安全关联获取方法及装置的制作方法

专利名称：安全关联获取方法及装置的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种安全关联获取方法及装置。
背景技术：
在基站(Base Staion，以下简称为BS)-网关(GateWay，以下简称为GW)的接入 网系统中，有多种类型的空中接口业务流。这些业务流可以分为两类一种是安全保护级别 需求低的业务流，例如普通的上网看电影或文件传输协议(File Transfer Protocol,简称 为FTP)等业务流；另一种是安全保护级别需求高的业务流，例如银行转帐等业务流。
现有的BS可以根据在BS上设置的业务流安全保护开关来判断是否对该BS接入 的业务流进行安全保护。例如当业务流安全保护开关设置为开时，BS对该BS接入的所有 的业务流都进行安全保护；当加密开关设置为关时，BS对该BS接入的所有的业务流都不进 行安全保护。由此，现有的BS无法做到针对不同的业务流进行不同安全级别的安全保护。

发明内容
本发明实施例提供一种安全关联获取方法及装置，用以实现针对不同的业务流进 行不同级别的安全保护。 本发明实施例提供一种安全关联获取方法，包括 接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信 息； 根据与用户终端共同支持的安全能力以及所述安全关联属性信息，获取安全关 联，以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
本发明实施例还提供一种安全关联获取方法，包括 接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信 息； 获取安全关联属性信息，并根据所述安全执行实体与用户终端共同支持的安全能 力以及获取的安全关联属性信息，将包括与所述安全能力匹配的安全关联参数的业务流属 性信息发送给所述安全执行实体，以使所述安全执行实体根据所述安全关联参数获取安全 关联。 本发明实施例还提供一种安全关联获取方法，包括 将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实体； 接收所述安全传输实体或管理实体根据所述安全能力信息和安全关联属性信息、
发送的包括与所述安全能力信息匹配的安全关联参数的业务流属性信息； 根据所述安全关联参数获取安全关联，以根据所述安全关联对所述安全关联属性
信息对应的业务流进行安全保护。 本发明实施例提供一种安全执行实体，包括 第一接收模块，用于接收管理实体通过安全传输实体发送的包括安全关联属性信
5息的业务流属性信息； 第一获取模块，用于根据与用户终端共同支持的安全能力以及所述安全关联属性 信息，获取安全关联，以根据获取的所述安全关联对所述安全关联属性信息对应的业务流 进行安全保护。 本发明实施例提供一种安全关联获取装置，包括 第二接收模块，用于接收安全执行实体发送的、所述安全执行实体与用户终端共 同支持的安全能力信息； 第二发送模块，用于获取安全关联属性信息，并根据所述安全执行实体与用户终 端共同支持的安全能力以及所述安全关联属性信息，将包括与所述安全能力匹配的安全关 联参数的业务流属性信息发送给所述安全执行实体，以使所述安全执行实体根据所述安全 关联参数获取安全关联。 本发明实施例的安全关联获取方法及装置，通过业务流属性信息中的安全关联属 性信息来对该业务流进行安全保护，安全执行实体根据该安全关联属性信息，以及该安全 执行实体与用户终端共同支持的安全能力，获取与业务流对应的安全关联，通过该安全关 联对业务流进行安全保护，实现了针对不同的业务流可以进行选择性的安全保护。


为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使 用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本 领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的 附图。
图1为本发明安全关联获取方法实施例一的流程图；
图2为本发明安全关联获取方法实施例二的流程图；
图3为本发明安全关联获取方法实施例三的信令图；
图4为本发明安全关联获取方法实施例四的信令图；
图5为本发明安全关联获取方法实施例五的流程图；
图6为本发明安全关联获取方法实施例六的流程图；
图7为本发明安全关联获取方法实施例七的流程图；
图8为本发明安全关联获取方法实施例八的信令图；
图9为本发明安全执行实体实施例一的结构图；
图10为本发明安全执行实体实施例二的结构图；
图11为本发明安全关联获取装置实施例一的结构图；
图12为本发明安全关联获取装置实施例二的结构图；
图13为本发明安全执行实体实施例三的结构图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例 中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
空口协议中指定了终端和基站通讯的安全关联(Security Association,以下简 称为SA)属性信息，其中，SA是两个通讯实体之间的安全能力的协商参数集。然而关于 SA如何使用，空口协议802. 16e和网络工作组(Network Group,以下简称为丽G)协议都 没明确指示；其中丽G是世界微波接入互通(Worldwide Interoperability of Microwave Access,以下简称为WiMAX)论坛的一个技术组；本发明以下各实施例提供一种使用SA来 实现针对不同业务流进行不同安全级别的安全保护的方案。 本发明各实施例可以应用在多种系统中，在不同的系统中，管理实体、安全执行 实体和安全传输实体可以对应不同的实际产品，多个实体的实现可以在一个产品中；其
中安全传输实体又可以称为安全属性及计费实体。本发明以下各实施例以应用在世界微 波接入互通(Worldwidelnteroperability of Microwave Access,以下简称为Wi恵) 系统为例进行说明。在WiMAX系统中，管理实体可以为认证授权记帐(Authentication, Authorization, Accounting,以下简称为AAA)服务器，安全执行实体可以为BS，安全传输 实体可以为GW。需要说明的是，本发明实施例并不限于应用在WiMAX系统。
在本发明实施例提供的技术方案中可以包括以下情况(l)在BS侧进行是否对业 务流进行安全保护的判断；(2)在GW侧进行是否对业务流进行安全保护的判断；(3)在核 心网AAA服务器侧进行是否对业务流进行安全保护的判断。下面通过具体实施例分别进行 说明。 图1为本发明安全关联获取方法实施例一的流程图，本实施例是在BS侧进行判断 的情况，如图1所示，该方法包括 步骤101、接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务 流属性信息。 例如，AAA服务器为管理实体，GW为安全传输实体。AAA服务器中存储有用户签约 信息，该用户签约信息中包括用户注册的业务流属性信息，业务流属性信息用于描述用户 得到的服务的各种参数。当该业务流需要进行安全保护时，该业务流对应的业务流属性信 息中包括有安全关联属性信息；当该业务流不需要安全保护时，该业务流对应的业务流属 性信息中就不包括安全关联属性信息。 AAA服务器在对接入网络的用户终端认证成功后，向GW发送业务流属性信息，GW 将该业务流属性信息转发给BS。 步骤102、根据与用户终端共同支持的安全能力以及安全关联属性信息，获取安全
关联，以根据获取的安全关联对安全关联属性信息对应的业务流进行安全保护。 BS对接收到的业务流属性信息进行判断。若一业务流属性信息中包括有安全关联
属性信息，则获知需要对该业务流进行安全保护；若一业务流属性信息中不包括安全关联
属性信息，则获知不需要对该业务流进行安全保护。 在用户终端接入网络后，用户终端会将其自身的安全能力上报给BS。 BS将其自身 的安全能力与用户终端的安全能力取交集，即获取BS和用户终端都支持的安全能力。
当BS获知需要对某个业务流进行安全保护时，BS根据其与用户终端都支持的安 全能力以及接收到的该业务流属性信息中的安全关联属性信息，获取一安全关联，然后BS 使用该安全关联可以对该业务流进行安全保护。BS根据不同的安全关联属性信息，可以获
7取到不同安全级别的安全关联，根据该安全关联就可以对不同的业务流进行不同安全级别
的安全保护。其中，获取安全关联可以包括BS在自身查找是否存储有符合条件的安全关
联，若有，则直接获取，若没有则创建；或者BS直接创建出符合条件的安全关联。 其中，安全关联属性信息可以包括安全关联类型、安全关联业务类型和加密套件，
还可以包括业务加密密钥参数，例如密钥、密钥序列号、密钥生命周期、初始化向量和密
钥父钥序列号等。
安全保护可以包括加密、解密、数据鉴权等。BS根据安全关联对业务流进行安全
保护的流程具体可以为BS通过启动SA管理状态机来维护管理SA，BS控制面把SA配置到
数据面中，BS中数据面接收到发送给终端对应业务流的数据包，首先读取配置中的SA属性
参数，如果启动数据加密或数据鉴权，则用当前激活的业务加密密钥对数据进行加密或鉴
权，并在处理后的数据包头中设置加密指示、并指示使用的密钥序列号，终端通过此密钥序
列号来查找正确的密钥以进行解密或数据鉴权；BS接收到终端发送上来的数据包，如果数
据包头中的加密指示位被设置为有效，则说明是加密过的数据包，则通过数据包头中的密
钥序列号来找到正确的密钥来对数据解密；由此实现了对业务流进行安全保护。 本实施例的安全关联获取方法，通过业务流属性信息中的安全关联属性信息对该
业务流进行安全保护，安全执行实体根据该安全关联属性信息，以及该安全执行实体与用
户终端共同支持的安全能力，获取与业务流对应的安全关联，通过该安全关联对业务流进
行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。 图2为本发明安全关联获取方法实施例二的流程图，在方法实施例一的基础上，
如图2所示，该方法可以包括 步骤201、管理实体根据接收到的用户终端的身份标识，获取与用户终端对应的包 括业务流属性信息的用户签约信息。 例如，AAA服务器为管理实体，GW为安全传输实体。用户终端入网后，先向AAA服 务器发送身份标识，以进行身份认证。AAA服务器接收到用户终端的身份标识后，根据该身 份标识获取到该用户终端的用户签约信息，该用户签约信息中包括了用户签约的一个或多 个业务流的业务流属性信息；每个业务流对应一个业务流属性信息。其中，该业务流属性信 息中可以包括业务流标识、业务流方向、业务流业务质量QoS、业务流数据隧道、业务流分 类器规则和业务流安全推荐属性等参数。 步骤202、接收管理实体通过安全传输实体发送的业务流属性信息；判断业务流
属性信息中是否包括安全关联属性信息，若业务流属性信息不包括安全关联属性信息，执
行步骤203，若业务流属性信息中包括安全关联属性信息，执行步骤204。 AAA服务器在用户认证成功后，会向GW发送认证成功消息，在该认证成功消息中，
包括该用户签约的业务流属性信息。GW接收到该业务流属性信息后，将该业务流属性信息
转发给BS。 BS对接收到的业务流属性信息进行判断，若该业务流属性信息中包括有安全关联 属性信息，则对该业务流属性信息对应的业务流进行安全保护，若该业务流属性信息中没 有包括安全关联属性信息，则无需对该业务流属性信息对应的业务流进行安全保护。
步骤203、若判断该业务流属性信息对应的业务流为非安全业务，则不对该业务流
进行安全保护，结束。
8
步骤204、判断安全执行实体与用户终端共同支持的安全能力是否支持安全关联 属性信息，是则执行步骤205，否则执行步骤206。 安全关联属性信息(RecommendedServiceSecurity IE)可以包括推荐等级参数 (RecommendedLevel)、匹配优先级参数(Matching Level)、安全关联类型(SA Type)、安全 关联业务类型(SA Service Type)和加密套件(Cryptogr即hic List)。
其中，推荐等级参数可以为1个字节长度，该参数表示该安全关联业务推荐的强 度。当推荐等级参数为第一推荐等级参数时，表示该安全关联业务的推荐强度很高，即要求 该业务流一定要根据该安全关联属性信息来进行安全保护；若BS与用户终端共同的安全 能力无法支持该安全关联业务，则BS就拒绝该安全关联业务，同时拒绝传输该业务流；该 业务流可以经由其他安全能力高的BS进行传输。当推荐等级参数为第二推荐等级参数时， 表示该安全关联业务的推荐强度较低，即没有严格要求该业务流一定要根据该安全关联属 性信息来进行安全保护；若BS与用户终端共同的安全能力无法支持该安全关联业务，则BS 就根据支持的安全能力选择或创建最接近的安全关联。 匹配优先级参数可以为1字节长度，表示安全关联类型、安全关联业务类型和加 密套件的优先级的高低。当BS创建最接近的安全关联时，根据该匹配优先级参数来选择或 创建最接近的安全关联。 安全关联类型可以为1字节长度，表示安全关联类型是主SA(PrimarySA)、静态 SA(Staitic SA)或动态SA (Dynamic SA)。 加密套件可以为3个字节长度，表示数据加密、数据认证和TEK加密方法。如果BS 或终端任一方不支持加密，则安全关联中加密套件属性可以设置为不使用加密方法。
步骤205、根据安全关联类型、安全关联业务类型和加密套件获取第一安全关联； 并将第一安全关联对应的安全级别发送给安全传输实体，以使安全传输实体根据安全级别 对第一安全关联对应的业务流进行计费。 BS根据接收到的业务流属性信息中的安全关联类型、安全关联业务类型和加密 套件选择或创建第一安全关联，该第一安全关联为BS和用户终端的安全能力都支持的；然 后BS根据该第一安全关联对该业务流属性信息对应的业务流进行安全保护。例如该第 一安全关联包括动态安全关联、单播业务和加密套件，该加密套件包括数据加密(CCM
mode 128bits AES)、数据鉴权(CCM mode)、业务加密密钥TEK加密方法(AES key wrap withl28-bit key)。若BS中存储有与第一安全关联相同的安全关联，则BS在向用户面配 置业务流信息时指明保护此业务流的安全关联标识，BS在发送MS对应业务流的下行数据 时使此安全关联的功能对数据进行保护(通过TEK和相应的算法进行数据鉴权、数据加密 等处理)，BS在接收到MS对应业务流的上行数据时同样通过业务流对应的安全关联标识来 查找到安全关联，通过安全关联对数据进行鉴权或解密(通过TEK和相应的算法进行数据 鉴权、数据解密等处理。 BS创建的每个安全关联，都对应有安全级别，对于不同的安全级别可以执行不同
的计费标准。当BS没有对业务流进行安全保护时，也对应一种计费标准。 BS将获取到的第一安全关联对应的安全级别发送给GW ;以使GW根据该安全级别
对该第一安全关联对应的业务流进行计费，以实现根据保密性的高低对业务流执行不同的
计费。其中，BS可以在选择或创建第一安全关联之后，将该第一安全关联对应的安全级别发送给GW;BS也可以在步骤204中判断出BS与MS共同支持的安全能力能够支持安全关联 属性信息之后，而在选择或创建第一安全关联之前，就将待获取的第一安全关联对应的安 全级别发送给GW，此时虽然BS还没有选择或创建第一安全关联，但BS经过判断已经获知待 选择或创建的第一安全关联对应的安全级别。 步骤206、判断推荐等级参数的类型，若推荐等级参数为第一推荐等级参数，则执 行步骤207，若推荐等级参数为第二推荐等级参数，则执行步骤208。
步骤207、安全执行实体拒绝创建安全关联，结束。 若BS判断出推荐等级参数为第一推荐等级参数，即该业务流的安全推荐等级为 高，而BS和用户终端的安全能力又无法支持创建该安全关联，则BS拒绝创建安全关联。该 业务流的安全保护可以通过其他BS来完成，例如可以通过空口的消息重新指配或切换消 息指示终端选择到其他BS来入网，消息中指示推荐的BS的信息，终端则选择推荐的BS作 为目标BS。 步骤208、根据通过匹配优先级参数选取的安全关联类型、安全关联业务类型和加
密套件，选择或创建第二安全关联；并将第二安全关联对应的安全级别发送给安全传输实
体，以使安全传输实体根据安全级别对第二安全关联对应的业务流进行计费。 其中，BS可以在选择或创建第二安全关联之后，将该第二安全关联对应的安全级
别发送给GW ;BS也可以在步骤206中判断出推荐等级参数为第二推荐等级参数之后，而在
选择或创建第二安全关联之前，就将待获取的第二安全关联对应的安全级别发送给GW，此
时虽然BS还没有选择或创建第二安全关联，但BS经过判断已经获知待选择或创建的第二
安全关联对应的安全级别。 若BS判断出推荐等级参数为第二推荐等级参数，即该业务流的安全推荐等级为 低，则在BS和用户终端的安全能力不支持创建该安全关联时，BS根据匹配优先级参数选择 或创建一最接近的第二安全关联；其中，上述不支持可以为BS与用户终端共同的安全能 力与安全关联属性信息完全不匹配或部分不匹配。匹配优先级参数定义了安全关联类型、 安全关联业务类型和加密套件这三个参数的优先级，对于不同类型的业务流，这三个参数 的优先级可能不同。BS根据匹配优先级参数选择或创建一最接近的第二安全关联具体可 以为BS根据匹配优先级参数，选取安全关联类型、安全关联业务类型和加密套件这三个 参数中优先级最高的一个，然后判断BS与用户终端共同的安全能力能否支持该参数；若支 持，则根据该参数选择或创建第二安全关联，若不支持，则选取与该参数最接近的参数选择 或创建安全关联。例如若匹配优先级参数指示安全关联类型的优先级最高，安全关联属性 信息中的安全关联类型是动态安全关联，但基站不支持动态安全关联，则基站优先选择基 本安全关联来选择或创建安全关联方法；若匹配优先级参数指示加密套件的优先级最高， 安全关联属性信息中的数据加密方式为CBC mode 128-bit AES，但基站不支持这种数据加 密方式，则基站从和终端共同支持的加密方式中优先选择数据加密方式最接近CCM mode AES的来选择或创建安全关联方法。 下面举例说明匹配优先级参数的使用，匹配优先级参数可以为6位二进制数，并 以2位一组分成3组，这3组数从左到右分别表示安全关联类型、安全关联业务类型、加密 套件的匹配符合度。假设接收的匹配优先级参数为十进制数6，则十进制6对应的二进制数 为000110，00、01、10分别表示安全关联类型、安全关联业务类型、加密套件的匹配符合度，最高位的00表示安全关联类型允许任何类型安全关联(匹配符合度低)、中间的01表示表 示安全关联业务类型要尽量满足(匹配符合度中)、最低位的10表示加密套件要优先满足 (匹配符合度高)。 本发明实施例中选择或创建的安全关联可以对应不同的安全级别，由此可以实现 对不同类型的业务实现不同级别的安全保护，例如对于一些需要高保密性的业务流，可以 使用安全级别高的安全关联属性信息以建立安全级别高的安全关联。 需要说明的是，推荐等级参数可以分为多种级别，以表示对该业务流进行安全保 护的不同程度的要求。最高等级的推荐等级参数可以表示一定要完全依照安全关联属性 信息进行安全关联的创建；最低等级的推荐等级参数可以表示安全执行实体可以根据安 全执行实体和对端通讯实体共同支持的安全能力情况直接选择或创建安全关联，而不用根 据安全关联属性信息的指示；介于最高和最低等级之间的推荐等级参数，可以结合匹配优 先级参数来选择或创建最接近安全关联，例如某个介于最高和最低等级之间的推荐等级 参数可以表示，当优先级最高的一个参数被BS与用户终端共同的安全能力支持时，根据该 参数创建第二安全关联，否则拒绝创建安全关联。本发明并不限定选择或创建最接近安全 关联的方法。 本实施例的安全关联获取方法，除了具有方法实施例一的有益效果之外，还能根 据安全属性信息建立具有不同安全级别的安全关联，实现了针对不同安全级别的业务流可 以进行不同安全级别的安全保护，并根据不同安全级别的安全保护对业务流进行计费。
本发明方法实施例一和实施例二中描述的GW向BS发送业务流属性信息，可以有 两种情况一是GW主动向BS发送的，二是BS向GW请求发送的。下面在方法实施例一和方 法实施例二的基础上，通过具体实施例说明这两种情况。 图3为本发明安全关联获取方法实施例三的信令图，本实施例是GW主动向BS发 送业务流属性信息的情况，在本发明方法实施例一和方法实施例二的基础上，如图3所示， 该方法包括 步骤301、在认证成功后AAA给GW发送Access-Ac印t消息，表示认证成功，其中携 带AAA配置的业务流属性信息。 终端(Mobile Station,以下简称为MS)在初始入网、切换重入网或空闲模式 (IDLE)重入网过程中，向AAA上报用户信息以进行认证。 步骤302、GW通过发送Path_Reg_Req消息向BS发起建立数据通讯链路的请求，其
中Path_Reg_Req消息中包括业务流属性信息。 GW通过Path_Reg_Req消息把业务流属性信息发送给BS。 步骤303、BS接收到GW发送的建立请求后，对Path_Reg_Req消息中的业务流属性 信息进行判断，通过Path_Reg_Rsp消息对该请求进行响应，并通过Path_Reg_Rsp消息将判 断的结果发送给GW。 BS对接收到的业务流属性信息进行判断，若其中包括有安全关联属性信息，则根 据BS与MS共同的安全能力判断进行以下哪种操作获取安全关联、获取最接近的安全关联 或拒绝获取安全关联；其中，当判断出获取安全关联或者判断出获取最接近的安全关联时， BS同时也获知了待获取的安全关联或最接近的安全关联对应的安全级别，BS通过Path— Reg_Rsp消息将BS选择的操作和待获取的安全关联对应的安全级别返回给GW。
步骤304、 GW通过向BS发送Path_Reg_Ack消息来对数据通讯链路的建立进行确 认。 GW通过Path_Reg_Ack消息通知BS， GW同意了 BS选择的操作。 步骤305、 BS根据其自身与MS共同的安全能力，以及安全关联属性信息获取安全
关联，或者拒绝创建安全关联。 当BS选择或创建安全关联后，BS通过该安全关联对相应的业务流进行安全保护。 具体选择或创建安全关联以及根据安全关联对业务流进行包括的过程参见前述各实施例 中的描述，在此不再赘述。 可选的，GW对BS与MS之间传输的业务流进行计费时，可以根据对业务流进行安 全保护的级别高低进行不同的计费，例如当根据该安全关联对相应的业务流进行安全保 护时，GW可以根据Path_Reg_RSp消息携带的该安全关联对应的安全级别对该业务流进行 计费，并将计费信息通过Accounting—Start消息发送给AAA。 本实施例的安全关联获取方法，除了具有方法实施例一的有益效果之外，还能根 据安全属性信息建立具有不同安全级别的安全关联，实现了针对不同安全级别的业务流可 以进行不同安全级别的安全保护，并根据不同安全级别的安全保护对业务流进行计费。
图4为本发明安全关联获取方法实施例四的信令图，本实施例是BS向GW请求发 送业务流属性信息的情况，在本发明方法实施例一和方法实施例二的基础上，如图4所示， 该方法包括 步骤401、在认证成功后AAA给GW发送Access-Ac印t消息，表示认证成功，其中携 带AAA配置的业务流属性信息。 步骤402、 BS通过发送Path_Reg_Req消息向GW发起建立数据通讯链路的请求。
步骤403、GW接收到BS发送的建立数据通讯链路的请求后，通过Path_Reg_RSp消 息对该请求进行响应，其中Path_Reg_RSp消息中包括业务流属性信息。
GW通过Path_Reg_Rsp消息把业务流属性信息发送给BS。 步骤404、BS对Path_Reg_Itep消息中的业务流属性信息进行判断，通过向GW发送 Path_Reg_ACk消息来对数据通讯链路的建立进行确认，并通过Path_Reg_Ack消息将判断 的结果发送给GW。 BS对接收到的业务流属性信息进行判断，若其中包括有安全关联属性信息，则根 据BS与MS共同的安全能力判断进行以下哪种操作获取安全关联、获取最接近的安全关联 或拒绝获取安全关联；其中，当判断出获取安全关联或者判断出获取最接近的安全关联时， BS同时也获知了待获取的安全关联或最接近的安全关联对应的安全级别，BS通过Path— Reg_Ack消息将BS选择的操作和待获取的安全关联对应的安全级别返回给GW。
步骤405、 BS根据其自身与MS共同的安全能力，以及安全关联属性信息获取安全 关联，或者拒绝创建安全关联。 当BS选择或创建安全关联后，BS通过该安全关联对相应的业务流进行安全保护。 具体选择或创建安全关联以及根据安全关联对业务流进行包括的过程参见前述各实施例 中的描述，在此不再赘述。 可选的，GW对BS与MS之间传输的业务流进行计费时，可以根据对业务流进行安 全保护的级别高低进行不同的计费，例如当根据该安全关联对相应的业务流进行安全保护时，GW可以根据Path_Reg_ACk消息中包括的该安全关联对应的安全级别对该业务流进 行计费，并将计费信息通过Accounting—Start消息发送给AAA。 本实施例的安全关联获取方法，除了具有方法实施例一的有益效果之外，还能根 据安全属性信息建立具有不同安全级别的安全关联，实现了针对不同安全级别的业务流可 以进行不同安全级别的安全保护，并根据不同安全级别的安全保护对业务流进行计费。
图5为本发明安全关联获取方法实施例五的流程图，本实施例是在GW侧或者AAA 侧进行判断的情况，如图5所示，该方法包括 步骤501、接收安全执行实体发送的、安全执行实体与用户终端共同支持的安全能 力信息。 例如，BS为安全执行实体，AAA服务器为管理实体，GW为安全传输实体。在MS接
入网络后，MS会将其自身的安全能力上报给BS。 BS将其自身的安全能力与MS的安全能力
取交集，即获取BS和MS都支持的安全能力。然后BS将其自身与MS都支持的安全能力上
报给GW，或者BS将其自身与MS都支持的安全能力通过GW上报给AAA。 当本实施例是在GW侧进行判断的情况时，GW接收到BS上报的安全能力信息；当
本实施例是在AAA侧进行判断的情况时，BS将安全能力信息发送给GW，GW再把该安全能力
信息发送给AAA。 步骤502、获取安全关联属性信息，并根据安全执行实体与用户终端共同支持的安
全能力以及安全关联属性信息，将包括与安全能力匹配的安全关联参数的业务流属性信息
发送给安全执行实体，以使安全执行实体根据安全关联参数获取安全关联。 AAA服务器中存储有用户签约信息，该用户签约信息中包括用户注册的业务流属
性信息，业务流属性信息用于描述业务流的参数。当该业务流需要进行安全保护时，该业务
流对应的业务流属性信息中包括有安全关联属性信息；当该业务流不需要安全保护时，该
业务流对应的业务流属性信息中就不包括安全关联属性信息。 当本实施例是在GW侧进行判断的情况时，AAA服务器在对接入网络的用户认证成 功后，向GW发送业务流属性信息；当本实施例是在AAA侧进行判断的情况时，AAA服务器可 以直接获取到业务流属性信息中的安全关联属性信息。下面详细描述在GW侧进行判断的 情况，在AAA侧进行判断的情况与在GW侧进行判断的情况相类似。 GW对接收到的业务流属性信息进行判断。若一业务流属性信息中包括有安全关联 属性信息，则获知需要对该业务流进行安全保护；若一业务流属性信息中不包括安全关联 属性信息，则获知不需要对该业务流进行安全保护。 当GW获知需要对某个业务流进行安全保护时，GW根据BS与MS都支持的安全能力 以及接收到的该业务流属性信息中的安全关联属性信息，获取BS能够选择或创建的一安 全关联对应的安全关联参数，然后GW将包括该安全关联参数的业务流属性信息发送给BS， 以使BS根据该安全关联参数选择或创建一安全关联，然后BS根据该安全关联可以对该业 务流进行安全保护。其中，安全关联属性信息可以包括安全关联类型、安全关联业务类型和 加密套件，BS根据选择或创建的安全关联，可以选择对业务流的加密算法和加密类型，以对 业务流进行保护。其中，获取安全关联可以包括BS在自身查找是否存储有符合条件的安 全关联，若有，则直接获取，若没有则创建；或者BS直接创建出符合条件的安全关联。
本实施例的安全关联获取方法，通过业务流属性信息中是否包括安全关联属性信
13息来判断是否及如何对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信 息，则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的 安全能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体选 择或创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对 不同类型的业务流可以进行选择性的安全保护。 图6为本发明安全关联获取方法实施例六的流程图，本实施例是在GW侧或AAA侧 进行判断、以BS为安全能力执行主体的情况，与本发明方法实施例五相对应，如图6所示， 该方法包括 步骤601、将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实 体。 例如，AAA服务器为管理实体，GW为安全传输实体。BS接收MS上报的MS的安全 能力后，BS将其自身的安全能力与MS的安全能力取交集，即获取BS和MS都支持的安全能 力。然后BS将其自身与MS都支持的安全能力上报给GW或通过GW上报给AAA。本实施例 可以在GW侧进行判断，也可以在AAA侧进行判断，下面详细描述在GW侧进行判断的情况， 在AAA侧进行判断的情况与在GW侧进行判断的情况相类似。 步骤602、接收安全传输实体或管理实体根据安全能力信息和安全关联属性信息、 发送的包括与安全能力信息匹配的安全关联参数的业务流属性信息。 GW对接收到AAA发送的业务流属性信息进行判断。若一业务流属性信息中包括有 安全关联属性信息，则获知需要对该业务流进行安全保护；若一业务流属性信息中不包括 安全关联属性信息，则获知不需要对该业务流进行安全保护。 当GW获知需要对某个业务流进行安全保护时，GW根据BS与MS都支持的安全能力 以及接收到的该业务流属性信息中的安全关联属性信息，获取BS能够选择或创建的一安 全关联对应的安全关联参数，然后GW将包括该安全关联参数的业务流属性信息发送给BS。
步骤603、根据安全关联参数获取安全关联，以根据安全关联对安全关联属性信息 对应的业务流进行安全保护。 BS根据该安全关联参数选择或创建一安全关联，然后BS根据该安全关联可以对 该业务流进行安全保护。其中，安全关联属性信息可以包括安全关联类型、安全关联业务类 型和加密套件，BS根据选择或创建的安全关联，可以选择对业务流的加密算法和加密类型， 以对业务流进行保护。 本实施例的安全关联获取方法，通过业务流属性信息中是否包括安全关联属性信 息来判断是否对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则 安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全 能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体创建与 业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的 业务流可以选择性的安全保护。 图7为本发明安全关联获取方法实施例七的流程图，在本发明方法实施例五和方 法实施例六的基础上，如图7所示，该方法包括 步骤701、将与用户终端共同支持的安全能力信息发送给安全传输实体。 例如，BS为安全执行实体，AAA服务器为管理实体，GW为安全传输实体。BS将其
14自身与MS都支持的安全能力上报给GW。 步骤702、接收安全执行实体与用户终端共同支持的安全能力信息；并接收管理 实体根据用户签约信息发送的业务流属性信息。 GW接收到BS发送的BS与MS都支持的安全能力；并且接收到AAA发送的业务流 属性信息。AAA在MS认证成功后，会向GW发送认证成功消息，在该认证成功消息中，包括该 用户签约的业务流属性信息。 步骤703、判断业务流属性信息中是否包括安全关联属性信息，若业务流属性信息 不包括安全关联属性信息，执行步骤704，若业务流属性信息中包括安全关联属性信息，执 行步骤705。 GW对接收到的业务流属性信息进行判断，若该业务流属性信息中包括有安全关联 属性信息，则需要BS对该业务流属性信息对应的业务流进行安全保护，若该业务流属性信 息中没有包括安全关联属性信息，则无需BS对该业务流属性信息对应的业务流进行安全 保护。 步骤704、若判断该业务流属性信息对应的业务流为非安全业务，则不对该业务流 进行安全保护；结束。 步骤705、判断安全执行实体与用户终端共同支持的安全能力是否支持安全关联 属性信息，是则执行步骤706，否则执行步骤707。 其中关于安全关联属性信息的描述可以参见本发明方法实施例一到四中的描述， 在此不再赘述。 步骤706、将包括安全关联类型、安全关联业务类型和加密套件的业务流属性信息 发送给安全执行实体；然后执行步骤710。 GW将安全关联类型、安全关联业务类型和加密套件通过业务流属性信息发送给 BS，以使BS根据该安全关联类型、安全关联业务类型和加密套件获取第一安全关联。
步骤707、判断推荐等级参数的类型，若推荐等级参数为第一推荐等级参数，则执 行步骤708，若推荐等级参数为第二推荐等级参数，则执行步骤709。
步骤708、安全传输实体拒绝创建安全关联，结束。 GW拒绝创建安全关联，即GW拒绝向BS发送安全关联信息。若GW判断出推荐等级 参数为第一推荐等级参数，即该业务流的加密推荐等级为高，而BS和MS的安全能力又无法 支持创建该安全关联，则GW拒绝创建安全关联。该业务流的安全保护可以通过指示终端接 入到其他BS网络来完成。 步骤709、将根据匹配优先级参数选取的安全关联类型、安全关联业务类型和加密 套件发送给安全执行实体。 匹配优先级参数定义了安全关联类型、安全关联业务类型和加密套件这三个参数 的优先级，对于不同类型的业务流，这三个参数的优先级可能不同。若GW判断出推荐等级 参数为第二推荐等级参数，即该业务流的安全推荐等级为低，则在BS和MS的安全能力无法 支持创建该安全关联时，GW根据匹配优先级参数选取安全关联类型、安全关联业务类型和 加密套件，并将选取后的结果发送给BS ;具体选取的过程可以为GW根据匹配优先级参数， 选取安全关联类型、安全关联业务类型和加密套件这三个参数中优先级最高的一个，然后 判断BS与MS共同的安全能力能否支持该参数；若支持，则将该参数发送给BS，若不支持，则选取与该参数最接近的参数发送给BS。具体过程可以参见方法实施例二中的相关描述。
步骤710、根据安全关联参数获取安全关联，以根据安全关联对安全关联属性信息 对应的业务流进行安全保护。 BS根据GW发送的安全关联参数选择或创建安全关联；步骤706中GW发送的安全 关联参数是安全关联类型、安全关联业务类型和加密套件；步骤709中GW发送的安全关联 参数可以是安全关联类型、安全关联业务类型和加密套件中的任意一个。BS根据步骤706 中GW发送的安全关联参数获取第一安全关联，根据步骤709中GW发送的安全关联参数获 取第二安全关联；然后BS根据创建的安全关联对相应的业务流进行安全保护。
本发明实施例中选择或创建的安全关联可以对应不同的安全级别，由此可以实现 对不同类型的业务实现不同级别的安全保护，例如对于一些需要高保密性的业务流，可以 使用安全级别高的安全关联属性信息以建立安全级别高的安全关联。 需要说明的是，推荐等级参数可以分为多种级别，以表示对该业务流进行安全保 护的不同程度的要求。最高等级的推荐等级参数可以表示一定要完全依照安全关联属性 信息进行安全关联的创建；最低等级的推荐等级参数可以表示安全执行实体可以根据安 全执行实体和对端通讯实体共同支持的安全能力情况直接选择或创建安全关联，而不用根 据安全关联属性信息的指示；介于最高和最低等级之间的推荐等级参数，可以结合匹配优 先级参数来选择或创建最接近安全关联，例如某个介于最高和最低等级之间的推荐等级 参数可以表示，当优先级最高的一个参数被BS与MS共同的安全能力支持时，根据该参数创 建第二安全关联，否则拒绝创建安全关联。 可选的，GW对BS与MS之间传输的业务流进行计费时，可以根据对业务流进行安 全保护的级别高低进行不同的计费，例如GW根据发送给安全执行实体的安全关联参数对 应的安全级别，对安全关联对应的业务流进行计费。 BS选择或创建的每个安全关联，都对应有安全级别，对于不同的安全级别可以执
行不同的计费标准。当BS没有对业务流进行安全保护时，也对应一种计费标准。 GW根据发送给BS的安全关联参数对应的安全级别，对相应的业务流进行计费，以
实现根据保密性的高低对业务流执行不同的计费。 本实施例可以应用在GW上判断的情况，也可以应用在AAA上判断的情况，上述具 体描述时应用在GW上判断的情况。若本实施例应用在AAA上判断的情况时，BS将安全能力 通过GW上报给AAA, AAA根据BS与用户终端共同支持的安全能力以及安全关联属性信息， 将包括与安全能力匹配的安全关联参数的业务流属性信息，通过GW发送给BS，以使BS根据 安全关联参数获取安全关联。具体流程在此不再赘述。 本实施例的安全关联获取方法，除了具有方法实施例五和实施例六的有益效果之 外，还能根据安全属性信息建立具有不同安全级别的安全关联，实现了针对不同安全级别 的业务流可以进行不同安全级别的安全保护，并根据不同安全级别的安全保护对业务流进 行计费。 图8为本发明安全关联获取方法实施例八的信令图，在本发明方法实施例五至方 法实施例七的基础上，如图8所示，该方法包括 步骤801、BS接收MS通过NetEntry流程中上报的安全能力，并将BS与MS的安全 能力取交集，获得空口最终能支持的安全能力。
本实施例是应用在GW上判断的情况。在初始入网过程中，MS将自身安全能力上 报给BS。 步骤802、 BS将空口最终能支持的安全能力通过Pre_AttChment_Req消息上报给 GW。 BS与GW之间通过Pre_Attchment_Req、 Pre_Attchment_Rsp禾口 Pre_Attchment_ Ack消息的交互，将空口支持的安全能力上报给GW。 步骤803、当MS在AAA认证成功后，AAA给GW发送Access-Ac印t消息，表示认证 成功，其中携带AAA配置的业务流属性信息。 步骤804、GW对接收到的业务流属性信息进行判断，若其中包括有安全关联属性
信息，则根据空口支持的安全能力判断进行以下哪种操作向BS发送安全关联参数或者拒
绝创建安全关联。当判断出需要向BS发送安全关联参数时，执行步骤805。 具体的GW根据空口支持的安全能力和安全关联属性信息选取安全关联参数的过
程参见本发明方法实施例五至方法实施例七中的描述，在此不再赘述。 步骤805、 GW通过发送Path_Reg_Req消息，向BS发起建立数据通讯链路的请求；
Path_Reg_Req消息中包括安全关联参数。 步骤806、BS接收到GW发送的建立请求后，通过Path_Reg_RSp消息对该请求进行 响应。 步骤807、 GW通过向BS发送Path_Reg_Ack消息来对数据通讯链路的建立进行确 认。 步骤808、 BS根据安全关联参数获取安全关联，并根据该安全关联对相应的业务 流进行安全保护。 可选的，GW对BS与MS之间传输的业务流进行计费时，根据发送的安全关联参数 对应的安全级别对该业务流进行计费，并将计费信息通过Accounting—Start消息发送给 AAA。 本实施例的安全关联获取方法，除了具有方法实施例五和实施例六的有益效果之 外，还能根据安全属性信息建立具有不同安全级别的安全关联，实现了针对不同安全级别 的业务流可以进行不同安全级别的安全保护，并根据不同安全级别的安全保护对业务流进 行计费。 本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序 在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括ROM、 RAM、磁碟或者 光盘等各种可以存储程序代码的介质。 图9为本发明安全执行实体实施例一的结构图，如图9所示，该安全执行实体包 括第一接收模块91和第一获取模块93。 第一接收模块91用于接收管理实体通过安全传输实体发送的包括安全关联属性 信息的业务流属性信息。第一获取模块93用于根据与用户终端共同支持的安全能力以及 安全关联属性信息，获取安全关联，以根据获取的安全关联对安全关联属性信息对应的业 务流进行安全保护。 本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至方法实施例四中的描述，在此不再赘述。 本实施例的安全执行实体，通过业务流属性信息中是否包括安全关联属性信息 来判断是否对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安 全执行实体根据该安全关联属性信息，以及该安全执行实体与用户终端共同支持的安全能 力，获取与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不 同类型的业务流可以进行选择性的安全保护。 图10为本发明安全执行实体实施例二的结构图，在安全执行实体实施例一的基 础上，如图10所示，还包括计费发送模块95 ;第一获取模块93包括第一执行单元931和 第二执行单元933 ;并且第一获取模块93还可以包括选取单元937和/或创建单元939。
第一执行单元931用于若所与用户终端共同支持的安全能力支持安全关联属性 信息，则根据安全关联类型、安全关联业务类型和加密套件获取第一安全关联。第二执行单 元933用于若与用户终端共同支持的安全能力不支持安全关联属性信息，且推荐等级参数
为第二推荐等级参数，则根据通过匹配优先级参数选取的安全关联类型、安全关联业务类 型和加密套件，获取第二安全关联。安全关联属性信息推荐等级参数、匹配优先级参数、安 全关联类型、安全关联业务类型和加密套件。 选取单元937用于从安全执行实体存储的至少一个安全关联中选择与与用户终
端共同支持的安全能力以及安全关联属性信息对应的安全关联。创建单元939用于根据与
用户终端共同支持的安全能力以及安全关联属性信息，创建安全关联。 计费发送模块95用于将安全关联对应的安全级别发送给安全传输实体，以使安
全传输实体根据安全级别对安全关联对应的业务流进行计费。 本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至方法实 施例四中的描述，在此不再赘述。 本实施例的安全执行实体，通过业务流属性信息中是否包括安全关联属性信息来 判断是否及如何对该业务流进行保护，若业务流属性信息中包括安全关联属性信息，则安 全执行实体根据该安全关联属性信息，以及该安全执行实体与用户终端共同支持的安全能 力，创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不 同类型的业务流可以进行选择性的安全保护。 图11为本发明安全关联获取装置实施例一的结构图，如图11所示，该安全关联获 取装置包括第二接收模块1101和第二发送模块1105。 第二接收模块1101用于接收安全执行实体发送的、安全执行实体与用户终端共 同支持的安全能力信息。第二发送模块1105用于获取安全关联属性信息，并根据安全执行 实体与用户终端共同支持的安全能力以及安全关联属性信息，将包括与安全能力匹配的安 全关联参数的业务流属性信息发送给安全执行实体，以使安全执行实体根据安全关联参数 获取安全关联。 本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实 施例八中的描述，在此不再赘述。 本实施例的安全传输实体，通过业务流属性信息中是否包括安全关联属性信息来 判断是否及对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安 全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。 图12为本发明安全关联获取装置实施例二的结构图，在本发明安全传输实体实施例一的基础上，如图12所示，该关联获取装置的第二发送模块1105包括第三执行单元1151和第四执行单元1153。 第三执行单元1151用于若安全执行实体与用户终端共同支持的安全能力支持安全关联属性信息，则将包括安全关联类型、安全关联业务类型和加密套件的业务流属性信息发送给安全执行实体。第四执行单元1153用于若安全执行实体与用户终端共同支持的安全能力不支持安全关联属性信息，且推荐等级参数为第二推荐等级参数，则将根据匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件发送给安全执行实体。安全关联属性信息包括但不局限于推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。 本实施例中的安全关联获取装置可以是安全传输实体，也可以是管理实体。本实施例中各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述，在此不再赘述。 本实施例的安全关联获取装置，通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。 图13为本发明安全执行实体实施例三的结构图，如图13所示，该安全执行实体包括第三发送模块1301、第三接收模块1303和第二获取模块1305。 第三发送模块1301用于将与用户终端共同支持的安全能力信息发送给关联获取装置；安全关联获取装置为安全传输实体或管理实体。第三接收模块1303用于接收安全关联获取装置根据安全能力信息和安全关联属性信息、发送的包括与安全能力信息匹配的安全关联参数的业务流属性信息。第二获取模块1305用于根据安全关联参数获取安全关联，以根据安全关联对安全关联属性信息对应的业务流进行安全保护。 本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述，在此不再赘述。 本实施例的安全执行实体，通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。 本发明实施例还提供了安全关联获取系统实施例一，该系统可以包括安全传输实体、管理实体和如图9或图10所示实施例中的安全执行实体。
其中，管理实体包括获取模块和第一发送模块。 获取模块用于根据接收到的用户或用户终端的身份标识，获取与用户或用户终端对应的包括业务流属性信息的用户签约信息。第一发送模块用于将业务流属性信息发送给安全传输实体。 本实施例中的各模块的工作原理和工作流程参见本发明方法实施例一至方法实施例四中的描述，在此不再赘述。 本实施例的安全关联获取系统，安全执行实体通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安全执行实体根据该安全关联属性信息，以及该安全执行实体与用户终端共同支持的安全能力，创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。
本发明实施例还提供了安全关联获取系统实施例二，该系统可以包括如图11或图12所示实施例中的安全关联获取装置以及如图13所示实施例中的安全执行实体。
本实施例中的各模块的工作原理和工作流程参见本发明方法实施例五至方法实施例八中的描述，在此不再赘述。 本实施例的安全关联获取系统，安全传输实体通过业务流属性信息中是否包括安全关联属性信息来判断是否及对该业务流进行安全保护，若业务流属性信息中包括安全关联属性信息，则安全传输实体根据该安全关联属性信息以及该安全执行实体与用户终端共同支持的安全能力，将与安全能力匹配的安全关联参数发送给安全执行实体，以使安全执行实体创建与业务流对应的安全关联，通过该安全关联对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。 最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
20
权利要求
一种安全关联获取方法，其特征在于，包括接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息；根据与用户终端共同支持的安全能力以及所述安全关联属性信息，获取安全关联，以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
2. 根据权利要求1所述的安全关联获取方法，其特征在于，所述安全关联属性信息包 括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
3. 根据权利要求2所述的安全关联获取方法，其特征在于，所述根据与用户终端共同 支持的安全能力以及所述安全关联属性信息，获取安全关联包括若所述与用户终端共同支持的安全能力支持所述安全关联属性信息，则根据所述安全 关联类型、所述安全关联业务类型和所述加密套件获取第一安全关联；若所述与用户终端共同支持的安全能力不支持所述安全关联属性信息，且所述推荐等 级参数为第二推荐等级参数，则根据通过所述匹配优先级参数选取的安全关联类型、安全 关联业务类型和加密套件，获取第二安全关联。
4. 根据权利要求1-3任一所述的安全关联获取方法，其特征在于，还包括 将所述安全关联对应的安全级别发送给所述安全传输实体，以使所述安全传输实体根据所述安全级别对所述安全关联对应的业务流进行计费。
5. 根据权利要求l-3任一所述的安全关联获取方法，其特征在于，所述接收管理实体 通过安全传输实体发送的业务流属性信息之前还包括所述管理实体根据接收到的用户终端的身份标识，获取与所述用户终端对应的包括所 述业务流属性信息的用户签约信息。
6. 根据权利要求1所述的安全关联获取方法，其特征在于，所述获取安全关联包括 从安全执行实体存储的至少一个安全关联中选择与所述与用户终端共同支持的安全能力以及所述安全关联属性信息对应的所述安全关联；或者根据与用户终端共同支持的安 全能力以及所述安全关联属性信息，创建所述安全关联。
7. —种安全关联获取方法，其特征在于，包括接收安全执行实体发送的、所述安全执行实体与用户终端共同支持的安全能力信息； 获取安全关联属性信息，并根据所述安全执行实体与用户终端共同支持的安全能力以 及所述安全关联属性信息，将包括与所述安全能力匹配的安全关联参数的业务流属性信息 发送给所述安全执行实体，以使所述安全执行实体根据所述安全关联参数获取安全关联。
8. 根据权利要求7所述的安全关联获取方法，其特征在于，所述安全关联属性信息包 括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
9. 根据权利要求8所述的安全关联获取方法，其特征在于，所述根据所述安全执行实 体与用户终端共同支持的安全能力以及获取的安全关联属性信息，将包括与所述安全能力 匹配的安全关联参数的业务流属性信息发送给所述安全执行实体包括若所述安全执行实体与用户终端共同支持的安全能力支持所述安全关联属性信息，则 将包括所述安全关联类型、所述安全关联业务类型和所述加密套件的业务流属性信息发送 给所述安全执行实体；若所述安全执行实体与用户终端共同支持的安全能力不支持所述安全关联属性信息， 且所述推荐等级参数为第二推荐等级参数，则将根据所述匹配优先级参数选取的安全关联类型、安全关联业务类型和加密套件发送给所述安全执行实体。
10. —种安全关联获取方法，其特征在于，包括将与用户终端共同支持的安全能力信息发送给安全传输实体或管理实体； 接收所述安全传输实体或管理实体根据所述安全能力信息和安全关联属性信息、发送的包括与所述安全能力信息匹配的安全关联参数的业务流属性信息；根据所述安全关联参数获取安全关联，以根据所述安全关联对所述安全关联属性信息对应的业务流进行安全保护。
11. 一种安全执行实体，其特征在于，包括第一接收模块，用于接收管理实体通过安全传输实体发送的包括安全关联属性信息的 业务流属性信息；第一获取模块，用于根据与用户终端共同支持的安全能力以及所述安全关联属性信 息，获取安全关联，以根据获取的所述安全关联对所述安全关联属性信息对应的业务流进 行安全保护。
12. 根据权利要求11所述的安全执行实体，其特征在于，所述安全关联属性信息包括 推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
13. 根据权利要求12所述的安全执行实体，其特征在于，所述第一获取模块包括 第一执行单元，用于若所述与用户终端共同支持的安全能力支持所述安全关联属性信息，则根据所述安全关联类型、所述安全关联业务类型和所述加密套件获取第一安全关 联；第二执行单元，用于若所述与用户终端共同支持的安全能力不支持所述安全关联属性 信息，且所述推荐等级参数为第二推荐等级参数，则根据通过所述匹配优先级参数选取的 安全关联类型、安全关联业务类型和加密套件，获取第二安全关联。
14. 根据权利要求11-13任一所述的安全执行实体，其特征在于，还包括 计费发送模块，用于将所述安全关联对应的安全级别发送给所述安全传输实体，以使所述安全传输实体根据所述安全级别对所述安全关联对应的业务流进行计费。
15. 根据权利要求11所述的安全执行实体，其特征在于，所述第一获取模块还包括 选取单元，用于从安全执行实体存储的至少一个安全关联中选择与所述与用户终端共同支持的安全能力以及所述安全关联属性信息对应的所述安全关联；和/或创建单元，用于根据与用户终端共同支持的安全能力以及所述安全关联属性信息，创 建所述安全关联。
16. —种安全关联获取装置，其特征在于，包括第二接收模块，用于接收安全执行实体发送的、所述安全执行实体与用户终端共同支 持的安全能力信息；第二发送模块，用于获取安全关联属性信息，并根据所述安全执行实体与用户终端共 同支持的安全能力以及所述安全关联属性信息，将包括与所述安全能力匹配的安全关联参 数的业务流属性信息发送给所述安全执行实体，以使所述安全执行实体根据所述安全关联 参数获取安全关联。
17. 根据权利要求16所述的安全关联获取装置，其特征在于，所述安全关联属性信息 包括推荐等级参数、匹配优先级参数、安全关联类型、安全关联业务类型和加密套件。
18.根据权利要求17所述的安全关联获取装置，其特征在于，所述第二发送模块包括 第三执行单元，用于若所述安全执行实体与用户终端共同支持的安全能力支持所述安全关联属性信息，则将包括所述安全关联类型、所述安全关联业务类型和所述加密套件的业务流属性信息发送给所述安全执行实体；第四执行单元，用于若所述安全执行实体与用户终端共同支持的安全能力不支持所述安全关联属性信息，且所述推荐等级参数为第二推荐等级参数，则将根据所述匹配优先级参数选取的安全关联类型、所述安全关联业务类型和所述加密套件发送给所述安全执行实体。
全文摘要
本发明实施例提供一种安全关联获取方法及装置，该方法包括接收管理实体通过安全传输实体发送的包括安全关联属性信息的业务流属性信息；根据与用户终端共同支持的安全能力以及安全关联属性信息获取安全关联，以根据安全关联对安全关联属性信息对应的业务流进行安全保护。本发明实施例，通过业务流属性信息中的安全关联属性信息对该业务流进行安全保护，安全执行实体根据该安全关联属性信息，以及该安全执行实体与用户终端共同支持的安全能力，获取与业务流对应的安全关联，对业务流进行安全保护，实现了针对不同类型的业务流可以进行选择性的安全保护。
文档编号H04W12/02GK101790162SQ201010104790
公开日2010年7月28日 申请日期2010年1月29日 优先权日2010年1月29日
发明者宋照红, 李瀛 申请人:华为技术有限公司