CN100433899C - 一种保证移动通信系统数据业务安全的方法及系统 - Google Patents
一种保证移动通信系统数据业务安全的方法及系统 Download PDFInfo
- Publication number
- CN100433899C CN100433899C CNB2004101034675A CN200410103467A CN100433899C CN 100433899 C CN100433899 C CN 100433899C CN B2004101034675 A CNB2004101034675 A CN B2004101034675A CN 200410103467 A CN200410103467 A CN 200410103467A CN 100433899 C CN100433899 C CN 100433899C
- Authority
- CN
- China
- Prior art keywords
- user terminal
- security
- service entity
- support node
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种保证移动通信系统数据业务安全的方法,关键在于,在移动通信网络中设置策略服务实体,该方法还包括:a.策略服务实体根据用户终端上报的相关配置信息,获取用户终端当前的安全状况;b.策略服务实体根据用户终端当前的安全状况以及自身存储的相关安全信息,确定对相应用户终端的安全策略,并将所确定的安全策略发送给分组业务支持节点,或将所确定的安全策略发送给分组业务支持节点和相应用户终端;c.收到安全策略的分组业务支持节点根据所接收到的安全策略完成对相应用户终端的控制处理。本发明还同时公开了一种保证移动通信系统数据业务安全的系统,采用该方法和系统能形成网络和终端联合进行安全处理的机制,能对移动通信网络中的病毒有效地处理和抑制。
Description
技术领域
本发明涉及安全通信技术,尤指一种保证移动通信系统数据业务安全的方法及系统。
背景技术
随着数据业务在移动通信系统中的应用,尤其是移动终端向智能化发展的趋势,在移动终端中除了传统的话音通信能力外,还包括个人数字助理(PDA)等功能,能提供智能操作系统平台以及应用软件。此外,随着移动个人计算机存储卡(PCMCIA)的应用普及,越来越多的用户通过插卡到便携机中,通过移动数据网实现上网服务。但是,由于便携机中也存在WINDOWS操作系统以及各种应用软件,因此,移动终端的作用已与计算机紧密结合,目前在固定网络中发生的病毒问题,在移动网络中也同样存在。
在移动网络中,传统的防病毒方法主要有以下两种:
1)在终端侧安装防病毒软件,当有数据需要传输时,终端就通过自身安装的防病毒软件对传输数据进行扫描并杀毒。
2)在网络上安装防病毒网关,数据流经过网关时进行在线扫描和杀毒,但该方法要求防病毒网关有较高的性能。比如:对于短消息带来的病毒,需要在短信网关上进行病毒扫描和防护。
从上述方法可以看出,传统防病毒方法都是通过在数据流经的设备上安装杀毒软件,对经过的数据进行扫描和杀毒。但是,目前所有使用的杀毒软件都只能对已知的病毒进行查杀,很难防止未知病毒的蔓延,因此仍会造成一些不知名病毒对网络流量的侵袭。
此外,病毒和蠕虫的影响是多方面因素造成的,包括操作系统版本、防病毒软件版本以及防病毒软件能力等等,例如:未及时安装操作系统的版本补丁,就可能使操作系统受到大的攻击,冲击波病毒的发生主要就是利用了windows操作系统的漏洞。实际上在病毒爆发前,操作系统的提供商都会发布补丁公告,但通常由于大量的PC机未能及时安装补丁,而造成病毒大范围的传播。还有,对于已安装防病毒软件的终端来说,防病毒软件版本更新也是非常重要的。
发明内容
有鉴于此,本发明的主要目的在于提供一种保证移动通信系统数据业务安全的方法,能对移动通信网络中的各种病毒进行有效地处理和抑制。
本发明的另一目的在于提供一种保证移动通信系统数据业务安全的系统,形成网络和终端联合进行安全处理的机制,进而提高对移动通信网络中各种病毒的防御。
为达到上述目的,本发明的技术方案是这样实现的:
一种保证移动通信系统数据业务安全的方法,在移动通信网络中设置策略服务实体,该方法还包括以下步骤:
a.所述策略服务实体根据用户终端上报的安全相关配置信息,获取用户终端当前的安全状况;
b.所述策略服务实体根据用户终端当前的安全状况以及自身存储的相关安全信息,确定对相应用户终端的安全策略,并将所确定的安全策略发送给分组业务支持节点,或将所确定的安全策略发送给分组业务支持节点和相应用户终端;
c.收到安全策略的分组业务支持节点根据所接收到的安全策略完成对相应用户终端的控制处理。
步骤a之前该方法还包括:用户终端主动向所述策略服务实体上报当前收集的自身的安全相关配置信息。
或者,步骤a之前该方法还包括:
a01.所述策略服务实体向用户终端发送要求用户终端上报安全相关配置信息的请求信息;
a02.用户终端收到请求后,根据策略服务实体的要求收集自身安全相关配置信息,并将所收集的安全相关配置信息上报给所述策略服务实体。
其中,步骤a01之前该方法还包括:分组业务支持节点向所述策略服务实体发送策略请求信息,所述策略服务实体收到请求后,向用户终端发送要求用户终端上报安全相关配置信息的请求信息。
上述方案中,所述安全相关配置信息为用户终端的操作系统版本信息、或防病毒软件信息、或补丁软件安装情况、或三者的任意组合。所述策略服务实体为单独的策略服务器,或为设置于网络设备的功能模块,或为具有策略管理功能的插卡。所述分组业务支持节点为服务通用分组无线业务支持节点SGSN、或网关通用分组无线业务支持节点GGSN、或分组数据支持节点PDSN。所述用户终端为移动智能终端和/或插卡便携机终端。
上述方案中,所述分组业务支持节点为GGSN,则步骤c进一步包括:收到安全策略的GGSN通知SGSN或RNC,根据安全策略完成相应控制处理。
上述方案中,所述分组业务支持节点为GGSN,则该方法进一步包括:收到安全策略的GGSN将当前收到的数据包重定向到安全网关设备进行安全处理,安全网关设备完成安全处理后,将经过安全处理的数据包返回GGSN。其中,所述安全网关设备为防病毒网关,则所述安全处理为:对所收到的数据包进行病毒扫描和杀毒。
本发明还提供了一种保证移动通信系统数据业务安全的系统,包括分组业务支持节点和一个或一个以上用户终端,用户终端通过移动通信网络与分组业务支持节点相连,该系统还包括:
策略服务实体,用于获取用户终端的安全状况,确定和保存安全策略,并将安全策略发送给分组业务支持节点,或将所确定的安全策略发送给分组业务支持节点和相应用户终端,该策略服务实体与分组业务支持节点相连;
所述用户终端和分组业务支持节点中分别设置有与策略服务实体进行互通的安全策略处理功能模块,用于接收策略服务实体的指令信息,根据指令信息完成相应处理,和/或向策略服务实体发送与安全相关的信息。
该系统进一步包括:安全网关设备,用于对收到安全策略的分组业务支持节点重定向来的数据包进行安全处理。其中,所述安全网关设备为防病毒网关。
上述方案中,所述分组业务支持节点为SGSN、或为GGSN、或为PDSN。所述策略服务实体为单独的策略服务器,或设置于网络设备的功能模块,或具有策略管理功能的插卡。所述用户终端为移动智能终端和/或插卡便携机终端。
本发明所提供的保证移动通信系统数据业务安全的方法及系统,在现有的移动通信网络中增加策略服务实体,用于确定和保存安全策略,并且能根据终端侧当前的安全情况制定安全策略,并通知网络侧分组业务支持节点和/或用户终端进行相应的防御处理,因此,本发明具有以下优点和特点:
1)本发明中的策略服务实体将终端与网络之间的安全策略关联起来,提供了一种网络和终端联合进行安全处理的机制,通过终端和网络端的联合综合防范,从全方位进行了安全防护,不仅要防止已知病毒,还要防止未知病毒,达到全面防护的目的。
2)由于安全威胁都是从终端发出的,因此,本发明的方法可进行安全源头控制,通过对终端的有效控制可以防止威胁的扩散。同时,通过网络的配合能对病毒流量进行有效地处理和抑制。
3)对于今后愈来愈严重的手机病毒,可利用本发明的安全系统架构,采取有效的安全技术抑制移动通信网络中的病毒,进而控制手机病毒的扩散。
4)由于本发明能及时获取用户终端当前的安全状况,针对用户终端安全状况的漏洞,及时制定相应的安全策略,并通知分组业务支持节点和/或用户终端根据安全策略进行控制,因此能有效保护网络不受侵害,尤其是防止蠕虫病毒发生对网络的影响。
5)当分组业务支持节点为GGSN时,本发明支持对上/下行数据包的安全控制,可有效防止移动网对公网的侵袭、或公网对移动网的侵袭。并且,这种情况下,安全策略既可以在GGSN执行,也可以由GGSN通知SGSN或RNC执行相应的控制操作,实现方式灵活多样。
6)本发明仅需对分组业务支持节点、用户终端、安全网关设备中的功能处理模块稍加改动或增加简单的协议,即可实现有效的安全互通,并能实现对数据包的安全处理,实现简单方便,且不会增加硬件成本。
附图说明
图1为本发明系统一实施例的组成结构示意图;
图2为本发明系统另一实施例的组成结构示意图;
图3为本发明方法一实施例的实现流程图。
具体实施方式
本发明的核心思想是:在现有的移动通信网络中设置策略服务实体,由策略服务实体根据用户终端当前的安全情况制定安全策略,并通知网络侧分组业务支持节点设备和/或用户终端根据制定的安全策略进行相应的防御处理。
这里,所述策略服务实体可以是策略服务器、或是嵌入其他网络实体的功能模块、或是插卡;所述用户终端主要是指移动智能终端和/或插卡便携机终端;所述网络侧分组业务支持节点设备可以是服务通用分组无线业务支持节点(SGSN)、或网关通用分组无线业务支持节点(GGSN)、或分组数据支持节点(PDSN)。
如图1所示,本发明所提出的保证移动通信系统中数据业务安全的系统,主要包括策略服务实体、SGSN以及多个用户终端。其中,策略服务实体并联在移动通信网络中,可直接或通过网络与SGSN相连,用于制定和保存安全策略,策略服务实体可通过SGSN与用户终端之间进行交互,获取用户终端当前的安全状况,再根据用户终端的安全相关信息和自身已存储的安全信息,针对不同用户终端制定相应的安全策略,并将所制定的安全策略下发给用户终端和SGSN;策略服务实体还可以保存核心网设备下发的安全策略或安全相关信息;策略服务实体也可以保存直接配置的安全策略或安全相关信息。
其中,策略服务实体可以为单独的策略服务器,也可以为设置于网络设备如SGSN中的功能模块,还可以为具有策略管理功能的插卡嵌入SGSN中;所述用户终端可以是但不限于移动智能终端和/或插卡便携机终端,只要是能与策略服务实体之间进行安全信息交互且具有移动性的终端设备都可以。
为了与策略服务实体进行互通,用户终端中要增加设置安全策略处理功能模块,用于支持与策略服务实体之间的交互,该安全策略处理功能模块主要用于接收策略服务实体发来的指令信息,并按指令进行相应的操作,比如:策略服务实体向用户终端发送需要获取与安全相关配置信息的请求,安全策略处理功能模块接收到该请求后,就收集自身相应的配置信息再上报给策略服务实体,这样,策略服务实体就可以通过用户终端的安全策略处理功能模块收集用户终端与安全相关的配置信息,比如:用户终端的操作系统版本信息、防病毒软件信息、补丁软件安装情况等等。
该安全策略处理功能模块也可以定时、或周期、或在自身配置信息发生变化时主动向策略服务实体上报自身与安全相关的配置信息。该安全策略处理功能模块可以是一个独立的软件,与策略服务实体互通的用户终端只要安装该软件即可,该安全策略处理功能模块中还可以保存防病毒软件。
与SGSN相连的策略服务实体中包含用户终端的安全策略信息,策略服务实体与用户终端的安全策略处理功能模块之间建立安全协议协商,即建立相互的安全信任关系,那么,策略服务实体就可以向用户终端下发需要收集策略信息的请求,用户终端则上报与安全相关的配置信息,如:防病毒软件信息、补丁软件安装信息等。
为了使SGSN能根据策略服务实体的需求对相应的用户进行控制,在SGSN中也增加有与策略服务实体互通的安全策略处理功能模块及与策略服务实体协商的协议,如此,SGSN一方面可以根据策略服务实体给的策略信息,进行相应的用户控制,另一方面,也可以给策略服务实体提供相应的策略支持需求。
如图2所示,本发明所提出的保证移动通信系统中数据业务安全的系统,主要包括策略服务实体、GGSN以及多个用户终端,当然,还包括SGSN、RNC和基站Node B。其中,策略服务实体并联在移动通信网络中,可直接或通过网络与GGSN相连,用于制定和保存安全策略;策略服务实体可通过GGSN再经由SGSN、RNC和Node B与用户终端之间进行交互,获取用户终端当前的安全状况,再根据用户终端的安全相关信息和自身已存储的安全信息,针对不同用户终端制定相应的安全策略,并将所制定的安全策略下发给用户终端和GGSN;策略服务实体还可以保存核心网设备下发的安全策略或安全相关信息;策略服务实体也可以保存直接配置的安全策略或安全相关信息。
这里,策略服务实体可以为单独的策略服务器,也可以为设置于网络设备如GGSN中的功能模块,还可以为具有策略管理功能的插卡嵌入GGSN中;所述用户终端可以是但不限于移动智能终端和/或插卡便携机终端,只要是能与策略服务实体之间进行安全信息交互且具有移动性的终端设备都可以。
为了与策略服务实体进行互通,用户终端中要增加设置安全策略处理功能模块,用于支持与策略服务实体之间的交互,该安全策略处理功能模块主要用于接收策略服务实体发来的指令信息,并按指令进行相应的操作,比如:策略服务实体向用户终端发送需要获取与安全相关配置信息的请求,安全策略处理功能模块接收到该请求后,就收集自身相应的配置信息再上报给策略服务实体,这样,策略服务实体就可以通过用户终端的安全策略处理功能模块收集用户终端与安全相关的配置信息,比如:用户终端的操作系统版本信息、防病毒软件信息、补丁软件安装情况等等。
该安全策略处理功能模块也可以定时、或周期、或在自身配置信息发生变化时主动向策略服务实体上报自身与安全相关的配置信息。该安全策略处理功能模块可以是一个独立的软件,与策略服务实体互通的用户终端只要安装该软件即可,该安全策略处理功能模块中还可以保存防病毒软件。
在实际应用中,策略服务实体通过GGSN、SGSN、RNC和Node B与用户终端进行信息交互,其中,SGSN、RNC和Node B仅仅透传交互信息。
与GGSN相连的策略服务实体中包含用户终端的安全策略信息,策略服务实体与用户终端的安全策略处理功能模块之间建立安全协议协商,即建立相互的安全信任关系,那么,策略服务实体就可以向用户终端下发需要收集策略信息的请求,用户终端则上报与安全相关的配置信息,如:防病毒软件信息、补丁软件安装信息等。
为使GGSN能根据策略服务实体的需求对相应的用户进行控制,在GGSN中也增加有与策略服务实体互通的安全策略处理功能模块及与策略服务实体协商的协议,如此,GGSN一方面可以根据策略服务实体给的策略信息,对相应的用户进行控制,另一方面,也可以给策略服务实体提供相应的策略支持需求。
由于GGSN能进行上、下行IP数据包的七层解析,具有重定向功能,因此,本发明系统还可以进一步包括一个或多个完成不同安全保障功能的、或检测不同病毒的安全网关设备,GGSN可以重定向相关的数据包到相应的安全网关设备,例如:重定向到防病毒网关,由防病毒网关对数据包进行杀毒,并把经过杀毒的数据包返回GGSN,通过GGSN送往公网如Internet网。
相应地,GGSN也可以把由公网进来的IP包重定向到安全网关设备上,通过安全网关设备处理后,比如经过防病毒网关杀毒后,再返回到GGSN,通过SGSN、RNC和Node B将IP包传送到用户终端如移动终端上。这里,GGSN应该将哪些IP包送至哪个安全网关设备进行处理,是根据策略服务实体确定的安全策略信息控制执行的。
在图2所示的系统中,GGSN获得相应的安全策略信息后,也可以不由自己执行,而是向SGSN、RNC发送相关的安全策略控制信息,例如:去激活用户信息,由SGSN或RNC完成相应的操作。另外,策略服务实体也可以直接与SGSN相连提供单向控制,由于SGSN不能进行数据包的解析,因此只能实施简单的安全策略,例如阻断某一IP地址的用户。
基于上述系统,以策略服务实体为策略服务器为例,本发明的实现方法如图3所示,具体包括以下步骤:
步骤301:策略服务器向某用户终端发送请求信息,请求该用户终端上报其自身的相关配置信息。这里,用户终端是但不限于移动智能终端和/或插卡便携机终端。
本步骤中,所述请求可由策略服务器随时发起,且该请求信息通过SGSN透传给用户终端,同时该请求信息中含有所需要信息的指示,比如:指示用户终端上报其补丁软件安装信息,至于请求信息的具体格式可采用策略服务器与用户终端预先协商确定的格式即可,比如:不同字段代表策略服务器需要获取的不同类型的信息等等。
步骤302:用户终端收到策略服务器发来的请求后,根据策略服务器的需求用户终端通过自身的安全策略处理功能模块,收集自身相关的配置信息,并将所收集的相关配置信息上报给策略服务器。
步骤303:策略服务器根据用户终端上报的相关配置信息,获取该用户终端当前的安全状况;然后,策略服务器根据用户终端当前的安全状况以及自身存储的相关安全信息,确定对相应用户终端的用户控制信息,再将所确定的用户控制信息作为安全策略向分组业务支持节点和/或用户终端发送。
这里,策略服务器存储的相关安全信息包括但不限于:用户终端应安装的补丁软件信息、用户终端应安装的防病毒软件信息等等。所述分组业务支持节点为GGSN、或SGSN、或PDSN。
步骤304:分组业务支持节点和/或用户终端收到相应的安全策略后,就根据策略服务器的需求进行相应的控制处理,比如:对于GGSN来说,如果安全策略是要求对某些用户终端传输的数据进行某种病毒检测,则GGSN可在收到指定IP地址发来的数据或发向指定IP地址的数据后,将相应数据送至指定的安全网关设备上进行病毒扫描和杀毒;或是GGSN将某类数据通过指定的安全网关设备进行传输等等。
对于图1所示的系统,策略服务器将安全策略信息下发给SGSN,由SGSN根据所收到的安全策略信息完成相应的控制操作;对于图2所示的系统,策略服务器将安全策略信息下发给GGSN,由GGSN根据所收到的安全策略信息完成相应的控制操作,或是由GGSN通知SGSN进行相应的处理,比如:阻断某IP地址用户发送的IP包。
对于GGSN来说,GGSN可以根据需要将指定的上/下行IP数据包重定向到安全网关设备上进行相应的安全处理,比如扫描病毒并杀毒,经过安全处理后,安全网关设备再将经过处理的IP数据包返回GGSN,继续后续传输和处理。
在实际应用中,也可以由分组业务支持节点向策略服务器发送策略请求信息,策略服务器收到请求后,再执行上述步骤301至304。还可以由用户终端主动向策略服务器上报当前收集的自身与安全相关的配置信息,策略服务器收到后,执行步骤303和步骤304,这里,可以采用周期上报、或定时上报、或在自身配置信息发生变化时上报等方式。
在具体应用的实现过程中,策略服务实体也可以作为插卡嵌入到分组业务支持节点如GGSN或SGSN中提供相应安全服务。
本发明通过策略服务实体对安全策略的制定,在网络侧可以判别用户终端所处的安全状态,并能将安全威胁信息或者存在的潜在威胁源通知给策略服务实体,由策略服务实体通过判断选取,考虑确定对用户终端实施相应的安全策略,并可以通过分组业务支持节点对用户终端的控制防止威胁的扩散。
举一个安装补丁软件管理的例子,目前,很多蠕虫病毒的扩散都是由于没有及时对用户终端安装相应的补丁软件,另外,诸如“冲击波”、“震荡波”等病毒也都是这种情况。那么,通过本发明的方法就可以防止由于补丁软件没有及时安装,而造成的病毒对网络攻击的扩散。
本例中,分组业务支持节点为SGSN;策略服务实体为策略服务器,该策略服务器中存储有所有应安装的补丁软件信息,还可以进一步保存每个补丁软件信息的相关信息,比如重要程度。本例中,本发明方法的具体实现过程是:
1)策略服务器向用户终端M发送操作系统补丁配置信息需求,要求用户终端M返回其自身当前的补丁配置情况。
2)用户终端M收到请求后,通过自身的安全策略处理功能模块提取出目前自身操作系统中所安装的补丁软件情况,并将提取出的补丁软件安装信息上传给策略服务器。
3)策略服务器接收到补丁软件安装信息后,根据所获取的用户终端M的补丁软件安装信息以及自身存储的应安装的补丁软件信息,对用户终端M的补丁安装情况进行判断,结果发现用户终端M有一个重要补丁没有安装。比如:每个用户终端应至少安装A、B、C、D四个补丁程序,才能保证用户终端的基本安全状态,而当前用户终端M只安装了A、C、D,没有安装B。
4)策略服务器则向该用户终端M发送某补丁程序未安装的通知信息,比如:通知用户终端M补丁程序B未安装。同时,策略服务器可根据当前所获得的信息制定安全策略,比如:对该用户终端M限制带宽;之后,策略服务器向SGSN发送该用户终端M的带宽限制信息。
5)SGSN收到该用户终端M的带宽限制信息后,对该用户终端M进行带宽限制,甚至对该用户终端M进行上网阻断。
对于用户终端M来说,可以根据步骤4)中的通知,决定是否安装补丁程序B。
对于上述安装补丁软件管理的例子来说,如果分组业务支持节点为GGSN,则当用户数据包传送至GGSN时,GGSN可以重定向当前收到的数据包到安全网关设备如防病毒网关上,由防病毒网关进行相应的检测查杀,之后返回GGSN。
本发明可以适用于2G的GPRS系统、EDGE系统以及3G的WCDMA系统、TD-SCDMA系统、CDMA系统,总之,以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (18)
1、一种保证移动通信系统数据业务安全的方法,其特征在于,在移动通信网络中设置策略服务实体,该方法还包括以下步骤:
a.所述策略服务实体根据用户终端上报的安全相关配置信息,获取用户终端当前的安全状况;
b.所述策略服务实体根据用户终端当前的安全状况以及自身存储的相关安全信息,确定对相应用户终端的安全策略,并将所确定的安全策略发送给分组业务支持节点,或将所确定的安全策略发送给分组业务支持节点和相应用户终端;
c.收到安全策略的分组业务支持节点根据所接收到的安全策略完成对相应用户终端的控制处理。
2、根据权利要求1所述的方法,其特征在于,步骤a之前该方法还包括:用户终端主动向所述策略服务实体上报当前收集的自身的安全相关配置信息。
3、根据权利要求1所述的方法,其特征在于,步骤a之前该方法还包括:
a01.所述策略服务实体向用户终端发送要求用户终端上报安全相关配置信息的请求信息;
a02.用户终端收到请求后,根据策略服务实体的要求收集自身安全相关配置信息,并将所收集的安全相关配置信息上报给所述策略服务实体。
4、根据权利要求3所述的方法,其特征在于,步骤a01之前该方法还包括:分组业务支持节点向所述策略服务实体发送策略请求信息,所述策略服务实体收到请求后,向用户终端发送要求用户终端上报安全相关配置信息的请求信息。
5、根据权利要求1至4任一项所述的方法,其特征在于,所述安全相关配置信息为用户终端的操作系统版本信息、或防病毒软件信息、或补丁软件安装情况、或三者的任意组合。
6、根据权利要求1至4任一项所述的方法,其特征在于,所述策略服务实体为单独的策略服务器,或为设置于网络设备的功能模块,或为具有策略管理功能的插卡。
7、根据权利要求1至4任一项所述的方法,其特征在于,所述分组业务支持节点为服务通用分组无线业务支持节点SGSN、或网关通用分组无线业务支持节点GGSN、或分组数据支持节点PDSN。
8、根据权利要求1至4任一项所述的方法,其特征在于,所述用户终端为移动智能终端和/或插卡便携机终端。
9、根据权利要求1所述的方法,其特征在于,所述分组业务支持节点为GGSN,则步骤c进一步包括:收到安全策略的GGSN通知SGSN或RNC,根据安全策略完成相应控制处理。
10、根据权利要求1所述的方法,其特征在于,所述分组业务支持节点为GGSN,则该方法进一步包括:收到安全策略的GGSN将当前收到的数据包重定向到安全网关设备进行安全处理,安全网关设备完成安全处理后,将经过安全处理的数据包返回GGSN。
11、根据权利要求10所述的方法,其特征在于,所述安全网关设备为防病毒网关,则所述安全处理为:对所收到的数据包进行病毒扫描和杀毒。
12、一种保证移动通信系统数据业务安全的系统,包括分组业务支持节点和一个或一个以上用户终端,用户终端通过移动通信网络与分组业务支持节点相连,其特征在于,该系统还包括:
策略服务实体,用于获取用户终端的安全状况,确定和保存安全策略,并将安全策略发送给分组业务支持节点,或将所确定的安全策略发送给分组业务支持节点和相应用户终端,该策略服务实体与分组业务支持节点相连;
所述用户终端和分组业务支持节点中分别设置有与策略服务实体进行互通的安全策略处理功能模块,用于接收策略服务实体的指令信息,根据指令信息完成相应处理,和/或向策略服务实体发送与安全相关的信息。
13、根据权利要求12所述的系统,其特征在于,该系统进一步包括:安全网关设备,用于对收到安全策略的分组业务支持节点重定向来的数据包进行安全处理。
14、根据权利要求13所述的系统,其特征在于,所述安全网关设备为防病毒网关。
15、根据权利要求12、13或14所述的系统,其特征在于,所述分组业务支持节点为SGSN、或为GGSN、或为PDSN。
16、根据权利要求12、13或14所述的系统,其特征在于,所述策略服务实体为单独的策略服务器,或为设置于网络设备的功能模块,或为具有策略管理功能的插卡。
17、根据权利要求16所述的系统,其特征在于,所述分组业务支持节点为SGSN、或为GGSN、或为PDSN。
18、根据权利要求12、13或14所述的系统,其特征在于,所述用户终端为移动智能终端和/或插卡便携机终端。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004101034675A CN100433899C (zh) | 2004-12-28 | 2004-12-28 | 一种保证移动通信系统数据业务安全的方法及系统 |
| JP2007548674A JP4499161B2 (ja) | 2004-12-28 | 2005-12-20 | 移動通信システムにおいてデータサービスのセキュリティを実現する方法、システム及び装置 |
| EP10176424A EP2254360A1 (en) | 2004-12-28 | 2005-12-20 | Method, system and apparatus for implementing data service security in a mobile communication network |
| PCT/CN2005/002254 WO2006069522A1 (fr) | 2004-12-28 | 2005-12-20 | Procede, systeme et appareil permettant de realiser la securite d'un service de donnees d'un systeme de communication mobile |
| EP05820675A EP1772988A4 (en) | 2004-12-28 | 2005-12-20 | METHOD, SYSTEM AND DEVICE FOR CARRYING OUT THE SECURITY OF A DATA SERVICE OF A MOBILE COMMUNICATION SYSTEM |
| US11/675,914 US20070169169A1 (en) | 2004-12-28 | 2007-02-16 | Method, System and Apparatus for Implementing Data Service Security in Mobile Communication System |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004101034675A CN100433899C (zh) | 2004-12-28 | 2004-12-28 | 一种保证移动通信系统数据业务安全的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1798436A CN1798436A (zh) | 2006-07-05 |
| CN100433899C true CN100433899C (zh) | 2008-11-12 |
Family
ID=36614489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004101034675A Active CN100433899C (zh) | 2004-12-28 | 2004-12-28 | 一种保证移动通信系统数据业务安全的方法及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20070169169A1 (zh) |
| EP (2) | EP1772988A4 (zh) |
| JP (1) | JP4499161B2 (zh) |
| CN (1) | CN100433899C (zh) |
| WO (1) | WO2006069522A1 (zh) |
Families Citing this family (77)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005987A1 (en) * | 2005-06-30 | 2007-01-04 | Durham Lenitra M | Wireless detection and/or containment of compromised electronic devices in multiple power states |
| WO2007032996A2 (en) | 2005-09-07 | 2007-03-22 | Ace*Comm Corporation | Consumer configurable mobile communication solution |
| US20080065746A1 (en) * | 2006-09-07 | 2008-03-13 | Ace*Comm Corporation | Consumer configurable mobile communication web filtering solution |
| CN101299660B (zh) * | 2007-04-30 | 2010-12-08 | 华为技术有限公司 | 一种执行安全控制的方法、系统及设备 |
| US8135007B2 (en) * | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
| KR101152782B1 (ko) * | 2007-08-16 | 2012-06-12 | 삼성전자주식회사 | 통신 중계 방법 및 그 장치와, 통신 중계 제어 방법 및 그장치 |
| WO2009051528A1 (en) | 2007-10-17 | 2009-04-23 | Telefonaktiebolaget Lm Ericsson (Publ). | Method and arragement for deciding a security setting |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8799451B2 (en) | 2009-01-28 | 2014-08-05 | Headwater Partners I Llc | Verifiable service policy implementation for intermediate networking devices |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
| US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
| US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US20100011432A1 (en) * | 2008-07-08 | 2010-01-14 | Microsoft Corporation | Automatically distributed network protection |
| US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US8351898B2 (en) | 2009-01-28 | 2013-01-08 | Headwater Partners I Llc | Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US11973804B2 (en) | 2009-01-28 | 2024-04-30 | Headwater Research Llc | Network service plan design |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| CN101795261B (zh) * | 2009-12-31 | 2013-01-02 | 暨南大学 | 基于移动数据安全的信息保护系统及方法 |
| US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
| US9548962B2 (en) | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
| US9864873B2 (en) * | 2013-03-15 | 2018-01-09 | Trustarc Inc | Managing data handling policies |
| CN104380686B (zh) * | 2013-11-07 | 2018-08-21 | 华为技术有限公司 | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 |
| CN103561035A (zh) * | 2013-11-11 | 2014-02-05 | 中国联合网络通信集团有限公司 | 一种移动用户安全防护方法和系统 |
| US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| CN106487766B (zh) * | 2015-08-31 | 2021-10-29 | 微软技术许可有限责任公司 | 具有独立服务子系统的路由设备 |
| CN105682095A (zh) * | 2015-12-24 | 2016-06-15 | 北京奇虎科技有限公司 | 基于局域网的无线热点控制方法和装置 |
| US10887768B2 (en) * | 2016-07-13 | 2021-01-05 | T-Mobile Usa, Inc. | Mobile traffic redirection system |
| CN109117644B (zh) * | 2018-09-28 | 2022-08-05 | 深信服科技股份有限公司 | 一种运行状况的调整方法、系统、主机及可读存储介质 |
| CN112788593A (zh) * | 2019-11-04 | 2021-05-11 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
| CN112507329A (zh) * | 2020-12-11 | 2021-03-16 | 海信电子科技(武汉)有限公司 | 安全防护方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2587018Y (zh) * | 2002-11-12 | 2003-11-19 | 上海信尔杰信息科技技术有限公司 | 局域网络防电脑病毒电路 |
| US20040064727A1 (en) * | 2002-09-30 | 2004-04-01 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US20040123150A1 (en) * | 2002-12-18 | 2004-06-24 | Michael Wright | Protection of data accessible by a mobile device |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7072956B2 (en) * | 2000-12-22 | 2006-07-04 | Microsoft Corporation | Methods and systems for context-aware policy determination and enforcement |
| US20030028806A1 (en) * | 2001-08-06 | 2003-02-06 | Rangaprasad Govindarajan | Dynamic allocation of ports at firewall |
| US6661780B2 (en) * | 2001-12-07 | 2003-12-09 | Nokia Corporation | Mechanisms for policy based UMTS QoS and IP QoS management in mobile IP networks |
| JP2003216448A (ja) * | 2002-01-17 | 2003-07-31 | Ntt Docomo Inc | 移動通信端末及びデータ送信方法 |
| US7308706B2 (en) * | 2002-10-28 | 2007-12-11 | Secure Computing Corporation | Associative policy model |
| AU2003299729A1 (en) * | 2002-12-18 | 2004-07-14 | Senforce Technologies, Inc. | Methods and apparatus for administration of policy based protection of data accessible by a mobile device |
| US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| US9237514B2 (en) * | 2003-02-28 | 2016-01-12 | Apple Inc. | System and method for filtering access points presented to a user and locking onto an access point |
| US7526800B2 (en) * | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
| KR100551421B1 (ko) * | 2002-12-28 | 2006-02-09 | 주식회사 팬택앤큐리텔 | 바이러스치료기능을 가진 이동통신 시스템 |
| US9197668B2 (en) * | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
-
2004
- 2004-12-28 CN CNB2004101034675A patent/CN100433899C/zh active Active
-
2005
- 2005-12-20 JP JP2007548674A patent/JP4499161B2/ja active Active
- 2005-12-20 EP EP05820675A patent/EP1772988A4/en not_active Withdrawn
- 2005-12-20 WO PCT/CN2005/002254 patent/WO2006069522A1/zh active Application Filing
- 2005-12-20 EP EP10176424A patent/EP2254360A1/en not_active Withdrawn
-
2007
- 2007-02-16 US US11/675,914 patent/US20070169169A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040064727A1 (en) * | 2002-09-30 | 2004-04-01 | Intel Corporation | Method and apparatus for enforcing network security policies |
| CN2587018Y (zh) * | 2002-11-12 | 2003-11-19 | 上海信尔杰信息科技技术有限公司 | 局域网络防电脑病毒电路 |
| US20040123150A1 (en) * | 2002-12-18 | 2004-06-24 | Michael Wright | Protection of data accessible by a mobile device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008526144A (ja) | 2008-07-17 |
| JP4499161B2 (ja) | 2010-07-07 |
| WO2006069522A1 (fr) | 2006-07-06 |
| EP1772988A4 (en) | 2007-10-03 |
| US20070169169A1 (en) | 2007-07-19 |
| CN1798436A (zh) | 2006-07-05 |
| EP2254360A1 (en) | 2010-11-24 |
| EP1772988A1 (en) | 2007-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100433899C (zh) | 一种保证移动通信系统数据业务安全的方法及系统 | |
| US9069957B2 (en) | System and method of reporting and visualizing malware on mobile networks | |
| US20080196104A1 (en) | Off-line mms malware scanning system and method | |
| US8726338B2 (en) | Dynamic threat protection in mobile networks | |
| KR101259908B1 (ko) | 이동 통신 단말기에서의 애플리케이션 업데이트 방법 및시스템 | |
| CN100459798C (zh) | 一种向移动终端提供安全服务的方法及系统 | |
| CN104854890A (zh) | 无线通信系统 | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| US20060236390A1 (en) | Method and system for detecting malicious wireless applications | |
| JP2008501269A (ja) | 無線通信システムにおける不要メッセージのフィルタリング | |
| WO2014075485A1 (zh) | 网络地址转换技术的处理方法、nat设备及bng设备 | |
| CN100403684C (zh) | 一种保证无线宽带接入系统数据业务安全的方法及系统 | |
| CN104239790B (zh) | 病毒处理方法及装置 | |
| Verma et al. | A service governance and isolation based approach to mitigate internal collateral damages in cloud caused by DDoS attack | |
| CN101039324B (zh) | 一种网络病毒防护方法、系统及装置 | |
| CN101547185B (zh) | 一种移动网中防止移动终端间互相攻击的方法及系统 | |
| CN101466099B (zh) | 基于分组数据协议激活请求的安全监控方法和移动终端 | |
| CN107612839B (zh) | 一种基于防火墙设备的流量分配方法 | |
| CN105656895A (zh) | 通话方法、虚拟机通话装置、客户端通话装置和通话系统 | |
| CA2544036C (en) | Method and system for detecting and handling malicious wireless applications | |
| CN100586064C (zh) | 一种网络设备查毒和杀毒的方法 | |
| CN100433639C (zh) | 一种实现网络安全控制的方法及系统 | |
| Dai et al. | Mobile Technology Security Concerns and NESAS as a Solution | |
| Singh et al. | Paging vulnerabilities in 5G new radio networks and mitigation to enhance security performance | |
| KR100617750B1 (ko) | 데이터의 바이러스 감염을 방지하기 위한 단말기 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |