第三代移动通信网络中实现安全管理的系统及方法
技术领域
本发明涉及网络安全管理技术,尤指一种在第三代移动通信网络操作维 护域中实现北向接口上安全管理的系统及方法。 发明背景
随着移动通信网络的飞速发展,第三代移动通信正在逐步成为发展的目 标和主流。第三代移动通信主要涉及的技术有: WCD.MA技术、 CDMA2000 技术、 TD-SCDMA技术, 为了保证第三代移动通信网络经济、 高效、 可靠 和安全地运行, 网络管理是必不可少的, 第三代合作伙伴计划 (3GPP ) 的 网络管理由专门的第 5系统架构组(SA5 ) 负责。
目前, 3GPP SA5提出了一种网络管理体系结构, 如图 1所示, 该体系 包括网络管理系统和被管理系统两部分,管理系统和被管理系统之间的接口 称为北向接口 (Itf-N, Interface Network )» 3GPP SA5北向接口上的功能是 由若干个集成参照点(IRP, Integration Reference Point )实现的, 其中, IRP 功能的请求方称为 IRP管理器 (IRPManager ), IRP功能的实现方称为 IRP 代理器 ( IRPAgent )。 也就是说, 北向接口上有若干对 IRPManager 和 IRPAgent , 图 1仅以一对为例, 说明 IRPManager和 IRPAgent之间的关系。 这里, IRPManager的任务是发送管理命令给 IRPAgent, 请求 IRPAgent进行 某种操作, 并接收 IRPAgent发来的操作响应以及网絡内部事件报告, 即通 知; IRPAgent用于直接管理网元设备(NE ), 接收 IRPManager发来的管理 命令并向 IRPManager返回操作响应, 也可以在需要时主动向 IRPManager 发出通知。 基于上述架构, 网络管理系统主要包括 IRPManager, 被管理系 统有两种形式: 可以是包括 IRPAgent和若干被管网元, 也可以将 IRPAgent
作为被管网元的一部分置于被管网元的内部。
在第三代移动通信网的网络管理中, 网络管理系统 ( NMC )承担了 IRPManager的角色, 3G网元设备的操作维护系统( OMC )或 3G网元设备 承担了 IRPAgent的角色, 这里的 3G网元设备泛指设备商提供的 3G设备。 一般情况下, Itf-N位于 NMC与 OMC之间, 由 OMC向 NMC提供北向接 口, 此种情况下, OMC和 NE之间的接口为设备内部接口, 接口定义不限。 NMC也可以与部分网元设备直接连接, 这部分网元设备直接向 NMC提供 管理接口, 此时, Itf-N位于 NMC与 NE之间。
3GPP SA5提出: 第三代移动通信网中, 网络管理接口的基本功能需求 包括公共管理功能、 配置管理功能、 故障管理功能、 性能管理功能和安全管 理功能。其中,安全管理功能主要用于防止其他接口管理功能,如配置管理、 性能管理等功能的不安全使用,进而防止被管理系统中管理信息的不受控暴 露,或对被管理系统的不受控操作,保护通过北向接口传递的管理信息的完 整性和机密性。 另外,还要在被管理系统出现安全入侵情况时向管理系统报 告, 并保留入侵活动记录, 以便进行安全审计。 具体的安全管理功能包括对 管理系统和被管理系统的认证服务、 鉴权服务、 完整性保护、 机密性保护、 审计日志服务等。
虽然, 3GPP SA5定义了 Itf-N的安全管理功能需求, 但如何实现 Itf-N 的安全管理以及安全管理的各项功能需求,目前尚未提供具体明确的解决方 案。 发明内容
有鉴于此,本发明的主要目的在于提供一种第三代移动通信网络操作维 护域中实现安全管理的系统,使得 3GPP SA5 Itf-N接口能支持安全管理的基 本功能需求。
本发明的另一目的在于提供一种第三代移动通信网络操作维护域中实
现安全管理的方法,能在 3GPP SA5 Itf-N接口上实现安全管理的各种安全服 务。
为达到上述目的, 本发明的技术方案是这样实现的:
一种第三代移动通信网络中实现安全管理的系统,在 3GPP SA5的北向 接口上包括至少一对作为集成参考点 IRP 功能请求方的 IRP 管理器 IRPManager和作为 IRP功能实现方的 IRP代理器 IRPAgent, 关键在于: 北 向接口上还进一步包括连接于 IRPManager和 IRPAgent之间的安全管理服务 功能实体,该安全管理服务功能实体用于为 IRPManager和 IRPAgent提供安 全服务。
其中, 所述安全管理服务功能实体进一步包括: 认证服务模块, 用于提 供认证服务; 鉴权服务模块, 用于提供鉴权服务; 完整性服务模块, 用于保 证在 IRPManager和 IRPAgent之间传递信息的完整性;机密性服务模块,用 于保证在 IRPManager和 IRPAgent之间传递信息的机密性;审计日志服务模 块, 用于记录成功或失败的认证、 鉴权、 机密性服务、 完整性服务和操作。
上面所述安全管理服务功能实体包括: IRPManager侧安全管理服务功 能实体和 IRPAgent侧安全管理服务功能实体。
一种第三代移动通信网络中实现安全管理的方法,在北向接口上设置用 于实现安全服务的安全管理服务功能实体, 该方法还包括以下步骤:
安全管理服务功能实体接收 IRPManager或 IRPAgent当前传输的信息 后,根据预先设定的安全策略和传输信息的内容确定是否需要对当前收到的 传输信息进行安全服务, 如果需要, 则确定并执行所需的安全服务, 然后将 经过安全服务处理的传输信息发送给 IRPAgent或 IRPManager; 否则, 直接 透传该信息, 并结束当前的处理流程;
其中, 所述安全服务为认证服务、 或鉴权服务、 或完整性服务、 或机密 性服务、 或审计日志服务、 或五种服务的任意组合。
其中, 所述传输信息为: 操作信息、 或通知、 或文件。 所述认证服务运 行于北向接口的 ORB层、 或传输层、 或 ORB层和传输层; 所述鉴权服务 运行于北向接口的 ORB层、 或应用层、 或 ORB层和应用层; 所述完整性 服务运行于北向接口的应用层、 或传输层、 或应用层和传输层; 所述机密性 服务运行于北向接口的应用层、 或传输层、 或应用层和传输层; 所述审计日 志服务运行于北向接口的 ORB层、 或应用层、 或 ORB层和应用层。
上述方案中,所述执行的安全服务为认证服务时,将安全管理服务功能 实体作为 IRPManager和 IRPAgent的可信第三方,安全管理服务功能实体在 IRPManager和 IRPAgent之间建立一条可靠链接, 该方法进一步包括:
当 IRPManager向 IRPAgent发送请求时, IRPManager请求 IRPManager 侧安全管理服务功能实体对自身进行认证, 创建信任状; IRPAgent收到请 求前, IRPAgent侧安全管理服务功能实体请求获取请求发送方 IRPManager 的信任状, 并验证所获取的信任状, 如果验证成功, 则实现对 IRPManager 的认证;
当 IRPAgent请求向 IRPManager发送通知时, IRPAgent请求 IRPAgent 侧安全管理服务功能实体对自身进行认证, 创建信任状, IRPManager在收 到通知前, IRPManager侧安全管理服务功能实体请求获取 IRPAgent的信任 状, 并验证所获取的信任状, 如果验证成功, 则实现了对 IRPAgent的认证。
上述方案中,所述执行的安全服务为审计日志服务时,该方法进一步包 括:
bl. 开始认证过程, 判断认证是否成功, 如果认证失败, 则根据预先设 定的安全策略判断是否记录认证失败日志,如果记录, 则记录认证失败过程 及其失败结果, 然后结束当前处理流程; 如果不记录, 则直接结束当前处理 流程; 如果认证成功, 则根据预先设定的安全策略判断是否记录认证成功日 志, 如果记录, 则记录认证成功过程及其成功结果, 然后执行步骤 b2, 如
果不记录, 则直接执行步骤 b2;
b2. 开始鉴权过程, 判断鉴权是否成功, 如果鉴权失败, 则根据预先设 定的安全策略判断是否记录鉴权失败日志,如果记录,则记录鉴权失败过程, 然后结束当前处理流程; 如果不记录, 则直接结束当前处理流程; 如果鉴权 成功, 则根据预先设定的安全策略判断是否记录鉴权成功日志, 如果记录, 则记录鉴权成功过程, 然后执行步骤 b3 , 如果不记录, 则直接执行步骤 b3; b3. 开始执行操作过程, 判断操作是否成功, 如果操作失败, 则根据预 先设定的安全策略判断是否记录操作失败日志,如果记录, 则记录操作失败 过程, 然后结束当前处理流程; 如果不记录, 则直接结束当前处理流程; 如 果操作成功, 则根据预先设定的安全策略判断是否记录操作成功日志,如果 记录, 则记录操作成功过程, 然后结束当前处理流程, 如果不记录, 则直接 结束当前处理流程。
上述方案中, 北向接口上的所有 IRP使用同一个 ORB; 或者, 北向接 口上安全需求相似的 IRP使用同一个 ORB。 其中, 使用同一个 ORB的不同 IRP采用的安全保护策略不同。
本发明所提供的第三代移动通信网络中实现安全管理的系统及方法,具 有以下的优点和特点:
1 )由于在原有的北向接口增加了安全管理服务功能实体,使 3GPP SA5 Itf-N接口能实现网絡安全管理, 能实现的 Itf-N功能的受控使用包括 Itf-N 上传输信息的完整性和机密性。
2 )本发明中的安全管理服务功能实体能够提供认证、 鉴权、 完整性、 机密性和审计日志五种安全服务,使 IRPManager和 IRPAgent之间传输的各 种信息,都必须经过安全管理服务功能实体的处理,从而保证并提高了整个 网络管理系统的安全可靠性。
3 )本发明中的安全管理服务功能实体提供的五种安全服务可以根据不
同的需求任意选择, 实现起来灵活、 方便。
4 )针对每种安全服务本发明都提出了一个较佳的实现方案, 从而给出 了 3GPP SA5 M-N安全管理的具体实施方式,完善了 3GPP SA5的网络管理 技术。
5 )本发明针对每种安全服务还结合北向接口层的划分, 具体给出了每 种安全服务在不同层进行的处理; 且对于同一种安全服务, 不同层的处理在 实际应用中也是可选的, 因此, 本发明不仅完善了 3GPP SA5的网络管理技 术, 而且实现方案简单、 灵活'、 多样。 附图简要说明
图 1为现有技术中 3GPP SA5网络管理系统架构示意图;
图 2为本发明中 3GPP SA5网络管理系统架构示意图;
图 3为本发明中安全管理服务功能实体的组成结构示意图;
图 4为 3GPP SA5北向接口三层结构示意图;
图 5为本发明方法的实现流程示意图;
图 6为本发明中审计日志服务的具体实现流程图。 实施本发明的方式
本发明的核心思想是: 在北向接口上增加安全管理服务功能实体,该安 全管理服务功能实体能提供认证、 鉴权、 完整性、机密性以及审计日志五种 安全服务,使所有在 IRPManager和 IRPAgent之间传输的信息都经过安全管 理服务功能实体,并根据需要对当前传输信息执行不同的安全服务,从而在 3GPP SA5 Itf-N接口上实现安全管理需求。 其中, 安全管理服务功能实体包 括 IRPManager侧安全管理服务功能实体和 IRPAgent侧安全管理服务功能实 体。
本发明中实现安全管理的网管系统架构如图 2所示,同时在 IRPManager
侧增加 IRPManager侧安全管理服务功能实体、在 IRPAgent侧增加 IKPAgent 侧安全管理服务功能实体, IRPManager 侧安全管理服务功能实体和 IRPAgent侧安全管理服务功能实体合称为安全管理服务功能实体, 设置并 连接于北向接口上, IRPManager和 IRPAgent通过安全管理服务功能实体实 现通信, 包括操作、 通知和文件传输。 IRPManager发出的 作请求信息、 文件传输信息经过 IRPManager侧安全管理服务功能实体和 IRPAgent侧安全 管理服务功能实体传输至 IRPAgent; 同样, IRPAgent发出的通知信息经过 IRPAgent侧安全管理服务功能实体和 IRPManager侧安全管理服务功能实体 传输至 IRPManager。 安全管理服务功能实体可以提供认证服务、 完整性服 务、 机密性服务、 鉴权服务以及审计日志服务。
安全管理服务功能实体可以通过分别为 IRPManager和 IRPAgent配置安 全策略脚本的方式, 简称为配置方式,为 IRPManager和 IRPAgent提供安全 服务。安全管理服务功能实体也可以通过提供编程接口的方式, 筒称为编码 方式, 使 IRPManager、 IRPAgent能够通过编码使用安全管理服务功能实体 提供的各种服务。上述安全管理服务功能实体提供服务的配置方式可以避免 修改已存在的 IRPManager和 IRPAgent;编码方式对 IRPManager和 IRPAgent 的影响也很小。 然而,如果 IRPAgent希望控制 IRPManager对特定资源的访 问, 比如: 访问由接口操作的参数指定的资源, 则需要 IRPAgent使用针对 资源的访问控制决定组件。
每个安全管理服务功能实体的组成结构如图 3所示, 包括: 认证服务模 块、 鉴权服务模块、 完整性服务模块、机密性服务模块以及审计日志服务模 块。 其中, 认证服务模块用于提供认证服务; 鉴权服务模块用于提供鉴权服 务; 完整性服务模块用于提供完整性服务, 保证在 IRPManager和 IRPAgent 之间传递的信息的完整性; 机密性服务模块用于提供机密性服务, 保证在 IRPManager和 IRPAgent之间传递的信息的机密性; 审计日志服务模块用于
提供安全审计服务, 记录成功或失败的认证、 鉴权、 完整性保护、 机密性保 护和操作。 认证服务模块、 鉴权服务模块、 完整性服务模块、 机密性服务模 块以及审计日志服务模块拦截来自本侧或发给本侧网络实体的传输信息,然 后该传输信息所需执行的安全服务对应的模块启动响应的安全服务 ,对该传 输信息进行相应的安全管理操作。 这里的传输信息包括: 操作、通知和文件 传输。
对于认证服务模块、 鉴权服务模块、 完整性服务模块、机密性服务模块 以及审计日志服务模块, 不同应用环境下, IRPManager侧安全管理服务功 能实体和 IRPAgent侧安全管理服务功能实体分别执行每个模块中不同部分 的功能, 比如: 针对认证服务, 如果是 IRPManager对 IRPAgent进行认证, 那么, IRPAgent侧安全管理服务功能实体需要创建信任状, 并将信任状发 送给 IRPManager侧安全管理服务功能实体,相应的, IRPManager侧安全管 理服务功能实体需要对收到的信任状进行认证,判断 IRPAgent的真实身份。 再比如: 针对完整性服务、 机密性服务, 一侧需要进行信息加密等操作, 相 应的, 另一侧则需要进行信息解密等操作。
IRPManager与 IRPAgent之间传输的所有信息都会被安全管理服务功能 实体拦截,安全管理服务功能实体根据当前拦截到的传输信息内容,就可以 知道该信息需要执行哪些安全服务,需要执行哪种安全服务就直接由哪个服 务模块启动相应的安全服务。这里,每种信息需要执行何种安全服务是预先 定义好的, 比如: 如果是操作, 就需要执行认证、 鉴权、 审计日志三项安全 服务; 如果是文件传输, 就需要执行完整性服务等等。
以 IRPManager对 IRPAgent进行配置管理业务为例 ,该操作需要执行的 安全服务包括认证服务、 鉴权服务以及审计日志服务, 那么, IRPManager 向 IRPAgent进行配置操作时, 所发送的配置请求和配置信息先分别经过 IRPManager侧安全管理服务功能实体和 IRPAgent侧安全管理服务功能实
体,安全管理服务功能实体中的认证服务模块、鉴权服务模块以及审计曰志 服务模块将分别对所收到的信息进行认证、 鉴权, 并对认证、 鉴权以及所涉 及到的操作是否成功进行记录,如果需要,也可以进一步记录失败原因等相 关信息。 如果认证、 鉴权、 完整性检验都成功, 则信息传输至 IRPAgent, IRPAgent根据所收到的信息进行相应的操作; 如果认证、 鉴权、 完整性检 验没有都成功, 则安全管理服务功能实体中的相应模块向 IRPManager返回 失败信息, 拒绝当前的操作。
由于北向接口 Itf-N分为三层: 应用层、 对象请求代理(ORB, Object Request Broker )层和传输层 , 如图 4所示, 所以, 在实际应用中, 上面所 述的认证舉务、鉴权服务、 完整性服务、机密性服务和审计日志服务也分别 在不同层上提供,有的安全服务可以同时在两个层上提供。对于同一安全服 务,每层的实现方案是相互独立,可以根据需要选择在两层都提供该安全服 务,也可以只选择在某一层上提供该安全服务。上述五种安全服务具体能在 哪层上提供如表一所示, 表中的 "X" 表示该层提供该安全服务。
从表一及图 4可以看出,本发明的安全管理服务功能实体可以在传输层 提供认证服务、 完整性服务、 机密性服务; 在 ORB层提供认证服务、 鉴权 服务、 审计日志服务; 在应用层提供鉴权服务、 审计日志服务, 也可以根据 需要提供完整性服务和机密性服务。
具体来说, 对于认证服务, ORB 层的认证可以使用一般安全服务用户
名密码 ( GSSUP, Generic Security Services Usemame Password )机制, 传输 层的认证可以使用 ITU-T X.509证书机制。
对于鉴权服务, 在 ORB层上, 安全管理服务功能实体首先获取请求发 送者的访问标识; 而后获取请求内容, 即被请求操作名称, 可以包括操作所 属接口的名称;最后安全管理服务功能实体根据预定义的访问控制列表检查 访问者是否有权限执行被请求操作。在应用层上,安全管理服务功能实体间 接提供鉴权服务, 当 IRPAgent要求进行应用层鉴权服务时, 安全管理服务 功能实体提供访问者标识、 被请求操作名称及其参数等信息给 IRPAgent, 以便 IRPAgent根据上述信息以及预定义的访问控制列表进行鉴权。
对于完整性服务, 在应用层上, 一般在有传输层完整性服务的条件下, 应用层完整性服务可以由鉴权服务同时提供,这是由于鉴权可以保证被保护 信息不会被非授权 IRPManager访问 , 避免了信息被非授权 IRPManager访 问。 但对于特别敏感的数据, 还是需要应用层完整性服务。 根据安全管理服 务功能实体需求, 目前只有批配置管理110> ( 8111¾: 0]\4110) )的 XML格式的 激活(Active )配置文件需要进行应用层完整性保护, 安全管理服务功能实 体并不直接向 Bulk CM IRP提供应用层完整性保护, 而是通过修改现有 Active配置文件, 使用 XML签名技术来实现对批配置管理 IRP ( Bulk CM IRP ) 的完整性保护。 在传输层上, 安全管理服务功能实体在传输层使用 X.509证书数字签名技术向 IRPManager和 IRPAgent提供传输层完整性保 护, 当被传输信息的完整性被破坏时, 向信息接收者发送异常。
对于机密性服务, 在应用层上, 一般在有传输屋机密性服务的条件下, 应用层机密性服务可以由鉴权服务同时提供,这是由于鉴权可以保证被保护 信息不会被非授权 IRPManager访问, 避免了信息被非授权 IRPManager访 问。 但对于特别敏感的数据, 还需要应用层机密性服务。 如果 IRPManager 和 IRPAgent之间传递的 XML文件需要应用层机密性服务,则使用 XML加
密技术来实现对 XML 文件的机密性保护, 安全管理服务功能实体间接向 IRP提供应用层机密性保护。在传输层上 ,安全管理服务功能实体使用 X.509 证书数字签名技术向 IRPManager和 IRPAgent提供传输层机密性保护,当被 传输信息的机密性被破坏时, 向信息接收者发送异常。
对于审计日志服务, 安全管理服务功能实体向 IRPAgent提供的审计曰 志服务可以在 ORB层实现, 即: 当针对某个 IRPAgent的安全审计日志的记 录条件定制完毕后, 审计日志由 ORB自动进行记录, IRPAgent不参与记录 过程。 安全管理服务功能实体向 IRPAgent提供的审计日志服务还可以在应 用层实现, 即: 安全管理服务功能实体提供写入审计日志记录的接口, IRPAgent可以在处理 IRPManager的请求过程中 , 向审计日志中写入记录。
上述认证服务和鉴权服务在 ORB层上的实现都是基于公用对象请求代 理架构(CORBA, Common Object Request Broker Architecture )技术的, 所 以, 也可以看作是 CORBA服务。 所谓 CORBA技术是一组标准, 用于定义 分布式对象系统。 CORBA标准中规定了接口定义语言 (IDL )和应用编程 接口 (API ), 并通过实现对象请求代理(ORB )来激活客户 /服务器的交互。 其中, ORB 是一个中间件, 用于在对象间建立客户-服务器的关系。 通过 CORBA, 用户不必知道软硬件的平台以及自身所处的位置就可以操作。
北向接口上的所有 IRP可以在 ORB层上、 应用层上受到安全保护; 不 同 IRP在 ORB层和应用层的安全保护策略可以各不相同; 但是, 一个特定 IRP的所有实例在整个通信系统内必须具有相同的安全保护策略。 例如:
1 )北向接口上所有 IRP使用同一个 ORB, 应用相同的 ORB层安全策 略, 但针对不同的 IRP定义各自的安全保护策略; 特殊的, 部分 IRP可以 不应用安全策略。 举个筒单的例子: 对于 IRP1定义的安全保护策略是: 要 对 get操作和 set操作针对某些网络资源的访问进行鉴权服务, 而对于 IRP2 定义的安全保护策略是: 仅对 set操作针对某些网络资源的访问进行鉴权服
务; ORB层的安全策略为使用 GSSUP机制进行 IRPManager和 IRPAgent 的认证, 并对所有操作进行鉴权, 例如: 允许 IRP1和 IRP2的所有操作, 但是禁止 IRP3的操作。
2 )北向接口上对于安全需求相似的 IRP使用同一个 ORB, 每个 ORB 应用各自的安全策略; 安全需求不相似的 IRP使用不同的 ORB, 使用同一 ORB的 IRP采用各自的安全保护策略。特殊的, 上述 ORB中的某些 IRP可 以不应用任何应用层安全策略。
基于上述实现北向接口网络安全管理的系统,也就是说,在北向接口上 设置安全管理服务功能实体的基 上,本发明实现网络安全管理的方法如图 5所示, 包括以下的步骤:
步骤 501~503: 安全管理服务功能实体拦截 IRPManager或 IRPAgent发 送的传输信息,然后根据预先设定的安全策略和传输信息的内容确定是否需 要对该传输信息进行安全服务, 如果需要, 则执行步骤 504; 否则, 直接透 传该传输信息, 并结束当前的处理流程。 这里的传输信息包括: 操作、 通知 和文件传输。
步骤 504~505:根据传输信息的内容确定并执行所需的安全服务,比如: 是操作就要执行认证、 鉴权、 审计日志; 是文件传输就要执行完整性服务等 等; 然后将经过安全服务处理的传输信息发送给 IRPAgent或 IRPManager。
步骤 504中所述的执行所需的安全服务是指认证服务、或鉴权服务、或 完整性服务、 或机密性服务、 或审计日志服务、 或五种服务的任意组合; 并 且,在实际执行过程中包括 IRPAgent和 IRPManager两侧安全管理服务功能 实体的操作, 即: 在发送方, 安全管理服务功能实体对接收到的传输信息进 行所需的安全服务,对传输信息进行修改或在传输信息上附加信息; 在接收 方,安全管理服务功能实体要对收到的传输信息进行相应的安全服务, 恢复 出原传输信息, 然后再根据传输信息内容进行相应的处理。 比如说: 如果实
施完整性服务、 机密性服务, 在发送方需要加密, 就是对传输信息的修改, 那么 ,接收方根据执行的安全服务类型或预先设定的安全策略可以获知当前 执行的安全服务是完整性服务、机密性服务, 则需要进行解密, 还原传输信 息; 再比如: 如果执行认证服务, 发送方需要在传输信息上附加创建的信任 状, 相应的, 接收方确认当前执行的安全服务是认证服务, 接收方就需要从 收到的信息中提取出信任状, 然后验证这个信任状,从而判定发送方的真实 身份。
实际上, 各种安全服务都有很多种已有的实现方式, 本发明中, 所选用 认证服务的实现思想是: 将安全管理服务功能实体作为 IRPManager 和 IRPAgent的可信任第三方, 帮助 IRPManager和 IRPAgent相互进行认证, 即安全管理服务功能实体在 IRPManager和 IRPAgent之间建立一条可靠链 接。 具体实现是:
当 IRPManager向 IRPAgent发送请求时, IRPManager请求 IRPManager 侧安全管理服务功能实体对自身进行认证, 创建信任状。 IRPAgent在收到 请求前, IRPAgent 侧安全管理服务功能实体请求获取请求发送方 IRPManager的信任状, 并验证所获取的信任状, 如果验证成功, 则实现了 对 IRPManager的认证。
当 IRPAgent请求向 IRPManager发送通知时, IRPAgent请求 IRPAgent 侧安全管理服务功能实体对自身进行认证, 创建信任状, IRPManager在收 到通知前, IRPManager侧安全管理服务功能实体请求获取 IRPAgent的信任 状, 并对获取的信任状进行验证, 如果验证成功, 则实现了对 IRPAgent的 认证。
对于认证服务, 当以配置方式使用安全管理服务功能实体的认证服务 时,上述过程对于 IRPManager和 IRPAgent是不可见的。 当以编码方式使用 安全管理服务功能实体的认证服务时,需要 IRPManager和 IRPAgent显式请
求认证服务。
本发明所选用的鉴权服务的思想是:安全管理服务功能实体向 IRPAgent 提供鉴权服务, 即: 当 IRPAgent接收到 IRPManager的请求时, IRPAgent 请求安全管理服务功能实体对请求发送者 IRPManager进行鉴权, 这里所述 鉴权包括: IRPAgent侧安全管理服务功能实体先从 IRPManager的信任状中 获取请求者标识, 再查询访问者的访问控制列表, 以确定该 IRPManager是 否有权执行被请求操作。
本发明所选用的审计日志服务的思想是: 当 IRPAgent接收到来自 IRPManager的请求时,安全管理服务功能实体记录 IRPAgent对 IRPManager 的认证过程及其结果, 如果认证成功, 则需要记录 IRPAgent对 IRPManager 的鉴权过程及其结果,如果鉴权成功,则需要记录 IRPAgent执行 IRPManager 请求的过程及其结果。
安全管理服务功能实体还可以向 IRPAgent提供审计日志定制工具, 允 许 IRPAgent定制哪些过程需要记录日志, 比如: 允许仅记录成功或失败的 认证过程; 允许仅记录成功或失败的鉴权过程; 允许仅记录成功或失败的操 作执行过程; 允许仅记录指定的一组操作的执行过程; 允许记录上述情况的 组合。
IRPAgent接收到 IRPManager的请求后, 具体的审计日志服务的实现过 程如图 6所示, 包括以下的步骤:
步骤 601〜602: 开始认证过程, 然后判断认证是否成功, 如果是, 则执 行步骤 605; 否则, 执行步骤 603。
步骤 603~604: 根据预先设定的安全策略判断是否记录认证失败日志, 如果是,则记录认证失败过程及其失败结果,然后结束当前处理流程;否则, 直接结束当前处理流程。本流程中所述的安全策略主要是指审计日志的记录 条件, 比如: 需要记录哪些信息或过程, 允许记录哪些信息或过程等等。
步驟 605-606: 根据预先设定的安全策略判断是否记录认证成功日志, 如果是, 则记录认证成功过程及其成功结果 , 然后执行步骤 607; 否则, 直 接执行步骤 607。
步驟 607~608: 开始鉴权过程, 然后判断鉴权是否成功, 如果是, 则执 行步骤 611; 否则, 执行步骤 609。
步骤 609〜610: 根据预先设定的安全策略判断是否记录鉴权失败曰志, 如果是, 则记录鉴权失败过程, 然后结束当前处理流程; 否则, 直接结束当 前处理流程。
步骤 611~612: 根据预先设定的安全策略判断是否记录鉴权成功日志, 如果是,则记录鉴权成功过程,然后执行步骤 613;否则,直接执行步骤 613。
步骤 613〜614: 开始执行操作过程, 然后判断操作是否执行成功, 如果 是, 则执行步骤 617; 否则, 执行步骤 615。
步骤 615 616: 根据预先设定的安全策略判断是否允许操作失败曰志, 如果是, 则记录执行操作失败过程, 然后结束当前处理流程; 否则, 直接结 束当前处理流程。
步骤 617~618: 根据预先设定的安全策略判断是否记录操作成功日志, 如果是, 则记录执行操作成功过程, 然后结束当前处理流程; 否则, 直接结 束当前处理流程。
如果在 IRPManager和 IRPAgent之间还执行了机密性服务和 /或完整性 服务, 审计日志服务同样可以根据预先设定的安全策略记录机密性服务和 / 或完整性服务的成功过程、 失败过程, 也就是说, 可以预先定制记录成功过 程和 /或失败过程, 相应的, 在图 6的处理过程中增加以下的步骤:
开始机密性服务过程, 然后判断机密性服务是否成功, 如果成功, 则根 据预先设定的安全策略判断是否记录机密性服务成功日志,如果是, 则记录 机密性服务成功过程, 然后执行后续步骤; 否则, 直接执行后续步驟; 如果
没有成功, 则根据预先设定的安全策略判断是否记录机密性服务失败曰志, 如果是, 则记录机密性服务失败过程, 然后结束当前处理流程; 否则, 直接 结束当前处理流程。
同样, 针对完整性服务也可以增加类似的步骤, 当然, 针对机密性服务 和完整性服务的步骤可以同时都增加。
以上所述,仅为本发明的较佳实施例而已, 并非用于限制本发明的保护 范围。