專利名稱:一種靜態(tài)配置和動態(tài)配置相結(jié)合的MAPsec配置方法
技術(shù)領(lǐng)域:
本發(fā)明涉及3G系統(tǒng)中MAP協(xié)議棧的消息流的安全傳輸,具體應(yīng)用于對兩端的MAP協(xié)議棧的消息流進(jìn)行加密和解密��,對數(shù)據(jù)安全的選項(xiàng)進(jìn)行配置�。
背景技術(shù):
七號信令網(wǎng)缺乏安全性是2G系統(tǒng)的一個安全缺陷,3G系統(tǒng)的一個明確目標(biāo)是要能夠保護(hù)核心網(wǎng)信令協(xié)議�����,這意味著必須為基于七號信令和IP的協(xié)議提供安全解決方案�����。為核心網(wǎng)內(nèi)和核心網(wǎng)間的控制面信令的各種協(xié)議和接口提供的必要的安全服務(wù)有機(jī)密性��、完整性��、鑒權(quán)和反重發(fā)保護(hù)���。這些必須用基于加密技術(shù)的標(biāo)準(zhǔn)過程來保證。3GPP TS 33.200 V4.1.0提供了對MAP協(xié)議進(jìn)行保護(hù)的安全機(jī)制和過程�����,它包括MAP協(xié)議自身的傳輸安全和安全管理過程。MAP協(xié)議的安全機(jī)制是基于應(yīng)用層的�����,這意味著它可以不依賴于網(wǎng)絡(luò)和傳輸協(xié)議來使用�����。
當(dāng)前的MAP協(xié)議安全(MAPsec)實(shí)現(xiàn)通常使用硬編碼����、獨(dú)立的初始靜態(tài)配置法和獨(dú)立的動態(tài)配置法。硬編碼不便于修改��,編碼量大����,不夠靈活;獨(dú)立的初始靜態(tài)配置法雖配置效率高��,但也不便于修改和增減�;獨(dú)立的動態(tài)配置法雖然靈活也便于修改但效率不高,本發(fā)明涉及的MAPsec的實(shí)現(xiàn)方式解決了高效率與方便靈活性的矛盾問題��。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種靜態(tài)配置和動態(tài)配置相結(jié)合的MAPsec配置方法��,具有合理高效而又靈活方便的特點(diǎn)。
根據(jù)協(xié)議3GPP協(xié)議33200���,本發(fā)明提供了對MAPsec進(jìn)行動靜結(jié)合配置的方法靜態(tài)配置�����,用于MAP協(xié)議棧初始化的過程中通過XML文件的方式進(jìn)行MAPsec加載�;動態(tài)配置����,用于MAP協(xié)議棧運(yùn)行過程中對MAPsec進(jìn)行增減和修改。
本發(fā)明的技術(shù)方案是一種靜態(tài)配置和動態(tài)配置相結(jié)合的MAPsec配置方法����,其特征在于它包括靜態(tài)配置和動態(tài)配置,給MAP協(xié)議棧增加了與MAP安全數(shù)據(jù)庫的接口��,靜態(tài)配置和動態(tài)配置分別按下列步驟進(jìn)行靜態(tài)配置
a��、在協(xié)議棧初始化時對Security Database(安全數(shù)據(jù)庫)中的所有選項(xiàng)清零��;b�、讀XML文件��,并對該文件進(jìn)行解析,取出文件中按3GPP TS 33200定義的靜態(tài)配置選項(xiàng)�����;c�、根據(jù)所取出的配置選項(xiàng)配置協(xié)議棧;動態(tài)配置a����、在協(xié)議棧運(yùn)行過程中,輸入動態(tài)配置消息��,協(xié)議棧將消息轉(zhuǎn)給MAPSecurity Database(MAP安全數(shù)據(jù)庫)接口����,根據(jù)不同的配置消息進(jìn)行分發(fā)和處理;b���、對增加PLMN命令���,分配內(nèi)存資源;對刪除PLMN命令���,在spd里查找對應(yīng)的PLMN找到則刪除����;對增加SA命令,查找SA對應(yīng)的PLMN是否存在��,并根據(jù)源或目的PLMN是否是本地PLMN來決定是輸入安全還是輸出安全�,如輸入安全則初始化輸入安全列表,如輸出安全則初始化輸出安全列表���;對刪除SA命令����,查找該SA對應(yīng)的PLMN是否存在和是否是本地PLMN���,決定是從輸入刪除還是從輸出刪除����,從輸入刪除則從輸入安全列表刪除并回收資源��,從輸出刪除則從輸出安全列表刪除并回收資源�。
本發(fā)明的有益效果本發(fā)明提供了基于文件方式的MAPsec及其解析。提供了對MAP協(xié)議棧的MAPsec進(jìn)行動態(tài)配置的相關(guān)消息和MAP協(xié)議棧的Security Database(安全數(shù)據(jù)庫)消息接口��。采用動態(tài)配置和靜態(tài)配置相結(jié)合的方法對MAPsec進(jìn)行配置,既高效又方便靈活���,對網(wǎng)絡(luò)初始的配置采用靜態(tài)配置,因?yàn)榕渲玫臄?shù)據(jù)量大���,配置的效率高���,對中途要增加、減少或修改的配置采用動態(tài)配置����,既方便有靈活。兩者相結(jié)合達(dá)到了良好的效果�。
圖1是MAP協(xié)議棧的Security Database接口。
圖2是MAPsec的XML文件結(jié)構(gòu)�。
圖3是MAPsec靜態(tài)配置圖。
圖4是MAPsec動態(tài)配置圖�����。
圖5是MAPsec消息流����。
具體實(shí)施例方式
下面結(jié)合附圖詳細(xì)描述本發(fā)明���。
如圖1為MAP協(xié)議棧與外部實(shí)體的接口與上層MAP user的接口101、與系統(tǒng)管理實(shí)體的接口102���、與下層TCAP協(xié)議棧的接口103及與Security Database的接口104�,與Security Database的接口104用來處理與MAPsec相關(guān)的功能����。在靜態(tài)配置中從XML文件讀入的MAPsec的配置通過104接口存入內(nèi)存數(shù)據(jù)庫Security Databas;在動態(tài)配置中����,根據(jù)從系統(tǒng)管理實(shí)體接口102發(fā)送過來的配置命令對MAPsec進(jìn)行配置,配置的結(jié)果也存入內(nèi)存數(shù)據(jù)庫Security Databas��。
如圖2是XML文件的內(nèi)容��,它根據(jù)3GPP協(xié)議33200定義了MAPsec的配置選項(xiàng)����,其中SPD是Security Policy Database的縮寫;PLMN表示公共陸地移動網(wǎng)����,SPD可以有多個PLMN�;PLMN_ID表示公共陸地移動網(wǎng)的標(biāo)識����;IS_FALLBACK_ALLOWED表示是否允許返回非保護(hù)模式0;IS_SECURED表示該P(yáng)LMN是否需要安全保護(hù)���;SADB是Security Association DataBase的縮寫;SA是Security Association的縮寫���,SADB可以有多個SA����;DEST_PLMN_ID表示消息的目的PLMN���;SPI與消息發(fā)送者的PLMN一起使用唯一標(biāo)識一個MAP-SA���;SRC_PLMN_ID表示消息發(fā)送者的PLMN;MEA_ID是加密算法的標(biāo)識�;MEA_KEY是該加密算法的鍵值;MIA_ID是完整性算法的標(biāo)識�����;MIA_KEY是該完整性算法的鍵值;PROTECTION_PROFILE_REV_IDENTIFIER是保護(hù)文件的標(biāo)識��;PROTECTION_PROFILE_IDENTIFIER是保護(hù)文件的類型�����;HARD_EXPIRY_TIME是硬超時時間��;SOFT_EXPIRY_TIME是軟超時時間����。
如圖3是靜態(tài)配置時的流程,在MAP協(xié)議棧進(jìn)行初始化的時候調(diào)用該流程���。301清空Security Database中的所有選項(xiàng)��,釋放內(nèi)存�����;302讀XML文件��,并調(diào)用專用的XML文件解析函數(shù)對該文件進(jìn)行解析���,取出文件中的值��;303根據(jù)所取出的值在內(nèi)存數(shù)據(jù)庫中增加PLMN��;304根據(jù)所取出的值增加SA�����。
如圖4是動態(tài)配置流程圖�����,在收到如圖1中的102接口發(fā)送過來的動態(tài)配置消息,先判斷是什么動態(tài)配置命令����,如是增加PLMN命令401,則為該P(yáng)LMN分配內(nèi)存塊��,同時初始化輸入輸出消息列表402����,然后插入內(nèi)存數(shù)據(jù)庫的HASH表403;如是刪除PLMN命令404��,查找對應(yīng)的spi 405���,刪除該spi的輸入消息安全列表中的所有SA 406�,刪除該spi的輸出信息安全列表中的所有SA 407,刪除輸入輸出安全列表408��,從HASH表中刪除該節(jié)點(diǎn)409����;如是增加SA命令410,411檢查該消息所代的參數(shù)是否合法����,根據(jù)SA的源和目的PLMN是否是本地PLMN來決定輸入輸出消息是否安全,如果源PLMN為本地�,則輸出消息安全,如目的PLMN為本地�,則輸入安全,如源和目的都是本地����,則輸入輸出都安全,412查找該SA對應(yīng)的PLMN是否在SPD中�����,沒有則出錯返回,有則判斷輸入消息是否安全413�����,如果安全則將該SA加入輸入消息安全列表414�����,并根據(jù)SA參數(shù)中的MEA參數(shù)初始化該SA的輸入MEA加密算法415����,根據(jù)SA參數(shù)中的MIA參數(shù)初始化該SA的輸入MIA完整性算法416,判斷輸出消息是否安全417���,如果安全則將該SA加入輸出消息安全列表418,并根據(jù)SA參數(shù)中的MEA參數(shù)初始化該SA的輸出MEA加密算法419�,根據(jù)SA參數(shù)中的MIA參數(shù)初始化該SA的輸出MIA完整性算法420;如是刪除SA命令421���,查找SA參數(shù)對應(yīng)的PLMN和spi是否存在422���,不存在就出錯返回,存在根據(jù)SA參數(shù)中的標(biāo)識判斷是否將該SA從輸入消息安全列表中刪除423��,是則從輸入消息安全列表中刪除該SA 424���,并對該SA的輸入加密算法去初始化425��,對該SA的輸入完整性算法去初始化426�,判斷是否將該SA從輸出消息安全列表中刪除427,是則從輸出消息安全列表中刪除該SA 428���,并對該SA的輸出加密算法去初始化429��,對該SA的輸出完整性算法去初始化430�����。
如圖5是消息流經(jīng)過MAPsec時的處理�,1檢查SPD決定是否對PLMN B應(yīng)用安全機(jī)制���,如果不需要則通過4中的未保護(hù)的MAP正常消息發(fā)送給PLMN B��,如需要則2查找SAD中針對PLMN B的SA��,3使用找到的SA的參數(shù)構(gòu)造MAPsec消息�,4將構(gòu)造好的MAPsec消息發(fā)送給PLMN B���,5如收到未保護(hù)的消息則給6�,如收到MAPsec消息應(yīng)用安全機(jī)制,檢查消息是否超時����,未超時給6,超時報錯�,6如果收到未保護(hù)消息,檢查IS_FALLBACK_ALLOWED標(biāo)識進(jìn)行不同的處理�����,IS_FALLBACK_ALLOWED允許則明文的MAP消息在Neb處理��,反之報錯����,如果收到MAPsec消息,查找對應(yīng)PLMN A的SPD���,找不到報錯,7查找對應(yīng)PLMN A的SA���,找不到報錯�,8應(yīng)用找到的SA的參數(shù)對MAP消息進(jìn)行處理,生成明文的MAP消息���,在Neb進(jìn)行處理��。
以上結(jié)合實(shí)例對本發(fā)明作了說明����,應(yīng)指出���,本領(lǐng)域技術(shù)人員可以做出各種形式的和細(xì)節(jié)上的改變�,而不偏離由所附權(quán)利要求所確定的本發(fā)明的精神和范圍�����。
權(quán)利要求
1.一種靜態(tài)配置和動態(tài)配置相結(jié)合的MAPsec配置方法����,其特征在于它包括靜態(tài)配置和動態(tài)配置,給MAP協(xié)議棧增加了與MAP安全數(shù)據(jù)庫的接口�,靜態(tài)配置和動態(tài)配置分別按下列步驟進(jìn)行靜態(tài)配置a、在協(xié)議棧初始化時對安全數(shù)據(jù)庫中的所有選項(xiàng)清零�;b、讀XML文件�,并對該文件進(jìn)行解析��,取出文件中按3GPP TS 33200定義的靜態(tài)配置選項(xiàng)����;c����、根據(jù)所取出的配置選項(xiàng)配置協(xié)議棧;動態(tài)配置a�、在協(xié)議棧運(yùn)行過程中,輸入動態(tài)配置消息�����,協(xié)議棧將消息轉(zhuǎn)給MAP安全數(shù)據(jù)庫接口���,根據(jù)不同的配置消息進(jìn)行分發(fā)和處理��;b�����、對增加PLMN命令,分配內(nèi)存資源�;對刪除PLMN命令����,在spd里查找對應(yīng)的PLMN找到則刪除��;對增加SA命令��,查找SA對應(yīng)的PLMN是否存在�����,并根據(jù)源或目的PLMN是否是本地PLMN來決定是輸入安全還是輸出安全����,如輸入安全則初始化輸入安全列表,如輸出安全則初始化輸出安全列表�����;對刪除SA命令��,查找該SA對應(yīng)的PLMN是否存在和是否是本地PLMN���,決定是從輸入刪除還是從輸出刪除��,從輸入刪除則從輸入安全列表刪除并回收資源����,從輸出刪除則從輸出安全列表刪除并回收資源。
全文摘要
一種靜態(tài)配置和動態(tài)配置相結(jié)合的MAPsec配置方法�,其特征在于給MAP協(xié)議棧增加了與MAP安全數(shù)據(jù)庫的接口,采用XML技術(shù)來獲得MAPsec的靜態(tài)配置選項(xiàng)�,采用動態(tài)配置和靜態(tài)配置相結(jié)合的方法對MAPsec進(jìn)行配置;對網(wǎng)絡(luò)初始的配置采用靜態(tài)配置���,因?yàn)榕渲玫臄?shù)據(jù)量大��,配置的效率高����,對中途要增加���、減少或修改的配置采用動態(tài)配置�����,既方便又靈活���,兩者相結(jié)合達(dá)到良好的效果。
文檔編號H04L29/06GK1674582SQ20051001839
公開日2005年9月28日 申請日期2005年3月17日 優(yōu)先權(quán)日2005年3月17日
發(fā)明者胡西平, 鄭亮 申請人:北京北方烽火科技有限公司