[发明专利]一种NGN中安全策略的协商方法和系统

说明书

技术领域

本发明涉及通信安全领域，尤其涉及一种下一代网络(NGN，Next Generation Network)中安全策略的协商方法和系统。

背景技术

随着越来越多的运营商向着全业务方向发展，NGN也正朝着融合的方向发展。现有的NGN架构如图1所示，在业务面上包括应用/业务支持功能模块、业务控制和内容分发功能模块，在传输面上包括网络附着控制功能模块、移动性管理控制功能模块、资源接纳控制功能(RACF，Resource and Admission Control Functions)模块、传输功能模块；与业务面和传输面分别相连的还有管理功能模块、身份管理模块(IDM，Identity Management)功能模块、终端用户功能模块、其他业务提供者功能模块、其他网络功能模块等等。

随着网络融合的发展，各种各样的业务也在移动网络和固定网络之间通行，这使得整个网络的安全都受到威胁。在这样的背景下，运营商希望加强对网络的管理和控制。越来越庞大而复杂的网络，需要越来越多的安全设备部署在网络的各个角落。使这些安全设备协同工作的方法，除了繁杂的人工配置之外，另外一种途径就是制定统一的安全策略系统，对整网的安全设备实现统一管理，并从策略层面上实现安全设备的协同工作，达到网络安全资源最优化。

目前，提出的网络安全管理框架(Network Security Management Framework)，其研究范围定位于电信网络中的网络安全管理框架，主要阐述安全策略的表示、生成、存储和分发等，但并没有涉及网络中安全策略的具体部署、安全策略协商架构和方法。另外，国际电信联盟远程通信标准化组织(ITU-T)Y.RACF规范针对NGN中支持端到端服务质量(QoS，Quality of Service)和边界控制，重点研究实时应用驱动以及基于策略的传输资源管理。

IP安全策略(IPSP，IP Security Policy)是互联网工程任务组(IETF，Internet Engineering Task Force)的工作组，目前已关闭。IPSP重点研究网络安全(IPSec，IP Security)相关的策略信息模型定义以及安全策略协商机制，其中，策略信息模型定义的相关规范有两篇成为请求评议(RFC，Request For Comments)，分别为RFC3585和RFC3586。

需要说明的是，由于安全策略研究的特殊性，虽然目前业界针对终端可信接入、端到端QoS策略、IP安全策略进行了研究，然而，并没有针对NGN的端到端安全需求，提出基于策略的NGN安全策略管理方案。

发明内容

有鉴于此，本发明的主要目的在于提供一种NGN中安全策略的协商方法和系统，以满足NGN中安全策略管理的需求。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供了一种下一代网络(NGN)中安全策略的协商方法，该方法包括：

安全策略执行点(PEP)在接收到所属NGN中的用户终端(UE)发起的连接请求报文后，向所属NGN中的安全策略服务器(SPS)发送策略查询请求报文，请求查询与所述策略查询请求报文相关的安全策略；

所述SPS将查询到的安全策略通过策略查询应答返回给所述PEP执行。

所述SPS位于NGN的传输控制功能(TCF)模块中，所述PEP位于NGN的传输功能(TF)模块中。

该方法进一步包括：

所述PEP在接收到NGN中的UE发起的连接请求报文后，查询本地安全策略，如果存在符合所述连接请求报文的安全策略，则执行所述符合的安全策略；否则，向所述SPS发送策略查询请求报文。

该方法进一步包括：

当所查询安全策略的操作允许继续转发时，所述PEP将所述连接请求报文转发到所述UE请求连接的对端UE；当所查询安全策略的操作不允许继续转发时，所述PEP将所述连接请求报文丢弃。

该方法进一步包括：

当发起连接请求的UE与其对端UE属于不同的NGN时，所述发起连接请求的UE对应的SPS向所述对端SPS发送安全策略协商请求消息，并将协商的结果转发给所述PEP执行，其中，所述协商的结果包括：执行所述SPS的安全策略、或执行所述对端SPS的安全策略、或执行所述SPS与所述对端SPS协商的新的安全策略。

本发明还提供了一种NGN中安全策略的协商系统，该系统包括：安全策略服务器(SPS)和安全策略执行点(PEP)，其中，