能分析”可典型地是评估采集的PM数据的过程,并且通过应用特定过滤和相关功能,获取表现网络节点和整个网络罗的密钥性能参数。可通过比较密钥性能参数来比较两个通信网络或通信网络的不同部分或区域,并由此获得将应用到通信网络的性能目标。性能分析功能典型地可以位于或接近PM数据采集器。因为PM数据采集中聚集了一些数据,如果所有的PM数据不得不通过长距离传输到性能分析功能,则这不是有益的。
[0040]在本申请的上下文中,术语“PM数据流”可典型地涉步及PM数据的连续递送。有关订户的事件记录相关的PM数据通过采集网络节点传送到PM数据采集器。这样的PM数据的传送可以是即时的,这样在那时PM数据已经被生成,但还可以被缓存。缓存意味着采集网络节点缓存PM数据直到达到了一个阈值然后将PM数据传送到PM数据采集器。该阈值可以是基于时间的,这样PM数据流作为以特定时间间隔的数据分段进行传输。在该情况下,该阈值可以是数据量相关的,这样如果分配用于采集PM数据的缓存器已满或达到一个特定缓冲充满级别阈值,则PM数据作为数据分段传送到PM数据采集器。这样PM数据流设计任何类型的PM数据传送,其不是只有一次的。PM数据传送还可由来自PM数据采集器的请求或采集网络节点和PM数据采集器之间的握手过程触发。
[0041]在本申请的上下文中,术语“PM数据采集器”典型地可涉及中央网络存储,例如网络附加存储(NAS)。其用于集中存储来自大量网络节点的PM数据。PM数据采集器112可以是网络管理系统110的主要部分,但还可以分离或仅逻辑附加到网络管理系统。性能分析功能接入PM数据采集器以执行性能分析。
[0042]术语“密钥协商”典型地可涉及用于允许共享秘密的密钥管理协议。然而,在本申请的上下文中,“密钥协商”被定义为在加密密钥和解密密钥上的对等协商,此处加密密钥仅在一个对等体确定,而解密密钥仅在另一个对等体确定。这可使用传统密钥协商管理协议例如 IKE(RFC2409)或 IKEv2 (RFC4306)来实现。
[0043]在本申请的上下文中,术语“加密”可典型地涉及对消息或信息进行编码的数据操作过程,以这样的方式使得偷听者或黑客不能读取消息或信息但授权方能够阅读。在一个加密方案中,使用加密算法加密消息或信息,有时被称作明文,将其转换成不可读的密文。这通常通过使用加密密钥来完成,加密密钥指定消息如何被编码。
[0044]在本申请的上下文中,术语“解密”可涉及与加密相反的数据操作过程,这样将不可读的密文解码回至原始明文。这通常使用解密密钥完成,解密密钥指定消息如何被解码。
[0045]在本申请的上下文中,术语“鉴权”可涉及一个实体的权限确定动作。这将涉及确定一个实体的身份,由此确保一个实体实际是其声称的那样。鉴权涉及验证标识的有效性。IKE (RFC2409)和IKEv2 (RFC4306)是还用于鉴别远程对等体的密钥管理协议的示例。
[0046]在本申请的上下文中,术语“授权”可涉及允许至数据、资源或实体的接入权利的过程。在第一步骤中,对等体被鉴权,这样确保该对等体是其声称的那样。在第二步骤,然后可验证是否该对等体被允许接入特定数据、资源或实体。授权可基于由通信网络运营商在节点中管理的数据。
[0047]参考图1,根据一个实施例示出了通信网络100中用于处理PM数据的一种系统。
[0048]通信网络100可包括多个网络节点102。为了简化目的,仅示出了单个网络节点102。应当理解通信网络100的其他网络节点102可包括类似的内部元件并可执行类似的方法,这样网络节点102将被看做其他网络节点102的模型。
[0049]假定网络节点102可采集PM数据,且因此可作为PM数据源。PM数据源104代表生成PM数据的网络节点102的功能。PM数据源104可将采集的PM数据传送至PM数据采集器112。PM数据中的敏感信息可由PM数据采集器112或网络节点102在传输前被加密。
[0050]网络节点102可进一步包括加密密钥存储108,其中网络节点102可存储加密密钥。这可以是网络节点102中的特定存储器或依照安全标准以使敏感数据免受非授权攻击的单独存储单元。
[0051]PM数据源104和加密密钥存储108可彼此交互。这样PM数据源104可从加密密钥存储108查询加密密钥。响应于该请求,加密密钥存储108可将加密密钥传送给PM数据源104。PM数据源104然后可使用该接收的加密密钥用于对PM数据中的敏感信息进行加處
I_L| ο
[0052]网络节点102可进一步包括密钥管理应用106,其负责处理加密密钥和相关的解密密钥。
[0053]加密密钥存储108和密钥管理应用106可彼此交互。这样加密密钥存储108可从密钥管理应用106请求获取加密密钥。这可以是这种情况,如果ΡΜ数据源104已经请求从加密密钥存储108获取加密密钥,但在加密密钥存储108中不能获取有效并且未届满的加密密钥。这样为了响应查询,加密密钥存储108不得不请求从密钥管理应用106获取密钥。密钥管理应用106可将加密密钥传送至加密密钥存储108。
[0054]当接收到对加密密钥的请求时,密钥管理应用106可能不得不关于加密密钥和相关解密密钥与安全网络操作中心114执行密钥协商谈判。该密钥协商谈判可由安全网络操作中心114中的对等密钥管理应用116处理。安全网络操作中心114中的密钥管理应用116具有该任务以处理加密密钥和相应解密密钥。
[0055]对等密钥管理应用106之间的密钥协商谈判116还可考虑附加标准。这样加密密钥和相关解密密钥对网络节点102可以是特殊的。如果已知网络节点102用于处理PM数据中的高度敏感信息,则许可的加密密钥和对应解密密钥可能具有更长的密钥长度,因此计算复杂度更高。
[0056]加密密钥和对应解密密钥还可以是特殊用于性能监控数据的机密性级别。这样如果网络节点102配置用于提供更高机密性级别的PM数据,则许可的加密密钥和对应解密密钥可被适当选择。如果网络节点102配置用于提供较低机密性级别的PM数据,则应用相同的方法。例如,可以应用两个安全级别。第一级别可包括所有聚集数据,例如非机密性能计数器和暂时标识数据。第二级别可包括有关订户的所有数据,例如国际移动订户身份(MSI)、国际移动设备身份(ΠΙΕΙ)或定位数据。
[0057]作为备选,加密和机密密钥可被生成用于任何其他划分,例如每个订户交易或每个PM事件。
[0058]安全网络操作中心114可进一步包括解密密钥存储118,其中安全网络操作中心114可存储解密密钥。这可以是安全网络操作中心114中的特定存储器或按照安全标准以保护敏感数据免受非授权攻击的单独存储单元。
[0059]解密密钥存储118和密钥管理应用116可交互。密钥管理应用116可命令解密密钥存储118存储从与网络节点102进行的密钥协商谈判获得的解密密钥。
[0060]安全网络操作中心114可以是负责管理通信网100的多个网络节点102的网络管理系统110的一部分。
[0061]PM数据采集器112还可以是网络管理系统110的一部分,或者可以是通信网络100的单独实体。PM数据采集器112从多个网络节点102的PM数据源104接收PM数据。PM数据中的敏感信息可以被加密。
[0062]PM数据采集器112和安全网络操作中心114可彼此交互。PM数据采集器112可从安全网络操作中心114重新获取解密密钥。在传送解密密钥之前,安全网络管理中心114可确定PM数据采集器112是否被授权用于解密PM数据中的敏感信息。
[0063]参考图2,根据一个实施例示出了说明通信网100中处理PM数据的流程图。
[0064]该流程详细描述了网络节点102与安全网络操作中心114和PM数据采集112的交互。该流程还详细描述了网络节点102的内部功能单元,例如PM数据源104、加密密钥存储108、密钥管理应用106之间的交互。该流程进一步描述了安全网络操作中心114的内部功能单元,例如密钥管理应用116和解密密钥存储118之间的交互。
[0065]当网络节点102确定用于加密性能监控数据的加密条件是否被满足时,可以开始该流程。PM数据源104可连续生成PM数据。PM数据中的一部分可包含200个敏感数据单元,并且网络节点102可确定这些PM数据的敏感数据单元不得不被加密。
[0066]为了对PM数据的敏感数据元素进行加密,PM数据源104可能需要一个加密密钥并且可能请求加密密钥存储108传送加密密钥。如果加密密钥108具有可用的加密密钥,则加密密钥存储108可以直接将加密密钥传送给PM数据源104,如步骤216中完成的那样。
[0067]如果加密密钥存储108没有可用的加密密钥204,则满足密钥协商条件。这样如果网络节点102不具有可利用的有效并非届满的加密密钥,则满足密钥协商条件。
[0068]加密密钥存储108发送206加密密钥请求至密钥管理应用106。这样在加密步骤之前,网络节点可确定是否满足用于协商加密密钥和对应解密密钥的密钥协商条件。
[0069]基于确定是否满足密钥协商条件的结果,网络节点102可执行与安全网络操作中心114关于加密密钥和对应解密密钥的协商谈判。这样密钥管理应用106可从加密密钥存储108接收请求206并可以开始与安全网络操作中心114的协商谈判210。在该情况下,处理协商谈判210的安全网络操作中心114中的对等功能实体可以是对等密钥管理应用116。
[0070]然而,在可以开始协商谈判210之前,两个密钥管理应用不得不彼此鉴权208以确保谈判方是它们声称的那样。这样在与安全网络操作中心114进行协商谈判步骤之前,网络节点102可以对安全网络操作中心114进行鉴权454。
[0071]可以使用认证授权(CA)发布的数字证书完成鉴权。
[0072]术语“数字证书”可特别涉及能够将公钥与身份绑定的电子文档。此处身份可以是例如人、公司或网络节点的名字这样的信息。例如,数字证书可用于验证公钥属于网络节点。数字证书由可信的CA发布,可信的CA典型地位于通信网100的网络管理系统(NNS)。
[0073]术语“认证授权(CA) ”可特别涉及发布数字证书的网络实体。在一个常规通信网中,CA可发布多个例如上百个数字证书。CA可包括自己签名的数字证书或者其可包括由另一个不同的CA签名的数字证书。CA还可包括私钥,使用该私钥,CA可为网络节点发布数字证书并且CA可使用该私钥对无效并因此废止的数字证书的记录进行签名。
[0074]这样在谈判对等体被鉴权208后,可以完