CN1859401A - 在移动终端与移动网络之间实现安全联动的方法 - Google Patents
在移动终端与移动网络之间实现安全联动的方法 Download PDFInfo
- Publication number
- CN1859401A CN1859401A CN 200610032980 CN200610032980A CN1859401A CN 1859401 A CN1859401 A CN 1859401A CN 200610032980 CN200610032980 CN 200610032980 CN 200610032980 A CN200610032980 A CN 200610032980A CN 1859401 A CN1859401 A CN 1859401A
- Authority
- CN
- China
- Prior art keywords
- security
- message
- network
- terminal
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种在移动终端与移动网络之间实现安全联动的方法,在移动终端安全关联代理设置第一消息处理层,用于汇集安全信息以及对消息进行接收、组装、解析、处理和发送;在移动网络安全关联服务器设置第二消息处理层,用于根据优先级、消息类型确定消息的传输模式和安全机制;提供网络接入控制和服务接入控制的CRS服务;在SCA和SCS分别设置消息包传输层,用于传输安全关联消息,由第一或第二消息处理层发起或响应在SCA与SCS之间的交互过程,直接或通过各自MBT实现包括初始化、认证、安全配置信息更新、网络接入控制、服务接入控制以及漫游控制的交互过程。实施本发明的方法,可以有效解决安全响应系统中安全关联服务器和安全关联代理、安全关联服务器和其它安全设备之间的信息交互的安全问题。
Description
技术领域
本发明涉及移动终端接入移动网络的安全关联技术,具体涉及一种在移动终端安全关联代理(Security Correlative Agent,以下简称SCA)与移动网络的安全关联服务器(Security Correlative Server,以下简称SCS)及SCS与网络元素之间实现安全联动的方法。
背景技术
在ITU-T SG17组的标准中,提出了针对移动网络的关联响应模型(Correlative Reacting System,下文缩写为CRS),该关联响应模型可应用于移动终端接入网络的安全控制技术,其实质是通过移动终端和网络侧的安全关联,对终端的网络接入进行控制,同时对其应用服务的接入进行限制,从而提供网络和移动终端用户对病毒、蠕虫、网络攻击等的安全免疫力。在图1示出的CRS安全模型中,包括两个重要的安全实体:嵌入在移动终端设备中的安全关联代理(Security Correlative Agent,下文缩写为SCA)和网络侧的安全关联服务器(Security Correlative Server,下文缩写为SCS),这两个实体构成CRS平台架构的核心,此外还包括可以与SCA和SCS形成关联联动的网络安全系统(SecurityRank System,下文缩写为SRS)。在SCA和SCS之间需要建立联动协议,使得SCS通过与SCA的交互,可以从SCA获取到移动终端的安全配置信息,进而产生对该移动终端接入控制的安全策略,通过在SCS和SCA之间建立安全关联协议,使得SCS可以确定SCA所在的终端应采取的安全策略和接入控制策略。
现有技术中,为形成SCA与SCS之间的联动协议,首先将协议分为传输控制消息的CRSAP-C协议和传输业务信息的CRSAP-S协议。然后确定了协议的传输模式有确认模式和直接模式。从物理实体上而言,终端和服务器之间不能直接进行通信,需要通过中间的网络设备,因此将联动协议定义为新的应用层协议CRSAP(CRS Application Protocol)。终端代理和网络安全系统的协议分层如图2所示,在TCP/UDP的传输层之上新定义了一个应用层CRSAP协议层,IP层下的其它协议层在图中被省略了。协议具体内容如下:
1、CRSAP协议层用于终端代理(SCA)和网络安全系统(SRS)之间的信息传输,传输信息协议分为控制信息传输协议和业务信息传输协议,其中控制信息用于建立双方的连接、上报报告,并为业务信息的传输提供支撑,相关的协议元素定义为CRSAP-C协议;业务信息用于传输实际的业务信息,相关的协议元素定义为CRSAP-S协议。
2、针对CRSAP-C协议,采用了确认模式实施协议,即如图3所示,当双方发送信息时,只有获得确认信息,才能确认该信息的可信。具体需要经过“请求”-“应答”和“确认”三个环节,缺一不可;
3、针对CRSAP-S协议,采用了直接模式实施协议,即如图4所示,即直接把信息发送给对方,而不需等待对方的应答消息,默认对方已经收到信息。
4、通过上述定义,传输层可以通过TCP或者UDP来承载CRSAP的信息。由于CRSAP协议层本身针对控制信令和业务信息分别考虑了连接/无连接模式,采用UDP协议进行承载即可。
5、如果对于一些重要的业务信息,如果要求具备高的可靠性,此时业务信息的直接模式传输可能有影响,可以考虑采用两种方式:
a)底层采用连接模式的协议,即采用TCP协议进行信息承载。
b)CSRAP-S增加一个确认模式协议,即业务信息传输采用与图3相同的图5模型传输。
如上述,确定了在终端代理和网络安全系统之间信息传输的分层结构和模式,据此可制定相关的联动协议,设计CSRAP的具体应用协议。作为一个例子,上述协议的一个具体实施例可以通过一个上报信息来体现:
1、当安全关联服务器需要客户端发送上报终端安全配置信息时,它将发出一个“terminal parameter report request”(终端参数上报请求)消息,消息中将携带需要上报的配置信息种类。
2、终端收到该消息后,将根据上报的配置信息种类,向安全关联服务器发送确认消息“Report response”;
3、安全关联服务器收到该消息后,则发送“Acknowledge”消息,确认终端可以发送上报安全参数。
4、通过上述模式,实现了确认模式的控制消息传送。
5、终端开始向安全关联服务器发送安全配置参数,配置参数通过消息“Security configuration parameter”(“安全配置参数”)携带。配置参数消息可能会连续有多条,安全关联服务器根据收到的消息开始进行策略的配置。
上述过程中,步骤1-3实现了控制信息的传输,步骤5实现了业务信息的传输。实现过程如图6所示。
上述现有技术的安全关联协议存在以下缺点:1)没有定义安全机制。例如,没有SCA与SCS之间的认证,信息保密性和完整性保护不足;2)没有定义SCS与SRS(或网络安全设备)之间的交互方法;3)没有定义轻量级消息、重量级别消息的不同,及其在传输模式上的不同处理。例如在CRS消息层如何设置,在消息承载层如何配置等;4)没有协议的详细分层及功能区分。传输信息协议分为控制信息传输协议和业务信息传输协议并不合理,应该采用新的协议分层结构;5)消息与协议混淆,需要澄清;消息类型少,还需要增加很多其他的消息交互,完成更高级的安全关联功能。例如没有考虑如何解决大量SCA软件更新、系统漏洞补丁、优先级高用户的处理等等;6)业务消息必须在确认后才能开始传输,不灵活,效率低;7)没有定义CRS系统的本地接口和协议适配。
发明内容
本发明要解决的技术问题是提供一种在移动通信环境下,提供一种安全性更好的安全关联协议,具体提供一种能够很好地解决CRS系统中安全关联服务器和安全关联代理、安全关联服务器和其它安全设备之间的信息交互过程安全的问题,有效解决上述现有技术存在的问题。
本发明上述技术问题这样解决,构造一种在移动终端与移动网络之间实现安全联动的方法,包括以下步骤:
S1)在移动终端的安全关联代理设置第一消息处理层以及第一消息包传输层,在移动网络中的安全关联服务器设置第二消息处理层和第二消息包传输层;
S2)第一消息处理层汇集终端安全信息,配合第二消息处理层进行移动终端的接入控制操作;
S3)第二消息处理层对终端安全信息进行分析和处理,并通过与第一消息处理层交互控制移动终端接入操作。其中,控制移动终端接入是指对不安全终端进行的控制,其中,所述的不安全是指下述之一:感染蠕虫或病毒、遭受黑客攻击、用户误操作、用户恶意操作、用户终端安全配置不符合网络安全策略、用户应用服务程序的安全配置不符合网络安全策略。
在上述按照本发明提供的方法中,所述步骤S2)包括:通过从终端外部组件汇集终端有关的安全信息,对消息进行接收、组装、解析、处理和发送。
在上述按照本发明提供的方法中,所述步骤S3)包括:对终端安全消息进行解析,从而对接入终端的安全状况进行评估,为后续终端接入控制过程提供依据。
在上述按照本发明提供的方法中,在移动网络中的网络元素设有与所述安全关联服务器对应的第三消息处理层和第三消息包传输层;所述后续终端接入控制过程,包括:根据网络安全策略,组装安全配置更新消息到终端第一消息处理层;和/或根据网络安全策略,组装接入控制消息到终端第一消息处理层;和/或根据网络安全策略,通过面向网络元素的第二消息处理层组装服务接入控制消息到网络元素第三消息处理层,并为这些消息配置相应的消息传输层的相关传输参数,这些参数包括优先级传输模式和安全机制。
在上述按照本发明提供的方法中,所述安全关联服务器中的第二消息处理层根据对终端安全信息的分析和处理结果,与其它移动网络设备进行交互过程,通过网络接入控制设备进行终端的网络接入控制或通过应用服务接入设备进行终端的应用服务接入控制。
在上述按照本发明提供的方法中,所述传输模式包括无连接传输模式和确认模式,其中,确认模式至少包括请求-响应-确认三个环节,重要的信令消息和安全级别高的安全关联代理与安全关联服务器之间的安全消息,以及在安全关联服务器与NE之间传送的消息,采用确认模式传输。
在上述按照本发明提供的方法中,所述安全机制包括安全关联服务器与安全关联代理之间的业务级安全机制、网络级安全机制,以及自定义安全机制。
在上述按照本发明提供的方法中,所述安全机制包括安全关联服务器与网络元素之间的取决于网络元素的具体通信协议提供的安全机制。
在上述按照本发明提供的方法中,在步骤S1)中设置的所述第一和第二消息处理层,通过第一和第二消息包传输层,实现安全联动过程,在安全关联服务器与安全关联代理之间传递终端与网络的安全消息,提供对应于不同消息的多种传输模式选择,以及提供对应于不同消息传输的安全机制的实现。
在上述按照本发明提供的方法中,在安全关联服务器的第二消息包传输层,还根据初始化时与安全关联服务器交互的网络元素低层协议,对安全关联服务器中的关联响应系统通信协议进行适配。
在上述按照本发明提供的方法中,所述安全联动过程包括由第一消息处理层或第二消息处理层发起或响应在安全关联代理与安全关联服务器之间的交互过程,包括初始化、认证、安全配置信息更新以及漫游控制。
在上述按照本发明提供的方法中,所述初始化过程至少包括以下之一:1)网络发现;2)移动漫游;3)GRS功能开启或关闭;4)CRS系统参数配置。
在上述按照本发明提供的方法中,所述认证至少包括以下之一:1)SCA与SCS之间的身份认证;2)终端侧安全软件和OS认证;3)网络侧SCS对相关网元的身份/消息认证。
在上述按照本发明提供的方法中,所述安全配置信息更新至少包括以下之一:安全策略更新、用户信息下载和安全配置更新、服务描述更新以及用户安全修复更新。
在上述按照本发明提供的方法中,所述安全策略更新第一次由安全关联服务器发起、以后由安全关联服务器周期性地向网络元素请求当前安全策略。
在上述按照本发明提供的方法中,所述用户信息下载包括下载网络签约用户的服务定购信息、用户身份信息、终端配置信息。
在上述按照本发明提供的方法中,所述安全配置更新包括至少下述之一:在注册时发起的安全配置信息报告、安全关联代理发起的更新请求、在用户发起业务时的安全关联代理发起的报告和更新、安全事件发生时,事件触发的SCA或SCS发起的报告和更新。
在上述按照本发明提供的方法中,所述服务描述更新包括:SCS根据终端的安全情况,通知用户服务描述列表,包括对当前可用服务的要求、限制。
在上述按照本发明提供的方法中,所述用户修复更新包括直接完成全部安全修复过程的直接修复过程和通过安全响应系统通知相关安全应用服务器进行修复的间接修复过程。
在上述按照本发明提供的方法中,所述漫游过程包括移动用户漫游到异地后,网络和用户如何获得关联响应系统服务的相关过程。
在上述按照本发明提供的方法中,所述对终端的网络接入控制包括控制用户数据对网络带宽资源占用情况的流量控制、对用户终端接入网络的目的地址限定甚至阻断该用户的限制访问控制。
在上述按照本发明提供的方法中,所述对终端的应用服务接入控制,至少包括下述之一:用户服务定购信息的获取、不安全终端用户的服务控制过程。
实施本发明的在安全关联代理与安全关联服务器以及安全关联服务器与网络元素之间实现安全联动的方法,在实际应用环境下,使安全关联系统更安全、更具可用性,很好地解决了CRS系统中安全关联服务器和安全关联代理、安全关联服务器和其它安全设备之间的信息交互的安全问题,有效地解决了现有技术存在的问题。
附图说明
图1是现有技术中CRS的安全模型示意图;
图2是终端代理和网络安全系统间的协议栈结构示意图;
图3是确认模式的控制信息传输的示意图;
图4是直接模式的信息传输的示意图;
图5是确认模式的信息传输示意图;
图6是安全配置信息上报示意图;
图7是依照本发明方法建立的安全响应系统所处的网络拓扑环境的示意图;
图8是按照本发明方法的安全关联协议结构和位置的示意图;
具体实施方式
图7给出了应用本发明方法的一个实施例,在图7示出的移动通信终端介入的安全关联响应(以下简称CRS)系统的网络拓扑结构中,包括移动终端、核心移动网以及开放网络,在移动终端侧是SCA安全关联代理,核心网包括安全关联服务器(SCS)、与安全关联服务器协同工作的网络实体包括多媒体子系统(IPMultimedia System,下文缩写为IMS)、边界网关(Border Gateway,下文缩写为BG)、Virus-server病毒服务器、SGSN(serving GSN)、GGSN(gateway GSN)等。其中,IMS是移动通信网络(例如WCDMA)中的IP多媒体子系统,负责网络系统中的用户业务管理和提供。BG负责将来自开放网络的应用服务提供商(Application Service Provider,下文缩写为ASP)的业务接入移动网络,提供给移动终端用户;Virus-server病毒服务器是移动终端防病毒软件客户端对应服务器端,存放最新病毒库、负责病毒实时更新,在线杀毒等功能。SGSN是服务GPRS支持节点,主要记录移动终端当前位置信息,在移动终端和GGSN之间完成移动分组数据的发送和接收。GGSN是GPRS网络中的路由器,有协议转换的功能,负责来自开放网络的应用服务提供商(Application Service Provider,缩写为ASP)的业务接入移动网络,提供给移动终端用户。在图7中,示出的SCA位于移动终端内,换言之,在实施本发明方法的一个移动通信系统中,为每个移动终端(例如手机)配置一个SCA,而对应的SCS则设置在移动网络内部,负责其所辖区域的所有终端的SCA;同时,每个SCS可以与多个移动网络内部的网络元素(简称为NE)进行安全关联,图7中与SCS相连的IMS、BG等都是NE的例子。
下面讨论实施本发明方法的安全关联协议的一个例子,在图8及下面的描述中,消息处理层以安全汇聚评估层SCE表示,消息包传输层以MBT表示,没有特别指出的,这两种表示具有同样意义。在图8中给出了这样一个安全关联协议的结构,在移动终端侧,在GPRS/WCDMA/CDMA2000、IP以及TCP/UDP网络承载层基础上,设置了消息包传输层(MBT-u)和作为第一消息处理层的基于MBT-u的第一安全汇聚评估层(SCE-u),其中,相对于MBT-u解决安全消息的传输,SCE-u则用于在终端侧实现安全消息的处理。
在网络侧,实现移动终端安全接入的安全关联服务器SCS,除了同样有GPRS/WCDMA/CDMA2000、IP以及TCP/UDP网络层的基础外,同样有与SCA对应的作为第二消息处理层的SCE-u和MBT-u层,还需要与网络元素NE对应的作为第三消息处理层的SCE-n层和MBT-n层,在诸如BG、IMS的网络元素中,也包括了与SCS对应的SCE-n层和MBT-n层。通过上述设置,实现了在安全关联操作上消息处理和消息传输的分层处理。其中,消息处理层在SCA与SCS中的功能是不同的。
在移动终端的安全汇聚评估层SCE-u完成安全信息的汇集,并在适当的时机发起SCA与SCS之间的交互过程,即通过空口从外部组件汇集接入终端有关的安全信息,进一步对消息进行接收、组装、解析、处理和发送;其中,接收包括通过空口接收的包括安全信息在内的各种消息,解析是对接收到消息进行解析,处理是对用户操作进行响应以及对解析后的消息根据协议进行处理,或通过消息数据组装,通过空口发送到网络侧SCS。其中,包括接收和发送的消息传输是通过在移动终端SCA设置消息包传输层MBT-u实现的,MBT-u用于在SCS与SCA之间传输安全联动消息,为SCE-u提供对应于不同消息的多种传输模式选择,以及提供对应于不同消息传输的多种安全机制;
在网络侧设置的第二消息处理层SCE-u,一方面,SCE-u用于对来自终端侧、SCE-n用于对来自网络侧的安全联动消息进行安全评估,通过与SCA交互,协商用户的CRS安全能力、传输相关参数等,进而配置MPT参数(包括安全能力、传输能力信息等),以及根据消息优先级、消息类型,确定消息的传输模式和安全机制,非常重要的是在SCE对消息进行分类处理,不同的消息采用不同的安全机制。例如,从SCA与SCS之间的认证以及信息保密性完整性保护方面考虑,对不同优先级、不同消息类型的消息可以采用业务级安全、网络级安全、更高级安全(即自定义模式)三种模式进行处理;另一方面,SCE-n与相关网络设备NE配合,提供网络接入控制和服务接入控制的CRS服务;而SCS-n与NE之间安全机制,可以根据网元的具体通信协议进行适配,例如VPN、TLS等。
在SCS侧的MBT-n负责完成SCS与不同NE的MBT-n进行CRS通信的协议适配。因为不同的NE设备,所采用的通信传输协议可能不同,而且传输层之上的应用层协议也有差异。例如有的支持公共开放策略服务(COPS)应用协议。有的传输协议支持TLS安全传输,有的网络层传输协议支持VPN(在IP层与TCP层之间)安全传输。MBT-n层根据与SCS交互的NE的低层协议实现不同,与NE的MBT-n进行协议适配,从而完成传输功能。
在SCS设置消息包传输层MBT-u,用于在SCS与SCA之间传输安全联动消息,再接收SCE的消息,可以添加相应的消息头然后交给网络层发送,如果有必要,该层还可以实现消息安全加密的功能,以确保消息的安全传输。消息包传输层(MBT)层的功能包括:1)按照规定的传输模式传送消息;2)按照规定的安全参数,执行安全功能。为SCE-u提供对应于不同消息的多种传输模式选择,以及提供对应于不同消息传输的多种安全机制;不同在于,在SCS侧的MBT层,还根据初始化时与SCS交互的NE低层协议对SCS中的CRS通信协议进行适配。
在SCE,不同的消息采用不同的传输模式。传输模式包括无连接模式和确认模式两种。重要的信令消息和安全级别高的消息,采用确认模式传输,低层承载协议例如可以是TCP,其他则采用无连接模式传输,低层传输协议可以是UDP。在SCS与NE之间,只能用确认模式传输。其中,无连接模式连接过程如图4,确认模式传输过程如图3。
为实现安全联动,需要一系列的具体的交互过程。这些过程可以分为
1、认证过程:包括SCA与SCS之间的身份认证、终端侧的安全软件和OS认证过程、网络侧SCS对相关网元的身份/消息认证等过程。最主要的,就是以安全软件、OS在SCS的被认证,来保证SCA所报信息的真实性。
2、初始化过程:包括网络发现、移动漫游、CRS功能开启或关闭、CRS系统参数配置(SCS IP地址、终端能力等信息)等过程。
3、安全配置信息(缩写为SCI)更新过程包括:
1)安全策略更新过程:SCS向NE请求当前安全策略,(SCS发起,第一次和周期查询);
2)用户信息下载过程:网络签约用户的服务定购信息、用户身份信息、终端配置信息等;
3)安全配置更新过程:包括在注册时发起的SCI报告、更新(SCA发起),在用户发起业务时(经常性的)报告、更新过程(这一过程是相对简化的,SCA发起);有安全事件发生时,事件触发的报告、更新过程(SCA和SCS都可发起)。其中,报告、更新的内容包括病毒、终端安全配置变更、系统和应用软件漏洞信息、安全状况查询等。
4)服务描述更新过程:SCS根据终端的安全情况,通知用户服务描述列表,包括对当前可用服务的要求、限制;
3、用户修复过程:包括直接修复过程(对小的安全隐患和安全问题,CRS系统直接完成全部安全修复过程)和间接修复过程(通过CRS系统通知相关安全应用服务器的IP地址,由SCA和服务器交互完成安全更新和修复,不需要CRS系统大量参与该过程,SCS只转发部分SCA与NE之间的消息,提供信息和安全的传输通道。)修复的方式和内容主要包括杀病毒、系统软件补丁下载、病毒库更新、CRS系统软件版本更新等。
4、网络接入控制过程包括流量、限制访问等方法。
5、服务接入控制过程:包括用户服务定购信息的获取、不安全终端用户的服务控制过程等。
6、漫游过程:包括移动用户漫游到异地后,网络和用户如何获得CRS服务的相关过程。
Claims (22)
1、一种在移动终端与移动网络之间实现安全联动的方法,其特征在于,包括以下步骤:
S1)在移动终端的安全关联代理设置第一消息处理层以及第一消息包传输层,在移动网络中的安全关联服务器设置第二消息处理层和第二消息包传输层;
S2)第一消息处理层汇集终端安全信息,配合第二消息处理层进行移动终端的接入控制操作;
S3)第二消息处理层对终端安全信息进行分析和处理,并通过与第一消息处理层交互控制移动终端接入操作。
2、根据权利要求1所述方法,其特征在于,所述步骤S2)包括:通过从终端外部组件汇集终端有关的安全信息,对消息进行接收、组装、解析、处理和发送。
3、根据权利要求1所述方法,其特征在于,所述步骤S3)包括:对终端安全消息进行解析,从而对接入终端的安全状况进行评估,为后续终端接入控制过程提供依据。
4、根据权利要求3所述方法,其特征在于,在移动网络中的网络元素设有与所述安全关联服务器对应的第三消息处理层和第三消息包传输层;所述后续终端接入控制过程包括:根据网络安全策略,组装安全配置更新消息到终端第一消息处理层;和/或根据网络安全策略,组装接入控制消息到终端第一消息处理层;和/或根据网络安全策略,通过面向网络元素的第二消息处理层组装服务接入控制消息到网络元素第三消息处理层,并为这些消息配置相应的消息传输层的相关传输参数,这些参数包括优先级传输模式和安全机制。
5、根据权利要求1所述方法,其特征在于,所述安全关联服务器中的第二消息处理层根据对终端安全信息的分析和处理结果,与其它移动网络设备进行交互过程,通过网络接入控制设备进行终端的网络接入控制或通过应用服务接入设备进行终端的应用服务接入控制。
6、根据权利要求4所述方法,其特征在于,所述传输模式包括无连接传输模式和确认模式,其中,确认模式至少包括请求-响应-确认三个环节,重要的信令消息和安全级别高的安全关联代理与安全关联服务器之间的安全消息,以及在安全关联服务器与NE之间传送的消息,采用确认模式传输。
7、根据权利要求4所述方法,其特征在于,所述安全机制包括安全关联服务器与安全关联代理之间的业务级安全机制、网络级安全机制,以及自定义安全机制。
8、根据权利要求4所述方法,其特征在于,所述安全机制包括安全关联服务器与网络元素之间的取决于网络元素的具体通信协议提供的安全机制。
9、根据权利要求1所述方法,其特征在于,在步骤S1)中设置的所述第一和第二消息处理层,分别通过第一和第二消息包传输层,实现安全联动过程,在安全关联服务器与安全关联代理之间传递终端与网络的安全消息,提供对应于不同消息的多种传输模式选择,以及提供对应于不同消息传输的安全机制的实现。
10、根据权利要求9所述的方法,其特征在于,在安全关联服务器的第二消息包传输层,还根据初始化时与安全关联服务器交互的网络元素低层协议,对安全关联服务器中的关联响应系统通信协议进行适配。
11、根据权利要求9所述的方法,其特征在于,所述安全联动过程包括由第一消息处理层或第二消息处理层发起或响应在安全关联代理与安全关联服务器之间的交互过程,包括初始化、认证、安全配置信息更新以及漫游控制。
12、根据权利要求11所述方法,其特征在于,所述初始化过程至少包括以下之一:1)网络发现;2)移动漫游;3)CRS功能开启或关闭;4)CRS系统参数配置。
13、根据权利要求11所述方法,其特征在于,所述认证至少包括以下之一:1)SCA与SCS之间的身份认证;2)终端侧安全软件和OS认证;3)网络侧SCS对相关网元的身份/消息认证。
14、根据权利要求11所述方法,其特征在于,所述安全配置信息更新至少包括以下之一:安全策略更新、用户信息下载和安全配置更新、服务描述更新以及用户安全修复更新。
15、根据权利要求14所述方法,其特征在于,所述安全策略更新第一次由安全关联服务器发起、以后由安全关联服务器周期性地向网络元素请求当前安全策略。
16、根据权利要求14所述方法,其特征在于,所述用户信息下载包括下载网络签约用户的服务定购信息、用户身份信息、终端配置信息。
17、根据权利要求14所述方法,其特征在于,所述安全配置更新包括至少下述之一:在注册时发起的安全配置信息报告、安全关联代理发起的更新请求、在用户发起业务时的安全关联代理发起的报告和更新、安全事件发生时,事件触发的SCA或SCS发起的报告和更新。
18、根据权利要求14所述方法,其特征在于,所述服务描述更新包括:安全关联服务器根据终端的安全情况,通知用户服务描述列表,包括对当前可用服务的要求、限制。
19、根据权利要求14所述方法,其特征在于,所述用户修复更新包括直接完成全部安全修复过程的直接修复过程和通过安全响应系统通知相关安全应用服务器进行修复的间接修复过程。
20、根据权利要求12所述方法,其特征在于,所述漫游过程包括移动用户漫游到异地后,网络和用户如何获得关联响应系统服务的相关过程。
21、根据权利要求5所述方法,其特征在于,所述对终端的网络接入控制包括控制用户数据对网络带宽资源占用情况的流量控制、对用户终端接入网络的目的地址限定甚至阻断该用户的限制访问控制。
22、根据权利要求5所述方法,其特征在于,所述对终端的应用服务接入控制,至少包括下述之一:用户服务定购信息的获取、不安全终端用户的服务控制过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100329809A CN100502406C (zh) | 2006-01-12 | 2006-01-12 | 在移动终端与移动网络之间实现安全联动的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100329809A CN100502406C (zh) | 2006-01-12 | 2006-01-12 | 在移动终端与移动网络之间实现安全联动的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1859401A true CN1859401A (zh) | 2006-11-08 |
| CN100502406C CN100502406C (zh) | 2009-06-17 |
Family
ID=37298263
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100329809A Expired - Fee Related CN100502406C (zh) | 2006-01-12 | 2006-01-12 | 在移动终端与移动网络之间实现安全联动的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100502406C (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009109118A1 (zh) * | 2008-02-29 | 2009-09-11 | 华为技术有限公司 | 一种终端接入控制方法、网络设备及系统 |
| CN101188851B (zh) * | 2006-11-17 | 2011-03-02 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| CN101562620B (zh) * | 2009-06-02 | 2013-01-02 | 成都市华为赛门铁克科技有限公司 | 一种终端互访的方法和控制装置 |
| CN104509144A (zh) * | 2012-07-02 | 2015-04-08 | 奥林奇公司 | 在终端联接至接入网期间实现安全关联 |
| CN110225490A (zh) * | 2013-11-29 | 2019-09-10 | 日本电气株式会社 | 移动通信系统及其方法和网络节点及其方法 |
-
2006
- 2006-01-12 CN CNB2006100329809A patent/CN100502406C/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101188851B (zh) * | 2006-11-17 | 2011-03-02 | 中兴通讯股份有限公司 | 移动终端准入控制的方法 |
| WO2009109118A1 (zh) * | 2008-02-29 | 2009-09-11 | 华为技术有限公司 | 一种终端接入控制方法、网络设备及系统 |
| CN101562620B (zh) * | 2009-06-02 | 2013-01-02 | 成都市华为赛门铁克科技有限公司 | 一种终端互访的方法和控制装置 |
| CN104509144A (zh) * | 2012-07-02 | 2015-04-08 | 奥林奇公司 | 在终端联接至接入网期间实现安全关联 |
| CN104509144B (zh) * | 2012-07-02 | 2018-07-17 | 奥林奇公司 | 在终端联接至接入网期间实现安全关联 |
| CN110225490A (zh) * | 2013-11-29 | 2019-09-10 | 日本电气株式会社 | 移动通信系统及其方法和网络节点及其方法 |
| US11856074B2 (en) | 2013-11-29 | 2023-12-26 | Nec Corporation | Apparatus, system and method for MTC |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100502406C (zh) | 2009-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2573171C (en) | Host credentials authorization protocol | |
| CN1781302A (zh) | 在安全网络和非安全网络之间连接分组电话呼叫的方法和装置 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| US20100130171A1 (en) | Method and apparatus to perform secure registration of femto access points | |
| CN101068142A (zh) | 一种通信架构及其内的中间路由节点和方法 | |
| CN1777156A (zh) | 用于下一代网络、可动态扩展、开放接口技术的网关 | |
| CN1859401A (zh) | 在移动终端与移动网络之间实现安全联动的方法 | |
| CN1416072A (zh) | 基于认证、计费、授权协议的门户认证实现方法 | |
| CN1767577A (zh) | 对经由访问控制单元访问预付费服务的用户计费的方法 | |
| EP2638496B1 (en) | Method and system for providing service access to a user | |
| CN101064605A (zh) | 一种多主机网络的aaa架构及认证方法 | |
| WO2010127578A1 (zh) | 对电信设备安全状态验证的方法、设备和系统 | |
| CN1496641A (zh) | 把数据终端设备连接到数据网上的方法 | |
| CN1781278A (zh) | 用于在网络环境中提供端到端认证的系统和方法 | |
| CN101060527A (zh) | 协同式通信业务控制系统和方法 | |
| US8532618B2 (en) | System and method for communications device and network component operation | |
| CN101051967A (zh) | 用户网络中用户设备的通信系统及其方法 | |
| CN1863131A (zh) | 业务设备交换网络及交换方法 | |
| CN1764216A (zh) | 一种为用户提供网络服务的系统、装置及方法 | |
| CN1874598A (zh) | 终端接入第二系统网络时进行鉴权的装置、系统及方法 | |
| CN1158817C (zh) | 实现企业接入业务的虚拟ggsn的实现方法及装置 | |
| CN1698393A (zh) | 通信系统 | |
| CN1841401A (zh) | 具有支持安全功能的移动通信终端及其方法 | |
| CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| CN1835480A (zh) | 使用sip通信协议架构作为移动式vpn代理器的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090617 Termination date: 20190112 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |