YDT2037-2009 移动通信差异化安全服务

YDT2037-2009 移动通信差异化安全服务 本标准规定了用于移动通信的差异化安全服务的需求分析、技术要求、系统架构，协商流程。 本标准适用于移动通信网络和终端。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改版（不包括助误的内容》或修订版均不适用于本标准。然而，鼓励极据本标准达成协议的各方研究是否可使用这些文件的悬新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 TU-TX.805（2003） 端到端翅信系统安全架构 TU-TX.1121（2004） 移动耀到端数据通信技术架构 3 GPP TS33.102V.5.2.0算三代移动通信安全框架 3术语和定义 下列术语和定文适用于本标准。 3.1用户安全代理client security application用户安全代理是终端的一个功能单元，对用户端安全机制进行符理及与网络安全代理进行安全等级协商32网络安全代理network security proxy网铬安全代理是安全网关的一个功能单元，与用户缠安全代理协商安全等级、报告协商结果给用户嘴和安全策略服务器以及在网络中建立安全网关之间的安全信道， 3.3安全策略服务器ecurity policy server安全策略服务器与应用展务器或网络安全代理连接。用于对应用服务器或网络安全代理的安全策略管理。 3.4服务提供商service provider为移动用户提供服务的实体。服务提供商不仅包括网络运营商，也包括应用服务提供喜。 3.5安全策略security policy安全策略是提供安全服务的规则集合，这些规则由安全需求驱动，用于管理和控制网络实体。从用户的角度，安全策略为移动用户的安全服务提供友好接口，用户可以很方便地为不问的应用场景定制安全服务。从服务提供商的角度，安全策略可以将安全服务转化为增值服务. 安全策略有3个基本需求：完各性、正确性、一致性。首先，策略的定义应该覆盖各种安全需求所对应的防范任务：其次，策略的定义应该是实际可行的，即它不与已有经验冲突：第三，不能有任何策略冲突，否则实际应用中可能会导致不一致的执行结果。 3.6安全元security element TU-TX805给出8个安全维度，可以抵抗所有主要的安全成敌。包括：访问控制、认证、抗抵赖、数据机密性、通信安全、数据完教性、可用性、私密性。每个安全维度满足一个类别的安全需求。它门可以通过具体的安全技术和协议来实现，这种可配置的安全推度集称为安全元， 3.7资产asset资产是移动网铬中有价值的财产，资产分为三类：信息资产、服务资产和系统资产. 3.8安全管理者security manag0r安全管理者是制定和管理安全策略相关的人或实体。 3.9安全服务secunity8 ervice由网络侧提供的服务，保证系统或数据传软足够安全，不仅包括TU-TX805中定义的8个安全署求，还包括网络可以类供的在线杀毒、入侵检测病、漏润扫摇和内容过滤等。 3.10场景cenario指具有相同数据传输特狂的一一类业务的奥合，或者基础性的业务。如流媒体业务、Wb业务、下线业务等。 4缩略语 下列缩路语适用于本标准，ASP Application Service Provider应用服务提供商 CSA Client Security Application用户安全代理 NNP Network Network Protocol网络&网络协议 NPP Network Policy Server Protocol网络&第路服务器协议 NSP Network Seurity Proxy网络安全代理 PS Policy Server策略服务器 SA Security Association安全关联 SPS Security Poliey Server安全策略服务器 根据UTX5安全架构，差异化安全肤务主要作用于基础架构安全层，即对应Interne：四层协议模型的硅路层和P层，对于基础架构安全层之上的应用安全层，通常与网铬承载层分离，并和具体的应用紧密结合在一起。一股通过增到端安全机制来实现，不属于差异化安全服务的范晴。 附录A对蓄求进行了分析，井对安全策略进行了示例 6技术要求 6.1用户安全代理（CSA） 用户安全代理包含如下功能： （1）负贵从网铭侧下载安全等级单略及用户信息到终继： （2）将用户选择的安全等级、业务类型传送给网络安全代理： （3）安全等级可由发起方或接收方的任何一方申请，当发起方、按收方、网铬安全代理三者中所支持的安全等级不一致时，由安全策略决定后续的协商方法，例如停止安全等级协商，中止会话呼叫，或者安全策路允许CSA重新选择安全等级进行协商： （4）把用户初始化信息及用户的设置信息的咸变上传给网铭安全代理。 B.2网络安全代理（NSP） 网络安全代理包含如下功能： （1）同步更新与移动终端和黄略服务器两者之问的安全等级策略信息： （2）与CSA，其它NSP协商安全等级： （3》极据协商成功的安全等级，触发安全网关的安全机制，和其他网元的安全模块建立安全关联 （SA）1 （4）采集用安全服务的计费信息： （5）上传用户的初始化信息、用户变更的配置给黄略服务器： （6）从策略服务器下载用户信息。 6.3安全莱策路服务器（SPS） 栾路服务器包含如下功能： （1）安全等级管理功能，包括安全等级的划分、安全关联的建立、供安全管理员操作的人机界面和相关的日志记录： （2》安全服务控制功能，包括根据用户餐户信息控制安全服务的使用，比如当用户餐户余额信息不足时，SS触发对用户所订购的安全服务进行部分限制，或者触发对用户发送提醒信息：根据安全等级协商结果进行仲檬。