技術領域

本發明涉及通信和信息安全領域，尤其涉及一種實現安全業務的系統和方法。

背景技術

隨著網絡傳輸能力的增大，各種新業務隨之發展。業務范圍不僅局限于傳統的終端之間的語音業務，而是終端參與多方信息交互的多媒體數據業務。日漸豐富的應用需要有足夠的安全保障。然而，并不是所有信息都需要同樣級別的安全保障。使用某種業務時，不同應用場景用戶對安全等級的要求不同。如果將業務與安全綁定，在任何時間段，一種業務只能提供特定等級的安全保障。因此有必要針對不同業務，業務使用的不同時間段，提供不同等級的安全保障服務。在各種安全協議基礎上，對安全協議所能提供的安全保障服務進行等級劃分，讓用戶根據業務應用需要，使用不同等級的安全保障服務。

對用戶而言，用戶希望實時得到最高等級的安全保障；對運營商而言，安全保障的實現需要在網絡上增加投資。任意時刻使用同種高強度的安全保障，嚴重浪費資源。尤其對多媒體業務，如果每個用戶，任意時刻都使用高等級安全保障，服務器在高負載環境下運行，可能引起網絡癱瘓。運營商提供安全保障，需要在網絡上增加投資。運營商理應從這些投資上獲取利潤。所以，有必要將不同等級的安全業務做成增值業務。運營商根據用戶選擇的安全業務的等級合理進行收費。

將安全作為一種業務提供給用戶，由于大多數終端的計算能力、內存有限，難以支持與應用服務器等同數量的安全資源。它們只能根據自身的應用范圍和特點，支持有限的安全資源，所以呼叫終端和被叫終端之間只能通過逐跳地安全等級協商(滿足合法監聽)協商出指定等級下雙方共同支持的安全性能最好的安全算法。通過調用這些安全算法，雙方建立安全關聯。協商結果代表運營商提供給用戶使用的安全保障地等級，所以可以將協商結果作為增值安全業務的計費依據。

在3G系統中預留了15種加密算法，16種完整性算法。3G系統還可以協商出不同長度的密鑰。所以，可以將增值安全業務引入3G系統種。將15種安全算法、16種完整性算法和密鑰長度分成不同強度的等級，每種安全強度消耗網絡的資源不同，向用戶收取不同的費用。

發明內容

為克服現有技術中的缺陷和不足，本發明的目的在于提供一種實現安全業務的系統和方法，用戶可以根據當前使用的業務對安全的需求，自定義安全等級。

為達到上述發明目的，本發明采用以下技術方案：

實現安全業務的系統，包括

呼叫端，用于發起安全業務；被叫端，用于接收安全業務；核心網，用于負責處理呼叫端和被叫端的通信；安全網關，包括呼叫端安全網關和被叫端安全網關，用于兩個不同網絡的連接，并通過與呼叫端、被叫端的協商建立安全通訊信道；安全策略服務器，用于向呼叫端、被叫端及安全網關分發、更新安全等級配置關系，并將收集到的計費信息轉換成格式匹配的計費數據；

其中，呼叫端和呼叫端安全網關相連；呼叫端安全網關一端和核心網相連，一端和安全策略服務器相連；被叫端安全網關一端和核心網相連，一端和被叫端相連；被叫安全網關和安全策略服務器相連。

其中，所述系統還包括計費系統，用于根據安全策略服務器提供的計費數據進行計費，其中，計費系統和安全策略服務器相連。

其中，核心網為移動網、固定網、因特網及其組合；呼叫端和被叫端為移動終端、固網終端、互聯網終端、其它通信終端或者應用服務器。

實現安全業務的方法，包括：

(1)根據當前業務對安全的需求配置安全等級，并將此安全等級配置關系存儲在策略服務器上；

(2)若首次提供安全業務，則由安全網關從策略服務器上下載安全等級配置關系；若首次使用安全業務，則呼叫端、被叫端從策略服務器上下載安全等級配置關系；

(3)呼叫端選擇安全等級，并和呼叫端安全網關進行安全等級協商，并將安全等級協商結果發送給被叫端安全網關；

(4)被叫端安全網關與被叫端進行安全等級協商；

(5)呼叫端按照呼叫端與呼叫端安全網關以及被叫端安全網關與被叫端安全等級協商的結果，調用并執行安全算法，建立安全通信信道，并在結束安全業務時，通知安全網關結束安全業務。

其中，其中，所述步驟(3)后還包括：

(31)呼叫端將安全等級協商結果發送給安全策略服務器；

其中，所述步驟(4)具體為：被叫端安全網關按照不低于呼叫端選擇的安全等級與被叫端進行安全等級協商。

其中，所述步驟(4)后包括：

(41)被叫端安全網關將安全等級協商結果傳遞給安全策略服務器。

其中，所述步驟(41)后包括：