動態安全關聯的管理方法及一種通訊實體的制作方法

專利名稱：：動態安全關聯的管理方法及一種通訊實體的制作方法
技術領域：
：本發明涉及無線接入網領域，具體涉及動態安全關聯的管理方法及一種通訊實體。
背景技術：
：安全關聯(SecurityAssociation，SA)是通訊實體，例如基站(BaseStation,BS)和用戶站(SubscriberStation,SS)之間共享的一系列安全信息參數集，用于確保通訊實體之間的通信安全，安全關聯內容包括SA標識(SecurityAssociationIDentifier，SAID)、安全關聯類型(SecurityAssociationType，SAT)、加密套件(CryptographicSuite,CS)和業務流加密密鑰參數(TrafficEncryptionKeyParameter,TEKP)等等，其中，TEKP包括業務流加密密鑰(TrafficEncryptionKey，TEK)、TEK生命周期、TEK序列號和初始化向量等等。數據業務在進行加密或者鑒權過程中，使用TEK來進行數據加密和鑒權。為了實現TEK的長期維護更新和業務的連續性，通常由一個SA管理兩個TEK及其屬性。在SA定義的基本SA、靜態SA和動態SA這三種關聯類型中，動態安全關聯(DynamicSecurityAssociation,DSA)是一種比較靈活的安全關聯技術，其與動態業務流相聯系。在建立動態業務流之前，通過創建一個DSA就可以更好地對業務流進行保護。動態安全關聯也可以在空閑的時候創建或消除，以初始化或終止特殊的業務流。因此，與主要安全關聯(PrimarySecurityAssociation,PSA)和靜態安全關聯(StaticSecurityAssociation,SSA)這兩種類型的安全關聯相比，DSA更加受到業界的關注。然而，現有的全球微波接入互通(WorldwideInteroperabilityofMicrowaveAccess,ffiMAX)技術方案只定義了DSA的創建流程；IEEE802.16e協議中，DSA的支持能力也不能通過協商獲取，只能在廠家對其生產的通訊實體投入實用之前通過對接測試或通過WiMAX論壇的約束來規定通訊實體是否支持DSA。如此，功能支持能力不同的通訊實體之間的配合將出現問題，例如，對于舊有的用戶站或未經過對接測試的用戶站，基站在功能配合使用上將會無法兼容。按照現有的WiMAX技術方案，即使創建了一個DSA，通訊實體也無法獲知是否創建成功，或者，在創建一個新的DSA后卻沒有相應的刪除、修改舊有DSA等流程。因此，無論是創建新的DSA還是釋放舊有的安全關聯都需要通過和其他流程配合完成。
發明內容本發明實施例提供動態安全關聯的管理方法及一種通訊實體，旨在解決現有技術中通訊實體對動態安全關聯的支持能力不能通過協商獲取以及對動態安全關聯進行管理需通過和其他流程配合完成的問題。一種動態安全關聯的管理方法，包括第一通訊實體對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體；所述第一通訊實體接收來自第二通訊實體的確認消息；所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理。—種通訊實體，包括操作模塊，用于對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體；接收模塊，用于接收來自所述第二通訊實體的確認消息；處理模塊，用于根據所述確認消息對所述動態安全關聯進行相應處理。一種動態安全關聯的管理方法，包括第二通訊實體接收第一通訊實體發送的用于與所述第二通訊實體協商操作動態安全關聯的協商消息；所述第二通訊實體根據所述協商消息和自身能力參數對所述動態安全關聯進行操作，并向所述第一通訊實體發送響應消息；所述第二通訊實體接收來自所述第一通訊實體針對所述響應消息所發送的確認消息，若所述確認消息表示所述第一通訊實體接受所述第二通訊實體對所述動態安全關聯的操作，則所述第二通訊實體根據所述確認消息對所述動態安全關聯進行相應處理。一種通訊實體，包括接收模塊，用于接收第一通訊實體發送的用于與所述通訊實體協商操作動態安全關聯的協商消息；操作模塊，用于根據所述協商消息和自身能力參數操作所述動態安全關聯并向所述第一通訊實體發送響應消息；處理模塊，用于接收來自所述第一通訊實體針對所述響應消息所發送的確認消息，在所述確認消息表示所述基站接受所述通訊實體對所述動態安全關聯的操作時，根據所述確認消息對所述操作之后的動態安全關聯進行相應處理。本發明實施例通過第一通訊實體操作某一動態安全關聯，將操作事件通過操作消息發送至第二通訊實體并接收操作消息的確認消息，第一通訊實體根據該確認消息對某一動態安全關聯進行相應處理。由于本發明的技術方案使通訊實體一方(基站或用戶終端)在針對某一動態安全關聯DSA操作時，可以讓通訊實體另一方及時獲知操作事件并反饋相應的消息，并不需要生產廠商提前進行對接測試。基于這些操作，第一通訊實體和第二通訊實體可以獲知彼此的能力，建立良好的配合，從而使用DSA更好地對業務流進行保護。為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。圖1是本發明實施例一提供的一種動態安全關聯的管理方法基本流程示意圖；圖2是本發明實施例二提供的一種動態安全關聯的管理方法基本流程示意圖；圖3是本發明實施例提供的創建某一DSA時第一通訊實體和第二通訊實體之間的交互示意圖；圖4是本發明實施例提供的修改某一DSA時第一通訊實體和第二通訊實體之間的交互示意圖；圖5是本發明實施例提供的刪除某一DSA時第一通訊實體和第二通訊實體之間的交互示意圖；圖6是本發明實施例一提供的一種通訊實體基本邏輯結構示意圖；圖7是本發明實施例二提供的一種通訊實體基本邏輯結構示意圖。具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。請參考圖1，本發明實施例一提供的一種動態安全關聯的管理方法，包括步驟S101，第一通訊實體對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體。在本實施例中，第一通訊實體(例如，基站)對DSA進行操作可以是創建某一DSAJf改某一DSA或刪除某一DSA。第一通訊實體在完成這些操作后，將操作事件通過操作消息發送至第二通訊實體(例如，用戶終端或用戶站SS)。第二通訊實體在接收到上述操作消息后，針對該操作消息發送一個確認消息，表明其是接受還是拒絕第一通訊實體對DSA所執行的操作。密鑰可以在上述操作消息中作為安全關聯屬性的一部分下發下去，也可通過單獨的消息進行傳遞。密鑰通過單獨的消息傳遞時，可以通過請求/應答或主動發送/回復確認的兩握手流程來完成，更嚴密的流程可以通過請求/響應/確認的三握手流程完成。以第一通訊實體創建某一DSA為例。第一通訊實體創建某一DSA成功后，如果啟動加密功能，則啟動TEK狀態機，在給對端實體發送加密和解密的TEK密鑰后才可啟用數據的加密解密功能。第一通訊實體向第二通訊實體發送的創建所述DSA的操作消息，例如SA_Addition消息，指明所創建DSA的相關屬性。在本實施例中，SA_Addition消息格式可以如下表1所示表1<table>tableseeoriginaldocumentpage7</column></row><table>SA_Addition消息還可以包括幀號(FrameNumber)，幀號用于指示第一通訊實體和第二通訊實體將于該幀號表示的幀的到達時刻啟用新建的DSA。如果不帶幀號則表示從收到對端實體的確認消息的時刻開始使用新建的DSA。以第一通訊實體修改某一DSA為例。第一通訊實體修改某一DSA之后，并不立即啟用修改之后的DSA。第一通訊實體將修改DSA這一操作事件通過操作消息，例如，SA_Change消息發送至第二通訊實體。在本實施例中，SA_Change消息可以如下表2所示表2<table>tableseeoriginaldocumentpage8</column></row><table>護消息完整性的消息摘要SA_Change消息還可以包括幀號(FrameNumber)，幀號用于指示第一通訊實體和第二通訊實體在幀號表示的幀的到達時刻，將原DSA更換為修改之后的DSA，即，在該幀號表示的幀到達的時刻啟用修改之后的DSA。如果不帶幀號則表示從收到對端實體的確認消息開始使用修改之后的DSA。再以第一通訊實體刪除某一DSA為例。第一通訊實體刪除某一DSA之時或之后，將這一操作事件通過操作消息，例如，SA_Delete消息發送至第二通訊實體。在本實施例中，SA_Delete消息可以如下表3所示表3<table>tableseeoriginaldocumentpage8</column></row><table>SA_De1ete消息至少包含被刪除的DSA的標識。第一通訊實體向第二通訊實體發送用于刪除動態安全關聯的刪除消息(例如，SA_Delete消息)的同時即停止使用被刪除的DSA中的TEK的加密功能并保持解密功能，直到接收到第二通訊實體發送并表示接受刪除該DSA的確認消息才停用解密功能，釋放TEK狀態機。SA_Delete消息還可以包括幀號(FrameNumber)，幀號用于指明第一通訊實體和第二通訊實體將于該幀號表示的幀的到達時刻刪除DSA，即，在該幀號表示的幀開始的時刻停止使用DSA。如果不帶幀號則表示從收到對端通訊實體的確認消息的時刻開始刪除動態安全關聯。此外，在本實施例中，第一通訊實體操作某一動態安全關聯并將操作事件通過操作消息發送至第二通訊實體后，第一通訊實體等待第二通訊實體對所述操作消息的確認消息。若在等待定時器超時前收到確認消息，則停止等待定時器；若等待定時器超過設定的時間，第一通訊仍未收到第二通訊實體的確認消息，則第一通訊實體重復向第二通訊實體發送操作消息并重啟等待定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發操作消息，直至重復發送的次數超過設定的次數。步驟S102，第一通訊實體接收來自第二通訊實體的確認消息。以第一通訊實體創建某一DSA、發送SA_Addition消息為例。第一通訊實體創建某一DSA并發送SA_Addition消息至第二通訊實體時，第二通訊實體根據自身的能力反饋至第一通訊實體的確認消息SA_ACK可以如下表4所示表4<table>tableseeoriginaldocumentpage9</column></row><table>其中，ConformationCode屬性項用來指明是否接受第一通訊實體創建某一DSA，如不接受則通過錯誤原因碼(ErrCode)指明不接受的原因。以第一通訊實體修改某一DSA，發送SA_Change消息為例。第一通訊實體修改某一DSA并將這一操作事件通過操作消息(例如，SA_Change消息)發送給第二通訊實體后，第二通訊實體根據自身的能力向第一通訊實體反饋確認消息SA_ACK，其中指明是否接受第一通訊實體修改該DSA，如不接受則通過錯誤原因碼(ErrCode)指明不接受的原因，例如，可以是SA標識對應的DSA不存在或SA標識對應的DSA正在使用而不允許修改等等。再以第一通訊實體刪除某一DSA，發送SA_Delete消息為例。第一通訊實體刪除某一DSA之后，將這一操作事件通過操作消息(例如，SA_Delete消息)發送至第二通訊實體。第二通訊實體根據自身的能力向第一通訊實體反饋確認消息SA_ACK，其中指明是否接受第一通訊實體刪除該DSA，如不接受則通過錯誤原因碼(ErrCode)指明不接受的原因，例如，可以是SA標識對應的DSA不存在或SA標識指定的DSA正在使用而不允許刪除等等。步驟S103，第一通訊實體根據確認消息對動態安全關聯進行相應處理。以第一通訊實體創建某一DSA，發送SA_Addition消息為例。如果第二通訊實體確認此次創建的DSA，如果啟動加密功能，則啟動業務流加密密鑰TEK狀態機，對數據加密并將加密/解密密鑰發送至第二通訊實體；如果第二通訊實體拒絕此次創建的DSA，則第一通訊實體根據第二通訊實體反饋的SA_ACK消息中的錯誤原因碼(ErrCode)進行相應處理，例如，中斷與第二通訊實體的后續交互流程。以第一通訊實體修改某一DSA，發送SA_Change消息為例。如果第二通訊實體確認此次修改的DSA，則第一通訊實體在收到SA_Change消息的確認消息后，在SA_Change消息指定的幀號(FrameNumber)表示的幀的到達時刻將原DSA更換修改之后的DSA，S卩，在所述幀號表示的幀到達時啟用修改之后的DSA；如果啟動加密功能，則啟動業務流加密密鑰TEK狀態機。如果SA_Change消息沒有攜帶幀號，則第一通訊實體在收到確認消息那一幀開始啟用修改后的DSA，同樣第二通訊實體在發送確認消息的那一幀開始啟用修改后的DSA。再以第一通訊實體刪除某一DSA，發送SA_Delete消息為例。如果第二通訊實體接受此次DSA刪除，在SA_Delete消息指定的幀號(FrameNumber)表示的幀的到達時刻刪除DSA，即，在所述幀號表示的幀到達時業務停用要刪除的DSA；如果啟動加密功能，則同樣停止刪除業務流加密密鑰TEK狀態機。如果SA_Delete消息沒有攜帶幀號，則第一通訊實體在收到SA_Delete消息的確認消息后，第一通訊實體停用所述被刪除的DSA中的業務流加密密鑰TEK的解密功能并釋放所述業務流加密密鑰TEK狀態機。從上述本發明實施例一可知，本發明的技術方案使通訊實體一方在針對某一DSA操作時，可以讓通訊實體另一方及時獲知操作事件并反饋相應的消息，并不需要生產廠商提前進行對接測試。基于這些操作，第一通訊實體和第二通訊實體可以獲知彼此的能力，建立良好的配合，從而使用DSA更好地對業務流進行保護。請參閱圖2，本發明實施例二提供的一種動態安全關聯的管理方法基本流程示意圖。在本實施例中，第二通訊實體可以為用戶終端或用戶站SS，第一通訊實體可以為基站。圖2所示實施例二主要包括步驟S201，第二通訊實體接收第一通訊實體發送的用于與第二通訊實體協商操作動態安全關聯的協商消息；步驟S202，第二通訊實體根據所述協商消息和自身能力參數對所述動態安全關聯進行操作，并向第一通訊實體發送響應消息；步驟S203，第二通訊實體接收來自第一通訊實體針對響應消息所發送的確認消息，若該確認消息表示第一通訊實體接受第二通訊實體對動態安全關聯的操作，則第二通訊實體對動態安全關聯進行相應處理。以下分別以創建、修改和刪除某一DSA為例，通過圖示第二通訊實體和第一通訊實體之間的交互，說明實施例二和實施例三的技術方案。如圖3所示，創建某一DSA時第一通訊實體和第二通訊實體之間的交互示意圖，包括S301，第一通訊實體發送與第二通訊實體協商創建某一動態安全關聯的協商消息。例如，第一通訊實體發送SA_Additi0n_Req消息，與第二通訊實體協商創建某一DSA，其格式可以如下表5所示表5<table>tableseeoriginaldocumentpage10</column></row><table><table>tableseeoriginaldocumentpage11</column></row><table>由于通訊實體一方的能力或狀態對另一方而言都是未知的，因此，第一通訊實體和第二通訊實體首先協商即將創建的某一DSA的相關屬性，S卩，在本實施例中，SA_Addition_Req消息應該包含即將創建的某一DSA的相關屬性。S302，第一通訊實體等待第二通訊實體的響應消息；在本實施例中，第一通訊實體在發送協商消息時可以啟動一等待定時器，若該等待定時器沒有超時，則第一通訊實體可以一直等待請求消息的響應消息，若等待定時器超時后還沒有收到所述請求消息的響應消息，則第一通訊實體可以重新發送與第二通訊實體協商創建某一動態安全關聯的協商消息并再次重新啟動定時器等待定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發請求消息，直到發送請求消息的次數超過設定的重復次數。S303，第二通訊實體接收第一通訊實體發送的與第二通訊實體協商創建某一DSA的協商消息，根據DSA的相關屬性和自身能力參數創建DSA；S304，第二通訊實體向第一通訊實體發送協商消息的響應消息；響應消息，例如SA_Additon_RSp消息標明第一通訊實體可以接受的DSA相關屬性，即，響應消息包含了第一通訊實體自身能力參數和即將創建的某一DSA的相關屬性(即第二通訊實體和第一通訊實體協商即將創建的某一DSA的相關屬性)的交集，其格式可以如下表6所示表6<table>tableseeoriginaldocumentpage12</column></row><table>S305，第二通訊實體等待第一通訊實體的確認消息；在本實施例中，第二通訊實體在發送針對協商消息的響應消息后可以啟動一等待定時器，在該等待定時器超時前，第二通訊實體可以一直等待第一通訊實體的確認消息，例如，SA_Addition_ACK消息；若等待定時器超時后還沒有收到第一通訊實體的確認消息，則第二通訊實體重新發送響應消息并重新啟動等待定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發響應消息，直到發送響應消息的次數超過設定的重復次數。S306，第一通訊實體向第二通訊實體發送對響應消息的確認消息，該確認消息標明第一通訊實體是否接受第一通訊實體創建的DSA，若不接受，則確認消息還應該標明不接受的原因。S307，若確認消息標明第一通訊實體接受第二通訊實體創建DSA，則第二通訊實體啟用創建的DSA的相關屬性。需要說明的是，在本實施例中，響應消息的確認消息可以攜帶一幀號(FrameNumber)，以該幀號通知第二通訊實體在該幀號表示的幀到達之后或達到之時第一通訊實體將啟用操作之后的動態安全關聯的相關屬性。例如，SA_Addition_ACK消息中攜帶幀號，則實際上是第一通訊實體通知第二通訊實體，其將在該幀號表示的幀到達第二通訊實體之后啟用第二通訊實體創建的DSA的相關屬性。如果確認消息沒有攜帶幀號，則表明從發送SA_Addition_ACK消息幀起第一通訊實體立即啟用第二通訊實體創建的DSA的相關屬性。請參閱圖4，修改某一DSA時第一通訊實體和第二通訊實體之間的交互示意圖，包括S401，第一通訊實體發送與第二通訊實體協商修改某一DSA的協商消息。例如，第一通訊實體發送SA_Change_Req消息，與第二通訊實體協商修改某一DSA，其格式可以如下表7所示表7<table>tableseeoriginaldocumentpage13</column></row><table>由于通訊實體一方的能力或狀態對另一方而言都是未知的，因此，第一通訊實體和第二通訊實體首先協商即將被修改的某一DSA的相關屬性，即，在本實施例中，SA_Change_Req消息應該包含所述即將被修改的某一DSA的相關屬性。S402，第一通訊實體等待第二通訊實體的響應消息；在本實施例中，第一通訊實體在發送協商消息時可以啟動一等待定時器，若該等待定時器沒有超時，則第一通訊實體可以一直等待第二通訊實體的響應消息，若等待定時器超時后還沒有收到請求消息的響應消息，則第一通訊實體可以重新發送與第二通訊實體協商修改某一動態安全關聯的協商消息，并再次啟動等待定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發請求消息，直到發送請求消息的次數超過設定的重復次數。S403，第二通訊實體接收第一通訊實體發送的與第二通訊實體協商修改某一DSA的協商消息，根據DSA的相關屬性和自身能力參數修改DSA；S404，第二通訊實體向第一通訊實體發送響應消息；響應消息，例如SA_Change_RSp消息標明第二通訊實體可以接受的DSA相關屬性，艮口，該響應消息包含了第二通訊實體自身能力參數和即將被修改的某一DSA的相關屬性(即第一通訊實體和第二通訊實體協商即將修改的某一DSA的相關屬性)的交集，其格式可以如下表8所示表8<table>tableseeoriginaldocumentpage14</column></row><table>S405，第二通訊實體等待第一通訊實體對響應消息的確認消息；在本實施例中，第二通訊實體在發送響應消息后可以啟動一等待定時器，在該等待定時器超時前，第二通訊實體可以一直等待響應消息的確認消息，例如，SA_Addition_ACK消息；若等待定時器超時后還沒有收到響應消息的確認消息，則第一通訊實體重新發送請求消息的響應消息并啟動等待定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發響應消息，直到發送響應消息的次數超過設定的重復次數。S406，第一通訊實體向第二通訊實體發送確認消息，該確認消息表示第一通訊實體是否接受第二通訊實體修改的DSA，若不接受，則確認消息還應該標明不接受的原因，錯誤的原因例如可以是DSA的SA標識指定的DSA不存在或SA標識指定的DSA正在使用而不允許修改等等。S407，若確認消息標明第一通訊實體接受第二通訊實體修改DSA，則第二通訊實體啟用修改之后的DSA的相關屬性。需要說明的是，在本實施例中，確認消息還可以攜帶一幀號(FrameNumber)，以該幀號通知第二通訊實體在該幀號表示的幀到達之后或達到之時第一通訊實體將啟用操作之后的動態安全關聯的相關屬性。例如，SA_Change_ACK消息中攜帶幀號，則實際上是第一通訊實體通知第二通訊實體，其將在該幀號表示的幀到達第二通訊實體之后啟用第二通訊實體創建的DSA的相關屬性。如果確認消息沒有攜帶幀號，則表明從發送SA_Change_ACK消息幀起第一通訊實體立即啟用第二通訊實體修改過的DSA的相關屬性。請參閱圖5，刪除某一DSA時第二通訊實體和第一通訊實體之間的交互示意圖，包括S501，第一通訊實體發送與第二通訊實體協商刪除某一DSA的協商消息。例如，第一通訊實體發送SA_Delete_Req消息，與第二通訊實體協商刪除某一DSA，其格式可以如下表9所示表9<table>tableseeoriginaldocumentpage15</column></row><table>由于通訊實體一方的能力或狀態對另一方而言都是未知的，因此，第一通訊實體和第二通訊實體首先協商即將被刪除的某一DSA，即，在本實施例中，SA_Delete_Req消息應該包含即將被刪除的某一DSA。S502，第一通訊實體等待第二通訊實體的響應消息；在本實施例中，第一通訊實體在發送協商消息時可以啟動一等待定時器，若該等待定時器沒有超時，則第一通訊實體可以一直等待第二通訊實體的響應消息；若改等待定時器超時后還沒有收到第二通訊實體的響應消息，則第一通訊實體可以重新發送請求第二通訊實體刪除某一動態安全關聯的請求消息并再次啟動等待定時器。若超過等待定時器設定的時間后仍未收到響應消息，則可以再次重發請求消息，直到發送請求消息的次數超過設定的重復次數。S503，第二通訊實體接收第一通訊實體發送的與第二通訊實體協商刪除某一DSA的請求消息，停用即將被刪除的DSA中的業務流加密密鑰TEK進行數據加密；S504，第二通訊實體向第一通訊實體發送響應消息；響應消息，例如SA_Delete_RSp消息表示第二通訊實體是否接受刪除DSA，S卩，響應消息包含了第二通訊實體是否接受第一通訊實體協商刪除某一DSA的信息，其格式可以如下表10所示表10<table>tableseeoriginaldocumentpage15</column></row><table><table>tableseeoriginaldocumentpage16</column></row><table>S505，第二通訊實體等待第一通訊實體的確認消息；在本實施例中，第二通訊實體在發送響應消息后可以啟動一等待定時器，在該等待定時器超時前，第二通訊實體可以一直等待第二通訊實體的確認消息，例如，SA_Delete_ACK消息；若該等待定時器超時后還沒有收到第一通訊實體的確認消息，則第二通訊實體重新發送請求消息的響應消息并重新啟動該定時器。若超過等待定時器設定的時間后仍未收到確認消息，則可以再次重發響應消息，直到發送響應消息的次數超過設定的重復次數。S506，第一通訊實體向第二通訊實體發送確認消息，該確認消息標明第一通訊實體是否接受第二通訊實體發起的對某一DSA的刪除，若不接受，則確認消息還應該標明不接受的原因，錯誤的原因例如可以是DSA的SA標識指定的DSA不存在或SA標識指定的DSA正在使用而不允許刪除等等。S507，若確認消息表示第一通訊實體接受第二通訊實體刪除DSA，則第二通訊實體刪除該DSA。從上述本發明實施例二可知，本發明的技術方案使通訊實體一方在針對某一DSA操作時，通過更詳細的協商過程可以讓通訊實體另一方及時獲知操作事件并反饋相應的消息，并不需要生產廠商提前進行對接測試。基于這些操作，第一通訊實體和第二通訊實體可以獲知彼此的能力，建立良好的配合，從而使用DSA更好地對業務流進行保護。請參閱圖6，本發明實施例一提供的一種通訊實體基本邏輯結構示意圖。為了便于說明，僅僅示出了與本發明實施例相關的部分。該通訊實體可以是基站，其包括操作模塊601，用于對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體(例如，用戶終端等)，其進一步包括創建單元6011，用于創建動態安全關聯并將創建事件通過操作消息發送至所述用戶終端；或修改單元6012，用于修改動態安全關聯并將修改事件通過操作消息發送至所述用戶終端；或刪除單元6013，用于刪除動態安全關聯并將修改事件通過操作消息發送至所述用戶終端。接收模塊602，用于接收來自第二通訊實體的確認消息；處理模塊603，用于根據接收模塊602接收的確認消息對動態安全關聯進行相應處理。例如，若操作模塊601執行的操作為創建一動態安全關聯且接收模塊602接收的確認消息表示用戶終端接受所述創建的動態安全關聯時，處理模塊603根據確認消息向用戶終端發送數據的加密/解密密鑰。再如，若操作模塊601執行的操作為修改一動態安全關聯且接收模塊602接收的確認消息表示用戶終端接受修改的動態安全關聯時，處理模塊603在幀號(FrameNumber)表示的幀的到達時刻啟用修改之后的動態安全關聯。再如，若操作模塊601執行的操作為刪除一動態安全關聯時，處理模塊603停止使用被刪除的動態安全關聯中的業務流加密密鑰的解密功能并釋放業務流加密密鑰狀態機。請參閱圖7，本發明實施例二提供的一種通訊實體基本邏輯結構示意圖。為了便于說明，僅僅示出了與本發明實施例相關的部分。該通訊實體可以是用戶終端，其包括接收模塊701，用于接收第一通訊實體發送的用于與該通訊實體協商操作動態安全關聯的協商消息，第一通訊實體可以是基站等；操作模塊702，用于根據接收模塊701接收的協商消息和自身能力參數操作動態安全關聯并向第一通訊實體發送響應消息；處理模塊703，用于接收來自第一通訊實體針對響應消息所發送的確認消息，在確認消息表示第一通訊實體接受用戶終端對動態安全關聯的操作時，對操作之后的動態安全關聯進行相應處理。需要說明的是，上述設備各模塊/單元之間的信息交互、執行過程等內容，由于與本發明方法實施例基于同一構思，具體內容可參見本發明方法實施例中的敘述，此處不再贅述。從上述本發明實施例可知，本發明的技術方案使通訊實體一方(基站或用戶終端)在針對某一DSA操作時，可以讓通訊實體另一方及時獲知操作事件并反饋相應的消息，并不需要生產廠商提前進行對接測試。基于這些操作，第一通訊實體和第二通訊實體可以獲知彼此的能力，建立良好的配合，從而使用DSA更好地對業務流進行保護。本動態安全管理方法作為一種通用的動態安全關聯管理方法，同樣可以應用在其他的系統中的安全管理上。本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關的硬件來完成，該程序可以存儲于一計算機可讀存儲介質中，存儲介質可以包括只讀存儲器(ROM，ReadOnlyMemory)、隨機存取存儲器(RAM，RandomAccessMemory)、磁盤或光盤等。以上對本發明實施例所提供的動態安全關聯的管理方法及一種通訊實體進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。權利要求一種動態安全關聯的管理方法，其特征在于，包括第一通訊實體對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體；所述第一通訊實體接收來自第二通訊實體的確認消息；所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理。2.如權利要求1所述的方法，其特征在于，若所述操作事件為創建動態安全關聯且確認消息表示接受所述創建的動態安全關聯，則所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理包括所述第一通訊實體向所述第二通訊實體發送數據的加密/解密密鑰。3.如權利要求1所述的方法，其特征在于，所述操作事件為修改動態安全關聯時，所述第一通訊實體向所述第二通訊實體發送的操作消息至少包括幀號，所述幀號用于指明第一通訊實體和第二通訊實體將于所述幀號表示的幀的到達時刻將原動態安全關聯更新為修改之后的動態安全關聯。4.如權利要求3所述的方法，其特征在于，若所述確認消息表示接受所述修改后的動態安全關聯，則所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理包括第一通訊實體在所述幀號表示的幀的到達時刻啟用修改后的動態安全關聯。5.如權利要求1所述的方法，其特征在于，所述操作事件為刪除所述動態安全關聯時，所述第一通訊實體對動態安全關聯進行操作，并將所述操作事件通過操作消息發送至第二通訊實體包括第一通訊實體向所述第二通訊實體發送用于刪除所述動態安全關聯的刪除消息，同時禁用所述被刪除的動態安全關聯中業務流加密密鑰的加密功能并保持解密功能，所述刪除消息至少包括將被刪除的動態安全關聯的標識。6.如權利要求5所述的方法，其特征在于，所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理包括若所述確認消息表示接受刪除所述動態安全關聯，則所述第一通訊實體禁用所述被刪除的動態安全關聯中的業務流加密密鑰的解密功能并釋放所述業務流加密密鑰狀態機。7.如權利要求1至6任意一項所述的方法，其特征在于，所述第一通訊實體對動態安全關聯進行操作，并將所述操作事件通過操作消息發送至第二通訊實體后，所述方法進一步包括第一通訊實體等待所述第二通訊實體對所述操作消息的確認消息，若等待時間超過設定的時間，則所述第一通訊實體重復向第二通訊實體發送所述操作消息。8.如權利要求1所述的方法，其特征在于，所述第一通訊實體為基站，第二通訊實體為用戶終端。9.一種通訊實體，其特征在于，包括操作模塊，用于對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體；接收模塊，用于接收來自所述第二通訊實體的確認消息；處理模塊，用于根據所述確認消息對所述動態安全關聯進行相應處理。10.如權利要求9所述的基站，其特征在于，所述操作模塊包括創建單元，用于創建動態安全關聯并將所述創建事件通過操作消息發送至所述用戶終端；或修改單元，用于修改動態安全關聯并將所述修改事件通過操作消息發送至所述用戶終端；或刪除單元，用于刪除動態安全關聯并將所述修改事件通過操作消息發送至所述用戶終端。11.一種動態安全關聯的管理方法，其特征在于，包括第二通訊實體接收第一通訊實體發送的用于與所述第二通訊實體協商操作動態安全關聯的協商消息；所述第二通訊實體根據所述協商消息和自身能力參數對所述動態安全關聯進行操作，并向所述第一通訊實體發送響應消息；所述第二通訊實體接收來自所述第一通訊實體針對所述響應消息所發送的確認消息，若所述確認消息表示所述第一通訊實體接受所述第二通訊實體對所述動態安全關聯的操作，則所述第二通訊實體根據所述確認消息對所述動態安全關聯進行相應處理。12.如權利要求11所述的方法，其特征在于，所述第二通訊實體接收的協商消息為與所述第二通訊實體協商創建動態安全關聯時，所述第二通訊實體根據所述請求消息和自身能力參數對所述動態安全關聯進行操作，并向所述第一通訊實體發送響應消息包括所述第二通訊實體創建所述動態安全關聯；所述第二通訊實體向所述第一通訊實體發送響應消息并等待所述第一通訊實體的確認消息；所述第二通訊實體對所述動態安全關聯進行相應處理包括所述第二通訊實體啟用所述創建的動態安全關聯的相關屬性。13.如權利要求11所述的方法，其特征在于，若所述第二通訊實體接收的請求消息為與所述第二通訊實體協商修改動態安全關聯，所述第二通訊實體根據所述請求消息和自身能力參數對所述動態安全關聯進行操作，并向所述第一通訊實體發送響應消息包括所述第二通訊實體修改所述動態安全關聯的相關屬性；所述第二通訊實體向所述第一通訊實體發送響應消息并等待所述第一通訊實體的確認消息；所述第二通訊實體對動態安全關聯進行相應處理包括所述第二通訊實體啟用所述修改之后的動態安全關聯的相關屬性。14.如權利要求13所述的方法，其特征在于，所述確認消息攜帶幀號，所述幀號用于通知所述第二通訊實體在所述幀號表示的幀到達之后或達到之時，所述第一通訊實體將啟用所述修改之后的動態安全關聯的相關屬性。15.如權利要求11所述的方法，其特征在于，所述第二通訊實體接收的請求消息為與所述第二通訊實體協商刪除動態安全關聯時，所述第二通訊實體根據所述請求消息和自身能力參數對所述動態安全關聯進行操作，并向所述第一通訊實體發送響應消息包括所述第二通訊實體停止使用所述即將被刪除的動態安全關聯對數據進行加密；所述第二通訊實體向所述第一通訊實體發送響應消息并等待所述第一通訊實體的確認消息；所述第二通訊實體對動態安全關聯進行相應處理包括所述第二通訊實體刪除所述動態安全關聯。16.如權利要求11至15任意一項所述的方法，其特征在于，若等待所述第一通訊實體的確認消息的時間超過設定時間，則第二通訊實體再次向所述第一通訊實體發送所述響應消息。17.如權利要求11所述的方法，其特征在于，所述第一通訊實體為基站，所述第二通訊實體為用戶終端。18.一種通訊實體，其特征在于，包括接收模塊，用于接收第一通訊實體發送的用于與所述通訊實體協商操作動態安全關聯的協商消息；操作模塊，用于根據所述協商消息和自身能力參數操作所述動態安全關聯并向所述第一通訊實體發送響應消息；處理模塊，用于接收來自所述第一通訊實體針對所述響應消息所發送的確認消息，在所述確認消息表示所述基站接受所述通訊實體對所述動態安全關聯的操作時，根據所述確認消息對所述操作之后的動態安全關聯進行相應處理。全文摘要本發明實施例提供動態安全關聯的管理方法及一種通訊實體，旨在解決現有技術中通訊實體對動態安全關聯的支持能力不能通過協商獲取以及對動態安全關聯進行管理需通過和其他流程配合完成的問題。所述方法包括第一通訊實體對動態安全關聯進行操作，并將操作事件通過操作消息發送至第二通訊實體；所述第一通訊實體接收來自第二通訊實體的確認消息；所述第一通訊實體根據所述確認消息對所述動態安全關聯進行相應處理。基于本發明，第一通訊實體和第二通訊實體可以獲知彼此的能力，建立良好的配合，從而使用DSA更好地對業務流進行保護。文檔編號H04W12/06GK101800981SQ20101010437公開日2010年8月11日申請日期2010年1月25日優先權日2010年1月25日發明者宋照紅,李瀛申請人:上海華為技術有限公司