专利名称:一种数据传输方法、系统及设备的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及数据传输方法、系统及设备。
背景技术:
随着移动通信网络的不断演进,终端多模化和智能化的比例逐步增大,数据业务承载能力有了大幅度的提高,各种应用层出不穷,随之而来的是网络安全问题日益显著,在网络中如何防止用户数据泄露成为热点安全问题。现有移动通信网络中包括策略和计费控制(Policy and Charging Control,PCC) 架构,主要基于分组域实现业务策略控制,具体地,根据用户等级、不同时间、不同地点和不同业务类型等进行分组数据业务服务质量(Quality of Service, QoS)和计费控制。目前,在该架构下的网络安全策略主要对终端设备接入网络时进行的安全验证, 比如将终端设备中输入的账户信息与网络侧设备中预置的账户信息是否一致等;且在终端设备接入网络后采用专属通路隔离实现数据保护比如协议,但是并没有终端设备传输的数据的安全策略。
发明内容
本发明实施例提供数据传输方法、系统及设备,提供一种对终端设备传输的数据的安全保护策略。本发明实施例提供一种数据传输方法,包括;接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;生成与所述用户标识对应的传输数据的加密信息;将所述加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密。本发明实施例提供一种数据传输方法,包括发送第一终端设备的接入请求给策略和计费规则功能PCRF实体,所述接入请求中包括用户标识;接收PCRF实体根据所述用户标识返回的对应的加密信息;根据所述加密信息对接收到的所述用户标识对应的传输数据进行加密。本发明实施例提供一种策略和计费规则功能实体,包括接入请求接收单元,用于接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;加密生成单元,用于生成与所述用户标识对应的加密信息;加密信息发送单元,用于将所述加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密。本发明实施例提供一种网关,包括
接入请求发送单元,用于发送第一终端设备的接入请求给策略和计费规则功能PCRF实体,所述接入请求中包括用户标识;加密信息接收单元,用于接收PCRF实体根据所述用户标识返回的与所述用户标识对应的加密信息;加密单元,用于根据所述加密信息接收单元接收的加密信息对接收到的所述用户标识对应的传输数据进行加密。本发明实施例提供一种数据传输系统,包括策略和计费规则功能实体和网关;所述策略和计费规则功能实体,包括接入请求接收单元,用于接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;加密生成单元,用于生成与所述用户标识对应的加密信息;加密信息发送单元,用于将所述加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密;所述网关,包括接入请求发送单元,用于发送第一终端设备的接入请求给策略和计费规则功能 PCRF实体,所述接入请求中包括用户标识;加密信息接收单元,用于接收PCRF实体根据所述用户标识返回的与所述用户标识对应的加密信息;加密单元,用于根据所述加密信息接收单元接收的加密信息对接收到的所述用户标识对应的传输数据进行加密。在本发明实施例中,PCRF实体接收接入请求后,会生成与接入请求中包括用户标识对应的加密信息,并将该加密信息发送给网关,以指示网关根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例中一种通信系统的结构示意图;图2是本发明实施例提供的一种数据传输方法的流程图;图3是本发明实施例提供的另一种数据传输方法的流程图;图4是本发明实施例提供的一种策略和计费规则功能实体的结构示意图;图5是本发明实施例提供的另一种策略和计费规则功能实体的结构示意图;图6是本发明实施例提供的一种网关的结构示意图;图7是本发明实施例提供的一种AF实体的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例中提供一种数据传输方法,主要应用于如图I所示的移动通信系统中,在该通信系统中的PCC框架包括策略和计费规则功能(Policy and Charging Rules Function, PCRF),策略和计费执行功能(Policy and Charging Enforcement Function, PCEF),应用功能(application Function,AF)和用户属性数据库(Subscription Profile Repository, SPR)等功能实体,其中PCRF实体作为网络中的一个独立网元,是数据流和网络协议承载资源的策略与计费控制策略的决策点,为PCEF功能实体选择及提供可用的策略和计费控制决策来执行; PCEF实体一般都内嵌到网关比如分组数据网关(Packet Data Network Gateway, PDN-GW) 中;SPR用来储存用户数据;AF实体用来进行业务通知及业务管理等。可以理解,在该系统中还可以 包括基站等设备,移动终端可以通过基站接入到网络中,并在网络中传输数据。其中PCRF实体可以按照如下的步骤进行数据传输来实现对传输过程中的数据进行安全保护,流程图如图2所示,具体包括步骤101,接收网关发送的第一终端设备的接入请求,在接入请求中包括用户标识。当终端设备接入到网络时,会发送接入请求来请求接入网络比如长期演进(Long Term Evolution, LTE)等,该接入请求通过基站后发送给网关,并由网关发送给PCRF实体。在接入请求中可以包括唯一标识一个用户的信息即用户标识比如用户识别模块 (Subscriber Identity Module, SIM)的信息或用户账号等信息,还可以包括终端设备的标识信息和目的地址等信息。其中这里的网关是指接入网关。步骤102,生成与接入请求中的用户标识对应的传输数据的加密信息。这里加密信息可以包括传输数据的至少一种加密方式;或加密信息可以包括承载的业务类型,及业务类型与加密方式的对应关系,例如对于用户敏感型的业务数据使用比较复杂一点的加密方式进行加密,或对于即时型业务数据使用比较简单的加密方式进行加密等。其中加密方式是指对数据进行加密的加密算法,比如根据源数据进行计算的计算公式等信息。PCRF实体可以根据当前的网络状态、用户等级和网关的能力信息等信息生成加密信息,比如,当用户等级较高时,PCRF实体可以选择安全性较高的加密方式作为该用户标识对应的加密信息,且需要网关支持该加密方式;如果当前网络较忙,为了使得数据传输更安全,PCRF实体可以选择安全性较高的加密方式作为该用户标识对应的加密信息。步骤103,将加密信息发送给网关,以指示网关根据加密信息对用户标识对应的传输数据进行加密。如果加密信息只包括加密方式,则网关只对该用户标识对应的传输数据进行加密;如果加密信息包括加密方式和对应的业务类型,则网关在接收到该用户标识对应的传输数据时,需要确定传输数据的业务类型是否是需要进行加密的业务数据,如果是,才使用相应的加密方式对该数据进行加密,如果不是,则直接发送到上行网络,这样网关可以不用对所有的数据进行加密,减少了网关的功耗。
可见,在本发明实施例中,PCRF实体接收接入请求后,会生成与接入请求中包括用户标识对应的加密信息,并将该加密信息发送给网关,以指示网关根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的;进一步地,本发明实施例中可以对不同类型的业务数据使用不同的加密信息进行加密,考虑到传输数据的差异性进行安全保护,使得对数据的安全保护比较灵活。在一个具体的实施例中,PCRF实体在执行上述步骤102时可以通过如下的步骤Al 和BI来执行,且生成的加密信息包括加密方式Al :获取与用户标识对应的安全策略信息,安全策略信息中至少包括用 户等级,该安全策略信息还可以包括用户定制信息,比如定制哪些业务等信息;B1 :根据用户等级,及网关的加密能力集合选择与用户等级相应的加密方式,如果该用户等级较高,PCRF实体可以选择一个安全性较高且包括在网关的加密能力集合中的加密方式。这种情况下,可以不用考虑数据业务类型的差异,而只考虑用户的差异来生成加密信息。且除了用户等级和网关的加密能力集合之外,PCRF实体还可以根据其它因素进行决策从而生成加密信息,比如还可以根据当前网络的状态信息和业务类型等信息进行决策,具体地,如果当前正处于网络繁忙时段,则可以选择一个比较复杂且安全性较高的加密方式对非即时型的业务数据进行加密,这样既可以减缓网络的数据传输,也可以对非即时型的业务数据进行安全保护。在另一个具体的实施例中,PCRF实体在执行上述步骤102时可以通过如下的步骤 A2和B2来执行,且生成的加密信息包括每个业务类型对应的加密方式A2 :获取与用户标识对应的安全策略信息,在安全策略信息中至少包括安全等级和业务类型;B2 :根据安全等级,及网关的加密能力集合为该业务类型的数据选择与安全等级相应的加密方式,如果该安全等级较高,说明该业务类型的数据需要进行安全保护, PCRF实体可以选择一个适合该业务类型数据的,安全性较高且包括在网关的加密能力集合中的加密方式。这种情况下,需要考虑数据业务类型的差异来生成加密信息。可见,上述步骤Al到BI,及A2到B2的过程中,需要先获取安全策略信息,而该安全策略信息是需要用户先注册安全策略服务后储存在AF实体中的,这样网络才会根据用户标识对应的安全策略信息对传输的数据进行安全保护,具体地可以通过如下的两种方式来进行注册(I)用户打电话或到运营商的办理厅注册安全策略服务,则运营商可以通过网管设备在AF实体中储存用户标识与安全策略信息的对应关系,且还可以在SPR中储存该用户标识具有安全策略服务的信息等。比如在AF实体中储存对于用户I的邮件业务使用加密的服务等。(2)用户可以使用终端设备装载的客户端向网络来注册,这样客户端就会发送一个注册请求,在注册请求中可以包括用户标识和安全策略信息等;该注册请求会通过基站和网关到达PCRF实体,则PCRF实体将该注册请求转发给AF实体,以指示AF实体配置相应的用户标识和安全策略信息的对应关系即储存该对应关系;且PCRF实体还可以将该注册请求发送给SPR,以指示SPR储存用户标识对应的是否具有安全策略服务的信息。
因此,PCRF实体在获取安全策略信息时,可以向AF实体发送获取请求来获取。在其它的具体实施例中,当用户注册安全策略服务后,在AF实体上可以固定储存用户标识与安全策略信息的对应关系,也可以是由AF实体周期性地根据一定的策略更新该安全策略信息,比如安全策略信息中某个业务类型的安全等级,用户标识对应的用户等级等信息, 然后AF实体再加更新后的安全策略信息发送给PCRF实体。当PCRF实体接收到AF实体发送的更新后的用户标识对应的安全策略信息,需要根据更新后的安全策略信息生成新的加密信息,并将新的加密信息发送给网关,以指示网关根据新的加密信息对用户标识对应的传输数据进行加密。这样可以动态地变化加密信息,可以使得对传输的数据的保护更加安全。
在另一个具体的实施例中,当PCRF实体在执行步骤101之后,需要先向用户属性数据库查询与用户标识对应的用户是否定制了安全策略服务,如果是,则执行步骤102和 103,如果不是,则结束流程。这样可以节省如果用户没有订购安全策略服务,PCRF实体在接收到接入请求后还向AF实体来获取安全策略信息而导致的信令传输。在又一个具体实施例中,PCRF实体除了可以执行如上的步骤101到103,还需要将获取的加密信息通过应用功能实体发送给第二端终端设备的网关,以指示第二终端设备的网关根据该加密信息对接收到的用户标识对应的传输数据进行解密。可以理解,当上述的第一终端设备在发送数据给第二终端设备的过程中,且两个终端设备的网关不是同一个时,当数据经过第一终端设备的第一网关时,该传输数据被第一网关进行加密,则加密后的传输数据经过第二终端的第二网关时,第二网关需要根据该加密信息才能对传输数据进行解密,并将解密后的数据发送给第二终端设备,则PCRF实体需要将上述步骤102中获取的加密信息发送给第二终端设备的第二网关以便第二网关对传输数据进行解密。而如果这两个终端设备的网关是同一个,则PCRF实体只需要将上述步骤102中获取的加密信息发送给两个终端设备共同的网关即可。需要说明的是,本实施例中所述的第一和第二终端设备,及第一和第二网关并不表示顺序关系,而表示不同的终端设备和网关。本发明实施例中提供一种数据传输方法,主要应用于如图I所示的移动通信系统中,本实施例的方法是该系统中的网关所执行的方法,流程图如图3所示,具体包括步骤201,发送第一终端设备的接入请求给PCRF实体,在接入请求中包括用户标识。当终端设备接入到网络时,会发送接入请求来请求接入网络,该接入请求通过基站后发送给网关,并由网关发送给PCRF实体。在接入请求中包括唯一标识一个用户的信息即用户标识,还可以包括终端设备的标识信息和目的地址等信息。当PCRF实体接收到该接入请求后会根据其中的用户标识生成对应的加密信息并返回给网关,具体生成加密信息的过程如图I对应实施例所述,在此不进行赘述。步骤202,接收PCRF实体返回的与用户标识对应的加密信息。步骤203,根据步骤202中获得的加密信息对接收到的所述用户标识对应的传输数据进行加密。当网关接收到加密信息后,如果其中只包括加密方式,则网关对该用户标识对应的传输数据进行加密;如果加密信息包括加密方式和对应的业务类型,则网关在接收到该.用户标识对应的传输数据时,需要确定传输的数据的业务类型是否是需要进行加密的业务数据,如果是,才使用相应的加密方式对该数据进行加密,如果不是,则直接发送到上行网络,这样网关可以不用所有的数据进行加密,减少了网关的功耗。 可见,在本发明实施例中,当网关发送了接入请求给PCRF实体后,当接收到该 PCRF实体返回的与接入请求中用户标识对应的加密信息,则根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的;进一步地,本发明实施例中可以对不同类型的业务数据使用不同的加密信息进行加密,考虑到传输数据的差异性进行安全保护,使得对数据的安全保护比较灵活。在一个具体实施例中,网关除了可以执行如上的步骤201到203之外,还可以接收 PCRF实体发送的另一用户标识对应的传输数据的加密信息,并根据另一用户标识对应的加密信息对接收到的另一用户标识对应的传输数据进行解密。可以理解,当上述的第一终端设备在发送数据给第二终端设备的过程中,当数据经过第一终端设备的网关时,该传输数据被网关进行加密,则加密后的传输数据经过第二终端的网关时,需要根据该加密信息才能对传输数据进行解密。则在本实施例中,当网关接收到另一网关发送的另一用户标识对应的传输数据时,需要使用另一用户标识对应的加密信息进行解密后发送给目的终端设备;如果进行通信的两个终端设备的网关为同一个,当网关接收到上行网元即PCRF实体发送的传输数据时,会使用相应的用户标识对应的加密信息进行解密后发送给目的终端设备。其中对传输数据进行解密的过程是加密过程的逆过程。在其它的具体实施例中,如果AF实体对该AF实体上储存的安全策略信息更新,比如更新安全策略信息中包括的安全等级和用户等级等,PCRF实体根据更新后的安全策略信息生成新的加密信息后发送给网关。当网关接收PCRF实体发送的所述用户标识对应的新的加密信息;则会根据新的加密信息对所述用户标识对应的传输数据进行加密。这样可以动态地变化加密信息,可以使得对传输的数据的保护更加安全。本发明实施例还提供一种策略和计费规则功能实体,即PCRF实体,其结构示意图如图4所示,包括接入请求接收单元10,用于接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识。加密生成单元11,用于生成与所述接入请求接收单元10接收的接入请求中用户标识对应的加密信息,所述加密信息可以包括加密方式,或包括业务类型和对应的至少一个加密方式。加密信息发送单元12,用于将所述加密生成单元11生成的加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密。在本发明实施例的策略和计费规则功能实体中,接入请求接收单元10接收接入请求后,加密生成单元11会生成与接入请求中包括用户标识对应的加密信息,并由加密信息发送单元12将该加密信息发送给网关,以指示网关根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的。
参考图5所示,在一个具体的实施例中,PCRF实体除了可以包括如图4所示的结构外,还可以包括安全服务确定单元13、注册请求接收单元14和注册请求发送单元15,且加密生成单元11可以通过安全信息获取单元110和决策单元120来实现,其中安全服务确定单元13,用于在用户属性数据库中查询与所述用户标识对应的用户是否定制了安全策略服务,如果是,则通知所述加密生成单元11生成加密信息。
注册请求接收单元14,用于接收所述网关发送的对安全策略服务的注册请求,所述注册请求中包括用户标识和安全策略信息;注册请求发送单元15,用于将所述注册请求发送给应用功能实体,以指示根据所述注册请求储存用户标识与安全策略信息的对应关系。且该注册请求发送单元15还可以将注册请求发送给SPR,以指示SPR储存该用户标识是否注册了安全策略服务的信息。安全信息获取单元110,用于获取与所述用户标识对应的安全策略信息,所述安全策略信息中至少包括用户等级;决策单元120,用于根据所述安全信息获取单元110获取的安全策略信息中包括的用户等级,及所述网关的加密能力集合选择与所述用户等级相应的加密方式,这种情况下,加密信息发送单元12用于将所述决策单元120选择的加密方式发送给网关。如果安全信息获取单元110获取的与所述用户标识对应的安全策略信息包括安全等级和业务类型,则决策单元120,还用于根据所述安全等级,及所述网关的加密能力集合为所述业务类型的数据选择与所述安全等级相应的加密方式,这种情况下,加密信息发送单元12用于将所述决策单元120选择的加密方式与所述业务类型的对应关系发送给网关,这样对不同类型的业务数据使用不同的加密信息进行加密,考虑到传输数据的差异性进行安全保护,使得对数据的安全保护比较灵活。其中安全信息获取单元110可以向AF实体来请求获取。在本发明实施例中,当接入请求接收单元10接收到接入请求后,可以先由安全服务确定单元13查询接入请求中所包括的用户标识对应的用户是否制定了安全策略服务, 如果是,则加密生成单元11中的安全信息获取单元110获取安全策略信息,并由决策单元 120根据安全信息获取单元110获取的安全策略信息及网关的能力信息来选择合适的加密信息,并由加密信息发送单元12将决策单元120选择的加密信息发送给网关。且本实施例中的加密信息发送单元12还可以将决策单元120选择的加密信息通过应用功能实体发送给第二端终端设备的网关,以便所述第二终端设备的网关根据所述加密信息对接收到的所述用户标识对应的传输数据进行解密。本实施例中,加密生成单元11还可以周期性地接收应用功能实体发送的更新后的所述用户标识对应的安全策略信息,根据将所述更新后的安全策略信息生成新的加密信息,则加密信息发送单元12将所述加密生成单元11周期性生成的新的加密信息发送给网关,以指示所述网关根据所述新的加密信息对所述用户标识对应的传输数据进行加密。这样动态地更新加密信息,使得对传输数据的保护更安全。本发明实施例中还提供一种网关,结构示意图如图6所示,包括接入请求发送单元20,用于发送第一终端设备的接入请求给策略和计费规则功能 PCRF实体,所述接入请求中包括用户标识。加密信息接收单元21,用于接收PCRF实体根据所述用户标识返回的与所述用户标识对应加密信息;
加密单元22,用于根据所述加密信息21接收单元接收的加密信息对接收到的所述用户标识对应的传输数据进行加密。本发明实施例的网关中,当接入请求发送单元20发送了接入请求给PCRF实体后, 当加密信息接收单元21接收到该PCRF实体返回的与接入请求中用户标识对应的加密信息,则加密单元22根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的;进一步地,本发明实施例中可以对不同类型的业务数据使用不同的加密信息进行加密,考虑到传输数据的差异性进行安全保护,使得对数据的安全保护比较灵活。在一个具体的实施例中网关还可以包括解密单元23,这样当加密信息接收单元 21接收当所述PCRF实体发送的另一用户标识对应的传输数据的加密信息,解密单元22用于根据加密信息接收单元21接收的另一用户标识对应的加密信息对接收到的另一用户标识对应的传输数据进行解密。且,网关中的加密信息接收单元21还可以接收PCRF实体发送的更新后的所述用户标识对应的加密信息,并由加密单元22根据所述更新后的加密信息对所述用户标识对应的传输数据进行加密,这样动态地更新加密信息,使得对传输数据的保护更安全。
本发明实施例还提供一种AF实体,结构示意图如图7所示,包括请求接收单元30,用于接收策略和计费规则功能实体发送的对安全策略服务的注册请求,所述注册请求中包括用户标识和安全策略信息;储存单元31,用于根据所述请求接收单元30接收的注册请求储存用户标识与安全策略信息的对应关系。进一步地,在AF实体中还可以包括更新单元32和发送单元33,这样在储存单元 31储存的安全策略信息可以固定储存在AF实体中,还可以通过更新单元32更新储存单元 31储存的用户标识对应的安全策略信息,并由发送单元33将更新后的安全策略信息通过策略和计费规则功能实体发送给网关。其中更新单元32对安全策略信息的更新如方法实施例中所述,在此不进行赘述。本发明实施例还提供一种数据传输系统,包括策略和计费规则功能实体和网关, 其中策略和计费规则功能实体,用于接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;生成与所述用户标识对应的加密信息;将所述加密信息发送给所述网关;网关,用于发送所述第一终端设备的接入请求给策略和计费规则功能实体,接收所述PCRF实体返回的与所述用户标识对应的加密信息,根据所述加密信息对接收到的所述用户标识对应的传输数据进行加密。可以理解,本发明实施例中的数据传输系统可以是如图I所示的结构,其中策略和计费规则功能实体的结构可以如图4或图5所示,且网关的结构可以如图6所示。进一步地,该系统中还可以包括如图 所示的AF实体。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘或光盘等。以上对本发明实施例所提供的数据传输方法、系统及 相关设备,进行了详细介绍, 本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种数据传输方法,其特征在于,包括接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;生成与所述用户标识对应的传输数据的加密信息;将所述加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密。
2.如权利要求I所述的方法,其特征在于,所述加密信息包括至少一种加密方式,或所述加密信息包括承载的业务类型和对应的至少一种加密方式。
3.如权利要求2所述的方法,其特征在于,所述生成与所述用户标识对应的传输数据的加密信息的步骤具体包括获取与所述用户标识对应的安全策略信息,所述安全策略信息中至少包括用户等级;根据所述用户等级,及所述网关的加密能力集合选择与所述用户等级相应的加密方式;则所述发送给网关的加密信息包括所述选择的加密方式。
4.如权利要求3所述的方法,其特征在于,所述生成与所述用户标识对应的传输数据的加密信息的步骤具体包括获取与所述用户标识对应的安全策略信息,所述安全策略信息中至少包括安全等级和业务类型;根据所述安全等级,及所述网关的加密能力集合为所述业务类型的数据选择与所述安全等级相应的加密方式;则所述发送给网关的加密信息包括所述选择的加密方式和所述业务类型的对应关系。
5.如权利要求3或4所述的方法,其特征在于,所述方法还包括接收应用功能实体发送的更新后的所述用户标识对应的安全策略信息,根据所述更新后的安全策略信息生成新的加密信息,并将所述新的加密信息发送给网关,以指示所述网关根据所述新的加密信息对所述用户标识对应的传输数据进行加密。
6.如权利要求3或4所述的方法,其特征在于,所述接收网关发送的第一终端设备的接入请求之前还包括接收所述网关发送的对安全策略服务的注册请求,所述注册请求中包括用户标识和安全策略信息;将所述注册请求发送给应用功能实体,以指示所述应用功能实体根据所述注册请求储存用户标识与安全策略信息的对应关系。
7.如权利要求I至4任一项所述的方法,其特征在于,所述生成与所述用户标识对应的传输数据的加密信息之前还包括在用户属性数据库中查询与所述用户标识对应的用户是否定制了安全策略服务,如果是,则执行所述生成加密信息的步骤。
8.如权利要求I至4任一项所述的方法,其特征在于,所述方法还包括将所述加密信息通过应用功能实体发送给第二端终端设备的网关,以便所述第二终端设备的网关根据所述加密信息对接收到的所述用户标识对应的传输数据进行解密。
9.一种数据传输方法,其特征在于,包括发送第一终端设备的接入请求给策略和计费规则功能PCRF实体,所述接入请求中包括用户标识;接收PCRF实体根据所述用户标识返回的对应的加密信息;根据所述加密信息对接收到的所述用户标识对应的传输数据进行加密。
10.如权利要求9所述的方法,其特征在于,所述加密信息包括至少一种加密方式,或所述加密信息包括承载的业务类型和对应的至少一种加密方式。
11.如权利要求9或10所述的方法,其特征在于,所述方法还包括接收所述PCRF实体发送的另一用户标识对应的传输数据的加密信息;根据所述另一用户标识对应的加密信息对接收到的另一用户标识对应的传输数据进行解密。
12.如权利要求9或10所述的方法,其特征在于,所述方法还包括接收所述PCRF实体发送的更新后的所述用户标识对应的加密信息,根据所述更新后的加密信息对所述用户标识对应的传输数据进行加密。
13.一种策略和计费规则功能实体,其特征在于,包括接入请求接收单元,用于接收网关发送的第一终端设备的接入请求,所述接入请求中包括用户标识;加密生成单元,用于生成与所述用户标识对应的加密信息;加密信息发送单元,用于将所述加密信息发送给所述网关,以指示所述网关根据所述加密信息对所述用户标识对应的传输数据进行加密。
14.如权利要求13所述的策略和计费规则功能实体,其特征在于,所述加密生成单元具体包括安全信息获取单元,用于获取与所述用户标识对应的安全策略信息,所述安全策略信息中至少包括用户等级;决策单元,用于根据所述用户等级,及所述网关的加密能力集合选择与所述用户等级相应的加密方式;所述加密信息发送单元用于将所述决策单元选择的加密方式发送给网关。
15.如权利要求14所述的策略和计费规则功能实体,其特征在于,所述决策单元,还用于当所述安全信息获取单元获取的与所述用户标识对应的安全策略信息包括安全等级和业务类型,根据所述安全等级,及所述网关的加密能力集合为所述业务类型的数据选择与所述安全等级相应的加密方式;所述加密信息发送单元用于将所述决策单元选择的加密方式与所述业务类型的对应关系发送给网关。
16.如权利要求14或15所述的策略和计费规则功能实体,其特征在于,所述加密生成单元,还用于接收应用功能实体发送的更新后的所述用户标识对应的安全策略信息,根据将所述更新后的安全策略信息生成新的加密信息;所述加密信息发送单元,还用于将所述加密生成单元生成的新的加密信息发送给网关,以指示所述网关根据所述新的加密信息对所述用户标识对应的传输数据进行加密。
17.如权利要求14或15所述的策略和计费规则功能实体,其特征在于,还包括注册请求接收单元,用于接收所述网关发送的对安全策略服务的注册请求,所述注册请求中包括用户标识和安全策略信息;注册请求发送单元,用于将所述注册请求发送给应用功能实体,以指示根据所述注册请求储存用户标识与安全策略信息的对应关系。
18.如权利要求14或15所述的策略和计费规则功能实体,其特征在于,还包括安全服务确定单元,用于在用户属性数据库中查询与所述用户标识对应的用户是否定制了安全策略服务,如果是,则通知所述加密生成单元生成加密信息。
19.如权利要求13至15任一项所述的策略和计费规则功能实体,其特征在于,所述加密信息发送单元,还用于将所述加密信息通过应用功能实体发送给第二端终端设备的网关,以便所述第二终端设备的网关根据所述加密信息对接收到的所述用户标识对应的传输数据进行解密。
20.一种网关,其特征在于,包括接入请求发送单元,用于发送第一终端设备的接入请求给策略和计费规则功能PCRF 实体,所述接入请求中包括用户标识;加密信息接收单元,用于接收PCRF实体根据所述用户标识返回的与所述用户标识对应的加密信息;加密单元,用于根据所述加密信息接收单元接收的加密信息对接收到的所述用户标识对应的传输数据进行加密。
21.如权利要求20所述的网关,其特征在于,所述加密信息接收单元,还用于接收所述PCRF实体发送的另一用户标识对应的传输数据的加密信息;所述网关还包括解密单元,用于根据所述加密信息接收单元接收的另一用户标识对应的加密信息对接收到的另一用户标识对应的传输数据进行解密。
22.如权利要求20或21所述的网关,其特征在于,还包括所述加密信息接收单元,还用于接收所述PCRF实体发送的更新后的所述用户标识对应的加密信息,所述加密单元,还用于根据所述更新后的加密信息对所述用户标识对应的传输数据进行加密。
23.一种数据传输系统,其特征在于,包括如权利要求13至19任一项所述的策略和计费规则功能实体,和如权利要求20到22任一项所述的网关。
全文摘要
本发明实施例公开了数据传输方法、系统及相关设备,应用于通信技术领域。本发明实施例中,PCRF实体接收接入请求后,会生成与接入请求中包括用户标识对应的加密信息,并将该加密信息发送给网关,以指示网关根据加密信息对用户标识对应的传输数据进行加密。提供了一种对传输数据的安全保护策略,使得用户可以根据需要来定制对应的安全策略服务,对终端设备传输的数据进行加密,达到对传输数据进行保护的目的。
文档编号H04W12/02GK102625299SQ20121012095
公开日2012年8月1日 申请日期2012年4月23日 优先权日2012年4月23日
发明者付延生, 胡志刚 申请人:北京市大富智慧云技术有限公司