CN100568879C - 一种安全策略设置方法 - Google Patents

一种安全策略设置方法 Download PDF

Info

Publication number
CN100568879C
CN100568879C CNB200610103402XA CN200610103402A CN100568879C CN 100568879 C CN100568879 C CN 100568879C CN B200610103402X A CNB200610103402X A CN B200610103402XA CN 200610103402 A CN200610103402 A CN 200610103402A CN 100568879 C CN100568879 C CN 100568879C
Authority
CN
China
Prior art keywords
security
security strategy
safe class
algorithm
scene
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CNB200610103402XA
Other languages
English (en)
Other versions
CN1889576A (zh
Inventor
秦志光
陈剑勇
傅翀
廖煜
田野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CNB200610103402XA priority Critical patent/CN100568879C/zh
Publication of CN1889576A publication Critical patent/CN1889576A/zh
Application granted granted Critical
Publication of CN100568879C publication Critical patent/CN100568879C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种安全策略设置方法,通过为每个安全元素建立一张安全策略表,并建立一张安全策略头表,通过确定安全等级和场景,定位到算法协议,将算法协议应用到安全服务中,完成安全策略设置。本发明将多种业务按照安全需求抽象为一个场景,将选择的安全等级和场景作为系统的输入,相关协议和算法的选择结果作为系统的输出。针对通信网络的整体安全架构,适用于多种算法和协议,具有良好的通用性。可以利用本发明,安全、高效的配置出实际的应用系统。

Description

一种安全策略设置方法
技术领域
本发明涉及移动通讯和信息安全领域,具体涉及一种安全策略设置方法。
背景技术
随着移动网络传输能力的增大,建立在多媒体传输基础上的业务日益多样化。不同的业务对于不同场合,不同用户有不同的安全需求,采用单一的安全机制无法适应多业务的需求。因此,从业务需求的角度上分析,需要从技术上提供机制,让具体的业务可以选择合适等级的安全保障。另一方面,移动网络中,移动安全策略对用户屏蔽了底层的技术细节和复杂的安全管理操作,使得用户可以享受简单易用的安全服务。通过移动安全策略控制服务器,运营商可以将安全通信作为一项业务向用户提供,从而开辟新的增值服务领域。用户为高等级的安全服务支付费用,对低等级的安全服务免费使用或支付少量费用。这样一来,运营商既能够将安全基础和设施的投资转化为盈利的业务,又满足了用户对安全的差异化需求。可定制、个性化的移动安全服务的出现,有利于安全通信的推广,也有可能因此催生出一个庞大的产业。
移动用户的日益普及,移动终端成为大众化的产品。然而大部分用户安全知识有限,也难以在移动终端对安全策略进行专业的配置。从这个意义上讲,需要根据不同信息的不同安全要求,实施简单,直观的安全级别选择机制。用户根据通信要求,灵活选择合适的安全级别进行通信。这就要求网络在技术上能够支持不同等级的安全服务。
在安全等级设置方面,以前的工作主要有:
专利WO03081932基于移动通信环境,提出了根据用户的地理位置选择安全等级的方法。以安全等级划分为高、低两级安全等级为例:
高安全等级安全保护程度较高,需要用户更经常地输入身份或安全数据。
低安全等级安全保护程度较低,用户只需偶尔输入身份或安全数据,或者无须输入任何认证信息。
专利US6363150提出了IP电话服务中在通话开始和通话中对安全等级控制的方法。呼叫方可以从多个安全等级中选择一种来确保通话的私密性,也可以在通话中根据实际情况改变当前通话的安全等级,计费系统会根据用户选择的安全等级进行相应的收费,费率随着安全等级的提升而增加。用户可以实时改变安全等级。当用户在通话中,可以输入适当的DTMF(Dual Tone Multi Frequency)序列,改变到所需要的安全等级,并相应的被计费。
专利EP1183818则提出了安全等级从高向低变化时需要提供相应的认证机制。系统使用状态指示器指明被执行的安全级别。安全级别能被升级以允许更高级的安全更容易的被执行。然而,为了从更高级的安全改变到更低级的安全,采用基于认证代码的认证方法来证实该改变的安全性。
上述专利只是从安全等级设置的某一方面提出相应的内容。如:基于地理位置、基于加密技术、基于安全等级的动态改变。然而,随着移动网络的发展,需要提出全面的安全等级设置方法。
发明内容
本发明解决的技术问题是提供了一种安全策略设置方法,实现了根据安全等级和使用场景确定安全算法协议;以及在静态和动态定制安全等级下的安全算法协议的确定。
实现本发明安全策略设置方法的方案是:
步骤一,每个安全元素建立一张安全策略表,该表的输入层包括:安全等级和场景,输出层为算法协议;并在所有安全元素的安全策略表之前,建立一张安全策略头表,该表的输入层包括:安全等级和场景,输出层为算法协议的入口;所述安全策略头表中的算法协议的入口提供到安全策略表中的算法协议表格元素的链接,通过被选定的安全等级和当前场景,唯一地输出到安全策略表中的表格的链接;
步骤二,确定安全等级和当前场景,并将其作为输入条件在安全策略头表中查询并得到算法协议的入口;
步骤三,根据算法协议的入口在各安全元素的安全策略表中找到需要的算法协议;
步骤四,将找到的算法协议应用到安全服务中,完成安全策略设置。
在静态安全等级的情况下,所述步骤二中的安全等级根据使用的业务类型所强制的安全等级来确定。
在动态安全等级的情况下,所述步骤二中的安全等级在用户进行通信前进行选择确定。
所述的场景是根据各业务的安全需求来确定的。
本发明根据用户使用移动网络的实际情况,提前将多种业务按照安全需求抽象为一个场景,将选择的安全等级和场景作为系统的输入,相关协议和算法的选择结果作为系统的输出。本发明针对通信网络的整体安全架构,适用于多种算法和协议,具有良好的通用性。可以利用本发明,安全、高效的配置出实际的应用系统。
附图说明
图1是本发明使用的安全策略表结构图;
图2是本发明使用的安全策略头表结构图;
图3是本发明收集算法协议过程示意图;
图4是本发明同一场景下安全等级变化时,收集算法协议示意图;
图5是本发明同一安全等级下场景变化时,收集算法协议示意图。
具体实施方式
本发明的安全策略的划分方法是由安全策略表完成的。ITU-T的X.805标准描述了八种可以对抗所有主要安全威胁的安全措施,称为安全元素。包括访问控制,验证,数据机密性,通信安全性,数据完整性,抗抵赖,可利用性,隐私性。根据安全元素的个数,对每个安全元素建立一张安全策略表。并在所有安全元素的安全策略表之前,建立一张安全策略头表。
本发明所述的安全策略头表和安全策略表由两层组成:(1)输入层,包括安全等级和场景。(2)输出层。安全策略头表的输出是算法协议的入口,安全策略表的输出为算法协议。两层元素之间的关系可以表示为:f(x,y)=z。其中,自变量x、y为安全等级和场景,因变量z为输出,函数f为x、y到z的映射关系。
本发明中的安全策略头表由以下几部分组成:(1)安全等级,作为安全策略表的一列(行)。(2)场景,定义了多种业务在安全方面的抽象,作为安全策略表的一行(列)。(3)入口,存储在安全策略表的相应的单元格中。提供收集安全算法协议的入口。它的输入是被选定的安全等级以及场景,输出是算法协议的入口。
安全策略头表的安全等级,定义了对于不同安全需求的保护程度。
安全策略头表的场景,是业务在安全方面的抽象,针对这些业务的安全服务具有相同的模式和特征。
安全策略头表的入口,提供到安全策略表中的算法协议表格元素的链接,存储于单元格中,通过被选定的安全等级和当前场景,将可以唯一地输出到安全策略表中的表格的链接。
本发明中所述的对应于每个安全元素的安全策略表由以下几部分组成:(1)安全等级,作为安全策略表的一列(行)。(2)场景,作为安全策略表的一行(列)。(3)算法协议,存储在安全策略表的相应的单元格中。
安全策略表的安全等级,定义了对于不同安全需求的保护程度。
安全策略表的场景,是业务在安全方面的抽象,针对这些业务的安全服务具有相同的模式和特征。
安全策略表的算法协议,是具体的算法协议,存储于单元格中,它直接决定了通信的安全性。通过被选定的安全等级以及当前场景,将可以唯一地输出通信中需要采用的安全算法协议。同时,单元格还提供对应于同一安全元素的下一个安全策略表的链接。
(1)本发明在具体通信环境下,选择算法协议的流程:
第一步:安全等级和当前场景被选定。
第二步:系统根据被选定的安全等级,在安全策略头表中选择安全等级对应的列(行)。
第三步:系统根据被选定的当前场景,在安全策略头表中选择当前场景对应的行(列)。
第四步:由行和列确定算法协议集的入口所在的单元格。
第五步:根据在安全策略头表中确定的入口所在单元格中的链接,在通信所需的第一个安全元素的安全策略表中,找到对应的单元格,收集单元格中的算法协议。
第六步:根据找到的安全策略表的单元格中的链接,在通信所需的下一个安全元素的安全策略表中,找到相同行列的单元格,收集单元格中的算法协议。
第七步:重复第六步,收集所有需要的算法协议。
第八步:应用算法协议到安全服务中。
本发明在静态安全等级的情况下收集安全算法协议的方法是:用户在通信前不用对安全等级进行选择,系统根据业务类型对应的当前场景以及此业务所强制的安全等级对安全元素表进行搜索,将匹配的算法协议下发到安全网元,安全网元应用算法协议到特定的安全服务中。
本发明在动态安全等级的情况下收集安全算法协议的方法是:用户在通信前选择一个安全等级进行服务,系统根据业务类型对应的当前场景以及此用户所选择的安全等级对安全元素表进行搜索,将匹配的算法协议下发到安全网元,安全网元应用算法协议到特定的安全服务中。
下面结合附图对技术方案的实施做进一步详细描述:
为每一个安全元素建立一张安全策略表,如图1所示。表格的一列是一个安全等级,表格的一行是一个场景。每个单元格(Grid)存放特定安全等级下,特定场景中的算法协议,此算法协议用于满足这种安全元素提供的安全服务。对每个安全元素建立一张安全策略表为管理提供了方便。更新或修改算法协议时,不用对所有安全元素的算法进行修改,只需要对涉及的安全元素的安全策略表进行修改。
安全策略表之外增加安全策略头表,如图2所示。安全策略头表为在系统搜索算法协议时提供一个统一的入口,它和安全策略表具有相同的行和列,任何场景下的所有安全等级所包含的算法协议都是从安全策略头表开始搜索。安全等级及场景决定了相应算法协议在安全策略头表中的入口位置,通信中需要的安全算法协议包含在以安全策略头表中的某一单元格为头结点的单链表中。
安全策略表中,不同的安全等级为用户提供不同程度的安全服务。根据安全程度的不同,管理员对安全等级可以有多种划分方式,如图3所示。一种划分方法将安全等级划分为:High、Medium、Low、Extending四个安全等级。其中,Extending层是由服务商根据当地通信环境自定义的。对应于High、Medium、Low安全等级从高到低定义,对于移动网中的所有用户都是相同的。此外,为了满足用户对安全等级更精确的控制,也可以对每个等级进行更细致的划分,如将High分为Very High和High两个子层或者更多的子层,然而,划分层次过细,将增加用户选择的复杂性。
当用户选择安全等级并进行通信时,系统根据输入的安全等级及业务对应的场景搜索相应的安全算法协议。步骤31显示用户选择了高安全等级服务。步骤32显示系统识别出业务类型属于场景1。系统根据这两个输入在安全策略头表中找到对应的入口位置,即Entrance 1.1。步骤33显示以Entrance 1.1为头结点的指针直接指向Grid i.1.1,即需要使用算法i.1.1和协议i.1.1。步骤34显示Grid i.1.1所包含的指针又直接指向Gridj.1.1,即需要使用算法j.1.1和协议j.1.1。Grid j.1.1中的算法协议为最后一个安全元素的算法协议,所以Girdj.1.1中的指针指向空。
当用户动态改变安全等级时,系统需要重新对算法协议进行收集,如图4所示。步骤41显示用户在通信前选择High安全等级进行服务。当用户在通信过程中根据安全需要将安全等级由High动态改变到Low时,系统重新对安全算法协议进行搜索。步骤42显示系统识别出业务属于场景1。步骤43显示在安全策略头表中的场景1从High改变到Low安全等级,根据安全算法协议的入口搜索Low安全等级下需要使用的算法协议。
当用户安全等级并不发生变化而场景发生变化时,系统需要重新对算法协议进行收集,如图5所示。步骤51显示用户在通信前选择了安全等级High为通信服务,并且用户使用的业务属于场景1。当用户的通信场景由场景1变化到场景n时,系统重新对安全算法协议进行搜索。步骤52显示在High安全等级下,从场景1改变到场景n,根据安全算法协议的入口搜索场景n下需要使用的算法和协议。

Claims (4)

1.一种安全策略设置方法,其特征在于,所述方法包括以下处理过程:
步骤一,每个安全元素建立一张安全策略表,该表的输入层包括:安全等级和场景,输出层为算法协议;并在所有安全元素的安全策略表之前,建立一张安全策略头表,该表的输入层包括:安全等级和场景,输出层为算法协议的入口;所述安全策略头表中的算法协议的入口提供到安全策略表中的算法协议表格元素的链接,通过被选定的安全等级和当前场景,唯一地输出到安全策略表中的表格的链接;
步骤二,确定安全等级和当前场景,并将其作为输入条件在安全策略头表中查询并得到算法协议的入口;
步骤三,根据算法协议的入口在各安全元素的安全策略表中找到需要的算法协议;
步骤四,将找到的算法协议应用到安全服务中,完成安全策略设置。
2.如权利要求1所述的方法,其特征在于,在静态安全等级的情况下,所述步骤二中的安全等级根据使用的业务类型所强制的安全等级来确定。
3.如权利要求1所述的方法,其特征在于,在动态安全等级的情况下,所述步骤二中的安全等级在用户进行通信前进行选择确定。
4.如权利要求1-3任一所述的方法,其特征在于,所述的场景是根据各业务的安全需求来确定的。
CNB200610103402XA 2006-07-18 2006-07-18 一种安全策略设置方法 Active CN100568879C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB200610103402XA CN100568879C (zh) 2006-07-18 2006-07-18 一种安全策略设置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB200610103402XA CN100568879C (zh) 2006-07-18 2006-07-18 一种安全策略设置方法

Publications (2)

Publication Number Publication Date
CN1889576A CN1889576A (zh) 2007-01-03
CN100568879C true CN100568879C (zh) 2009-12-09

Family

ID=37578833

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB200610103402XA Active CN100568879C (zh) 2006-07-18 2006-07-18 一种安全策略设置方法

Country Status (1)

Country Link
CN (1) CN100568879C (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105488417A (zh) * 2014-12-25 2016-04-13 哈尔滨安天科技股份有限公司 一种实现系统安全等级划分的方法及系统

Also Published As

Publication number Publication date
CN1889576A (zh) 2007-01-03

Similar Documents

Publication Publication Date Title
CN101146305B (zh) 安全策略的配置方法
CN100417168C (zh) 一种宽带公话系统及其实现方法
CN101018259B (zh) 电信综合信息系统及方法
CN107040914A (zh) 通过移动网络使用多个国际移动用户标识符来提供多个服务的系统
CN103366107A (zh) 一种保护应用程序访问权限的方法、装置及手机
CN101625649A (zh) 一种软件的加载方法及装置
CN109618392A (zh) 网络共享的方法、装置、设备及计算机可读存储介质
CN106231586A (zh) 一种多卡终端及其通信方法
CN106648384A (zh) 一种服务调用方法及装置
US20110268261A1 (en) Method of using prefix and suffix for identifying user of a calling terminal
CN109274838B (zh) 基于sim卡虚拟号码的生成和使用方法及保密通讯系统
CN101026650A (zh) 一种通信服务接入的系统及方法
CN100568879C (zh) 一种安全策略设置方法
CN101729929B (zh) 一种智能网业务库存取海量数据的系统、装置及方法
CN101790254B (zh) 支持集团通信的移动电话终端和系统以及方法
CN100502298C (zh) 一种在网络管理系统中实现管理授权的方法
CN109669785A (zh) 终端应用的页面分享方法、装置、服务器及存储介质
CN1750568B (zh) 数据业务控制系统及控制网络以及业务控制方法
CN100361447C (zh) 一种无线网络能力控制的集中管理系统和方法
CN1921656A (zh) 手机通用功能扩展器及其使用方法
CN103761323B (zh) 数据库权限控制方法和装置
CN106373016A (zh) 一种线上社交关系建立的方法及设备
CN109389274A (zh) 评分卡配置方法、装置、设备及可读存储介质
US20040162057A1 (en) Mobile telephone
CN113596812A (zh) 基于安卓平台的一种apn自动配置和切换方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant