专利名称:一种安全粒度划分和配置的方法
技术领域:
本发明属于信息通信技术领域,具体涉及一种安全粒度的划分和配置方法,特别是下一代网络(NGN)系统中安全粒度的划分和配置。
背景技术:
ITU-T Recommendation X.805(2003),Security Architecture for Systems ProvidingEnd-to-End Communications.中提出了基于服务和应用的安全解决方案可以分别由网络不同层的安全功能来提供的思想。比如单纯依靠传输层的安全功能可以达到满足安全需求的解决方案。或者单纯依靠服务层的安全功能也可以提供同样满足安全需求的解决方案。安全解决方案也可以设计成同时由多个层的安全功能联合提供。ITU-T DraftRecommendation FGNGN-OD-00007R1,Draft FGNGN-FRA version 1.草案中提出下一代网络(NGN)一个很重要的特征就是服务很容易被部署和生成,这就意味着安全需求也随着服务的变化而变化。为适应这一应用环境,需要制定一个核心机制,来促进安全解决方案可以根据服务的生成和变化而灵活地调整,动态地满足不断变化的安全需求。
从操作的角度看,安全解决方案能提供安全服务。不同的应用和不同的服务有不同的安全需求。因此,需要一个简单的机制。这个机制可以容易地配置多个层次的安全功能,目的是为应用和服务提供整体的安全解决方案。明确不同层次上的安全粒度有助于安全功能的灵活配置。
安全功能的运行总是明显地消耗计算能力。利用处于比较低层的安全功能对信息实施保护所消耗的资源,在大多数情况下会优于利用处于较上层的安全功能对信息实施相同的保护。这是因为处于较上层的安全功能,有需要区分不同类型的数据流,同时对不同类型的数据流提供单独的安全保护,这就产生较多的资源消耗。然而,当使用较低层的安全功能实施保护时,就比较难以实现端到端的安全保护。特别当不同应用具有不同安全需求时,处于较低层的安全功能不能针对不同应用提供个性化的安全解决方案。
另一方面,应该避免来自不同层的安全功能对数据流进行重复保护。因此,从减少资源消耗的角度上看,对NGN提供的安全解决方案不但需要满足不同应用所需的部分个性化安全需求。同时必须尽量使用较低层的安全功能,以提高减少计算资源的消耗。
在国际电信联盟(ITU-T),下一代网络核心研究组(FGNGN),安全工作组(WG5)会议上讨论了建议使用FGNGN-0D-0002R1的草案Outline of the draft technicalspecification NGN Security Framework.。FGNGN-0D-0002R1是NGN安全框架技术规范草案概要。在其6.2部分中列出了粒度的保护。讨论粒度保护是必要的。NGN安全需要一定粒度的保护。
网络安全策略是安全解决方案的组织者。安全粒度是安全策略的一个重要参数,如何通过安全粒度的划分以及利用安全粒度体现安全功能的有组织部署,是NGN安全解决方案需要解决的问题。
发明内容
本发明提出了一种安全粒度划分和配置的方法,建立了安全层和粒度等级的关系。安全粒度等级提供一个使用位于不同安全层的安全功能的重要方法,根据安全需求对应的安全粒度,就可以有效组织不同安全层上的安全功能,实现优化了的NGN安全解决方案。
本发明为解决上述技术问题,采用的技术方案如下首先,根据网络系统框架体系中的不同功能层,将各功能层分别划分成一个或多个不同的安全层;同时,根据网络系统的安全需求,将各安全需求划分成粗细不同的安全粒度,安全粒度的级别个数与系统安全层的层数相等;最后,将上述安全粒度由细到粗地对应于自上而下的不同安全层,根据安全粒度,在各安全层中配置网络安全功能。
本发明对于NGN网络具体包括以下实现步骤第一步,根据NGN网络框架的安全需求,将各安全需求划分成粗细不同的安全粒度;第二步,NGN网络被分成两个层次——服务层和传输层;对于服务层(1)自上而下将其分成1→n个安全层,其中n≥1;将这些安全层表示成L1,L2,……Ln-1,Ln;(2)每个安全层对应相应的安全粒度G1,G2……Gn-1,Gn;(3)安全层和安全粒度的对应关系为L1→G1,L2→G2,……Ln-1→Gn-1,Ln→Gn;(4)安全粒度G1→Gn的粗细程度为由细到粗,即G1<G2……Gn-1<Gn;
对于传输层(1)自上而下将其分成n+1→m个安全层,其中n≥1,m≥n+1;将这些安全层表示成Ln+1,Ln+2,……Lm-1,Lm;(2)每个安全层对应相应的安全粒度Gn+1,Gn+2……Gm-1,Gm;(3)安全层和安全粒度的对应关系为Ln+1→Gn+1,Ln+2→Gn+2,……Lm-1→Gm-1,Lm→Gm;(4)安全粒度Gn+1→Gm的粗细程度为由细到粗,即Gn+1<Gn+2……Gm-1<Gm,且Gn<Gn+1;第三步,根据系统需要的安全粒度和安全粒度与安全层的对应关系,在各安全层中配置网络安全功能。
本发明的优点在于通过安全粒度的划分,使网络实体间的安全需求通过不同的粒度特征映射成网络不同层次上的安全功能,从而实现安全功能间以有效率的组织方式满足网络实体间的安全需求。该发明内容将为NGN灵活,大量部署丰富多彩业务提供可配置的安全技术实现机制和流程。该机制和流程有助于灵活,有效率的为下一代网络提供安全解决方案。
图1是本发明安全粒度和安全层之间的映射关系模型图;图2是本发明安全策略制定流程示意图。
具体实施例方式
根据发明内容,举例详细介绍一下发明的具体实施方式
。
设n=2,m=4,将NGN框架划分4个安全层分别是应用安全层L1,服务安全层L2,数据包安全层L3和链路安全层L4。其中,应用安全层L1和服务安全层L2属于NGN框架中的服务层。数据包安全层L3和链路安全层L4属于NGN框架中的传输层。
(1)应用安全层L1应用安全层是以消费者所使用的应用为单元,为整个应用或应用内部的特定内容提供安全保护。
(2)服务安全层L2
服务安全层是以服务提供商所提供的服务为单元,为整个服务提供安全保护。
(3)数据包安全层L3数据包安全层是以网络实体传输的一类数据包为单元,为该类数据包提供安全保护。
(4)链路安全层L4链路安全层是以网络实体传输的链路为单元,为该链路提供安全保护。
根据4个安全层,划分网络安全需求的安全粒度分别是应用安全层对应的内容级安全粒度G1;服务安全层对应的服务级安全粒度G2;数据包安全层对应的数据包级安全粒度G3;链路安全层对应的链路级安全粒度G4。
(1)内容级安全粒度G1内容级安全粒度反映以应用安全为特征的安全需求,通过应用安全层的安全功能使这类安全需求得到满足。
(2)服务级安全粒度G2服务级安全粒度反映以服务安全为特征的安全需求,通过服务安全层的安全功能使这类安全需求得到满足。
(3)数据包级安全粒度G3数据包级全粒度反映以数据包安全为特征的安全需求,通过数据包安全层的安全功能使这类安全需求得到满足。
(4)链路级安全粒度G4链路级全粒度反映以链路安全为特征的安全需求,通过链路安全层的安全功能使这类安全需求得到满足。
参照图1所示安全粒度和安全层之间的映射关系模型图,具体说明安全层和粒度等级的关系和在NGN中的具体表现形式。
应用安全层侧重于网络服务提供商的客户所使用的应用的安全。这些应用通过网络服务实现。这些应用包括基本的文件传输(例如FTP)和网页浏览应用,基本应用的比如目录助手,基于网络的语音消息和电子邮件,也包括高端应用比如客户关系管理、电子/移动商务、基于网络的培训、视频协作等。基于网络的应用可以由第三方应用服务提供者(ASPs)提供,或者通过企业在他们自己的(或者租用的)数据中心提供应用。
应用安全层对应的安全粒度,属于内容级安全粒度,所有类别安全粒度中最细的粒度。应用之间的共同安全需求首先通过较低安全层的安全功能优先满足,对于个性化的应用安全需求属于内容级安全粒度,通过应用层的安全功能满足,因此需要安全粒度的内容分类。例如,一些应用中的内容,比如私人信用卡的信息应该通过强壮的加密机制来保护。
服务安全层表示服务提供商提供给其用户的服务安全。服务范围包括连接到服务平台的安全。比如对于提供Internet接入所必要的服务(例如AAA服务、动态主机配置服务、域名服务等)到增值服务比如免费电话服务、QoS、VPN、位置服务、即时消息等等。服务安全层用于保护这些服务提供者和他们的客户。
服务安全层对应的安全粒度,属于服务级的安全粒度。服务级安全粒度比数据包级全粒度细,但是比内容级安全粒度粗。服务级安全粒度对应的安全需求是服务平台之上的应用的安全需求的共同部分。因此,服务级安全粒度的安全需求可以通过服务安全层的安全功能满足。比如,服务提供者可以为服务平台产生的所有消息提供相同的完整性保护。
数据包安全层表示为网络实体提供的用于一类数据包的安全。对于NGN,普遍认为基于IP协议的数据包将是NGN网络的主流。在这种情况下,数据包就体现为IP包。数据包安全层的安全功能就体现为保护IP包的安全。
数据包安全层对应的安全粒度,属于数据包级的安全粒度。数据包级安全粒度比服务级安全粒度粗,但是比链路级安全粒度细。当网络实体为有同样传输目的的数据包传送一类信息时,例如拥有同样IP地址的IP包,它们数据包级的安全需求可以通过数据包安全层的安全功能满足。比如,IPsec VPN属于数据包级的安全粒度。
链路安全层表示直接连接不同网络实体的传输安全。链路层的主要任务是在网络实体所连接的线路之间传输数据流,保证线路传输的数据流无传输错误。它通过让发送者把输入的数据分成数据帧(一般是几百字节),按顺序传输这些帧,然后处理接收者的响应。
链路安全层对应的安全粒度,属于链路级安全粒度。链路级安全粒度是安全粒度分类中最粗的。当不同网络实体在同一个链路通道中传输信息时,它们链路级的安全需求可以通过链路安全层的安全功能满足。例如,移动终端和基站之间的无线传输可以通过链路安全得到保护。虽然链路级安全粒度是最粗的,但是它总是效率最高的。
上面的安全粒度定义能够对NGN安全需求进行分类,指导利用不同安全层的安全功能。如果在两个连接终端间需要一个特定的安全保护,这属于链路级安全。我们应该在链路安全层上实现这个安全保护。如果在同一类数据包需要这个特定的安全保护,这属于数据包级安全保护,例如具有相同IP地址的数据包,我们能使用数据包安全层的安全功能实现这种保护。如果在同一个服务平台上的信息需要特定的安全保护,能将它们归类为服务级安全粒度,并通过服务层的安全功能来实现。如果需要对一个应用中的一些内容实施特定的安全保护,能使用内容级安全粒度实现。
图2描述安全粒度在安全策略制定流程中所起的作用。NGN网络的安全需求通过分级的进程,形成不同等级的安全粒度。不同等级的安全粒度通过配置的进程,映射到对应的安全功能。通过这些安全功能有组织的作用,形成NGN安全解决方案。
本专利中的NGN泛指电信网向未来演进的方向。它包括以分组交换为特征的移动网络,如3G和WLAN,以及固定网络,如多媒体宽带网络等。
权利要求
1.一种安全粒度划分和配置的方法,其特征在于,所述方法包括以下处理过程首先,根据网络系统框架体系中的不同功能层,将各功能层分别划分成一个或多个不同的安全层;同时,根据网络系统的安全需求,将各安全需求划分成粗细不同的安全粒度,安全粒度的级别个数与系统安全层的层数相等;最后,将上述安全粒度由细到粗地对应于自上而下的不同安全层,根据安全粒度,在各安全层中配置网络安全功能。
2.根据权利要求1所述的方法,其特征在于,对于NGN网络系统,所述方法具体包括以下实现步骤第一步,根据NGN网络框架的安全需求,将各安全需求划分成粗细不同的安全粒度;第二步,NGN网络被分成两个层次——服务层和传输层;对于服务层(1)自上而下将其分成1→n个安全层,其中n≥1;将这些安全层表示成L1,L2,……Ln-1,Ln;(2)每个安全层对应相应的安全粒度G1,G2……Gn-1,Gn;(3)安全层和安全粒度的对应关系为L1→G1,L2→G2,……Ln-1→Gn-1,Ln→Gn;(4)安全粒度G1→Gn的粗细程度为由细到粗,即G1<G2……Gn-1<Gn;对于传输层(1)自上而下将其分成n+1→m个安全层,其中n≥1,m≥n+1;将这些安全层表示成Ln+1,Ln+2,……Lm-1,Lm;(2)每个安全层对应相应的安全粒度Gn+1,Gn+2……Gm-1,Gm;(3)安全层和安全粒度的对应关系为Ln+1→Gn+1,Ln+2→Gn+2,……Lm-1→Gm-1,Lm→Gm;(4)安全粒度Gn+1→Gm的粗细程度为由细到粗,即Gn+1<Gn+2……Gm-1<Gm,且Gn<Gn+1;第三步,根据系统需要的安全粒度和安全粒度与安全层的对应关系,在各安全层中配置网络安全功能。
3.根据权利要求2所述的方法,其特征在于,取n=2,m=4,将NGN框架划分4个安全层分别是应用安全层L1,服务安全层L2,数据包安全层L3和链路安全层L4;其中,应用安全层L1和服务安全层L2属于NGN框架中的服务层;数据包安全层L3和链路安全层L4属于NGN框架中的传输层;根据上述4个安全层,划分网络安全需求的安全粒度分别是应用安全层对应的内容级安全粒度G1;服务安全层对应的服务级安全粒度G2;数据包安全层对应的数据包级安全粒度G3;链路安全层对应的链路级安全粒度G4。
4.根据权利要求3所述的方法,其特征在于,所述4个安全层的划分原则如下(1)应用安全层L1应用安全层是以消费者所使用的应用为单元,为整个应用或应用内部的特定内容提供安全保护;(2)服务安全层L2服务安全层是以服务提供商所提供的服务为单元,为整个服务提供安全保护;(3)数据包安全层L3数据包安全层是以网络实体传输的一类数据包为单元,为该类数据包提供安全保护;(4)链路安全层L4链路安全层是以网络实体传输的链路为单元,为该链路提供安全保护。
5.根据权利要求4所述的方法,其特征在于,所述4种安全粒度的划分原则如下(1)内容级安全粒度G1内容级安全粒度反映以应用安全为特征的安全需求,通过应用安全层的安全功能使这类安全需求得到满足;(2)服务级安全粒度G2服务级安全粒度反映以服务安全为特征的安全需求,通过服务安全层的安全功能使这类安全需求得到满足;(3)数据包级安全粒度G3数据包级全粒度反映以数据包安全为特征的安全需求,通过数据包安全层的安全功能使这类安全需求得到满足;(4)链路级安全粒度G4链路级全粒度反映以链路安全为特征的安全需求,通过链路安全层的安全功能使这类安全需求得到满足。
全文摘要
本发明公开了一种安全粒度划分和配置的方法,包括以下处理过程首先,根据网络系统框架体系中的不同功能层,将各功能层分别划分成一个或多个不同的安全层;同时,根据网络系统的安全需求,将各安全需求划分成粗细不同的安全粒度,安全粒度的级别个数与系统安全层的层数相等;最后,将上述安全粒度由细到粗地对应于自上而下的不同安全层,根据安全粒度,在各安全层中配置网络安全功能。本发明的优点在于通过安全粒度的划分,使网络实体间的安全需求通过不同的粒度特征映射成网络不同层次上的安全功能,从而实现安全功能间以有效率的组织方式满足网络实体间的安全需求。
文档编号H04L29/06GK1756145SQ200410080260
公开日2006年4月5日 申请日期2004年9月29日 优先权日2004年9月29日
发明者陈剑勇, 芦东晰, 李远威, 张晔 申请人:中兴通讯股份有限公司