CN1812337A - 一种实现网络安全控制的方法及系统 - Google Patents

Abstract

本发明公开了一种实现网络安全控制的方法，适用于至少包括安全服务实体、PDF和GGSN的移动通信网络，在PDF中设置安全命令与标准接口信息之间的对应关系，该方法还包括：PDF接收安全服务实体下发的安全命令，根据所设置的对应关系将当前接收到的安全命令转换为标准接口信息，并将转换后的标准接口信息通过标准接口发送给GGSN，GGSN根据所收到的转换为标准接口信息的安全命令执行相应的用户业务控制。本发明还公开了一种实现网络安全控制的系统，采用该方法和系统能利用已有的网络功能实体提供标准化的安全控制接口，支持移动网络数据安全控制与管理的实现，有效利用网络资源。

Description

一种实现网络安全控制的方法及系统

技术领域

本发明涉及分组数据功能(PDF)应用技术，尤指一种利用PDF实现网络安全控制的方法及系统。

背景技术

由于分组技术逐渐应用在第三代移动通信网络中，以往只存在于传统IP网络如Internet网的数据病毒及数据安全等问题，也逐步在移动网络中产生了重要的影响。随着移动分组数据业务的发展，分组业务有取代传统电路语音成为移动通讯领域主流技术的趋势。在这种形势下，保证移动分组数据安全的相关技术显得更加紧迫。

目前，在移动通信网络中实现对病毒的防治，尤其是对非安全用户的业务控制方法主要是：增加新的用于完成网络安全控制和管理的网络实体，并将该新增网络实体与服务通用分组无线业务支持节点(SGSN)、网关通用分组无线业务支持节点(GGSN)以及用户终端相连，获取相应的安全信息、制定并下发相应的安全策略。如图1所示，在通用的移动通信网络中增加安全服务实体，该安全服务实体用于制定和保存安全策略，并联在移动通信网络中，可直接或通过网络与SGSN或GGSN相连，并经由SGSN或GGSN、接入网与多个用户终端相连。该安全服务实体可通过SGSN或GGSN与用户终端之间进行交互，获取用户终端当前的安全状况，再根据用户终端的安全相关信息和自身已存储的安全信息，针对不同用户终端制定相应的安全策略，并将所制定的安全策略下发给用户终端和SGSN或GGSN；该安全服务实体还可以保存核心网设备下发的、或是直接配置的安全策略或安全相关信息。

但是，图1所示的方案不仅需要在原有移动通信网络中增加新的安全服务实体，而且，为了与安全服务实体进行交互，还需要在GGSN、SGSN、用户终端分别增加新的控制接口和安全策略处理模块，通过新增的控制接口和安全策略处理模块，安全服务实体才能控制用户的移动业务，比如修改用户服务等级、甚至拒绝用户接入等。由于引入新的接口，对网络设备会产生大的冲击，不利于功能实现的标准化，并且，对移动设备内部的改动影响也比较大。

发明内容

有鉴于此，本发明的主要目的在于提供一种实现网络安全控制的方法，能利用已有的网络功能实体提供标准化的安全控制接口，支持移动网络数据安全控制与管理的实现，有效利用网络资源。

本发明的另一目的在于提供一种实现网络安全控制的系统，能简单地实现对网络数据的安全控制与管理，减少对网络设备结构的改变。

为达到上述目的，本发明的技术方案是这样实现的：

一种实现网络安全控制的方法，适用于至少包括安全服务实体、分组数据功能实体PDF和网关通用分组无线业务支持节点GGSN的移动通信网络，在PDF中设置安全命令与标准接口信息之间的对应关系，该方法还包括：

PDF接收安全服务实体下发的安全命令，根据所设置的对应关系将当前接收到的安全命令转换为标准接口信息，并将转换后的标准接口信息通过标准接口发送给GGSN，GGSN根据所收到的转换为标准接口信息的安全命令执行相应的用户业务控制。

其中，所述PDF在将所述安全命令转换为标准接口信息之前，进一步判断自身是否能识别当前接收到的安全命令。所述能识别具体为：所述PDF当前接收到的安全命令包含于所设置的对应关系中。所述安全命令中包括用户标识、用户IP地址、安全处理策略；则所述GGSN执行相应的用户业务控制为：GGSN对安全命令中用户标识对应的用户执行安全命令中安全处理策略对应的用户业务控制。

该方法进一步包括：更新所设置的安全命令与标准接口信息之间的对应关系。

上述方案中，所述的标准接口信息为Go接口信息。所述安全命令与标准接口信息之间的对应关系以转换模板形式存储。

上述方案中，所述PDF不能识别安全命令时，该方法进一步包括：PDF向安全服务实体返回携带有失败原因的应答。

一种实现网络安全控制的系统，至少包括用于制定和下发安全策略、收集安全信息的安全服务实体，用于执行安全控制策略的GGSN，该系统还包括连接于安全服务实体与GGSN之间的PDF，所述PDF至少包括：

安全命令转换功能单元，用于将从安全服务实体接收的安全命令转换为标准接口信息，并将标准接口信息发送给GGSN；

转换模板，设置有供安全命令转换功能单元读取的安全命令与标准接口信息之间的对应关系。

其中，所述PDF与GGSN通过标准Go接口相连，所述标准接口信息为Go接口信息。所述PDF与安全服务实体相连的接口为：双方协商约定的安全控制接口，或为双方均支持的标准接口。

本发明所提供的实现网络安全控制的方法及系统，利用在第三代移动通信网络3GPP R5中存在的、专门用于策略决定功能的逻辑实体PDF，来提供外部安全接口功能。也就是说，在已有的PDF中增加与安全服务实体的接口，然后利用PDF与SGSN、GGSN的标准接口，实现安全服务实体与SGSN、GGSN之间的交互，完成基于用户的数据安全控制功能，进而保证了移动通信网络的数据安全，有效利用了网络资源。

本发明通过扩展PDF的功能，增加了PDF在安全领域方面的应用，并且，由于不需要对通信网络中其它网络设备的结构进行改动，因此，简化了移动通信网络安全的实现方案，减少了对移动通信网络中网元的影响，保证了功能实现的标准化。

附图说明

图1为支持安全服务功能的移动通信网络的组成结构示意图；

图2为现有技术中PDF与GGSN之间的连接关系示意图；

图3为本发明中实现网络安全控制的系统结构示意图；

图4为本发明中实现网络安全控制的处理流程示意图。

具体实施方式

目前，在第三代移动通信3GPP系统的版本R5中引入了逻辑实体PDF，该PDF是一个逻辑策略决定功能网元，利用标准IP机制去实现IP媒体层的策略，并将相应IP策略通过标准的Go接口下发给GGSN，如图2所示。该PDF既可以是一个独立网元，也可以是P-CSCF的一部分，但目前PDF的功能比较单一。

由于PDF已存在与GGSN的标准接口，且PDF又是专门的策略决定功能实体，因此，本发明的核心思想是：在PDF实体中增加与安全服务实体之间的接口，并增加相应的安全命令转换功能，使PDF连接于安全服务实体与GGSN之间，将安全服务实体发送给GGSN的安全命令、安全策略等信息，经过PDF的安全命令转换后通过标准接口发送给GGSN，无需GGSN进行任何改动。如此，也很有利于PDF对包括安全策略在内的所有策略功能集中管理和控制。

这里，所述安全服务实体可以是安全服务器。

如图3所示，本发明在PDF中提供与安全服务实体相连的安全控制接口，可以是安全服务实体与PDF协商约定的通信接口，也可以采用某种双方都支持的标准接口；同时，PDF通过标准的Go接口与GGSN相连。在PDF中，设置有将安全服务实体发送的安全命令转换为标准Go接口信息的转换模板，也就是说，要配置安全服务实体的安全命令各组成字段与标准Go接口信息各个组成部分之间的对应关系，比如：配置安全命令中的用户标识相当于Go接口信息中的哪个字段或哪个域，该用户标识在Go接口信息中的表示形式是什么等等。PDF通过安全控制接口接收安全服务实体发来的安全命令，并根据转换模板中的信息判断自己是否能识别所收到的安全命令，如果能，则PDF将安全命令的内容根据安全命令各字段与Go接口信息各组成部分之间的对应关系转换为相应的Go接口信息，然后，将转换为Go接口信息的安全命令发送给GGSN。其中，PDF实现接收、转换、发送安全命令的过程就是PDF中增加的安全命令转换功能，完成该功能的逻辑实体可称为安全命令转换功能单元。

这里，PDF能识别并转换安全服务实体发送的哪些安全命令是配置得到的，该配置可以随时更新，所配置的内容可称之为PDF安全控制的能力集，该能力集表示PDF的控制范围，也就是PDF所能识别的所有安全命令组成的命令集，所述能力集或称命令集可通过更新配置的方式进行更新、增强。所述判断PDF是否能识别接收到的安全命令实际就是判断所接收的安全命令是否超出PDF的控制范围，是否能在PDF的安全控制能力集中找到，如果能找到，就能识别，否则就不能识别。

安全服务实体向PDF发送的安全命令中，至少应包括的信息有：用户标识、用户IP地址以及安全处理策略。具体处理策略可以是：基于流启动IPSEC、上下行流量控制、用户服务质量(QoS)改变、控制源IP地址(类似ACL)、进行非法攻击检查、启动应用层安全检查等等。PDF接收到安全服务实体的安全命令后，根据设定的转换模板以及安全命令与Go接口信息的对应关系，将安全命令转换为标准的Go接口信息，并将包含控制策略的Go接口信息发送给GGSN。

如图4所示，本发明中实现网络安全控制的方法包括以下步骤：

步骤401：安全服务实体获知某用户业务流量中包括危害信息或其他非合法信息之后，比如病毒产生的大量垃圾包，根据自身存储的安全策略及用户的信息决定相应的安全操作，安全服务实体下发命令集给PDF。

这里，安全服务实体如何获知用户业务流量中包含危害信息或非法信息并非本发明考虑的重点，所以在此不进行限定和详述，本发明强调的是获知有不安全信息后如何进行后续处理。安全服务实体如何根据自身存储的安全策略及所得到的用户信息来决定相应安全操作属于现有技术，比如：安全服务实体存储的安全策略是每个用户终端应至少安装A、B、C、D四个补丁程序，才能保证用户终端的基本安全状态，所得到的用户信息是当前用户终端M只安装了A、C、D，没有安装B，那么，安全服务实体确定的安全操作可以是指示用户终端M安装补丁程序B，也可以是对用户终端M限制带宽，甚至阻断用户终端M等等，在此不再赘述。

步骤402：PDF收到命令集后，判断是否为自身能识别的安全命令，如果是，则返回成功的应答，继续执行步骤403；如果安全服务实体下发的命令集超出了PDF的控制范围，则返回失败的应答并在应答中返回失败原因，说明PDF只能执行能力集范围内的命令，结束当前处理流程。

步骤403：PDF通过设定的转换模板进行内部转换，将接收到的安全命令转换为标准的Go接口信息并下发给GGSN。该转换模板反映PDF安全控制的能力集，即转换模板中包括所有PDF能识别的安全命令、以及相应安全命令与Go接口信息的对应关系，该转换模板可通过配置进行增强。

步骤404：GGSN收到Go接口下发的策略信息后，根据所收到的策略对用户业务进行控制。这里，GGSN可以向PDF返回应答，也可以不返回。

举个例子来说，预先在PDF中设置包括安全检查、安全控制两种安全命令及其对应的Go接口信息的转换模板，如果安全服务实体发现用户M的业务流量中包括大量垃圾数据包，则安全服务实体会向PDF发送安全检查命令，该命令中包括：用户M的标识、用户M的IP地址、进行非法攻击检查的安全处理策略；PDF收到后发现安全检查命令未超出自身的控制范围，则按照转换模板中安全检查命令与Go接口信息的对应关系，将收到的安全检查命令转换为Go接口信息；然后，将所转换的Go接口信息通过自身与GGSN之间的标准Go接口发送给GGSN；GGSN收到后，根据信息中的安全处理策略对用户M的业务流量进行非法攻击检查。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims (10)

1、一种实现网络安全控制的方法，适用于至少包括安全服务实体、分组数据功能实体PDF和网关通用分组无线业务支持节点GGSN的移动通信网络，其特征在于，在PDF中设置安全命令与标准接口信息之间的对应关系，该方法还包括：

PDF接收安全服务实体下发的安全命令，根据所设置的对应关系将当前接收到的安全命令转换为标准接口信息，并将转换后的标准接口信息通过标准接口发送给GGSN，GGSN根据所收到的转换为标准接口信息的安全命令执行相应的用户业务控制。

2、根据权利要求1所述的方法，其特征在于，所述PDF在将所述安全命令转换为标准接口信息之前，进一步判断自身是否能识别当前接收到的安全命令。

3、根据权利要求2所述的方法，其特征在于，所述能识别具体为：所述PDF当前接收到的安全命令包含于所设置的对应关系中。

4、根据权利要求1、2或3所述的方法，其特征在于，所述安全命令中包括用户标识、用户IP地址、安全处理策略；则所述GGSN执行相应的用户业务控制为：GGSN对安全命令中用户标识对应的用户执行安全命令中安全处理策略对应的用户业务控制。

5、根据权利要求1、2或3所述的方法，其特征在于，该方法进一步包括：更新所设置的安全命令与标准接口信息之间的对应关系。

6、根据权利要求1、2或3所述的方法，其特征在于，所述的标准接口信息为Go接口信息。

7、根据权利要求1、2或3所述的方法，其特征在于，所述安全命令与标准接口信息之间的对应关系以转换模板形式存储。

8、根据权利要求2或3所述的方法，其特征在于，所述PDF不能识别安全命令时，该方法进一步包括：PDF向安全服务实体返回携带有失败原因的应答。

9、一种实现网络安全控制的系统，至少包括用于制定和下发安全策略、收集安全信息的安全服务实体，用于执行安全控制策略的GGSN，其特征在于，该系统还包括连接于安全服务实体与GGSN之间的PDF，所述PDF至少包括：

安全命令转换功能单元，用于将从安全服务实体接收的安全命令转换为标准接口信息，并将标准接口信息发送给GGSN；

转换模板，设置有供安全命令转换功能单元读取的安全命令与标准接口信息之间的对应关系。

10、根据权利要求8所述的系统，其特征在于，所述PDF与GGSN通过标准Go接口相连；所述PDF与安全服务实体相连的接口为：双方协商约定的安全控制接口，或为双方均支持的标准接口。

Images