WO2013020409A1

WO2013020409A1 - 安全按需供给方法及系统、业务类型获取方法

Info

Publication number: WO2013020409A1
Application number: PCT/CN2012/076294
Authority: WO
Inventors: 陈剑勇; 陈小华; 林兆骥
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-08-08
Filing date: 2012-05-30
Publication date: 2013-02-14
Also published as: EP2731312A4; US9356967B2; EP2731312A1; EP2731312B1; CN102932382A; CN102932382B; US20140196113A1

Abstract

本发明公开了一种安全按需供给方法，包括：根据用户为请求业务设置的安全等级，和/或，用户终端所处的应用场景，和/或，业务类型，确定安全功能模块的配置参数，利用所述配置参数配置安全功能模块，实施对所述用户的业务数据的安全保护。本发明还公开了用于对特定用户和/或业务进行安全保护的业务类型获取方法，利用QoS功能模块对业务类型的分类功能，获取数据的业务标识，从而对特定用户和/或业务进行安全保护。本发明同时公开了一种安全按需供给的系统、业务类型获取方法。本发明可根据不同用户对不同业务的安全需求，提供差异化的业务安全保障。本发明的系统满足了各种用户以及各种业务的安全需求，向用户提供了个性化的安全保障，提升了用户体验效果。

Description

安全按需供给方法及系统、业务类型获取方法技术领域

本发明涉及信息安全技术，尤其涉及一种安全按需供给方法及系统、业务类型获取方法。背景技术

最近几年云计算迅速发展，从早期的理论阶段逐渐转化成产品并投放市场，技术日益成熟。无论是互联网厂商和运营商，还是通信厂商和基础网络运营商，都对云计算表现出极大的关注。狭义的云计算是指互联网技术（IT, Internet Technology )基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源；广义的云计算是指服务的交付和使用模式。这种服务的形式是基于拥有超强计算能力的数据中心，通过它提供的计算能力，从而运行各种定制的服务，并通过互联网提供给用户。云计算服务与普通的网络服务的主要区别在于，具有动态扩展特性以及广泛应用了虚拟化技术。

云计算具有超大规模、虚拟化、安全可靠等优点。对于网络运营商而言，由于云计算使用动态资源分配和扩展技术，将大大降低运营成本和操作维护成本；在云计算环境下，一切资源都是可以运营的，都可以作为服务提供的，资源包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。对于用户而言，云计算使得随时、随地消费服务成为可能，用户可以不需要大量投资而获得运营业务所需的 IT资源，完全可以根据自己的需求来租用 IT资源，就如水、电和煤气一样，按需获取和计费。

云计算一般有三种主要的服务模式，基础设施即服务（ IaaS , Infrastructure as a Service )、平台月良务 ( PaaS, Platform as a Service )和软件即服务（SaaS, Software as a Service )₀ 而根据服务的部署模式，又可以分为私有云、公有云和混合云。

目前，云计算正成为下一个提供商的服务热点，它提倡的是按需供给、动态收费、易于扩展和节能的动态调节技术。云计算将实现针对不同的服务人群、不同的业务类型，提供相应的服务，将庞大的计算负荷移植到云端，真正实现服务按需供给。

在云计算平台上，数据的安全性是用户最为关心的。因此，云计算平台上的各种安全保护措施显得非常重要。安全可以归为云计算平台上的一种资源，对用户和云平台上业务的安全需求按需供给，因此安全按需供给是云计算平台安全解决方案的重要特征，其必要性主要体现在以下方面：

( 1 )业务日益丰富导致安全需求的多样性

云计算主张将大规模的计算任务负载放在云端运行，而客户终端可以通过轻量级的应用（例如 web应用）来获取相应的数据。而随着 IT技术的进步和应用需求的扩展，以及计算量的不断增加，建立在云端的业务将会趋向多样化，为了使资源能够更加充分地得到利用，建立按需供给安全机制将是必要的。

一方面，不同的业务有不同的安全需求，采用单一的安全机制无法适应业务多样化的需求。另一方面，同一业务，在不同场合以及面向不同使用者，其业务的安全需求也可能不同。比如多媒体视频业务，当用于视频点播时，只需要低等级的安全保障服务。而当用于商业目的视频会议，若传输的信息资产价值比较高，则需要高等级的安全保障服务。因此，从业务需求的角度上分析，云计算服务需要从技术上提供机制，让具体的业务可以选择合适等级和技术的安全保障，而选择权既可以是终端，也可以是云端服务器，还可以是双方平等协商。 ( 2 ) 只有分级的安全服务，才能有效地利用资源

对于传统的应用服务而言，服务的方式是利用公司的 IT基础设施或者部署在其上的应用对外提供服务。这就无法充分地利用闲置的资源，并且要求这种服务形式的设施要高于服务峰值，否则会造成业务流失甚至系统瘫痪。而传统安全解决方案也要求安全机制需要满足系统内部最高级别业务的安全。

另一方面，不同公司的业务需要不同的安全服务。例如网上支付服务的安全认证技术就比语音聊天要严格得多；尽管业务一样，由于公司策略重点不一样，对安全需求也都有不同的部署。同样的网络存储服务，有些服务商侧重数据完整性，有的侧重数据保密性，有的侧重传输速度。

当服务商将业务搬到云计算平台上时，这种安全需求的差异性就限制了业务的部署。如果统一应用高级的安全服务（例如全都使用数字签名加密内容），就将严重地制约计算资源的合理使用。对信息价值不大的业务使用高级安全意味着浪费大量计算资源。从这个意义上讲，有必要根据信息资产价值的大小，适当分级处理。对于高安全需求的通信，采用较高级别的保障力度。对于低安全需求的通信，采用低级别的安全保障，从而能够建立资源有偿使用机制，有效利用资源。这也恰好体现了云计算平台的按需供给服务的优势。

( 3 ) 不同应用场景造成安全风险不同，所需安全强度不一样。

不同应用场景下使用业务，所面临的风险也可能有很大不同。对于低风险的应用场景，如在办公场所通过局域网接入云计算平台，只需要较低强度的安全算法和协议保护业务数据，就可以实现较高的安全等级。然而相同业务一旦接入场景从办公场所转移到开放网络，如通过无线 WiFi接入时，系统需要调用更强的安全算法和协议才能达到和办公场所相同安全等级的要求。 ( 4 )针对用户的简单、高效的安全服务

安全服务内涵丰富，包括基础设施安全服务：加密、认证、抗抵赖、完整性保护等；服务安全服务：在线杀毒、入侵检测、安全预警、内容监控等。因此需要简单的管理手段帮助用户集成必要的安全配置，为用户提供一站式的安全服务。除了防止信息被非法获取外，还需要防范更广泛的安全威胁，如病毒的攻击、木马程序对信息的非法收集、用户欺骗等威胁，因此安全解决方案将越来越复杂。然而用户需要简单有效地从事用各种业务，因此需要把复杂的安全服务以及相应的安全配置，尽量在网络中解决，从而确保用户在没有安全专业知识的情况下，能够享受到安全的各种业务。

由此可见，对于不同的业务类型，用户所需要的安全等级会有所不同。同一业务类型，不同用户所要求的安全等级也会有所不同。而不同应用场景造成的安全风险也不同，在同一安全等级下，其所需要的安全算法强度也会不同。因此，云计算安全解决方案有必要采用按需供给的技术，根据不同用户、不同业务类型和不同应用场景，采取相应的安全策略，对特定业务和用户提供安全、合理、可靠的保护。在满足用户安全需求的前提下，最大限度节约云平台资源。目前，安全按需供给的思想还仅停留在理论阶段，尚未有可供参考的技术方案。发明内容

有鉴于此，本发明的主要目的在于提供一种云平台中安全按需供给方法及系统、业务类型获取方法，能根据用户的安全需求对用户请求的业务进行安全保护。

为达到上述目的，本发明的技术方案是这样实现的：

一种安全按需供给方法，包括：

根据用户为请求业务设置的安全等级，和 /或，用户终端所处的应用场景，和 /或，业务类型，确定安全功能模块的配置参数，根据所述配置参数配置安全功能模块，利用所述安全功能模块对所述用户的业务数据进行安全保护。

优选地，所述确定安全功能模块的配置参数为：

利用安全等级和 /或用户终端所处的应用场景和 /或业务类型进行安全策略匹配而获取所述安全功能模块的配置参数；

或者，根据安全等级和 /或用户终端所处的应用场景和 /或业务类型，利用预设的算法计算出所述安全功能模块的配置参数；

或者，利用安全等级和 /或用户终端所处的应用场景和 /或业务类型进行安全策略匹配获取所述安全功能模块的配置参数，以及利用预设的算法计算所述安全功能模块的配置参数，对两种方式得到的所述安全功能模块的配置参数进行合并，确定出最终的所述安全功能模块的配置参数。

优选地，所述利用所述安全功能模块对所述用户的业务数据进行安全保护为：

获取与用户标识和 /或业务标识匹配的业务数据包，根据所述安全配置参数对所获取的业务数据包实施安全保护。

优选地，所述业务类型标识获取方式为：

通过携带有业务类型标识的数据包获取所设置的业务类型标识；或者，通过服务质量（QoS , Quality of Service )功能模块获取对所述业务进行 QoS保护时设置的类型标识。

优选地，所述安全等级由所述用户对所属业务信息的安全要求或所述用户根据所述业务信息的资产价值而设置；

所述应用场景为所述用户终端所处的位置和接入网类型，所述接入网类型包括但不限于以下类型：

局域网、无线局域网，以及全球通信系统（ GSM, Global System of Mobile communication ), 码分多址 ( CDMA, Code Division Multiple Access ) 网、长期演进（ LTE, Long Term Evolution ) 系统的无线移动网；

所述业务类型包括但不限于实时性业务和非实时性业务；

所述安全功能模块包括但不限于以下一个或多个功能：

机密性、完整性、认证、流量清洗。

一种业务类型获取方法，安全功能模块获取对业务进行 QoS保护时为业务设置的业务类型标识，对该业务和 /或对用户进行安全保护。

优选地，所述业务类型标识获取途径为：

通过附带有业务类型标识的数据包获取所设置的业务类型标识；或者，接收相关 QoS功能模块通知的所述业务类型标识。

优选地，所述对该业务和 /或对用户进行安全保护为：

一种安全按需供给的系统，包括安全策略参数收集单元、安全策略单元和安全执行单元，其中：

安全策略参数收集单元，设置为收集用户设定的安全等级参数，和 /或获取用户所请求业务的业务类型参数，和 /或获取用户使用该业务时所处的应用场景参数，并将收集到的参数发送给安全策略单元；

安全策略单元，设置为根据安全等级和 /或用户终端所处的应用场景和 / 或业务类型确定安全功能模块的配置参数，并将确定的安全功能模块的配置参数发送到安全执行单元；

安全执行单元，根据所接收到的安全功能模块的配置参数，配置安全功能模块，对用户的业务数据进行安全保护。

优选地，所述安全策略单元还设置为，

通过预先设定的安全策略规则，将所接收到的参数映射到最佳匹配的安全策略规则，并获取安全功能模块的配置参数；或通过预设的算法模型，根据输入的参数计算出安全功能模块的配置参数；或对上述两种方式得到的安全功能模块的配置参数进行合并，确定出最终的安全功能模块的配置参数。

优选地，所系统还包括：

QoS单元，设置为为业务设置业务类型标识，根据用户标识和 /或业务类型对业务数据实施个性化的 QoS优先级保护；

所述安全执行单元还设置为 ,从所述 QoS单元获取所述业务类型标识，或者，所述 QoS单元还设置为，向所述安全执行单元发送所述业务类型标识。

优选地，所述安全执行单元还设置为，

获取与用户标识和 /或业务标识匹配的业务数据包，根据所述安全配置参数对所获取的业务数据包实施安全保护；其中，所述业务数据包携带有用户标识和 /或业务标识。

所述应用场景为所述用户终端所处的位置和接入网类型，所述接入网类型包括但不限于：

局域网、无线局域网，以及全球通信系统 GSM、码分多址 CDMA网、长期演进 LTE系统的无线移动网；

所述业务类型包括但不限于实时性业务、非实时性业务；

所述安全功能模块包括但不限于以下一个或多个功能：

机密性、完整性、认证、流量清洗。

本发明中，根据用户设置的安全等级，和 /或，用户终端所处的应用场景，和 /或，业务类型，确定出针对用户请求业务的安全功能模块的配置参数，利用所述配置参数配置安全功能模块，实施对所述用户的业务数据的安全保护。这样，可根据不同用户对不同业务的安全需求，提供差异化的业务安全保障。本发明的云平台满足了各种用户以及各种业务的安全需求，向用户提供了个性化的安全保障，提升了用户体验效果。附图说明

图 1为本发明实施例的安全按需供给的系统的组成结构示意图；图 2为本发明实施例的安全按需供给的系统的另一种组成结构示意图；图 3为本发明实施例中的安全按需供给示意图；

图 4为安全功能模块获取业务标识和用户标识的示意图；

图 5为本发明实施例中基于 Diffserv协议和加密的安全按需供给结构示意图；

图 6为本发明实施例的安全按需供给方法流程图。具体实施方式

本发明的基本思想为：通过从业务类型中提取业务标识，结合应用场景，用户对安全等级的设置，作为安全策略的输入参数，由安全策略推导出安全参数，作用于安全算法和协议，从而对业务数据进行按需供给安全保护。

为使本发明的目的、技术方案和优点更加清楚明白，以下举实施例并参照附图，对本发明进一步详细说明。

图 1为本发明实施例的安全按需供给的系统的组成结构示意图，如图 1 所示，本发明的安全按需供给的系统，包括安全策略参数收集单元 10、安全策略单元 11和安全执行单元 12, 其中：

安全策略参数收集单元 10, 设置为收集用户设定的安全等级参数，和 / 或获取用户所请求业务的业务类型参数，和 /或获取用户使用该业务时所处的应用场景参数，并将收集到的参数发送给安全策略单元；安全策略单元 11 , 设置为根据安全等级和 /或用户终端所处的应用场景和 /或业务类型确定安全功能模块的配置参数，并将确定的安全功能模块的配置参数发送到安全执行单元；

安全执行单元 12, 根据所接收到的安全功能模块的配置参数，配置安全算法和协议，对用户的业务数据进行安全保护。

上述安全策略单元 11还设置为，通过预先设定的安全策略规则，将所接收到的参数映射到最佳匹配的安全策略规则，并获取安全功能模块的配置参数；或通过预设的算法模型，根据输入的参数计算出安全功能模块的配置参数；或对上述两种方式得到的安全功能模块的配置参数进行合并，确定出最终的安全功能模块的配置参数。

图 2 为本发明实施例的安全按需供给的系统的另一种组成结构示意图，如图 2所示，在图 1所示所安全按需供给的系统的基础上，本发明的系统还包括：

QoS单元 13, 设置为为业务设置业务类型标识，根据用户标识和 /或业务类型对业务数据实施个性化的 QoS优先级保护；

上述安全执行单元 12还设置为 ,从所述 QoS单元获取所述业务类型标识，或者，上述 QoS单元 13还设置为，向所述安全执行单元发送所述业务类型标识。

以下说明图 1或图 2示出的结构中各处理单元的其他功用。

上述安全执行单元 12还设置为，

获取与用户标识和 /或业务标识匹配的业务数据包，根据所述安全配置参数对所获取的业务数据包实施安全保护；其中，所述业务数据包利用配置后的协议生成。

其中，所述安全等级由所述用户对所属业务信息的安全要求或所述用户根据所述业务信息的资产价值而设置；所述应用场景为所述用户终端所处的位置和接入网类型，所述接入网类型包括：

局域网、无线局域网，以及 GSM、 CDMA网、 LTE系统的无线移动网；所述业务类型包括实时性业务和非实时性业务；

所述安全功能模块涉及但不限于以下处理的一个或多个：

机密性、完整性、认证、流量清洗。

本领域技术人员应当理解，本发明安全按需供给的系统涉及的处理单元的功能可以通过硬件电路，或由处理器执行相应的软件所实现。上述各处理单元的功能，可结合前述标识分配方法的相关描述而理解。

以下结合前述安全按需供给的系统的结构，进一步阐明本发明应用于云平台中的安全按需供给方法。

图 3为本发明实施例中的安全按需供给示意图，如图 3所示，图中需要配置的参数有三类，分别为应用场景、业务类型和用户安全等级要求。应用场景即终端接入云计算平台所提供的场景信息，如局域网，无线如 3G 网、 LTE网络、 CDMA网络或 GSM网络等。该应用场景可由系统依据 IP 地址，接入节点位置自动感知，无须人工配置。业务类型指实时性业务还是非实时性业务，业务类型也可以通过系统对业务的感知获得。系统感知业务类型后，提取用户标识。用户安全等级要求指用户根据所要使用的业务信息资产价值（即重要性），设置合理的安全等级。安全策略单元设置为将收集到的用户安全等级参数、业务类型参数和应用场景参数映射到最适合的安全策略规则，并由该规则获得安全的配置参数。安全策略单元也可以使用算法模型，通过计算获得最优的安全配置参数。安全策略单元将配置参数输出到安全执行单元。安全执行单元主要是安全算法或者安全协议组成，包括机密性、完整性、认证、流量清洗等安全功能。它为业务数据提供了安全保障。本发明中，安全域分为两类，分别为服务安全域和基础设施安全域。其中基础设施安全域包括虚拟化安全和存储安全。由于同一类安全威胁往往需要相同的安全功能，因此将具有同一类安全威胁特征的区域划分为同一个安全域，有助于实现安全按需供给的机制。在该图中，安全策略进一步根据不同安全域所使用的安全功能，输出不同组合的安全配置参数给特定安全域，实现安全按需供给的机制。对于不同用户，根据用户设定的用户安全等级和 /或应用场景和 /或业务类型，经过安全策略匹配或者经过算法模型计算，输出安全配置参数。由于数据加密传输是服务安全域一个非常重要的安全功能。安全策略单元针对服务安全域所输出的安全配置参数就需要包含加密算法选择和密钥长度选择等参数。而对于虚拟化安全域，由于位置处在于云计算运营商所控制的区域，数据加密的重要性下降。对于虚拟化安全，安全策略所输出的安全配置参数就需要包含数据隔离和业务逻辑的验证等对虚拟化安全非常重要的安全功能。本发明中，安全执行单元获取业务标识和用户标识。业务数据包携带有用户标识，这是业务在共享平台上实现多租户运营所必须的技术。本发明所需要的用户标识，可以直接从业务数据中获取。对于业务标识的获取，本发明充分利用云平台中的 QoS单元对业务标识的定义和处理功能，而获取业务标识。

图 4为安全功能模块获取业务标识和用户标识的示意图，如图 4所示，云平台业务数据包带有用户标识，这是业务在共享平台上实现多租户运营所必须的技术。本发明所需要的用户标识，可以直接从业务数据中获取。对于业务标识的获取，本发明充分利用云平台 QoS功能模块对业务标识的定义和处理功能获取业务标识。图 4示出了两种获取途径。获取途径一是直接从云平台的 QoS功能模块中获取。由于 QoS功能模块在对特定业务实施 QoS优先级保护前，必须对业务数据嵌入业务标识。当 QoS功能模块向业务数据嵌入业务标识时，该业务标识也同时被安全执行单元获得。第二种获取途径是在 QoS功能功能模块对业务数据嵌入业务标识之后，安全执行单元通过读取业务数据相关字段，获得该数据的业务标识。安全执行单元获得用户标识和业务标识后，即可对该业务数据实施按需供给的安全保护。

图 5为本发明实施例中基于 Diffserv协议和加密的安全按需供给结构示意图，如图 5所示，本发明实施例的安全按需供给包括以下步驟：

步驟 1 , 用户进行相关的参数配置，包括应用场景、安全等级和业务类别。

步驟 2, 业务类别由业务标识定义，业务标识由 Diffserv业务框架来实现。通过使用 Diffserv业务框架，每一种 QoS特征要求在 IP数据报头中 DSCP字段中有相应的映射字段值。不同的字段值代表着不同的业务粒度区分标识，它们具有不同的业务数据传输优先级。 DSCP的值越高，它所对应的业务类别的优先级也就越高。

步驟 3,安全策略库接收各种参数信息（应用场景参数、安全等级参数、用户标识和业务标识；)。

步驟 4, 安全策略库进行策略匹配和映射，或则通过算法模型计算，得到业务数据所需要的加密参数，并下发用户标识、业务标识和加密参数到加密模块。

步驟 5, 加密模块通过识别，对特定的用户标识和业务标识的业务数据采用加密参数相对应的加密算法进行加密。

从图 5可以清楚看出，用户标识是实现安全按需供给所必须的重要参数。但用户标识主要用来区别业务拥有者，并没有作为输入变量影响安全配置参数的设定，因此决定安全策略输出配置参数的输入变量中，并没有包括用户标识。

图 6为本发明实施例的云平台中安全按需供给方法流程图，如图 6所示，本实施例的云平台中安全按需供给方法主要包括以下步驟：步驟 601 , 云平台根据获取的用户为请求业务设置的安全等级，和 /或，用户终端所处的应用场景，和 /或，业务类型，确定安全功能模块的配置参数。

本发明安全按需供给方法开始之前，由用户进行相关的参数配置，如进行安全等级配置等，当然，也可以直接对应用场景和业务类型进行配置，即无需由云平台通过获取业务相关信息而确定应用场景和业务类型的相关参数。当未配置应用场景和业务类型参数时，需要由云平台获取用户终端的应用场景和业务类型信息。本发明中，业务类型由业务标识定义，业务标识由 Diffserv业务框架来实现。通过使用 Diffserv业务框架，每一种 QoS 特征要求在 IP数据报头中的差分服务代码点（ DSCP, Differentiated Services Code Point )字段中有相应的映射字段值。不同的字段值代表着不同的业务粒度区分标识，它们具有不同的业务数据传输优先级。 DSCP的值越高，其所对应的业务类型的优先级也就越高。

本发明中，确定安全功能模块的配置参数为：

利用安全等级和 /或用户终端所处的应用场景和 /或业务类型进行安全策略匹配而获取安全功能模块的配置参数；

或者，根据安全等级和 /或用户终端所处的应用场景和 /或业务类型，利用预设的算法计算出安全功能模块的配置参数；

或者，利用安全等级和 /或用户终端所处的应用场景和 /或业务类型进行安全策略匹配获取安全功能模块的配置参数，以及利用预设的算法计算安全功能模块的配置参数，对两种方式得到的安全功能模块的配置参数进行合并，确定出最终的安全功能模块的配置参数。这里，所谓合并，包括取两种方式确定的配置参数的平均值，或默认按最严格的安全等级原则，取其中安全等级最高的配置参数，或以用户需求为主原则，按用户需求在两本发明中，所述业务类型标识获取方式为：

通过携带有业务类型标识的数据包获取所设置的业务类型标识；或者，通过 QoS功能模块获取对所述业务进行 QoS保护时设置的类型标识。

步驟 602, 利用所述配置参数配置安全功能模块，实施对所述用户的业务数据的安全保护。

获取与用户标识和 /或业务标识匹配的业务数据包，根据所述安全配置参数对所获取的业务数据包实施安全保护。其中，所述业务数据包携带有用户标识和 /或业务标识。

上述安全等级由所述用户对所属业务信息的安全要求或所述用户根据所述业务信息的资产价值而设置；

所述应用场景为所述用户终端所处的位置和接入网类型，所述接入网类型包括：

局域网、无线局域网，以及 GSM、 CDMA网、 LTE系统等的无线移动网；

所述业务类型包括实时性业务和非实时性业务；

所述安全功能模块涉及但不限于以下处理的一个或多个：

机密性、完整性、认证、流量清洗。

本发明中，虽然用户标识是实现安全按需供给所必须的重要参数。但用户标识主要用来区别业务拥有者，并没有作为输入变量影响安全配置参数的设定，因此决定安全策略输出配置参数的输入变量中，并不包括用户标识。

本发明可根据不同用户对不同业务的安全需求，提供差异化的业务安全保障。本发明的云平台满足了各种用户以及各种业务的安全需求，向用户提供了个性化的安全保障，提升了用户体验效果。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本发明根据用户设置的安全等级，和 /或，用户终端所处的应用场景，和 /或，业务类型，确定出针对用户请求业务的安全功能模块的配置参数，利用所述配置参数配置安全功能模块，实施对所述用户的业务数据的安全保护。可根据不同用户对不同业务的安全需求，提供差异化的业务安全保障。

Claims

权利要求书

1、一种安全按需供给方法，其中，所述方法包括：

2、根据权利要求 1所述的方法，其中，所述确定安全功能模块的配置参数为：

3、根据权利要求 1或 2所述的方法，其中，所述利用所述安全功能模块对所述用户的业务数据进行安全保护为：

4、根据权利要求 3所述的方法，其中，所述业务类型标识获取方式为：通过携带有业务类型标识的数据包获取所设置的业务类型标识；或者，通过服务质量 QoS功能模块获取对所述业务进行 QoS保护时设置的类型标识。

5、根据权利要求 1至 4中任一项所述的方法，其中，所述安全等级由所述用户对所属业务信息的安全要求或所述用户根据所述业务信息的资产价值而设置；

所述业务类型包括但不限于实时性业务和非实时性业务；

所述安全功能模块包括但不限于以下一个或多个功能：

机密性、完整性、认证、流量清洗。

6、一种业务类型获取方法，其中，安全功能模块获取对业务进行 QoS 保护时为业务设置的业务类型标识，对该业务和 /或对用户进行安全保护。

7、根据权利要求 6所述的方法，其中，所述业务类型标识获取途径为：通过附带有业务类型标识的数据包获取所设置的业务类型标识；或者，接收相关 QoS功能模块通知的所述业务类型标识。

8、根据权利要求 6或 7所述的方法，其中，所述对该业务和 /或对用户进行安全保护为：

9、一种安全按需供给的系统，包括安全策略参数收集单元、安全策略单元和安全执行单元，其中：

安全策略单元，设置为根据安全等级和 /或用户终端所处的应用场景和 / 或业务类型确定安全功能模块的配置参数，并将确定的安全功能模块的配安全执行单元，根据所接收到的安全功能模块的配置参数，配置安全功能模块，对用户的业务数据进行安全保护。

10、根据权利要求 9所述的系统，其中，所述安全策略单元还设置为，通过预先设定的安全策略规则，将所接收到的参数映射到最佳匹配的安全策略规则，并获取安全功能模块的配置参数；或通过预设的算法模型，根据输入的参数计算出安全功能模块的配置参数；或对上述两种方式得到的安全功能模块的配置参数进行合并，确定出最终的安全功能模块的配置参数。

11、根据权利要求 9或 10所述的系统，其中，所系统还包括：

12、根据权利要求 11所述的系统，其中，所述安全执行单元还设置为，获取与用户标识和 /或业务标识匹配的业务数据包，根据所述安全配置参数对所获取的业务数据包实施安全保护；其中，所述业务数据包携带有用户标识和 /或业务标识。

13、根据权利要求 9至 12中任一项所述的系统，其中，所述安全等级由所述用户对所属业务信息的安全要求或所述用户根据所述业务信息的资产价值而设置；

局域网、无线局域网，以及 GSM、 CDMA网、 LTE系统的无线移动网；所述业务类型包括但不限于实时性业务、非实时性业务; 所述安全功能模块包括但不限于以下一个或多个功能：机密性、完整性、认证、流量清洗。