[发明专利]一种在安全关联反应系统中传送消息的方法及装置

说明书

技术领域

本发明涉及无线通信技术，尤其涉及无线通信中在安全关联反应系统中传送消息的方法及装置。

背景技术

随着分组数据业务逐渐取代传统电路语音，移动运营商网络趋于IP化，与此同时，网络中存在的病毒产生大量的数据流量不仅造成网络资源浪费，而且严重影响了运营网络的效率和安全，对用户终端和业务产生不利的影响和安全威胁。

随着应用业务逐渐丰富，第三方ASP不断增加，业务趋向增值服务和精细化经营。移动用户在获得更多样化的服务的同时，对自身和网络带来的安全风险也大大增加。例如：由于企业用户身份失窃，使企业的内部资源暴露给非授权用户；应用系统遭到破坏或被滥用；应用服务质量下降甚至不可用等。

由于用户终端分布范围广泛，移动终端的病毒侵入较容易，而且小的移动终端因为资源有限导致防护能力较低下，无法保证用户终端都装有杀毒软件或防火墙。即使用户终端都安装安全应用软件，由于没有统一控制，用户不能及时进行安全更新，造成系统漏洞或病毒库的过期等安全隐患。

为了解决由不安全终端带来的网络安全问题，采用安全关联反应系统(CRS，Correlative Reacting System)提供从网络接入控制到应用服务控制的多层安全控制手段。

参阅图1所示为CRS系统结构示意图，包括移动台侧的安全代理(SCA)、网络侧的安全服务器(SCS)、网络侧的网络接入控制器(NAC)和应用服务控制器(ASC)。

安全代理和安全服务器通过Ic接口进行通信，同时，安全服务器通过Ics接口和PLMN中的其它网元通信，通过它们之间的通信和交互，关联反应系统提供对移动台的控制功能。

安全代理SCA负责收集移动台的安全相关信息，对其进行处理并与安全服务器进行通信。安全服务器SCS通过安全代理收集到的安全相关信息来评估移动台的安全状况。当安全服务器判断出移动台不安全时，安全服务器会指示NAC或ASC对移动台的网络访问和应用访问进行控制，安全服务器将对移动台的控制情况通知SCA。当有适合移动台进行自身操作系统升级的补丁、组件或者安全相关应用软件的更新时，SCS通知SCA协助移动台进行相应的升级或者更新。

SCS服务器通过对用户所使用的移动台的控制来实现对移动用户的网络访问控制和应用服务控制，其基础信息来源是SCA向SCS服务器发送的SCI报告和移动用户在移动数据网络中已经申请或定制的各种服务。

采用CRS系统能有效提高防御不安全终端安全威胁的性能，但在无线网络中如何布置安全关联反应系统以及如何进行相关消息的传送，提高无线网络的安全性成为业界急待解决的问题。

发明内容

本发明提供一种在安全关联反应系统中传送消息的方法及装置，以便在无线网络中部署安全关联反应系统(又称关联响应系统)，从而提高无线网络的通信安全。

本发明提供以下技术方案：

一种在安全关联反应系统中传送消息的方法，应用于无线网络；该方法包括步骤：

无线核心网络中的安全服务器以自身在接收消息的目标对象所关联的其他网络中的IP地址为源地址，将发往所述目标对象的消息封装为第一报文；

安全服务器将所述第一报文封装为能够在无线核心网络中传输的第二报文，并将该第二报文发往无线核心网络的边界网元；

所述边界网元从所述第二报文中解封装出第一报文，并将该第一报文发往所述目标网元。

其中：

所述方法还包括步骤：无线核心网络的边界网元将从所述目标对象发往所述安全服务器的第一报文封装为能够在所述无线核心网络中传输的第二报文；所述边界网元将所述第二报文发往所述安全服务器；所述安全服务器从所述第二报文中解封装出第一报文，以及从该第一报文中解封装出消息内容。

所述安全服务器在封装第一报文时至少进行隧道协议封装，并且在解封装第二报文时至少进行隧道协议解封装；所述边界网元在解封装第二报文时至少进行相应的隧道协议解封装，并且在封装第一报文时至少进行隧道协议封装。

所述无线核心网络中的每个安全服务器对应一个其他网络，并配置一个在该其他网络中为所述安全服务器分配的IP地址；或者，所述无线核心网络中的每个安全服务器对应多个所述其他网络，并配置在每个所述其他网络中为该安全服务器分配的IP地址。

一种在安全关联反应系统中传送消息的方法，应用于无线网络；该方法包括步骤：

无线核心网络的边界网元将关联到其他网络的对象发往安全服务器的第一报文封装为能够在所述无线核心网络中传输的第二报文；