一种下一代网络中业务安全等级实现方法转让专利
申请号 : CN200810126271.6
文献号 : CN101330757B
文献日 : 2011-07-13
发明人 : 滕志猛 , 钱勇 , 韦银星
申请人 : 中兴通讯股份有限公司
摘要 :
权利要求 :
1.一种下一代网络中业务安全等级实现方法,其特征在于,包括:
用户注册时,按照业务的安全需求签约业务安全等级作为签约信息,或采用缺省的业务安全等级作为签约信息,并保存在用户签约信息数据库中;
当业务控制部分接收到业务请求时,依据安全策略规则得出所述业务请求的业务安全等级,并在对用户进行鉴权授权过程中,从所述用户签约信息数据库中获取用户签约信息;
所述业务控制部分对得出的业务安全等级与所述签约信息中的业务安全等级进行对比分析,依据安全策略规则确定使用的业务安全等级;所述业务控制部分与资源控制部分进行交互时,携带所述确定下来的业务安全等级;
所述资源控制部分确定支持所述确定下来的业务安全等级的逻辑实体或物理实体;
传送部分、用户终端或者用户网络部分在接收到所述确定下来的业务安全等级后,根据确定下来的所述业务安全等级传送用户数据。
2.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,确定使用的业务安全等级为:业务请求的业务安全等级、签约信息中的业务安全等级或者签约信息中缺省的业务安全等级。
3.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,若对比分析结果是不能接纳业务请求的业务安全等级时,所述业务控制部分与所述用户终端或用户网络部分进行协商,依据安全策略规则,得出最终的决策结果:拒绝所述业务请求或使用所述签约信息中的业务安全等级作为所述业务请求的业务安全等级。
4.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,在所述签约信息中,对所述业务安全等级按照安全策略规则要求进行统一规划,每个业务安全等级对应一组安全参数。
5.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,所述业务安全等级依据安全策略规则要求采用的安全参数用下列一个或多个信息来描述:接纳控制方式、网络地址转换方式、终端安全代理类型、数据加密类型、数据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数据起源认证类型、接收方认证类型、数据起源认证密钥长度、接收方认证密钥长度、抗抵赖性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型或者反垃圾短信类型。
6.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,所述资源控制部分与所述传送部分、用户终端或者用户网络进行交互,寻找支持所述确定下来的业务安全等级并实现所述用户终端或者用户网络接入的传送部分的逻辑实体或物理实体;
若寻找不到合适的传送部分资源,则拒绝资源分配请求,或者所述资源控制部分与所述用户终端或者用户网络部分对所述业务安全等级进行重新协商,以确定合适的业务安全等级。
7.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,若业务控制部分对比分析结果是决策出合适的业务安全等级,或者所述业务控制部分与所述用户终端/用户网络部分经过重新协商,决策出合适的业务安全等级,则所述业务控制部分与资源控制部分进行交互时,携带合适的业务安全等级;
所述传送部分、用户终端或者用户网络部分在接收到所述确定下来的业务安全等级后,按照所述确定下来的业务安全等级传送用户数据。
8.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,所述资源控制部分与其它资源控制部分进行交互时,需要携带确定下来的业务安全等级。
9.如权利要求1所述的下一代网络中业务安全等级实现方法,其特征在于,所述资源控制部分依据安全策略规则要求,采用确定的业务安全等级对服务质量参数进行修订。
说明书 :
一种下一代网络中业务安全等级实现方法
技术领域
背景技术
在QoS(Quality of Service,服务质量)方面的需求,业界提出了NGN(Next Generation
Networks,下一代网络)。NGN基于分组技术,采用业务层和传送层相互分离、应用与业务控
制相互分离、传送控制与传送相互分离的思想,能够支持现有的各种接入技术;能够提供话
音、数据、视频、流媒体等业务;能够支持现有移动网络上的各种业务,实现固定网络和移动
网络的融合;能够根据用户的需要,保证用户业务的服务质量。
络协议)NGN网络中网络附着子系统(Network Attachment Subsystem)、ITU-T NGN网络中
网络附着控制功能(Network Attachment Control Functions)。
and Admission Control Subsystem)、ITU-T NGN网络中资源接纳控制功能(Resource
and Admission Control Functions)、3GPP移 动网络中策略与计费规则功能(Policy and
Charging Rules Function)。传送部分完成信息的传送功能,例如TISPAN传送处理功能
(Transport processingfunctions)、ITU-T NGN网络中传送功能(Transport Functions)、
3GPP移动网络中策略与计费执行功能(Policy and Charging Enforcement Function)。
ITU-T NGN网络中业务控制功能(Service ControlFunctions)、3GPP移动网络中IMS域(IP
Multimedia Subsystem)。
Network,用户驻地网)、3GPP移动网络中移动终端/无线侧。
求,甚至同一个用户对于同样的业务在不同应用环境下也可能具有不同的安全需求和服务
质量需求。在合法用户终端/用户网络部分使用NGN时,为了保证服务质量,资源控制部分
将根据业务请求(包括业务优先级、业务带宽需求等参数)和网络资源状态信息,进行接纳
控制与网络资源预留决策,在这个过程中目前没有考虑到安全措施对服务质量的影响。事
实上,如果用户不具有满足业务请求中的网络安全等级(也可以称为媒体安全描述、业务
安全描述或者差异化安全服务),尽管网络存在业务请求的带宽等资源,也不能进行网络通
信。
发明内容
信息;
部分进行交互时,携带所述确定下来的业务安全等级;
拒绝所述业务请求或使用所述签约信息中的业务安全等级作为所述业务请求的业务安全
等级。
据加密密钥、数据完整性类型、数据完整性密钥长度、用户认证类型、用户认证密钥长度、数
据起源认证类型、接收方认证类型、数据起源认证密钥长度、接收方认证密钥长度、抗抵赖
性类型、抗抵赖性密钥长度、访问控制类型、反垃圾邮件类型或者反垃圾短信类型。
或物理实体;
安全等级。
级,则所述业务控制部分与资源控制部分进行交互时,携带合适的业务安全等级;
配前,通过验证用户是否具有使用业务请求中业务安全等级的权限来解决了现有技术中的
缺陷,消除了安全措施对服务质量的影响。
统固网终端提供PSTN/ISDN仿真业务的 PSTN/ISDN模拟业务系统、实现其它NGN业务功能
的各子系统,以及一个保存用户签约信息的数据库,例如TISPAN NGN中的用户摘要服务器
功能(UPSF)、ITU-T NGN中的业务用户摘要(SUP)、3GPP移动网络中的HLR/HSS。
中,和/或将缺省的业务安全等级作为签约信息存放在用户签约信息数据库中。
长度、数据起源/接收方认证类型、数据起源/接收方认证密钥长度、抗抵赖性类型、抗抵赖
性密钥长度、访问控制类型、反垃圾邮件类型、反垃圾短信类型等安全参数描述。其中,这些
安全参数,根据安全策略规则要求,既可能同时出现,也可能只出现一部分。上述安全参数,
是用来表征业务安全等级的。网络传送安全等级信息,就是说,传送这些参数信息;执行业
务安全等级,就是说,按照这些参数进行自动配置。因此,在本发明中,业务安全是可以用这
些参数来衡量或量化或具体表征,业务安全等级的实现是需要用这些参数来度量的。
行鉴权授权过程中,可能需要从用户签约信息数据库中获取用户签约信息,此时可能需要
同时获取用户签约的业务安全等级和/或缺省的业务安全等级。
出或推导出所请求业务的业务安全等级,则可以用签约信息中的业务安全等级作为所请求
业务的业务安全等级。如果决策结果是不能接纳,则可以按照流程,进行协商,或拒绝业务
请求,或直接使用签约信息作为业务所请求的业务安全等级。如果决策结果是接纳,则业务
控制部分利 用现有流程与资源控制部分进行交互时,可能需要携带业务安全等级信息。
(Information 描述(Description)
Component)
用于媒体会话的信息子组件的集合,可由数据流 和控制流组成(例如用于VoIP呼叫中的RTP流和 RTCP媒体摘要 流)。必要时可用通配符来代表子组件。
(Media Profile) A set of information sub-components for a media session,which may be composed of data flows and control flows(e.g.,RTP and RTCP flows for a VoIP call).The sub-components in a media profile can be represented by a wildcard as needed.
媒体号 用于媒体会话的标识符(例如SDP中”m=”行位置 的顺序号)。
(Media Number) An identifier for a media session(e.g.,ordinal number of the position of the″m=″line in the SDP).
媒体数据流的业务类型(如语音,视频电话,或视频 流)。
业务类型(Type of Indication of service type for the media data flow (e.g.,voice,video telephony,or streaming Service) video).
资源请求终端与决策功能实体(PD-FE)之间的媒 体应用业务类(例如,第一级)具有本地意义,决策 功能应用业务类(可选)实体(PD-FE)将会基于SLA和网络策略规则 上把该应用业务类转化为网络业务类。
(Application The application service class for the media(e.g.,first class)is of local significance between Class ofService)the resource request client(i.e.,the owner of SCF)and the owner of PD-FE,and is to be converted (Optional) by PD-FE to Network Class of Service(e.g.,Y.1541 class for
performance requirement)based on SLA and network policy rules.
媒体优先级(可选) 用于优先级处理的信息(例如TDR/ETS)。
(Media Priority) Information for priority handling(e.g.,TDR/ETS).
(Optional)
媒 体 流 描 述 一个媒体会话中单个或者一组媒体流子组件的集 合。
(Media Flow A set of sub-components of individual or a group of media flows within a media session.Description)
控制部分之间的Rs参考点上QoS资源信息子组件信息单元(QoS Resource Information
Components)中的媒体摘要(Media Profile)中需要增加业务安全等级(Service Security
Class或Service Security Level),如表3所示。业务安全等级也可以称为媒体安全描述
(Media SecurityDescription)、业务安全描述(Service Security Description)、差异化
安全服务(Differentiated Security Service)等等。
(Information Component)
媒体摘要 用于媒体会话的信息子组件的集合,可由数据流 和控制流组成(例如用于VoIP呼叫中的RTP流和 RTCP流)。必要时可用通配符来代表子组件。
(Media Profile) A set of information sub-components for a media session,which may be composed of data flows and control flows(e.g.,RTP and RTCP flows for a VoIP call).The sub-components in a media profile can be represented by a wildcard as needed.
媒体号 (Media Number) 用于媒体会话的标识符(例如SDP中”m=”行位置 的顺序号)。
An identifier for a media session (e.g.,ordinal number of the position of the″m=″line in the SDP).
业务类型 媒体数据流的业务类型(如语音,视频电话,或视 频流)。
(Type of Service) Indication of service type for the media data flow (e.g.,voice,video telephony,or streaming video).
应用业务类(可选) 资源请求终端与决策功能实体(PD-FE)之间的媒 体应用业务类(例如,第一级)具有本地意义,决策 (Application Class of 功能实体(PD-FE)将会基于SLA和网络策略规则 上把该应用业务类转化为网络业务类。 Service)(Optional) The application service class for the media(e.g., first class)is of local significance between the resource request client(i.e.,the owner of SCF)and the owner of PD-FE,and is to be converted by PD-FE to Network Class of Service(e.g.,Y.1541 class for performance
requirement)based on SLA and network policy rules.
媒体优先级(可选) 用于优先级处理的信息(例如TDR/ETS)。
(Media Priority) Information for priority handling(e.g.,TDR/ETS).
(Optional)
媒体流描述 一个媒体会话中单个或者一组媒体流子组件的 集合。
( Media Flo w A set of sub-components of individual or a group of media flows within a media session.Description)
媒体安全描述 与媒体流有关的安全参数描述。
(Media Security
Class,或Service Security Level)信息,如表4所示。业务安全等级也可以称为媒体安全
描述(Media Security Description)、业务安全描述(Service Security Description)、
差异化安全服务(Differentiated SecurityService),等等。
层逻辑实体或物理实体,以支持用户通信需求。
商,或拒绝用户资源分配请求。
中,传送部分与资源控制部分之间的Rw参考点上,在交互的媒体摘要(Media Profile)信
息中,需要包含业务安全等级信息,如表5所示。业务安全等级也可以称为媒体安全描述
(Media Security Description)、业务安全描述(Service Security Description)、差异化
安全服务(DifferentiatedSecurity Service),等等。
(Information Component)
用于媒体会话的信息子组件的集合,可由数据流 和控制流组成(例如用于VoIP呼叫中的RTP和
媒体摘要 RTCP流)。必要时可用通配符来代表子组件。 A set of information sub-components for a media (Media Profile) session,which may be composed of data flows and control flows(e.g.,RTP and RTCP flows for a VoIP call).The sub-components in a media profile can be represented by a wildcard as
needed.
媒体号 用于媒体会话的标识符(例如SDP中”m=”行位置 的顺序号)。
(Media Number) An identifier for a media session(e.g.,ordinal number of the position of the″m=″line in the SDP).
网络业务类(可选) 代表用户终端提交的网络业务类(如钻石,金牌, 银牌,常规),它可能包含QoS性能类(如Y.1541 (Network Class of 类)。本参数仅对于拥有传输资源的单个运营商具 有本地意义。本参数可以由业务控制单元(SCF) 基Service)(Optional) 于网络策略规则和服务水平协议(SLA)映射为 应用CoS,并且可用于传输资源控制和传输请求 认证。 Represents the network service class subscribed by a CPE(e.g.,Premium,Gold,Silver,and Regular).It may include the QoS performance class(e.g., Y.1541 class). This parameter is only oflocal significance for a single operator owning the transport resource,which can be mapped from application CoS issued by the SCF based on network policy rules and SLA and can be used for the transport resource control and authorization of transport subscription.
媒体优先级(可选) 用于优先级处理的信息(例如TDR/ETS)。
(Media Priority)Information for priority handling(e.g.,TDR/ETS).
(Optional)
路径选择信息(可选) 策略执行实体(PE-FE)用于媒体流的与技术无关 的核心网进入/外出路径信息(如VPN ID)。 (Path Selection The technology independent core network
Information)(Optional) ingress/egress path information at the PE-FE for a media flow(e.g.,VPN ID).
媒体流描述 媒体会话中单个或者一组媒体流子组件的集合。
(Media Flow Description) A set of sub-components of individual or a group of media flows within a media session.
媒体安全描述 与媒体流有关的安全参数描述。
(Media Security
Description)
力。此处的网络安全等级可能高于,也可能等于或者低于用户签约数据库中的网络安全等
级,不存在特定的对应关系。
则获取缺省的业务安全等级。
请求,则进行步骤S308。
业务请求,也可能是直接使用签约信息中的业务安全等级;如果是直接使用签约信息中的
业务安全等级或者使用缺省的业务安全等级,则进行步骤S309。
S308),也可能是提取或推导出业务安全等级。
行步骤312。
全等级,并重新开始资源分配过程;或者拒绝资源分配请求。
所传送的用户数据执行已经确定的业务安全等级。