專利名稱:安全業(yè)務(wù)計(jì)費(fèi)方法
技術(shù)領(lǐng)域:
本發(fā)明適用于通信和信息安全領(lǐng)域,具體涉及安全業(yè)務(wù)計(jì)費(fèi)的一種方法。
背景技術(shù):
由于商務(wù)信息的及時性和敏感性,人們對通信安全的關(guān)注上升到了一個前所未有的高度。隨著普遍通信服務(wù)的開展,終端用戶對通信服務(wù)也提出了更高的要求。人們不但要求通信質(zhì)量,還要求有保障的通信安全。對通信的安全需求更是多種多樣不同的應(yīng)用對安全的要求是不同的;相同的應(yīng)用在不同的場景下對安全的要求也不相同。例如,基本的語音通話只需要對用戶可認(rèn)證可計(jì)費(fèi)就能滿足要求。而手機(jī)錢包服務(wù)需要對用戶終端、銀行和商家的多方認(rèn)證以及支付信息的加密傳輸。即使對于同一種語音通信服務(wù),涉及商業(yè)機(jī)密的商務(wù)會比普通聊天需要更高強(qiáng)度的安全保障。
在移動通信的3G及后3G時代,更多類型的數(shù)據(jù)服務(wù)將會問世,隨之而來是網(wǎng)絡(luò)攻擊與通信安全的挑戰(zhàn)。安全服務(wù)不但承擔(dān)著為通信保駕護(hù)航的作用,也將成為移動通信增值服務(wù)的一個亮點(diǎn)。安全服務(wù)將是眾多的數(shù)據(jù)業(yè)務(wù)成功開展的基礎(chǔ)。
與一般通信服務(wù)比較而言,運(yùn)營商提供有保障的安全通信要明顯地占用更多的網(wǎng)絡(luò)和計(jì)算資源。在安全技術(shù)方面,數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證、訪問控制等基礎(chǔ)安全技術(shù)已能提供諸如機(jī)密性、身份認(rèn)證、反否認(rèn)、完整性、訪問控制、可用性等基本的安全服務(wù)。這些安全服務(wù)及其組合能夠滿足一般網(wǎng)絡(luò)應(yīng)用和通信的安全需求。因此,將安全服務(wù)明碼標(biāo)價,提供給用戶按需選擇是可行的。
安全服務(wù)轉(zhuǎn)變成增值業(yè)務(wù)提供給用戶,擁有著廣泛的市場前景。然而現(xiàn)在卻缺少簡單有效的、支持安全業(yè)務(wù)的計(jì)費(fèi)方法。RADIUS(Remote Authentication Dial In UserService遠(yuǎn)程撥號用戶服務(wù))協(xié)議已成為廣泛應(yīng)用的用戶認(rèn)證與計(jì)費(fèi)方法。它可以對諸如VOD點(diǎn)播和因特網(wǎng)瀏覽提供基于時間或基于流量的計(jì)費(fèi)服務(wù)。目前,用戶并不能根據(jù)自己的安全需求來定制需要的安全服務(wù)。運(yùn)營商方面,提出一種新的安全業(yè)務(wù),也需要同時設(shè)計(jì)開發(fā)出支持這種安全業(yè)務(wù)的計(jì)費(fèi)方法。用戶有各種各樣的安全需求,安全服務(wù)的種類也是名目繁多,提出一種通用的安全業(yè)務(wù)計(jì)費(fèi)方法是解決這一問題的關(guān)鍵。本發(fā)明將安全業(yè)務(wù)的計(jì)費(fèi)轉(zhuǎn)換為傳統(tǒng)計(jì)費(fèi)方法能夠識別的計(jì)費(fèi)源信息,可以利用RADIUS原有的用戶認(rèn)證和計(jì)費(fèi)功能,在不改變原有網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的前提下,完成對新的安全業(yè)務(wù)的計(jì)費(fèi)支持。
發(fā)明內(nèi)容
本發(fā)明的目的是提出安全業(yè)務(wù)的計(jì)費(fèi)方法,解決在將安全服務(wù)轉(zhuǎn)換為增值安全業(yè)務(wù)過程中,對安全通信的計(jì)費(fèi)問題。該方法的核心思想是安全元可以描述用戶和應(yīng)用的各種安全需求,具體配置的安全元可以依據(jù)耗費(fèi)資源的多少來定價,而安全元又可以按照原有計(jì)費(fèi)系統(tǒng)的計(jì)費(fèi)特征進(jìn)行分類,這樣就將安全業(yè)務(wù)的計(jì)費(fèi)轉(zhuǎn)化為傳統(tǒng)計(jì)費(fèi)服務(wù)器可以識別的形式。
用戶通過終端訪問各種數(shù)據(jù)應(yīng)用時,可能遭遇各種各樣的安全威脅,一般,在考慮網(wǎng)與絡(luò)信息安全時,將網(wǎng)絡(luò)、終端和應(yīng)用所面臨的基本安全威脅歸為5類破壞信息,中斷或者改變信息,竊取、轉(zhuǎn)移、丟失信息,暴露信息,中斷服務(wù)。防范這些威脅有8種基本安全服務(wù)(安全元)訪問控制,身份認(rèn)證,抗抵賴,機(jī)密性,通訊安全,完整性,可用性,私有性[1]。安全元是抽象出來的具有共性的安全需求基本單位,各種應(yīng)用的具體安全需求可由這些安全元的組合構(gòu)成。安全元本身代表最小粒度的、可配置的安全服務(wù),同時,一種安全元也代表一類基礎(chǔ)的安全技術(shù)。因此,選擇安全元作為安全業(yè)務(wù)的計(jì)費(fèi)單位,不僅簡化了安全業(yè)務(wù)的計(jì)費(fèi),而且靈活配置安全元組合還能夠滿足各種不同應(yīng)用場合的安全需求。以安全元為計(jì)費(fèi)單位,而不是以具體的安全需求為計(jì)費(fèi)單位,使得安全業(yè)務(wù)可以用有限的安全元計(jì)算表示各種安全需求,快速準(zhǔn)確地計(jì)算一次安全服務(wù)的費(fèi)用。
基于安全元的安全業(yè)務(wù)計(jì)費(fèi)方法的基本步驟是第一步,為安全元定價;在安全元列表(訪問控制,身份認(rèn)證,抗抵賴,機(jī)密性,通訊安全,完整性,可用性,私有性)中,確定提供安全服務(wù)的安全元,依據(jù)每種安全元調(diào)用安全技術(shù)占用網(wǎng)絡(luò)資源和計(jì)算資源的多少及市場規(guī)模等因素,為每種安全元定價,在安全業(yè)務(wù)中協(xié)商后的安全元信息是包括了安全元的具體配置信息。
第二步,按AAA服務(wù)器支持的計(jì)費(fèi)方式將安全元分類;將安全元分類是將各安全元?dú)w類到AAA服務(wù)器支持的計(jì)費(fèi)方式的特征類中,各安全元子類沒有交集,且分類具有完備性;AAA服務(wù)器支持的計(jì)費(fèi)方式包括按時間計(jì)費(fèi)、按流量計(jì)費(fèi)、按服務(wù)次數(shù)計(jì)費(fèi)。
對于具有時間相關(guān)性,服務(wù)時間越長,消耗資源越多的安全元?dú)w類為按時間計(jì)費(fèi);對于具有流量相關(guān)性,流量數(shù)據(jù)越多,占用資源越多的安全元?dú)w類為按流量計(jì)費(fèi);對于可用服務(wù)次數(shù)/頻率來衡量的安全元?dú)w類為按服務(wù)次數(shù)計(jì)費(fèi)。這里假設(shè)將安全元劃分為三類按流量計(jì)費(fèi)的安全元(機(jī)密性,完整性);按頻率特性計(jì)費(fèi)的安全元(訪問控制,抗抵賴,通訊安全,可用性,隱私安全);按時間長度計(jì)費(fèi)的安全元(身份認(rèn)證)。對安全元的具體劃分方法可綜合計(jì)費(fèi)服務(wù)器的計(jì)費(fèi)特征和應(yīng)用的安全要求彈性變化。
第三步,依據(jù)用戶所選的安全元組合,分類計(jì)算各單一類別內(nèi)的安全元費(fèi)用,得到總體安全元組合的費(fèi)用,即為該種安全業(yè)務(wù)的費(fèi)用。
對安全元編號1~n,設(shè)第i種具體配置的安全元價格為ci,將全部安全元按可用流量計(jì)費(fèi)、可用服務(wù)次數(shù)計(jì)費(fèi)、可用時間長度計(jì)費(fèi)屬性進(jìn)行全劃分;相互獨(dú)立的三個子集,M={可用流量來計(jì)費(fèi)的安全元},F(xiàn)={可用服務(wù)次數(shù)來計(jì)費(fèi)的安全元},T={可用時間長度來計(jì)費(fèi)的安全元};對于某一安全元組合S,假設(shè)通信中的數(shù)據(jù)流量為m,服務(wù)次數(shù)的向量為f=(f1,f2……fn),表示第i種安全元的服務(wù)次數(shù)為fi,通信的時間長度為t;屬于M集合的安全元費(fèi)用為mΣi∈(S∩M)ci;]]>屬于F集合的安全元費(fèi)用為Σj∈(S∩F)fjcj;]]>屬于T集合的安全元費(fèi)用為tΣk∈(S∩T)ck]]>采用安全元組合的安全業(yè)務(wù)費(fèi)用為Σi∈(S∩M)ci+Σi∈(S∩F)fjcj+tΣk∈(S∩T)ck.]]>安全業(yè)務(wù)的計(jì)費(fèi)流程如下第一步,用戶選擇并確認(rèn)一種安全策略(安全元組合),開始移動終端與與應(yīng)用服務(wù)器間的安全通信過程,同時將安全元的具體配置信息傳遞給策略服務(wù)器。用戶所用的安全策略是經(jīng)過與應(yīng)用服務(wù)器協(xié)商之后的結(jié)果,是二者共同支持和認(rèn)可的安全元組合信息。
第二步,對于非實(shí)時計(jì)費(fèi),通信完畢,將通信開始/結(jié)束時間、流量信息、安全服務(wù)次數(shù)傳遞給策略服務(wù)器。策略服務(wù)器是安全策略/業(yè)務(wù)的控制服務(wù)器,它要負(fù)責(zé)將安全業(yè)務(wù)的計(jì)費(fèi)信息轉(zhuǎn)換成AAA計(jì)費(fèi)服務(wù)器可識別的計(jì)費(fèi)信息;對于實(shí)時計(jì)費(fèi),按時段將本段通信開始/結(jié)束時間、流量信息、安全服務(wù)次數(shù)傳遞給策略服務(wù)器,并由后者將安全業(yè)務(wù)計(jì)費(fèi)信息轉(zhuǎn)換成AAA服務(wù)器可識別的計(jì)費(fèi)信息。
第三步,策略服務(wù)器將安全業(yè)務(wù)的計(jì)費(fèi)信息分類為計(jì)時收費(fèi)信息、計(jì)量收費(fèi)信息、計(jì)次收費(fèi)信息傳遞給AAA服務(wù)器。
第四步,AAA服務(wù)器收到相關(guān)信息后,按普通業(yè)務(wù)計(jì)費(fèi)方法完成安全業(yè)務(wù)的計(jì)費(fèi)。
本發(fā)明的優(yōu)點(diǎn)在于以安全元作為安全需求的表示形式和計(jì)費(fèi)單位,可以靈活方便地表示用戶和應(yīng)用的安全需求。提出的安全業(yè)務(wù)計(jì)費(fèi)方法具有確定性和準(zhǔn)確的特點(diǎn),需要的輸入信息少(安全元組合的配置信息和通信的時間、流量、服務(wù)次數(shù)信息),且實(shí)現(xiàn)簡單,使得安全業(yè)務(wù)的計(jì)費(fèi)轉(zhuǎn)化為AAA服務(wù)器可以識別的計(jì)費(fèi)信息。不需改變原有的計(jì)費(fèi)系統(tǒng),只須在用戶(終端用戶/應(yīng)用服務(wù)器)與AAA服務(wù)器之間加入策略服務(wù)器,完成安全業(yè)務(wù)計(jì)費(fèi)信息轉(zhuǎn)換工作,就能實(shí)現(xiàn)對安全業(yè)務(wù)的計(jì)費(fèi)支持。
圖1是本發(fā)明安全元分類示意圖;圖2是本發(fā)明安全元費(fèi)率設(shè)計(jì)原理圖;圖3本發(fā)明安全業(yè)務(wù)計(jì)費(fèi)流程圖。
具體實(shí)施例方式
下面結(jié)合圖示,說明安全業(yè)務(wù)計(jì)費(fèi)方法的應(yīng)用和實(shí)施。
可以根據(jù)多種屬性對安全元進(jìn)行分類,但必須達(dá)到如下目標(biāo)安全元的劃分是不重迭的,即不存在一個安全元屬于兩個分類;安全元的歸類是完備的,即任何一個安全元總能找到自己的分類。圖1是根據(jù)AAA服務(wù)器常見的計(jì)費(fèi)方式——流量、時間長短、通信次數(shù)來對安全元進(jìn)行劃分,考慮到策略控制器并不能對用戶具體訪問的對象加以授權(quán)控制(由提供該服務(wù)的ASP授權(quán)與控制),因此沒有將“訪問控制”安全元計(jì)算在內(nèi)。同樣,“通信安全”是指在通信過程中對線路竊聽的防范,不涉及在應(yīng)用層為用戶提供安全保障,圖1中也沒有將其進(jìn)行分類。當(dāng)然可以有其它的分類方式,以適合安全服務(wù)的特征而定。對安全元的歸類可能有多種選擇。如機(jī)密性安全元,對于語音服務(wù),將其歸于按時計(jì)費(fèi)類中是合適的——按照對用戶提供的保密通信的時長來計(jì)費(fèi);但對于數(shù)據(jù)服務(wù),將其歸于按流量計(jì)費(fèi)的類中是合適的——按照對用戶提供的保密通信的數(shù)據(jù)流量來計(jì)費(fèi),考慮到語音業(yè)務(wù)也將在數(shù)據(jù)平臺上提供,那么選擇將機(jī)密性安全元?dú)w為按流量計(jì)費(fèi)就比較妥當(dāng)。這里體現(xiàn)了對安全元分類的彈性要求分類可以有多種,但最終要劃分為AAA服務(wù)器能識別的計(jì)費(fèi)信息。
如圖2,運(yùn)營商可以根據(jù)用戶、市場需求和技術(shù)因素設(shè)計(jì)安全元的價格。每種安全元代表最基本的安全需求,對應(yīng)著基礎(chǔ)的安全服務(wù),其執(zhí)行實(shí)現(xiàn)時可有多種安全技術(shù)和算法供選擇,不同算法甚至同一算法的不同參數(shù)配置都會使占用的網(wǎng)絡(luò)資源、計(jì)算資源有很大差異。例如不同的加密方法、同一種加密方法使用不等的密鑰長度時,運(yùn)算量有明顯區(qū)別。因此,安全元的定價,還與安全元的所用算法、關(guān)鍵參數(shù)的具體配置有關(guān)。不同算法的在不同參數(shù)配置下的資源占用都是確定的,可以對安全元的具體配置進(jìn)行價格量化。運(yùn)營商可以根據(jù)市場需求,確定提供服務(wù)的安全元以及特定安全元所用算法及參數(shù)的組合,為每種安全元的具體配置定價,圖2中對每個安全元的定價實(shí)際上是對一種具體化了的安全元的定價。
安全業(yè)務(wù)計(jì)費(fèi)包括了從用戶定制安全服務(wù),到通信結(jié)束、完成安全業(yè)務(wù)計(jì)費(fèi)的全過程,如圖3。假設(shè)運(yùn)營商根據(jù)市場需求提供6種可配置的安全元機(jī)密性,身份認(rèn)證,完整性,抗抵賴,隱私保護(hù),可用性。用戶為“文字聊天”應(yīng)用選擇了安全元組合(機(jī)密性,身份認(rèn)證),在策略服務(wù)器的控制下,經(jīng)過與應(yīng)用服務(wù)器協(xié)商雙方支持的加密算法(如KASUMI算法)和認(rèn)證協(xié)議(如AKA雙向認(rèn)證協(xié)議)。用戶終端開始訪問應(yīng)用服務(wù)器,首先調(diào)用身份認(rèn)證安全過程,對用戶和應(yīng)用服務(wù)器身份進(jìn)行認(rèn)證,并在聊天過程中依一定的時間的間隔進(jìn)行雙方的身份認(rèn)證。在文字聊天過程中,對進(jìn)出的信息調(diào)用加密安全過程,進(jìn)行數(shù)據(jù)加密。聊天結(jié)束后,將通信開始與結(jié)束的時間信息與流量信息發(fā)給策略服務(wù)器,策略服務(wù)器將所采用的機(jī)密性、身份認(rèn)證安全元的價格信息與分類的按時計(jì)費(fèi)信息和按量計(jì)費(fèi)信息發(fā)給AAA服務(wù)器,AAA服務(wù)器根據(jù)相關(guān)費(fèi)率,計(jì)算本次安全服務(wù)的費(fèi)用。
在用戶終端、應(yīng)用服務(wù)器、策略服務(wù)器、AAA服務(wù)器之間傳遞信息時,前三個網(wǎng)元均可能發(fā)生身份假冒和信息仿造,可在信息傳送流程中利用認(rèn)證和簽名等手段,保護(hù)計(jì)費(fèi)信息和控制信息的安全,以防止身份欺詐、信息篡改和信息泄露。
權(quán)利要求
1.一種安全業(yè)務(wù)計(jì)費(fèi)方法,其特征在于,所述方法包括如下步驟第一步,為安全元定價;第二步,按AAA服務(wù)器支持的計(jì)費(fèi)方式將安全元分類;第三步,依據(jù)用戶所選的安全元組合,分類計(jì)算各單一類別內(nèi)的安全元費(fèi)用,得到總體安全元組合的費(fèi)用,即為該種安全業(yè)務(wù)的費(fèi)用。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一步具體包括在安全元列表中,確定提供安全服務(wù)的安全元,依據(jù)每種安全元調(diào)用安全技術(shù)占用網(wǎng)絡(luò)資源和計(jì)算資源的多少及市場規(guī)模等因素,為每種安全元定價,在安全業(yè)務(wù)中協(xié)商后的安全元信息是包括了安全元的具體配置信息。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述安全元列表中包括以下安全元訪問控制、身份認(rèn)證、抗抵賴、機(jī)密性、通訊安全、完整性、可用性、私有性。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第二步中將安全元分類是將各安全元?dú)w類到AAA服務(wù)器支持的計(jì)費(fèi)方式的特征類中,各安全元子類沒有交集,且分類具有完備性。
5.如權(quán)利要求1或4所述的方法,其特征在于,所述AAA服務(wù)器支持的計(jì)費(fèi)方式包括按時間計(jì)費(fèi)、按流量計(jì)費(fèi)、按服務(wù)次數(shù)計(jì)費(fèi)。
6.如權(quán)利要求5所述的方法,其特征在于,對于具有時間相關(guān)性,服務(wù)時間越長,消耗資源越多的安全元?dú)w類為按時間計(jì)費(fèi);對于具有流量相關(guān)性,流量數(shù)據(jù)越多,占用資源越多的安全元?dú)w類為按流量計(jì)費(fèi);對于可用服務(wù)次數(shù)/頻率來衡量的安全元?dú)w類為按服務(wù)次數(shù)計(jì)費(fèi)。
7.如權(quán)利要求6所述的方法,其特征在于,所述第三步具體包括對安全元編號1~n,設(shè)第i種具體配置的安全元價格為ci,將全部安全元按可用流量計(jì)費(fèi)、可用服務(wù)次數(shù)計(jì)費(fèi)、可用時間長度計(jì)費(fèi)屬性進(jìn)行全劃分;相互獨(dú)立的三個子集,M={可用流量來計(jì)費(fèi)的安全元},F(xiàn)={可用服務(wù)次數(shù)來計(jì)費(fèi)的安全元},T={可用時間長度來計(jì)費(fèi)的安全元};對于某一安全元組合S,假設(shè)通信中的數(shù)據(jù)流量為m,服務(wù)次數(shù)的向量為f=(f1,f2……fn),表示第i種安全元的服務(wù)次數(shù)為fi,通信的時間長度為t;屬于M集合的安全元費(fèi)用為mΣi∈(S∩M)ci;]]>屬于F集合的安全元費(fèi)用為Σj∈(S∩F)fjcj;]]>屬于T集合的安全元費(fèi)用為tΣk∈(S∩T)ck]]>采用安全元組合的安全業(yè)務(wù)費(fèi)用為mΣi∈(S∩M)ci+Σj∈(S∩F)fjcj+tΣk∈(S∩T)ck.]]>
8.如權(quán)利要求1所述的方法,其特征在于,所述方法具體包括以下處理過程第一步,用戶選擇并確認(rèn)一種安全策略或安全元組合,開始移動終端與與應(yīng)用服務(wù)器間的安全通信過程,同時將安全元的具體配置信息傳遞給策略服務(wù)器;用戶所用的安全策略是經(jīng)過與應(yīng)用服務(wù)器協(xié)商之后的結(jié)果,是二者共同支持和認(rèn)可的安全元組合信息;第二步,對于非實(shí)時計(jì)費(fèi),通信完畢,將通信開始/結(jié)束時間、流量信息、安全服務(wù)次數(shù)傳遞給策略服務(wù)器;策略服務(wù)器將安全業(yè)務(wù)的計(jì)費(fèi)信息轉(zhuǎn)換成AAA計(jì)費(fèi)服務(wù)器可識別的計(jì)費(fèi)信息;對于實(shí)時計(jì)費(fèi),按時段將本段通信開始/結(jié)束時間、流量信息、安全服務(wù)次數(shù)傳遞給策略服務(wù)器,并由后者將安全業(yè)務(wù)計(jì)費(fèi)信息轉(zhuǎn)換成AAA服務(wù)器可識別的計(jì)費(fèi)信息;第三步,策略服務(wù)器將安全業(yè)務(wù)的計(jì)費(fèi)信息分類為計(jì)時收費(fèi)信息、計(jì)量收費(fèi)信息、計(jì)次收費(fèi)信息傳遞給AAA服務(wù)器;第四步,AAA服務(wù)器收到相關(guān)信息后,按普通業(yè)務(wù)計(jì)費(fèi)方法完成安全業(yè)務(wù)的計(jì)費(fèi)。
全文摘要
本發(fā)明公開了一種安全業(yè)務(wù)計(jì)費(fèi)方法,包括以下步驟第一步,為安全元定價;第二步,按AAA服務(wù)器支持的計(jì)費(fèi)方式將安全元分類;第三步,依據(jù)用戶所選的安全元組合,分類計(jì)算各單一類別內(nèi)的安全元費(fèi)用,得到總體安全元組合的費(fèi)用,即為該種安全業(yè)務(wù)的費(fèi)用。本發(fā)明采用安全元作為安全需求的表示形式和計(jì)費(fèi)單位,可以靈活方便地表示用戶和應(yīng)用的安全需求;且實(shí)現(xiàn)簡單,使得安全業(yè)務(wù)的計(jì)費(fèi)轉(zhuǎn)化為AAA服務(wù)器可以識別的計(jì)費(fèi)信息。不需改變原有的計(jì)費(fèi)系統(tǒng),只須在用戶與AAA服務(wù)器之間加入策略服務(wù)器,完成安全業(yè)務(wù)計(jì)費(fèi)信息轉(zhuǎn)換工作,就能實(shí)現(xiàn)對安全業(yè)務(wù)的計(jì)費(fèi)支持。
文檔編號H04L9/00GK1773916SQ200410088878
公開日2006年5月17日 申請日期2004年11月8日 優(yōu)先權(quán)日2004年11月8日
發(fā)明者張峰, 陳劍勇, 張曄 申請人:中興通訊股份有限公司