WO2017210811A1

WO2017210811A1 - 安全策略的执行方法和设备

Info

Publication number: WO2017210811A1
Application number: PCT/CN2016/084886
Authority: WO
Inventors: 刘文济; 王江胜
Original assignee: 华为技术有限公司
Priority date: 2016-06-06
Filing date: 2016-06-06
Publication date: 2017-12-14

Abstract

本发明实施例提供一种安全策略的执行方法和设备，安全策略执行设备通过根据业务数据的承载信息或安全参考信息，确定业务数据的安全策略，根据业务数据的安全策略，对业务数据进行安全保护。不同业务数据的承载信息或安全参考信息不同，使用的安全策略也不同，从而使得安全策略执行设备可以对不同的业务数据进行差异性保护，不但保证了数据传输的安全性，同时能够提高获取数据的效率。

Description

安全策略的执行方法和设备

技术领域

本发明实施例涉及通信技术，尤其涉及一种安全策略的执行方法和设备。

背景技术

为了保证数据传输的安全性，数据在网络传输期间需保持加密状态，以防止攻击者劫取该数据的相关信息。在对数据进行安全保护时，加密节点需要首先获取安全参数，然后再根据该安全参数对数据进行加密保护。以长期演进(Long Term Evolution，简称LTE)网络为例，LTE网络中的安全包括接入层(access stratum，简称AS)安全和非接入层(non-access stratum，简称NAS)安全。AS安全是用户设备(user equipment，简称UE)与演进型节点B(evolved node-B，简称eNB)之间的安全，主要执行AS信令(RRC信令)的加密和完整性保护，以及用户平面(user plane，简称UP)数据的机密性保护。NAS安全是UE与移动管理实体(mobile management entity，简称MME)之间的安全，主要执行NAS信令的机密性和完整性保护。

现有的LTE网络的安全体系中，只有一个安全等级，无论是NAS安全还是AS安全，都使用该安全等级对应的安全算法和安全参数，一个安全等级对应唯一的安全算法和安全参数，安全参数包括安全等级的标识和秘钥长度等。在只有一个安全等级的情况下，所有的业务数据都会采用同样的安全算法和安全参数进行安全保护，为了保护高安全需求的业务数据，通常会采用更为复杂的安全算法、更长的密钥等。如果所有业务数据都采用这种复杂的安全算法，不仅会增大设备的成本，还会增大获得数据所需的功率和时延。并且从防攻击的角度来讲，攻击者破解了一种密钥后就可以获取设备上的所有数据。

发明内容

本发明实施例提供一种安全策略的执行方法和设备，能够对不同的业务数据进行差异性保护，保证了数据传输的安全性，同时提高获取数据的效率。

本发明第一方面提供一种安全策略的执行方法，该方法包括：安全策略执行设备获取业务数据的承载信息，根据该业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定该业务数据的安全策略，最后根据确定的该业务数据的安全策略，对该业务数据进行安全保护。

可选的，该承载信息包括：承载的服务质量分类标识QCI或承载的标识。当该承载信息包括承载的QCI时，安全策略执行设备根据承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定该业务数据的安全策略。当该承载信息包括承载的标识时，安全策略执行设备根据承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，该安全策略执行设备可以为该业务数据的发送设备，也可以为该业务数据的接收设备。当该安全策略执行设备为该业务数据的发送设备时，该安全策略执行设备根据该业务数据的安全策略，对该业务数据进行安全保护，具体为：该安全策略执行设备根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护。当该安全策略执行设备为该业务数据的接收设备时，该安全策略执行设备根据该业务数据的安全策略，对该业务数据进行安全保护，具体为：该安全策略执行设备根据该业务数据的安全策略，对该业务数据进行解密运算和完整性验证。

可选的，在该安全策略执行设备获取业务数据的承载信息之前，安全策略执行设备接收该承载信息与安全策略之间的对应关系。当然，该承载信息与安全策略之间的对应关系也可以预先配置在该安全策略执行设备上。

可选的，该安全策略执行设备为用户设备UE、基站或信令管理网元。

本发明第二方面提供一种安全策略执行设备，该安全策略执行设备包括：获取模块、确定模块和安全保护模块。获取模块用于获取业务数据的承载信息；确定模块用于根据该业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定该业务数据的安全策略；安全保护模块用于根据该业务数据的安全策略，对所述业务数据进行安全保护。

可选的，该承载信息包括：承载的服务质量分类标识QCI或承载的标识。当该承载信息包括所述承载的QCI时，确定模块具体用于：根据该承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定业务数据的安全策略。当该承载信息包括该承载的标识时，确定模块具体用于：根据该承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，该安全策略执行设备可以为该业务数据的发送设备，也可以为该业务数据的接收设备。当该安全策略执行设备为所述业务数据的发送设备时，安全保护模块具体用于：根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护。当该安全策略执行设备为该业务数据的接收设备时，安全保护模块具体用于：根据该业务数据的安全策略，对该业务数据进行解密运算和完整性验证。

可选的，该安全策略执行设备还包括接收模块，接收模块用于接收该承载信息与安全策略之间的对应关系。

本发明第三方面提供一种安全策略执行设备，该安全策略执行设备包括处理器和存储器。存储器用于存储预设的承载信息与安全策略之间的对应关系；处理器用于：获取业务数据的承载信息，根据该业务数据的承载信息和该预设的承载信息与安全策略之间的对应关系，确定该业务数据的安全策略；

根据该业务数据的安全策略，对该业务数据进行安全保护。

可选的，该承载信息包括：承载的服务质量分类标识QCI或承载的标识。当该承载信息包括该承载的QCI时，处理器具体用于：根据该承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定该业务数据的安全策略。当该承载信息包括该承载的标识时，该处理器具体用于：根据该承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，该安全策略执行设备可以为该业务数据的发送设备，也可以为该业务数据的接收设备。当该安全策略执行设备为所述业务数据的发送设备时，处理器具体用于：根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护。当该安全策略执行设备为该业务数据的接收设备时，处理器具体用于：根据该业务数据的安全策略，对该业务数据进行解密运算和完整性验证。

可选的，该安全策略执行设备还包括接收器，接收器用于接收该承载信息与安全策略之间的对应关系。

上述本发明第一方面至第三方面涉及到的安全策略包括安全算法和安全参数。

上述本发明第一方面至第三方面涉及到的安全策略执行设备可以为用户设备UE、基站或信令管理网元。

上述本发明第一方面至第三方面中，该QCI与安全策略的对应关系可以存储在QCI表中。

本发明第四方面提供一种安全策略的执行方法，该方法包括：第一安全策略执行设备先根据业务数据的安全参考信息，确定该业务数据的安全策略，然后根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护，最后将该业务数据的安全策略的指示信息携带在该业务数据的数据包的包头中发送给第二安全策略执行设备，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对业务数据进行加密运算和完整性保护所采用的安全策略。

可选的，第一安全策略执行设备根据该业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，第一安全策略执行设备向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，并接收安全策略确定设备发送的携带该业务数据的安全策略的安全策略响应消息，该业务数据的安全策略是安全策略确定设备根据该业务数据的安全参考信息确定的。

可选的，该业务数据的安全策略的指示信息包括该安全策略的标识或该业务数据的安全参考信息。

本发明第五方面提供一种安全策略的执行方法，该方法包括：第二安全策略执行设备接收第一安全策略执行设备发送的数据包，该数据包携带有业务数据，该数据包的包头中包括该业务数据的安全策略的指示信息，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对该业务数据进行加密运算和完整性保护所采用的安全策略。然后第二安全策略执行设备根据该业务数据的安全策略的指示信息，确定该业务数据的安全策略，根据该业务数据的安全策略对该数据包进行解密运算和完整性验证。

可选的，该业务数据的安全策略的指示信息为该安全策略的标识或该业务数据的安全参考信息。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，第二安全策略执行设备根据该业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，第二安全策略执行设备向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，并接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括该业务数据的安全策略，该业务数据的安全策略是安全策略确定设备根据该业务数据的安全参考信息确定的。

本发明第六方面提供一种第一安全策略执行设备，该第一安全策略执行设备包括：确定模块、安全保护模块和发送模块。确定模块用于根据业务数据的安全参考信息，确定该业务数据的安全策略；安全保护模块用于根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护；发送模块用于将该业务数据的安全策略的指示信息携带在该业务数据的数据包的包头中发送给第二安全策略执行设备，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对该业务数据进行加密运算和完整性保护所采用的安全策略。

可选的，确定模块具体用于：根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，该确定模块具体用于：向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，并接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括该业务数据的安全策略，该业务数据的安全策略是该安全策略确定设备根据该业务数据的安全参考信息确定的。

本发明第七方面提供一种第二安全策略执行设备，该第二安全策略执行设备包括：接收模块、确定模块和安全保护模块，接收模块用于接收第一安全策略执行设备发送的数据包，该数据包携带有业务数据，该数据包的包头中包括该业务数据的安全策略的指示信息，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对该业务数据进行加密运算和完整性保护所采用的安全策略；确定模块用于根据该业务数据的安全策略的指示信息，确定该业务数据的安全策略；安全保护模块用于根据该业务数据的安全策略对该数据包进行解密运算和完整性验证。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，确定模块具体用于：根据该业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，确定模块具体用于：向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，并接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括该业务数据的安全策略，该业务数据的安全策略是安全策略确定设备根据该业务数据的安全参考信息确定的。

本发明第八方面提供一种第一安全策略执行设备，该第一安全策略执行设备包括处理器和发送器。处理器用于根据业务数据的安全参考信息，确定该业务数据的安全策略，以及根据该业务数据的安全策略，对该业务数据进行加密运算和完整性保护；发送器用于将该业务数据的安全策略的指示信息携带在该业务数据的数据包的包头中发送给第二安全策略执行设备，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对该业务数据进行加密运算和完整性保护所采用的安全策略。

可选的，该第一安全策略执行设备还包括存储器，存储器用于存储预设的安全参考信息与安全策略之间的对应关系；相应的，处理器具体用于：根据该业务数据的安全参考信息，以及该预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，该第一安全策略执行设备还包括接收器，相应的，处理器具体用于：控制发送器向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，以及控制接收器接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括该业务数据的安全策略，该业务数据的安全策略是安全策略确定设备根据该业务数据的安全参考信息确定的。

本发明第九方面提供一种第二安全策略执行设备，该第二安全策略执行设备包括接收器和处理器。接收器用于接收第一安全策略执行设备发送的数据包，该数据包携带有业务数据，该数据包的包头中包括该业务数据的安全策略的指示信息，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对该业务数据进行加密运算和完整性保护所采用的安全策略；处理器用于根据业务数据的安全策略的指示信息，确定该业务数据的安全策略，以及根据该业务数据的安全策略对该数据包进行解密运算和完整性验证。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，该第二安全策略执行设备还包括存储器。存储器用于存储预设的安全参考信息与安全策略之间的对应关系；相应的，处理器具体用于：根据该业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定该业务数据的安全策略。

可选的，当该业务数据的安全策略的指示信息为该业务数据的安全参考信息时，该第二安全策略执行设备还包括发送器。相应的，处理器具体用于：

控制发送器向安全策略确定设备发送携带该业务数据的安全参考信息的安全策略请求消息，以及控制接收器接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括该业务数据的安全策略，该业务数据的安全策略是安全策略确定设备根据该业务数据的安全参考信息确定的。

上述本发明第四方面至第九方面中，该安全策略包括安全算法和安全参数。

上述本发明第四方面至第九方面中，当该数据包采用互联网协议第4版IPv4格式时，该业务数据的安全策略的指示信息携带在该数据包的互联网协议IP头的服务类型字段中；或者，当该数据包采用互联网协议第6版IPv6格式时，该业务数据的安全策略的指示信息携带在该数据包的IP头的通信类别字段中。

上述本发明第四方面至第九方面中，该业务数据的安全参考信息包括该业务数据的数据属性、该业务数据的业务属性、用户设备的属性、该业务数据的安全等级、该业务数据的保护类型以及该第一安全策略执行设备的标识中的至少一种，其中，该保护类型包括路径保护或数据内容保护；或者，该业务数据的安全参考信息包括该业务数据的服务质量分类标识QCI。

上述本发明第四方面至第九方面中，当该第一安全策略执行设备为用户设备UE时，该第二安全策略执行设备为UE、应用服务器或分组数据网关PGW。当该第一安全策略执行设备为应用服务器时，该第二安全策略执行设备为UE。当该第一安全策略执行设备为PGW时，该第二安全策略执行设备为UE。

本发明实施例提供的安全策略的执行方法和设备，安全策略执行设备通过根据业务数据的承载信息或安全参考信息，确定业务数据的安全策略，根据业务数据的安全策略，对业务数据进行安全保护。不同业务数据的承载信息或安全参考信息不同，使用的安全策略也不同，从而使得安全策略执行设备可以对不同的业务数据进行差异性保护，不但保证了数据传输的安全性，同时能够提高获取数据的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的一种应用场景的示意性架构图；

图2为本发明实施例一提供的安全策略的执行方法的流程图；

图3为本发明实施例二提供的安全策略的执行方法的流程图；

图4为IPv4格式的数据包的IP头的结构示意图；

图5为IPv6格式的数据包的IP头的结构示意图；

图6为本发明实施例三提供的安全策略执行设备的结构示意图；

图7为本发明实施例四提供的第一安全策略执行设备的结构示意图；

图8为本发明实施例五提供的第二安全策略执行设备的结构示意图；

图9为本发明实施例六提供的安全策略执行设备的结构示意图；

图10为本发明实施例七提供的第一安全策略执行设备的结构示意图；

图11为本发明实施例八提供的第二安全策略执行设备的结构示意图；

图12为本发明实施例九提供的安全系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例的技术方案可以应用于各种通信系统，例如：全球移动通讯(Global System of Mobile communication，简称为“GSM”)系统、码分多址(Code Division Multiple Access，简称为“CDMA”)系统、宽带码分多址(Wideband Code Division Multiple Access，简称为“WCDMA”)系统、通用分组无线业务(General Packet Radio Service，简称为“GPRS”)、LTE系统、LTE频分双工(Frequency Division Duplex，简称为“FDD”)系统、LTE时分双工(Time Division Duplex，简称为“TDD”)、通用移动通信系统(Universal Mobile Telecommunication System，简称为“UMTS”)或全球互联微波接入(Worldwide Interoperability for Microwave Access，简称为“WiMAX”)通信系统等。

在本发明实施例中，用户设备(User Equipment，简称为“UE”)可称之为终端(Terminal)、移动台(Mobile Station，简称为“MS”)或移动终端(Mobile Terminal)等，该UE可以经无线接入网(Radio Access Network，简称为“RAN”)与一个或核心网进行通信，例如，UE可以是移动电话(或称为“蜂窝”电话)或具有移动终端的计算机等，例如，UE还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语音或数据。

在本发明实施例中，基站可以是GSM或CDMA中的基站收发台(Base Transceiver Station，简称为“BTS”)，也可以是WCDMA中的基站(NodeB，简称为“NB”)，还可以是LTE中的演进型基站(Evolved Node B，简称为“ENB或e-NodeB”)，本发明并不限定，但为描述方便，下述实施例将以eNB为例进行说明。

在本发明实施例中，信令管理网元可以是移动性管理实体(Mobility Management Entity，简称为“MME”)或服务GPRS支持节点(Serving GPRS Support Node，简称为“SGSN”)。例如，在UMTS系统中，该信令管理网元可以是SGSN。为了描述方便，下述实施例将以MME为例进行说明，但本发明并不限于此。

图1示出了本发明实施例的一种应用场景的示意性架构图。如图1所示，LTE网络可以包括：UE、演进的UMTS陆地无线接入网(Evolved UMTS Terrestrial Radio Access Network，简称为“E-UTRAN”)、信令管理网元MME、服务网关实体(Serving Gateway，简称为“SGW”)、分组数据网络网关实体(Packet Data Network Gateway，简称为“PGW”)、方案和计费规则功能实体(Policy and Charging Rule Function，简称为“PCRF”)、归属网络服务器(Home Subscriber Server，简称为“HSS”)和操作者的IP 业务等。

LTE网络的核心网主要包括MME、SGW、和PGW三个逻辑功能体，其中MME是信令管理网元，负责非接入层(Non-Access Stratum，简写为“NAS”)信令加密、为UE分配临时身份标识、选择SGW和PGW等核心网网元、提供漫游、跟踪、安全等功能；SGW是本地eNB之间切换的移动性锚点，并提供合法监听相关功能；PGW则负责用户地址分配、方案控制和计费规则的执行以及合法监听相关等功能；HSS用于存储用户的签约信息；PCRF用于提供方案和计费控制规则。

应理解，本发明实施例将以应用于LTE网络为例进行说明，但本发明并不限于此。另外，本文中术语“系统”和“网络”在本文中常被可互换使用。

在传输数据时，为了保证节点之间安全的通信，需要终端和网络设备协商确定安全策略，并使终端或网络设备获取该安全策略后根据该安全策略对传输的数据进行安全保护。其中，消息安全交互的连接建立主要包括以下几个过程：

建立无线资源控制(Radio Resource Control，简称为“RRC”)连接，同时也建立起信令无线承载(Signalling Radio Bearer，简称为“SRB”)；

建立NAS连接；

发起第三代移动通讯网络的认证与密钥协商协议(Authentication and Key Agreement简称为“AKA”)过程，获取相应的安全算法，完成UE和MME的双向鉴权和密钥KASME的协商；

发起NAS安全模式控制(Security Mode Control，简称为“SMC”)流程，激活NAS安全机制，随后交互的NAS消息都进行安全保护；

发起AS SMC流程，激活AS安全机制，随后交互的RRC消息都进行安全保护。

其中SMC用于激活终端和网络设备间信息的安全交互，包括NAS SMC和AS SMC两部分。安全模式控制主要包括网络设备发给UE的安全模式命令和UE回复给网络设备的安全模式确认两条信令。SMC流程主要完成终端和网络设备对所使用的安全算法的协商，并以根密钥(例如，K_ASME)为基础，生成相应安全算法所需的密钥，以保证MME和UE之间，或者是eNB和UE之间安全的进行交互。

在现有的LTE网络的安全体系中，只有一个安全等级，不论是NAS安全机制还是AS安全机制，都使用该安全等级对应的安全算法和安全参数，一个安全等级对应唯一的安全算法和安全参数，因此，针对不同的业务数据都会采用相同的安全算法和安全参数。而事实上，不同的业务数据对安全的要求是不同的，例如手机支付等涉及到银行卡的业务，需要高级别的安全算法进行处理，而对于一些机密性不高的业务数据在传输过程中可以不进行安全保护。因此，在只有一个安全等级的情况下，为了对某些私密数据进行保护，系统通常采取高级别的安全机制，如复杂的安全算法，加长的密钥等。但是如果对所有业务数据都采用高级别的安全机制，会增大设备的成本，因为安全机制的级别越高，获得数据所需的功率越大时延越长。

为了解决该问题，本发明实施例一提供一种安全策略的执行方法，图2为本发明实施例一提供的安全策略的执行方法的流程图，如图2所示，本实施例的方法可以包括以下步骤：

步骤101、安全策略执行设备获取业务数据的承载信息。

步骤102、安全策略执行设备根据业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定业务数据的安全策略。

步骤103、安全策略执行设备根据业务数据的安全策略，对业务数据进行安全保护。

业务数据的安全保护通常由业务数据的发送设备和接收设备分别进行，业务数据的发送设备用于对业务数据进行加密运算和完整性保护，业务数据的接收设备用于对业务数据进行解密运算和完整性验证。

本实施例中，安全策略执行设备是用于执行安全策略的设备，即可以是业务数据的发送设备，也可以是业务数据的接收设备，本实施例中的安全策略执行设备具体可以为UE、基站或信令管理网元，该信令管理网元可以为MME或SGSN。当业务数据的发送设备为UE时，业务数据的接收设备可以为基站或信令管理网元，当业务数据的发送设备为基站或信令管理网元时，业务数据的接收设备为UE。

当安全策略执行设备为UE，且安全策略执行设备作为业务数据的发送设备时，UE可以在与核心网完成AKA过程后，发起NAS SMC或AS SMC之前获取业务数据的承载信息，或者，在每次传输业务数据前获取业务数据的承载信息。业务数据的承载信息是指用于传输该业务数据的承载的信息，该承载信息包括承载标识或承载的服务质量QoS分类标识(QoS Class Identifier，简称为“QCI”)等。QCI用于衡量特定的提供给服务数据流(Service Data Flow简称为“SDF”)的包转发行为(如丢包率，包延迟预算)，它同时应用于保证比特速率(Guaranteed Bit Rate，简称为“GBR”)和Non-GBR承载，用于指定访问节点内定义的控制承载级分组转发方式(如调度权重、接纳门限、队列管理门限、链路层协议配置等)，UE需要建立的承载包括数据无线承载(Data Radio Bearer，简称为“DRB”)或信令无线承载(Signal Radio Bearer简称为“SRB”)。在NAS SMC过程中，安全策略执行设备为UE和信令管理网元，在AS SMC过程中，安全策略执行设备为UE和基站。

本发明实施例中的安全策略包括安全算法和安全参数，不同的安全策略采用不同的安全算法和安全参数，每个安全策略对应唯一的安全算法和安全参数。其中，安全参数可以包括安全算法的等级信息、密钥长度，安全算法的执行节点标识等。安全策略与安全等级对应，对应于安全等级高的安全策略，采用复杂、高级的安全算法。对于安全等级低的安全策略，采用简单、低级的安全算法。

在上述步骤102中，预设的承载信息与安全策略之间的对应关系可以预先配置在安全策略执行设备中，也可以由安全策略确定设备发送给安全策略执行设备。其中，安全策略确定设备用于对安全策略进行统一的管理和控制。应理解，安全策略确定设备是具有管理和控制功能的逻辑节点，即对安全策略具有管理和控制功能的设备统称为安全策略确定设备，安全策略确定设备可以是一种新建立的设备，即单独的设备，也可以与其他功能节点位于同一个实体设备。例如可以将对安全策略的管理和控制功能集成在PCRF设备内，则可以认为该PCEF设备是该安全策略确定设备，或是将对安全策略的管理和控制功能集成在HSS设备内，则可以认为该HSS设备是该安全策略确定设备。

上述步骤101-102中的承载信息具体可以为承载的标识或承载的QCI。其中，承载的标识是用于标识一个承载，具体可以为：EUTRAN无线接入承载标识(EUTRAN-Radio Access Bearer Identifier，简称ERAB ID)、数据无线承载标识(Data Radio Bearer Identifier，简称DRB ID)或逻辑信道标识(logical channel identity，简称LCID)。

具体地，当该承载信息为承载的标识时，承载信息与安全策略之间的对应关系为：承载的标识与安全策略之间的对应关系，相应的，步骤102中安全策略执行设备根据业务数据的承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定业务数据的安全策略。该对应关系中可以包括多个承载的标识，以及每个承载的标识对应的安全策略。该方式中，将承载和安全策略绑定，可以为每个承载设置一个安全策略，也可以为每种类型的承载设置一个安全策略，即属于同一种类型的多个承载的安全策略相同，不同类型的承载的安全策略不同。

具体地，当该承载信息为承载的QCI时，承载信息与安全策略的对应关系为：QCI与安全策略的对应关系，相应地，步骤102中安全策略执行设备根据业务数据的承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定业务数据的安全策略。其中，每种QCI对应一种安全策略，该方式中将QCI与安全策略绑定，当两个承载的QCI相同时，该两个承载上传输的业务数据具有相同的安全策略。当两个承载的QCI不同时，该两个承载上传输的业务数据具有不同的安全策略。

可选的，QCI与安全策略的对应关系存储在QCI表中，QCI表中包括：至少一种QCI的标识和每种QCI对应的安全策略的标识。表一为QCI表的示意图，如表一所示，LTE系统定义了9种QCI类型，每种QCI包括三个参数：数据包时延预算(Packet Delay Budget)、丢包率(Packet Loss Rate)和安全策略。其中数据包时延预算和丢包率是QCI表已有参数，安全策略是本发明新增加的参数。需要说明的是，这里QCI表中包括安全策略的标识，即用于指示不同的安全策略，不同的安全策略使用的安全算法和安全参数不同。例如，0表示安全策略使用的安全算法为第一安全算法，使用的秘钥长度为32比特；1表示的安全策略使用的安全算法为第二安全算法，使用的秘钥长度为64比特；2表示的安全策略使用的安全算法为第三安全算法，使用的秘钥长度为128比特；3表示的安全策略使用的安全算法为第四安全算法，使用的秘钥长度为256比特。本实施例中，第一安全算法、第二安全算法、第三安全算法和第四安全算法均为UE支持的安全算法。表1中，编号为1-4的QCI为GBR承载的QCI，编号为5-9的QCI为non-GBR承载的QCI。

表一

QCI编号	数据包时延预算	丢包率	安全策略的标识
1(GBR)	<50ms	高(例如：10-1)	0
2(GBR)	50ms(80ms)	中(例如：10-2)	0
3(GBR)	90ms	中(例如：10-2)	1
4(GBR)	250ms	低(例如：10-3)	1
5(non-GBR)	低(～50ms)	例如：10-6	2
6(non-GBR)	低(～50ms)	例如：10-3	2
7(non-GBR)	中(～250ms)	例如：10-4	3
8(non-GBR)	中(～250ms)	例如：10-6	3
9(non-GBR)	高(～500ms)	n.a.	3

在上述步骤103中，当安全策略执行设备为业务数据的发送设备时，安全策略执行设备根据业务数据的安全策略，对业务数据进行加密运算和完整性保护，即使用安全策略中包括的安全算法和安全参数中的秘钥对业务数据进行加密运算和完整性保护。或者，当安全策略执行设备为业务数据的接收设备时，安全策略执行设备根据业务数据的安全策略，对业务数据进行解密运算和完整性验证，即使用安全策略中包括的安全算法和安全参数中的秘钥对业务数据进行解密运算和完整性验证。

本实施例的方法，可以应用在分组数据汇聚协议(Packet Data Convergence Protocol，简称PDCP)层对业务数据进行安全保护，以AS SMC为例，业务数据的发送设备可以为UE，业务数据的接收设备可以为eNB，UE和eNB在PDCP层对业务数据进行安全保护，当然，本实施例的方法并不限于PDCP层，还可以在其他网络协议层对业务数据进行安全保护，例如互联网协议(Internet Protocol，简称IP)层。

本实施例中，安全策略执行设备通过获取业务数据的承载信息，根据业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定业务数据的安全策略，安全策略执行设备根据业务数据的安全策略，对业务数据进行安全保护。由于承载信息与安全策略之间的对应关系中定义了多种承载与安全策略的对应关系，从而使得安全策略执行设备可以对不同的承载上传输的业务数据进行差异性保护，不但保证了数据传输的安全性，同时能够提高获取数据的效率。

图3为本发明实施例二提供的安全策略的执行方法的流程图，如图3所示，本实施例提供的方法可以包括以下步骤：

步骤201、第一安全策略执行设备根据业务数据的安全参考信息，确定业务数据的安全策略。

步骤202、第一安全策略执行设备根据业务数据的安全策略，对业务数据进行加密运算和完整性保护。

步骤203、第一安全策略执行设备将业务数据的安全策略的指示信息携带在业务数据的数据包的包头中发送给第二安全策略执行设备，该业务数据的安全策略的指示信息用于指示第一安全策略执行设备对业务数据进行加密运算和完整性保护所采用的安全策略。

步骤204、第二安全策略执行设备接收第一安全策略执行设备发送的数据包，该数据包携带有业务数据，该数据包的包头中包括业务数据的安全策略的指示信息。

步骤205、第二安全策略执行设备根据业务数据的安全策略的指示信息，确定业务数据的安全策略。

步骤206、第二安全策略执行设备根据业务数据的安全策略对该数据包进行解密运算和完整性验证。

其中，业务数据的安全参考信息包括：业务数据的数据属性、业务数据的业务属性、用户设备的属性、业务数据的安全等级、业务数据的保护类型以及第一安全策略执行设备的标识中的至少一种，其中，保护类型包括路径保护或数据内容保护；或者，业务数据的安全参考信息包括业务数据的QCI。

具体地，业务数据的数据属性可以用于指示业务数据的数据类型。业务数据的数据类型包括文本、图片、视频和音频等数据类型等，不同的数据属性可以对应不同的安全需求，不同的安全需求对应不同的安全策略。例如，视频对应的安全需求可以是需要获取高级别的安全保护，而文本的安全需求可以是需要获取低级别的安全保护即可。

具体地，业务数据的业务属性可以用于指示业务数据的业务类型，不同的业务类型对应不同的安全需求。例如，该业务属性可以用于指示业务数据属于支付宝业务、淘宝业务、浏览器业务或是属于其他业务类型。例如，支付宝业务对应的安全需求可以是需要获取高级别的安全保护，而浏览器业务的安全需求可以是需要获取低级别的安全保护即可。业务数据的业务属性还可以用于指示业务数据的业务分类。例如，业务数据的业务属性可以用于指示业务数据属于娱乐类、金融类或科研项目类等业务分类。不同的业务属性可以对应不同的安全需求。

具体地，用户设备的属性用于指示发送业务数据的用户设备的类型。例如传输业务数据的用户设备的类型可以包括医疗机构、军工机构或科研机构等。不同的用户设备的类型可以对应不同的安全需求。

具体地，业务数据的安全等级用于指示业务数据需要的安全等级，例如，根据业务数据的不同总共将安全等级分为五个等级。

具体地，业务数据的保护类型包括路径保护或数据内容保护，路径保护可以是指业务数据在传输过程中所进行的保护。例如在两个节点之间传输时进行加密保护。数据内容保护可以是指对业务数据的数据进行加密保护，即该业务数据本身已经进行加密，即使业务数据被攻击者拦截依然无法获得相关数据内容。

具体地，第一安全策略执行设备可以根据自己的标识，确定自己对业务数据进行安全保护。

在上述步骤201中，根据业务数据的安全参考信息，确定业务数据的安全策略具体可以采用如下两种实现方式：

一种实现方式中，第一安全策略执行设备根据业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定业务数据的安全策略。该安全参考信息与安全策略之间的对应关系可以预先配置在第一安全策略执行设备上，或者，第一安全策略执行设备接收安全策略确定设备发送的该安全参考信息与安全策略之间的对应关系。

另一种实现方式中，第一安全策略执行设备向安全策略确定设备发送安全策略请求消息，该安全策略请求消息中包括业务数据的安全参考信息，该安全策略请求消息用于请求获取业务数据的安全策略。安全策略确定设备接收到该安全策略请求消息后，根据该安全策略请求消息中包括的安全参考信息确定业务数据的安全策略，然后，向第一安全策略执行设备返回安全策略响应消息，该安全策略响应消息中包括业务数据的安全策略。第一安全策略执行设备获取该安全策略响应消息中的业务数据的安全策略。

在上述步骤203中，业务数据的安全策略的指示信息可以包括安全策略的标识或业务数据的安全参考信息。

需要说明的是，步骤203中的数据包可以采用互联网协议第4版(Internet Protocol version 4，简称IPv4)格式或互联网协议第6版(Internet Protocol version 4，简称IPv6)格式。

当数据包采用IPv4格式时，业务数据的安全策略的指示信息可以携带在数据包的IP头的服务类型(Type of Service，简称ToS)字段中。图4为IPv4格式的数据包的IP头的结构示意图，如图4所示，IP头的前一部分是固定长度，共20字节，是所有IP数据包必须具有的，包括：版本(version)、首部长度(1HL)、服务类型(Type of Service)、总长度(Total Length)、标识(identification)、标志(flag)、片偏移(Fragment Offset)、生存时间(Time To Live，简称为TTL)、协议(Protocol)、首部校验和(Header Checksum)、源IP地址(Source IP Address)、目的IP地址(Destination IP Address)、选项(Options)和填充(Padding)。IPv4包头中的ToS字段是用来区分业务类别的，具体可以将业务数据的安全策略的指示信息携带在ToS字段中未被启用的值中。

当数据包采用IPv6格式时，业务数据的安全策略的指示信息可以携带在IP数据包的IP头的通信类别(Traffic Class，简称为“TC”)字段中。图5为IPv6格式的数据包的IP头的结构示意图，如图5所示，IP头的长度是固定的，为16字节，包括：版本、TC、流标签(Flow Label)、载荷长度(Payload Length)、下一包头(Next Header)、跳数限制(Hop Limit)、源IP地址和目标IP地址。IPv6中的TC字段主要是延续IPv4中ToS字段的功能，所以可以将业务数据的安全策略的指示信息携带在TC字段的未被启用的值中。可选的，也可以将业务数据的安全策略的指示信息携带在 Flow Label字段中。Flow Label是IPv6中独有的区域，共20bit，Flow Label的作用是为一些特殊的数据类型做标记。

第二安全策略执行设备接收到携带有业务数据的数据包后，从数据包的包头中读取业务数据的安全策略的指示信息，根据业务数据的安全策略的指示信息确定业务数据的安全策略。其中，上述步骤205具体可以采用如下实现方式：

方式一、当业务数据的安全策略的指示信息为安全策略的标识时，第二安全策略执行设备根据安全策略的标识即可获取到业务数据的安全策略。

方式二、当业务数据的安全策略的指示信息为业务数据的安全参考信息时，第二安全策略执行设备根据业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定业务数据的安全策略，其中，该安全参考信息与安全策略之间的对应关系可以预先配置在第二安全策略执行设备上，或者，第二安全策略执行设备接收安全策略确定设备或第一安全策略执行设备发送的该安全参考信息与安全策略之间的对应关系；或者，第二安全策略执行设备向安全策略确定设备发送安全策略请求消息，该安全策略请求消息中包括业务数据的安全参考信息，该安全策略请求消息用于请求获取业务数据的安全策略。安全策略确定设备接收到该安全策略请求消息后，根据该安全策略请求消息中包括的安全参考信息确定业务数据的安全策略，然后，向第二安全策略执行设备返回安全策略响应消息。第二安全策略执行设备接收安全策略确定设备发送的安全策略响应消息，该安全策略响应消息中包括业务数据的安全策略。

需要指出的是，本实施例中，当第一安全策略执行设备为UE时，第二安全策略执行设备为UE、应用服务器或PGW；当第一安全策略执行设备为应用服务器时，第二安全策略执行设备为UE；当第一安全策略执行设备为PGW时，第二安全策略执行设备为UE。即安全保护由两个UE执行，或由UE和应用服务器执行，或由UE和PGW执行。

本实施例的方法，第一安全策略执行设备根据业务数据的安全参考信息，确定业务数据的安全策略，根据业务数据的安全策略，对业务数据进行加密运算和完整性保护，并将安全策略的指示信息携带在业务数据的数据包的包头中发送给第二安全策略执行设备，以使第二安全策略执行设备根据业务数据的安全策略的指示信息确定业务数据的安全策略，进而根据确定的安全策略进行解密运算和完整性验证。通过根据业务数据的安全参考信息确定业务数据的安全策略，可以对不同类型的业务数据进行差异性保护，不但保证了数据传输的安全性，同时能够提高获取数据的效率。

图6为本发明实施例三提供的安全策略执行设备的结构示意图，如图6所示，本实施例提供的安全策略执行设备包括：获取模块11、确定模块12和安全保护模块13。

获取模块11，用于获取业务数据的承载信息；

确定模块12，用于根据所述获取模块11获取的业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定所述业务数据的安全策略；

安全保护模块13，用于根据所述确定模块12确定的业务数据的安全策略，对所述业务数据进行安全保护。

可选的，所述安全策略包括安全算法和安全参数。

可选的，所述承载信息包括：承载的服务质量分类标识QCI或承载的标识。

当所述承载信息包括所述承载的QCI时，所述确定模块12具体用于：根据所述承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定所述业务数据的安全策略。

当所述承载信息包括所述承载的标识时，所述确定模块12具体用于：根据所述承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定所述业务数据的安全策略。可选的，所述QCI与安全策略的对应关系存储在QCI表中。

本实施例中，安全策略执行设备即可以是业务数据的发送设备，也可以业务数据的接收设备。

当所述安全策略执行设备为所述业务数据的发送设备时，所述安全保护模块13具体用于：根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护。

当所述安全策略执行设备为所述业务数据的接收设备时，所述安全保护模块13具体用于：根据所述业务数据的安全策略，对所述业务数据进行解密运算和完整性验证。

可选的，所述安全策略执行设备还包括接收模块，接收模块用于接收所述承载信息与安全策略之间的对应关系。

可选的，所述安全策略执行设备为用户设备UE、基站或信令管理网元。

本实施例的安全策略执行设备，可用于执行实施例一的方法，具体实现方式和技术效果类似，这里不再赘述。

图7为本发明实施例四提供的第一安全策略执行设备的结构示意图，如图7所示，本实施例提供的第一安全策略执行设备包括：确定模块21、安全保护模块22和发送模块23。

确定模块21，用于根据业务数据的安全参考信息，确定所述业务数据的安全策略；

安全保护模块22，用于根据所述确定模块21确定的所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护；

发送模块23，用于将所述业务数据的安全策略的指示信息携带在所述业务数据的数据包的包头中发送给第二安全策略执行设备，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略。

可选的，所述业务数据的安全策略的指示信息包括所述安全策略的标识或所述业务数据的安全参考信息。

所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。

可选的，所述确定模块21具体用于：根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略；或者，向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。

可选的，所述数据包采用IPv4格式或IPv6格式，当所述数据包采用IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中。当所述数据包采用IPv6格式时，所述业务数据的安全策略的标识携带在所述数据包的IP头的通信类别字段中。

本实施例中，当所述第一安全策略执行设备为UE时，所述第二安全策略执行设备为UE、应用服务器或PGW；当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。

本实施例的第一安全策略执行设备，可用于执行实施例二的方法，具体实现方式和技术效果类似，这里不再赘述。

图8为本发明实施例五提供的第二安全策略执行设备的结构示意图，如图8所示，本实施例提供的第二安全策略执行设备包括：接收模块31、确定模块32和安全保护模块33。

接收模块31，用于接收第一安全策略执行设备发送的数据包，所述数据包携带有业务数据，所述数据包的包头中包括所述业务数据的安全策略的指示信息，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略；

确定模块32，用于根据所述数据包中包括的所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略；

安全保护模块33，用于根据所述确定模块32确定的所述业务数据的安全策略对所述数据包进行解密运算和完整性验证。

可选的，所述业务数据的安全策略的指示信息为所述安全策略的标识或所述业务数据的安全参考信息。所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。

当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述确定模块32具体用于：根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略；或者，向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。

可选的，所述数据包可以采用IPv4格式或当IPv6格式，当所述数据包采用IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中。当所述数据包采用IPv6格式时，所述业务数据的安全策略的指示信息携带在所述数据包的IP头的通信类别字段中。

本实施例的第二安全策略执行设备，可用于执行实施例二的方法，具体实现方式和技术效果类似，这里不再赘述。

图9为本发明实施例六提供的安全策略执行设备的结构示意图，如图9所示，本实施例提供的安全策略执行设备包括：处理器41、存储器42、发送器43和接收器44，存储器42、发送器43和接收器44通过系统总线与处理器41连接并通信，存储器42用于存储计算机程序，本实施例中存储器42还用于存储预设的承载信息与安全策略之间的对应关系。发送器43用于向其他设备发送数据，接收器44用于接收其他设备发送的数据，处理器41用于运行存储器42中存储的程序，以使安全策略执行设备执行实施例一的方法，具体实现方式和技术效果类似，这里不再赘述。

图10为本发明实施例七提供的第一安全策略执行设备的结构示意图，如图10所示，本实施例提供的第一安全策略执行设备包括：处理器51、存储器52、发送器53和接收器54，存储器52、发送器53和接收器54通过系统总线与处理器51连接并通信，存储器52用于存储计算机程序，发送器53用于向其他设备发送数据，接收器54用于接收其他设备发送的数据，处理器51用于运行存储器52中存储的程序，以使第一安全策略执行设备执行实施例二的方法，具体实现方式和技术效果类似，这里不再赘述。

图11为本发明实施例八提供的第二安全策略执行设备的结构示意图，如图11所示，本实施例提供的第二安全策略执行设备包括：处理器61、存储器62、发送器63和接收器64，存储器62、发送器63和接收器64通过系统总线与处理器61连接并通信，存储器62用于存储计算机程序，发送器63用于向其他设备发送数据，接收器64用于接收其他设备发送的数据，处理器61用于运行存储器62中存储的程序，以使第二安全策略执行设备执行实施例二的方法，具体实现方式和技术效果类似，这里不再赘述。

图12为本发明实施例九提供的安全系统的结构示意图，如图12所示，本实施例提供的安全系统包括第一安全策略执行设备700和第二安全策略执行设备800，第一安全策略执行设备700可以为图10所示的第一安全策略执行设备，第二安全策略执行设备800可以为图11所示的第二安全策略执行设备。或者，第一安全策略执行设备700和第二安全策略执行设备800都为图10所示的安全策略执行设备，其中，第一安全策略执行设备700可以为业务数据的发送设备，相应的，第二安全策略执行设备800为业务数据的接收设备。可选的，该安全系统还可以包括安全策略确定设备。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种安全策略的执行方法，其特征在于，包括：

安全策略执行设备获取业务数据的承载信息；

所述安全策略执行设备根据所述业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定所述业务数据的安全策略；

所述安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行安全保护。
根据权利要求1所述的方法，其特征在于，所述承载信息包括：承载的服务质量分类标识QCI或承载的标识。
根据权利要求2所述的方法，其特征在于，当所述承载信息包括所述承载的QCI时，所述安全策略执行设备根据所述承载信息，确定所述业务数据的安全策略，包括：

所述安全策略执行设备根据所述承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求3所述的方法，其特征在于，所述QCI与安全策略的对应关系存储在QCI表中。
根据权利要求2所述的方法，其特征在于，当所述承载信息包括所述承载的标识时，所述安全策略执行设备根据所述承载信息，确定所述业务数据的安全策略，包括：

所述安全策略执行设备根据所述承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求1-5任一项所述的方法，其特征在于，当所述安全策略执行设备为所述业务数据的发送设备时，所述安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行安全保护，包括：

所述安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护。
根据权利要求1-5任一项所述的方法，其特征在于，当所述安全策略执行设备为所述业务数据的接收设备时，所述安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行安全保护，包括：

所述安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行解密运算和完整性验证。
根据权利要求1-7任一项所述的方法，其特征在于，在所述安全策略执行设备获取业务数据的承载信息之前，所述方法还包括：

所述安全策略执行设备接收所述承载信息与安全策略之间的对应关系。
根据权利要求1-8任一项所述方法，其特征在于，所述安全策略包括安全算法和安全参数。
根据权利要求1-9任一项所述的方法，其特征在于，所述安全策略执行设备为用户设备UE、基站或信令管理网元。
一种安全策略的执行方法，其特征在于，包括：

第一安全策略执行设备根据业务数据的安全参考信息，确定所述业务数据的安全策略；

所述第一安全策略执行设备根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护；

所述第一安全策略执行设备将所述业务数据的安全策略的指示信息携带在所述业务数据的数据包的包头中发送给第二安全策略执行设备，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略。
根据权利要求11所述的方法，其特征在于，所述第一安全策略执行设备根据业务数据的安全参考信息，确定所述业务数据的安全策略，包括：

所述第一安全策略执行设备根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求11所述的方法，其特征在于，所述第一安全策略执行设备根据业务数据的安全参考信息，确定所述业务数据的安全策略，包括：

所述第一安全策略执行设备向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

所述第一安全策略执行设备接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求11-13任一项所述的方法，其特征在于，所述业务数据的安全策略的指示信息包括所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求11-14任一项所述的方法，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的标识携带在所述数据包的IP头的通信类别字段中。
根据权利要求11-15任一项所述的方法，其特征在于，所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求11-16任一项所述的方法，其特征在于，当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。
一种安全策略的执行方法，其特征在于，包括：

第二安全策略执行设备接收第一安全策略执行设备发送的数据包，所述数据包携带有业务数据，所述数据包的包头中包括所述业务数据的安全策略的指示信息，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略；

所述第二安全策略执行设备根据所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略；

所述第二安全策略执行设备根据所述业务数据的安全策略对所述数据包进行解密运算和完整性验证。
根据权利要求18所述的方法，其特征在于，所述业务数据的安全策略的指示信息为所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求19所述的方法，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述第二安全策略执行设备根据所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略，包括：

所述第二安全策略执行设备根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求19所述的方法，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述第二安全策略执行设备根据所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略，包括：

所述第二安全策略执行设备向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

所述第二安全策略执行设备接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求18-21任一项所述的方法，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的指示信息携带在所述数据包的IP头的通信类别字段中。
根据权利要求18-22任一项所述的方法，其特征在于，所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求18-22任一项所述的方法，其特征在于，当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。
一种安全策略执行设备，其特征在于，包括：

获取模块，用于获取业务数据的承载信息；

确定模块，用于根据所述业务数据的承载信息和预设的承载信息与安全策略之间的对应关系，确定所述业务数据的安全策略；

安全保护模块，用于根据所述业务数据的安全策略，对所述业务数据进行安全保护。
根据权利要求25所述的设备，其特征在于，所述承载信息包括：承载的服务质量分类标识QCI或承载的标识。
根据权利要求26所述的设备，其特征在于，当所述承载信息包括所述承载的QCI时，所述确定模块具体用于：

根据所述承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求27所述的设备，其特征在于，所述QCI与安全策略的对应关系存储在QCI表中。
根据权利要求26所述的设备，其特征在于，当所述承载信息包括所述承载的标识时，所述确定模块具体用于：

根据所述承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求25-29任一项所述的设备，其特征在于，当所述安全策略执行设备为所述业务数据的发送设备时，所述安全保护模块具体用于：

根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护。
根据权利要求25-29任一项所述的设备，其特征在于，当所述安全策略执行设备为所述业务数据的接收设备时，所述安全保护模块具体用于：

根据所述业务数据的安全策略，对所述业务数据进行解密运算和完整性验证。
根据权利要求25-31任一项所述的设备，其特征在于，还包括：

接收模块，用于接收所述承载信息与安全策略之间的对应关系。
根据权利要求25-32任一项所述的设备，其特征在于，所述安全策略包括安全算法和安全参数。
根据权利要求25-32任一项所述的设备，其特征在于，所述安全策略执行设备为用户设备UE、基站或信令管理网元。
一种第一安全策略执行设备，其特征在于，包括：

确定模块，用于根据业务数据的安全参考信息，确定所述业务数据的安全策略；

安全保护模块，用于根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护；

发送模块，用于将所述业务数据的安全策略的指示信息携带在所述业务数据的数据包的包头中发送给第二安全策略执行设备，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略。
根据权利要求35所述的设备，其特征在于，所述确定模块具体用于：

根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求35所述的设备，其特征在于，所述确定模块具体用于：

向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求35-37任一项所述的设备，其特征在于，所述业务数据的安全策略的指示信息包括所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求38所述的设备，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的标识携带在所述数据包的IP头的通信类别字段中。
根据权利要求35-37任一项所述的设备，其特征在于，所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求35-40任一项所述的设备，其特征在于，当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。
一种第二安全策略执行设备，其特征在于，包括：

接收模块，用于接收第一安全策略执行设备发送的数据包，所述数据包携带有业务数据，所述数据包的包头中包括所述业务数据的安全策略的指示信息，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略；

确定模块，用于根据所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略；

安全保护模块，用于根据所述业务数据的安全策略对所述数据包进行解密运算和完整性验证。
根据权利要求42所述的设备，其特征在于，所述业务数据的安全策略的指示信息为所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求43所述的设备，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述确定模块具体用于：

根据所述业务数据的安全参考信息，以及预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求43所述的设备，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述确定模块具体用于：

向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求42-45任一项所述的设备，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的指示信息携带在所述数据包的IP头的通信类别字段中。
根据权利要求42-46任一项所述的设备，其特征在于，所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求42-47任一项所述的设备，其特征在于，当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。
一种安全策略执行设备，其特征在于，包括：处理器和存储器；

所述存储器，用于存储预设的承载信息与安全策略之间的对应关系；

所述处理器用于：

获取业务数据的承载信息；

根据所述业务数据的承载信息和所述预设的承载信息与安全策略之间的对应关系，确定所述业务数据的安全策略；

根据所述业务数据的安全策略，对所述业务数据进行安全保护。
根据权利要求49所述的设备，其特征在于，所述承载信息包括：承载的服务质量分类标识QCI或承载的标识。
根据权利要求50所述的设备，其特征在于，当所述承载信息包括所述承载的QCI时，所述处理器具体用于：

根据所述承载的QCI，以及预设的QCI与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求51所述的设备，其特征在于，所述QCI与安全策略的对应关系存储在QCI表中。
根据权利要求50所述的设备，其特征在于，当所述承载信息包括所述承载的标识时，所述处理器具体用于：

根据所述承载的标识，以及预设的承载的标识与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求49-53任一项所述的设备，其特征在于，当所述安全策略执行设备为所述业务数据的发送设备时，所述处理器具体用于：

根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护。
根据权利要求49-53任一项所述的设备，其特征在于，当所述安全策略执行设备为所述业务数据的接收设备时，所述处理器具体用于：

根据所述业务数据的安全策略，对所述业务数据进行解密运算和完整性验证。
根据权利要求49-55任一项所述的设备，其特征在于，还包括：

接收器，用于接收所述承载信息与安全策略之间的对应关系。
根据权利要求49-56任一项所述的设备，其特征在于，所述安全策略包括安全算法和安全参数。
根据权利要求49-57任一项所述的设备，其特征在于，所述安全策略执行设备为用户设备UE、基站或信令管理网元。
一种第一安全策略执行设备，其特征在于，包括：处理器和发送器；

所述处理器，用于根据业务数据的安全参考信息，确定所述业务数据的安全策略；

所述处理器，还用于根据所述业务数据的安全策略，对所述业务数据进行加密运算和完整性保护；

所述发送器，用于将所述业务数据的安全策略的指示信息携带在所述业务数据的数据包的包头中发送给第二安全策略执行设备，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略。
根据权利要求59所述的设备，其特征在于，还包括存储器；

所述存储器，用于存储预设的安全参考信息与安全策略之间的对应关系；

所述处理器具体用于：根据所述业务数据的安全参考信息，以及所述预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求59所述的设备，其特征在于，还包括接收器，所述处理器具体用于：

控制所述发送模块向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

控制所述接收器接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求59-61任一项所述的设备，其特征在于，所述业务数据的安全策略的指示信息包括所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求59-62任一项所述的设备，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的标识携带在所述数据包的IP头的通信类别字段中。
根据权利要求59-63任一项所述的设备，其特征在于：所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求59-64任一项所述的设备，其特征在于：当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。
一种第二安全策略执行设备，其特征在于，包括：接收器和处理器；

所述接收器，用于接收第一安全策略执行设备发送的数据包，所述数据包携带有业务数据，所述数据包的包头中包括所述业务数据的安全策略的指示信息，所述业务数据的安全策略的指示信息用于指示所述第一安全策略执行设备对所述业务数据进行加密运算和完整性保护所采用的安全策略；

所述处理器，用于根据所述业务数据的安全策略的指示信息，确定所述业务数据的安全策略；

所述处理器，还用于根据所述业务数据的安全策略对所述数据包进行解密运算和完整性验证。
根据权利要求66所述的设备，其特征在于，所述业务数据的安全策略的指示信息为所述安全策略的标识或所述业务数据的安全参考信息。
根据权利要求67所述的设备，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述设备还包括存储器；

所述存储器，用于存储预设的安全参考信息与安全策略之间的对应关系；

所述处理器具体用于：根据所述业务数据的安全参考信息，以及所述预设的安全参考信息与安全策略之间的对应关系，确定所述业务数据的安全策略。
根据权利要求67所述的设备，其特征在于，当所述业务数据的安全策略的指示信息为所述业务数据的安全参考信息时，所述设备还包括发送器；

所述处理器具体用于：

控制所述发送器向安全策略确定设备发送安全策略请求消息，所述安全策略请求消息中包括所述业务数据的安全参考信息；

控制所述接收器接收所述安全策略确定设备发送的安全策略响应消息，所述安全策略响应消息中包括所述业务数据的安全策略，所述业务数据的安全策略是所述安全策略确定设备根据所述业务数据的安全参考信息确定的。
根据权利要求66-69任一项所述的设备，其特征在于：

当所述数据包采用互联网协议第4版IPv4格式时，所述业务数据的安全策略的指示信息携带在所述数据包的互联网协议IP头的服务类型字段中；或者，

当所述数据包采用互联网协议第6版IPv6格式时，所述业务数据的安全策略的指示信息携带在所述数据包的IP头的通信类别字段中。
根据权利要求66-70任一项所述的设备，其特征在于：所述业务数据的安全参考信息包括所述业务数据的数据属性、所述业务数据的业务属性、用户设备的属性、所述业务数据的安全等级、所述业务数据的保护类型以及所述第一安全策略执行设备的标识中的至少一种，其中，所述保护类型包括路径保护或数据内容保护；或者，

所述业务数据的安全参考信息包括所述业务数据的服务质量分类标识QCI。
根据权利要求66-71任一项所述的设备，其特征在于，当所述第一安全策略执行设备为用户设备UE时，所述第二安全策略执行设备为UE、应用服务器或分组数据网关PGW；或者，

当所述第一安全策略执行设备为应用服务器时，所述第二安全策略执行设备为UE；或者，

当所述第一安全策略执行设备为PGW时，所述第二安全策略执行设备为UE。