CN101094225B - 一种差异化安全服务的网络、系统和方法 - Google Patents
一种差异化安全服务的网络、系统和方法 Download PDFInfo
- Publication number
- CN101094225B CN101094225B CN2006101440729A CN200610144072A CN101094225B CN 101094225 B CN101094225 B CN 101094225B CN 2006101440729 A CN2006101440729 A CN 2006101440729A CN 200610144072 A CN200610144072 A CN 200610144072A CN 101094225 B CN101094225 B CN 101094225B
- Authority
- CN
- China
- Prior art keywords
- security
- dss
- grader
- network
- differentiation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 54
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 claims abstract 51
- 230000004069 differentiation Effects 0.000 claims description 100
- 230000006854 communication Effects 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 20
- 230000011664 signaling Effects 0.000 claims description 20
- 238000011161 development Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 235000021472 generally recognized as safe Nutrition 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种差异化安全服务的网络、系统和方法。该差异化安全服务系统,包括至少一个DSS服务器,至少两个DSS分类器和至少两个安全网关。DSS服务器,用于存储差异化安全服务策略库,根据DSS分类器触发的安全策略,确定安全等级信息,管理和控制DSS分类器。DSS分类器,用于根据不同的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务。安全网关,用于接受DSS分类器的协商结果,并触发执行相应的安全服务。其具有多样化的特点和更好的服务安全质量,应用范围广泛。
Description
技术领域
本发明涉及通信网络安全领域,特别是涉及一种差异化安全服务的网络、系统和方法。
背景技术
从信息资产在网络传输和存储过程来看。对于不同的信息资产,对网络安全的需求往往变化很大,比如电子商务往往需要比较高的安全要求,而普通的互联网网页浏览,则只需要比较低的安全要求。
从信息的传输量来看,随着网络的发展,网络上传递的数据量越来越大,而对于多媒体系统,还要数据能够实时地传输。这种趋势令网络对数据的安全保护提出了更高的要求。例如在全球移动通信系统(Global System Mobile,GSM)中,由于传递的数据主要是语音信息,数据量小,我们可以对所有数据进行一致的保护,如在空中接口统一进行链路层加密。然而当移动网络进入全IP(Internet Protocol)化的第三代移动通信(3rd Generation,3G)网络后,所传输的多媒体信息具有大数据量,实时性强的传输特点。网络需要投入很多的资源才能对所有数据进行一致性、高安全的保护。随着应用的不断增多,这种投入会急剧增长,显然不符合成本效益。
同时,随着网络安全机制日益多样化发展。网络安全协议和算法日益丰富,如何根据应用的不同特点,选择合适的安全协议和算法,以及如何促进网络安全协议和算法之间的互通是网络安全解决方案面临的一个问题。
而且,另一方面,随着人们对网络服务质量(Quality ofService,QoS)问题的研究,逐步发现网络应用不但需要完善的网络服务质量(QoS),而且需要完善的服务安全质量(Quality ofSecurity Service,QoSS)。只有两者都满足,网络应用才能更大的发展空间。
总而言之,随着通信网络的发展,现有的通讯网络安全技术不能提供多样化的,具有区别和更好的服务安全质量(QoSS)的网络安全保护方法,不能适应通信网络发展的要求。
发明内容
本发明所要解决的问题是提供一种差异化安全服务的网络、系统和方法,其具有多样化的特点和更好的服务安全质量,应用范围广泛。
为实现本发明目的而提供的一种差异化安全服务网络,包括划分单元,根据网络的不同区域经常遭受不同的安全威胁,将网络划分成至少两个安全域;
还包括差异化安全服务系统,与安全域相对应,用于根据不同安全域的安全要求,触发不同的安全策略,然后根据不同的安全策略,确定安全等级信息,再根据所获得的安全等级信息,进行安全服务协商,并在协商过程成功后,触发执行相应的安全服务。
所述差异化安全服务系统,包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,其中:
所述DSS服务器,用于存储差异化安全服务策略库,根据DSS分类器触发的安全策略,确定安全等级信息,管理和控制DSS分类器;
所述DSS分类器,用于根据不同的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务;
所述安全网关,用于接收DSS分类器的协商结果,并触发执行相应的安全服务。
所述DSS服务器包括安全策略库子单元,管理子单元,接入点子单元,其中:
所述安全策略库子单元,用于存储差异化安全服务所需要的不同安全策略;
管理子单元,用于根据不同的安全策略,确定安全等级信息,并对安全网关进行管理和控制;
接入点子单元,用于DSS服务器和DSS分类器进行连接通信。
所述网络为3G网络,或者WiMAX网络,或者企业网。
所述差异化安全服务系统中的DSS分类器和安全网关属于安全域的边缘设备。
为实现本发明目的还提供一种差异化安全服务系统,包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,其中:
所述DSS服务器,用于存储差异化安全服务策略库,根据DSS分类器触发的安全策略,确定安全等级信息,管理和控制DSS分类器;
所述DSS分类器,用于根据不同的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务;
所述安全网关,用于接收DSS分类器的协商结果,并触发执行相应的安全服务。
所述DSS服务器包括安全策略库子单元,管理子单元,接入点子单元,其中:
所述安全策略库子单元,用于存储差异化安全服务所需要的不同安全策略;
管理子单元,用于根据不同的安全策略,确定安全等级信息,并对安全网关进行管理和控制;
接入点子单元,用于DSS服务器和DSS分类器进行连接通信。
所述DSS服务器还包括计费子单元,用于收集差异化安全服务被具体使用的信息,进行统计和计费。
所述不同的安全策略包含不同的安全等级信息。
所述安全等级信息,包含安全算法和安全协议信息。
所述DSS分类器是安全网关内部的一个功能单元,或者是独立于安全网关的一个网络实体设备。
所述DSS分类器由DSS服务器控制,并以软件的形式安装在安全网关中,或者通过硬件实现。
所述安全网关,属于安全域边缘安全设备,既包括网络中安全网关设备,也包括含有安全服务功能的终端设备。
为实现本发明目的还进一步提供一种差异化网络安全服务方法,应用于差异化安全服务系统中,所述差异化安全服务系统包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,包括下列步骤:
步骤A,根据网络的不同区域经常遭受不同的安全威胁,将网络划分成至少两个安全域,同一个安全域对应相同的安全要求;
步骤B,根据不同安全域的安全要求,触发不同的安全策略;
步骤C,DSS服务器根据不同的安全策略,确定安全等级信息,所述DSS服务器存储差异安全服务策略库,管理和控制DSS分类器;
步骤D,DSS服务器根据所获得的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务,所述安全网关在协商过程成功后,触发执行相应的安全服务。
所述步骤D中进行安全服务协商,具体包括下列步骤:
步骤D1,发送方DSS分类器发送请求信令给接收方DSS分类器,该请求信令附有安全等级信息;
步骤D2,接收方DSS分类器在收到该请求信令后,根据差异化安全服务信息做出判断,并根据判断结果向发送方DSS分类器响应安全服务信息。
所述步骤D2中根据判断结果向发送方DSS分类器响应安全服务信息,具体包括下列步骤:
步骤D21,当接收方DSS分类器不支持该安全等级信息时,则进入步骤D22;否则跳转到步骤D23;
步骤D22,接收方DSS分类器返回拒绝信令,并回送拒绝参数信息;
步骤D23,接收方DSS分类器返回协商成功的信令,并回送成功参数信息。
所述步骤D22之后还包括下列步骤:
当DSS分类器收到拒绝信息时,或者可以结束协商;或者可以返回并重新确定安全等级信息,然后再次协商,直至协商成功;或者判断重复协商次数是否达到预先设定的协商次数,如果是则结束协商;否则返回并重新确定安全等级信息,然后再次协商。
所述安全等级信息至少包含有安全等级标志、发送方DSS分类器所属安全网关支持该安全等级标志的安全算法和安全协议。
所述拒绝参数信息包括回送发送方DSS分类器发来的安全等级标志,以及发送方DSS分类器所属安全网关支持该安全等级标志的安全算法和安全协议。
所述拒绝参数信息还包括回送接收方DSS分类器所属安全网关所能支持的,与发送方安全等级标志最接近的接收方安全等级标志,并附带接收方DSS分类其所属安全网关在接收方安全等级标志下所支持的安全算法和协议。
所述的成功参数信息包括回送满足发送方要求的安全等级标志,以及附带该等级标志下双方共同支持安全算法和安全协议。
本发明的有益效果是:本发明的差异化安全服务的网络、系统和方法,其克服了现有通讯网络安全技术中的缺陷,提供了一种多样化的,具有区别的,具有更好的服务安全质量的网络安全保护网络、系统和方法,适应通信网络发展的要求,满足不同通信网络业务的安全需求。其可以和当前的网络安全解决方法紧密结合,可实现性强,对网络现有安全解决方法有良好的继承性。同时,可以通过对网络设备进行升级和增加差异化安全服务器来实现,部署成本低,符合成本效益要求。更可以建立在面向下一代网络架构基础上,不针对特定网络,应用范围广泛。
附图说明
图1是本发明一实施例的差异化安全服务(DSS)网络结构示意图;
图2是本发明另一实施例的差异化安全服务(DSS)网络结构示意图;
图3是本发明一实施例差异化安全服务系统结构示意图;
图4是本发明差异化网络安全服务方法流程图;
图5是本发明差异化安全服务的协商方法流程图;
图6是本发明图3实施例的差异化安全服务的协商过程流程图;
图7是本发明图1中的移动通信网络中的多个安全域之间差异化安全服务的协商过程流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种差异化安全服务的网络、系统和协商方法进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明是在网络安全域基础上提供一个差异化安全服务(DifferentiatedSecurity Service,DSS)的网络、系统和协商方法。
安全服务是指网络通过一系列安全保护方法,对网络应用进行安全保护的过程。而差异化安全服务(Differentiated Security Service,DSS)可以通过对安全进行分级来实现,对高安全要求的应用实施高安全等级,对低安全要求的应用使用低安全等级。
本发明的差异化安全服务网络,包括划分单元,用于根据网络的不同区域经常遭受不同的安全威胁,为了实现网络通信的安全性,首先将网络划分成若干个安全域,同一个安全域对应相同的安全要求。
本发明的差异化安全服务网络,还包括差异化安全服务系统,用于根据不同安全域的安全要求,触发不同的安全策略,然后根据不同的安全策略,确定安全等级信息,再根据所获得的安全等级信息,进行安全服务协商,并在协商过程成功后,触发执行相应的安全服务。该系统与安全域相对应,是建立在现有网络安全解决方法基础上,它是以安全域的划分为基础的。现有的安全解决方案一般首先对网络不同区域所遭受的安全威胁进行评估,确定网络所需要的安全要求,进而根据安全要求对网络划分安全域。将相同安全要求的网络区域归属于同一个安全域。
本领域的技术人员可以理解,作为一种可实施的方式,本发明的差异化安全服务网络中,每个安全域可以由一个或者多个差异化安全服务(DSS)系统来控制和管理;也可以是一个差异化安全服务系统控制和管理一个或者多个安全域。
本发明实施例所述的差异化服务的系统包括至少一个DSS服务器11,至少两个DSS分类器30和至少一个和至少两个安全网关13。本实施例将DSS分类器30作为一个模块包含在安全网关设备13中。其中:
DSS分类器30(classifier),用于根据不同安全域的安全要求,在差异化安全服务系统中触发存储在DSS服务器11中的不同的安全策略。
所述DSS分类器30和三个实体设备建立通信关系:(1)DSS服务器11;(2)安全网关13;(3)其它DSS分类器30。
DSS服务器11,用于存储差异化安全服务策略库,根据DSS分类器30触发的安全策略,确定安全等级信息,管理和控制DSS分类器30。
该DSS服务器11可以在网络安全域边缘,与安全网关互联。
DSS服务器11包括安全策略库子单元34,管理子单元33,接入点子单元33等3个子单元,其中:
安全策略库子单元34,用于存储差异化安全服务所需要的不同安全策略
管理子单元33,用于根据不同的安全策略,确定安全等级信息,并对DSS分类器30进行管理和控制;
接入点子单元32,用于DSS服务器11和DSS分类器30进行连接通信。
作为一种可实施的方式,DSS服务器11可以包括全部或者部分以上子单元。
作为另一种可实施的方式,本发明实施例的DSS服务器11还包括计费子单元31,用于收集差异化安全服务被具体使用的信息,进行统计和计费。
安全网关13中的DSS分类器,用于接受DSS服务器11的管理和控制,根据DSS服务器11所获得的安全等级信息,DSS分类器30进行安全服务协商,根据协商结果,由DSS分类器30触发安全网关13执行相应的安全服务。
所述的安全服务协商包括安全等级和相应安全协议、安全算法的协商;所述的相应的安全服务为相应的安全协议和算法的运行
本领域的技术人员可以理解,作为一种可实施的方式,在本发明实施例中,所述DSS分类器30也可以是安全网关13内部的一个功能单元,或者是独立的一个网络实体设备。
本领域的技术人员也可以理解,作为另一种可实施的方式,在本发明实施例中,DSS服务器11可以是安全网关13内部的一个功能单元,也可以是独立于安全网关13的一个网络实体设备。
本领域的技术人员更可以理解,作为另一种可实施的方式,在本发明实施例中的差异化安全服务的系统中,DSS分类器30也可以由DSS服务器11控制,并以软件的形式安装在安全网关中,或者通过硬件实现。
这些差异化安全服务系统中的DSS分类器和安全网关可以属于网络安全域的边缘设备,运行和实现该安全域所需要的安全解决方法。
本发明的差异化安全服务的系统可以应用于以IP传输为基础的各种网络,如移动网络,例如全IP的3G网络或者WiMax(Worldwide Interoperabilityfor Microwave Access,微波接入全球互操作)网络。如图1所示,作为本发明的一个实施例,为一种差异化安全服务网络,在该差异化安全服务网络中,移动网络至少被分成两大块安全域,即接入网络安全域和核心网络安全域。
接入网络安全域指移动终端和安全网关之间的网络范围,主要指无线空中接口部分。
核心网络安全域通常指除了接入网安全域之外的部分。
尽管如此,依照具体的网络环境,也可能将网络划分成更多的安全域。
差异化安全服务系统位于安全域的边缘,并为安全域执行必要的安全保护。
对于3G网络,差异化安全服务系统包括在SGSN(Serving GPRS SupportNode,GPRS服务支持节点)或者在W-CDMA网络中的GGSN(GatewayGPRS Support Node,网关GPRS支持节点)中。其中,GPRS是指General PackageRadio Service,即通用分组无线业务的缩写。
如图1所示,该差异化安全服务网络包括三个网络安全域,一个位于中间的核心网安全域,连接两个接入网安全域。
在本实施例的差异化安全服务系统中,为了描述DSS服务器11和安全网关13之间的接口,描述了由两个DSS服务器11,两个安全网关13组成的差异化安全服务系统。这里,终端设备12是安全域边缘的一种网络设备,并具有安全保护功能,因此是一种安全网关13。DSS分类器是安全网关的一个内部功能模块。
接口IA负责DSS服务器11与安全网关13之间的通信。接口IB用于DSS服务器11之间的通信。IC是安全网关之间协商安全等级的接口。
差异化安全服务的网络也可以是企业网,如图2所示,该差异化安全服务的企业网络中有两种类型的安全域。一类是企业内部网安全域,标记为SD1和SD3。另一类是公共网安全域,标记为SD2。两类安全域在企业网的不同区域中表现为三个相互连接的安全域,分别是SD1、SD2和SD3。其中SD1是企业分支机构的内部网,SD3是企业总部的内部网。差异化安全服务的系统分布在安全域的边缘,其中安全网关13是终端PCs12,也可以是安全网关13,DSS服务器11和这些安全域边缘设备相连。
SD1、SD2和SD3所需要的安全等级分别是qa、qb和qc。由于SD1和SD3是企业内部网,所受到的安全威胁比较小,需要的安全等级往往比较低,而SD2是企业外部网,受到比较大的安全威胁,需要的安全等级往往比较高。也就是qb>qa and qc。在大多数情况下,qa=qc,因为它们都是同一个公司的内部网。
当员工在公司外旅行时,可以从宾馆连接到企业内部网,如连接到总部。在这种情况下,通信会穿过两个安全域,即SD2和SD3。
如图3所示,作为本发明一个实施例,是一个差异化安全服务系统,其包括一个DSS服务器11,两个安全网关13,以及包括在两个安全网关中的DSS分类器30。
其中安全网关13位于安全域的边缘处,该安全网关13可以是一个网络实体设备或网络实体设备中的一个功能单元,例如,当终端设备12是具有安全网关13功能的安全域边缘实体设备时,该终端设备12被看成是安全网关13。
图3所示的差异化安全服务系统包括三个实体设备:DSS服务器11,两个安全网关13,以及两个包括在安全网关13中的DSS分类器30。
所述的DSS分类器30根据不同安全域的安全要求,在差异化安全服务系统中触发存储在DSS服务器11中的不同的安全策略。
一般而言,网络可分为四层,分别为应用层[Application Layer],传输层[Transport Layer],网络层[Internet Layer]和链路层[Link Layer]。在本发明实施例的安全网关13中,不同层可能配置不同的安全保护方法,使用不同的安全算法和协议{P,A},即安全的协议(Protocol)和安全的算法(Algorithms)。同一个安全等级,也可以分别采用不同的安全保护方法来实现。也就是说,实现相同安全等级保护的方式可以有多种途径。例如数据流可在网络层中由IP安全协议(IP security protocol,IPSec)或者在传输层中由传输层安全(TransportLayer Security,TLS)协议加密。这两个途径都可以达到相同的安全等级保护。因此在差异化安全服务系统中增加DSS分类器30来控制和触发不同层中的安全机制{P,A}是很必要的。
DSS服务器11包括四个功能单元:安全策略库子单元34,管理子单元33,接入点子单元32和计费子单元31。其中:
安全策略库子单元34存储差异化安全服务所需要的不同的安全策略。
管理子单元33根据不同的安全策略,确定安全等级信息,并对DSS分类器进行管理和控制。
接入点子单元32用于DSS服务器11和DSS分类器30之间的通信。如接入点子单元通过IA接口和两个DSS分类器30通信。接入点子单元32也用于DSS服务器11内部不同功能单元之间的通信。
计费子单元31收集差异化安全服务被具体使用的信息,进行统计和计费。根据具体使用的信息,这些信息依据安全网关所使用的安全算法和安全协议的情况而获得,产生计费信息,计费信息可包括时间,次数,流程等。如果运营商想要将差异化安全服务作为增值服务,计费信息将被传送到验证、授权、计费(Authentication Authorization Accounting,AAA)服务器或者计费中心进行后续的处理,这是本领域的现有技术,因而不再一一详细描述。
安全网关13中的DSS分类器模块30负责安全等级和相应的{P,A}的协商,并根据协商结果触发相应的安全协议和算法的运行。
多个安全网关13中的DSS分类器模块30之间由接口IC进行通信协商。
安全网关13依照协商结果触发安全网关13中相应的{P,A}运行,从而实现通信过程差异化的安全保护。
如图4所示,本发明提供了一种差异化网络安全服务方法:
步骤S100,根据网络的不同区域经常遭受不同的安全威胁,将网络划分成若干个安全域,同一个安全域对应相同的安全要求;
根据网络的不同区域经常遭受不同的安全威胁,将网络划分成若干个安全域,同一个安全域对应相同的安全要求,实现了网络通信的差异化的安全性保护。
步骤S200,根据不同安全域的安全要求,触发不同的安全策略;
不同的安全策略,是预先设置并存储的,可以根据不同的安全域的安全要求而触发。
安全策略的表示方式可以有不同形式,因此,在本发明实施例中,对安全策略的具体格式和内容,不做规定,只说明它是控制和管理DSS分类器30的依据。其中,安全协议和算法信息可以是一个安全策略所附带的部分参数信息。
步骤S300,根据不同的安全策略,确定安全等级信息;
该安全等级信息至少包含有安全等级标志、发送方安全网关支持该安全等级标志的安全算法和安全协议等。
步骤S400,根据所获得的安全等级信息,进行安全服务协商,并在协商过程成功后,触发执行相应的安全服务。
在协商过程成功后,安全网关触发安全网关相应的安全协议和算法的运行,从而使通信过程得到安全保护。
相应的安全协议和算法的运行是现有技术,不是本发明所要保护的范围,因此,在本发明实施例中不再详细描述。
进一步地,为在本发明的差异化安全服务的网络中实现本发明的差异化安全服务,如图5所示,本发明还提供了一种差异化安全服务的协商方法。
本发明所述的一种差异化安全服务协商方法,是在两个安全网关13所属的DSS分类器30之间进行安全等级协商运行过程。具体步骤如下:
步骤S410,发送方分类器发送请求信令给接收方分类器,该请求信令附有安全等级信息;
该安全等级信息至少包含有安全等级标志、发送方安全网关支持该安全等级标志的安全算法和安全协议等。
步骤S420,接收方分类器在收到该请求信令后,根据差异化安全服务信息做出判断,并根据判断结果向发送方分类器响应安全服务信息,即当接收方分类器不支持该安全等级信息时,则进入步骤S430;否则跳转到步骤S450。
步骤S430,接收方分类器返回拒绝信令,并回送拒绝参数信息。
拒绝参数信息可以包括下列两者或者其中一个:
(1)回送发送方分类器发来的安全等级信息,如安全等级标志,以及发送方网关支持该安全等级标志的安全算法和安全协议。
(2)回送接收方分类器所能支持的,与发送方安全等级标志最接近的安全等级信息,如接收方安全等级标志,并附带接收方安全网关在接收方安全等级标志下所支持的安全算法和协议。
步骤S440,当分类器收到拒绝信息时,或者可以结束协商;或者可以返回并重新确定安全等级信息,然后再次协商,直至协商成功;或者判断重复协商次数是否达到预先设定的协商次数,如果是则结束协商;否则返回并重新确定安全等级信息,然后再次协商。这些取决于差异化安全服务系统所设定的协商方法。
步骤S450,接收方分类器返回协商成功的信令,并回送成功参数信息。
成功参数信息包括:回送满足发送方要求的安全等级信息,包括安全等级标志,以及附带该等级标志下双方共同支持安全算法和安全协议。
如图6所示描述了图3中分类器之间接口IC的差异化安全服务的协商过程,该协商过程使用挑战-应答(Challenge/Response)的的协商认证方法。参数q是具体的安全等级。{P,A}i是分类器(i)所属安全网关SEG中与安全等级q相同或者更高的协议和算法,其它比q低的{P,A}则被忽略。{P,A}j是分类器(j)所属安全网关中与安全等级q相同或者更高的协议和算法,其它比q低的{P,A}j则被忽略。{P,A}i-j是{P,A}i和{P,A}j的交集,即两个安全网关共同支持的,与q相同或者更高的协议和算法。
协商的具体步骤为:
步骤N1,发送请求信令Request(q,{P,A}i,...)。分类器(i)向分类器(j)发送请求信令,携带安全等级q,以及安全协议和算法{P,A}i。分类器(j)进行判断,若没有共同支持的安全协议和算法,就回送拒绝信令,进入协商的步骤N2;否则,进入协商步骤N3;
步骤N2,发送拒绝信令Reject(q,{P,A}j,...)。分类器(j)将所能支持的{P,A}j,连同安全等级参数q回送给分类器(i);
步骤N3,发送成功信令Success(q,{P,A}i-j,...)。分类器(j)将{P,A}j,连同安全等级参数q回送给分类器(i)。
如图7所示,作为另一个实施例,下面详细描述图1的移动通信网络中多个安全域之间接口IC的差异化安全服务的协商过程。
IC接口在移动通信网络中的协商过程如图7所示。在实施例中,差异化安全服务网络由三个安全域彼此相连组成,因此我们可以用图7所示的IC接口的协商过程相互串接组成,得到三个安全域之间的协商过程。本实施例中,分类器作为一个模块,包括在安全网关中。因此协商过程的描述体现在两个安全网关间。
如图7所示,协商过程每一步骤的详细描述如下:
步骤M1,在通信开始时,第一终端71向第一安全网关72发送带有参数qa的询问信号,{Pa,Aa}1和其他必要的参数标记为……。
这里,qa是来自第一终端71的具体的安全等级设置。{Pa,Aa}1是终端设备中属于或高于安全等级qa所对应的协议和算法集合。低于qa的其它{P,A}被忽略。
第一安全网关72在接收到来自第一终端71设备的询问信号后,进行判断。判断结果有步骤M2或者步骤M3两种可能:
步骤M2,如果第一安全网关72无法满足来自第一终端71的请求,即{Pa,Aa}1-2=Φ(空集)。意思是第一安全网关72和第一终端71没有满足qa的共同协议和算法。因此第一安全网关72返回拒绝消息,消息包括qa和第一安全网关72中属于或高于安全等级qa所对应的安全协议和算法{Pa,Aa}2。
步骤M3,如果第一安全网关72和第二安全网关73有共同支持qa的协议和算法,即{Pa,Aa}1-2≠Φ。在这种情况下,第一安全网关72向第二安全网关73发送请求信息。
第二安全网关73在接收到来自第一安全网关72的询问信号后,进行判断。判断结果有步骤M4或者步骤M5两种可能:
步骤M4,如果第二安全网关73无法满足来自第一安全网关72的请求,即{Pb,Ab}2-3=Φ,因此第二安全网关73返回拒绝消息,消息包括qb和第二安全网关73中属于或高于安全等级qb所对应的安全协议和算法{Pb,Ab}3。
步骤M5,如果第二安全网关73和第一安全网关72有共同支持qb的协议和算法,即{Pb,Ab}2-3≠Φ。在这种情况下,第二安全网关73向第二终端74发送请求信息。
终端12在接收到来自第二安全网关73的询问信号后,进行判断。判断结果有步骤M6或者步骤M7两种可能:
步骤M6,如果第二终端74无法满足来自第二安全网关73的请求,即{Pc,Ac}3-4=Φ,因此第二终端74返回拒绝消息,消息包括qc和第二终端74中属于或高于安全等级qc所对应的安全协议和算法{Pc,Ac}4。
步骤M7,如果第二终端74和第二安全网关73有共同支持qc的协议和算法,即{pc,Ac}3-4≠Φ。在这种情况下,第二终端74向第二安全网关73返回成功消息,消息包含qc和{Pc,Ac}3-4。
步骤M8,第二安全网关73向第一安全网关72返回成功消息,消息包含有qb和{Pb,Ab}2-3。
步骤M9,第一安全网关72向第一终端71返回成功消息,消息包含有qa和{Pa,Aa}1-2。
与图1相似,图2在不同情况下的协商过程可以由图7所示的协商过程获得。在本发明实施例中不再详细一一描述。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
本发明的差异化安全服务的网络、系统和方法,其克服了现有通讯网络安全技术中的缺陷,提供了一种多样化的,具有区别的,具有更好的服务安全质量的网络安全保护的网络、系统和方法,适应通信网络发展的要求,满足不同通信网络业务的安全需求。
本发明提出差异化安全服务网络、系统和方法,该网络、系统和方法建立在网络安全域(Security Domain)划分的基础上,可以实现更好的服务安全质量(QoSS)。
本发明差异化安全服务的网络、系统和方法和网络安全域紧密结合,可以和当前的网络安全解决方案紧密结合,可实现性强,对网络现有安全解决方案有良好的继承性。同时,本发明是在现有网络安全机制基础上叠加差异化安全服务系统,可以通过对网络设备软件升级或者增加硬件设备,部署成本低。更进一步地,本发明建立在面向下一代网络架构基础上,不针对特定网络,因此应用范围广泛。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (19)
1.一种差异化安全服务网络,包括划分单元,根据网络的不同区域经常遭受不同的安全威胁,将网络划分成至少两个安全域;
其特征在于,还包括差异化安全服务系统,与安全域相对应,用于根据不同安全域的安全要求,触发不同的安全策略,然后根据不同的安全策略,确定安全等级信息,再根据所获得的安全等级信息,进行安全服务协商,并在协商过程成功后,触发执行相应的安全服务,所述差异化安全服务系统,包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,其中:
所述DSS分类器,用于根据不同的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务;
所述DSS服务器,用于存储差异化安全服务策略库,根据DSS分类器触发的安全策略,确定安全等级信息,管理和控制DSS分类器;
所述安全网关,用于接收DSS分类器的协商结果,并触发执行相应的安全服务。
2.根据权利要求1所述的差异化安全服务网络,其特征在于,所述DSS服务器包括安全策略库子单元,管理子单元,接入点子单元,其中:
所述安全策略库子单元,用于存储差异化安全服务所需要的不同安全策略;
管理子单元,用于根据不同的安全策略,确定安全等级信息,并对安全网关进行管理和控制;
接入点子单元,用于DSS服务器和DSS分类器进行连接通信。
3.根据权利要求1至2任一项所述的差异化安全服务网络,其特征在于,所述网络为3G网络,或者WiMAX网络,或者企业网。
4.根据权利要求3所述的差异化安全服务网络,其特征在于,所述差异化安全服务系统中DSS分类器和安全网关属于安全域的边缘设备。
5.一种差异化安全服务系统,其特征在于,包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,其中:
所述DSS分类器,用于根据不同的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务;
所述DSS服务器,用于存储差异化安全服务策略库,根据DSS分类器触发的安全策略,确定安全等级信息,管理和控制DSS分类器;
所述安全网关,用于接收DSS分类器的协商结果,并触发执行相应的安全服务。
6.根据权利要求5所述的差异化安全服务系统,其特征在于,所述DSS服务器包括安全策略库子单元,管理子单元,接入点子单元,其中:
所述安全策略库子单元,用于存储差异化安全服务所需要的不同安全策略;
管理子单元,用于根据不同的安全策略,确定安全等级信息,并对安全网关进行管理和控制;
接入点子单元,用于DSS服务器和DSS分类器进行连接通信。
7.根据权利要求6所述的差异化安全服务系统,其特征在于,所述DSS服务器还包括计费子单元,用于收集差异化安全服务被具体使用的信息,进行统计和计费。
8.根据权利要求5至7任一项所述的差异化安全服务系统,其特征在于,所述不同的安全策略为不同的安全算法和安全协议。
9.根据权利要求8所述的差异化安全服务系统,其特征在于,所述DSS分类器是安全网关的一部分,或者是单独的一个网络设备。
10.根据权利要求8所述的差异化安全服务系统,其特征在于,所述DSS分类器由DSS服务器控制,并以软件的形式安装在安全网关中,或者通过硬件实现。
11.一种差异化网络安全服务方法,应用于差异化安全服务系统中,所述差异化安全服务系统包括至少一个差异化安全DSS服务器,至少两个DSS分类器和至少两个安全网关,其特征在于,包括下列步骤:
步骤A,根据网络的不同区域经常遭受不同的安全威胁,将网络划分成至少两个安全域,同一个安全域对应相同的安全要求;
步骤B,根据不同安全域的安全要求,触发不同的安全策略;
步骤C,DSS服务器根据不同的安全策略,确定安全等级信息,所述DSS服务器存储差异安全服务策略库,管理和控制DSS分类器;
步骤D,DSS分类器根据所获得的安全等级信息,进行安全服务协商,并根据协商结果,触发安全网关中相应的安全服务,所述安全网关在协商过程成功后,触发执行相应的安全服务。
12.根据权利要求11所述的差异化网络安全服务方法,其特征在于,所述步骤D中进行安全服务协商,具体包括下列步骤:
步骤D1,发送方DSS分类器发送请求信令给接收方DSS分类器,该请求信令附有安全等级信息;
步骤D2,接收方DSS分类器在收到该请求信令后,根据差异化安全服务信息做出判断,并根据判断结果向发送方DSS分类器响应安全服务信息。
13.根据权利要求12所述的差异化网络安全服务方法,其特征在于,所述步骤D2中根据判断结果向发送方DSS分类器响应安全服务信息,具体包括下列步骤:
步骤D21,当接收方DSS分类器不支持该安全等级信息时,则进入步骤D22;否则跳转到步骤D23;
步骤D22,接收方DSS分类器返回拒绝信令,并回送拒绝参数信息;
步骤D23,接收方DSS分类器返回协商成功的信令,并回送成功参数信息。
14.根据权利要求13所述的差异化网络安全服务方法,其特征在于,所述步骤D22之后还包括下列步骤:
当DSS分类器收到拒绝信息时,或者可以结束协商;或者可以返回并重新确定安全等级信息,然后再次协商,直至协商成功;或者判断重复协商次数是否达到预先设定的协商次数,如果是则结束协商;否则返回并重新确定安全等级信息,然后再次协商。
15.根据权利要求11至14任一项所述的差异化网络安全服务方法,其特征在于,所述安全等级信息至少包含有安全等级标志、发送方DSS分类器所属安全网关支持该安全等级标志的安全算法和安全协议。
16.根据权利要求13至14任一项所述的差异化网络安全服务方法,其特征在于,所述拒绝参数信息包括回送发送方DSS分类器所属安全网关发来的安全等级标志,以及发送方网关支持该安全等级标志的安全算法和安全协议。
17.根据权利要求13至14任一项所述的差异化网络安全服务方法,其特征在于,所述拒绝参数信息包括回送接收方DSS分类器所属安全网关所能支持的,与发送方安全等级标志最接近的接收方安全等级标志,并附带接收方安全网关在接收方安全等级标志下所支持的安全算法和协议。
18.根据权利要求16所述的差异化网络安全服务方法,其特征在于,所述拒绝参数信息还包括回送接收方DSS分类器所属安全网关所能支持的,与发送方安全等级标志最接近的接收方安全等级标志,并附带接收方安全网关在接收方安全等级标志下所支持的安全算法和协议。
19.根据权利要求13至14任一项所述的差异化网络安全服务方法,其特征在于,所述的成功参数信息包括回送满足发送方要求的安全等级标志,以及附带该等级标志下双方共同支持安全算法和安全协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101440729A CN101094225B (zh) | 2006-11-24 | 2006-11-24 | 一种差异化安全服务的网络、系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101440729A CN101094225B (zh) | 2006-11-24 | 2006-11-24 | 一种差异化安全服务的网络、系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101094225A CN101094225A (zh) | 2007-12-26 |
CN101094225B true CN101094225B (zh) | 2011-05-11 |
Family
ID=38992252
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101440729A Expired - Fee Related CN101094225B (zh) | 2006-11-24 | 2006-11-24 | 一种差异化安全服务的网络、系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101094225B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
US9106561B2 (en) | 2012-12-06 | 2015-08-11 | A10 Networks, Inc. | Configuration of a virtual service network |
US9154584B1 (en) | 2012-07-05 | 2015-10-06 | A10 Networks, Inc. | Allocating buffer for TCP proxy session based on dynamic network conditions |
US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
US9219751B1 (en) | 2006-10-17 | 2015-12-22 | A10 Networks, Inc. | System and method to apply forwarding policy to an application session |
US9253152B1 (en) | 2006-10-17 | 2016-02-02 | A10 Networks, Inc. | Applying a packet routing policy to an application session |
US9270774B2 (en) | 2011-10-24 | 2016-02-23 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7675854B2 (en) | 2006-02-21 | 2010-03-09 | A10 Networks, Inc. | System and method for an adaptive TCP SYN cookie with time validation |
US7716378B2 (en) | 2006-10-17 | 2010-05-11 | A10 Networks, Inc. | System and method to associate a private user identity with a public user identity |
US20100205099A1 (en) * | 2008-12-16 | 2010-08-12 | Kalle Ahmavaara | System and methods to facilitate connections to access networks |
US9197706B2 (en) | 2008-12-16 | 2015-11-24 | Qualcomm Incorporated | Apparatus and method for bundling application services with inbuilt connectivity management |
CN101854581B (zh) * | 2009-03-31 | 2013-10-02 | 联想(北京)有限公司 | 基于位置信息设置移动终端安全级别的方法及移动终端 |
US9960967B2 (en) | 2009-10-21 | 2018-05-01 | A10 Networks, Inc. | Determining an application delivery server based on geo-location information |
CN101783795B (zh) * | 2009-12-25 | 2013-02-13 | 天柏宽带网络技术(北京)有限公司 | 一种安全等级认证的方法和系统 |
CN102457560B (zh) * | 2010-10-29 | 2016-03-30 | 中兴通讯股份有限公司 | 一种云计算的安全管理方法和系统 |
CN102025725B (zh) * | 2010-11-22 | 2016-12-07 | 北京百卓网络技术有限公司 | 电信业务环境安全系统及其实现方法 |
US9609052B2 (en) | 2010-12-02 | 2017-03-28 | A10 Networks, Inc. | Distributing application traffic to servers based on dynamic service response time |
US9288230B2 (en) | 2010-12-20 | 2016-03-15 | Qualcomm Incorporated | Methods and apparatus for providing or receiving data connectivity |
US10044582B2 (en) | 2012-01-28 | 2018-08-07 | A10 Networks, Inc. | Generating secure name records |
US9118618B2 (en) | 2012-03-29 | 2015-08-25 | A10 Networks, Inc. | Hardware-based packet editor |
US9843484B2 (en) | 2012-09-25 | 2017-12-12 | A10 Networks, Inc. | Graceful scaling in software driven networks |
CN108027805B (zh) | 2012-09-25 | 2021-12-21 | A10网络股份有限公司 | 数据网络中的负载分发 |
US10021174B2 (en) | 2012-09-25 | 2018-07-10 | A10 Networks, Inc. | Distributing service sessions |
US10002141B2 (en) | 2012-09-25 | 2018-06-19 | A10 Networks, Inc. | Distributed database in software driven networks |
EP2939370A4 (en) * | 2012-12-31 | 2016-12-21 | Elwha Llc | PROVEN PROTOCOLS FOR MOBILE CONNECTIVITY |
US9900252B2 (en) | 2013-03-08 | 2018-02-20 | A10 Networks, Inc. | Application delivery controller and global server load balancer |
US9992107B2 (en) | 2013-03-15 | 2018-06-05 | A10 Networks, Inc. | Processing data packets using a policy based network path |
US10027761B2 (en) | 2013-05-03 | 2018-07-17 | A10 Networks, Inc. | Facilitating a secure 3 party network session by a network device |
WO2014179753A2 (en) | 2013-05-03 | 2014-11-06 | A10 Networks, Inc. | Facilitating secure network traffic by an application delivery controller |
US10230770B2 (en) | 2013-12-02 | 2019-03-12 | A10 Networks, Inc. | Network proxy layer for policy-based application proxies |
US11165770B1 (en) | 2013-12-06 | 2021-11-02 | A10 Networks, Inc. | Biometric verification of a human internet user |
US9942152B2 (en) | 2014-03-25 | 2018-04-10 | A10 Networks, Inc. | Forwarding data packets using a service-based forwarding policy |
US9942162B2 (en) | 2014-03-31 | 2018-04-10 | A10 Networks, Inc. | Active application response delay time |
US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
US9992229B2 (en) | 2014-06-03 | 2018-06-05 | A10 Networks, Inc. | Programming a data network device using user defined scripts with licenses |
US10129122B2 (en) | 2014-06-03 | 2018-11-13 | A10 Networks, Inc. | User defined objects for network devices |
US9986061B2 (en) | 2014-06-03 | 2018-05-29 | A10 Networks, Inc. | Programming a data network device using user defined scripts |
US10268467B2 (en) | 2014-11-11 | 2019-04-23 | A10 Networks, Inc. | Policy-driven management of application traffic for providing services to cloud-based applications |
US10581976B2 (en) | 2015-08-12 | 2020-03-03 | A10 Networks, Inc. | Transmission control of protocol state exchange for dynamic stateful service insertion |
US10243791B2 (en) | 2015-08-13 | 2019-03-26 | A10 Networks, Inc. | Automated adjustment of subscriber policies |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728632A (zh) * | 2004-07-28 | 2006-02-01 | 中兴通讯股份有限公司 | 一种安全等级握手协商方法和系统 |
-
2006
- 2006-11-24 CN CN2006101440729A patent/CN101094225B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728632A (zh) * | 2004-07-28 | 2006-02-01 | 中兴通讯股份有限公司 | 一种安全等级握手协商方法和系统 |
Non-Patent Citations (1)
Title |
---|
钱伟中等.移动通信安全等级协商技术研究.2006通信理论与技术新进展--第十一届全国青年通信学术会议论文集.2006,(2006),第1068-1072页. * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9219751B1 (en) | 2006-10-17 | 2015-12-22 | A10 Networks, Inc. | System and method to apply forwarding policy to an application session |
US9253152B1 (en) | 2006-10-17 | 2016-02-02 | A10 Networks, Inc. | Applying a packet routing policy to an application session |
US9270705B1 (en) | 2006-10-17 | 2016-02-23 | A10 Networks, Inc. | Applying security policy to an application session |
US9215275B2 (en) | 2010-09-30 | 2015-12-15 | A10 Networks, Inc. | System and method to balance servers based on server load status |
US9270774B2 (en) | 2011-10-24 | 2016-02-23 | A10 Networks, Inc. | Combining stateless and stateful server load balancing |
US9386088B2 (en) | 2011-11-29 | 2016-07-05 | A10 Networks, Inc. | Accelerating service processing using fast path TCP |
US9094364B2 (en) | 2011-12-23 | 2015-07-28 | A10 Networks, Inc. | Methods to manage services over a service gateway |
US9154584B1 (en) | 2012-07-05 | 2015-10-06 | A10 Networks, Inc. | Allocating buffer for TCP proxy session based on dynamic network conditions |
US9106561B2 (en) | 2012-12-06 | 2015-08-11 | A10 Networks, Inc. | Configuration of a virtual service network |
US9338225B2 (en) | 2012-12-06 | 2016-05-10 | A10 Networks, Inc. | Forwarding policies on a virtual service network |
US9531846B2 (en) | 2013-01-23 | 2016-12-27 | A10 Networks, Inc. | Reducing buffer usage for TCP proxy session based on delayed acknowledgement |
Also Published As
Publication number | Publication date |
---|---|
CN101094225A (zh) | 2007-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101094225B (zh) | 一种差异化安全服务的网络、系统和方法 | |
Rawat | Fusion of software defined networking, edge computing, and blockchain technology for wireless network virtualization | |
CN104995889B (zh) | 用于修改m2m服务设置的方法及其装置 | |
CN102365853B (zh) | 用于通过服务控制链路将服务器消息发送给最终用户设备上的设备代理的系统和方法 | |
CN101310480A (zh) | 利用移动节点进行状态传递的方法和装置 | |
CN101212453A (zh) | 实现网络访问控制的方法及其防火墙装置 | |
CN102124455A (zh) | 向网络中的分组流提供服务 | |
CN101540980A (zh) | 业务优先级更新指示方法、业务优先级更新方法及装置 | |
CN102027713A (zh) | 提供基于触发的流量管理 | |
US9197672B2 (en) | Method and system for selective application of device policies | |
CN103796343B (zh) | M2m网关设备及其应用方法 | |
Farnham et al. | IST-TRUST: A perspective on the reconfiguration of future mobile terminals using software download | |
CN102045451A (zh) | 一种统一消息调度系统、业务消息通知方法及系统 | |
GB2403623A (en) | Management and control of telecommunication services delivery | |
CN102685786A (zh) | 无线传感器网络接入电信网络的方法及系统 | |
CN102006216B (zh) | 一种深度报文检测系统及报文处理方法 | |
CN108780391A (zh) | 网络服务组件访问上下文数据的方法、装置及系统 | |
CN104219783B (zh) | 一种会话重定向方法和设备 | |
CN101141307B (zh) | 一种应用于通信系统的基于策略管理的方法及系统 | |
CN102685801B (zh) | 网络管理设备及方法 | |
CN101127593B (zh) | 一种在安全关联反应系统中传送消息的方法及装置 | |
CN105813064A (zh) | 服务开通的处理方法和网元 | |
KR20150002228A (ko) | M2M 시스템에서 M2M 노드간 Multi 연동을 선택적으로 제어하는 방법 및 장치 | |
Simoni et al. | An intelligent user centric middleware for NGN: Infosphere and AmbientGrid | |
Boufidis et al. | Network support modeling, architecture, and security considerations for composite reconfigurable environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110511 |