專利名稱:一種ngn中安全策略的協(xié)商方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信安全領(lǐng)域,尤其涉及一種下一代網(wǎng)絡(luò)(NGN����,Next Generation Network)中安全策略的協(xié)商方法和系統(tǒng)。
背景技術(shù):
隨著越來(lái)越多的運(yùn)營(yíng)商向著全業(yè)務(wù)方向發(fā)展����,NGN也正朝著融合的方向發(fā)展。現(xiàn)有的NGN架構(gòu)如圖1所示��,在業(yè)務(wù)面上包括應(yīng)用/業(yè)務(wù)支持功能模塊����、業(yè)務(wù)控制和內(nèi)容分發(fā)功能模塊,在傳輸面上包括網(wǎng)絡(luò)附著控制功能模塊��、移動(dòng)性管理控制功能模塊���、資源接納控制功能(RACF�,Itesource and Admission Control Functions)模塊����、傳輸功能模塊�;與業(yè)務(wù)面和傳輸面分別相連的還有管理功能模塊�、身份管理模塊(IDM,Identity Management)功能模塊�����、終端用戶功能模塊���、其他業(yè)務(wù)提供者功能模塊�、其他網(wǎng)絡(luò)功能模塊等等����。隨著網(wǎng)絡(luò)融合的發(fā)展,各種各樣的業(yè)務(wù)也在移動(dòng)網(wǎng)絡(luò)和固定網(wǎng)絡(luò)之間通行���,這使得整個(gè)網(wǎng)絡(luò)的安全都受到威脅。在這樣的背景下�����,運(yùn)營(yíng)商希望加強(qiáng)對(duì)網(wǎng)絡(luò)的管理和控制���。越來(lái)越龐大而復(fù)雜的網(wǎng)絡(luò)����,需要越來(lái)越多的安全設(shè)備部署在網(wǎng)絡(luò)的各個(gè)角落。使這些安全設(shè)備協(xié)同工作的方法��,除了繁雜的人工配置之外��,另外一種途徑就是制定統(tǒng)一的安全策略系統(tǒng)�����,對(duì)整網(wǎng)的安全設(shè)備實(shí)現(xiàn)統(tǒng)一管理���,并從策略層面上實(shí)現(xiàn)安全設(shè)備的協(xié)同工作�����,達(dá)到網(wǎng)絡(luò)安全資源最優(yōu)化�。目前�,提出的網(wǎng)絡(luò)安全管理框架(Network Security Management Framework),其研究范圍定位于電信網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全管理框架���,主要闡述安全策略的表示�、生成、存儲(chǔ)和分發(fā)等�,但并沒(méi)有涉及網(wǎng)絡(luò)中安全策略的具體部署、安全策略協(xié)商架構(gòu)和方法����。另外,國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織(ITU-T)Y. RACF規(guī)范針對(duì)NGN中支持端到端服務(wù)質(zhì)量OloS�����, Quality of Service)和邊界控制�����,重點(diǎn)研究實(shí)時(shí)應(yīng)用驅(qū)動(dòng)以及基于策略的傳輸資源管理��。IP 安全策略(IPSP�,IP Security Policy)是互聯(lián)網(wǎng)工程任務(wù)組(IETF,Internet Engineering Task Force)的工作組�����,目前已關(guān)閉�。IPSP重點(diǎn)研究網(wǎng)絡(luò)安全(IPkc,IP Security)相關(guān)的策略信息模型定義以及安全策略協(xié)商機(jī)制�����,其中����,策略信息模型定義的相關(guān)規(guī)范有兩篇成為請(qǐng)求評(píng)議(RFC, Request For Comments),分別為RFC!3585和RFC3586��。需要說(shuō)明的是���,由于安全策略研究的特殊性��,雖然目前業(yè)界針對(duì)終端可信接入�、端到端QoS策略�、IP安全策略進(jìn)行了研究,然而���,并沒(méi)有針對(duì)NGN的端到端安全需求�����,提出基于策略的NGN安全策略管理方案�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種NGN中安全策略的協(xié)商方法和系統(tǒng)����, 以滿足NGN中安全策略管理的需求。為達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明提供了一種下一代網(wǎng)絡(luò)(NGN)中安全策略的協(xié)商方法,該方法包括安全策略執(zhí)行點(diǎn)(PEP)在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后��,向所屬NGN中的安全策略服務(wù)器(SPQ發(fā)送策略查詢請(qǐng)求報(bào)文�����,請(qǐng)求查詢與所述策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略�����;所述SPS將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給所述PEP執(zhí)行�����。所述SPS位于NGN的傳輸控制功能(TCF)模塊中����,所述PEP位于NGN的傳輸功能 (TF)模塊中��。該方法進(jìn)一步包括所述PEP在接收到NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后,查詢本地安全策略�����,如果存在符合所述連接請(qǐng)求報(bào)文的安全策略��,則執(zhí)行所述符合的安全策略��;否則���,向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文����。該方法進(jìn)一步包括當(dāng)所查詢安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,所述PEP將所述連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到所述UE請(qǐng)求連接的對(duì)端UE ;當(dāng)所查詢安全策略的操作不允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,所述PEP將所述連接請(qǐng)求報(bào)文丟棄。該方法進(jìn)一步包括當(dāng)發(fā)起連接請(qǐng)求的UE與其對(duì)端UE屬于不同的NGN時(shí)����,所述發(fā)起連接請(qǐng)求的UE對(duì)應(yīng)的SPS向所述對(duì)端SPS發(fā)送安全策略協(xié)商請(qǐng)求消息,并將協(xié)商的結(jié)果轉(zhuǎn)發(fā)給所述PEP執(zhí)行���,其中���,所述協(xié)商的結(jié)果包括執(zhí)行所述SPS的安全策略���、或執(zhí)行所述對(duì)端SPS的安全策略、或執(zhí)行所述SPS與所述對(duì)端SPS協(xié)商的新的安全策略����。本發(fā)明還提供了一種NGN中安全策略的協(xié)商系統(tǒng),該系統(tǒng)包括安全策略服務(wù)器 (SPS)和安全策略執(zhí)行點(diǎn)(PEP)���,其中��,所述SPS����,用于存儲(chǔ)和分發(fā)安全策略�����;所述PEP��,用于執(zhí)行所述SPS分發(fā)的安全策略����。所述SPS位于NGN的TCF模塊中��;所述PEP位于NGN的TF模塊中��。所述PEP進(jìn)一步用于,在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后�����,向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文����,請(qǐng)求查詢與所述策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略;相應(yīng)的����,所述SPS進(jìn)一步用于,將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給所述PEP執(zhí)行�����。所述PEP進(jìn)一步用于���,在接收到NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后����,查詢本地安全策略,如果存在符合所述連接請(qǐng)求報(bào)文的安全策略�����,則執(zhí)行所述符合的安全策略�����;否則����, 向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文。所述PEP進(jìn)一步用于�,當(dāng)所查詢安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)時(shí),將所述連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到所述UE請(qǐng)求連接的對(duì)端UE �����;當(dāng)所查詢安全策略的操作不允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,將所述連接請(qǐng)求報(bào)文丟棄。所述SPS進(jìn)一步用于���,當(dāng)發(fā)起連接請(qǐng)求的UE與其對(duì)端UE屬于不同的NGN時(shí)���,向所述對(duì)端SPS發(fā)送安全策略協(xié)商請(qǐng)求消息���,并將協(xié)商的結(jié)果轉(zhuǎn)發(fā)給所述PEP執(zhí)行,其中�����,所述協(xié)商的結(jié)果包括執(zhí)行所述SPS的安全策略�����、或執(zhí)行所述對(duì)端SPS的安全策略�、或執(zhí)行所述 SPS與所述對(duì)端SPS協(xié)商的新的安全策略�����。本發(fā)明所提供的一種NGN中安全策略的協(xié)商方法和系統(tǒng)��,由安全策略執(zhí)行點(diǎn)(PEP)在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后���,向所屬NGN中的安全策略服務(wù)器(SPQ發(fā)送策略查詢請(qǐng)求報(bào)文�����,請(qǐng)求查詢與該策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略�;SPS將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給PEP執(zhí)行。通過(guò)本發(fā)明���,滿足了 NGN 中安全策略管理的需求���。
圖1為現(xiàn)有技術(shù)中的NGN架構(gòu)示意圖;圖2為本發(fā)明實(shí)施例中NGN域內(nèi)的安全策略管理架構(gòu)的示意圖�;圖3為本發(fā)明實(shí)施例中NGN域內(nèi)安全策略協(xié)商方法的流程圖;圖4為本發(fā)明實(shí)施例中NGN跨域安全策略管理架構(gòu)的示意圖���;圖5為本發(fā)明實(shí)施例中NGN跨域安全策略協(xié)商方法的流程圖���。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)一步詳細(xì)闡述。本發(fā)明旨在提供一種NGN中安全策略的協(xié)商方法和系統(tǒng)����,通過(guò)對(duì)現(xiàn)有NGN架構(gòu)的擴(kuò)展,增加安全策略相關(guān)網(wǎng)元����,并規(guī)范安全策略協(xié)商和執(zhí)行流程,從而滿足NGN中安全策略
管理的需求。本發(fā)明實(shí)施例提供的一種NGN域內(nèi)的安全策略管理架構(gòu)����,如圖2所示,在現(xiàn)有 NGN架構(gòu)的傳輸面增設(shè)了安全策略服務(wù)器(SPS�����,Security Policy System)和安全策略執(zhí)行點(diǎn)(PEP��,Policy Enforcement Point)����,用以實(shí)現(xiàn)安全策略的決策和執(zhí)行。SPS主要用于存儲(chǔ)和分發(fā)安全策略��,PEP用于執(zhí)行安全策略�。其中���,SPS包括安全策略決策點(diǎn)(PDP���, Policy Decision Point)、策略庫(kù)(PR,Policy Repository)和策略管理工具(PMT,Policy Management Tools)三個(gè)部分�。SPS作為安全策略決策單元,具有響應(yīng)策略事件,完成狀態(tài)和資源的有效性校驗(yàn)����,將存儲(chǔ)在I3R中的策略規(guī)則轉(zhuǎn)換成設(shè)備可執(zhí)行的格式等功能。SPS可以位于NGN架構(gòu)的傳輸控制功能(TCF�,Transport Control Functions)模塊中,具體的�,可以設(shè)置于TCF模塊的RACF模塊中,用于對(duì)來(lái)自PEP的安全策略查詢請(qǐng)求進(jìn)行響應(yīng)�,根據(jù)安全策略查詢結(jié)果返回應(yīng)答消息向PEP下發(fā)安全策略。SPS通過(guò)向PEP下發(fā)安全策略�����,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸?shù)陌踩刂?。另外,SPS提供同網(wǎng)絡(luò)附著控制功能模塊和業(yè)務(wù)控制功能模塊的接口����,用于同業(yè)務(wù)應(yīng)用層和傳輸功能模塊進(jìn)行交互。PEP作為策略系統(tǒng)的客戶端�����,負(fù)責(zé)執(zhí)行具體的安全策略操作�,PEP可以位于NGN的傳輸功能(TF��,Transport Functions)模塊中��,PEP可以是防火墻����、安全網(wǎng)關(guān)和統(tǒng)一威脅管理(UTM��,Unified Threat Management)等安全設(shè)備����,主要用于安全策略查詢,并根據(jù)安全策略查詢結(jié)果對(duì)通信過(guò)程進(jìn)行安全控制����。在圖2所示NGN域內(nèi)的安全策略管理架構(gòu)中實(shí)現(xiàn)的安全策略協(xié)商方法,如圖3所示�����,該流程為在單一 NGN域內(nèi)的安全策略協(xié)商過(guò)程��,主要包括以下步驟步驟301�����,用戶終端(UE�,User Equipment) A與用戶終端B欲建立連接,用戶終端A 先發(fā)起連接��。步驟302�,用戶終端A向用戶終端B發(fā)起連接,首先用戶終端A發(fā)送連接請(qǐng)求報(bào)文 (可以是TCP連接請(qǐng)求報(bào)文�、UDP連接請(qǐng)求報(bào)文等)到PEP ;PEP檢查本地安全策略�����,如果有符合該連接請(qǐng)求報(bào)文的安全策略���,則執(zhí)行步驟305 ���;否則,執(zhí)行步驟303��。PEP緩存部分安全策略����,例如針對(duì)從某個(gè)源IP地址到目的IP地址的通信,緩存的策略是允許轉(zhuǎn)發(fā)�����、或者是拒絕轉(zhuǎn)發(fā)等。那么���,PEP收到連接請(qǐng)求報(bào)文后�,就會(huì)根據(jù)請(qǐng)求報(bào)文的源地址和目的地址同緩存的安全策略進(jìn)行對(duì)應(yīng)�,依此判斷PEP本地是否有符合的安全策略。步驟303�����,PEP向SPS發(fā)送策略查詢請(qǐng)求報(bào)文�,請(qǐng)求查詢與該報(bào)文相關(guān)的安全策略。步驟304��,SPS將查詢結(jié)果通過(guò)策略查詢應(yīng)答發(fā)送到PEP��。查詢的依據(jù)是策略查詢請(qǐng)求報(bào)文中攜帶的源地址�����、目的地址等信息����。步驟305,如果安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)�����,則PEP將該連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到用戶終端B;如果安全策略的操作不允許轉(zhuǎn)發(fā)�����,則PEP丟棄該連接請(qǐng)求報(bào)文����,流程結(jié)束。PEP將該連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到用戶終端B的目的是�,完成用戶終端A和用戶終端 B之間的會(huì)話建立過(guò)程,轉(zhuǎn)發(fā)給用戶終端B后�����,用戶終端B可以獲知是同用戶終端A進(jìn)行通信����,應(yīng)答消息應(yīng)該發(fā)給用戶終端A。作為本發(fā)明的另一實(shí)施例���,圖4所示提供了 NGN跨域安全策略管理架構(gòu)���,SPS位于傳輸面的RACF中�,用于對(duì)來(lái)自PEP的安全策略查詢請(qǐng)求進(jìn)行響應(yīng)�,根據(jù)安全策略查詢結(jié)果返回應(yīng)答消息向PEP下發(fā)安全策略。SPS通過(guò)向PEP下發(fā)安全策略�,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)傳輸?shù)陌踩刂啤4送?��,SPS還負(fù)責(zé)進(jìn)行NGN跨域安全策略協(xié)商�����,如果在本地沒(méi)有查詢到相應(yīng)的安全策略���,則向跨域SPS發(fā)送安全策略協(xié)商請(qǐng)求消息,并根據(jù)跨域策略服務(wù)器返回的安全策略協(xié)商應(yīng)答消息向PEP下發(fā)安全策略����。另外,SPS提供同網(wǎng)絡(luò)附著控制功能模塊和業(yè)務(wù)控制功能模塊的接口���,用于同業(yè)務(wù)應(yīng)用層和傳輸功能模塊進(jìn)行交互�。PEP位于TF模塊中,PEP可以是防火墻����、安全網(wǎng)關(guān)和UTM等安全設(shè)備�,主要用于安全策略查詢,并根據(jù)安全策略查詢結(jié)果對(duì)通信過(guò)程進(jìn)行安全控制����。在圖4所示的NGN跨域安全策略管理架構(gòu)中實(shí)現(xiàn)的跨域安全策略協(xié)商方法,如圖 5所示���,主要包括以下步驟步驟501�����,用戶終端A屬于網(wǎng)絡(luò)1��,用戶終端B屬于網(wǎng)絡(luò)2�����,用戶終端A與用戶終端 B欲建立連接���,用戶終端A先發(fā)起連接。步驟502,用戶終端A發(fā)送連接請(qǐng)求報(bào)文到策略執(zhí)行點(diǎn)A�����,策略執(zhí)行點(diǎn)A檢查本地安全策略��,如果有符合該連接請(qǐng)求報(bào)文的安全策略�,則執(zhí)行步驟507 ;否則���,執(zhí)行步驟503�。步驟503����,策略執(zhí)行點(diǎn)A向策略服務(wù)器A發(fā)送策略查詢請(qǐng)求報(bào)文,請(qǐng)求查詢與該報(bào)文相關(guān)的安全策略��。步驟504�����,策略服務(wù)器A查詢是否有與該報(bào)文相關(guān)的策略�,如果查找到,則執(zhí)行步驟506 ���;否則��,策略服務(wù)器A根據(jù)其目的查得其屬于網(wǎng)絡(luò)B�����,從而向策略服務(wù)器B發(fā)送安全策略協(xié)商請(qǐng)求消息�。步驟505��,策略服務(wù)器B將協(xié)商結(jié)果通過(guò)安全策略協(xié)商應(yīng)答發(fā)送到策略服務(wù)器A���。 該協(xié)商結(jié)果包括執(zhí)行策略服務(wù)器A的安全策略����、或執(zhí)行策略服務(wù)器B的安全策略��、或執(zhí)行策略服務(wù)器A與策略服務(wù)器B協(xié)商的新的安全策略����。步驟506,策略服務(wù)器A將協(xié)商結(jié)果通過(guò)策略查詢應(yīng)答發(fā)送到策略執(zhí)行點(diǎn)A執(zhí)行����。步驟507,如果安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā),則策略執(zhí)行點(diǎn)A將該連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到策略執(zhí)行點(diǎn)B �;如果安全策略的操作不允許轉(zhuǎn)發(fā),則策略執(zhí)行點(diǎn)A丟棄該連接請(qǐng)求報(bào)文�����,流程結(jié)束�。步驟508,策略執(zhí)行點(diǎn)B收到策略執(zhí)行點(diǎn)A轉(zhuǎn)發(fā)來(lái)的連接請(qǐng)求報(bào)文���,查找本地安全策略����,如果查找到相關(guān)的安全策略��,則按照查找到的安全策略執(zhí)行�����;否則�����,發(fā)送策略查詢請(qǐng)求到策略服務(wù)器B���,請(qǐng)求查詢與該連接請(qǐng)求報(bào)文相關(guān)的安全策略����。步驟509,策略服務(wù)器B將查詢結(jié)果通過(guò)策略查詢應(yīng)答發(fā)送到策略執(zhí)行點(diǎn)B��。步驟510�����,如果該連接請(qǐng)求報(bào)文通過(guò)以上的安全策略檢查����,策略執(zhí)行點(diǎn)B將該連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到用戶終端B�����。對(duì)應(yīng)上述NGN中安全策略的協(xié)商方法��,本發(fā)明還提供了一種NGN中安全策略的協(xié)商系統(tǒng)�����,包括SPS和PEP�。其中�,SPS用于存儲(chǔ)和分發(fā)安全策略����;PEP用于執(zhí)行SPS分發(fā)的安全策略。PEP在接收到所屬NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后�����,向SPS發(fā)送策略查詢請(qǐng)求報(bào)文�����,請(qǐng)求查詢與該策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略�����;SPS將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給PEP執(zhí)行�。較佳的,PEP還可用于�,在接收到NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后,查詢本地安全策略����,如果存在符合該連接請(qǐng)求報(bào)文的安全策略,則執(zhí)行所述符合的安全策略�����;否則,向 SPS發(fā)送策略查詢請(qǐng)求報(bào)文�����。較佳的��,PEP還可用于��,當(dāng)所查詢安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,將所述連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到UE請(qǐng)求連接的對(duì)端UE ;當(dāng)所查詢安全策略的操作不允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,將所述連接請(qǐng)求報(bào)文丟棄。較佳的��,SPS還可用于�,當(dāng)發(fā)起連接請(qǐng)求的UE與其對(duì)端UE屬于不同的NGN時(shí)�����,向所述對(duì)端SPS發(fā)送安全策略協(xié)商請(qǐng)求消息���,并將協(xié)商的結(jié)果轉(zhuǎn)發(fā)給所述PEP執(zhí)行�,其中,協(xié)商的結(jié)果包括執(zhí)行SPS的安全策略���、或執(zhí)行對(duì)端SPS的安全策略����、或執(zhí)行SPS與對(duì)端SPS 協(xié)商的新的安全策略�。以上所述,僅為本發(fā)明的較佳實(shí)施例而已����,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種下一代網(wǎng)絡(luò)(NGN)中安全策略的協(xié)商方法�����,其特征在于�,該方法包括安全策略執(zhí)行點(diǎn)(PEP)在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后, 向所屬NGN中的安全策略服務(wù)器(SPQ發(fā)送策略查詢請(qǐng)求報(bào)文��,請(qǐng)求查詢與所述策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略����;所述SPS將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給所述PEP執(zhí)行。
2.根據(jù)權(quán)利要求1所述NGN中安全策略的協(xié)商方法�����,其特征在于,所述SPS位于NGN的傳輸控制功能(TCF)模塊中���,所述PEP位于NGN的傳輸功能(TF)模塊中���。
3.根據(jù)權(quán)利要求1或2所述NGN中安全策略的協(xié)商方法,其特征在于�,該方法進(jìn)一步包括所述PEP在接收到NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后,查詢本地安全策略�����,如果存在符合所述連接請(qǐng)求報(bào)文的安全策略�,則執(zhí)行所述符合的安全策略;否則�,向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文。
4.根據(jù)權(quán)利要求1或2所述NGN中安全策略的協(xié)商方法����,其特征在于����,該方法進(jìn)一步包括當(dāng)所查詢安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)時(shí)����,所述PEP將所述連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到所述 UE請(qǐng)求連接的對(duì)端UE ���;當(dāng)所查詢安全策略的操作不允許繼續(xù)轉(zhuǎn)發(fā)時(shí)���,所述PEP將所述連接請(qǐng)求報(bào)文丟棄。
5.根據(jù)權(quán)利要求1或2所述NGN中安全策略的協(xié)商方法����,其特征在于,該方法進(jìn)一步包括當(dāng)發(fā)起連接請(qǐng)求的UE與其對(duì)端UE屬于不同的NGN時(shí)�,所述發(fā)起連接請(qǐng)求的UE對(duì)應(yīng)的 SPS向所述對(duì)端SPS發(fā)送安全策略協(xié)商請(qǐng)求消息,并將協(xié)商的結(jié)果轉(zhuǎn)發(fā)給所述PEP執(zhí)行�����,其中����,所述協(xié)商的結(jié)果包括執(zhí)行所述SPS的安全策略、或執(zhí)行所述對(duì)端SPS的安全策略�����、或執(zhí)行所述SPS與所述對(duì)端SPS協(xié)商的新的安全策略。
6.一種NGN中安全策略的協(xié)商系統(tǒng)��,其特征在于��,該系統(tǒng)包括安全策略服務(wù)器(SPS) 和安全策略執(zhí)行點(diǎn)(PEP)��,其中����,所述SPS,用于存儲(chǔ)和分發(fā)安全策略��; 所述PEP���,用于執(zhí)行所述SPS分發(fā)的安全策略��。
7.根據(jù)權(quán)利要求6所述NGN中安全策略的協(xié)商系統(tǒng)���,其特征在于,所述SPS位于NGN的 TCF模塊中��;所述PEP位于NGN的TF模塊中���。
8.根據(jù)權(quán)利要求6所述NGN中安全策略的協(xié)商系統(tǒng)��,其特征在于���,所述PEP進(jìn)一步用于,在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后�����,向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文�,請(qǐng)求查詢與所述策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略;相應(yīng)的�����,所述SPS進(jìn)一步用于�,將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給所述PEP 執(zhí)行。
9.根據(jù)權(quán)利要求6����、7或8所述NGN中安全策略的協(xié)商系統(tǒng),其特征在于�����,所述PEP進(jìn)一步用于,在接收到NGN中的UE發(fā)起的連接請(qǐng)求報(bào)文后�����,查詢本地安全策略�����,如果存在符合所述連接請(qǐng)求報(bào)文的安全策略�����,則執(zhí)行所述符合的安全策略�����;否則��,向所述SPS發(fā)送策略查詢請(qǐng)求報(bào)文����。
10.根據(jù)權(quán)利要求6、7或8所述NGN中安全策略的協(xié)商系統(tǒng)�,其特征在于,所述PEP進(jìn)一步用于����,當(dāng)所查詢安全策略的操作允許繼續(xù)轉(zhuǎn)發(fā)時(shí)�,將所述連接請(qǐng)求報(bào)文轉(zhuǎn)發(fā)到所述UE 請(qǐng)求連接的對(duì)端UE ���;當(dāng)所查詢安全策略的操作不允許繼續(xù)轉(zhuǎn)發(fā)時(shí),將所述連接請(qǐng)求報(bào)文丟棄���。
11.根據(jù)權(quán)利要求6�、7或8所述NGN中安全策略的協(xié)商系統(tǒng)�,其特征在于,所述SPS進(jìn)一步用于��,當(dāng)發(fā)起連接請(qǐng)求的UE與其對(duì)端UE屬于不同的NGN時(shí)�����,向所述對(duì)端SPS發(fā)送安全策略協(xié)商請(qǐng)求消息����,并將協(xié)商的結(jié)果轉(zhuǎn)發(fā)給所述PEP執(zhí)行,其中���,所述協(xié)商的結(jié)果包括執(zhí)行所述SPS的安全策略�����、或執(zhí)行所述對(duì)端SPS的安全策略�、或執(zhí)行所述SPS與所述對(duì)端SPS 協(xié)商的新的安全策略。
全文摘要
本發(fā)明公開(kāi)了一種下一代網(wǎng)絡(luò)(NGN)中安全策略的協(xié)商方法和系統(tǒng)���,方法包括安全策略執(zhí)行點(diǎn)(PEP)在接收到所屬NGN中的用戶終端(UE)發(fā)起的連接請(qǐng)求報(bào)文后�����,向所屬NGN中的安全策略服務(wù)器(SPS)發(fā)送策略查詢請(qǐng)求報(bào)文�����,請(qǐng)求查詢與該策略查詢請(qǐng)求報(bào)文相關(guān)的安全策略�����;SPS將查詢到的安全策略通過(guò)策略查詢應(yīng)答返回給PEP執(zhí)行�����。通過(guò)本發(fā)明�����,滿足了NGN中安全策略管理的需求��。
文檔編號(hào)H04L29/06GK102480478SQ201010567580
公開(kāi)日2012年5月30日 申請(qǐng)日期2010年11月30日 優(yōu)先權(quán)日2010年11月30日
發(fā)明者林兆驥, 陳書義, 高峰 申請(qǐng)人:中興通訊股份有限公司