联,可以选择对业务流的加密算法和加密类型,以对业务流进行保护。其中,获取安全关联可以包括:BS在自身查找是否存储有符合条件的安全关联,若有,则直接获取,若没有则创建;或者BS直接创建出符合条件的安全关联。 
本实施例的安全关联获取方法,通过业务流属性信息中是否包括安全关联属性信息来判断是否及如何对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体选择或创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图6为本发明安全关联获取方法实施例六的流程图,本实施例是在GW侧或AAA侧进行判断、以BS为安全能力执行主体的情况,与本发明 方法实施例五相对应,如图6所示,该方法包括: 
步骤601、将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实体。 
例如,AAA服务器为管理实体,GW为安全传输实体。BS接收MS上报的MS的安全能力后,BS将其自身的安全能力与MS的安全能力取交集,即获取BS和MS都支持的安全能力。然后BS将其自身与MS都支持的安全能力上报给GW或通过GW上报给AAA。本实施例可以在GW侧进行判断,也可以在AAA侧进行判断,下面详细描述在GW侧进行判断的情况,在AAA侧进行判断的情况与在GW侧进行判断的情况相类似。 
步骤602、接收安全传输实体或管理实体根据安全能力信息和安全关联属性信息、发送的包括与安全能力信息匹配的安全关联参数的业务流属性信息。 
GW对接收到AAA发送的业务流属性信息进行判断。若一业务流属性信息中包括有安全关联属性信息,则获知需要对该业务流进行安全保护;若一业务流属性信息中不包括安全关联属性信息,则获知不需要对该业务流进行安全保护。 
当GW获知需要对某个业务流进行安全保护时,GW根据BS与MS都支持的安全能力以及接收到的该业务流属性信息中的安全关联属性信息,获取BS能够选择或创建的一安全关联对应的安全关联参数,然后GW将包括该安全关联参数的业务流属性信息发送给BS。 
步骤603、根据安全关联参数获取安全关联,以根据安全关联对安全关联属性信息对应的业务流进行安全保护。 
BS根据该安全关联参数选择或创建一安全关联,然后BS根据该安全关联可以对该业务流进行安全保护。其中,安全关联属性信息可以包括安全关联类型、安全关联业务类型和加密套件,BS根据选择或创建的安全关联,可以选择对业务流的加密算法和加密类型,以对业务流进行保护。 
本实施例的安全关联获取方法,通过业务流属性信息中是否包括安全关联属性信息来判断是否对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以选择性的安全保护。 
图7为本发明安全关联获取方法实施例七的流程图,在本发明方法实施例五和方法实施例六的基础上,如图7所示,该方法包括: 
步骤701、将与用户终端共同支持的安全能力信息发送给安全传输实体。 
例如,BS为安全执行实体,AAA服务器为管理实体,GW为安全传输实体。BS将其自身与MS都支持的安全能力上报给GW。 
步骤702、接收安全执行实体与用户终端共同支持的安全能力信息;并接收管理实体根据用户签约信息发送的业务流属性信息。 
GW接收到BS发送的BS与MS都支持的安全能力;并且接收到AAA发送的业务流属性信息。AAA在MS认证成功后,会向GW发送认证成功消息,在该认证成功消息中,包括该用户签约的业务流属性信息。 
步骤703、判断业务流属性信息中是否包括安全关联属性信息,若业务流属性信息不包括安全关联属性信息,执行步骤704,若业务流属性信息中包括安全关联属性信息,执行步骤705。 
GW对接收到的业务流属性信息进行判断,若该业务流属性信息中包括有安全关联属性信息,则需要BS对该业务流属性信息对应的业务流进行安全保护,若该业务流属性信息中没有包括安全关联属性信息,则无需BS对该业务流属性信息对应的业务流进行安全保护。 
步骤704、若判断该业务流属性信息对应的业务流为非安全业务,则不对该业务流进行安全保护;结束。 
步骤705、判断安全执行实体与用户终端共同支持的安全能力是否支持安全关联属性信息,是则执行步骤706,否则执行步骤707。 
其中关于安全关联属性信息的描述可以参见本发明方法实施例一到四中的描述,在此不再赘述。 
步骤706、将包括安全关联类型、安全关联业务类型和加密套件的业务流属性信息发送给安全执行实体;然后执行步骤710。 
GW将安全关联类型、安全关联业务类型和加密套件通过业务流属性信息发送给BS,以使BS根据该安全关联类型、安全关联业务类型和加密套件获取第一安全关联。 
步骤707、判断推荐等级参数的类型,若推荐等级参数为第一推荐等级参数,则执行步骤708,若推荐等级参数为第二推荐等级参数,则执行步骤709。 
步骤708、安全传输实体拒绝创建安全关联,结束。 
GW拒绝创建安全关联,即GW拒绝向BS发送安全关联信息。若GW判断出推荐等级参数为第一推荐等级参数,即该业务流的加密推荐等级为高,而BS和MS的安全能力又无法支持创建该安全关联,则GW拒绝创建安全关联。该业务流的安全保护可以通过指示终端接入到其他BS网络来完成。 
步骤709、将根据匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件发送给安全执行实体。 
匹配优先级参数定义了安全关联类型、安全关联业务类型和加密套件这三个参数的优先级,对于不同类型的业务流,这三个参数的优先级可能不同。若GW判断出推荐等级参数为第二推荐等级参数,即该业务流的安全推荐等级为低,则在BS和MS的安全能力无法支持创建该安全关联时,GW根据匹配优先级参数选取安全关联类型、安全关联业务类型和加密套件,并将选取后的结果发送给BS;具体选取的过程可以为:GW根据匹配优先级参数,选取安全关联类型、安全关联业务类型和加密套件这三个参数中优先级最高的 一个,然后判断BS与MS共同的安全能力能否支持该参数;若支持,则将该参数发送给BS,若不支持,则选取与该参数最接近的参数发送给BS。具体过程可以参见方法实施例二中的相关描述。 
步骤710、根据安全关联参数获取安全关联,以根据安全关联对安全关联属性信息对应的业务流进行安全保护。 
BS根据GW发送的安全关联参数选择或创建安全关联;步骤706中GW发送的安全关联参数是安全关联类型、安全关联业务类型和加密套件;步骤709中GW发送的安全关联参数可以是安全关联类型、安全关联业务类型和加密套件中的任意一个。BS根据步骤706中GW发送的安全关联参数获取第一安全关联,根据步骤709中GW发送的安全关联参数获取第二安全关联;然后BS根据创建的安全关联对相应的业务流进行安全保护。 
本发明实施例中选择或创建的安全关联可以对应不同的安全级别,由此可以实现对不同类型的业务实现不同级别的安全保护,例如:对于一些需要高保密性的业务流,可以使用安全级别高的安全关联属性信息以建立安全级别高的安全关联。 
需要说明的是,推荐等级参数可以分为多种级别,以表示对该业务流进行安全保护的不同程度的要求。最高等级的推荐等级参数可以表示:一定要完全依照安全关联属性信息进行安全关联的创建;最低等级的推荐等级参数可以表示:安全执行实体可以根据安全执行实体和对端通讯实体共同支持的安全能力情况直接选择或创建安全关联,而不用根据安全关联属性信息的指示;介于最高和最低等级之间的推荐等级参数,可以结合匹配优先级参数来选择或创建最接近安全关联,例如:某个介于最高和最低等级之间的推荐等级参数可以表示,当优先级最高的一个参数被BS与MS共同的安全能力支持时,根据该参数创建第二安全关联,否则拒绝创建安全关联。 
可选的,GW对BS与MS之间传输的业务流进行计费时,可以根据对业务流进行安全保护的级别高低进行不同的计费,例如:GW根据发送给安全 执行实体的安全关联参数对应的安全级别,对安全关联对应的业务流进行计费。 
BS选择或创建的每个安全关联,都对应有安全级别,对于不同的安全级别可以执行不同的计费标准。当BS没有对业务流进行安全保护时,也对应一种计费标准。 
GW根据发送给BS的安全关联参数对应的安全级别,对相应的业务流进行计费,以实现根据保密性的高低对业务流执行不同的计费。 
本实施例可以应用在GW上判断的情况,也可以应用在AAA上判断的情况,上述具体描述时应用在GW上判断的情况。若本实施例应用在AAA上判断的情况时,BS将安全能力通过GW上报给AAA,AAA根据BS与用户终端共同支持的安全能力以及安全关联属性信息,将包括与安全能力匹配的安全关联参数的业务流属性信息,通过GW发送给BS,以使BS根据安全关联参数获取安全关联。具体流程在此不再赘述。 
本实施例的安全关联获取方法,除了具有方法实施例五和实施例六的有益效果之外,还能根据安全属性信息建立具有不同安全级别的安全关联,实现了针对不同安全级别的业务流可以进行不同安全级别的安全保护,并根据不同安全级别的安全保护对业务流进行计费。 
图8为本发明安全关联获取方法实施例八的信令图,在本发明方法实施例五至方法实施例七的基础上,如图8所示,该方法包括: 
步骤801、BS接收MS通过NetEntry流程中上报的安全能力,并将BS与MS的安全能力取交集,获得空口最终能支持的安全能力。 
本实施例是应用在GW上判断的情况。在初始入网过程中,MS将自身安全能力上报给BS。 
步骤802、BS将空口最终能支持的安全能力通过Pre_Attchment_Req消息上报给GW。 
BS与GW之间通过Pre_Attchment_Req、Pre_Attchment_Rsp和 Pre_Attchment_Ack消息的交互,将空口支持的安全能力上报给GW。 
步骤803、当MS在AAA认证成功后,AAA给GW发送Access-Acept消息,表示认证成功,其中携带AAA配置的业务流属性信息。 
步骤804、GW对接收到的业务流属性信息进行判断,若其中包括有安全关联属性信息,则根据空口支持的安全能力判断进行以下哪种操作:向BS发送安全关联参数或者拒绝创建安全关联。当判断出需要向BS发送安全关联参数时,执行步骤805。 
具体的GW根据空口支持的安全能力和安全关联属性信息选取安全关联参数的过程参见本发明方法实施例五至方法实施例七中的描述,在此不再赘述。 
步骤805、GW通过发送Path_Reg_Req消息,向BS发起建立数据通讯链路的请求;Path_Reg_Req消息中包括安全关联参数。 
步骤806、BS接收到GW发送的建立请求后,通过Path_Reg_Rsp消息对该请求进行响应。 
步骤807、GW通过向BS发送Path_Reg_Ack消息来对数据通讯链路的建立进行确认。 
步骤808、BS根据安全关联参数获取安全关联,并根据该安全关联对相应的业务流进行安全保护。 
可选的,GW对BS与MS之间传输的业务流进行计费时,根据发送的安全关联参数对应的安全级别对该业务流进行计费,并将计费信息通过Accounting_Start消息发送给AAA。 
本实施例的安全关联获取方法,除了具有方法实施例五和实施例六的有益效果之外,还能根据安全属性信息建立具有不同安全级别的安全关联,实现了针对不同安全级别的业务流可以进行不同安全级别的安全保护,并根据不同安全级别的安全保护对业务流进行计费。 
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。 
图9为本发明安全执行实体实施例一的结构图,如图9所示,该安全执行实体包括:第一接收模块91和第一获取模块93。 
第一接收模块91用于接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息。第一获取模块93用于根据与用户终端共同支持的安全能力以及安全关联属性信息,获取安全关联,以根据获取的安全关联对安全关联属性信息对应的业务流进行安全保护。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至方法实施例四中的描述,在此不再赘述。 
本实施例的安全执行实体,通过业务流属性信息中是否包括安全关联属性信息来判断是否对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,获取与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图10为本发明安全执行实体实施例二的结构图,在安全执行实体实施例一的基础上,如图10所示,还包括:计费发送模块95;第一获取模块93包括:第一执行单元931和第二执行单元933;并且第一获取模块93还可以包括选取单元937和/或创建单元939。 
第一执行单元931用于若所与用户终端共同支持的安全能力支持安全关联属性信息,则根据安全关联类型、安全关联业务类型和加密套件获取第一安全关联。第二执行单元933用于若与用户终端共同支持的安全能力不支持安全关联属性信息,且推荐等级参数为第二推荐等级参数,则根据通过匹配 优先级参数选取的安全关联类型、安全关联业务类型和加密套件,获取第二安全关联。安全关联属性信息推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。 
选取单元937用于从安全执行实体存储的至少一个安全关联中选择与与用户终端共同支持的安全能力以及安全关联属性信息对应的安全关联。创建单元939用于根据与用户终端共同支持的安全能力以及安全关联属性信息,创建安全关联。 
计费发送模块95用于将安全关联对应的安全级别发送给安全传输实体,以使安全传输实体根据安全级别对安全关联对应的业务流进行计费。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至方法实施例四中的描述,在此不再赘述。 
本实施例的安全执行实体,通过业务流属性信息中是否包括安全关联属性信息来判断是否及如何对该业务流进行保护,若业务流属性信息中包括安全关联属性信息,则安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图11为本发明安全关联获取装置实施例一的结构图,如图11所示,该安全关联获取装置包括:第二接收模块1101和第二发送模块1105。 
第二接收模块1101用于接收安全执行实体发送的、安全执行实体与用户终端共同支持的安全能力信息。第二发送模块1105用于获取安全关联属性信息,并根据安全执行实体与用户终端共同支持的安全能力以及安全关联属性信息,将包括与安全能力匹配的安全关联参数的业务流属性信息发送给安全执行实体,以使安全执行实体根据安全关联参数获取安全关联。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述,在此不再赘述。 
本实施例的安全传输实体,通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图12为本发明安全关联获取装置实施例二的结构图,在本发明安全传输实体实施例一的基础上,如图12所示,该关联获取装置的第二发送模块1105包括:第三执行单元1151和第四执行单元1153。 
第三执行单元1151用于若安全执行实体与用户终端共同支持的安全能力支持安全关联属性信息,则将包括安全关联类型、安全关联业务类型和加密套件的业务流属性信息发送给安全执行实体。第四执行单元1153用于若安全执行实体与用户终端共同支持的安全能力不支持安全关联属性信息,且推荐等级参数为第二推荐等级参数,则将根据匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件发送给安全执行实体。安全关联属性信息包括但不局限于推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。 
本实施例中的安全关联获取装置可以是安全传输实体,也可以是管理实体。本实施例中各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述,在此不再赘述。 
本实施例的安全关联获取装置,通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体创建与业务流对应的安全关联, 通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
图13为本发明安全执行实体实施例三的结构图,如图13所示,该安全执行实体包括:第三发送模块1301、第三接收模块1303和第二获取模块1305。 
第三发送模块1301用于将与用户终端共同支持的安全能力信息发送给关联获取装置;安全关联获取装置为安全传输实体或管理实体。第三接收模块1303用于接收安全关联获取装置根据安全能力信息和安全关联属性信息、发送的包括与安全能力信息匹配的安全关联参数的业务流属性信息。第二获取模块1305用于根据安全关联参数获取安全关联,以根据安全关联对安全关联属性信息对应的业务流进行安全保护。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述,在此不再赘述。 
本实施例的安全执行实体,通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
本发明实施例还提供了安全关联获取系统实施例一,该系统可以包括:安全传输实体、管理实体和如图9或图10所示实施例中的安全执行实体。 
其中,管理实体包括:获取模块和第一发送模块。 
获取模块用于根据接收到的用户或用户终端的身份标识,获取与用户或用户终端对应的包括业务流属性信息的用户签约信息。第一发送模块用于将业务流属性信息发送给安全传输实体。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至 方法实施例四中的描述,在此不再赘述。 
本实施例的安全关联获取系统,安全执行实体通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全执行实体根据该安全关联属性信息,以及该安全执行实体与用户终端共同支持的安全能力,创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
本发明实施例还提供了安全关联获取系统实施例二,该系统可以包括:如图11或图12所示实施例中的安全关联获取装置以及如图13所示实施例中的安全执行实体。 
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述,在此不再赘述。 
本实施例的安全关联获取系统,安全传输实体通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护,若业务流属性信息中包括安全关联属性信息,则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力,将与安全能力匹配的安全关联参数发送给安全执行实体,以使安全执行实体创建与业务流对应的安全关联,通过该安全关联对业务流进行安全保护,实现了针对不同类型的业务流可以进行选择性的安全保护。 
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。 

Claims (18)

1.一种安全关联获取方法,其特征在于,包括:
安全执行实体接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息;
所述安全执行实体根据与用户终端共同支持的安全能力以及所述安全关联属性信息,获取安全关联,以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
2.根据权利要求1所述的安全关联获取方法,其特征在于,所述安全关联属性信息包括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
3.根据权利要求2所述的安全关联获取方法,其特征在于,所述根据与用户终端共同支持的安全能力以及所述安全关联属性信息,获取安全关联包括:
若所述与用户终端共同支持的安全能力支持所述安全关联属性信息,则根据所述安全关联类型、所述安全关联业务类型和所述加密套件获取第一安全关联;
若所述与用户终端共同支持的安全能力不支持所述安全关联属性信息,且所述推荐等级参数为第二推荐等级参数,则根据通过所述匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件,获取第二安全关联。
4.根据权利要求1-3任一所述的安全关联获取方法,其特征在于,还包括:
所述安全执行实体将所述安全关联对应的安全级别发送给所述安全传输实体,以使所述安全传输实体根据所述安全级别对所述安全关联对应的业务流进行计费。
5.根据权利要求1-3任一所述的安全关联获取方法,其特征在于,所述接收管理实体通过安全传输实体发送的业务流属性信息之前还包括:
所述管理实体根据接收到的用户终端的身份标识,获取与所述用户终端对应的包括所述业务流属性信息的用户签约信息。
6.根据权利要求1所述的安全关联获取方法,其特征在于,所述获取安全关联包括:
从安全执行实体存储的至少一个安全关联中选择与所述与用户终端共同支持的安全能力以及所述安全关联属性信息对应的所述安全关联;或者根据与用户终端共同支持的安全能力以及所述安全关联属性信息,创建所述安全关联。
7.一种安全关联获取方法,其特征在于,包括:
管理实体或安全传输实体接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信息;
所述管理实体或安全传输实体获取安全关联属性信息,并根据所述安全执行实体与用户终端共同支持的安全能力以及所述安全关联属性信息,将包括与所述安全能力匹配的安全关联参数的业务流属性信息发送给所述安全执行实体,以使所述安全执行实体根据所述安全关联参数获取安全关联。
8.根据权利要求7所述的安全关联获取方法,其特征在于,所述安全关联属性信息包括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
9.根据权利要求8所述的安全关联获取方法,其特征在于,所述根据所述安全执行实体与用户终端共同支持的安全能力以及获取的安全关联属性信息,将包括与所述安全能力匹配的安全关联参数的业务流属性信息发送给所述安全执行实体包括:
若所述安全执行实体与用户终端共同支持的安全能力支持所述安全关联属性信息,则将包括所述安全关联类型、所述安全关联业务类型和所述加密套件的业务流属性信息发送给所述安全执行实体;
若所述安全执行实体与用户终端共同支持的安全能力不支持所述安全关联属性信息,且所述推荐等级参数为第二推荐等级参数,则将根据所述匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件发送给所述安全执行实体。
10.一种安全关联获取方法,其特征在于,包括:
安全执行实体将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实体;
所述安全执行实体接收所述安全传输实体或管理实体根据所述安全能力信息和安全关联属性信息、发送的包括与所述安全能力信息匹配的安全关联参数的业务流属性信息;
所述安全执行实体根据所述安全关联参数获取安全关联,以根据所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
11.一种安全执行实体,其特征在于,包括:
第一接收模块,用于接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息;
第一获取模块,用于根据与用户终端共同支持的安全能力以及所述安全关联属性信息,获取安全关联,以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
12.根据权利要求11所述的安全执行实体,其特征在于,所述安全关联属性信息包括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
13.根据权利要求12所述的安全执行实体,其特征在于,所述第一获取模块包括:
第一执行单元,用于若所述与用户终端共同支持的安全能力支持所述安全关联属性信息,则根据所述安全关联类型、所述安全关联业务类型和所述加密套件获取第一安全关联;
第二执行单元,用于若所述与用户终端共同支持的安全能力不支持所述安全关联属性信息,且所述推荐等级参数为第二推荐等级参数,则根据通过所述匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件,获取第二安全关联。
14.根据权利要求11-13任一所述的安全执行实体,其特征在于,还包括:
计费发送模块,用于将所述安全关联对应的安全级别发送给所述安全传输实体,以使所述安全传输实体根据所述安全级别对所述安全关联对应的业务流进行计费。
15.根据权利要求11所述的安全执行实体,其特征在于,所述第一获取模块还包括:
选取单元,用于从安全执行实体存储的至少一个安全关联中选择与所述与用户终端共同支持的安全能力以及所述安全关联属性信息对应的所述安全关联;和/或
创建单元,用于根据与用户终端共同支持的安全能力以及所述安全关联属性信息,创建所述安全关联。
16.一种安全关联获取装置,其特征在于,包括:
第二接收模块,用于接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信息;
第二发送模块,用于获取安全关联属性信息,并根据所述安全执行实体与用户终端共同支持的安全能力以及所述安全关联属性信息,将包括与所述安全能力匹配的安全关联参数的业务流属性信息发送给所述安全执行实体,以使所述安全执行实体根据所述安全关联参数获取安全关联。
17.根据权利要求16所述的安全关联获取装置,其特征在于,所述安全关联属性信息包括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
18.根据权利要求17所述的安全关联获取装置,其特征在于,所述第二发送模块包括:
第三执行单元,用于若所述安全执行实体与用户终端共同支持的安全能力支持所述安全关联属性信息,则将包括所述安全关联类型、所述安全关联业务类型和所述加密套件的业务流属性信息发送给所述安全执行实体;
第四执行单元,用于若所述安全执行实体与用户终端共同支持的安全能力不支持所述安全关联属性信息,且所述推荐等级参数为第二推荐等级参数,则将根据所述匹配优先级参数选取的安全关联类型、所述安全关联业务类型和所述加密套件发送给所述安全执行实体。
CN 201010104790 2010-01-29 2010-01-29 安全关联获取方法及装置 Active CN101790162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010104790 CN101790162B (zh) 2010-01-29 2010-01-29 安全关联获取方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010104790 CN101790162B (zh) 2010-01-29 2010-01-29 安全关联获取方法及装置

Publications (2)

Publication Number Publication Date
CN101790162A CN101790162A (zh) 2010-07-28
CN101790162B true CN101790162B (zh) 2013-01-02

Family

ID=42533160

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010104790 Active CN101790162B (zh) 2010-01-29 2010-01-29 安全关联获取方法及装置

Country Status (1)

Country Link
CN (1) CN101790162B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2609721A4 (en) * 2010-08-25 2014-04-30 Ericsson Telefon Ab L M METHOD AND ARRANGEMENTS FOR SECURE COMMUNICATION VIA AN IP NETWORK
CN105227569B (zh) * 2015-10-16 2019-02-12 百度在线网络技术(北京)有限公司 应用的数据包传输方法及装置
JP6859406B2 (ja) * 2019-09-05 2021-04-14 京セラ株式会社 通信機器、制御方法、及びプログラム
CN117858072A (zh) * 2022-09-30 2024-04-09 维沃移动通信有限公司 信息传输方法、装置及设备
CN118354305A (zh) * 2023-01-13 2024-07-16 中国移动通信有限公司研究院 5g空口用户面安全保护方法、装置及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101091371A (zh) * 2005-01-07 2007-12-19 阿尔卡特朗讯公司 提供移动节点之间路由优化安全会话连续性的方法和装置
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
CN101488847A (zh) * 2008-01-18 2009-07-22 华为技术有限公司 一种数据加密的方法、装置和系统
CN101529794A (zh) * 2006-09-07 2009-09-09 摩托罗拉公司 用于在ad hoc无线网络的节点之间建立安全关联的方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101091371A (zh) * 2005-01-07 2007-12-19 阿尔卡特朗讯公司 提供移动节点之间路由优化安全会话连续性的方法和装置
CN101529794A (zh) * 2006-09-07 2009-09-09 摩托罗拉公司 用于在ad hoc无线网络的节点之间建立安全关联的方法和装置
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
CN101488847A (zh) * 2008-01-18 2009-07-22 华为技术有限公司 一种数据加密的方法、装置和系统

Also Published As

Publication number Publication date
CN101790162A (zh) 2010-07-28

Similar Documents

Publication Publication Date Title
CN103596173B (zh) 无线网络认证方法、客户端及服务端无线网络认证装置
CN109995513B (zh) 一种低延迟的量子密钥移动服务方法
CN101406021B (zh) 基于sim的认证
KR101270342B1 (ko) 키 요소의 교환
CN101401465B (zh) 用于在移动网络中进行递归认证的方法和系统
CN105553951A (zh) 数据传输方法和装置
CN100579010C (zh) 密钥生成及传输方法和系统
CN101790162B (zh) 安全关联获取方法及装置
CN101926188A (zh) 对通信终端的安全策略分发
CN104486759A (zh) 一种无障碍接入无线网络的方法
CN101287277B (zh) 一种为无线个域网中的用户终端提供业务的方法及系统
CN103533539A (zh) 虚拟sim卡参数管理方法及装置
CN108234443A (zh) 签约方法、系统及计算机可读存储介质
CN101917272A (zh) 一种邻居用户终端间保密通信方法及系统
CN109714170B (zh) 一种联盟链中数据隔离方法及相应的联盟链系统
CN1298620A (zh) Atm移动终端以及无线atm无线通信网的atm接入节点之间保密通信的鉴权方法及鉴权设备
CN111342952B (zh) 一种安全高效的量子密钥服务方法与系统
US20220104013A1 (en) Ensuring secure attachment in size constrained authentication protocols
CN103096303A (zh) 传输数据包的方法及设备
CN105007163A (zh) 预共享密钥的发送、获取方法及发送、获取装置
CN104796399A (zh) 一种数据加密传输的密钥协商方法
CN103763697B (zh) 一种无线接入点多密钥支持系统及方法
US7933597B2 (en) Method of registering a network, and mobile station and communication system using the same
CN109862027A (zh) 数据发送方法、数据接收方法及设备、数据传输系统
CN117240486A (zh) 一种认证方法和通信装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant