一种下一代网络中网络安全等级实现方法

摘要

本发明公开了一种下一代网络中网络安全等级实现方法，包括：用户注册时，针对不同的业务按照用户对业务的安全需求签约网络安全等级作为签约信息；资源控制部分接收资源分配请求，其中携带有网络安全等级；资源控制部分向网络接入控制部分请求签约信息，网络接入控制部分在响应中将用户签约的网络安全等级传送给资源控制部分；资源控制部分对资源分配请求中的网络安全等级与用户签约的网络安全等级进行对比分析，确定最终的网络安全等级；资源控制部分确定支持最终的网络安全等级的逻辑实体或物理实体；传送部分、用户终端或者用户网络部分在接收到的最终的网络安全等级传送用户数据。本发明消除了安全措施对服务质量的影响。

说明书

技术领域

本发明涉及一种通信技术，具体说，涉及一种下一代网络中网络安全等级实现方法。

背景技术

在IP网上提供TDM电路、ATM、FR等，以支持传统业务，称为Everythingover IP或者Internet Protocol。随着Everything over IP的发展，为了满足用户对分组网络在QoS(Quality of Service，服务质量)方面的需求，业界提出了NGN(Next Generation Networks，下一代网络)。NGN基于分组技术，采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想，能够支持现有的各种接入技术；能够提供话音、数据、视频、流媒体等业务；能够支持现有移动网络上的各种业务，实现固定网络和移动网络的融合；能够根据用户的需要，保证用户业务的服务质量。

如图1所示，是现有技术中的NGN体系架构图。NGN体系架构包括网络接入控制部分、资源控制部分、传送部分、业务控制部分和用户终端/用户网络部分。

网络接入控制部分为接入NGN网络的用户终端/用户网络部分提供注册、鉴权授权、地址分配、参数配置、位置管理等功能。例如，TISPAN(电信和互联网融合业务及高级网络协议)NGN网络中网络附着子系统(Network Attachment Subsystem)、ITU-T NGN网络中网络附着控制功能(Network Attachment Control Functions)。

资源控制部分基于策略和网络资源状态，完成用户终端/用户网络部分接入网络时接纳控制、资源预留等功能。例如，TISPAN NGN网络中资源接纳控制子系统(Resource and Admission Control Subsystem)、ITU-T NGN网络中资源接纳控制功能(Resource and Admission Control Functions)、3GPP移动网络中策略与计费规则功能(Policy and Charging Rules Function)。传送部分完成信息的传送功能，例如TISPAN传送处理功能(Transport processingfunctions)、ITU-T NGN网络中传送功能(Transport Functions)、3GPP移动网络中策略与计费执行功能(Policy and Charging Enforcement Function)。

业务控制部分属于业务层中的一部分，在业务层次上完成注册、鉴权授权、资源控制等功能。例如，TISPAN NGN网络中业务控制子系统(ServiceControl Subsystems)、ITU-T NGN网络中业务控制功能(Service ControlFunctions)、3GPP移动网络中IMS域(IP Multimedia Subsystem)。

用户终端/用户网络部分用于向用户提供网络接入功能。例如，ITU-TNGN/TISPAN NGN中CPE(Customer Premises Equipment，用户端设备)/CPN(Customer Premises Network，用户驻地网)、3GPP移动网络中移动终端/无线侧。

NGN上存在着各种各样的用户和各种各样的业务。不同的用户可能有不同的安全需求和服务质量需求，同一个用户对于不同的业务可能有不同的安全需求和服务质量需求，甚至同一个用户对于同样的业务在不同应用环境下也可能具有不同的安全需求和服务质量需求。在合法用户终端/用户网络部分使用NGN时，为了保证服务质量，资源控制部分将根据业务请求(包括业务优先级、业务带宽需求等参数)和网络资源状态信息，进行接纳控制与网络资源预留决策，在这个过程中目前没有考虑到安全措施对服务质量的影响。事实上，如果用户不具有满足业务请求中的网络安全等级，尽管网络存在业务请求的带宽等资源，也不能进行网络通信。

发明内容

本发明要解决的技术问题是提供一种下一代网络中网络安全等级实现方法，消除了安全措施对服务质量的影响。

为了解决上述问题，本发明提供了一种下一代网络中网络安全等级实现方法，包括：

用户注册时，针对不同的业务，按照用户对业务的安全需求签约网络安全等级作为签约信息，或采用缺省的网络安全等级作为签约信息，存放在用户签约信息数据库中；

资源控制部分接收资源分配请求，所述资源分配请求中携带有网络安全等级；所述资源控制部分向网络接入控制部分请求所述签约信息，所述网络接入控制部分在响应中将用户签约的网络安全等级传送给所述资源控制部分；

所述资源控制部分对所述资源分配请求中的网络安全等级与用户签约的网络安全等级进行对比分析，确定最终的网络安全等级；

所述资源控制部分确定支持所述最终的网络安全等级的逻辑实体或物理实体；

传送部分、用户终端或者用户网络部分在接收到所述最终的网络安全等级后，根据确定下来的所述最终的网络安全等级传送用户数据。

进一步，所述资源控制部分根据所述最终的网络安全等级对资源分配请求中的服务质量参数进行修订，并依据修订后的服务质量参数进行资源分配。

进一步，所述资源控制部分从业务控制部分、传送部分、用户终端或者家庭网络部分接收所述资源分配请求。

进一步，所述资源分配请求中没有携带网络安全等级，则用户签约信息中的网络安全等级作为最终的网络安全等级。

进一步，所述资源控制部分在使用所述最终的网络安全等级时，与传送部分、用户终端或者用户网络部分进行交互、资源策略执行、资源分配执行或者传送决策结果时，包含所述最终的网络安全等级。

进一步，所述对比分析结果包括：拒绝资源分配请求、重新协商网络安全等级或者决策出最终的网络安全等级；

当出现所述重新协商网络安全等级的情况时，经过重新协商，最终决策结果包括：拒绝资源分配请求或者决策出最终的网络安全等级。

进一步，所述网络安全等级按照安全策略规则要求统一规划，每个等级对应一组安全参数。

进一步，所述资源控制部分在网络资源状态信息中包含网络安全等级，所述网络安全等级通过动态方式或者静态方式获取。

进一步，所述资源控制部分之间交换信息时，或者所述资源控制部分内部交换信息时，包含所述最终的网络安全等级。

技术效果如下：

现有技术中，当用户不具有满足业务请求中的网络安全等级，即使网络存在业务请求的带宽等资源，也不能进行网络通信，所以本发明中，在对业务进行接纳控制与资源分配前，通过验证用户是否具有使用业务请求中网络安全等级的权限来解决现有技术中的缺陷，消除了安全措施对服务质量的影响。

附图说明

图1是现有技术中的NGN体系架构图；

图2是本发明实施例中NGN中网络安全等级实现方法的流程图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

在网络接入控制部分，存在一个保存用户签约信息的数据库，例如ITU-TNGN中TUP、TISPAN NGN中PDBF、3GPP移动网络中HLR/HSS。

本发明在用户注册时，增加网络安全等级签约信息，即针对不同的业务，按照用户对业务的安全需求，签约特定的网络安全等级作为签约信息，签约信息存放在用户签约信息数据库中，和/或将缺省的网络安全等级作为签约信息存放在用户签约信息数据库中。

网络安全等级可以采用：接纳控制方式、NAT方式、终端安全代理类型、数据加密类型、数据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数据起源/接收方认证类型、数据起源/接收方认证密钥长度、抗抵赖性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型、反垃圾短信类型等安全参数描述。这些安全参数根据安全策略规则要求，既可能同时出现，也可能只出现一部分。上述安全参数用来表征网络安全等级，执行网络安全等级，就是按照这些安全参数进行自动配置。

当资源控制部分从业务控制部分、传送部分、家庭网络网关或其它资源控制部分接收资源分配请求时，资源分配请求中可能需要携带有网络安全等级信息，用以说明用户请求业务需要具备的网络安全等级或用户所请求的网络安全等级。例如，ITU-T NGN业务控制部分与资源控制部分之间的Rs参考点上QoS资源信息子组件信息单元(QoS Resource Information Components)中的媒体摘要(Media Profile)中需要增加网络安全等级(Network SecurityClass或Network Security Level)(也可以称为媒体安全描述Media SecurityDescription、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service，等等)信息。如表1所示，是ITU-T NGN业务控制层与资源控制层之间Rs参考点上传送的具有网络安全等级信息的媒体摘要(Media Profile)。

表1

 信息单元 (Information Component)  描述(Description)  媒体摘要  (Media Profile)  用于媒体会话的信息子组件的集合，可由数据流  和控制流组成(例如用于VoIP呼叫中的RTP流和  RTCP流)。必要时可用通配符来代表子组件。  A set of information sub-components for a media  session，which may be composed of data flows and  control flows(e.g.，RTP and RTCP flows for a  VoIP call).The sub-components in a media profile  can be represented by a wildcard as needed.  媒体号  (Media Number)  用于媒体会话的标识符(例如SDP中”m＝”行位置  的顺序号)。  An identifier for a media session(e.g.，ordinal  number of the position of the″m＝″line in the  SDP).  业务类型  (Type of Service)  媒体数据流的业务类型(如语音，视频电话，或视  频流)。  Indication of service type for the media data flow

  (e.g.，voice，video telephony，or streaming video).  应用业务类(可选)  (Application Class of  Service)(Optional)  资源请求终端与决策功能实体(PD-FE)之间的媒  体应用业务类(例如，第一级)具有本地意义，决策  功能实体(PD-FE)将会基于SLA和网络策略规则  上把该应用业务类转化为网络业务类。  The application service class for the media(e.g.，  first class)is of local significance between the  resource request client(i.e.，the owner of SCF)and  the owner of PD-FE，and is to be converted by  PD-FE to Network Class of Service(e.g.，Y.1541  class for performance requirement)based on SLA  and network policy rules.  媒体优先级(可选)  (Media Priority)(Optional)  用于优先级处理的信息(例如TDR/ETS)。  Information for priority handling(e.g.，TDR/ETS).  媒体流描述  (Media Flow Description)  一个媒体会话中单个或者一组媒体流子组件的  集合。  A set of sub-components of individual or a group of  media flows within a media session.  媒体安全描述  (Media Security  Description)  与媒体流有关的安全参数描述。

TISPAN NGN业务控制部分与资源控制部分之间的Gq’参考点上，资源预留请求信息中的媒体描述(Media Description)信息中需要增加网络安全等级(Network Security Class或Network Security Level)(也可以称为媒体安全描述Media Security Description、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service，等等)信息。如表2所示，是TISPAN NGN业务控制层与资源控制层之间的Gq’参考点上传送的具有网络安全等级信息的媒体描述(Media Description)信息。

表2

资源控制部分可能需要向网络接入控制部分请求用户签约信息，此时网络接入控制部分在用户签约信息请求响应中，可能需要将用户签约的网络安全等级和/或缺省的网络安全等级信息传送给资源控制部分。例如，在ITU-T

NGN中，资源控制部分与网络接入控制部分之间的Ru参考点上，传送资源信息回复(Transport Resource Information Response)，传送资源信息指示(Transport Resource Information Indication)等消息中需要包含网络安全等级信息；在TISPAN NGN中，资源控制部分与网络接入控制部分之间的e4参考点上，接入摘要推出(Access Profile Push)和接入摘要拉入(Access ProfilePull)等消息中需要包含网络安全等级信息。

资源控制部分在接收到用户签约的网络安全等级和/或缺省的网络安全等级信息后，如果资源分配请求中没有携带有网络安全等级信息，则可以使用用户签约的网络安全等级和/或缺省的网络安全等级作为资源分配决策时的网络安全等级，直接得出决策结果。如果资源分配请求中携带有网络安全等级信息，则将其与用户签约的网络安全等级和/或缺省的网络安全等级进行对比分析，得出决策结果。

资源控制部分在与传送部分和/或用户终端/用户网络部分进行交互，进行资源策略执行和资源分配执行，传送决策结果时，可能需要包含网络安全等级信息。例如，在ITU-T NGN中，传送部分与资源控制部分之间的Rw参考点上，在交互的媒体摘要(Media Profile)信息中，需要包含网络安全等级信息。如表3所示，是ITU-T NGN中，传送层与资源控制层之间的Rw参考点上传送的具有网络安全等级(Network Security Class或Network SecurityLevel)(也可以称为媒体安全描述Media Security Description、业务安全描述Service Security Description、差异化安全服务Differentiated Security Service，等等)信息的媒体摘要(Media Profile)信息。

表3

信息单元(Information Component)  描述(Description)媒体摘要(Media Profile)  用于媒体会话的信息子组件的集合，可由数据流  和控制流组成(例如用于VoIP呼叫中的RTP和  RTCP流)。必要时可用通配符来代表子组件。  A set of information sub-components for a media  session，which may be composed of data flows and  control flows(e.g.，RTP and RTCP flows for a VoIP  call).The sub-components in a media profile can be  represented by a wildcard as needed.媒体号(Media Number)  用于媒体会话的标识符(例如SDP中”m＝”行位置  的顺序号)。  An identifier for a media session(e.g.，ordinal  number of the position of the″m＝″line in the SDP).网络业务类(可选)(Network Class ofService)(Optional)  代表用户终端提交的网络业务类(如钻石，金牌，  银牌，常规)，它可能包含QoS性能类(如Y.1541  类)。本参数仅对于拥有传输资源的单个运营商具  有本地意义。本参数可以由业务控制单元(SCF)  基于网络策略规则和服务水平协议(SLA)映射为  应用CoS，并且可用于传输资源控制和传输请求  认证。  Represents the network service class subscribed by a  CPE(e.g.，Premium，Gold，Silver，and Regular).It  may include the QoS performance class(e.g.，  Y.1541 class).  This parameter is only of local significance for a  single operator owning the transport resource，which  can be mapped from application CoS issued by the  SCF based on network policy rules and SLA and can  be used for the transport resource control and  authorization of transport subscription.媒体优先级(可选)(Media  用于优先级处理的信息(例如TDR/ETS)。  Information for priority handling(e.g.，TDR/ETS).

Priority)(Optional)路径选择信息(可选)(Path SelectionInformation)(Optional)  策略执行实体(PE-FE)用于媒体流的与技术无关  的核心网进入/外出路径信息(如VPN ID)。  The technology independent core network  ingress/egress path information at the PE-FE for a  media flow(e.g.，VPN ID).媒体流描述(Media Flow Description)  媒体会话中单个或者一组媒体流子组件的集合。  A set of sub-components of individual or a group of  media flows within a media session.媒体安全描述(Media SecurityDescription)  与媒体流有关的安全参数描述。

在TISPAN NGN中，传送部分与资源控制部分之间的Ia参考点和Re参考点上交换信息时，也需要将网络安全等级信息包含进来。

资源控制部分之间在交换信息时，也需要将网络安全等级信息包含进来。资源控制部分内部在交换信息时，也需要将网络安全等级信息包含进来。

传送部分和/或用户终端/用户网络部分在接收到网络安全等级信息，传送用户数据时，需要能够对所传送的用户数据执行相应的网络安全等级。

如图2所示，是本发明实施例中NGN中网络安全等级实现方法示意图，NGN中网络安全等级实现方法的步骤如下：

步骤201：网络接入控制部分在用户签约数据库中保存用户签约的签约信息，签约信息包含有网络安全等级和/或缺省的网络安全等级。

步骤202：资源控制部分可能需要在网络资源状态信息中包含网络安全等级能力信息，这个网络安全等级可以通过的动态方式获取，也可以通过静态的方式获取。此处的网络安全等级是网络实际的能力，该网络安全等级可能高于、等于或者低于用户签约数据库中的网络安全等级，不存在特定的对应关系。

上述步骤202与步骤201不具有先后关系。

步骤203：资源控制部分从业务控制部分、传送部分、用户终端/用户网络部分或者其它资源控制部分接收资源分配请求。如果这些部分能够提取或推导出网络安全等级，则需要在资源分配请求中携带网络安全等级信息。

步骤204：资源控制部分处理资源分配请求，在资源分配决策与资源预留过程中，可能需要向网络接入控制部分请求用户签约信息。此时，网络接入控制部分在响应的用户签约信息中需要包含网络安全等级信息。

步骤205：资源控制部分在接收到网络接入控制部分的响应后，进行资源分配决策与资源预留过程。

步骤206：判断资源分配请求中是否携带网络安全等级信息，如果没有携带进行步骤207，如果携带进行步骤208。

步骤207：如果在资源分配请求中没有携带网络安全等级信息，则使用用户签约信息中的网络安全等级作为所请求的网络安全等级，该安全等级是符合安全策略要求的，继续进行步骤210。

步骤208：如果在资源分配请求中携带了网络安全等级信息，则比较分析资源分配请求中携带的网络安全等级与用户签约信息中的网络安全等级，并结合安全策略规则进行决策。

决策有三种决策结果：

拒绝资源分配请求、与用户终端/用户网络部分重新协商网络安全等级、资源控制部分决策出合适的网络安全等级。

对于与用户终端/用户网络部分重新协商网络安全等级的情况，经过重新协商，最终决策有两种决策结果：拒绝资源分配请求、资源控制部分决策出合适的网络安全等级。

步骤209：资源控制部分决策出合适的网络安全等级。

步骤210：资源控制部分依据安全策略规则要求，可能需要根据决策出的网络安全等级修订服务质量。

步骤211资源控制部分寻找支持决策出的网络安全等级，并能够实现用户终端/用户网络接入的传送部分和用户网络资源(功能实体或物理实体)；如果能够寻找到，则进行步骤213；否则，进行步骤212。

步骤212：如果资源控制部分寻找不到合适的传送部分或用户网络资源，则需要与用户终端/用户网络部分对网络安全等级进行重新协商，直到决策出合适的网络安全等级，并重新开始资源分配过程；或者直接拒绝资源分配请求。

步骤213：资源控制部分在与传送部分或用户终端/用户网络进行交互时，需要包含网络安全等级信息；传送部分或用户终端/用户网络在传送用户数据时，需要能够对所传送的用户数据执行相应的网络安全等级。