WO2012024905A1

WO2012024905A1 - 一种移动通讯网中数据加解密方法、终端和ggsn

Info

Publication number: WO2012024905A1
Application number: PCT/CN2011/070337
Authority: WO
Inventors: 张蓬勃; 曹耀斌; 薛宝林; 薛涛; 于松; 邓方民; 孙君生; 杨玉林
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-08-25
Filing date: 2011-01-17
Publication date: 2012-03-01
Also published as: CN101917712A

Description

一种移动通讯网中数据加解密方法、终端和 GGSN

技术领域本发明涉及移动通信领域，尤其涉及一种移动通信网中数据加解密方法、终端和网关通用分组无线业务支持节点。

背景技术数据业务是第三代移动通讯技术发展的重点，也最受用户和运营商的关注，艮多传统的业务（比如语音通话）也已经通过分组交互实现（网络电话 ( Voice over IP, VOIP ) ) , 因此数据业务的保密性和安全性也越来越受到关注。移动网络本身有自身的通讯加密方法，在第三代合作伙伴计划（3rd Generation Partnership Project, 3 GPP ) (包括通用移动通讯*** ( Universal Mobile Telecommunications System, UMTS ) 和全球移动通讯*** ( Global System for Mobile Communications, GSM ) ) ***中，用户的用户识别模块 ( Subscriber Identity Module, SIM )卡和归属网络的归属位置存储器 /鉴权中心 ( Home Location Register/ Authentication Center, HLR/AuC ) , 通用表示方式，表示集成了 AUC的 HLR )共享一个安全密钥 Ki ( 128bit ) , 基于该安全密钥 Ki, 核心网和用户之间可以进行双向鉴权，同时基站和手机间也利用 Ki对无线链路进行加密和完整性保护。

3GPP中定义的加密方法只是加密无线环境，在移动终端和节点 B ( Node B )之间对传输的数据进行加 /解密，数据在网络中都是通过明文传输的，很容易被监听，现有的网络监听技术大都在网络侧实现。图 1为分组数据网络示意图，移动终端 A和 B 分别通过各自的无线网络*** ( Radio Network System, RNS)、服务通用分组无线业务（ General Packet Radio Service, GPRS ) 支持节点（ Serving GPRS Support Node, SGSN )、网关 GPRS支持节点 GGSN ( Gateway GPRS Support Node , )接入分组数据网络（ Packet Data Network , PDN ) 。如图 1 , 通常在 SGSN和 GGSN中进行监听。目前已有相关专利或者方案都是端到端的加密，这样的加密参数不能动态变化，很容易被破解。支持加密的用户和不支持加密的用户之间数据输出方式很难协调。

发明内容本发明要解决的技术问题是提供一种移动通讯网中数据加解密方法、终端和网关通用分组无线业务支持节点，保证用户信息不通过明文传输，防止用户信息被非法监听，提高数据传输的安全性和保密性。为解决上述技术问题，本发明提供了一种移动通讯网中数据加解密方法，该方法包括：在分组数据传输之前，发送端将原始分组数据报文送入加密模块，由加密模块釆用加密密钥（CK )对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端；以及接收端收到加密的分组数据报文后，将其送入解密模块，由解密模块使用与发送端加密分组数据报文所釆用的 CK相同的 CK对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地。发送端将原始分组数据报文送入加密模块的步骤之前，所述方法还包括：判断在分组数据通道建立时是否接收到加密标识，如果接收到，则将原始分组数据报文送入加密模块进行加密。所述发送端为终端，所述接收端为网关通用分组无线业务支持节点

( GGSN ) ；或者，所述发送端为 GGSN, 所述接收端为终端。所述发送端为终端，所述接收端为 GGSN时，发送端将原始分组数据报文送入加密模块，由加密模块对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端的步骤包括：终端在发送分组数据报文前，先通过终端中的加密模块使用 CK对所述分组数据 "^文进行加密，终端对加密后的分组数据>¾文进行协议封装后发送至网络；接收端将加密的分组数据报文送入解密模块，由解密模块对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地的步骤包括：所述

GGSN收到终端发送的分组数据报文后， GGSN中的解密模块使用与所述终所述 GGSN将解密后的分组数据报文发送至所述报文的目的地址。所述发送端为 GGSN, 所述接收端为终端时，发送端将原始分组数据报文送入加密模块，由加密模块对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端的步骤包括：所述 GGSN在接收到发送至终端的分组数据报文后， GGSN中的加密模块使用 CK对所述分组数据报文进行加密， GGSN对加密后的分组数据报文进行协议封装后发送，通过网络发送至终端；接收端将加密的分组数据报文送入解密模块，由解密模块对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地的步骤包括：所述终端接收到加密的分组数据报文后，由终端中的解密模块使用与所述 GGSN 加密分组数据报文所釆用的 CK相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。

GGSN中的解密模块使用与所述终端相同的 CK对所述分组数据报文进行解密的步骤包括：所述 GGSN收到终端发送的分组数据报文后，将所述终端的 CK和所述分组数据报文发送给解密模块，由所述解密模块使用所述 CK 对所述分组数据报文进行解密；所述 GGSN 在数据传输链路建立时，从归属位置存储器 /鉴权中心 ( HLR/AUC ) 中获取所述终端的 CK。

GGSN中的加密模块使用 CK对所述分组数据报文进行加密的步骤包括：所述 GGSN收到发送至终端的分组数据报文后，将所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据才艮文进行加密；所述 GGSN 在数据传输链路建立时，从归属位置存储器 /鉴权中心 ( HLR/AUC ) 中获取所述终端的 CK。为解决上述技术问题，本发明还提供了一种移动通讯网中的终端，所述终端包括加密模块、发送模块、接收模块和解密模块，其中：所述加密模块设置为：使用加密密钥（CK )对所述分组数据报文进行加密；

所述发送模块设置为：对加密后的分组数据报文进行协议封装后发送至网络侧；所述接收模块设置为：接收网络侧发送的加密的分组数据报文；所述解密模块设置为：使用与网络侧加密分组数据报文所釆用的 CK相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。所述终端还包括判断模块，所述判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。为解决上述技术问题，本发明还提供了一种网关通用分组无线业务支持节点（GGSN ) , 所述 GGSN包括接收模块、解密模块、加密模块和发送模块，其中：所述接收模块设置为：接收终端发送的加密的分组数据报文，以及用于接收发送至终端的分组数据报文；所述解密模块设置为：使用与终端加密分组数据报文所釆用的加密密钥 ( CK )相同的 CK对所述接收的加密的分组数据报文进行解密；所述发送模块设置为：将解密后的分组数据报文发送至所述报文的目的地址，以及将加密后的分组数据报文进行协议封装后通过网络发送至终端；所述加密模块设置为：使用 CK对所述接收的发送至终端的分组数据报文进行力口密。所述 GGSN还包括：密钥获取模块，其设置为：在数据传输链路建立时，从归属位置存储器 / 鉴权中心 ( HLR/AUC ) 中获取的所述终端的 CK; 以及：在收到终端发送的分组数据文后，将获取的所述终端的 CK和所述分组数据报文发送给解密模块，由所述解密模块使用所述 CK对所述分组数据报文进行解密；在收到发送至终端的分组数据报文后，将获取的所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据报文进行加密。所述 GGSN还包括判断模块，所述判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。本发明通过在移动终端和 GGSN中分别配置硬件加解密模块，硬件加解密模块通过加密密钥（ Cipher Key, CK )对上下行分组数据艮文进行加解密，可以保证用户信息不通过明文传输。加密后的数据在网络侧无法监听，而且在无线环境传输还会进行加密，相当于双加密的，更加保密和安全。即使窃听方获得了被窃听方得安全密钥 Ki, 也无法在无线传输环境中进行窃听，提高数据传输的安全性和保密性。本发明适用于政府敏感部门，情报机关，等等非常重视安全和保密的组织和个人。

附图概述图 1为分组数据网络示意图；图 2为加密后的分组网络及数据传输示意图；图 3为终端和 GGSN的具体结构示意图。

本发明的较佳实施方式目前技术中端到端的加密由于没有传输网络参与，这样的加密参数不能动态变化，很容易被破解。为了解决这一问题，本发明的发明构思是：在分组数据传输之前，发送端（用户终端或者 GGSN )将原始分组数据报文送入加密模块，由加密模块釆用加密密钥（CK )作为加密运算因子对原始分组数据报文进行加密，得到加密后的分组数据报文，对加密后的分组数据报文进行协议封装后发送至接收端；接收端（发送端为用户终端时，接收端为 GGSN; 发送端为 GGSN时，接收端为用户终端）收到加密的分组数据报文后，将其送入解密模块，由解密模块使用与发送端加密模块相同的 CK对分组数据报文进行解密，之后将解密后的分组数据报文发送到下一目的地。其中：

*对于上行分组数据，终端在发送分组数据文前，先通过终端中的加密模块使用加密密钥（CK )对所述分组数据报文进行加密，终端对加密后的分组数据报文进行协议封装后发送至网络； GGSN收到终端发送的分组数据报文后， GGSN中的解密模块使用与所述终端相同的 CK对所述分组数据报文进行解密，所述 GGSN将解密后的分组数据报文发送至所述报文的目的地址。所述 GGSN收到终端发送的分组数据报文后， GGSN中的解密模块使用与所述终端相同的 CK对所述分组数据报文进行解密的步骤包括：所述 GGSN 收到终端发送的分组数据报文后，将所述终端的 CK和所述分组数据报文发送给解密模块，由所述解密模块使用所述 CK对所述分组数据报文进行解密。所述 GGSN中的终端的 CK是在数据传输链路建立时，从归属位置存储器 /鉴权中心（HLR/AUC ) 中获取的。

•对于下行分组数据， GGSN在接收到发送至终端的分组数据报文后， GGSN中的加密模块使用 CK对所述分组数据报文进行加密， GGSN对加密后的分组数据报文进行协议封装后发送，通过网络发送至终端；所述终端接收到加密的分组数据报文后，由终端中的解密模块使用与所述 GGSN相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。所述 GGSN在接收到发送至终端的分组数据报文后， GGSN中的加密模块使用 CK对所述分组数据报文进行加密的步骤包括：所述 GGSN收到发送至终端的分组数据报文后，将所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据报文进行加密。本文的实现与移动网络自身加密无关，直接对需要传输的原始数据进行加密和解密，数据加密后在网络中传输，以保证数据的保密性和安全性。硬件加密、解密模块使用 CK作为加密因子对分组数据进行加解密。该

CK是通过加密算法（A3 ) 、 RAND (随机数）和 Ki (根密钥 )计算出来的，如 CK= A3 ( RAND , Ki ) 。 Ki由网络 (如网络单元 HLR/AUC)与终端共享，在终端（如全球用户识别模块 ( Universal Subscriber Identity Module, USIM ) 卡中）和 HLR/AUC中存储，不在网络中传输，很难窃取。而 RAND是随机序列，在每次连接建立中都会变化，具有很强的随机性。因此在本方案中加密因子每次都不同，只在本次会话中有效，所以又称为实时加密，此举更加大了无线传输环境中对 CK进行破解的难度，从而保证数据传输私密性。另一方面，本发明中使用数据业务的双方（包括终端和 GGSN服务器）不需要知道对方的 CK。对终该而言，网络侧负责在每次认证时将 RAND传给终端，终端可根据算法自己生成 CK; 对于 GGSN 而言， GGSN 可从 HLR/AUC中获取 HLR/AUC计算出的 CK。不会增加额外的损耗。上述硬件加密模块和解密模块可以由第三方提供，嵌入终端及网络设备中，负责对分组数据进行加解密运算。这样即使网络设备商、终端设备商和运营商都无法对加密分组数据进行窃听。分组数据都是基于 IP传输，本申请中，对原始的数据进行加密，密文作为 IP包的原始数据，通过 IP相关协议封装，不影响网关对分组数据的处理及路由选择。

实现上述方法的***如图 2和图 3所示，主要包括终端和 GGSN,其中：所述终端包括加密模块、发送模块、接收模块和解密模块，其中：所述加密模块设置为：使用 CK对所述分组数据报文进行加密；所述发送模块设置为：对加密后的分组数据报文进行协议封装后发送至网络侧; 所述接收模块设置为：于接收网络侧发送的加密的分组数据报文；所述解密模块设置为：使用与网络侧加密分组数据报文是所釆用的 CK 相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。所述 GGSN包括接收模块、解密模块、加密模块和发送模块，其中：所述接收模块设置为：接收终端发送的加密的分组数据报文，以及接收发送至终端的分组数据报文；所述解密模块设置为：使用与终端加密分组数据报文时所釆用的 CK相同的 CK对所述接收的加密的分组数据报文进行解密；所述发送模块设置为：将解密后的分组数据报文发送至所述报文的目的地址，以及将加密后的分组数据报文进行协议封装后通过网络发送至终端；所述加密模块设置为：使用 CK对所述接收的发送至终端的分组数据报文进行力口密。上述终端中的加密模块和解密模块可以合一设置为加解密模块；同样地，所述 GGSN中的加密模块和解密模块也可合一设置。发送模块和接收模块也可合一设置为收发模块。终端中如何设置与 GGSN中如何设置无关， GGSN 中如何设置也与终端中如何设置无关。但 GGSN和终端中加解密模块的运算规则相同，具体釆用哪种加解密算法本发明不作限定。优选地，所述 GGSN还设置为：在数据传输链路建立时，从 HLR/AUC 中获取的所述终端的 CK; 以及，在收到终端发送的分组数据报文后，将获取的所述终端的 CK和所述分组数据报文发送给解密模块，由所述解密模块使用所述 CK对所述分组数据报文进行解密；以及，在收到发送至终端的分组数据报文后，将获取的所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据报文进行加密。优选地，所述终端还包括判断模块，该判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有，触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。优选地，所述 GGSN还包括判断模块，该判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。

下面结合附图对本发明的实施例作进一步的详细描述，需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。本发明所提出的实现方法需要网络参与，因此需要在终端和 GGSN中嵌入硬件加密模块。选择把 GGSN作为加密 /解密的另一端，有几个好处：

1 )分组业务包括很多种类，客户端 /服务器（Client/Server, C/S ) 类的业务占了绝大多数，同时还有部分会话类业务，在 GGSN中加密 /解密，可以实现对各种类型的分组业务的加密。

2 ) GGSN是第三代移动通讯分组域网络的网关节点，是移动网络和公用 PDN的分界点，用户数据在外部 PDN传输时用户的 IP地址都是动态分配的，才艮据 Π 艮难获取到用户信息，而用户的标识信息（比如国际移动用户识别码

( International Mobile Subscriber Identity , IMSI )等）只在移动网络中传输，因此在 GGSN 中加密能够保证用户数据不被非法监听，所以在 GGSN中加密能够保证用户信息的安全性和私密性。终端和 GGSN中的中的硬件加密模块作用稍有差异，而运算规则完全相同。在本实施例中，可在分组数据通道建立过程中，通过参数控制终端和 GGSN是否需要对分组数据报文进行加密。下面分三个部分对具体实现流程进行介绍：第一部分：加密判断及加密密钥（CK ) 的获得加密标识：在处理数据之前，移动终端和 GGSN需要知道是否需要对用户数据进行加密解密。参照 3GPP协议，在分组数据通道建立时，在终端和 GGSN之间会共享传输相关的参数信息，如 IP 配置信息以及域名***（Domain Name System, DNS )配置信息等，终端通过在该参数中增加加密标识，通知 GGSN 是否需要进行加解密操作。终端和 GGSN在数据发送之前，判断是否有该加密标识，如果有，则触发加密模块进行加密，如果没有，则按正常流程，对分组数据封装后发送。

CK的获得：终端中：根据 3GPP协议规定，在建立分组数据传输通道建立之前，首先要建立信令连接，在信令连接建立过程中需要对用户进行认证，在认证过程中网络侧将 RAND发给终端，终端按照获得的 RAND, 结合自身 Ki, 通过 A3算法，产生当前有效 CK , 将 CK传递给终端硬件加解密模块。

GGSN中：按照 3GPP的协议流程， GGSN不参与信令链路的建立，因此在 GGSN 中无法根据现有流程获得 CK值，因此需要增加额外的信令流程来实现。利用现有的 GGSN和 HLR/AUC之间的接口（ Gc )口，在数据传输链路建立时，判断如果需要对数据进行加解密操作，从 HLR/Auc中获取 CK,存储在 GGSN 中，在对应的用户终端需要传输数据时，发给硬件加解密模块。

第二部分：终端中的加密解密处理加密：终端在发送数据前，现把分组数据报文发给硬件加解密模块，硬件加解密模块使用在链路建立时获得的 CK对分组数据报文进行加密，终端加密后的分组数据报文进行相关的协议封装后发送给网络。解密：

终端从网络收到分组数据报文后，把分组数据报文传给硬件加解密模块进行解密，硬件加解密模块使用 CK对分组数据报文进行解密，终端把解密后明文数据报文传给对应的应用模块。第三部分： GGSN中的加密解密处理

GGSN从终端收到分组数据报文后，先进行解密，把分组数据报文以明文的形式发给外部 PDN; GGSN从外部 PDN或者其他 GGSN收到分组数据报文后，进行加密后，以密文形式发给终端。加密：

GGSN从外部 PDN或者其他 GGSN收到分组数据报文后，根据目的地址获得用户信息，判断是否需要对当前用户的数据进行加密，需要加密时，获取当前用户的 CK, 和原始分组数据报文一起传给硬件加解密模块，硬件加解密模块使用收到的 CK对分组数据报文进行加密生成密文。 GGSN把密文按照 3GPP 规定的协议（和 SGSN 之间通过 GPRS 隧道协议（GPRS Tunneling Protocol, GTP )封装））封装后，发送终端。解密：

GGSN根据从终端收到数据获得用户标识（按照 3GPP协议规定， SGSN 和 GGSN之间釆用 GTP进行数据传输，根据 GTP 的标识可以获得用户标识信息），根据获得的用户标识，从保存的 CK中查出该 UE的 CK, 把分组数据报文和 CK一起送给硬件加解密模块进行解密，解密后获得明文形式的分组数据报文，按照报文中指定的目的地址发送报文。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。工业实用性本发明可以保证用户信息不通过明文传输。加密后的数据在网络侧无法监听，而且在无线环境传输还会进行加密，相当于双加密的，更加保密和安全。即使窃听方获得了被窃听方得安全密钥 Ki, 也无法在无线传输环境中进行窃听，提高数据传输的安全性和保密性。本发明适用于政府敏感部门，情报机关，等等非常重视安全和保密的组织和个人。

Claims

权利要求书

1、一种移动通讯网中数据加解密方法，该方法包括：在分组数据传输之前，发送端将原始分组数据报文送入加密模块，由加密模块釆用加密密钥（CK )对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端；以及接收端收到加密的分组数据报文后，将其送入解密模块，由解密模块使用与发送端加密分组数据报文所釆用的 CK相同的 CK对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地。

2、如权利要求 1所述的方法，其中：发送端将原始分组数据报文送入加密模块的步骤之前，所述方法还包括：判断在分组数据通道建立时是否接收到加密标识，如果接收到，则将原始分组数据报文送入加密模块进行加密。

3、如权利要求 1或 2所述的方法，其中：所述发送端为终端，所述接收端为网关通用分组无线业务支持节点 ( GGSN ) ；或者，所述发送端为 GGSN, 所述接收端为终端。

4、如权利要求 3所述的方法，其中：所述发送端为终端，所述接收端为 GGSN时，发送端将原始分组数据报文送入加密模块，由加密模块对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端的步骤包括：终端在发送分组数据报文前，先通过终端中的加密模块使用 CK对所述分组数据 "^文进行加密，终端对加密后的分组数据>¾文进行协议封装后发送至网络；接收端将加密的分组数据报文送入解密模块，由解密模块对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地的步骤包括：所述 GGSN收到终端发送的分组数据报文后， GGSN中的解密模块使用与所述终所述 GGSN将解密后的分组数据报文发送至所述报文的目的地址。

5、如权利要求 3所述的方法，其中：所述发送端为 GGSN, 所述接收端为终端时，发送端将原始分组数据报文送入加密模块，由加密模块对原始分组数据报文进行加密，对加密后的分组数据报文进行协议封装后发送至接收端的步骤包括：所述 GGSN在接收到发送至终端的分组数据报文后， GGSN中的加密模块使用 CK对所述分组数据报文进行加密， GGSN对加密后的分组数据报文进行协议封装后发送，通过网络发送至终端；接收端将加密的分组数据报文送入解密模块，由解密模块对分组数据报文进行解密，将解密后的分组数据报文发送到下一目的地的步骤包括：所述终端接收到加密的分组数据报文后，由终端中的解密模块使用与所述 GGSN 加密分组数据报文所釆用的 CK相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。

6、如权利要求 4所述的方法，其中：

7、如权利要求 5所述的方法，其中：

GGSN中的加密模块使用 CK对所述分组数据报文进行加密的步骤包括：所述 GGSN收到发送至终端的分组数据报文后，将所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据报文进行加密; 所述 GGSN 在数据传输链路建立时，从归属位置存储器 /鉴权中心 ( HLR/AUC ) 中获取所述终端的 CK。

8、一种移动通讯网中的终端，所述终端包括加密模块、发送模块、接收模块和解密模块，其中：所述加密模块设置为：使用加密密钥（CK )对所述分组数据报文进行加密；所述发送模块设置为：对加密后的分组数据报文进行协议封装后发送至网络侧；所述接收模块设置为：接收网络侧发送的加密的分组数据报文；所述解密模块设置为：使用与网络侧加密分组数据报文所釆用的 CK相同的 CK对所述分组数据报文进行解密，获取解密后的分组数据报文。

9、如权利要求 8所述的终端，其中：所述终端还包括判断模块，所述判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。

10、一种网关通用分组无线业务支持节点（GGSN ) , 所述 GGSN包括接收模块、解密模块、加密模块和发送模块，其中：所述接收模块设置为：接收终端发送的加密的分组数据报文，以及用于接收发送至终端的分组数据报文；所述解密模块设置为：使用与终端加密分组数据报文所釆用的加密密钥 ( CK )相同的 CK对所述接收的加密的分组数据报文进行解密；所述发送模块设置为：将解密后的分组数据报文发送至所述报文的目的地址，以及将加密后的分组数据报文进行协议封装后通过网络发送至终端；所述加密模块设置为：使用 CK对所述接收的发送至终端的分组数据报文进行力口密。

11、如权利要求 10所述的 GGSN, 其还包括：密钥获取模块，其设置为：在数据传输链路建立时，从归属位置存储器 / 鉴权中心（ HLR/AUC ) 中获取的所述终端的 CK; 以及：在收到终端发送的分组数据文后，将获取的所述终端的 CK和所述分组数据报文发送给解密模块，由所述解密模块使用所述 CK对所述分组数据报文进行解密；在收到发送至终端的分组数据报文后，将获取的所述终端的 CK和所述分组数据报文发送给加密模块，由所述加密模块使用所述 CK对所述分组数据报文进行加密。

12、如权利要求 10所述的 GGSN, 其中：所述 GGSN还包括判断模块，所述判断模块设置为：在发送分组数据报文前，判断是否有加密标识，如果有，则触发加密模块，如果没有触发发送模块；以及在接收到分组数据报文后，如果判断有加密标识，则触发解密模块。