公开/公告号CN101330462A
专利类型发明专利
公开/公告日2008-12-24
原文格式PDF
申请/专利权人 中兴通讯股份有限公司;
申请/专利号CN200810126270.1
申请日2008-07-28
分类号H04L12/56;H04L12/24;
代理机构北京安信方达知识产权代理有限公司;
代理人龙洪
地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法律部
入库时间 2023-12-17 21:15:08
法律状态公告日
法律状态信息
法律状态
2011-01-05
授权
授权
2009-02-18
实质审查的生效
实质审查的生效
2008-12-24
公开
公开
技术领域
本发明涉及一种通信技术,具体说,涉及一种下一代网络中网络安全等级实现方法。
背景技术
在IP网上提供TDM电路、ATM、FR等,以支持传统业务,称为Everythingover IP或者Internet Protocol。随着Everything over IP的发展,为了满足用户对分组网络在QoS(Quality of Service,服务质量)方面的需求,业界提出了NGN(Next Generation Networks,下一代网络)。NGN基于分组技术,采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想,能够支持现有的各种接入技术;能够提供话音、数据、视频、流媒体等业务;能够支持现有移动网络上的各种业务,实现固定网络和移动网络的融合;能够根据用户的需要,保证用户业务的服务质量。
如图1所示,是现有技术中的NGN体系架构图。NGN体系架构包括网络接入控制部分、资源控制部分、传送部分、业务控制部分和用户终端/用户网络部分。
网络接入控制部分为接入NGN网络的用户终端/用户网络部分提供注册、鉴权授权、地址分配、参数配置、位置管理等功能。例如,TISPAN(电信和互联网融合业务及高级网络协议)NGN网络中网络附着子系统(Network Attachment Subsystem)、ITU-T NGN网络中网络附着控制功能(Network Attachment Control Functions)。
资源控制部分基于策略和网络资源状态,完成用户终端/用户网络部分接入网络时接纳控制、资源预留等功能。例如,TISPAN NGN网络中资源接纳控制子系统(Resource and Admission Control Subsystem)、ITU-T NGN网络中资源接纳控制功能(Resource and Admission Control Functions)、3GPP移动网络中策略与计费规则功能(Policy and Charging Rules Function)。传送部分完成信息的传送功能,例如TISPAN传送处理功能(Transport processingfunctions)、ITU-T NGN网络中传送功能(Transport Functions)、3GPP移动网络中策略与计费执行功能(Policy and Charging Enforcement Function)。
业务控制部分属于业务层中的一部分,在业务层次上完成注册、鉴权授权、资源控制等功能。例如,TISPAN NGN网络中业务控制子系统(ServiceControl Subsystems)、ITU-T NGN网络中业务控制功能(Service ControlFunctions)、3GPP移动网络中IMS域(IP Multimedia Subsystem)。
用户终端/用户网络部分用于向用户提供网络接入功能。例如,ITU-TNGN/TISPAN NGN中CPE(Customer Premises Equipment,用户端设备)/CPN(Customer Premises Network,用户驻地网)、3GPP移动网络中移动终端/无线侧。
NGN上存在着各种各样的用户和各种各样的业务。不同的用户可能有不同的安全需求和服务质量需求,同一个用户对于不同的业务可能有不同的安全需求和服务质量需求,甚至同一个用户对于同样的业务在不同应用环境下也可能具有不同的安全需求和服务质量需求。在合法用户终端/用户网络部分使用NGN时,为了保证服务质量,资源控制部分将根据业务请求(包括业务优先级、业务带宽需求等参数)和网络资源状态信息,进行接纳控制与网络资源预留决策,在这个过程中目前没有考虑到安全措施对服务质量的影响。事实上,如果用户不具有满足业务请求中的网络安全等级,尽管网络存在业务请求的带宽等资源,也不能进行网络通信。
发明内容
本发明要解决的技术问题是提供一种下一代网络中网络安全等级实现方法,消除了安全措施对服务质量的影响。
为了解决上述问题,本发明提供了一种下一代网络中网络安全等级实现方法,包括:
用户注册时,针对不同的业务,按照用户对业务的安全需求签约网络安全等级作为签约信息,或采用缺省的网络安全等级作为签约信息,存放在用户签约信息数据库中;
资源控制部分接收资源分配请求,所述资源分配请求中携带有网络安全等级;所述资源控制部分向网络接入控制部分请求所述签约信息,所述网络接入控制部分在响应中将用户签约的网络安全等级传送给所述资源控制部分;
所述资源控制部分对所述资源分配请求中的网络安全等级与用户签约的网络安全等级进行对比分析,确定最终的网络安全等级;
所述资源控制部分确定支持所述最终的网络安全等级的逻辑实体或物理实体;
传送部分、用户终端或者用户网络部分在接收到所述最终的网络安全等级后,根据确定下来的所述最终的网络安全等级传送用户数据。
进一步,所述资源控制部分根据所述最终的网络安全等级对资源分配请求中的服务质量参数进行修订,并依据修订后的服务质量参数进行资源分配。
进一步,所述资源控制部分从业务控制部分、传送部分、用户终端或者家庭网络部分接收所述资源分配请求。
进一步,所述资源分配请求中没有携带网络安全等级,则用户签约信息中的网络安全等级作为最终的网络安全等级。
进一步,所述资源控制部分在使用所述最终的网络安全等级时,与传送部分、用户终端或者用户网络部分进行交互、资源策略执行、资源分配执行或者传送决策结果时,包含所述最终的网络安全等级。
进一步,所述对比分析结果包括:拒绝资源分配请求、重新协商网络安全等级或者决策出最终的网络安全等级;
当出现所述重新协商网络安全等级的情况时,经过重新协商,最终决策结果包括:拒绝资源分配请求或者决策出最终的网络安全等级。
进一步,所述网络安全等级按照安全策略规则要求统一规划,每个等级对应一组安全参数。
进一步,所述资源控制部分在网络资源状态信息中包含网络安全等级,所述网络安全等级通过动态方式或者静态方式获取。
进一步,所述资源控制部分之间交换信息时,或者所述资源控制部分内部交换信息时,包含所述最终的网络安全等级。
技术效果如下:
现有技术中,当用户不具有满足业务请求中的网络安全等级,即使网络存在业务请求的带宽等资源,也不能进行网络通信,所以本发明中,在对业务进行接纳控制与资源分配前,通过验证用户是否具有使用业务请求中网络安全等级的权限来解决现有技术中的缺陷,消除了安全措施对服务质量的影响。
附图说明
图1是现有技术中的NGN体系架构图;
图2是本发明实施例中NGN中网络安全等级实现方法的流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
在网络接入控制部分,存在一个保存用户签约信息的数据库,例如ITU-TNGN中TUP、TISPAN NGN中PDBF、3GPP移动网络中HLR/HSS。
本发明在用户注册时,增加网络安全等级签约信息,即针对不同的业务,按照用户对业务的安全需求,签约特定的网络安全等级作为签约信息,签约信息存放在用户签约信息数据库中,和/或将缺省的网络安全等级作为签约信息存放在用户签约信息数据库中。
网络安全等级可以采用:接纳控制方式、NAT方式、终端安全代理类型、数据加密类型、数据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数据起源/接收方认证类型、数据起源/接收方认证密钥长度、抗抵赖性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型、反垃圾短信类型等安全参数描述。这些安全参数根据安全策略规则要求,既可能同时出现,也可能只出现一部分。上述安全参数用来表征网络安全等级,执行网络安全等级,就是按照这些安全参数进行自动配置。
当资源控制部分从业务控制部分、传送部分、家庭网络网关或其它资源控制部分接收资源分配请求时,资源分配请求中可能需要携带有网络安全等级信息,用以说明用户请求业务需要具备的网络安全等级或用户所请求的网络安全等级。例如,ITU-T NGN业务控制部分与资源控制部分之间的Rs参考点上QoS资源信息子组件信息单元(QoS Resource Information Components)中的媒体摘要(Media Profile)中需要增加网络安全等级(Network SecurityClass或Network Security Level)(也可以称为媒体安全描述Media SecurityDescription、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service,等等)信息。如表1所示,是ITU-T NGN业务控制层与资源控制层之间Rs参考点上传送的具有网络安全等级信息的媒体摘要(Media Profile)。
表1
TISPAN NGN业务控制部分与资源控制部分之间的Gq’参考点上,资源预留请求信息中的媒体描述(Media Description)信息中需要增加网络安全等级(Network Security Class或Network Security Level)(也可以称为媒体安全描述Media Security Description、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service,等等)信息。如表2所示,是TISPAN NGN业务控制层与资源控制层之间的Gq’参考点上传送的具有网络安全等级信息的媒体描述(Media Description)信息。
表2
资源控制部分可能需要向网络接入控制部分请求用户签约信息,此时网络接入控制部分在用户签约信息请求响应中,可能需要将用户签约的网络安全等级和/或缺省的网络安全等级信息传送给资源控制部分。例如,在ITU-T
NGN中,资源控制部分与网络接入控制部分之间的Ru参考点上,传送资源信息回复(Transport Resource Information Response),传送资源信息指示(Transport Resource Information Indication)等消息中需要包含网络安全等级信息;在TISPAN NGN中,资源控制部分与网络接入控制部分之间的e4参考点上,接入摘要推出(Access Profile Push)和接入摘要拉入(Access ProfilePull)等消息中需要包含网络安全等级信息。
资源控制部分在接收到用户签约的网络安全等级和/或缺省的网络安全等级信息后,如果资源分配请求中没有携带有网络安全等级信息,则可以使用用户签约的网络安全等级和/或缺省的网络安全等级作为资源分配决策时的网络安全等级,直接得出决策结果。如果资源分配请求中携带有网络安全等级信息,则将其与用户签约的网络安全等级和/或缺省的网络安全等级进行对比分析,得出决策结果。
资源控制部分在与传送部分和/或用户终端/用户网络部分进行交互,进行资源策略执行和资源分配执行,传送决策结果时,可能需要包含网络安全等级信息。例如,在ITU-T NGN中,传送部分与资源控制部分之间的Rw参考点上,在交互的媒体摘要(Media Profile)信息中,需要包含网络安全等级信息。如表3所示,是ITU-T NGN中,传送层与资源控制层之间的Rw参考点上传送的具有网络安全等级(Network Security Class或Network SecurityLevel)(也可以称为媒体安全描述Media Security Description、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service,等等)信息的媒体摘要(Media Profile)信息。
表3
在TISPAN NGN中,传送部分与资源控制部分之间的Ia参考点和Re参考点上交换信息时,也需要将网络安全等级信息包含进来。
资源控制部分之间在交换信息时,也需要将网络安全等级信息包含进来。资源控制部分内部在交换信息时,也需要将网络安全等级信息包含进来。
传送部分和/或用户终端/用户网络部分在接收到网络安全等级信息,传送用户数据时,需要能够对所传送的用户数据执行相应的网络安全等级。
如图2所示,是本发明实施例中NGN中网络安全等级实现方法示意图,NGN中网络安全等级实现方法的步骤如下:
步骤201:网络接入控制部分在用户签约数据库中保存用户签约的签约信息,签约信息包含有网络安全等级和/或缺省的网络安全等级。
步骤202:资源控制部分可能需要在网络资源状态信息中包含网络安全等级能力信息,这个网络安全等级可以通过的动态方式获取,也可以通过静态的方式获取。此处的网络安全等级是网络实际的能力,该网络安全等级可能高于、等于或者低于用户签约数据库中的网络安全等级,不存在特定的对应关系。
上述步骤202与步骤201不具有先后关系。
步骤203:资源控制部分从业务控制部分、传送部分、用户终端/用户网络部分或者其它资源控制部分接收资源分配请求。如果这些部分能够提取或推导出网络安全等级,则需要在资源分配请求中携带网络安全等级信息。
步骤204:资源控制部分处理资源分配请求,在资源分配决策与资源预留过程中,可能需要向网络接入控制部分请求用户签约信息。此时,网络接入控制部分在响应的用户签约信息中需要包含网络安全等级信息。
步骤205:资源控制部分在接收到网络接入控制部分的响应后,进行资源分配决策与资源预留过程。
步骤206:判断资源分配请求中是否携带网络安全等级信息,如果没有携带进行步骤207,如果携带进行步骤208。
步骤207:如果在资源分配请求中没有携带网络安全等级信息,则使用用户签约信息中的网络安全等级作为所请求的网络安全等级,该安全等级是符合安全策略要求的,继续进行步骤210。
步骤208:如果在资源分配请求中携带了网络安全等级信息,则比较分析资源分配请求中携带的网络安全等级与用户签约信息中的网络安全等级,并结合安全策略规则进行决策。
决策有三种决策结果:
拒绝资源分配请求、与用户终端/用户网络部分重新协商网络安全等级、资源控制部分决策出合适的网络安全等级。
对于与用户终端/用户网络部分重新协商网络安全等级的情况,经过重新协商,最终决策有两种决策结果:拒绝资源分配请求、资源控制部分决策出合适的网络安全等级。
步骤209:资源控制部分决策出合适的网络安全等级。
步骤210:资源控制部分依据安全策略规则要求,可能需要根据决策出的网络安全等级修订服务质量。
步骤211资源控制部分寻找支持决策出的网络安全等级,并能够实现用户终端/用户网络接入的传送部分和用户网络资源(功能实体或物理实体);如果能够寻找到,则进行步骤213;否则,进行步骤212。
步骤212:如果资源控制部分寻找不到合适的传送部分或用户网络资源,则需要与用户终端/用户网络部分对网络安全等级进行重新协商,直到决策出合适的网络安全等级,并重新开始资源分配过程;或者直接拒绝资源分配请求。
步骤213:资源控制部分在与传送部分或用户终端/用户网络进行交互时,需要包含网络安全等级信息;传送部分或用户终端/用户网络在传送用户数据时,需要能够对所传送的用户数据执行相应的网络安全等级。
机译: 提供一种实现这种方法的管理信道,线路终端,第一网络终端卡和第二网络终端卡的方法
机译: 配置为监视物理资源消耗表的设备,监视仪表组件的物理行为的方法,操作配置为监视物理仪表的设备的方法,允许配置监视设备的方法,计算机实现的方法,用于向用户显示资源消耗数据的计算机实现的方法,用于刺激资源消耗行为的已定义属性的计算机实现的方法,用于监视基于人类消费行为的计算机实现的方法以及确定安全等级的计算机实现的方法
机译: 下一代网络和记录介质中网络元素形状信息的自动收集方法