專利名稱:第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全管理技術(shù),尤指一種在第三代移動通信網(wǎng)絡(luò)操作維護(hù)域中采用CORBA技術(shù)實現(xiàn)的北向接口上安全管理的系統(tǒng)及方法����。
背景技術(shù):
隨著移動通信網(wǎng)絡(luò)的飛速發(fā)展,第三代移動通信正在逐步成為發(fā)展的目標(biāo)和主流�����。第三代移動通信主要涉及的技術(shù)有WCDMA技術(shù)���、CDMA2000技術(shù)�、TD-SCDMA技術(shù)����,為了保證第三代移動通信網(wǎng)絡(luò)經(jīng)濟、高效���、可靠和安全地運行�����,網(wǎng)絡(luò)管理是必不可少的���,第三代合作項目組織(3GPP)的網(wǎng)絡(luò)管理由專門的第5系統(tǒng)架構(gòu)組(SA5)負(fù)責(zé)���。
目前,3GPP SA5提出了一種網(wǎng)絡(luò)管理體系結(jié)構(gòu)�����,如圖1所示��,該體系包括網(wǎng)絡(luò)管理系統(tǒng)和被管理系統(tǒng)兩部分��,管理系統(tǒng)和被管理系統(tǒng)之間的接口稱為北向接口(Itf-N�����,Interface Network)�����。3GPP SA5北向接口上的功能是由若干個集成參照點(IRP�����,Integration Reference Point)實現(xiàn)的��,其中��,IRP功能的請求方稱為IRP管理器(IRPManager)�,IRP功能的實現(xiàn)方稱為IRP代理器(IRPAgent)。也就是說��,北向接口上有若干對IRPManager和IRPAgent��,圖1僅以一對為例���,說明IRPManager和IRPAgent之間的關(guān)系���。這里,IRPManager的任務(wù)是發(fā)送管理命令給IRPAgent���,請求IRPAgent進(jìn)行某種操作����,并接收IRPAgent發(fā)來的操作響應(yīng)以及網(wǎng)絡(luò)內(nèi)部事件報告�,即通知;IRPAgent用于直接管理網(wǎng)元設(shè)備(NE)�,接收IRPManager發(fā)來的管理命令并向IRPManager返回操作響應(yīng),也可以在需要時主動向IRPManager發(fā)出通知?����;谏鲜黾軜?gòu)���,網(wǎng)絡(luò)管理系統(tǒng)主要包括IRPManager�����,被管理系統(tǒng)有兩種形式可以是包括IRPAgent和若干被管網(wǎng)元���,也可以將IRPAgent作為被管網(wǎng)元的一部分置于被管網(wǎng)元的內(nèi)部。
在第三代移動通信網(wǎng)的網(wǎng)絡(luò)管理中����,網(wǎng)絡(luò)管理系統(tǒng)(NMC)承擔(dān)了IRPManager的角色,3G網(wǎng)元設(shè)備的操作維護(hù)系統(tǒng)(OMC)或3G網(wǎng)元設(shè)備承擔(dān)了IRPAgent的角色�����,這里的3G網(wǎng)元設(shè)備泛指設(shè)備商提供的3G設(shè)備���。一般情況下�,Itf-N位于NMC與OMC之間����,由OMC向NMC提供北向接口,此種情況下�,OMC和NE之間的接口為設(shè)備內(nèi)部接口,接口定義不限��。NMC也可以與部分網(wǎng)元設(shè)備直接連接�����,這部分網(wǎng)元設(shè)備直接向NMC提供管理接口��,此時����,Itf-N位于NMC與NE之間。
3GPP SA5提出第三代移動通信網(wǎng)中�,網(wǎng)絡(luò)管理接口的基本功能需求包括公共管理功能、配置管理功能���、故障管理功能�����、性能管理功能和安全管理功能����。其中,安全管理功能主要用于防止其他接口管理功能�,如配置管理、性能管理等功能的不安全使用���,進(jìn)而防止被管理系統(tǒng)中管理信息的不受控暴露���,或?qū)Ρ还芾硐到y(tǒng)的不受控操作,保護(hù)通過北向接口傳遞的管理信息的完整性和機密性��。另外�,還要在被管理系統(tǒng)出現(xiàn)安全入侵情況時向管理系統(tǒng)報告,并保留入侵活動記錄��,以便進(jìn)行安全審計���。具體的安全管理功能包括對管理系統(tǒng)和被管理系統(tǒng)的認(rèn)證服務(wù)��、鑒權(quán)服務(wù)�����、完整性保護(hù)��、機密性保護(hù)����、審計日志服務(wù)等���。
雖然���,3GPP SA5定義了Itf-N的安全管理功能需求,但如何實現(xiàn)Itf-N的安全管理以及安全管理的各項功能需求����,目前尚未提供具體明確的解決方案。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種第三代移動通信網(wǎng)絡(luò)操作維護(hù)域中實現(xiàn)安全管理的系統(tǒng)�����,使其能支持安全管理的基本功能需求在CORBA實現(xiàn)的3GPP SA5 Itf-N接口上實現(xiàn)。
本發(fā)明的另一目的在于提供一種第三代移動通信網(wǎng)絡(luò)操作維護(hù)域中實現(xiàn)安全管理的方法,能在CORBA實現(xiàn)的3GPP SA5 Itf-N接口上實現(xiàn)安全管理的各種安全服務(wù)��。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的系統(tǒng)�����,在3GPP SA5的北向接口上包括至少一對作為集成參考點IRP功能請求方的IRP管理器IRPManager和作為IRP功能實現(xiàn)方的IRP代理器IRPAgent����,關(guān)鍵在于北向接口上還進(jìn)一步包括連接于IRPManager和IRPAgent之間的安全管理IRP��,該安全管理IRP用于為IRPManager和IRPAgent提供安全服務(wù)。
其中��,所述安全管理IRP進(jìn)一步包括認(rèn)證服務(wù)模塊�,用于提供認(rèn)證服務(wù);鑒權(quán)服務(wù)模塊��,用于提供鑒權(quán)服務(wù)���;完整性服務(wù)模塊���,用于保證在IRPManager和IRPAgent之間傳遞信息的完整性;機密性服務(wù)模塊���,用于保證在IRPManager和IRPAgent之間傳遞信息的機密性�;審計日志服務(wù)模塊�,用于記錄成功或失敗的認(rèn)證���、鑒權(quán)和操作。
上面所述安全管理IRP包括IRPManager側(cè)的安全管理IRPManager和IRPAgent側(cè)的安全管理IRPAgent�。
一種第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的方法,在北向接口上設(shè)置用于實現(xiàn)安全服務(wù)的安全管理IRP��,該方法還包括以下步驟a.安全管理IRP接收當(dāng)前IRPManager和IRPAgent之間傳輸?shù)男畔⒑?��,根?jù)預(yù)先設(shè)定的安全策略和傳輸信息的內(nèi)容確定是否需要對當(dāng)前收到的傳輸信息進(jìn)行安全服務(wù)���,如果需要����,則執(zhí)行步驟b;否則�,直接透傳該信息,并結(jié)束當(dāng)前的處理流程�����;b.確定并執(zhí)行所需的安全服務(wù)�����,然后判斷安全服務(wù)是否允許傳輸信息通過,如果允許�,則透傳當(dāng)前收到的傳輸信息,接收方根據(jù)該傳輸信息完成相應(yīng)處理���;否則����,拒絕該傳輸信息���;其中所述安全服務(wù)為認(rèn)證服務(wù)�����、或鑒權(quán)服務(wù)����、或完整性服務(wù)���、或機密性服務(wù)�、或?qū)徲嬋罩痉?wù)���、或五種服務(wù)的任意組合����。
其中,步驟a中所述傳輸信息為操作信息�、或通知、或文件����。所述認(rèn)證服務(wù)運行于北向接口的ORB層、或傳輸層���、或ORB層和傳輸層���;所述鑒權(quán)服務(wù)運行于北向接口的ORB層、或應(yīng)用層���、或ORB層和應(yīng)用層;所述完整性服務(wù)運行于北向接口的應(yīng)用層����、或傳輸層、或應(yīng)用層和傳輸層���;所述機密性服務(wù)運行于北向接口的應(yīng)用層�����、或傳輸層���、或應(yīng)用層和傳輸層����;所述審計日志服務(wù)運行于北向接口的ORB層���、或應(yīng)用層�����、或ORB層和應(yīng)用層��。
上述方案中�,步驟b中所述執(zhí)行的安全服務(wù)為認(rèn)證服務(wù)時�,將安全管理IRP作為IRPManager和IRPAgent的可信第三方,安全管理IRP在IRPManager和IRPAgent之間建立一條可靠鏈接�,該方法進(jìn)一步包括當(dāng)IRPManager向IRPAgent發(fā)送請求時,IRPManager請求安全管理IRPManager對自身進(jìn)行認(rèn)證���,獲取信任狀�;IRPAgent收到請求前,安全管理IRPAgent請求獲取請求發(fā)送方IRPManager的信任狀�,如果獲取成功,則實現(xiàn)對IRPManager的認(rèn)證���;當(dāng)IRPAgent請求向IRPManager發(fā)送通知時�,IRPAgent請求安全管理IRPAgent對自身進(jìn)行認(rèn)證�,獲取信任狀,IRPManager在收到請求前��,安全管理IRPManager請求獲取IRPAgent的信任狀�,如果獲取成功,則實現(xiàn)了對IRPAgent的認(rèn)證�����。
上述方案中����,步驟b中所述執(zhí)行的安全服務(wù)為審計日志服務(wù)時,該方法進(jìn)一步包括b1.開始認(rèn)證過程��,判斷認(rèn)證是否成功���,如果認(rèn)證失敗����,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證失敗日志����,如果記錄,則記錄認(rèn)證失敗過程及其失敗結(jié)果���,然后結(jié)束當(dāng)前處理流程�����;如果不記錄�,則直接結(jié)束當(dāng)前處理流程�����;如果認(rèn)證成功��,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證成功日志���,如果記錄���,則記錄認(rèn)證成功過程及其成功結(jié)果��,然后執(zhí)行步驟b2��,如果不記錄��,則直接執(zhí)行步驟b2��;b2.開始鑒權(quán)過程�,判斷鑒權(quán)是否成功���,如果鑒權(quán)失敗����,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)失敗日志�����,如果記錄��,則記錄鑒權(quán)失敗過程��,然后結(jié)束當(dāng)前處理流程�;如果不記錄���,則直接結(jié)束當(dāng)前處理流程�����;如果鑒權(quán)成功���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)成功日志�����,如果記錄��,則記錄鑒權(quán)成功過程����,然后執(zhí)行步驟b3�����,如果不記錄����,則直接執(zhí)行步驟b3���;b3.開始執(zhí)行操作過程,判斷操作是否成功�����,如果操作失敗���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄操作失敗日志��,如果記錄���,則記錄操作失敗過程,然后結(jié)束當(dāng)前處理流程���;如果不記錄�����,則直接結(jié)束當(dāng)前處理流程��;如果操作成功����,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄操作成功日志,如果記錄����,則記錄操作成功過程,然后結(jié)束當(dāng)前處理流程�,如果不記錄��,則直接結(jié)束當(dāng)前處理流程��。
上述方案中��,北向接口上的所有IRP使用同一個ORB���;或者��,北向接口上安全需求相似的IRP使用同一個ORB。其中�,使用同一個ORB的不同IRP采用的安全保護(hù)策略不同���。
本發(fā)明所提供的第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的系統(tǒng)及方法,具有以下的優(yōu)點和特點1)由于在原有的北向接口增加了安全管理IRP,使3GPP SA5 Itf-N接口能實現(xiàn)網(wǎng)絡(luò)安全管理,能實現(xiàn)CORBA環(huán)境下,Itf-N功能的受控使用,包括Itf-N上傳輸信息的完整性和機密性�����。
2)本發(fā)明中的安全管理IRP能夠提供認(rèn)證、鑒權(quán)、完整性、機密性和審計日志五種安全服務(wù)����,使IRPManager和IRPAgent之間傳輸?shù)母鞣N信息,都必須經(jīng)過安全管理IRP的處理,從而保證并提高了整個網(wǎng)絡(luò)管理系統(tǒng)的安全可靠性�����。
3)本發(fā)明中的安全管理IRP中提供的五種安全服務(wù)可以根據(jù)不同的需求任意選擇���,實現(xiàn)起來靈活��、方便���。
4)針對每種安全服務(wù)本發(fā)明都提出了一個較佳的實現(xiàn)方案,從而給出了3GPP SA5 Itf-N安全管理的具體實施方式
���,完善了3GPP SA5的網(wǎng)絡(luò)管理技術(shù)�。
5)本發(fā)明針對每種安全服務(wù)還結(jié)合北向接口層的劃分,具體給出了每種安全服務(wù)在不同層進(jìn)行的處理�;且對于同一種安全服務(wù),不同層的處理在實際應(yīng)用中也是可選的���,因此��,本發(fā)明不僅完善了3GPP SA5的網(wǎng)絡(luò)管理技術(shù)�����,而且實現(xiàn)方案簡單�����、靈活�、多樣��。
圖1為現(xiàn)有技術(shù)中3GPP SA5網(wǎng)絡(luò)管理系統(tǒng)架構(gòu)示意圖���;
圖2為本發(fā)明中3GPP SA5網(wǎng)絡(luò)管理系統(tǒng)架構(gòu)示意圖��;圖3為本發(fā)明中安全管理IRP的組成結(jié)構(gòu)示意圖����;圖4為3GPP SA5北向接口三層結(jié)構(gòu)示意圖;圖5為本發(fā)明方法的實現(xiàn)流程示意圖�����;圖6為本發(fā)明中審計日志服務(wù)的具體實現(xiàn)流程圖�����。
具體實施例方式
本發(fā)明的核心思想是在北向接口上增加安全管理IRP��,該安全管理IRP能提供認(rèn)證�����、鑒權(quán)���、完整性、機密性以及審計日志五種安全服務(wù)����,使所有在IRPManager和IRPAgent之間傳輸?shù)男畔⒍冀?jīng)過安全管理IRP,并根據(jù)需要對當(dāng)前傳輸信息執(zhí)行不同的安全服務(wù)����,從而在3GPP SA5 Itf-N接口上實現(xiàn)安全管理需求����。其中����,安全管理IRP包括IRPManager側(cè)的安全管理IRPManager和IRPAgent側(cè)的安全管理IRPAgent。
本發(fā)明中實現(xiàn)安全管理的網(wǎng)管系統(tǒng)架構(gòu)如圖2所示�,同時在IRPManager側(cè)增加安全管理IRPManager、在IRPAgent側(cè)增加安全管理IRPAgent�,安全管理IRPManager和安全管理IRPAgent合稱為安全管理IRP,設(shè)置并連接于北向接口上���,IRPManager和IRPAgent通過安全管理IRP實現(xiàn)通信��,包括操作�、通知和文件傳輸�����。IRPManager發(fā)出的操作請求信息��、文件傳輸信息經(jīng)過IRPManager側(cè)安全管理IRPManager和IRPAgent側(cè)安全管理IRPAgent傳輸至IRPAgent�;同樣�,IRPAgent發(fā)出的通知信息經(jīng)過IRPAgent側(cè)安全管理IRPAgent和IRPManager側(cè)安全管理IRPManager傳輸至IRPManager��。安全管理IRP可以提供認(rèn)證服務(wù)�����、完整性服務(wù)���、機密性服務(wù)����、鑒權(quán)服務(wù)以及審計日志服務(wù)�。
安全管理IRP可以通過分別為IRPManager和IRPAgent配置安全策略腳本的方式,為IRPManager和IRPAgent提供安全服務(wù)�����。安全管理IRP也可以通過提供編程接口的方式����,使IRPManager�、IRPAgent能夠通過編碼使用安全管理IRP提供的各種服務(wù)。上述安全管理IRP提供服務(wù)的配置方式可以避免修改已存在的IRPManager和IRPAgent����;編碼方式對IRPManager和IRPAgent的影響也很小����。然而��,如果IRPAgent希望控制IRPManager對特定資源的訪問�,比如訪問由接口操作的參數(shù)指定的資源,則需要IRPAgent使用針對資源的訪問控制決定組件����。
每個安全管理IRP的組成結(jié)構(gòu)如圖3所示,包括認(rèn)證服務(wù)模塊��、鑒權(quán)服務(wù)模塊���、完整性服務(wù)模塊�、機密性服務(wù)模塊以及審計日志服務(wù)模塊�。其中,認(rèn)證服務(wù)模塊用于提供認(rèn)證服務(wù)�����;鑒權(quán)服務(wù)模塊用于提供鑒權(quán)服務(wù)����;完整性服務(wù)模塊用于提供完整性服務(wù)�,保證在IRPManager和IRPAgent之間傳遞的信息的完整性�;機密性服務(wù)模塊用于提供機密性服務(wù),保證在IRPManager和IRPAgent之間傳遞的信息的機密性���;審計日志服務(wù)模塊用于提供安全審計服務(wù)��,記錄成功或失敗的認(rèn)證��、鑒權(quán)和操作�。認(rèn)證服務(wù)模塊��、鑒權(quán)服務(wù)模塊����、完整性服務(wù)模塊、機密性服務(wù)模塊以及審計日志服務(wù)模塊攔截來自本側(cè)或發(fā)給本側(cè)網(wǎng)絡(luò)實體的傳輸信息��,然后該傳輸信息所需執(zhí)行的安全服務(wù)對應(yīng)的模塊啟動響應(yīng)的安全服務(wù)�����,對該傳輸信息進(jìn)行相應(yīng)的安全管理操作����。這里的傳輸信息包括操作、通知和文件傳輸���。
IRPManager與IRPAgent之間傳輸?shù)乃行畔⒍紩话踩芾鞩RP攔截�,安全管理IRP根據(jù)當(dāng)前攔截到的傳輸信息內(nèi)容�,就可以知道該信息需要執(zhí)行哪些安全服務(wù),需要執(zhí)行哪種安全服務(wù)就直接由哪個服務(wù)模塊啟動相應(yīng)的安全服務(wù)���。這里��,每種信息需要執(zhí)行何種安全服務(wù)是預(yù)先定義好的���,比如如果是操作,就需要執(zhí)行認(rèn)證�、鑒權(quán)、審計日志三項安全服務(wù)�;如果是文件傳輸,就需要執(zhí)行完整性服務(wù)等等�����。
以IRPManager對IRPAgent進(jìn)行配置管理業(yè)務(wù)為例,該操作需要執(zhí)行的安全服務(wù)包括認(rèn)證服務(wù)�����、鑒權(quán)服務(wù)以及審計日志服務(wù)����,那么,IRPManager向IRPAgent進(jìn)行配置操作時�����,所發(fā)送的配置請求和配置信息先分別經(jīng)過IRPManager側(cè)安全管理IRPManager和IRPAgent側(cè)安全管理IRPAgent����,安全管理IRP中的認(rèn)證服務(wù)模塊、鑒權(quán)服務(wù)模塊以及審計日志服務(wù)模塊將分別對所收到的信息進(jìn)行認(rèn)證����、鑒權(quán),并對認(rèn)證�、鑒權(quán)以及所涉及到的操作是否成功進(jìn)行記錄,如果需要�,也可以進(jìn)一步記錄失敗原因等相關(guān)信息。如果認(rèn)證�、鑒權(quán)��、完整性檢驗都成功��,則信息傳輸至IRPAgent,IRPAgent根據(jù)所收到的信息進(jìn)行相應(yīng)的操作��;如果認(rèn)證��、鑒權(quán)��、完整性檢驗沒有都成功�,則安全管理IRP中的相應(yīng)模塊向IRPManager返回失敗信息,拒絕當(dāng)前的操作��。
由于北向接口Itf-N分為三層應(yīng)用層�����、ORB層和傳輸層�,如圖4所示,所以�,在實際應(yīng)用中,上面所述的認(rèn)證服務(wù)�、鑒權(quán)服務(wù)、完整性服務(wù)��、機密性服務(wù)和審計日志服務(wù)也分別在不同層上提供,有的安全服務(wù)可以同時在兩個層上提供���。對于同一安全服務(wù)�����,每層的實現(xiàn)方案是相互獨立�����,可以根據(jù)需要選擇在兩層都提供該安全服務(wù)���,也可以只選擇在某一層上提供該安全服務(wù)。上述五種安全服務(wù)具體能在哪層上提供如表一所示����,表中的“X”表示該層提供該安全服務(wù)。
表一從表一及圖4可以看出����,本發(fā)明的安全管理IRP可以在傳輸層提供認(rèn)證服務(wù)、完整性服務(wù)����、機密性服務(wù)�;在ORB層提供認(rèn)證服務(wù)����、鑒權(quán)服務(wù);在應(yīng)用層提供鑒權(quán)服務(wù)��、審計日志服務(wù)�����,也可以根據(jù)需要提供完整性服務(wù)和機密性服務(wù)����。
具體來說�,對于認(rèn)證服務(wù),ORB層的認(rèn)證可以使用一般安全服務(wù)用戶名密碼(GSSUP���,Generic Security Services Username Password)機制��,傳輸層的認(rèn)證可以使用ITU-T X.509證書機制����。
對于鑒權(quán)服務(wù)�,在ORB層上��,安全管理IRP首先獲取請求發(fā)送者的訪問標(biāo)識�;而后獲取請求內(nèi)容���,即被請求操作名稱��,可以包括操作所屬接口的名稱�;最后安全管理IRP根據(jù)預(yù)定義的訪問控制列表檢查訪問者是否有權(quán)限執(zhí)行被請求操作����。在應(yīng)用層上,安全管理IRP間接提供鑒權(quán)服務(wù)��,當(dāng)IRPAgent要求進(jìn)行應(yīng)用層鑒權(quán)服務(wù)時����,安全管理IRP提供訪問者標(biāo)識、被請求操作名稱及其參數(shù)等信息給IRPAgent����,以便IRPAgent根據(jù)上述信息以及預(yù)定義的訪問控制列表進(jìn)行鑒權(quán)。
對于完整性服務(wù)����,在應(yīng)用層上�����,一般在有傳輸層完整性服務(wù)的條件下��,應(yīng)用層完整性服務(wù)可以由鑒權(quán)服務(wù)同時提供��,這是由于鑒權(quán)可以保證被保護(hù)信息不會被非授權(quán)IRPManager訪問��,避免了信息被非授權(quán)訪問�。但對于特別敏感的數(shù)據(jù)��,還是需要應(yīng)用層完整性服務(wù)�����。根據(jù)安全管理IRP需求����,目前只有批配置管理IRP(Bulk CM IRP)的XML格式的激活(Active)配置文件需要進(jìn)行應(yīng)用層完整性保護(hù)�����,安全管理IRP并不直接向Bulk CM IRP提供應(yīng)用層完整性保護(hù)����,而是通過修改現(xiàn)有Active配置文件��,使用XML簽名技術(shù)來實現(xiàn)對批配置管理IRP(Bulk CM IRP)的完整性保護(hù)����。在傳輸層上���,安全管理IRP在傳輸層使用X.509證書數(shù)字簽名技術(shù)向IRPManager和IRPAgent提供傳輸層完整性保護(hù)�,當(dāng)被傳輸信息的完整性被破壞時���,向信息接收者發(fā)送異常�����。
對于機密性服務(wù)��,在應(yīng)用層上����,一般在有傳輸層機密性服務(wù)的條件下,應(yīng)用層機密性服務(wù)可以由鑒權(quán)服務(wù)同時提供,這是由于鑒權(quán)可以保證被保護(hù)信息不會被非授權(quán)IRPManager訪問��,避免了信息被非授權(quán)訪問�����。但對于特別敏感的數(shù)據(jù)�����,還需要應(yīng)用層機密性服務(wù)����。如果IRPManager和IRPAgent之間傳遞的XML文件需要應(yīng)用層機密性服務(wù)�����,則使用XML加密技術(shù)來實現(xiàn)對XML文件的機密性保護(hù)�����,安全管理IRP間接向IRP提供應(yīng)用層機密性保護(hù)��。在傳輸層上�����,安全管理IRP使用X.509證書數(shù)字簽名技術(shù)向IRPManager和IRPAgent提供傳輸層機密性保護(hù)��,當(dāng)被傳輸信息的機密性被破壞時���,向信息接收者發(fā)送異常�。
對于審計日志服務(wù)�����,安全管理IRP向IRPAgent提供的審計日志服務(wù)可以在ORB層實現(xiàn)���,即當(dāng)針對某個IRPAgent的安全審計日志的記錄條件定制完畢后���,審計日志由ORB自動進(jìn)行記錄,IRPAgent不參與記錄過程��。安全管理IRP向IRPAgent提供的審計日志服務(wù)還可以在應(yīng)用層實現(xiàn)��,即安全管理IRP提供寫入審計日志記錄的接口���,IRPAgent可以在處理IRPManager的請求過程中���,向?qū)徲嬋罩局袑懭胗涗洝?br>
上述認(rèn)證服務(wù)和鑒權(quán)服務(wù)在ORB層上的實現(xiàn)都是基于CORBA技術(shù)的,所以,也可以看作是CORBA服務(wù)��。
北向接口上的所有IRP可以在ORB層上����、應(yīng)用層上受到安全保護(hù);不同IRP在ORB層和應(yīng)用層的安全保護(hù)策略可以各不相同�����;但是��,一個特定IRP的所有實例在整個通信系統(tǒng)內(nèi)必須具有相同的安全保護(hù)策略���。例如1)北向接口上所有IRP使用同一個ORB���,應(yīng)用相同的ORB層安全策略,但針對不同的IRP定義各自的安全保護(hù)策略����;特殊的�,部分IRP可以不應(yīng)用安全策略。舉個簡單的例子對于IRP1定義的安全保護(hù)策略是要對get操作和set操作針對某些網(wǎng)絡(luò)資源的訪問進(jìn)行鑒權(quán)服務(wù)��,而對于IRP2定義的安全保護(hù)策略是僅對set操作針對某些網(wǎng)絡(luò)資源的訪問進(jìn)行鑒權(quán)服務(wù);ORB層的安全策略為使用GSSUP機制進(jìn)行IRPManager和IRPAgent的認(rèn)證���,并對所有操作進(jìn)行鑒權(quán)���,例如允許IRP1和IRP2的所有操作,但是禁止IRP3的操作��。
2)北向接口上對于安全需求相似的IRP使用同一個ORB�����,每個ORB應(yīng)用各自的安全策略�����;安全需求不相似的IRP使用不同的ORB�����,使用同一ORB的IRP采用各自的安全保護(hù)策略��。特殊的���,上述ORB中的某些IRP可以不應(yīng)用任何應(yīng)用層安全策略��。
基于上述實現(xiàn)北向接口(Itf-N)網(wǎng)絡(luò)安全管理的系統(tǒng)��,也就是說��,在北向接口上設(shè)置安全管理IRP的基礎(chǔ)上��,本發(fā)明實現(xiàn)網(wǎng)絡(luò)安全管理的方法如圖5所示���,包括以下的步驟步驟501~503安全管理IRP攔截從本側(cè)發(fā)出的或發(fā)給本側(cè)網(wǎng)絡(luò)實體的傳輸信息��,然后根據(jù)預(yù)先設(shè)定的安全策略和傳輸信息的內(nèi)容確定是否需要對該傳輸信息進(jìn)行安全服務(wù)�����,如果需要��,則執(zhí)行步驟504��;否則����,直接透傳該傳輸信息��,并結(jié)束當(dāng)前的處理流程����。這里的傳輸信息包括操作、通知和文件傳輸�。
步驟504~507再根據(jù)傳輸信息的內(nèi)容確定并執(zhí)行所需的安全服務(wù),比如是操作就要執(zhí)行認(rèn)證��、鑒權(quán)��、審計日志���;是文件傳輸就要執(zhí)行完整性服務(wù)��,然后判斷安全服務(wù)是否允許當(dāng)前攔截的傳輸信息通過�,如果允許����,則透傳該傳輸信息,允許接收方根據(jù)該傳輸信息完成相應(yīng)的處理���;否則�,拒絕該傳輸信息��。
實際上����,各種安全服務(wù)都有很多種已有的實現(xiàn)方式����,本發(fā)明中�,所選用認(rèn)證服務(wù)的實現(xiàn)思想是將安全管理IRP作為IRPManager和IRPAgent的可信任第三方,幫助IRPManager和IRPAgent相互進(jìn)行認(rèn)證�����,即安全管理IRP在IRPManager和IRPAgent之間建立一條可靠鏈接����。具體實現(xiàn)是當(dāng)IRPManager向IRPAgent發(fā)送請求時,IRPManager請求安全管理IRPManager對自身進(jìn)行認(rèn)證�����,獲取信任狀�,該信任狀可以被安全的在安全管理IRPManager和安全管理IRPAgent之間傳遞。IRPAgent在收到請求前��,安全管理IRPAgent請求獲取請求發(fā)送方IRPManager的信任狀����,如果獲取成功���,則實現(xiàn)了對IRPManager的認(rèn)證。
當(dāng)IRPAgent請求向IRPManager發(fā)送通知時���,IRPAgent請求安全管理IRPAgent對自身進(jìn)行認(rèn)證,獲取信任狀�����,IRPManager在收到請求前����,安全管理IRPManager請求獲取IRPAgent的信任狀,如果獲取成功���,則實現(xiàn)了對IRPAgent的認(rèn)證�����。
對于認(rèn)證服務(wù)���,當(dāng)以配置方式使用安全管理IRP的認(rèn)證服務(wù)時,上述過程對于IRPManager和IRPAgent是不可見的����。當(dāng)以編碼方式使用安全管理IRP的認(rèn)證服務(wù)時�����,需要IRPManager和IRPAgent顯式請求認(rèn)證服務(wù)����。
本發(fā)明所選用的鑒權(quán)服務(wù)的思想是安全管理IRP向IRPAgent提供鑒權(quán)服務(wù)���,即當(dāng)IRPAgent接收到IRPManager的請求時����,IRPAgent請求安全管理IRP對請求發(fā)送者IRPManager進(jìn)行鑒權(quán)��,這里所述鑒權(quán)包括安全管理IRPAgent先獲取請求者標(biāo)識��,再查詢訪問者的訪問控制列表�����,以確定該IRPManager是否有權(quán)執(zhí)行被請求操作�����。
本發(fā)明所選用的審計日志服務(wù)的思想是當(dāng)IRPAgent接收到來自IRPManager的請求時,安全管理IRP記錄IRPAgent對IRPManager的認(rèn)證過程及其結(jié)果����,如果認(rèn)證成功,則需要記錄IRPAgent對IRPManager的鑒權(quán)過程及其結(jié)果���,如果鑒權(quán)成功�����,則需要記錄IRPAgent執(zhí)行IRPManager請求的過程及其結(jié)果。
安全管理IRP還可以向IRPAgent提供審計日志定制工具��,允許IRPAgent定制哪些過程需要記錄日志��,比如允許僅記錄成功或失敗的認(rèn)證過程��;允許僅記錄成功或失敗的鑒權(quán)過程�;允許僅記錄成功或失敗的操作執(zhí)行過程;允許僅記錄指定的一組操作的執(zhí)行過程����;允許記錄上述情況的組合。
IRPAgent接收到IRPManager的請求后����,具體的審計日志服務(wù)的實現(xiàn)過程如圖6所示����,包括以下的步驟步驟601~602開始認(rèn)證過程�,然后判斷認(rèn)證是否成功,如果是�,則執(zhí)行步驟605;否則����,執(zhí)行步驟603。
步驟603~604根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證失敗日志���,如果是�,則記錄認(rèn)證失敗過程及其失敗結(jié)果�����,然后結(jié)束當(dāng)前處理流程����;否則,直接結(jié)束當(dāng)前處理流程���。
步驟605~606根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證成功日志��,如果是���,則記錄認(rèn)證成功過程及其成功結(jié)果,然后執(zhí)行步驟607�����;否則�����,直接執(zhí)行步驟607����。
步驟607~608開始鑒權(quán)過程���,然后判斷鑒權(quán)是否成功�,如果是����,則執(zhí)行步驟611���;否則,執(zhí)行步驟609���。
步驟609~610根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)失敗日志�,如果是�����,則記錄鑒權(quán)失敗過程�,然后結(jié)束當(dāng)前處理流程;否則���,直接結(jié)束當(dāng)前處理流程���。
步驟611~612根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)成功日志,如果是�,則記錄鑒權(quán)成功過程,然后執(zhí)行步驟613�����;否則,直接執(zhí)行步驟613����。
步驟613~614開始執(zhí)行操作過程,然后判斷操作是否執(zhí)行成功��,如果是���,則執(zhí)行步驟617�;否則�����,執(zhí)行步驟615�。
步驟615~616根據(jù)預(yù)先設(shè)定的安全策略判斷是否允許操作失敗日志,如果是�����,則記錄執(zhí)行操作失敗過程����,然后結(jié)束當(dāng)前處理流程�;否則����,直接結(jié)束當(dāng)前處理流程��。
步驟617~618根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄操作成功日志��,如果是����,則記錄執(zhí)行操作成功過程,然后結(jié)束當(dāng)前處理流程��;否則����,直接結(jié)束當(dāng)前處理流程。
以上所述�����,僅為本發(fā)明的較佳實施例而已�,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的系統(tǒng)��,在3GPP SA5的北向接口上包括至少一對作為集成參考點IRP功能請求方的IRP管理器IRPManager和作為IRP功能實現(xiàn)方的IRP代理器IRPAgent��,其特征在于北向接口上還進(jìn)一步包括連接于IRPManager和IRPAgent之間的安全管理IRP,該安全管理IRP用于為IRPManager和IRPAgent提供安全服務(wù)���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于���,所述安全管理IRP進(jìn)一步包括認(rèn)證服務(wù)模塊�����,用于提供認(rèn)證服務(wù)��;鑒權(quán)服務(wù)模塊��,用于提供鑒權(quán)服務(wù)��;完整性服務(wù)模塊��,用于保證在IRPManager和IRPAgent之間傳遞信息的完整性�����;機密性服務(wù)模塊,用于保證在IRPManager和IRPAgent之間傳遞信息的機密性��;審計日志服務(wù)模塊,用于記錄成功或失敗的認(rèn)證�����、鑒權(quán)和操作�����。
3.根據(jù)權(quán)利要求1或2所述的系統(tǒng)���,其特征在于���,所述安全管理IRP包括IRPManager側(cè)的安全管理IRPManager和IRPAgent側(cè)的安全管理IRPAgent。
4.一種第三代移動通信網(wǎng)絡(luò)中實現(xiàn)安全管理的方法�,其特征在于,在北向接口上設(shè)置用于實現(xiàn)安全服務(wù)的安全管理IRP����,該方法還包括以下步驟a.安全管理IRP接收當(dāng)前IRPManager和IRPAgent之間傳輸?shù)男畔⒑螅鶕?jù)預(yù)先設(shè)定的安全策略和傳輸信息的內(nèi)容確定是否需要對當(dāng)前收到的傳輸信息進(jìn)行安全服務(wù)��,如果需要�����,則執(zhí)行步驟b;否則�����,直接透傳該信息��,并結(jié)束當(dāng)前的處理流程�;b.確定并執(zhí)行所需的安全服務(wù),然后判斷安全服務(wù)是否允許傳輸信息通過��,如果允許����,則透傳當(dāng)前收到的傳輸信息,接收方根據(jù)該傳輸信息完成相應(yīng)處理���;否則�����,拒絕該傳輸信息�;其中所述安全服務(wù)為認(rèn)證服務(wù)�、或鑒權(quán)服務(wù)、或完整性服務(wù)、或機密性服務(wù)�、或?qū)徲嬋罩痉?wù)���、或五種服務(wù)的任意組合����。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于����,步驟a中所述傳輸信息為操作信息、或通知�����、或文件��。
6.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述認(rèn)證服務(wù)運行于北向接口的ORB層、或傳輸層����、或ORB層和傳輸層。
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于����,所述鑒權(quán)服務(wù)運行于北向接口的ORB層、或應(yīng)用層�、或ORB層和應(yīng)用層。
8.根據(jù)權(quán)利要求4所述的方法�����,其特征在于��,所述完整性服務(wù)運行于北向接口的應(yīng)用層�、或傳輸層、或應(yīng)用層和傳輸層。
9.根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述機密性服務(wù)運行于北向接口的應(yīng)用層��、或傳輸層�、或應(yīng)用層和傳輸層���。
10.根據(jù)權(quán)利要求4所述的方法,其特征在于����,所述審計日志服務(wù)運行于北向接口的ORB層、或應(yīng)用層�����、或ORB層和應(yīng)用層��。
11.根據(jù)權(quán)利要求4或6所述的方法���,其特征在于,步驟b中所述執(zhí)行的安全服務(wù)為認(rèn)證服務(wù)時���,將安全管理IRP作為IRPManager和IRPAgent的可信第三方����,安全管理IRP在IRPManager和IRPAgent之間建立一條可靠鏈接����,該方法進(jìn)一步包括當(dāng)IRPManager向IRPAgent發(fā)送請求時����,IRPManager請求安全管理IRPManager對自身進(jìn)行認(rèn)證,獲取信任狀;IRPAgent收到請求前,安全管理IRPAgent請求獲取請求發(fā)送方IRPManager的信任狀���,如果獲取成功���,則實現(xiàn)對IRPManager的認(rèn)證����;當(dāng)IRPAgent請求向IRPManager發(fā)送通知時,IRPAgent請求安全管理IRPAgent對自身進(jìn)行認(rèn)證�,獲取信任狀�����,IRPManager在收到請求前�,安全管理IRPManager請求獲取IRPAgent的信任狀,如果獲取成功����,則實現(xiàn)了對IRPAgent的認(rèn)證��。
12.根據(jù)權(quán)利要求4或10所述的方法���,其特征在于,步驟b中所述執(zhí)行的安全服務(wù)為審計日志服務(wù)時���,該方法進(jìn)一步包括b1.開始認(rèn)證過程����,判斷認(rèn)證是否成功�����,如果認(rèn)證失敗���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證失敗日志�,如果記錄��,則記錄認(rèn)證失敗過程及其失敗結(jié)果����,然后結(jié)束當(dāng)前處理流程���;如果不記錄����,則直接結(jié)束當(dāng)前處理流程;如果認(rèn)證成功���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄認(rèn)證成功日志��,如果記錄�,則記錄認(rèn)證成功過程及其成功結(jié)果�,然后執(zhí)行步驟b2,如果不記錄���,則直接執(zhí)行步驟b2��;b2.開始鑒權(quán)過程,判斷鑒權(quán)是否成功��,如果鑒權(quán)失敗,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)失敗日志�,如果記錄,則記錄鑒權(quán)失敗過程�����,然后結(jié)束當(dāng)前處理流程;如果不記錄����,則直接結(jié)束當(dāng)前處理流程��;如果鑒權(quán)成功����,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄鑒權(quán)成功日志����,如果記錄,則記錄鑒權(quán)成功過程,然后執(zhí)行步驟b3�,如果不記錄����,則直接執(zhí)行步驟b3��;b3.開始執(zhí)行操作過程����,判斷操作是否成功����,如果操作失敗���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄操作失敗日志���,如果記錄�,則記錄操作失敗過程����,然后結(jié)束當(dāng)前處理流程;如果不記錄��,則直接結(jié)束當(dāng)前處理流程;如果操作成功���,則根據(jù)預(yù)先設(shè)定的安全策略判斷是否記錄操作成功日志�,如果記錄����,則記錄操作成功過程,然后結(jié)束當(dāng)前處理流程���,如果不記錄�����,則直接結(jié)束當(dāng)前處理流程�����。
13.根據(jù)權(quán)利要求4至10任一項所述的方法�,其特征在于����,北向接口上的所有IRP使用同一個ORB;或者�,北向接口上安全需求相似的IRP使用同一個ORB�。
14.根據(jù)權(quán)利要求13所述的方法����,其特征在于,使用同一個ORB的不同IRP采用的安全保護(hù)策略不同��。
全文摘要
本發(fā)明公開了一種第三代移動通信網(wǎng)絡(luò)操作維護(hù)域中實現(xiàn)安全管理的系統(tǒng)����,在3GPP SA5的北向接口上包括至少一對作為集成參考點IRP功能請求方的IRP管理器IRPManager和作為IRP功能實現(xiàn)方的IRP代理器IRPAgent���,關(guān)鍵在于北向接口上還進(jìn)一步包括連接于IRPManager和IRPAgent之間的安全管理IRP��,該安全管理IRP用于為IRPManager和IRPAgent提供安全服務(wù)�,所述安全管理IRP包括IRPManager側(cè)的安全管理IRPManager和IRPAgent側(cè)的安全管理IRPAgent����。本發(fā)明還同時公開了一種第三代移動通信網(wǎng)絡(luò)操作維護(hù)域中實現(xiàn)網(wǎng)絡(luò)安全管理的方法,采用該系統(tǒng)和方法能支持網(wǎng)絡(luò)安全管理的基本功能需求在3GPP SA5 Itf-N接口上實現(xiàn)�����,也就是在3GPP SA5的Itf-N接口上實現(xiàn)安全管理的各種安全服務(wù)����。
文檔編號H04L12/24GK1731879SQ200410071798
公開日2006年2月8日 申請日期2004年8月8日 優(yōu)先權(quán)日2004年8月8日
發(fā)明者楊利 申請人:華為技術(shù)有限公司