专利名称:独立承载控制层网络中实体间信息交互的实现方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种独立承载控制层网络中实体间信息交互的实现方法。
背景技术:
随着Internet(互联网)规模的不断增大,各种各样的网络服务争相涌现,先进的多媒体系统层出不穷。由于实时业务对网络传输时延、延时抖动等特性较为敏感,当网络上有突发性高的FTP(文件传输协议)或者含有图像文件的HTTP(超文本传输协议)等业务时,实时业务就会受到很大影响。而且,多媒体业务如果占去了大量的带宽,则现有网络要保证的关键业务就难以得到可靠的传输。
为此,各种QoS技术应运而生。IETF已经建议了很多服务模型和机制,以满足QoS的需求。目前业界比较认可的是在网络的接入和边缘使用Int-Serv(综合业务模型),在网络的核心使用Diff-serv(区分业务模型)。
其中,所述的Diff-serv仅设定优先等级保障QoS措施,具有线路利用率高的特点,但具体的效果难以预测。因此,业界开始为骨干网区分业务Diff-Serv引入一个独立的承载控制层,建立一套专门的Diff-Serv QoS信令机制。
例如,为了推动Diff-Serv的应用,IETF和一些厂商以及研究机构共同推动的Qbone(服务骨干实验网)上,使用BB(Bandwidth Broker,带宽代理器)模型来实现网络资源和拓扑管理。还有其他一些厂商提出了类似的QoS服务器/资源管理器技术来管理拓扑资源和协调各个区分业务Diff-Serv区域的QoS能力。
在上述方法中,都是为区分服务Diff-Serv网络专门建立一个资源管理层,管理网络的拓扑资源,由于传统的Diff-Serv定义具有局限性,为了不引起混淆,可以将上述资源管理区分服务Diff-Serv模型改称为具有独立承载控制层(或集中资源控制层)的网络模型。
在有独立的承载控制层的网络模型中,承载网控制服务器(包括带宽代理器或者QoS服务器/资源管理器)配置了管理规则和网络拓扑,为客户的业务带宽申请分配资源。每个管理域的承载网控制服务器相互之间通过信令传递客户的业务带宽申请请求和结果,以及承载网资源管理器为业务申请分配的路径信息等。
当承载控制层处理用户的业务带宽申请时,将确定用户业务的路径。承载网资源管理器会通知边缘路由器按照指定的路径转发业务流。
承载网如何根据承载控制层确定的路径实现用户业务流按指定路由转发,目前业界现有的技术主要是利用MPLS(多协议标签交换)技术,使用资源预留方式沿着承载控制层指定的业务流路径建立LSP(标签交换路径),使用RSVP-TE(资源预留协议-流量工程)或CR-LDP(基于约束路由的标签分配协议)的显式路由机制建立端到端的LSP。
上述方法能够严格保证业务所需求的端到端QoS。然而,目前网络中各信令功能实体间还没有一种方法可以用于确定相邻的信令实体位置,同时,也没有考虑相邻实体间连接的对端是否合法,因此,容易被非法实体接入,给网络的安全性能带来隐患。
也就是说,在具有独立承载控制层的网络中,QoS信令在各功能实体(业务控制功能SCF,策略决定功能PDF,承载控制功能BCF及承载传输功能TPF等)中交互。目前在各功能实体间建立信令连接时没有明确相互的发现和信任问题,因此,非法运营者或黑客有可能通过外接非法设备非法接入该信令网络,导致网络存在安全隐患。
为此,需要在网络中,使相邻信令功能实体间能相互发现、认证,并不同程度地提高节点间信令交互的安全性。但是,目前还没有提供一种可以实现相邻信令功能实体间相互发现、认证的实现方案。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种独立承载控制层网络中实体间信息交互的实现方法,可以在具有独立承载控制层网络中,保证相邻实体间的信令交互的安全性。
本发明的目的是通过以下技术方案实现的本发明提供了一种独立承载控制层网络中实体间信息交互的实现方法,该方法包括A、保存独立承载控制层网络的各实体的相邻实体的认证信息和地址信息,各实体利用保存的地址信息在相邻实体间建立信令连接;B、当独立承载控制层网络中的实体收到相邻实体发来的消息时,根据保存的相邻实体的认证信息对发来消息的相邻实体进行合法性认证;C、当认证通过时,则与相邻实体间建立连接并进行信息交互。
所述的步骤A包括在独立承载控制层网络的各实体中,静态配置并保存相邻实体的认证信息和地址信息;或者,在独立承载控制层网络的某个管理服务器上预先注册各信令实体及相邻关系的信息,保存各个实体及其对应的相邻实体的认证信息和地址信息,实体在起动后通过访问管理服务器获得相邻实体的信息;或者,
独立承载控制层网络的实体自动发现相邻实体,并保存所述相邻节点的地址信息和认证信息。
所述的认证信息包括身份信息和/或地址信息,且所述的身份信息可以唯一识别相应的实体。
所述的步骤B包括B1、独立承载控制层网络的实体收到相邻实体发来建立连接请求消息,消息中承载着相邻实体的认证信息;B2、所述的实体根据消息中承载的认证信息,及其保存的相邻实体的认证信息对所述相邻实体的合法性进行认证。
所述的步骤B还包括当所述实体根据设置的信息确定需要对相邻实体进行合法性认证时,则执行步骤B2。
所述的步骤B2还包括判断针对相邻实体的合法性认证通过时,则执行步骤C,否则,拆除与相邻实体间的连接信息。
所述的步骤B2包括根据所述建立连接请求消息中载的地址信息或身份信息,以及保存的合法的相邻实体的地址信息或身份信息对发来消息的相邻实体进行合法性认证。
所述的步骤B2还包括当本端实体合法性认证通过后,向对端实体返回响应消息,所述响应消息中携带着本端的地址信息或身份信息;对端收到所述的响应消息后,根据所述消息中载的地址信息或身份信息,及其保存的合法的相邻实体的地址信息或身份信息对相邻实体进行合法性认证,并在认证通过后,执行步骤C。
所述的步骤B2具体包括第一实体获取相邻实体通过建立信令连接请求消息发来的随机码,并将其与第一实体的身份信息合并进行加密处理,获得处理后的密文;将所述密文发送给第二实体,并由第二实体将所述密文根据自身保存的随机码及第一实体的身份信息,以及收到的密文的内容信息对所述第一实体进行合法性认证。
所述的认证信息通过信令网在本端实体和对端实体间传输,且所述的信令网可以采用物理独立或逻辑独立的信令网,或者采用与数据传输网共用的信令网。
由上述本发明提供的技术方案可以看出,本发明通过实体间相互认证的方式,解决了在采用独立承载控制层实体的网络中,各相邻的信令实体间的相互发现、信任的问题,以避免因非法实体设备的接入影响网络的安全;因此,本发明可以方便地实现实体间的安全互通,保证相邻实体间信令交互的安全性,从而有效提高了网络承载业务的安全性。
图1为具有独立的承载控制层的网络模型示意图;图2为3G UMTS网络与外部IP网络互通示意图;图3为本发明中所述的认证过程示意图;图4为本发明中身份认证过程示意图具体实施方式
本发明提供了具有独立承载控制层的网络(简称BCF网络)中各资源请求信令实体间互通时发现对方和相互认证,提高安全性的技术方案,所述的信令实体包括应用功能实体AF,策略决定实体PDF,承载控制功能实体BCF,策略与计费控制节点实体PCCN等需要发起资源请求的实体等等。
如图1所示,本发明具体是在AF与PDF/BCF1之间、PDF/BCF1与PDF/BCF2之间、PDF/BCF1与TPF/ER之间进行相互发现和认证。
在图1中,所述的策略决定功能PDF和承载控制功能BCF可以在同一物理实体中,也可在不同物理实体中,或者也可以在网络中只有一种逻辑形态存在。本发明的实现与具体协议无关,可以采用但不限于Diameter,COPS(通用开放策略服务协议),H.248等协议,可以在协议消息头中携带实现,也可以通过新增协议消息或信息单元实现。
下面将结合附图对本发明所述的方法的具体实现方式作进一步的说明。
为实现本发明,首先需要进行信令网的组建,利用所述信令网可以进行相邻实体间认证的信令的传输。
所述信令网具体为传输信令的网络,包括信令节点实体,中间的传输实体等;在实际部署中,信令网可采用三种方式组建一种是采用物理上独立的方式,该方式中,信令网采用与媒体流传输网络隔离的物理实体组建单独的信令网,由于信令网络不与外部网络相连,非法用户将无法接入信令网,这样信令传递的安全性可以得到最大保证;第二种是物理上与媒体流传输网络共用,逻辑上独立,如采用VPN(虚拟专用网)等方式,在该方式中,通过良好的安全手段也可以使信令网的安全得到较好保证;第三种是完全与媒体流传输网络共用,这种方式中,信令传输的安全性差一些。
组建了相应的信令网后,便需要为独立承载控制层网络中各实体确定合法的相邻节点。
具体可以通过静态配置、注册或动态协议等方式为各个实体确定合法的相邻节点,并获得各相邻实体的地址信息和认证信息,其中(1)所述的静态配置方式为运营商根据事先的规划安排在设备上静态配置相邻节点的域名FQDN或地址,如IP地址、E.164或其它地址等,如可根据自身管理域的承载边界设备相邻的节点设备的归属情况配置需要与自己进行信令互通的其它信令节点设备。
例如在图2所示3G网络中,管理与GGSN相连的网关设备(GWRouter)的BCF地址是BCF1,则可在PDF中配置BCF1的FQDN或IP地址作为相邻节点;当然也可以任意设定网络中某个BCF地址作为相邻节点,通过BCF自身的寻源及路由机制找到正确的BCF。如果有多个相邻节点,则可根据运营商的冗余、分担策略配置相邻节点和/或根据网络拓扑配置将不同的目的地址网段对应不同的相邻节点,资源请求时根据目的地址网段与相邻节点的对应关系即可发现想要的相邻节点。
(2)所述的注册方式为事先在专门、可靠的注册服务器上登记注册某个信令实体对应的相邻节点及查找关系,在设备运行时通过查找专门的注册服务器找到自己的相邻节点。
(3)所述的动态协议方式为采用专门或通用的信令协议自动发现相邻节点。
以上方式对于具体设备一般选择一种使用即可。
确定了各实体的合法的相邻节点后,还需要进行合法的相邻节点的地址信息和认证信息的配置,以便于实体进行相邻节点合法性检查,具体配置方法包括对于静态配置或注册的方式发现相邻节点的设备,配置或查找到的相邻节点的FQDN或地址对应的节点即是合法的相邻节点,无需另外配置。
对于采用动态协议的方式发现相邻节点的设备,则需要另外配置合法相邻节点列表,以保存合法的相邻节点的地址信息和认证信息。
此外,可根据需要配置实体自身和相邻节点认证信息,所述的认证信息可以包括相邻节点(即相邻实体)的身份信息和/或地址信息,具体的信息内容由运营商自行确定。
配置了合法性的相邻节点的认证信息和地址信息后,便可以进行信令连接的建立和相互认证的处理过程。也就是说,运营商部署好网络,设备开通并进行了上述配置处理后,各相邻设备间采用约定的方式利用保存的地址信息在相邻实体间建立信令连接,所述相邻设备即为相邻实体,如图1中的PDF/BCF1和PDF/BCF2间即为相邻实体,建立信令连接可根据双方约定,比如按节点地址大小约定地址大或小的节点为信令连接的发起方,信令连接采用的传输协议可以是TCP/IP或SCTP/IP。
当独立承载控制层网络中的实体设备根据自己的功能与相邻实体设备建立TCP/IP或SCTP/IP连接时,则在该连接的基础上进行QoS信令实体间连接的建立,连接建立过程中首先根据需要判断相邻实体间是否需要进行相应的认证(1)如果运营商认为各实体之间不存在信任问题,则可不执行认证过程,此时,在实体设备中无需配置合法相邻节点和身份、认证参数信息。在这种情况下,当收到PDF/BCF1发送的信令连接建立请求协议消息后,PDF/BCF2直接返回连接建立成功响应。后续信令消息即可在建立成功的连接上交互。
(2)如果确定需要进行相邻实体间的认证,则根据具体的需要进行相应的地址认证或身份认证。
(21)若进行地址认证,则相应的处理过程如下如图1和图3所示,具体包括步骤31由PDF/BCF1向PDF/BCF2发送信令连接建立请求协议消息,所述消息中包含有自身的地址信息;
步骤32PDF/BCF2在收到该信息后根据自身存储的合法相邻节点的地址信息对其进行认证;步骤33如果PDF/BCF2对PDF/BCF1的认证成功,则PDF/BCF2向PDF/BCF1返回认证响应消息,消息中同样带有PDF/BCF2的地址信息;步骤34PDF/BCF1在收到所述响应信息后根据自身存储的合法相邻节点的地址信息对其进行认证;PDF/BCF1对PDF/BCF2的认证成功后,表明连接是合法的,可以进行后续的信令交互工作;如果任何一步认证失败,则拆除设备间的连接并输出告警信息。
在上述步骤中,如果PDF/BCF1发送的信令消息中不带地址信息,则可用TCP/IP或SCTP/IP中的地址信息,而且,当直接使用TCP/IP或SCTP/IP地址进行认证时,可以不需要专门的QoS信令实体间连接的建立请求消息,直接在TCP/IP或SCTP/IP建立后核对对方的地址即可。
(22)若进行身份认证,则相应的认证过程包括两种,分别如图3和图4所示,具体描述如下首先,仍如图1和图3所示,第一种处理方式具体包括以下步骤参见步骤31,在PDF/BCF1发给PDF/BCF2的信令建立消息中带有关PDF/BCF1的身份信息,所述的信息中可以包含但不限于包含PDF/BCF1的地址或域名,约定的身份信息,或者某种算法的认证字或密码信息等;步骤32PDF/BCF2在收到该信息后根据自身存储的有关PDF/BCF1的认证信息,通过约定采用的算法进行核对;步骤33如果认证成功,PDF/BCF2向PDF/BCF1返回认证响应消息,消息中带有PDF/BCF2的认证信息;同样,所述认证信息中可以包含但不限于包含PDF/BCF2的地址或域名,约定的身份信息,或者某种算法的认证字或密码信息等;
步骤34PDF/BCF1在收到该信息后根据自身存储的有关PDF/BCF2的认证信息,通过约定采用的算法进行核对,如果认证成功,则表明连接是合法的,可以进行后续的信令交互工作;当然,如果其中任何一步失败,即认证失败,则拆除两相邻实体设备间的连接并输出告警信息。
另外,参见图1和图4所示,另一种处理方式具体包括以下步骤步骤41PDF/BCF1向PDF/BCF2发送建立节点信令连接请求消息;在该步骤中,首先需要在PDF/BCF1中产生并记录一组随机码,然后当向PDF/BCF2发送建立节点信令连接请求消息时携带所述随机码;步骤42PDF/BCF2收到所述随机码后与自身的身份信息合并,并通过一定的如MD5等加密算法进行加密处理,获得加密后的密文;步骤43将加密后的内容信息,即所述密文通过节点信令建立认证中间消息返回给实体设备PDF/BCF1;所述的中间消息中还承载着PDF/BCF2上生成并记录的随机码信息,用于PDF/BCF1对其进行认证处理;步骤44PDF/BCF1收到所述消息后,将自身存储的随机码与存储的对方(即PDF/BCF2)身份信息以约定的算法进行加密处理获得的密文,与收到的PDF/BCF2发来的密文内容进行比较,从而对PDF/BCF2的合法性进行认证;当然,如果密码可通过密钥解密,也可以将收到的内容解密与自身存储的随机码和存储的对方身份信息分别比较,如果相同则表明PDF/BCF2是合法的;步骤45由于在PDF/BCF2返回消息的过程中,在同一消息或不同的消息中还携带有PDF/BCF2产生并存储的随机码,因此,PDF/BCF1收到所述的随机码后还需要将其与自身的身份信息合并,通过一定的加密算法(如MD5或其它)进行加密,即进行相应的加密处理获得相应的密文,并将加密后的密文返回给PDF/BCF2;步骤46PDF/BCF2收到所述的响应消息后,将自身存储的随机码与存储的对方身份信息合并,并以约定的算法进行加密处理获得相应的密文,然后将获得的密文与收到的PDF/BCF1发来的密文的内容进行比较,从而对PDF/BCF1的合法性进行认证;同样,如果密码可通过密钥解密,也可以将收到的内容解密与自身存储的随机码和存储的对方身份信息分别比较,如果相同则表明PDF/BCF1是合法的;认证成功后,即确定相邻实体合法时,则建立信令连接,并进行相应的信令交互,从而使得在网络中可以通过信令交互提供相应QoS的服务。
同样,如果其中任何一步失败,即认证过程失败,则拆除相邻实体设备间的连接并输出告警信息。
至此完成了PDF/BCF1和PDF/BCF2的相互身份认证。
本发明所述的方法在具体实现过程中,为保证认证过程中传输内容的安全性,还需要对传输的内容进行加密处理。
具体为将某些已有的安全及加密措施应用在本体系架构上,通过AAA认证头、传输层安全协议(TLS或SSL)或者IPSec等安全及加密协议对传输的信令消息内容进行加密,达到防止被截获、攻击或非法接入的目的。但由于这些算法对设备的性能要求极高,可能会影响QoS会话连接的建立速度,同时使互通变得复杂。
上述不同的认证方法是逐步增强的,可以分别达到实现不同程度的身份提供,相互信任和安全方面的目的,可以根据实际需要使用一种或多种组合一起使用。
综上所述,本发明解决了在采用独立承载控制层实体的网络中各相邻信令实体间的相互发现、信任的问题,可方便实现实体间的互通,提高了网络承载业务的安全性。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种独立承载控制层网络中实体间信息交互的实现方法,其特征在于,包括A、保存独立承载控制层网络的各实体的相邻实体的认证信息和地址信息,各实体利用保存的地址信息在相邻实体间建立信令连接;B、当独立承载控制层网络中的实体收到相邻实体发来的消息时,根据保存的相邻实体的认证信息对发来消息的相邻实体进行合法性认证;C、当认证通过时,则与相邻实体间建立连接并进行信息交互。
2.根据权利要求1所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤A包括在独立承载控制层网络的各实体中,静态配置并保存相邻实体的认证信息和地址信息;或者,在独立承载控制层网络的某个管理服务器上预先注册各信令实体及相邻关系的信息,保存各个实体及其对应的相邻实体的认证信息和地址信息,实体在起动后通过访问管理服务器获得相邻实体的信息;或者,独立承载控制层网络的实体自动发现相邻实体,并保存所述相邻节点的地址信息和认证信息。
3.根据权利要求1所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的认证信息包括身份信息和/或地址信息,且所述的身份信息可以唯一识别相应的实体。
4.根据权利要求1、2或3所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B包括B1、独立承载控制层网络的实体收到相邻实体发来建立连接请求消息,消息中承载着相邻实体的认证信息;B2、所述的实体根据消息中承载的认证信息,及其保存的相邻实体的认证信息对所述相邻实体的合法性进行认证。
5.根据权利要求4所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B还包括当所述实体根据设置的信息确定需要对相邻实体进行合法性认证时,则执行步骤B2。
6.根据权利要求4所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B2还包括判断针对相邻实体的合法性认证通过时,则执行步骤C,否则,拆除与相邻实体间的连接信息。
7.根据权利要求4所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B2包括根据所述建立连接请求消息中载的地址信息或身份信息,以及保存的合法的相邻实体的地址信息或身份信息对发来消息的相邻实体进行合法性认证。
8.根据权利要求7所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B2还包括当本端实体合法性认证通过后,向对端实体返回响应消息,所述响应消息中携带着本端的地址信息或身份信息;对端收到所述的响应消息后,根据所述消息中载的地址信息或身份信息,及其保存的合法的相邻实体的地址信息或身份信息对相邻实体进行合法性认证,并在认证通过后,执行步骤C。
9.根据权利要求4所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的步骤B2具体包括第一实体获取相邻实体通过建立信令连接请求消息发来的随机码,并将其与第一实体的身份信息合并进行加密处理,获得处理后的密文;将所述密文发送给第二实体,并由第二实体将所述密文根据自身保存的随机码及第一实体的身份信息,以及收到的密文的内容信息对所述第一实体进行合法性认证。
10.根据权利要求1、2或3所述的独立承载控制层网络中实体间信息交互的实现方法,其特征在于,所述的认证信息通过信令网在本端实体和对端实体间传输,且所述的信令网可以采用物理独立或逻辑独立的信令网,或者采用与数据传输网共用的信令网。
全文摘要
本发明涉及一种独立承载控制层网络中实体间信息交互的实现方法。该方法主要包括首先,保存独立承载控制层网络的各实体的相邻实体的认证信息;然后,当独立承载控制层网络中的实体收到相邻实体发来的消息时,则可以根据保存的相邻实体的认证信息对发来消息的相邻实体进行合法性认证;并在认证通过后,与相邻实体间建立连接,以进行信息交互。因此,本发明解决了在采用独立承载控制层实体的网络中各相邻信令实体间的相互发现、信任的问题,从而可以方便实现实体间的互通,提高了网络承载业务的安全性。
文档编号H04L12/28GK1841999SQ200510059649
公开日2006年10月4日 申请日期2005年3月30日 优先权日2005年3月30日
发明者何芸谷, 范灵源, 邹婷 申请人:华为技术有限公司