專利名稱：：一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及一種通信技術(shù)，具體說，涉及一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法。
背景技術(shù)：
：在IP網(wǎng)上提供TDM電路、ATM、FR等，以支持傳統(tǒng)業(yè)務(wù)，稱為EverythingoverIP或者InternetProtocol。隨著EverythingoverIP的發(fā)展，為了滿足用戶對分組網(wǎng)絡(luò)在QoS(QualityofService,服務(wù)質(zhì)量)方面的需求，業(yè)界提出了NGN(NextGenerationNetworks,下一代網(wǎng)絡(luò))。NGN基于分組技術(shù)，采用業(yè)務(wù)層和傳送層相互分離、應(yīng)用與業(yè)務(wù)控制相互分離、傳送控制與傳送相互分離的思想，能夠支持現(xiàn)有的各種接入技術(shù)；能夠提供話音、數(shù)據(jù)、視頻、流々某體等業(yè)務(wù)；能夠支持現(xiàn)有移動網(wǎng)絡(luò)上的各種業(yè)務(wù)，實(shí)現(xiàn)固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)的融合；能夠根據(jù)用戶的需要，保證用戶業(yè)務(wù)的服務(wù)質(zhì)量。如圖1所示，是現(xiàn)有技術(shù)中的NGN體系架構(gòu)圖。NGN體系架構(gòu)包括網(wǎng)纟I4妄入控制部分、資源控制部分、傳送部分、業(yè)務(wù)控制部分和用戶終端/用戶網(wǎng)絡(luò)部分。網(wǎng)絡(luò)接入控制部分為接入NGN網(wǎng)絡(luò)的用戶終端/用戶網(wǎng)絡(luò)部分提供注冊、鑒權(quán)授權(quán)、地址分配、參數(shù)配置、位置管理等功能。例如，TISPAN(電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò)協(xié)議)NGN網(wǎng)絡(luò)中網(wǎng)絡(luò)附著子系統(tǒng)(NetworkAttachmentSubsystem)、ITU-TNGN網(wǎng)絡(luò)中網(wǎng)絡(luò)附著控制功能(NetworkAttachmentControlFunctions)。資源控制部分基于策略和網(wǎng)絡(luò)資源狀態(tài)，完成用戶終端/用戶網(wǎng)絡(luò)部分接入網(wǎng)絡(luò)時接納控制、資源預(yù)留等功能。例如，TISPANNGN網(wǎng)絡(luò)中資源接納控制子系統(tǒng)(ResourceandAdmissionControlSubsystem)、ITU-TNGN網(wǎng)絡(luò)中資源接納控制功能(ResourceandAdmissionControlFunctions)、3GPP移動網(wǎng)絡(luò)中策略與計(jì)費(fèi)規(guī)則功能(PolicyandChargingRulesFunction)。傳送部分完成信息的傳送功能，例如TISPAN傳送處理功能(Transportprocessingfunctions)、ITU-TNGN網(wǎng)絡(luò)中傳送功能(TransportFunctions)、3GPP移動網(wǎng)絡(luò)中策略與計(jì)費(fèi)執(zhí)行功能(PolicyandChargingEnforcementFunction)。業(yè)務(wù)控制部分屬于業(yè)務(wù)層中的一部分，在業(yè)務(wù)層次上完成注冊、鑒^U受權(quán)、資源控制等功能。例如，TISPANNGN網(wǎng)絡(luò)中業(yè)務(wù)控制子系統(tǒng)(ServiceControlSubsystems)、ITU-TNGN網(wǎng)絡(luò)中業(yè)務(wù)控制功能(ServiceControlFunctions)、3GPP移動網(wǎng)絡(luò)中IMS域(IPMultimediaSubsystem)。用戶終端/用戶網(wǎng)絡(luò)部分用于向用戶提供網(wǎng)絡(luò)接入功能。例如，ITU-TNGN/TISPANNGN中CPE(CustomerPremisesEquipment,用戶端設(shè)備)/CPN(CustomerPremisesNetwork,用戶駐地網(wǎng))、3GPP移動網(wǎng)絡(luò)中移動終端/無線側(cè)。NGN上存在著各種各樣的用戶和各種各樣的業(yè)務(wù)。不同的用戶可能有不同的安全需求和服務(wù)質(zhì)量需求，同一個用戶對于不同的業(yè)務(wù)可能有不同的安全需求和服務(wù)質(zhì)量需求，甚至同一個用戶對于同樣的業(yè)務(wù)在不同應(yīng)用環(huán)境下也可能具有不同的安全需求和服務(wù)質(zhì)量需求。在合法用戶終端/用戶網(wǎng)絡(luò)部分使用NGN時，為了保證服務(wù)質(zhì)量，資源控制部分將根據(jù)業(yè)務(wù)請求(包括業(yè)務(wù)優(yōu)先級、業(yè)務(wù)帶寬需求等參數(shù))和網(wǎng)絡(luò)資源狀態(tài)信息，進(jìn)行接納控制與網(wǎng)絡(luò)資源預(yù)留決策，在這個過程中目前沒有考慮到安全措施對服務(wù)質(zhì)量的影響。事實(shí)上，如果用戶不具有滿足業(yè)務(wù)請求中的網(wǎng)絡(luò)安全等級(也可以稱為媒體安全描述、業(yè)務(wù)安全描述或者差異化安全服務(wù))，盡管網(wǎng)絡(luò)存在業(yè)務(wù)請求的帶寬等資源，也不能進(jìn)行網(wǎng)絡(luò)通信。
發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，消除了安全措施對服務(wù)質(zhì)量的影響。為了解決上述問題，本發(fā)明提供了一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，包括用戶注冊時，按照業(yè)務(wù)的安全需求簽約業(yè)務(wù)安全等級作為簽約信息，或采用缺省的業(yè)務(wù)安全等級作為簽約信息，并保存在用戶簽約信息數(shù)據(jù)庫中；當(dāng)業(yè)務(wù)控制部分接收到業(yè)務(wù)請求時，依據(jù)安全策略規(guī)則得出所述業(yè)務(wù)請求的業(yè)務(wù)安全等級，并在對用戶進(jìn)行鑒權(quán)授權(quán)過程中，從所述用戶簽約信息數(shù)據(jù)庫中獲取用戶簽約信息；所述業(yè)務(wù)控制部分對得出的業(yè)務(wù)安全等級與所述簽約信息中的業(yè)務(wù)安全等級進(jìn)行對比分析，依據(jù)安全策略規(guī)則確定使用的業(yè)務(wù)安全等級；所述業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時，攜帶所述確定下來的業(yè)務(wù)安全等級；所述資源控制部分確定支持所述業(yè)務(wù)安全等級的邏輯實(shí)體或物理實(shí)體；傳送部分、用戶終端或者用戶網(wǎng)絡(luò)部分在接收到所述業(yè)務(wù)安全等級后，根據(jù)確定下來的所述業(yè)務(wù)安全等級傳送用戶數(shù)據(jù)。進(jìn)一步，確定使用的業(yè)務(wù)安全等級為業(yè)務(wù)請求的業(yè)務(wù)安全等級、簽約信息中的業(yè)務(wù)安全等級或者簽約信息中缺省的業(yè)務(wù)安全等級。進(jìn)一步，若對比分析結(jié)果是不能接納業(yè)務(wù)請求的業(yè)務(wù)安全等級時，所述業(yè)務(wù)控制部分與所述用戶終端或用戶網(wǎng)絡(luò)部分進(jìn)行協(xié)商，依據(jù)安全策略MJ'J，得出最終的決策結(jié)果拒絕所述業(yè)務(wù)請求或使用所述簽約信息中的業(yè)務(wù)安全等級作為所述業(yè)務(wù)請求的業(yè)務(wù)安全等級。進(jìn)一步，在所述簽約信息中，對所述業(yè)務(wù)安全等級按照安全策略MJ'J要求進(jìn)行統(tǒng)一規(guī)劃，每個業(yè)務(wù)安全等級對應(yīng)一組安全參數(shù)。進(jìn)一步，所述業(yè)務(wù)安全等級依據(jù)安全策略規(guī)則要求采用的安全參數(shù)包括接納控制方式、網(wǎng)絡(luò)地址轉(zhuǎn)換方式、終端安全代理類型、數(shù)據(jù)加密類型、數(shù)據(jù)加密密鑰、數(shù)據(jù)完整性類型、數(shù)據(jù)完整性密鑰長度、用戶認(rèn)證類型、用戶認(rèn)證密鑰長度、數(shù)據(jù)起源認(rèn)證類型、接收方認(rèn)證類型、數(shù)據(jù)起源認(rèn)證密鑰長度、接收方認(rèn)證密鑰長度、抗抵賴性類型、抗抵賴性密鑰長度、訪問控制類型、反垃圾郵件類型或者反垃圾短信類型。進(jìn)一步，所述資源控制部分與所述傳送部分、用戶終端或者用戶網(wǎng)絡(luò)進(jìn)行交互，尋找支持所述業(yè)務(wù)安全等級并實(shí)現(xiàn)所述用戶終端或者用戶網(wǎng)絡(luò)接入的傳送部分的邏輯實(shí)體或物理實(shí)體；若尋找不到合適的傳送部分資源，則拒絕資源分配請求，或者所述資源控制部分與所述用戶終端或者用戶網(wǎng)絡(luò)部分對所述業(yè)務(wù)安全等級進(jìn)行重新協(xié)商，以確定合適的業(yè)務(wù)安全等級。進(jìn)一步，若業(yè)務(wù)控制部分對比分析結(jié)果是決策出合適的業(yè)務(wù)安全等級，或者所述業(yè)務(wù)控制部分與所述用戶終端/用戶網(wǎng)絡(luò)部分經(jīng)過重新協(xié)商，決策出合適的業(yè)務(wù)安全等級，則所述業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時，攜帶合適的業(yè)務(wù)安全等級；所述傳送部分、用戶終端或者用戶網(wǎng)絡(luò)部分在接收到所述業(yè)務(wù)安全等級后，按照所述業(yè)務(wù)安全等級傳送用戶數(shù)據(jù)。進(jìn)一步，所述資源控制部分依據(jù)安全策略規(guī)則要求，采用確定的業(yè)務(wù)安全等級對服務(wù)質(zhì)量參數(shù)進(jìn)行修訂。技術(shù)效果如下現(xiàn)有技術(shù)中，當(dāng)用戶不具有滿足業(yè)務(wù)請求中的網(wǎng)絡(luò)安全等級，即使網(wǎng)絡(luò)存在業(yè)務(wù)請求的帶寬等資源，也不能進(jìn)行網(wǎng)絡(luò)通信，所以本發(fā)明中，在對業(yè)務(wù)進(jìn)行接納控制與資源分配前，通過驗(yàn)證用戶是否具有使用業(yè)務(wù)請求中業(yè)務(wù)安全等級的權(quán)限來解決了現(xiàn)有技術(shù)中的缺陷，消除了安全4晉施對服務(wù)質(zhì)量的影響。圖1是現(xiàn)有技術(shù)中的NGN體系架構(gòu)圖；圖2是本發(fā)明中的NGN體系架構(gòu)圖；圖3是本發(fā)明中NGN中業(yè)務(wù)安全等級實(shí)現(xiàn)方法的流程圖。具體實(shí)施方式下面將結(jié)合附圖及實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)的說明。如圖2所示，是本發(fā)明中的NGN體系架構(gòu)圖。在業(yè)務(wù)層，存在為NGN終端提供基于SIP(會話發(fā)起協(xié)議)的多媒體業(yè)務(wù)的IP多媒體業(yè)務(wù)子系統(tǒng)、為連接到固網(wǎng)NGN終端中的傳統(tǒng)固網(wǎng)終端提供PSTN/ISDN仿真業(yè)務(wù)的PSTN/ISDN模擬業(yè)務(wù)系統(tǒng)、實(shí)現(xiàn)其它NGN業(yè)務(wù)功能的各子系統(tǒng)，以及一個保存用戶簽約信息的數(shù)據(jù)庫，例如TISPANNGN中的用戶摘要服務(wù)器功能(UPSF)、ITU-TNGN中的業(yè)務(wù)用戶摘要(SUP)、3GPP移動網(wǎng)絡(luò)中的HLR/HSS。用戶注冊時，增加業(yè)務(wù)安全等級簽約信息，即針對不同的業(yè)務(wù)，按照用戶對業(yè)務(wù)的安全需求，簽約特定的業(yè)務(wù)安全等級作為簽約信息，簽約信息存放在用戶簽約信息數(shù)據(jù)庫中，和/或?qū)⑷笔〉臉I(yè)務(wù)安全等級作為簽約信息存放在用戶簽約信息數(shù)據(jù)庫中。業(yè)務(wù)安全等級可以釆用接納控制方式、NAT方式、終端安全代理類型、數(shù)據(jù)加密類型、數(shù)據(jù)加密密鑰、數(shù)據(jù)完整性類型、數(shù)據(jù)完整性密鑰長度、用戶認(rèn)證類型、用戶認(rèn)證密鑰長度、數(shù)據(jù)起源/接收方認(rèn)證類型、數(shù)據(jù)起源/接收方認(rèn)證密鑰長度、抗抵賴性類型、抗抵賴性密鑰長度、訪問控制類型、反垃圾郵件類型、反垃圾短信類型等安全參數(shù)描述。其中，這些安全參數(shù)，根據(jù)安全策略規(guī)則要求，既可能同時出現(xiàn)，也可能只出現(xiàn)一部分。上述安全參數(shù)，是用來表征業(yè)務(wù)安全等級的。網(wǎng)絡(luò)傳送安全等級信息，就是說，傳送這些參數(shù)信息；執(zhí)行業(yè)務(wù)安全等級，就是說，按照這些參數(shù)進(jìn)行自動配置。因此，在本發(fā)明中，業(yè)務(wù)安全是可以用這些參數(shù)來衡量或量化或具體表征，業(yè)務(wù)安全等級的實(shí)現(xiàn)是需要用這些參數(shù)來度量的。當(dāng)業(yè)務(wù)控制部分按照現(xiàn)有流程^接收到業(yè)務(wù)請求時，根據(jù)所請求的業(yè)務(wù)信息，業(yè)務(wù)控制部分可能需要提取出或推導(dǎo)出所請求業(yè)務(wù)的業(yè)務(wù)安全等級。業(yè)務(wù)控制部分在對用戶進(jìn)行鑒權(quán)授權(quán)過程中，可能需要從用戶簽約信息數(shù)據(jù)庫中獲取用戶簽約信息，此時可能需要同時獲取用戶簽約的業(yè)務(wù)安全等級和/或缺省的業(yè)務(wù)安全等級。業(yè)務(wù)控制部分對提取出或推導(dǎo)出所請求業(yè)務(wù)的業(yè)務(wù)安全等級與獲取的用戶簽約的業(yè)務(wù)安全等級和/或缺省的業(yè)務(wù)安全等級進(jìn)行對比分析，得出決策結(jié)果。如果不能提取出或推導(dǎo)出所請求業(yè)務(wù)的業(yè)務(wù)安全等級，則可以用簽約信息中的業(yè)務(wù)安全等級作為所請求業(yè)務(wù)的業(yè)務(wù)安全等級。如果決策結(jié)果是不能接納，則可以按照流程，進(jìn)行協(xié)商，或拒絕業(yè)務(wù)請求，或直接使用簽約信息作為業(yè)務(wù)所請求的業(yè)務(wù)安全等級。如果決策結(jié)果是接納，則業(yè)務(wù)控制部分利用現(xiàn)有流程與資源控制部分進(jìn)行交互時，可能需要攜帶業(yè)務(wù)安全等級信息。在ITU-TNGN中，業(yè)務(wù)控制部分與資源控制部分之間的Rs參考點(diǎn)上，傳送的QoS資源信息子組件(QoSResourceInformationSub-Components)信息單元如表i所示。表1<table>tableseeoriginaldocumentpage9</column></row><table>performancerequirement)basedonSLAandnetworkpolicyrules.媒體優(yōu)先級(可選)(MediaPriority)(Optional)用于優(yōu)先級處理的信息(例如TDR/ETS)。Informationforpriorityhandling(e.g.,TDR/ETS).媒體流描述(MediaFlowDescription)一個媒體會話中單個或者一組媒體流子組件的集合。Asetofsub-componentsofindividualoragroupofmediaflowswithinamediasession.在TISPANNGN中，業(yè)務(wù)控制部分與資源控制部分之間的Gq，參考點(diǎn)上，資源預(yù)留請求信息中的媒體描述(MediaDescription)信息如表2所示。表2媒體描述關(guān)于媒體的描述。(MediaDescription)Themediadescription.媒體類型每個媒體流的預(yù)定義類型(如，視頻)。(MediaType)Thepre-definedtypeofthemediaforeachflow(e.g.Video).媒體標(biāo)識特定i某體的標(biāo)識。(MediaId)Identifierforthespecificmedia.媒體優(yōu)先級(可選)A-RACF在接納控制過程中所處理的與媒(MediaPriority)(Optional)體相關(guān)聯(lián)的優(yōu)先級。ThepriorityassociatedtothemediatobeusedintheadmissioncontrolprocessinA國RACF.流量參數(shù)與媒體流量有關(guān)的描述。(TrafficFlowParameters)Thetrafficflowdescriptionofthemedia.方向(Direction)々某體;危方向。Directionoftheflow.流量標(biāo)識(FlowId)特定媒體流的標(biāo)識。Identifierforthespec迅cflow.IP地址(IPAddresses)源IP地址與目標(biāo)IP地址[Ipv4,Ipv6]及每個地址所屬的地址域。<table>tableseeoriginaldocumentpage11</column></row><table>為了向資源控制部分傳送業(yè)務(wù)安全等級信息，需要在業(yè)務(wù)控制部分與資源控制部分之間傳送的信息中增加業(yè)務(wù)安全等級信息。例如，ITU-TNGN業(yè)務(wù)控制部分與資源控制部分之間的Rs參考點(diǎn)上QoS資源信息子組件信息單元(QoSResourceInformationComponents)中的i某體摘要(MediaProfile)中需要增加業(yè)務(wù)安全等級(ServiceSecurityClass或ServiceSecurityLevel),如表3所示。業(yè)務(wù)安全等級也可以稱為媒體安全描述(MediaSecurityDescription)、業(yè)務(wù)安全描述(ServiceSecurityDescription)、差異化安全月l務(wù)(DifferentiatedSecurityService)等等。表3<table>tableseeoriginaldocumentpage11</column></row><table>(MediaProfile)Asetofinformationsub-componentsforamediasession,whichmaybecomposedofdataflowsandcontrolflows(e.g.,RTPandRTCPflowsforaVoIPcall).Thesub-componentsinamediaprofilecanberepresentedbyawildcardasneeded.媒體號(MediaNumber)用于媒體會話的標(biāo)識符(例如SDP中"171="行位置的順序號)。Anidentifierforamediasession(e.g.,ordinalnumberofthepositionofthe"m="lineintheSDP).業(yè)務(wù)類型(TypeofService)媒體數(shù)據(jù)流的業(yè)務(wù)類型(如語音,視頻電話,或視頻流)。Indicationofservicetypeforthemediadataflow(e.g.,voice,videotelephony,orstreamingvideo).應(yīng)用業(yè)務(wù)類(可選)(ApplicationClassofService)(Optional)資源請求終端與決策功能實(shí)體(PD-FE)之間的媒體應(yīng)用業(yè)務(wù)類(例如,第一級)具有本地意義，決策功能實(shí)體(PD-FE)將會基于SLA和網(wǎng)絡(luò)策略規(guī)則上把該應(yīng)用業(yè)務(wù)類轉(zhuǎn)化為網(wǎng)絡(luò)業(yè)務(wù)類。Theapplicationserviceclassforthemedia(e.g.,firstclass)isoflocalsignificancebetweentheresourcerequestclient(i.e.,theownerofSCF)andtheownerofPD-FE,andistobeconvertedbyPD-FEtoNetworkClassofService(e.g.，Y.1541classforperformancerequirement)basedonSLAandnetworkpolicyrules.々某體優(yōu)先級(可選)(MediaPriority)(Optional)用于優(yōu)先級處理的信息(例如TDR/ETS)。Informationforpriorityhandling(e.g.,TDR/ETS).媒體流描述(MediaFlowDescription)一個媒體會話中單個或者一組媒體流子組件的集合。Asetofsub-componentsofindividualoragroupofmediaflowswithinamediasession.媒體安全描述(MediaSecurity與媒體流有關(guān)的安全參數(shù)描述。Description)TISPANNGN業(yè)務(wù)控制部分與資源控制部分之間的Gq，參考點(diǎn)上資源預(yù)留請求信息中的媒體描述(MediaDescription)信息里面增加業(yè)務(wù)安全等級(ServiceSecurityClass,或ServiceSecurityLevel)信息,如表4所示。業(yè)務(wù)安全等級也可以稱為媒體安全描述(MediaSecurityDescription),業(yè)務(wù)安全描述(ServiceSecurityDescription)、差異4匕安全月良務(wù)(DifferentiatedSecurityService),等等。表4<table>tableseeoriginaldocumentpage13</column></row><table><table>tableseeoriginaldocumentpage14</column></row><table>資源控制部分可能需要利用得到的業(yè)務(wù)安全等級信息對資源分配過程進(jìn)行修訂。資源控制部分通過內(nèi)部接口尋找到支持所述用戶簽約信息中的業(yè)務(wù)安全等級要求的傳送層邏輯實(shí)體或物理實(shí)體，以支持用戶通信需求。資源控制部分尋找到能夠支持業(yè)務(wù)安全等級的傳送部分邏輯實(shí)體或物理實(shí)體。如果尋找不到合適的資源，則需要與用戶終端/用戶網(wǎng)絡(luò)部分對業(yè)務(wù)安全等級進(jìn)行重新協(xié)商，或拒絕用戶資源分配請求。資源控制部分與傳送部分和/或用戶終端/用戶網(wǎng)絡(luò)進(jìn)行交互，進(jìn)行資源策略執(zhí)行和資源分配執(zhí)行，傳送決策結(jié)果時需要包含有業(yè)務(wù)安全等級信息。例如，在ITU-TNGN中，傳送部分與資源控制部分之間的Rw參考點(diǎn)上，在交互的々某體摘要(MediaProfile)信息中，需要包含業(yè)務(wù)安全等級信息，如表5所示。業(yè)務(wù)安全等級也可以稱為媒體安全描述(MediaSecurityDescription),業(yè)務(wù)安全描述(ServiceSecurityDescription),差異化安全服務(wù)(DifferentiatedSecurityService),等等。__<table>tableseeoriginaldocumentpage14</column></row><table>媒體摘要(MediaProfile)RTCP流)。必要時可用通配符來代表子組件。Asetofinformationsub-componentsforamediasession,whichmaybecomposedofdataflowsandcontrolflows(e.g.,RTPandRTCPflowsforaVoIPcall).Thesub-componentsinamediaprofilecanberepresentedbyawildcardasneeded.媒體號(MediaNumber)用于媒體會話的標(biāo)識符(例如SDP中"m^，行位置的順序號)。Anidentifierforamediasession(e.g.,ordinalnumberofthepositionofthe"m="lineintheSDP).網(wǎng)絡(luò)業(yè)務(wù)類(可選)(NetworkClassofService)(Optional)代表用戶終端提交的網(wǎng)絡(luò)業(yè)務(wù)類(如鉆石，金牌，銀牌，常規(guī))，它可能包含QoS性能類(如Y.1541類)。本參數(shù)僅對于擁有傳輸資源的單個運(yùn)營商具有本地意義。本參數(shù)可以由業(yè)務(wù)控制單元(SCF)基于網(wǎng)絡(luò)策略規(guī)則和服務(wù)水平協(xié)議(SLA)映射為應(yīng)用CoS,并且可用于傳輸資源控制和傳輸請求認(rèn)證。RepresentsthenetworkserviceclasssubscribedbyaCPE(e.g.,Premium,Gold,Silver,andRegular).ItmayincludetheQoSperformanceclass(e.g.,Y.1541class).Thisparameterisonlyoflocalsignificanceforasingleoperatorowningthetransportresource,whichcanbemappedfromapplicationCoSissuedbytheSCFbasedonnetworkpolicyrulesandSLAandcanbeusedforthetransportresourcecontrolandauthorizationoftransportsubscription.媒體優(yōu)先級(可選)(MediaPriority)(Optional)用于優(yōu)先級處理的信息(例如TDR/ETS)。Informationforpriorityhandling(e.g.,TDR/ETS).路徑選擇信息(可選)(PathSelection策略執(zhí)行實(shí)體(PE-FE)用于媒體流的與技術(shù)無關(guān)的核心網(wǎng)進(jìn)入/外出路徑信息(如VPNID)。Thetechnology.independentcorenetwork<table>tableseeoriginaldocumentpage16</column></row><table>在TISPANNGN中，傳送部分與資源控制部分之間的la參考點(diǎn)上交換的信息中需要包含業(yè)務(wù)安全等級信息。資源控制部分之間在交換信息時，也需要將業(yè)務(wù)安全等級包含進(jìn)來。資源控制部分內(nèi)部在交換信息時，也需要將業(yè)務(wù)安全等級包含進(jìn)來。傳送部分和/或用戶終端/用戶網(wǎng)絡(luò)在接收到包含有業(yè)務(wù)安全等級信息后，在傳送用戶數(shù)據(jù)時，需要能夠?qū)λ鶄魉偷挠脩魯?shù)據(jù)執(zhí)行確定下來的業(yè)務(wù)安全等級。如圖3所示，是本發(fā)明中NGN中業(yè)務(wù)安全等級實(shí)現(xiàn)方法的流程圖，NGN中業(yè)務(wù)安全等級實(shí)現(xiàn)方法具體如下步驟301:在業(yè)務(wù)控制部分的用戶簽約信息數(shù)據(jù)庫中，保存用戶簽約的業(yè)務(wù)安全等級信息和/或缺省的業(yè)務(wù)安全等級信息，作為用戶簽約信息。步驟302:資源控制部分在網(wǎng)絡(luò)資源狀態(tài)信息中包含網(wǎng)絡(luò)安全等級，可以動態(tài)方式獲耳又，也可以通過靜態(tài)方式獲取。用戶簽約數(shù)據(jù)庫中的業(yè)務(wù)安全等級是指用戶需求的業(yè)務(wù)安全等級，而此處的網(wǎng)絡(luò)安全等級能力是網(wǎng)絡(luò)設(shè)備上所具有的用戶簽約數(shù)據(jù)庫中的網(wǎng)絡(luò)安全等級，是網(wǎng)絡(luò)實(shí)際的能力。此處的網(wǎng)絡(luò)安全等級可能高于，也可能等于或者低于用戶簽約數(shù)據(jù)庫中的網(wǎng)絡(luò)安全等級，不存在特定的對應(yīng)關(guān)系。步驟303:當(dāng)業(yè)務(wù)控制部分接收到業(yè)務(wù)請求時，業(yè)務(wù)控制部分依據(jù)安全策略規(guī)則可能需要提取或推導(dǎo)出所請求業(yè)務(wù)的業(yè)務(wù)安全等級。步驟304:業(yè)務(wù)控制部分在對業(yè)務(wù)請求進(jìn)行鑒權(quán)授權(quán)過程中，如果需要，則從用戶簽約信息數(shù)據(jù)庫中獲取用戶簽約信息中的業(yè)務(wù)安全等級；如果需要缺省的業(yè)務(wù)安全等級，則獲取缺省的業(yè)務(wù)安全等級。步驟305:業(yè)務(wù)控制部分對步驟303得到的網(wǎng)絡(luò)安全等級和步驟304得到的兩種業(yè)務(wù)安全等級進(jìn)行對比分析并決策，即對接收到的業(yè)務(wù)請求進(jìn)行鑒權(quán)授權(quán)過程。最終有三種決策結(jié)果結(jié)果一、與用戶終端/用戶網(wǎng)絡(luò)部分重新協(xié)商業(yè)務(wù)安全等級；結(jié)果二、拒絕業(yè)務(wù)請求；結(jié)果三、業(yè)務(wù)控制部分決策出合適的業(yè)務(wù)安全等級。步驟306:判斷是否接納所述業(yè)務(wù)請求的安全等級；如果決策結(jié)果是不能接納，進(jìn)行步驟S307;如果決策結(jié)果是接納，進(jìn)行步驟S308。步驟S307:如果決策結(jié)果是不能接納(業(yè)務(wù)控制部分沒有提取或推導(dǎo)出業(yè)務(wù)安全等級)，則需要進(jìn)一步判斷是否拒絕該業(yè)務(wù)請求，如果拒絕則結(jié)束流程；如果不拒絕該業(yè)務(wù)請求，則進(jìn)行步驟S308。步驟S308:如果決策結(jié)果是與用戶終端/用戶網(wǎng)絡(luò)部分重新協(xié)商業(yè)務(wù)安全等級，則業(yè)務(wù)控制部分按照流程，與用戶終端/用戶網(wǎng)絡(luò)部分進(jìn)行協(xié)商，協(xié)商的結(jié)杲可能是拒絕業(yè)務(wù)請求，也可能是直接使用簽約信息中的業(yè)務(wù)安全等級；如果是直接使用簽約信息中的業(yè)務(wù)安全等級或者使用缺省的業(yè)務(wù)安全等級，則進(jìn)4亍步驟S309。步驟309:業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時，攜帶合適的業(yè)務(wù)安全等級。業(yè)務(wù)安全等級可能來自簽約信息中的業(yè)務(wù)安全等級或者缺省的業(yè)務(wù)安全等級(來自步驟S308)，也可能是提取或推導(dǎo)出業(yè)務(wù)安全等級。步驟310:資源控制部分依據(jù)安全策略規(guī)則要求，可能需要利用得到的業(yè)務(wù)安全等級對服務(wù)質(zhì)量參數(shù)進(jìn)行修訂。步驟311:資源控制部分與傳送部分進(jìn)行交互，尋找能夠支持業(yè)務(wù)安全等級并能夠?qū)崿F(xiàn)用戶終端/用戶網(wǎng)絡(luò)接入的傳送部分功能實(shí)體或物理實(shí)體，如果能夠?qū)ふ业?，則進(jìn)行步驟312。如果資源控制部分尋找不到合適的傳送部分或用戶網(wǎng)絡(luò)資源，則資源控制部分需要與用戶終端/用戶網(wǎng)絡(luò)部分對業(yè)務(wù)安全等級進(jìn)行重新協(xié)商，或者決策出合適的業(yè)務(wù)安全等級，并重新開始資源分配過程；或者拒絕資源分配請求。步驟312:資源控制部分在與傳送部分、用戶終端/用戶網(wǎng)絡(luò)部分進(jìn)行交互時，需要包含業(yè)務(wù)安全等級。傳送部分、用戶終端/用戶網(wǎng)絡(luò)部分在傳送用戶數(shù)據(jù)時，需要能夠?qū)λ鶄魉偷挠脩魯?shù)據(jù)執(zhí)行已經(jīng)確定的業(yè)務(wù)安全等級。權(quán)利要求1、一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，包括用戶注冊時，按照業(yè)務(wù)的安全需求簽約業(yè)務(wù)安全等級作為簽約信息，或采用缺省的業(yè)務(wù)安全等級作為簽約信息，并保存在用戶簽約信息數(shù)據(jù)庫中；當(dāng)業(yè)務(wù)控制部分接收到業(yè)務(wù)請求時，依據(jù)安全策略規(guī)則得出所述業(yè)務(wù)請求的業(yè)務(wù)安全等級，并在對用戶進(jìn)行鑒權(quán)授權(quán)過程中，從所述用戶簽約信息數(shù)據(jù)庫中獲取用戶簽約信息；所述業(yè)務(wù)控制部分對得出的業(yè)務(wù)安全等級與所述簽約信息中的業(yè)務(wù)安全等級進(jìn)行對比分析，依據(jù)安全策略規(guī)則確定使用的業(yè)務(wù)安全等級；所述業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時，攜帶所述確定下來的業(yè)務(wù)安全等級；所述資源控制部分確定支持所述業(yè)務(wù)安全等級的邏輯實(shí)體或物理實(shí)體；傳送部分、用戶終端或者用戶網(wǎng)絡(luò)部分在接收到所述業(yè)務(wù)安全等級后，根據(jù)確定下來的所述業(yè)務(wù)安全等級傳送用戶數(shù)據(jù)。2、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，確定使用的業(yè)務(wù)安全等級為業(yè)務(wù)請求的業(yè)務(wù)安全等級、簽約信息中的業(yè)務(wù)安全等級或者簽約信息中缺省的業(yè)務(wù)安全等級。3、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，若對比分析結(jié)果是不能接納業(yè)務(wù)請求的業(yè)務(wù)安全等級時，所述業(yè)務(wù)控制部分與所述用戶終端或用戶網(wǎng)絡(luò)部分進(jìn)行協(xié)商，依據(jù)安全策略規(guī)則，得出最終的決策結(jié)果拒絕所述業(yè)務(wù)請求或使用所述簽約信息中的業(yè)務(wù)安全等級作為所述業(yè)務(wù)請求的業(yè)務(wù)安全等級。4、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，在所述簽約信息中，對所述業(yè)務(wù)安全等級按照安全策略規(guī)則要求進(jìn)行統(tǒng)一規(guī)劃，每個業(yè)務(wù)安全等級對應(yīng)一組安全參數(shù)。5、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，所述業(yè)務(wù)安全等級依據(jù)安全策略規(guī)則要求采用的安全參數(shù)包括接納控制方式、網(wǎng)絡(luò)地址轉(zhuǎn)換方式、終端安全代理類型、數(shù)據(jù)加密類型、數(shù)據(jù)加密密鑰、數(shù)據(jù)完整性類型、數(shù)據(jù)完整性密鑰長度、用戶認(rèn)證類型、用戶iU正密鑰長度、數(shù)據(jù)起源認(rèn)證類型、接收方認(rèn)證類型、數(shù)據(jù)起源認(rèn)證密鑰長度、接收方認(rèn)證密鑰長度、抗抵賴性類型、抗抵賴性密鑰長度、訪問控制類型、反垃圾郵件類型或者反垃圾短信類型。6、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，所述資源控制部分與所述傳送部分、用戶終端或者用戶網(wǎng)絡(luò)進(jìn)行交互，尋找支持所述業(yè)務(wù)安全等級并實(shí)現(xiàn)所述用戶終端或者用戶網(wǎng)絡(luò)接入的傳送部分的邏輯實(shí)體或物理實(shí)體；若尋找不到合適的傳送部分資源，則拒絕資源分配請求，或者所述資源控制部分與所述用戶終端或者用戶網(wǎng)絡(luò)部分對所述業(yè)務(wù)安全等級進(jìn)行重新協(xié)商，以確定合適的業(yè)務(wù)安全等級。7、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，若業(yè)務(wù)控制部分對比分析結(jié)果是決策出合適的業(yè)務(wù)安全等級，或者所述業(yè)務(wù)控制部分與所述用戶終端/用戶網(wǎng)絡(luò)部分經(jīng)過重新協(xié)商，決策出合適的業(yè)務(wù)安全等級，則所述業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時，攜帶合適的業(yè)務(wù)安全等級；所述傳送部分、用戶終端或者用戶網(wǎng)絡(luò)部分在^l秦收到所述業(yè)務(wù)安全等級后，按照所述業(yè)務(wù)安全等級傳送用戶數(shù)據(jù)。8、如權(quán)利要求1所述的下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，其特征在于，所述資源控制部分依據(jù)安全策略規(guī)則要求，采用確定的業(yè)務(wù)安全等級對服務(wù)質(zhì)量參數(shù)進(jìn)行修訂。全文摘要本發(fā)明公開了一種下一代網(wǎng)絡(luò)中業(yè)務(wù)安全等級實(shí)現(xiàn)方法，用戶注冊時按照業(yè)務(wù)的安全需求簽約業(yè)務(wù)安全等級作為簽約信息，或采用缺省的業(yè)務(wù)安全等級作為簽約信息；當(dāng)業(yè)務(wù)控制部分接收到業(yè)務(wù)請求時，依據(jù)安全策略規(guī)則得出業(yè)務(wù)請求的業(yè)務(wù)安全等級，并在對用戶進(jìn)行鑒權(quán)授權(quán)過程中獲取用戶簽約信息；業(yè)務(wù)控制部分對得出的業(yè)務(wù)安全等級與簽約信息中的業(yè)務(wù)安全等級進(jìn)行對比分析，依據(jù)安全策略規(guī)則確定使用的業(yè)務(wù)安全等級；業(yè)務(wù)控制部分與資源控制部分進(jìn)行交互時攜帶確定下來的業(yè)務(wù)安全等級；資源控制部分確定支持業(yè)務(wù)安全等級的邏輯實(shí)體或物理實(shí)體；傳送部分、用戶終端或者用戶網(wǎng)絡(luò)部分在接收到所述業(yè)務(wù)安全等級后，根據(jù)確定下來的業(yè)務(wù)安全等級傳送用戶數(shù)據(jù)。文檔編號H04Q7/38GK101330757SQ20081012627公開日2008年12月24日申請日期2008年7月28日優(yōu)先權(quán)日2008年7月28日發(fā)明者滕志猛,勇錢,韋銀星申請人:中興通訊股份有限公司