公开/公告号CN101330757A
专利类型发明专利
公开/公告日2008-12-24
原文格式PDF
申请/专利权人 中兴通讯股份有限公司;
申请/专利号CN200810126271.6
申请日2008-07-28
分类号H04Q7/38(20060101);H04Q7/22(20060101);H04L12/56(20060101);H04L29/06(20060101);
代理机构11262 北京安信方达知识产权代理有限公司;
代理人龙洪;霍育栋
地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法律部
入库时间 2023-12-17 21:15:08
法律状态公告日
法律状态信息
法律状态
2011-07-13
授权
授权
2009-02-18
实质审查的生效
实质审查的生效
2008-12-24
公开
公开
技术领域
本发明涉及一种通信技术,具体说,涉及一种下一代网络中业务安全等级实现方法。
背景技术
在IP网上提供TDM电路、ATM、FR等,以支持传统业务,称为Everythingover IP或者Internet Protocol。随着Everything over IP的发展,为了满足用户对分组网络在QoS(Quality of Service,服务质量)方面的需求,业界提出了NGN(Next Generation Networks,下一代网络)。NGN基于分组技术,采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想,能够支持现有的各种接入技术;能够提供话音、数据、视频、流媒体等业务;能够支持现有移动网络上的各种业务,实现固定网络和移动网络的融合;能够根据用户的需要,保证用户业务的服务质量。
如图1所示,是现有技术中的NGN体系架构图。NGN体系架构包括网络接入控制部分、资源控制部分、传送部分、业务控制部分和用户终端/用户网络部分。
网络接入控制部分为接入NGN网络的用户终端/用户网络部分提供注册、鉴权授权、地址分配、参数配置、位置管理等功能。例如,TISPAN(电信和互联网融合业务及高级网络协议)NGN网络中网络附着子系统(Network Attachment Subsystem)、ITU-T NGN网络中网络附着控制功能(Network Attachment Control Functions)。
资源控制部分基于策略和网络资源状态,完成用户终端/用户网络部分接入网络时接纳控制、资源预留等功能。例如,TISPAN NGN网络中资源接纳控制子系统(Resource and Admission Control Subsystem)、ITU-T NGN网络中资源接纳控制功能(Resource and Admission Control Functions)、3GPP移动网络中策略与计费规则功能(Policy and Charging Rules Function)。传送部分完成信息的传送功能,例如TISPAN传送处理功能(Transport processingfunctions)、ITU-T NGN网络中传送功能(Transport Functions)、3GPP移动网络中策略与计费执行功能(Policy and Charging Enforcement Function)。
业务控制部分属于业务层中的一部分,在业务层次上完成注册、鉴权授权、资源控制等功能。例如,TISPAN NGN网络中业务控制子系统(ServiceControl Subsystems)、ITU-T NGN网络中业务控制功能(Service ControlFunctions)、3GPP移动网络中IMS域(IP Multimedia Subsystem)。
用户终端/用户网络部分用于向用户提供网络接入功能。例如,ITU-TNGN/TISPAN NGN中CPE(Customer Premises Equipment,用户端设备)/CPN(Customer Premises Network,用户驻地网)、3GPP移动网络中移动终端/无线侧。
NGN上存在着各种各样的用户和各种各样的业务。不同的用户可能有不同的安全需求和服务质量需求,同一个用户对于不同的业务可能有不同的安全需求和服务质量需求,甚至同一个用户对于同样的业务在不同应用环境下也可能具有不同的安全需求和服务质量需求。在合法用户终端/用户网络部分使用NGN时,为了保证服务质量,资源控制部分将根据业务请求(包括业务优先级、业务带宽需求等参数)和网络资源状态信息,进行接纳控制与网络资源预留决策,在这个过程中目前没有考虑到安全措施对服务质量的影响。事实上,如果用户不具有满足业务请求中的网络安全等级(也可以称为媒体安全描述、业务安全描述或者差异化安全服务),尽管网络存在业务请求的带宽等资源,也不能进行网络通信。
发明内容
本发明要解决的技术问题是提供一种下一代网络中业务安全等级实现方法,消除了安全措施对服务质量的影响。
为了解决上述问题,本发明提供了一种下一代网络中业务安全等级实现方法,包括:
用户注册时,按照业务的安全需求签约业务安全等级作为签约信息,或采用缺省的业务安全等级作为签约信息,并保存在用户签约信息数据库中;
当业务控制部分接收到业务请求时,依据安全策略规则得出所述业务请求的业务安全等级,并在对用户进行鉴权授权过程中,从所述用户签约信息数据库中获取用户签约信息;
所述业务控制部分对得出的业务安全等级与所述签约信息中的业务安全等级进行对比分析,依据安全策略规则确定使用的业务安全等级;所述业务控制部分与资源控制部分进行交互时,携带所述确定下来的业务安全等级;
所述资源控制部分确定支持所述业务安全等级的逻辑实体或物理实体;
传送部分、用户终端或者用户网络部分在接收到所述业务安全等级后,根据确定下来的所述业务安全等级传送用户数据。
进一步,确定使用的业务安全等级为:业务请求的业务安全等级、签约信息中的业务安全等级或者签约信息中缺省的业务安全等级。
进一步,若对比分析结果是不能接纳业务请求的业务安全等级时,所述业务控制部分与所述用户终端或用户网络部分进行协商,依据安全策略规则,得出最终的决策结果:拒绝所述业务请求或使用所述签约信息中的业务安全等级作为所述业务请求的业务安全等级。
进一步,在所述签约信息中,对所述业务安全等级按照安全策略规则要求进行统一规划,每个业务安全等级对应一组安全参数。
进一步,所述业务安全等级依据安全策略规则要求采用的安全参数包括:接纳控制方式、网络地址转换方式、终端安全代理类型、数据加密类型、数据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数据起源认证类型、接收方认证类型、数据起源认证密钥长度、接收方认证密钥长度、抗抵赖性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型或者反垃圾短信类型。
进一步,所述资源控制部分与所述传送部分、用户终端或者用户网络进行交互,寻找支持所述业务安全等级并实现所述用户终端或者用户网络接入的传送部分的逻辑实体或物理实体;
若寻找不到合适的传送部分资源,则拒绝资源分配请求,或者所述资源控制部分与所述用户终端或者用户网络部分对所述业务安全等级进行重新协商,以确定合适的业务安全等级。
进一步,若业务控制部分对比分析结果是决策出合适的业务安全等级,或者所述业务控制部分与所述用户终端/用户网络部分经过重新协商,决策出合适的业务安全等级,则所述业务控制部分与资源控制部分进行交互时,携带合适的业务安全等级;
所述传送部分、用户终端或者用户网络部分在接收到所述业务安全等级后,按照所述业务安全等级传送用户数据。
进一步,所述资源控制部分依据安全策略规则要求,采用确定的业务安全等级对服务质量参数进行修订。
技术效果如下:
现有技术中,当用户不具有满足业务请求中的网络安全等级,即使网络存在业务请求的带宽等资源,也不能进行网络通信,所以本发明中,在对业务进行接纳控制与资源分配前,通过验证用户是否具有使用业务请求中业务安全等级的权限来解决了现有技术中的缺陷,消除了安全措施对服务质量的影响。
附图说明
图1是现有技术中的NGN体系架构图;
图2是本发明中的NGN体系架构图;
图3是本发明中NGN中业务安全等级实现方法的流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行详细的说明。
如图2所示,是本发明中的NGN体系架构图。在业务层,存在为NGN终端提供基于SIP(会话发起协议)的多媒体业务的IP多媒体业务子系统、为连接到固网NGN终端中的传统固网终端提供PSTN/ISDN仿真业务的PSTN/ISDN模拟业务系统、实现其它NGN业务功能的各子系统,以及一个保存用户签约信息的数据库,例如TISPAN NGN中的用户摘要服务器功能(UPSF)、ITU-T NGN中的业务用户摘要(SUP)、3GPP移动网络中的HLR/HSS。
用户注册时,增加业务安全等级签约信息,即针对不同的业务,按照用户对业务的安全需求,签约特定的业务安全等级作为签约信息,签约信息存放在用户签约信息数据库中,和/或将缺省的业务安全等级作为签约信息存放在用户签约信息数据库中。
业务安全等级可以采用:接纳控制方式、NAT方式、终端安全代理类型、数据加密类型、数据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数据起源/接收方认证类型、数据起源/接收方认证密钥长度、抗抵赖性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型、反垃圾短信类型等安全参数描述。其中,这些安全参数,根据安全策略规则要求,既可能同时出现,也可能只出现一部分。上述安全参数,是用来表征业务安全等级的。网络传送安全等级信息,就是说,传送这些参数信息;执行业务安全等级,就是说,按照这些参数进行自动配置。因此,在本发明中,业务安全是可以用这些参数来衡量或量化或具体表征,业务安全等级的实现是需要用这些参数来度量的。
当业务控制部分按照现有流程接收到业务请求时,根据所请求的业务信息,业务控制部分可能需要提取出或推导出所请求业务的业务安全等级。业务控制部分在对用户进行鉴权授权过程中,可能需要从用户签约信息数据库中获取用户签约信息,此时可能需要同时获取用户签约的业务安全等级和/或缺省的业务安全等级。
业务控制部分对提取出或推导出所请求业务的业务安全等级与获取的用户签约的业务安全等级和/或缺省的业务安全等级进行对比分析,得出决策结果。如果不能提取出或推导出所请求业务的业务安全等级,则可以用签约信息中的业务安全等级作为所请求业务的业务安全等级。如果决策结果是不能接纳,则可以按照流程,进行协商,或拒绝业务请求,或直接使用签约信息作为业务所请求的业务安全等级。如果决策结果是接纳,则业务控制部分利用现有流程与资源控制部分进行交互时,可能需要携带业务安全等级信息。
在ITU-T NGN中,业务控制部分与资源控制部分之间的Rs参考点上,传送的QoS资源信息子组件(QoS Resource Information Sub-Components)信息单元如表1所示。
表1
在TISPAN NGN中,业务控制部分与资源控制部分之间的Gq’参考点上,资源预留请求信息中的媒体描述(Media Description)信息如表2所示。
表2
为了向资源控制部分传送业务安全等级信息,需要在业务控制部分与资源控制部分之间传送的信息中增加业务安全等级信息。例如,ITU-T NGN业务控制部分与资源控制部分之间的Rs参考点上QoS资源信息子组件信息单元(QoS Resource Information Components)中的媒体摘要(Media Profile)中需要增加业务安全等级(Service Security Class或Service Security Level),如表3所示。业务安全等级也可以称为媒体安全描述(Media SecurityDescription)、业务安全描述(Service Security Description)、差异化安全服务(Differentiated Security Service)等等。
表3
TISPAN NGN业务控制部分与资源控制部分之间的Gq’参考点上资源预留请求信息中的媒体描述(Media Description)信息里面增加业务安全等级(Service Security Class,或Service Security Level)信息,如表4所示。业务安全等级也可以称为媒体安全描述(Media Security Description)、业务安全描述(Service Security Description)、差异化安全服务(Differentiated SecurityService),等等。
表4
资源控制部分可能需要利用得到的业务安全等级信息对资源分配过程进行修订。资源控制部分通过内部接口寻找到支持所述用户签约信息中的业务安全等级要求的传送层逻辑实体或物理实体,以支持用户通信需求。
资源控制部分寻找到能够支持业务安全等级的传送部分逻辑实体或物理实体。如果寻找不到合适的资源,则需要与用户终端/用户网络部分对业务安全等级进行重新协商,或拒绝用户资源分配请求。
资源控制部分与传送部分和/或用户终端/用户网络进行交互,进行资源策略执行和资源分配执行,传送决策结果时需要包含有业务安全等级信息。例如,在ITU-T NGN中,传送部分与资源控制部分之间的Rw参考点上,在交互的媒体摘要(Media Profile)信息中,需要包含业务安全等级信息,如表5所示。业务安全等级也可以称为媒体安全描述(Media Security Description)、业务安全描述(Service Security Description)、差异化安全服务(DifferentiatedSecurity Service),等等。
在TISPAN NGN中,传送部分与资源控制部分之间的Ia参考点上交换的信息中需要包含业务安全等级信息。
资源控制部分之间在交换信息时,也需要将业务安全等级包含进来。资源控制部分内部在交换信息时,也需要将业务安全等级包含进来。
传送部分和/或用户终端/用户网络在接收到包含有业务安全等级信息后,在传送用户数据时,需要能够对所传送的用户数据执行确定下来的业务安全等级。
如图3所示,是本发明中NGN中业务安全等级实现方法的流程图,NGN中业务安全等级实现方法具体如下:
步骤301:在业务控制部分的用户签约信息数据库中,保存用户签约的业务安全等级信息和/或缺省的业务安全等级信息,作为用户签约信息。
步骤302:资源控制部分在网络资源状态信息中包含网络安全等级,可以动态方式获取,也可以通过静态方式获取。
用户签约数据库中的业务安全等级是指用户需求的业务安全等级,而此处的网络安全等级能力是网络设备上所具有的用户签约数据库中的网络安全等级,是网络实际的能力。此处的网络安全等级可能高于,也可能等于或者低于用户签约数据库中的网络安全等级,不存在特定的对应关系。
步骤303:当业务控制部分接收到业务请求时,业务控制部分依据安全策略规则可能需要提取或推导出所请求业务的业务安全等级。
步骤304:业务控制部分在对业务请求进行鉴权授权过程中,如果需要,则从用户签约信息数据库中获取用户签约信息中的业务安全等级;如果需要缺省的业务安全等级,则获取缺省的业务安全等级。
步骤305:业务控制部分对步骤303得到的网络安全等级和步骤304得到的两种业务安全等级进行对比分析并决策,即对接收到的业务请求进行鉴权授权过程。
最终有三种决策结果:
结果一、与用户终端/用户网络部分重新协商业务安全等级;
结果二、拒绝业务请求;
结果三、业务控制部分决策出合适的业务安全等级。
步骤306:判断是否接纳所述业务请求的安全等级;如果决策结果是不能接纳,进行步骤S307;如果决策结果是接纳,进行步骤S308。
步骤S307:如果决策结果是不能接纳(业务控制部分没有提取或推导出业务安全等级),则需要进一步判断是否拒绝该业务请求,如果拒绝则结束流程;如果不拒绝该业务请求,则进行步骤S308。
步骤S308:如果决策结果是与用户终端/用户网络部分重新协商业务安全等级,则业务控制部分按照流程,与用户终端/用户网络部分进行协商,协商的结果可能是拒绝业务请求,也可能是直接使用签约信息中的业务安全等级;如果是直接使用签约信息中的业务安全等级或者使用缺省的业务安全等级,则进行步骤S309。
步骤309:业务控制部分与资源控制部分进行交互时,携带合适的业务安全等级。业务安全等级可能来自签约信息中的业务安全等级或者缺省的业务安全等级(来自步骤S308),也可能是提取或推导出业务安全等级。
步骤310:资源控制部分依据安全策略规则要求,可能需要利用得到的业务安全等级对服务质量参数进行修订。
步骤311:资源控制部分与传送部分进行交互,寻找能够支持业务安全等级并能够实现用户终端/用户网络接入的传送部分功能实体或物理实体,如果能够寻找到,则进行步骤312。
如果资源控制部分寻找不到合适的传送部分或用户网络资源,则资源控制部分需要与用户终端/用户网络部分对业务安全等级进行重新协商,或者决策出合适的业务安全等级,并重新开始资源分配过程;或者拒绝资源分配请求。
步骤312:资源控制部分在与传送部分、用户终端/用户网络部分进行交互时,需要包含业务安全等级。传送部分、用户终端/用户网络部分在传送用户数据时,需要能够对所传送的用户数据执行已经确定的业务安全等级。
机译: 在下一代网络中实现POTS(普通老电话业务)的可移植性的方法和系统
机译: 一种宽带综合业务数字电信网络中业务流量的管理方法及实现该方法的网络
机译: 一种宽带综合业务数字电信网络中业务流量的管理方法及实现该方法的网络