第三代移动通信网络中实现安全管理的系统及方法

专利名称：第三代移动通信网络中实现安全管理的系统及方法
技术领域：
本发明涉及网络安全管理技术，尤指一种在第三代移动通信网络操作维护域中采用CORBA技术实现的北向接口上安全管理的系统及方法。
背景技术：
随着移动通信网络的飞速发展，第三代移动通信正在逐步成为发展的目标和主流。第三代移动通信主要涉及的技术有WCDMA技术、CDMA2000技术、TD-SCDMA技术，为了保证第三代移动通信网络经济、高效、可靠和安全地运行，网络管理是必不可少的，第三代合作项目组织(3GPP)的网络管理由专门的第5系统架构组(SA5)负责。
目前，3GPP SA5提出了一种网络管理体系结构，如图1所示，该体系包括网络管理系统和被管理系统两部分，管理系统和被管理系统之间的接口称为北向接口(Itf-N，Interface Network)。3GPP SA5北向接口上的功能是由若干个集成参照点(IRP，Integration Reference Point)实现的，其中，IRP功能的请求方称为IRP管理器(IRPManager)，IRP功能的实现方称为IRP代理器(IRPAgent)。也就是说，北向接口上有若干对IRPManager和IRPAgent，图1仅以一对为例，说明IRPManager和IRPAgent之间的关系。这里，IRPManager的任务是发送管理命令给IRPAgent，请求IRPAgent进行某种操作，并接收IRPAgent发来的操作响应以及网络内部事件报告，即通知；IRPAgent用于直接管理网元设备(NE)，接收IRPManager发来的管理命令并向IRPManager返回操作响应，也可以在需要时主动向IRPManager发出通知。基于上述架构，网络管理系统主要包括IRPManager，被管理系统有两种形式可以是包括IRPAgent和若干被管网元，也可以将IRPAgent作为被管网元的一部分置于被管网元的内部。
在第三代移动通信网的网络管理中，网络管理系统(NMC)承担了IRPManager的角色，3G网元设备的操作维护系统(OMC)或3G网元设备承担了IRPAgent的角色，这里的3G网元设备泛指设备商提供的3G设备。一般情况下，Itf-N位于NMC与OMC之间，由OMC向NMC提供北向接口，此种情况下，OMC和NE之间的接口为设备内部接口，接口定义不限。NMC也可以与部分网元设备直接连接，这部分网元设备直接向NMC提供管理接口，此时，Itf-N位于NMC与NE之间。
3GPP SA5提出第三代移动通信网中，网络管理接口的基本功能需求包括公共管理功能、配置管理功能、故障管理功能、性能管理功能和安全管理功能。其中，安全管理功能主要用于防止其他接口管理功能，如配置管理、性能管理等功能的不安全使用，进而防止被管理系统中管理信息的不受控暴露，或对被管理系统的不受控操作，保护通过北向接口传递的管理信息的完整性和机密性。另外，还要在被管理系统出现安全入侵情况时向管理系统报告，并保留入侵活动记录，以便进行安全审计。具体的安全管理功能包括对管理系统和被管理系统的认证服务、鉴权服务、完整性保护、机密性保护、审计日志服务等。
虽然，3GPP SA5定义了Itf-N的安全管理功能需求，但如何实现Itf-N的安全管理以及安全管理的各项功能需求，目前尚未提供具体明确的解决方案。

发明内容
有鉴于此，本发明的主要目的在于提供一种第三代移动通信网络操作维护域中实现安全管理的系统，使其能支持安全管理的基本功能需求在CORBA实现的3GPP SA5 Itf-N接口上实现。
本发明的另一目的在于提供一种第三代移动通信网络操作维护域中实现安全管理的方法，能在CORBA实现的3GPP SA5 Itf-N接口上实现安全管理的各种安全服务。
为达到上述目的，本发明的技术方案是这样实现的一种第三代移动通信网络中实现安全管理的系统，在3GPP SA5的北向接口上包括至少一对作为集成参考点IRP功能请求方的IRP管理器IRPManager和作为IRP功能实现方的IRP代理器IRPAgent，关键在于北向接口上还进一步包括连接于IRPManager和IRPAgent之间的安全管理IRP，该安全管理IRP用于为IRPManager和IRPAgent提供安全服务。
其中，所述安全管理IRP进一步包括认证服务模块，用于提供认证服务；鉴权服务模块，用于提供鉴权服务；完整性服务模块，用于保证在IRPManager和IRPAgent之间传递信息的完整性；机密性服务模块，用于保证在IRPManager和IRPAgent之间传递信息的机密性；审计日志服务模块，用于记录成功或失败的认证、鉴权和操作。
上面所述安全管理IRP包括IRPManager侧的安全管理IRPManager和IRPAgent侧的安全管理IRPAgent。
一种第三代移动通信网络中实现安全管理的方法，在北向接口上设置用于实现安全服务的安全管理IRP，该方法还包括以下步骤a.安全管理IRP接收当前IRPManager和IRPAgent之间传输的信息后，根据预先设定的安全策略和传输信息的内容确定是否需要对当前收到的传输信息进行安全服务，如果需要，则执行步骤b；否则，直接透传该信息，并结束当前的处理流程；b.确定并执行所需的安全服务，然后判断安全服务是否允许传输信息通过，如果允许，则透传当前收到的传输信息，接收方根据该传输信息完成相应处理；否则，拒绝该传输信息；其中所述安全服务为认证服务、或鉴权服务、或完整性服务、或机密性服务、或审计日志服务、或五种服务的任意组合。
其中，步骤a中所述传输信息为操作信息、或通知、或文件。所述认证服务运行于北向接口的ORB层、或传输层、或ORB层和传输层；所述鉴权服务运行于北向接口的ORB层、或应用层、或ORB层和应用层；所述完整性服务运行于北向接口的应用层、或传输层、或应用层和传输层；所述机密性服务运行于北向接口的应用层、或传输层、或应用层和传输层；所述审计日志服务运行于北向接口的ORB层、或应用层、或ORB层和应用层。
上述方案中，步骤b中所述执行的安全服务为认证服务时，将安全管理IRP作为IRPManager和IRPAgent的可信第三方，安全管理IRP在IRPManager和IRPAgent之间建立一条可靠链接，该方法进一步包括当IRPManager向IRPAgent发送请求时，IRPManager请求安全管理IRPManager对自身进行认证，获取信任状；IRPAgent收到请求前，安全管理IRPAgent请求获取请求发送方IRPManager的信任状，如果获取成功，则实现对IRPManager的认证；当IRPAgent请求向IRPManager发送通知时，IRPAgent请求安全管理IRPAgent对自身进行认证，获取信任状，IRPManager在收到请求前，安全管理IRPManager请求获取IRPAgent的信任状，如果获取成功，则实现了对IRPAgent的认证。
上述方案中，步骤b中所述执行的安全服务为审计日志服务时，该方法进一步包括b1.开始认证过程，判断认证是否成功，如果认证失败，则根据预先设定的安全策略判断是否记录认证失败日志，如果记录，则记录认证失败过程及其失败结果，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果认证成功，则根据预先设定的安全策略判断是否记录认证成功日志，如果记录，则记录认证成功过程及其成功结果，然后执行步骤b2，如果不记录，则直接执行步骤b2；b2.开始鉴权过程，判断鉴权是否成功，如果鉴权失败，则根据预先设定的安全策略判断是否记录鉴权失败日志，如果记录，则记录鉴权失败过程，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果鉴权成功，则根据预先设定的安全策略判断是否记录鉴权成功日志，如果记录，则记录鉴权成功过程，然后执行步骤b3，如果不记录，则直接执行步骤b3；b3.开始执行操作过程，判断操作是否成功，如果操作失败，则根据预先设定的安全策略判断是否记录操作失败日志，如果记录，则记录操作失败过程，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果操作成功，则根据预先设定的安全策略判断是否记录操作成功日志，如果记录，则记录操作成功过程，然后结束当前处理流程，如果不记录，则直接结束当前处理流程。
上述方案中，北向接口上的所有IRP使用同一个ORB；或者，北向接口上安全需求相似的IRP使用同一个ORB。其中，使用同一个ORB的不同IRP采用的安全保护策略不同。
本发明所提供的第三代移动通信网络中实现安全管理的系统及方法，具有以下的优点和特点1)由于在原有的北向接口增加了安全管理IRP，使3GPP SA5 Itf-N接口能实现网络安全管理，能实现CORBA环境下，Itf-N功能的受控使用，包括Itf-N上传输信息的完整性和机密性。
2)本发明中的安全管理IRP能够提供认证、鉴权、完整性、机密性和审计日志五种安全服务，使IRPManager和IRPAgent之间传输的各种信息，都必须经过安全管理IRP的处理，从而保证并提高了整个网络管理系统的安全可靠性。
3)本发明中的安全管理IRP中提供的五种安全服务可以根据不同的需求任意选择，实现起来灵活、方便。
4)针对每种安全服务本发明都提出了一个较佳的实现方案，从而给出了3GPP SA5 Itf-N安全管理的具体实施方式
，完善了3GPP SA5的网络管理技术。
5)本发明针对每种安全服务还结合北向接口层的划分，具体给出了每种安全服务在不同层进行的处理；且对于同一种安全服务，不同层的处理在实际应用中也是可选的，因此，本发明不仅完善了3GPP SA5的网络管理技术，而且实现方案简单、灵活、多样。


图1为现有技术中3GPP SA5网络管理系统架构示意图；
图2为本发明中3GPP SA5网络管理系统架构示意图；图3为本发明中安全管理IRP的组成结构示意图；图4为3GPP SA5北向接口三层结构示意图；图5为本发明方法的实现流程示意图；图6为本发明中审计日志服务的具体实现流程图。
具体实施例方式
本发明的核心思想是在北向接口上增加安全管理IRP，该安全管理IRP能提供认证、鉴权、完整性、机密性以及审计日志五种安全服务，使所有在IRPManager和IRPAgent之间传输的信息都经过安全管理IRP，并根据需要对当前传输信息执行不同的安全服务，从而在3GPP SA5 Itf-N接口上实现安全管理需求。其中，安全管理IRP包括IRPManager侧的安全管理IRPManager和IRPAgent侧的安全管理IRPAgent。
本发明中实现安全管理的网管系统架构如图2所示，同时在IRPManager侧增加安全管理IRPManager、在IRPAgent侧增加安全管理IRPAgent，安全管理IRPManager和安全管理IRPAgent合称为安全管理IRP，设置并连接于北向接口上，IRPManager和IRPAgent通过安全管理IRP实现通信，包括操作、通知和文件传输。IRPManager发出的操作请求信息、文件传输信息经过IRPManager侧安全管理IRPManager和IRPAgent侧安全管理IRPAgent传输至IRPAgent；同样，IRPAgent发出的通知信息经过IRPAgent侧安全管理IRPAgent和IRPManager侧安全管理IRPManager传输至IRPManager。安全管理IRP可以提供认证服务、完整性服务、机密性服务、鉴权服务以及审计日志服务。
安全管理IRP可以通过分别为IRPManager和IRPAgent配置安全策略脚本的方式，为IRPManager和IRPAgent提供安全服务。安全管理IRP也可以通过提供编程接口的方式，使IRPManager、IRPAgent能够通过编码使用安全管理IRP提供的各种服务。上述安全管理IRP提供服务的配置方式可以避免修改已存在的IRPManager和IRPAgent；编码方式对IRPManager和IRPAgent的影响也很小。然而，如果IRPAgent希望控制IRPManager对特定资源的访问，比如访问由接口操作的参数指定的资源，则需要IRPAgent使用针对资源的访问控制决定组件。
每个安全管理IRP的组成结构如图3所示，包括认证服务模块、鉴权服务模块、完整性服务模块、机密性服务模块以及审计日志服务模块。其中，认证服务模块用于提供认证服务；鉴权服务模块用于提供鉴权服务；完整性服务模块用于提供完整性服务，保证在IRPManager和IRPAgent之间传递的信息的完整性；机密性服务模块用于提供机密性服务，保证在IRPManager和IRPAgent之间传递的信息的机密性；审计日志服务模块用于提供安全审计服务，记录成功或失败的认证、鉴权和操作。认证服务模块、鉴权服务模块、完整性服务模块、机密性服务模块以及审计日志服务模块拦截来自本侧或发给本侧网络实体的传输信息，然后该传输信息所需执行的安全服务对应的模块启动响应的安全服务，对该传输信息进行相应的安全管理操作。这里的传输信息包括操作、通知和文件传输。
IRPManager与IRPAgent之间传输的所有信息都会被安全管理IRP拦截，安全管理IRP根据当前拦截到的传输信息内容，就可以知道该信息需要执行哪些安全服务，需要执行哪种安全服务就直接由哪个服务模块启动相应的安全服务。这里，每种信息需要执行何种安全服务是预先定义好的，比如如果是操作，就需要执行认证、鉴权、审计日志三项安全服务；如果是文件传输，就需要执行完整性服务等等。
以IRPManager对IRPAgent进行配置管理业务为例，该操作需要执行的安全服务包括认证服务、鉴权服务以及审计日志服务，那么，IRPManager向IRPAgent进行配置操作时，所发送的配置请求和配置信息先分别经过IRPManager侧安全管理IRPManager和IRPAgent侧安全管理IRPAgent，安全管理IRP中的认证服务模块、鉴权服务模块以及审计日志服务模块将分别对所收到的信息进行认证、鉴权，并对认证、鉴权以及所涉及到的操作是否成功进行记录，如果需要，也可以进一步记录失败原因等相关信息。如果认证、鉴权、完整性检验都成功，则信息传输至IRPAgent，IRPAgent根据所收到的信息进行相应的操作；如果认证、鉴权、完整性检验没有都成功，则安全管理IRP中的相应模块向IRPManager返回失败信息，拒绝当前的操作。
由于北向接口Itf-N分为三层应用层、ORB层和传输层，如图4所示，所以，在实际应用中，上面所述的认证服务、鉴权服务、完整性服务、机密性服务和审计日志服务也分别在不同层上提供，有的安全服务可以同时在两个层上提供。对于同一安全服务，每层的实现方案是相互独立，可以根据需要选择在两层都提供该安全服务，也可以只选择在某一层上提供该安全服务。上述五种安全服务具体能在哪层上提供如表一所示，表中的“X”表示该层提供该安全服务。

表一从表一及图4可以看出，本发明的安全管理IRP可以在传输层提供认证服务、完整性服务、机密性服务；在ORB层提供认证服务、鉴权服务；在应用层提供鉴权服务、审计日志服务，也可以根据需要提供完整性服务和机密性服务。
具体来说，对于认证服务，ORB层的认证可以使用一般安全服务用户名密码(GSSUP，Generic Security Services Username Password)机制，传输层的认证可以使用ITU-T X.509证书机制。
对于鉴权服务，在ORB层上，安全管理IRP首先获取请求发送者的访问标识；而后获取请求内容，即被请求操作名称，可以包括操作所属接口的名称；最后安全管理IRP根据预定义的访问控制列表检查访问者是否有权限执行被请求操作。在应用层上，安全管理IRP间接提供鉴权服务，当IRPAgent要求进行应用层鉴权服务时，安全管理IRP提供访问者标识、被请求操作名称及其参数等信息给IRPAgent，以便IRPAgent根据上述信息以及预定义的访问控制列表进行鉴权。
对于完整性服务，在应用层上，一般在有传输层完整性服务的条件下，应用层完整性服务可以由鉴权服务同时提供，这是由于鉴权可以保证被保护信息不会被非授权IRPManager访问，避免了信息被非授权访问。但对于特别敏感的数据，还是需要应用层完整性服务。根据安全管理IRP需求，目前只有批配置管理IRP(Bulk CM IRP)的XML格式的激活(Active)配置文件需要进行应用层完整性保护，安全管理IRP并不直接向Bulk CM IRP提供应用层完整性保护，而是通过修改现有Active配置文件，使用XML签名技术来实现对批配置管理IRP(Bulk CM IRP)的完整性保护。在传输层上，安全管理IRP在传输层使用X.509证书数字签名技术向IRPManager和IRPAgent提供传输层完整性保护，当被传输信息的完整性被破坏时，向信息接收者发送异常。
对于机密性服务，在应用层上，一般在有传输层机密性服务的条件下，应用层机密性服务可以由鉴权服务同时提供，这是由于鉴权可以保证被保护信息不会被非授权IRPManager访问，避免了信息被非授权访问。但对于特别敏感的数据，还需要应用层机密性服务。如果IRPManager和IRPAgent之间传递的XML文件需要应用层机密性服务，则使用XML加密技术来实现对XML文件的机密性保护，安全管理IRP间接向IRP提供应用层机密性保护。在传输层上，安全管理IRP使用X.509证书数字签名技术向IRPManager和IRPAgent提供传输层机密性保护，当被传输信息的机密性被破坏时，向信息接收者发送异常。
对于审计日志服务，安全管理IRP向IRPAgent提供的审计日志服务可以在ORB层实现，即当针对某个IRPAgent的安全审计日志的记录条件定制完毕后，审计日志由ORB自动进行记录，IRPAgent不参与记录过程。安全管理IRP向IRPAgent提供的审计日志服务还可以在应用层实现，即安全管理IRP提供写入审计日志记录的接口，IRPAgent可以在处理IRPManager的请求过程中，向审计日志中写入记录。
上述认证服务和鉴权服务在ORB层上的实现都是基于CORBA技术的，所以，也可以看作是CORBA服务。
北向接口上的所有IRP可以在ORB层上、应用层上受到安全保护；不同IRP在ORB层和应用层的安全保护策略可以各不相同；但是，一个特定IRP的所有实例在整个通信系统内必须具有相同的安全保护策略。例如1)北向接口上所有IRP使用同一个ORB，应用相同的ORB层安全策略，但针对不同的IRP定义各自的安全保护策略；特殊的，部分IRP可以不应用安全策略。举个简单的例子对于IRP1定义的安全保护策略是要对get操作和set操作针对某些网络资源的访问进行鉴权服务，而对于IRP2定义的安全保护策略是仅对set操作针对某些网络资源的访问进行鉴权服务；ORB层的安全策略为使用GSSUP机制进行IRPManager和IRPAgent的认证，并对所有操作进行鉴权，例如允许IRP1和IRP2的所有操作，但是禁止IRP3的操作。
2)北向接口上对于安全需求相似的IRP使用同一个ORB，每个ORB应用各自的安全策略；安全需求不相似的IRP使用不同的ORB，使用同一ORB的IRP采用各自的安全保护策略。特殊的，上述ORB中的某些IRP可以不应用任何应用层安全策略。
基于上述实现北向接口(Itf-N)网络安全管理的系统，也就是说，在北向接口上设置安全管理IRP的基础上，本发明实现网络安全管理的方法如图5所示，包括以下的步骤步骤501～503安全管理IRP拦截从本侧发出的或发给本侧网络实体的传输信息，然后根据预先设定的安全策略和传输信息的内容确定是否需要对该传输信息进行安全服务，如果需要，则执行步骤504；否则，直接透传该传输信息，并结束当前的处理流程。这里的传输信息包括操作、通知和文件传输。
步骤504～507再根据传输信息的内容确定并执行所需的安全服务，比如是操作就要执行认证、鉴权、审计日志；是文件传输就要执行完整性服务，然后判断安全服务是否允许当前拦截的传输信息通过，如果允许，则透传该传输信息，允许接收方根据该传输信息完成相应的处理；否则，拒绝该传输信息。
实际上，各种安全服务都有很多种已有的实现方式，本发明中，所选用认证服务的实现思想是将安全管理IRP作为IRPManager和IRPAgent的可信任第三方，帮助IRPManager和IRPAgent相互进行认证，即安全管理IRP在IRPManager和IRPAgent之间建立一条可靠链接。具体实现是当IRPManager向IRPAgent发送请求时，IRPManager请求安全管理IRPManager对自身进行认证，获取信任状，该信任状可以被安全的在安全管理IRPManager和安全管理IRPAgent之间传递。IRPAgent在收到请求前，安全管理IRPAgent请求获取请求发送方IRPManager的信任状，如果获取成功，则实现了对IRPManager的认证。
当IRPAgent请求向IRPManager发送通知时，IRPAgent请求安全管理IRPAgent对自身进行认证，获取信任状，IRPManager在收到请求前，安全管理IRPManager请求获取IRPAgent的信任状，如果获取成功，则实现了对IRPAgent的认证。
对于认证服务，当以配置方式使用安全管理IRP的认证服务时，上述过程对于IRPManager和IRPAgent是不可见的。当以编码方式使用安全管理IRP的认证服务时，需要IRPManager和IRPAgent显式请求认证服务。
本发明所选用的鉴权服务的思想是安全管理IRP向IRPAgent提供鉴权服务，即当IRPAgent接收到IRPManager的请求时，IRPAgent请求安全管理IRP对请求发送者IRPManager进行鉴权，这里所述鉴权包括安全管理IRPAgent先获取请求者标识，再查询访问者的访问控制列表，以确定该IRPManager是否有权执行被请求操作。
本发明所选用的审计日志服务的思想是当IRPAgent接收到来自IRPManager的请求时，安全管理IRP记录IRPAgent对IRPManager的认证过程及其结果，如果认证成功，则需要记录IRPAgent对IRPManager的鉴权过程及其结果，如果鉴权成功，则需要记录IRPAgent执行IRPManager请求的过程及其结果。
安全管理IRP还可以向IRPAgent提供审计日志定制工具，允许IRPAgent定制哪些过程需要记录日志，比如允许仅记录成功或失败的认证过程；允许仅记录成功或失败的鉴权过程；允许仅记录成功或失败的操作执行过程；允许仅记录指定的一组操作的执行过程；允许记录上述情况的组合。
IRPAgent接收到IRPManager的请求后，具体的审计日志服务的实现过程如图6所示，包括以下的步骤步骤601～602开始认证过程，然后判断认证是否成功，如果是，则执行步骤605；否则，执行步骤603。
步骤603～604根据预先设定的安全策略判断是否记录认证失败日志，如果是，则记录认证失败过程及其失败结果，然后结束当前处理流程；否则，直接结束当前处理流程。
步骤605～606根据预先设定的安全策略判断是否记录认证成功日志，如果是，则记录认证成功过程及其成功结果，然后执行步骤607；否则，直接执行步骤607。
步骤607～608开始鉴权过程，然后判断鉴权是否成功，如果是，则执行步骤611；否则，执行步骤609。
步骤609～610根据预先设定的安全策略判断是否记录鉴权失败日志，如果是，则记录鉴权失败过程，然后结束当前处理流程；否则，直接结束当前处理流程。
步骤611～612根据预先设定的安全策略判断是否记录鉴权成功日志，如果是，则记录鉴权成功过程，然后执行步骤613；否则，直接执行步骤613。
步骤613～614开始执行操作过程，然后判断操作是否执行成功，如果是，则执行步骤617；否则，执行步骤615。
步骤615～616根据预先设定的安全策略判断是否允许操作失败日志，如果是，则记录执行操作失败过程，然后结束当前处理流程；否则，直接结束当前处理流程。
步骤617～618根据预先设定的安全策略判断是否记录操作成功日志，如果是，则记录执行操作成功过程，然后结束当前处理流程；否则，直接结束当前处理流程。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
权利要求
1.一种第三代移动通信网络中实现安全管理的系统，在3GPP SA5的北向接口上包括至少一对作为集成参考点IRP功能请求方的IRP管理器IRPManager和作为IRP功能实现方的IRP代理器IRPAgent，其特征在于北向接口上还进一步包括连接于IRPManager和IRPAgent之间的安全管理IRP，该安全管理IRP用于为IRPManager和IRPAgent提供安全服务。
2.根据权利要求1所述的系统，其特征在于，所述安全管理IRP进一步包括认证服务模块，用于提供认证服务；鉴权服务模块，用于提供鉴权服务；完整性服务模块，用于保证在IRPManager和IRPAgent之间传递信息的完整性；机密性服务模块，用于保证在IRPManager和IRPAgent之间传递信息的机密性；审计日志服务模块，用于记录成功或失败的认证、鉴权和操作。
3.根据权利要求1或2所述的系统，其特征在于，所述安全管理IRP包括IRPManager侧的安全管理IRPManager和IRPAgent侧的安全管理IRPAgent。
4.一种第三代移动通信网络中实现安全管理的方法，其特征在于，在北向接口上设置用于实现安全服务的安全管理IRP，该方法还包括以下步骤a.安全管理IRP接收当前IRPManager和IRPAgent之间传输的信息后，根据预先设定的安全策略和传输信息的内容确定是否需要对当前收到的传输信息进行安全服务，如果需要，则执行步骤b；否则，直接透传该信息，并结束当前的处理流程；b.确定并执行所需的安全服务，然后判断安全服务是否允许传输信息通过，如果允许，则透传当前收到的传输信息，接收方根据该传输信息完成相应处理；否则，拒绝该传输信息；其中所述安全服务为认证服务、或鉴权服务、或完整性服务、或机密性服务、或审计日志服务、或五种服务的任意组合。
5.根据权利要求4所述的方法，其特征在于，步骤a中所述传输信息为操作信息、或通知、或文件。
6.根据权利要求4所述的方法，其特征在于，所述认证服务运行于北向接口的ORB层、或传输层、或ORB层和传输层。
7.根据权利要求4所述的方法，其特征在于，所述鉴权服务运行于北向接口的ORB层、或应用层、或ORB层和应用层。
8.根据权利要求4所述的方法，其特征在于，所述完整性服务运行于北向接口的应用层、或传输层、或应用层和传输层。
9.根据权利要求4所述的方法，其特征在于，所述机密性服务运行于北向接口的应用层、或传输层、或应用层和传输层。
10.根据权利要求4所述的方法，其特征在于，所述审计日志服务运行于北向接口的ORB层、或应用层、或ORB层和应用层。
11.根据权利要求4或6所述的方法，其特征在于，步骤b中所述执行的安全服务为认证服务时，将安全管理IRP作为IRPManager和IRPAgent的可信第三方，安全管理IRP在IRPManager和IRPAgent之间建立一条可靠链接，该方法进一步包括当IRPManager向IRPAgent发送请求时，IRPManager请求安全管理IRPManager对自身进行认证，获取信任状；IRPAgent收到请求前，安全管理IRPAgent请求获取请求发送方IRPManager的信任状，如果获取成功，则实现对IRPManager的认证；当IRPAgent请求向IRPManager发送通知时，IRPAgent请求安全管理IRPAgent对自身进行认证，获取信任状，IRPManager在收到请求前，安全管理IRPManager请求获取IRPAgent的信任状，如果获取成功，则实现了对IRPAgent的认证。
12.根据权利要求4或10所述的方法，其特征在于，步骤b中所述执行的安全服务为审计日志服务时，该方法进一步包括b1.开始认证过程，判断认证是否成功，如果认证失败，则根据预先设定的安全策略判断是否记录认证失败日志，如果记录，则记录认证失败过程及其失败结果，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果认证成功，则根据预先设定的安全策略判断是否记录认证成功日志，如果记录，则记录认证成功过程及其成功结果，然后执行步骤b2，如果不记录，则直接执行步骤b2；b2.开始鉴权过程，判断鉴权是否成功，如果鉴权失败，则根据预先设定的安全策略判断是否记录鉴权失败日志，如果记录，则记录鉴权失败过程，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果鉴权成功，则根据预先设定的安全策略判断是否记录鉴权成功日志，如果记录，则记录鉴权成功过程，然后执行步骤b3，如果不记录，则直接执行步骤b3；b3.开始执行操作过程，判断操作是否成功，如果操作失败，则根据预先设定的安全策略判断是否记录操作失败日志，如果记录，则记录操作失败过程，然后结束当前处理流程；如果不记录，则直接结束当前处理流程；如果操作成功，则根据预先设定的安全策略判断是否记录操作成功日志，如果记录，则记录操作成功过程，然后结束当前处理流程，如果不记录，则直接结束当前处理流程。
13.根据权利要求4至10任一项所述的方法，其特征在于，北向接口上的所有IRP使用同一个ORB；或者，北向接口上安全需求相似的IRP使用同一个ORB。
14.根据权利要求13所述的方法，其特征在于，使用同一个ORB的不同IRP采用的安全保护策略不同。
全文摘要
本发明公开了一种第三代移动通信网络操作维护域中实现安全管理的系统，在3GPP SA5的北向接口上包括至少一对作为集成参考点IRP功能请求方的IRP管理器IRPManager和作为IRP功能实现方的IRP代理器IRPAgent，关键在于北向接口上还进一步包括连接于IRPManager和IRPAgent之间的安全管理IRP，该安全管理IRP用于为IRPManager和IRPAgent提供安全服务，所述安全管理IRP包括IRPManager侧的安全管理IRPManager和IRPAgent侧的安全管理IRPAgent。本发明还同时公开了一种第三代移动通信网络操作维护域中实现网络安全管理的方法，采用该系统和方法能支持网络安全管理的基本功能需求在3GPP SA5 Itf－N接口上实现，也就是在3GPP SA5的Itf－N接口上实现安全管理的各种安全服务。
文档编号H04L12/24GK1731879SQ200410071798
公开日2006年2月8日 申请日期2004年8月8日 优先权日2004年8月8日
发明者杨利 申请人:华为技术有限公司