專利名稱:在移動終端與移動網(wǎng)絡(luò)之間實現(xiàn)安全聯(lián)動的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動終端接入移動網(wǎng)絡(luò)的安全關(guān)聯(lián)技術(shù),具體涉及一種在移動終端安全關(guān)聯(lián)代理(Security Correlative Agent,以下簡稱SCA)與移動網(wǎng)絡(luò)的安全關(guān)聯(lián)服務(wù)器(Security Correlative Server,以下簡稱SCS)及SCS與網(wǎng)絡(luò)元素之間實現(xiàn)安全聯(lián)動的方法。
背景技術(shù):
在ITU-T SG17組的標(biāo)準(zhǔn)中,提出了針對移動網(wǎng)絡(luò)的關(guān)聯(lián)響應(yīng)模型(Correlative Reacting System,下文縮寫為CRS),該關(guān)聯(lián)響應(yīng)模型可應(yīng)用于移動終端接入網(wǎng)絡(luò)的安全控制技術(shù),其實質(zhì)是通過移動終端和網(wǎng)絡(luò)側(cè)的安全關(guān)聯(lián),對終端的網(wǎng)絡(luò)接入進行控制,同時對其應(yīng)用服務(wù)的接入進行限制,從而提供網(wǎng)絡(luò)和移動終端用戶對病毒、蠕蟲、網(wǎng)絡(luò)攻擊等的安全免疫力。在圖1示出的CRS安全模型中,包括兩個重要的安全實體嵌入在移動終端設(shè)備中的安全關(guān)聯(lián)代理(Security Correlative Agent,下文縮寫為SCA)和網(wǎng)絡(luò)側(cè)的安全關(guān)聯(lián)服務(wù)器(Security Correlative Server,下文縮寫為SCS),這兩個實體構(gòu)成CRS平臺架構(gòu)的核心,此外還包括可以與SCA和SCS形成關(guān)聯(lián)聯(lián)動的網(wǎng)絡(luò)安全系統(tǒng)(SecurityRank System,下文縮寫為SRS)。在SCA和SCS之間需要建立聯(lián)動協(xié)議,使得SCS通過與SCA的交互,可以從SCA獲取到移動終端的安全配置信息,進而產(chǎn)生對該移動終端接入控制的安全策略,通過在SCS和SCA之間建立安全關(guān)聯(lián)協(xié)議,使得SCS可以確定SCA所在的終端應(yīng)采取的安全策略和接入控制策略。
現(xiàn)有技術(shù)中,為形成SCA與SCS之間的聯(lián)動協(xié)議,首先將協(xié)議分為傳輸控制消息的CRSAP-C協(xié)議和傳輸業(yè)務(wù)信息的CRSAP-S協(xié)議。然后確定了協(xié)議的傳輸模式有確認(rèn)模式和直接模式。從物理實體上而言,終端和服務(wù)器之間不能直接進行通信,需要通過中間的網(wǎng)絡(luò)設(shè)備,因此將聯(lián)動協(xié)議定義為新的應(yīng)用層協(xié)議CRSAP(CRS Application Protocol)。終端代理和網(wǎng)絡(luò)安全系統(tǒng)的協(xié)議分層如圖2所示,在TCP/UDP的傳輸層之上新定義了一個應(yīng)用層CRSAP協(xié)議層,IP層下的其它協(xié)議層在圖中被省略了。協(xié)議具體內(nèi)容如下1、CRSAP協(xié)議層用于終端代理(SCA)和網(wǎng)絡(luò)安全系統(tǒng)(SRS)之間的信息傳輸,傳輸信息協(xié)議分為控制信息傳輸協(xié)議和業(yè)務(wù)信息傳輸協(xié)議,其中控制信息用于建立雙方的連接、上報報告,并為業(yè)務(wù)信息的傳輸提供支撐,相關(guān)的協(xié)議元素定義為CRSAP-C協(xié)議;業(yè)務(wù)信息用于傳輸實際的業(yè)務(wù)信息,相關(guān)的協(xié)議元素定義為CRSAP-S協(xié)議。
2、針對CRSAP-C協(xié)議,采用了確認(rèn)模式實施協(xié)議,即如圖3所示,當(dāng)雙方發(fā)送信息時,只有獲得確認(rèn)信息,才能確認(rèn)該信息的可信。具體需要經(jīng)過“請求”-“應(yīng)答”和“確認(rèn)”三個環(huán)節(jié),缺一不可;3、針對CRSAP-S協(xié)議,采用了直接模式實施協(xié)議,即如圖4所示,即直接把信息發(fā)送給對方,而不需等待對方的應(yīng)答消息,默認(rèn)對方已經(jīng)收到信息。
4、通過上述定義,傳輸層可以通過TCP或者UDP來承載CRSAP的信息。由于CRSAP協(xié)議層本身針對控制信令和業(yè)務(wù)信息分別考慮了連接/無連接模式,采用UDP協(xié)議進行承載即可。
5、如果對于一些重要的業(yè)務(wù)信息,如果要求具備高的可靠性,此時業(yè)務(wù)信息的直接模式傳輸可能有影響,可以考慮采用兩種方式a)底層采用連接模式的協(xié)議,即采用TCP協(xié)議進行信息承載。
b)CSRAP-S增加一個確認(rèn)模式協(xié)議,即業(yè)務(wù)信息傳輸采用與圖3相同的圖5模型傳輸。
如上述,確定了在終端代理和網(wǎng)絡(luò)安全系統(tǒng)之間信息傳輸?shù)姆謱咏Y(jié)構(gòu)和模式,據(jù)此可制定相關(guān)的聯(lián)動協(xié)議,設(shè)計CSRAP的具體應(yīng)用協(xié)議。作為一個例子,上述協(xié)議的一個具體實施例可以通過一個上報信息來體現(xiàn)1、當(dāng)安全關(guān)聯(lián)服務(wù)器需要客戶端發(fā)送上報終端安全配置信息時,它將發(fā)出一個“terminal parameter report request”(終端參數(shù)上報請求)消息,消息中將攜帶需要上報的配置信息種類。
2、終端收到該消息后,將根據(jù)上報的配置信息種類,向安全關(guān)聯(lián)服務(wù)器發(fā)送確認(rèn)消息“Report response”;3、安全關(guān)聯(lián)服務(wù)器收到該消息后,則發(fā)送“Acknowledge”消息,確認(rèn)終端可以發(fā)送上報安全參數(shù)。
4、通過上述模式,實現(xiàn)了確認(rèn)模式的控制消息傳送。
5、終端開始向安全關(guān)聯(lián)服務(wù)器發(fā)送安全配置參數(shù),配置參數(shù)通過消息“Security configuration parameter”(“安全配置參數(shù)”)攜帶。配置參數(shù)消息可能會連續(xù)有多條,安全關(guān)聯(lián)服務(wù)器根據(jù)收到的消息開始進行策略的配置。
上述過程中,步驟1-3實現(xiàn)了控制信息的傳輸,步驟5實現(xiàn)了業(yè)務(wù)信息的傳輸。實現(xiàn)過程如圖6所示。
上述現(xiàn)有技術(shù)的安全關(guān)聯(lián)協(xié)議存在以下缺點1)沒有定義安全機制。例如,沒有SCA與SCS之間的認(rèn)證,信息保密性和完整性保護不足;2)沒有定義SCS與SRS(或網(wǎng)絡(luò)安全設(shè)備)之間的交互方法;3)沒有定義輕量級消息、重量級別消息的不同,及其在傳輸模式上的不同處理。例如在CRS消息層如何設(shè)置,在消息承載層如何配置等;4)沒有協(xié)議的詳細(xì)分層及功能區(qū)分。傳輸信息協(xié)議分為控制信息傳輸協(xié)議和業(yè)務(wù)信息傳輸協(xié)議并不合理,應(yīng)該采用新的協(xié)議分層結(jié)構(gòu);5)消息與協(xié)議混淆,需要澄清;消息類型少,還需要增加很多其他的消息交互,完成更高級的安全關(guān)聯(lián)功能。例如沒有考慮如何解決大量SCA軟件更新、系統(tǒng)漏洞補丁、優(yōu)先級高用戶的處理等等;6)業(yè)務(wù)消息必須在確認(rèn)后才能開始傳輸,不靈活,效率低;7)沒有定義CRS系統(tǒng)的本地接口和協(xié)議適配。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種在移動通信環(huán)境下,提供一種安全性更好的安全關(guān)聯(lián)協(xié)議,具體提供一種能夠很好地解決CRS系統(tǒng)中安全關(guān)聯(lián)服務(wù)器和安全關(guān)聯(lián)代理、安全關(guān)聯(lián)服務(wù)器和其它安全設(shè)備之間的信息交互過程安全的問題,有效解決上述現(xiàn)有技術(shù)存在的問題。
本發(fā)明上述技術(shù)問題這樣解決,構(gòu)造一種在移動終端與移動網(wǎng)絡(luò)之間實現(xiàn)安全聯(lián)動的方法,包括以下步驟S1)在移動終端的安全關(guān)聯(lián)代理設(shè)置第一消息處理層以及第一消息包傳輸層,在移動網(wǎng)絡(luò)中的安全關(guān)聯(lián)服務(wù)器設(shè)置第二消息處理層和第二消息包傳輸層;S2)第一消息處理層匯集終端安全信息,配合第二消息處理層進行移動終端的接入控制操作;S3)第二消息處理層對終端安全信息進行分析和處理,并通過與第一消息處理層交互控制移動終端接入操作。其中,控制移動終端接入是指對不安全終端進行的控制,其中,所述的不安全是指下述之一感染蠕蟲或病毒、遭受黑客攻擊、用戶誤操作、用戶惡意操作、用戶終端安全配置不符合網(wǎng)絡(luò)安全策略、用戶應(yīng)用服務(wù)程序的安全配置不符合網(wǎng)絡(luò)安全策略。
在上述按照本發(fā)明提供的方法中,所述步驟S2)包括通過從終端外部組件匯集終端有關(guān)的安全信息,對消息進行接收、組裝、解析、處理和發(fā)送。
在上述按照本發(fā)明提供的方法中,所述步驟S3)包括對終端安全消息進行解析,從而對接入終端的安全狀況進行評估,為后續(xù)終端接入控制過程提供依據(jù)。
在上述按照本發(fā)明提供的方法中,在移動網(wǎng)絡(luò)中的網(wǎng)絡(luò)元素設(shè)有與所述安全關(guān)聯(lián)服務(wù)器對應(yīng)的第三消息處理層和第三消息包傳輸層;所述后續(xù)終端接入控制過程,包括根據(jù)網(wǎng)絡(luò)安全策略,組裝安全配置更新消息到終端第一消息處理層;和/或根據(jù)網(wǎng)絡(luò)安全策略,組裝接入控制消息到終端第一消息處理層;和/或根據(jù)網(wǎng)絡(luò)安全策略,通過面向網(wǎng)絡(luò)元素的第二消息處理層組裝服務(wù)接入控制消息到網(wǎng)絡(luò)元素第三消息處理層,并為這些消息配置相應(yīng)的消息傳輸層的相關(guān)傳輸參數(shù),這些參數(shù)包括優(yōu)先級傳輸模式和安全機制。
在上述按照本發(fā)明提供的方法中,所述安全關(guān)聯(lián)服務(wù)器中的第二消息處理層根據(jù)對終端安全信息的分析和處理結(jié)果,與其它移動網(wǎng)絡(luò)設(shè)備進行交互過程,通過網(wǎng)絡(luò)接入控制設(shè)備進行終端的網(wǎng)絡(luò)接入控制或通過應(yīng)用服務(wù)接入設(shè)備進行終端的應(yīng)用服務(wù)接入控制。
在上述按照本發(fā)明提供的方法中,所述傳輸模式包括無連接傳輸模式和確認(rèn)模式,其中,確認(rèn)模式至少包括請求-響應(yīng)-確認(rèn)三個環(huán)節(jié),重要的信令消息和安全級別高的安全關(guān)聯(lián)代理與安全關(guān)聯(lián)服務(wù)器之間的安全消息,以及在安全關(guān)聯(lián)服務(wù)器與NE之間傳送的消息,采用確認(rèn)模式傳輸。
在上述按照本發(fā)明提供的方法中,所述安全機制包括安全關(guān)聯(lián)服務(wù)器與安全關(guān)聯(lián)代理之間的業(yè)務(wù)級安全機制、網(wǎng)絡(luò)級安全機制,以及自定義安全機制。
在上述按照本發(fā)明提供的方法中,所述安全機制包括安全關(guān)聯(lián)服務(wù)器與網(wǎng)絡(luò)元素之間的取決于網(wǎng)絡(luò)元素的具體通信協(xié)議提供的安全機制。
在上述按照本發(fā)明提供的方法中,在步驟S1)中設(shè)置的所述第一和第二消息處理層,通過第一和第二消息包傳輸層,實現(xiàn)安全聯(lián)動過程,在安全關(guān)聯(lián)服務(wù)器與安全關(guān)聯(lián)代理之間傳遞終端與網(wǎng)絡(luò)的安全消息,提供對應(yīng)于不同消息的多種傳輸模式選擇,以及提供對應(yīng)于不同消息傳輸?shù)陌踩珯C制的實現(xiàn)。
在上述按照本發(fā)明提供的方法中,在安全關(guān)聯(lián)服務(wù)器的第二消息包傳輸層,還根據(jù)初始化時與安全關(guān)聯(lián)服務(wù)器交互的網(wǎng)絡(luò)元素低層協(xié)議,對安全關(guān)聯(lián)服務(wù)器中的關(guān)聯(lián)響應(yīng)系統(tǒng)通信協(xié)議進行適配。
在上述按照本發(fā)明提供的方法中,所述安全聯(lián)動過程包括由第一消息處理層或第二消息處理層發(fā)起或響應(yīng)在安全關(guān)聯(lián)代理與安全關(guān)聯(lián)服務(wù)器之間的交互過程,包括初始化、認(rèn)證、安全配置信息更新以及漫游控制。
在上述按照本發(fā)明提供的方法中,所述初始化過程至少包括以下之一1)網(wǎng)絡(luò)發(fā)現(xiàn);2)移動漫游;3)GRS功能開啟或關(guān)閉;4)CRS系統(tǒng)參數(shù)配置。
在上述按照本發(fā)明提供的方法中,所述認(rèn)證至少包括以下之一1)SCA與SCS之間的身份認(rèn)證;2)終端側(cè)安全軟件和OS認(rèn)證;3)網(wǎng)絡(luò)側(cè)SCS對相關(guān)網(wǎng)元的身份/消息認(rèn)證。
在上述按照本發(fā)明提供的方法中,所述安全配置信息更新至少包括以下之一安全策略更新、用戶信息下載和安全配置更新、服務(wù)描述更新以及用戶安全修復(fù)更新。
在上述按照本發(fā)明提供的方法中,所述安全策略更新第一次由安全關(guān)聯(lián)服務(wù)器發(fā)起、以后由安全關(guān)聯(lián)服務(wù)器周期性地向網(wǎng)絡(luò)元素請求當(dāng)前安全策略。
在上述按照本發(fā)明提供的方法中,所述用戶信息下載包括下載網(wǎng)絡(luò)簽約用戶的服務(wù)定購信息、用戶身份信息、終端配置信息。
在上述按照本發(fā)明提供的方法中,所述安全配置更新包括至少下述之一在注冊時發(fā)起的安全配置信息報告、安全關(guān)聯(lián)代理發(fā)起的更新請求、在用戶發(fā)起業(yè)務(wù)時的安全關(guān)聯(lián)代理發(fā)起的報告和更新、安全事件發(fā)生時,事件觸發(fā)的SCA或SCS發(fā)起的報告和更新。
在上述按照本發(fā)明提供的方法中,所述服務(wù)描述更新包括SCS根據(jù)終端的安全情況,通知用戶服務(wù)描述列表,包括對當(dāng)前可用服務(wù)的要求、限制。
在上述按照本發(fā)明提供的方法中,所述用戶修復(fù)更新包括直接完成全部安全修復(fù)過程的直接修復(fù)過程和通過安全響應(yīng)系統(tǒng)通知相關(guān)安全應(yīng)用服務(wù)器進行修復(fù)的間接修復(fù)過程。
在上述按照本發(fā)明提供的方法中,所述漫游過程包括移動用戶漫游到異地后,網(wǎng)絡(luò)和用戶如何獲得關(guān)聯(lián)響應(yīng)系統(tǒng)服務(wù)的相關(guān)過程。
在上述按照本發(fā)明提供的方法中,所述對終端的網(wǎng)絡(luò)接入控制包括控制用戶數(shù)據(jù)對網(wǎng)絡(luò)帶寬資源占用情況的流量控制、對用戶終端接入網(wǎng)絡(luò)的目的地址限定甚至阻斷該用戶的限制訪問控制。
在上述按照本發(fā)明提供的方法中,所述對終端的應(yīng)用服務(wù)接入控制,至少包括下述之一用戶服務(wù)定購信息的獲取、不安全終端用戶的服務(wù)控制過程。
實施本發(fā)明的在安全關(guān)聯(lián)代理與安全關(guān)聯(lián)服務(wù)器以及安全關(guān)聯(lián)服務(wù)器與網(wǎng)絡(luò)元素之間實現(xiàn)安全聯(lián)動的方法,在實際應(yīng)用環(huán)境下,使安全關(guān)聯(lián)系統(tǒng)更安全、更具可用性,很好地解決了CRS系統(tǒng)中安全關(guān)聯(lián)服務(wù)器和安全關(guān)聯(lián)代理、安全關(guān)聯(lián)服務(wù)器和其它安全設(shè)備之間的信息交互的安全問題,有效地解決了現(xiàn)有技術(shù)存在的問題。
圖1是現(xiàn)有技術(shù)中CRS的安全模型示意圖;圖2是終端代理和網(wǎng)絡(luò)安全系統(tǒng)間的協(xié)議棧結(jié)構(gòu)示意圖;圖3是確認(rèn)模式的控制信息傳輸?shù)氖疽鈭D;圖4是直接模式的信息傳輸?shù)氖疽鈭D;圖5是確認(rèn)模式的信息傳輸示意圖;圖6是安全配置信息上報示意圖;圖7是依照本發(fā)明方法建立的安全響應(yīng)系統(tǒng)所處的網(wǎng)絡(luò)拓?fù)洵h(huán)境的示意圖;圖8是按照本發(fā)明方法的安全關(guān)聯(lián)協(xié)議結(jié)構(gòu)和位置的示意圖;具體實施方式
圖7給出了應(yīng)用本發(fā)明方法的一個實施例,在圖7示出的移動通信終端介入的安全關(guān)聯(lián)響應(yīng)(以下簡稱CRS)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,包括移動終端、核心移動網(wǎng)以及開放網(wǎng)絡(luò),在移動終端側(cè)是SCA安全關(guān)聯(lián)代理,核心網(wǎng)包括安全關(guān)聯(lián)服務(wù)器(SCS)、與安全關(guān)聯(lián)服務(wù)器協(xié)同工作的網(wǎng)絡(luò)實體包括多媒體子系統(tǒng)(IPMultimedia System,下文縮寫為IMS)、邊界網(wǎng)關(guān)(Border Gateway,下文縮寫為BG)、Virus-server病毒服務(wù)器、SGSN(serving GSN)、GGSN(gateway GSN)等。其中,IMS是移動通信網(wǎng)絡(luò)(例如WCDMA)中的IP多媒體子系統(tǒng),負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)中的用戶業(yè)務(wù)管理和提供。BG負(fù)責(zé)將來自開放網(wǎng)絡(luò)的應(yīng)用服務(wù)提供商(Application Service Provider,下文縮寫為ASP)的業(yè)務(wù)接入移動網(wǎng)絡(luò),提供給移動終端用戶;Virus-server病毒服務(wù)器是移動終端防病毒軟件客戶端對應(yīng)服務(wù)器端,存放最新病毒庫、負(fù)責(zé)病毒實時更新,在線殺毒等功能。SGSN是服務(wù)GPRS支持節(jié)點,主要記錄移動終端當(dāng)前位置信息,在移動終端和GGSN之間完成移動分組數(shù)據(jù)的發(fā)送和接收。GGSN是GPRS網(wǎng)絡(luò)中的路由器,有協(xié)議轉(zhuǎn)換的功能,負(fù)責(zé)來自開放網(wǎng)絡(luò)的應(yīng)用服務(wù)提供商(Application Service Provider,縮寫為ASP)的業(yè)務(wù)接入移動網(wǎng)絡(luò),提供給移動終端用戶。在圖7中,示出的SCA位于移動終端內(nèi),換言之,在實施本發(fā)明方法的一個移動通信系統(tǒng)中,為每個移動終端(例如手機)配置一個SCA,而對應(yīng)的SCS則設(shè)置在移動網(wǎng)絡(luò)內(nèi)部,負(fù)責(zé)其所轄區(qū)域的所有終端的SCA;同時,每個SCS可以與多個移動網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)元素(簡稱為NE)進行安全關(guān)聯(lián),圖7中與SCS相連的IMS、BG等都是NE的例子。
下面討論實施本發(fā)明方法的安全關(guān)聯(lián)協(xié)議的一個例子,在圖8及下面的描述中,消息處理層以安全匯聚評估層SCE表示,消息包傳輸層以MBT表示,沒有特別指出的,這兩種表示具有同樣意義。在圖8中給出了這樣一個安全關(guān)聯(lián)協(xié)議的結(jié)構(gòu),在移動終端側(cè),在GPRS/WCDMA/CDMA2000、IP以及TCP/UDP網(wǎng)絡(luò)承載層基礎(chǔ)上,設(shè)置了消息包傳輸層(MBT-u)和作為第一消息處理層的基于MBT-u的第一安全匯聚評估層(SCE-u),其中,相對于MBT-u解決安全消息的傳輸,SCE-u則用于在終端側(cè)實現(xiàn)安全消息的處理。
在網(wǎng)絡(luò)側(cè),實現(xiàn)移動終端安全接入的安全關(guān)聯(lián)服務(wù)器SCS,除了同樣有GPRS/WCDMA/CDMA2000、IP以及TCP/UDP網(wǎng)絡(luò)層的基礎(chǔ)外,同樣有與SCA對應(yīng)的作為第二消息處理層的SCE-u和MBT-u層,還需要與網(wǎng)絡(luò)元素NE對應(yīng)的作為第三消息處理層的SCE-n層和MBT-n層,在諸如BG、IMS的網(wǎng)絡(luò)元素中,也包括了與SCS對應(yīng)的SCE-n層和MBT-n層。通過上述設(shè)置,實現(xiàn)了在安全關(guān)聯(lián)操作上消息處理和消息傳輸?shù)姆謱犹幚?。其中,消息處理層在SCA與SCS中的功能是不同的。
在移動終端的安全匯聚評估層SCE-u完成安全信息的匯集,并在適當(dāng)?shù)臅r機發(fā)起SCA與SCS之間的交互過程,即通過空口從外部組件匯集接入終端有關(guān)的安全信息,進一步對消息進行接收、組裝、解析、處理和發(fā)送;其中,接收包括通過空口接收的包括安全信息在內(nèi)的各種消息,解析是對接收到消息進行解析,處理是對用戶操作進行響應(yīng)以及對解析后的消息根據(jù)協(xié)議進行處理,或通過消息數(shù)據(jù)組裝,通過空口發(fā)送到網(wǎng)絡(luò)側(cè)SCS。其中,包括接收和發(fā)送的消息傳輸是通過在移動終端SCA設(shè)置消息包傳輸層MBT-u實現(xiàn)的,MBT-u用于在SCS與SCA之間傳輸安全聯(lián)動消息,為SCE-u提供對應(yīng)于不同消息的多種傳輸模式選擇,以及提供對應(yīng)于不同消息傳輸?shù)亩喾N安全機制;在網(wǎng)絡(luò)側(cè)設(shè)置的第二消息處理層SCE-u,一方面,SCE-u用于對來自終端側(cè)、SCE-n用于對來自網(wǎng)絡(luò)側(cè)的安全聯(lián)動消息進行安全評估,通過與SCA交互,協(xié)商用戶的CRS安全能力、傳輸相關(guān)參數(shù)等,進而配置MPT參數(shù)(包括安全能力、傳輸能力信息等),以及根據(jù)消息優(yōu)先級、消息類型,確定消息的傳輸模式和安全機制,非常重要的是在SCE對消息進行分類處理,不同的消息采用不同的安全機制。例如,從SCA與SCS之間的認(rèn)證以及信息保密性完整性保護方面考慮,對不同優(yōu)先級、不同消息類型的消息可以采用業(yè)務(wù)級安全、網(wǎng)絡(luò)級安全、更高級安全(即自定義模式)三種模式進行處理;另一方面,SCE-n與相關(guān)網(wǎng)絡(luò)設(shè)備NE配合,提供網(wǎng)絡(luò)接入控制和服務(wù)接入控制的CRS服務(wù);而SCS-n與NE之間安全機制,可以根據(jù)網(wǎng)元的具體通信協(xié)議進行適配,例如VPN、TLS等。
在SCS側(cè)的MBT-n負(fù)責(zé)完成SCS與不同NE的MBT-n進行CRS通信的協(xié)議適配。因為不同的NE設(shè)備,所采用的通信傳輸協(xié)議可能不同,而且傳輸層之上的應(yīng)用層協(xié)議也有差異。例如有的支持公共開放策略服務(wù)(COPS)應(yīng)用協(xié)議。有的傳輸協(xié)議支持TLS安全傳輸,有的網(wǎng)絡(luò)層傳輸協(xié)議支持VPN(在IP層與TCP層之間)安全傳輸。MBT-n層根據(jù)與SCS交互的NE的低層協(xié)議實現(xiàn)不同,與NE的MBT-n進行協(xié)議適配,從而完成傳輸功能。
在SCS設(shè)置消息包傳輸層MBT-u,用于在SCS與SCA之間傳輸安全聯(lián)動消息,再接收SCE的消息,可以添加相應(yīng)的消息頭然后交給網(wǎng)絡(luò)層發(fā)送,如果有必要,該層還可以實現(xiàn)消息安全加密的功能,以確保消息的安全傳輸。消息包傳輸層(MBT)層的功能包括1)按照規(guī)定的傳輸模式傳送消息;2)按照規(guī)定的安全參數(shù),執(zhí)行安全功能。為SCE-u提供對應(yīng)于不同消息的多種傳輸模式選擇,以及提供對應(yīng)于不同消息傳輸?shù)亩喾N安全機制;不同在于,在SCS側(cè)的MBT層,還根據(jù)初始化時與SCS交互的NE低層協(xié)議對SCS中的CRS通信協(xié)議進行適配。
在SCE,不同的消息采用不同的傳輸模式。傳輸模式包括無連接模式和確認(rèn)模式兩種。重要的信令消息和安全級別高的消息,采用確認(rèn)模式傳輸,低層承載協(xié)議例如可以是TCP,其他則采用無連接模式傳輸,低層傳輸協(xié)議可以是UDP。在SCS與NE之間,只能用確認(rèn)模式傳輸。其中,無連接模式連接過程如圖4,確認(rèn)模式傳輸過程如圖3。
為實現(xiàn)安全聯(lián)動,需要一系列的具體的交互過程。這些過程可以分為1、認(rèn)證過程包括SCA與SCS之間的身份認(rèn)證、終端側(cè)的安全軟件和OS認(rèn)證過程、網(wǎng)絡(luò)側(cè)SCS對相關(guān)網(wǎng)元的身份/消息認(rèn)證等過程。最主要的,就是以安全軟件、OS在SCS的被認(rèn)證,來保證SCA所報信息的真實性。
2、初始化過程包括網(wǎng)絡(luò)發(fā)現(xiàn)、移動漫游、CRS功能開啟或關(guān)閉、CRS系統(tǒng)參數(shù)配置(SCS IP地址、終端能力等信息)等過程。
3、安全配置信息(縮寫為SCI)更新過程包括1)安全策略更新過程SCS向NE請求當(dāng)前安全策略,(SCS發(fā)起,第一次和周期查詢);2)用戶信息下載過程網(wǎng)絡(luò)簽約用戶的服務(wù)定購信息、用戶身份信息、終端配置信息等;3)安全配置更新過程包括在注冊時發(fā)起的SCI報告、更新(SCA發(fā)起),在用戶發(fā)起業(yè)務(wù)時(經(jīng)常性的)報告、更新過程(這一過程是相對簡化的,SCA發(fā)起);有安全事件發(fā)生時,事件觸發(fā)的報告、更新過程(SCA和SCS都可發(fā)起)。其中,報告、更新的內(nèi)容包括病毒、終端安全配置變更、系統(tǒng)和應(yīng)用軟件漏洞信息、安全狀況查詢等。
4)服務(wù)描述更新過程SCS根據(jù)終端的安全情況,通知用戶服務(wù)描述列表,包括對當(dāng)前可用服務(wù)的要求、限制;3、用戶修復(fù)過程包括直接修復(fù)過程(對小的安全隱患和安全問題,CRS系統(tǒng)直接完成全部安全修復(fù)過程)和間接修復(fù)過程(通過CRS系統(tǒng)通知相關(guān)安全應(yīng)用服務(wù)器的IP地址,由SCA和服務(wù)器交互完成安全更新和修復(fù),不需要CRS系統(tǒng)大量參與該過程,SCS只轉(zhuǎn)發(fā)部分SCA與NE之間的消息,提供信息和安全的傳輸通道。)修復(fù)的方式和內(nèi)容主要包括殺病毒、系統(tǒng)軟件補丁下載、病毒庫更新、CRS系統(tǒng)軟件版本更新等。
4、網(wǎng)絡(luò)接入控制過程包括流量、限制訪問等方法。
5、服務(wù)接入控制過程包括用戶服務(wù)定購信息的獲取、不安全終端用戶的服務(wù)控制過程等。
6、漫游過程包括移動用戶漫游到異地后,網(wǎng)絡(luò)和用戶如何獲得CRS服務(wù)的相關(guān)過程。
權(quán)利要求
1.一種在移動終端與移動網(wǎng)絡(luò)之間實現(xiàn)安全聯(lián)動的方法,其特征在于,包括以下步驟S1)在移動終端的安全關(guān)聯(lián)代理設(shè)置第一消息處理層以及第一消息包傳輸層,在移動網(wǎng)絡(luò)中的安全關(guān)聯(lián)服務(wù)器設(shè)置第二消息處理層和第二消息包傳輸層;S2)第一消息處理層匯集終端安全信息,配合第二消息處理層進行移動終端的接入控制操作;S3)第二消息處理層對終端安全信息進行分析和處理,并通過與第一消息處理層交互控制移動終端接入操作。
2.根據(jù)權(quán)利要求1所述方法,其特征在于,所述步驟S2)包括通過從終端外部組件匯集終端有關(guān)的安全信息,對消息進行接收、組裝、解析、處理和發(fā)送。
3.根據(jù)權(quán)利要求1所述方法,其特征在于,所述步驟S3)包括對終端安全消息進行解析,從而對接入終端的安全狀況進行評估,為后續(xù)終端接入控制過程提供依據(jù)。
4.根據(jù)權(quán)利要求3所述方法,其特征在于,在移動網(wǎng)絡(luò)中的網(wǎng)絡(luò)元素設(shè)有與所述安全關(guān)聯(lián)服務(wù)器對應(yīng)的第三消息處理層和第三消息包傳輸層;所述后續(xù)終端接入控制過程包括根據(jù)網(wǎng)絡(luò)安全策略,組裝安全配置更新消息到終端第一消息處理層;和/或根據(jù)網(wǎng)絡(luò)安全策略,組裝接入控制消息到終端第一消息處理層;和/或根據(jù)網(wǎng)絡(luò)安全策略,通過面向網(wǎng)絡(luò)元素的第二消息處理層組裝服務(wù)接入控制消息到網(wǎng)絡(luò)元素第三消息處理層,并為這些消息配置相應(yīng)的消息傳輸層的相關(guān)傳輸參數(shù),這些參數(shù)包括優(yōu)先級傳輸模式和安全機制。
5.根據(jù)權(quán)利要求1所述方法,其特征在于,所述安全關(guān)聯(lián)服務(wù)器中的第二消息處理層根據(jù)對終端安全信息的分析和處理結(jié)果,與其它移動網(wǎng)絡(luò)設(shè)備進行交互過程,通過網(wǎng)絡(luò)接入控制設(shè)備進行終端的網(wǎng)絡(luò)接入控制或通過應(yīng)用服務(wù)接入設(shè)備進行終端的應(yīng)用服務(wù)接入控制。
6.根據(jù)權(quán)利要求4所述方法,其特征在于,所述傳輸模式包括無連接傳輸模式和確認(rèn)模式,其中,確認(rèn)模式至少包括請求-響應(yīng)-確認(rèn)三個環(huán)節(jié),重要的信令消息和安全級別高的安全關(guān)聯(lián)代理與安全關(guān)聯(lián)服務(wù)器之間的安全消息,以及在安全關(guān)聯(lián)服務(wù)器與NE之間傳送的消息,采用確認(rèn)模式傳輸。
7.根據(jù)權(quán)利要求4所述方法,其特征在于,所述安全機制包括安全關(guān)聯(lián)服務(wù)器與安全關(guān)聯(lián)代理之間的業(yè)務(wù)級安全機制、網(wǎng)絡(luò)級安全機制,以及自定義安全機制。
8.根據(jù)權(quán)利要求4所述方法,其特征在于,所述安全機制包括安全關(guān)聯(lián)服務(wù)器與網(wǎng)絡(luò)元素之間的取決于網(wǎng)絡(luò)元素的具體通信協(xié)議提供的安全機制。
9.根據(jù)權(quán)利要求1所述方法,其特征在于,在步驟S1)中設(shè)置的所述第一和第二消息處理層,分別通過第一和第二消息包傳輸層,實現(xiàn)安全聯(lián)動過程,在安全關(guān)聯(lián)服務(wù)器與安全關(guān)聯(lián)代理之間傳遞終端與網(wǎng)絡(luò)的安全消息,提供對應(yīng)于不同消息的多種傳輸模式選擇,以及提供對應(yīng)于不同消息傳輸?shù)陌踩珯C制的實現(xiàn)。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于,在安全關(guān)聯(lián)服務(wù)器的第二消息包傳輸層,還根據(jù)初始化時與安全關(guān)聯(lián)服務(wù)器交互的網(wǎng)絡(luò)元素低層協(xié)議,對安全關(guān)聯(lián)服務(wù)器中的關(guān)聯(lián)響應(yīng)系統(tǒng)通信協(xié)議進行適配。
11.根據(jù)權(quán)利要求9所述的方法,其特征在于,所述安全聯(lián)動過程包括由第一消息處理層或第二消息處理層發(fā)起或響應(yīng)在安全關(guān)聯(lián)代理與安全關(guān)聯(lián)服務(wù)器之間的交互過程,包括初始化、認(rèn)證、安全配置信息更新以及漫游控制。
12.根據(jù)權(quán)利要求11所述方法,其特征在于,所述初始化過程至少包括以下之一1)網(wǎng)絡(luò)發(fā)現(xiàn);2)移動漫游;3)CRS功能開啟或關(guān)閉;4)CRS系統(tǒng)參數(shù)配置。
13.根據(jù)權(quán)利要求11所述方法,其特征在于,所述認(rèn)證至少包括以下之一1)SCA與SCS之間的身份認(rèn)證;2)終端側(cè)安全軟件和OS認(rèn)證;3)網(wǎng)絡(luò)側(cè)SCS對相關(guān)網(wǎng)元的身份/消息認(rèn)證。
14.根據(jù)權(quán)利要求11所述方法,其特征在于,所述安全配置信息更新至少包括以下之一安全策略更新、用戶信息下載和安全配置更新、服務(wù)描述更新以及用戶安全修復(fù)更新。
15.根據(jù)權(quán)利要求14所述方法,其特征在于,所述安全策略更新第一次由安全關(guān)聯(lián)服務(wù)器發(fā)起、以后由安全關(guān)聯(lián)服務(wù)器周期性地向網(wǎng)絡(luò)元素請求當(dāng)前安全策略。
16.根據(jù)權(quán)利要求14所述方法,其特征在于,所述用戶信息下載包括下載網(wǎng)絡(luò)簽約用戶的服務(wù)定購信息、用戶身份信息、終端配置信息。
17.根據(jù)權(quán)利要求14所述方法,其特征在于,所述安全配置更新包括至少下述之一在注冊時發(fā)起的安全配置信息報告、安全關(guān)聯(lián)代理發(fā)起的更新請求、在用戶發(fā)起業(yè)務(wù)時的安全關(guān)聯(lián)代理發(fā)起的報告和更新、安全事件發(fā)生時,事件觸發(fā)的SCA或SCS發(fā)起的報告和更新。
18.根據(jù)權(quán)利要求14所述方法,其特征在于,所述服務(wù)描述更新包括安全關(guān)聯(lián)服務(wù)器根據(jù)終端的安全情況,通知用戶服務(wù)描述列表,包括對當(dāng)前可用服務(wù)的要求、限制。
19.根據(jù)權(quán)利要求14所述方法,其特征在于,所述用戶修復(fù)更新包括直接完成全部安全修復(fù)過程的直接修復(fù)過程和通過安全響應(yīng)系統(tǒng)通知相關(guān)安全應(yīng)用服務(wù)器進行修復(fù)的間接修復(fù)過程。
20.根據(jù)權(quán)利要求12所述方法,其特征在于,所述漫游過程包括移動用戶漫游到異地后,網(wǎng)絡(luò)和用戶如何獲得關(guān)聯(lián)響應(yīng)系統(tǒng)服務(wù)的相關(guān)過程。
21.根據(jù)權(quán)利要求5所述方法,其特征在于,所述對終端的網(wǎng)絡(luò)接入控制包括控制用戶數(shù)據(jù)對網(wǎng)絡(luò)帶寬資源占用情況的流量控制、對用戶終端接入網(wǎng)絡(luò)的目的地址限定甚至阻斷該用戶的限制訪問控制。
22.根據(jù)權(quán)利要求5所述方法,其特征在于,所述對終端的應(yīng)用服務(wù)接入控制,至少包括下述之一用戶服務(wù)定購信息的獲取、不安全終端用戶的服務(wù)控制過程。
全文摘要
一種在移動終端與移動網(wǎng)絡(luò)之間實現(xiàn)安全聯(lián)動的方法,在移動終端安全關(guān)聯(lián)代理設(shè)置第一消息處理層,用于匯集安全信息以及對消息進行接收、組裝、解析、處理和發(fā)送;在移動網(wǎng)絡(luò)安全關(guān)聯(lián)服務(wù)器設(shè)置第二消息處理層,用于根據(jù)優(yōu)先級、消息類型確定消息的傳輸模式和安全機制;提供網(wǎng)絡(luò)接入控制和服務(wù)接入控制的CRS服務(wù);在SCA和SCS分別設(shè)置消息包傳輸層,用于傳輸安全關(guān)聯(lián)消息,由第一或第二消息處理層發(fā)起或響應(yīng)在SCA與SCS之間的交互過程,直接或通過各自MBT實現(xiàn)包括初始化、認(rèn)證、安全配置信息更新、網(wǎng)絡(luò)接入控制、服務(wù)接入控制以及漫游控制的交互過程。實施本發(fā)明的方法,可以有效解決安全響應(yīng)系統(tǒng)中安全關(guān)聯(lián)服務(wù)器和安全關(guān)聯(lián)代理、安全關(guān)聯(lián)服務(wù)器和其它安全設(shè)備之間的信息交互的安全問題。
文檔編號H04L29/06GK1859401SQ200610032980
公開日2006年11月8日 申請日期2006年1月12日 優(yōu)先權(quán)日2006年1月12日
發(fā)明者位繼偉, 趙凱 申請人:華為技術(shù)有限公司