[发明专利]一种数据加密的方法、装置和系统

权利要求书

1.一种数据加密的方法，其特征在于，包括：

获取至少一个安全策略，所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据进行加密的安全策略；其中，所述各种粒度数据包括：分组数据网PDN连接粒度数据或承载粒度数据或业务流粒度数据；

如果所述安全策略指示需要对一种粒度的数据进行加密，则根据所述安全策略进行加密，否则，不进行加密。

2.如权利要求1所述的方法，其特征在于，与所述获取至少一个安全策略步骤同时，还包括：

获取加密算法的列表，所述列表用于进行加密。

3.如权利要求1所述的方法，其特征在于，所述获取至少一个安全策略步骤具体为：

从终端或用户签约数据库或安全策略控制实体或承载网络或业务网络获取各种粒度数据的安全策略；或

根据终端、用户签约数据库、安全策略控制实体、承载网络、业务网络之间的每两者、每三者、每四者或全部的安全策略，进行协商，将所述协商的结果确定为获取得到的各种粒度数据的安全策略。

4.如权利要求1所述的方法，其特征在于，所述获取至少一个安全策略策略步骤具体为：

终端在附着过程中，网络从用户签约数据库中取得用户签约数据，所述签约数据中包括是否需要对所述终端签约的每个PDN连接的用户面数据进行加密的指示；或

终端在与PDN建立连接时，承载网络与策略控制实体交互，获取是否对所述PDN连接进行加密的指示；或

终端读取本地业务模块配置的安全策略后，或终端与业务网络进行业务协商后，

在请求建立承载或请求为业务流分配资源时，在请求消息中携带是否需要对所述承载或所述业务流进行加密的指示；或

业务网络根据业务协商的结果，以及业务网络中签约业务数据，生成是否对业务对应的承载或业务进行加密的指示；

所述业务网络将所述指示携带给承载网络；

所述承载网络根据所述指示，与终端进行协商；

根据所述承载网络与所述终端的协商结果，确定是否需要对业务对应的承载或业务流进行加密。

5.如权利要求1所述的方法，其特征在于，在所述获取至少一个安全策略步骤之后，还包括：

承载网络或策略控制功能实体在执行业务流绑定时，将服务质量QoS属性相同或相近，而且：

所述安全策略指示的加密属性相同的业务流绑定到相同的承载中。

6.如权利要求1-5任一项所述的方法，其特征在于，所述根据所述安全策略进行加密具体为：

在终端和网络系统之间，对所述安全策略指示的终端粒度数据或PDN连接粒度数据或承载粒度数据或业务流粒度数据，建立加密通道。

7.如权利要求3所述的方法，其特征在于，所述各种粒度数据的安全策略用于指示是否在应用层或承载层对业务数据进行加密。

8.如权利要求7所述的方法，其特征在于，所述根据所述安全策略进行加密具体为：

在应用层或承载层对业务数据进行加密。

9.一种数据加密的系统，其特征在于，包括：

安全策略获取设备，用于：获取至少一个安全策略，所述安全策略是指示是否对终端粒度下的各种粒度数据中的一种粒度数据行加密的安全策略；其中，所述各种粒度数据包括：PDN连接粒度数据或承载粒度数据或业务流粒度数据；

加密设备，用于：如果所述安全策略指示需要对一种粒度的数据进行加密，则根据所述安全策略进行加密，否则，不进行加密。

10.如权利要求9所述的系统，其特征在于，还包括：

加密算法列表获取设备，用于：在所述获取至少一个安全策略同时，获取加密算法的列表，所述列表用于进行加密。

11.如权利要求9所述的系统，其特征在于，所述安全策略获取设备包括：

终端安全策略获取单元，用于：从终端获取所述安全策略，或

用户签约数据库安全策略获取单元，用于：从用户签约数据库获取所述安全策略，或

安全策略控制实体安全策略获取单元，用于：从安全策略控制实体获取所述安全策略，或

承载网络安全策略获取单元，用于：从承载网络获取所述安全策略，或

业务网络安全策略获取单元，用于：从业务网络获取单元所述安全策略。