152]?在敏感数据被加密并且在明文中包含私密信息的原文从网络节点被清除的情况下,攻击者然后不能恢复并获取网络节点中的敏感数据。在这样的环境中这是有益的,此处攻击者例如通过阻塞PM数据的获取来强迫网络节点存储PM数据。
[0153].未被授权的PM数据采集者不能解密PM数据。
[0154]?在PM采集器处保护敏感的PM数据,因此PM采集器的攻击者不能接入敏感数据,除非攻击者有解密密钥。在通信网络上可能存在许多PM采集器,并且大多数PM采集器被认为用于高度非可信环境,这是合理的。这些PM采集器对攻击有高似然性。控制这样的节点的攻击者将不能获得敏感私密信息。在安全的环境中敏感信息可以仅提供(解密密钥被提供)给限制、可信的PM采集器。
[0155].依赖于PM数据的机密性级别和网络节点102的类型,允许不同级别的安全。
[0156]?加密和对应解密密钥具有时间限制有效性并且可以在期满后被置换。
[0157].在攻击者通过侵入PM数据采集器并获取当前用于某些操作的存储器中的解密密钥来获取了解密密钥的情况下,攻击者然后仅能获取一小部分的敏感数据,其由特定的解密密钥保护。不同密钥保护的敏感数据不可能被获取。
[0158].如果存在该特征的许可,解密密钥存储可以仅存储解密密钥。使用该许可,可以排除一些法律的私密问题。
[0159].可通过解密密钥管理私密相关数据保存。在解密密钥被破坏的情况下,私密相关数据保存然后不能被恢复。用于私密的数据保存比其他信息的数据保存更短,这是合理的。使用该解决方案,保持其他信息,同时排除了私密问题。
[0160]从以上说明的相关附图呈现的教导获得益处的本领域技术人员将想到公开发明的修改和其他实施例。因此,应当理解实施例不被限制于公开的特定实施例,并且修改和其他实施例意指包括在本公开的范围内。虽然此处采用的特殊术语,它们被使用仅在普通和说明意义中而不是为了限制目的。
【主权项】
1.一种方法,用于处理通信网络(100)中的性能监控数据,所述通信网络(100)包括多个网络节点(102);所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流;所述方法包括: ?由所述网络节点(102)确定(402)是否满足加密所述性能监控数据的加密条件, ?基于确定的结果,由所述网络节点(102)对所述性能监控数据加密(408), ?加密后,由所述网络节点(102)将经加密的性能监控数据发送(410)给性能监控数据采集器(112),并且 ?由安全网络操作中心(114)授权(552)所述性能监控数据采集器(112)解密所述经加密的性能监控数据。2.根据权利要求1的所述方法,所述方法进一步包括: ?在所述加密步骤之前,由所述网络节点(102)确定(452)是否满足用于协商加密密钥和对应解密密钥的密钥协商情况,并且 ?基于确定是否满足所述密钥协商情况的结果,由所述网络节点(102)执行(456、502)与所述安全网络操作中心(114)关于加密密钥和对应解密密钥的协商谈判。3.根据权利要求2的所述方法,所述方法进一步包括: ?在所述协商谈判后,由所述网络节点(102)存储所述经协商的加密密钥,并且 ?在所述协商谈判后,由所述安全网络操作中心(114)存储所述经协商的解密密钥。4.根据权利要求2的所述方法,其中如果所述网络节点(102)不具有可利用的有效并且未期满的加密密钥,则满足所述密钥协商情况。5.根据权利要求2至4中任一个的所述方法,其中所述加密密钥和所述对应解密密钥对所述网络节点(102)是特定的。6.根据权利要求2至5中任一个的所述方法,其中所述加密密钥和所述对应解密密钥对所述性能监控数据的一个机密性级别是特定的。7.根据权利要求2至6中任一个的所述方法,所述方法进一步包括: ?在与安全网络操作中心(114)的协商谈判步骤之前,由所述网络节点(102)对所述安全网络操作中心(114)鉴权(454)。8.根据权利要求1至7中任一个的所述方法,所述方法进一步包括: ?由性能监控数据采集器(112)确定(600)是否满足用于解密性能监控数据的解密条件,并且 ?基于确定是否满足解密条件的结果,所述安全网络操作中心(114)将对应解密密钥传送(554)给所述性能监控数据采集器(112)。9.根据权利要求8的所述方法,所述方法进一步包括: ?在传送对应解密密钥步骤之前,由所述安全网络操作中心(114)确定(552)所述性能监控参数采集器(112)被授权对所述经加密的性能监控数据解密。10.一种安全网络操作中心(114)的方法,用于处理包括多个网络节点(102)的通信网络中的性能监控数据;所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流;所述方法包括: ?与所述网络节点(102)协商(502)加密密钥和对应解密密钥,所述网络节点(102)被授权谈判所述加密密钥和对应解密密钥,并且 ?将所述解密密钥传送(554)给性能监控数据采集器(112),所述性能监控数据采集器(112)被授权接收所述解密密钥。11.根据权利要求10的所述方法,所述方法进一步包括: ?在协商步骤之前,确定(500)所述网络节点(102)是否被授权谈判所述加密密钥和对应解密密钥。12.根据权利要求10或11的所述方法,所述方法进一步包括: ?在所述传送步骤之前,确定(552)所述性能监控数据采集器(112)是否被授权接收所述解密密钥。13.一种性能监控数据采集器(112)中的方法,用于处理包括多个网络节点(102)的通信网络中的性能监控数据;所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流;所述方法包括: ?确定(600)是否满足用于解密所述性能监控数据的解密条件,所述性能监控数据从所述网络节点(102)接收, ?基于确定结果,从安全网络操作中心(114)请求(604)解密密钥, ?使用从所述安全网络操作中心(114)接收的解密密钥对所述性能监控数据解密(606),并且 ?将经解密的性能监控数据提供(608)给性能分析功能。14.根据权利要求13的所述方法,所述方法进一步包括: ?在所述请求步骤之前,对所述安全网络操作中心(114)授权¢02)。15.一种网络节点(102),用于处理包括多个网络节点(102)的通信网络中的性能监控数据;所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流,所述网络节点(102)能够: ?生成(400)性能监控数据, ?确定(402)所述性能监控数据的敏感数据元素, ?使用加密密钥对所述性能监控数据的敏感数据元素进行加密(408), ?将性能监控数据发送(410)给性能监控数据采集器(112), ?与经鉴权的安全网络操作中心(114)协商(456)加密密钥和对应解密密钥, ?对所述安全网络操作中心(114)鉴权(454), ?存储(458)经协商的加密密钥,并且 ?监控(300)所述加密密钥期满。16.根据权利要求15的所述网络节点(102),其中所述网络节点(102)适于执行根据权利要求1至9中任一个的方法。17.一种安全网络操作中心(114),用于处理包括多个网络节点(102)的通信网络中的性能监控数据;所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流,所述安全网络操作中心(114)能够: ?与所述网络节点(102)协商(502)加密密钥和对应解密密钥, ?对所述网络节点(102)鉴权(500), ?存储(504)经协商的解密密钥, ?对性能监控数据采集器(112)授权(552), ?将所述解密密钥提供(554)给经授权的性能监控数据采集器(112),并且 ?监控(312)所述解密密钥期满。18.根据权利要求17的所述安全网络操作中心(114),其中所述安全网络操作中心(114)适于执行根据权利要求1至12中任一个的方法。19.一种性能监控数据采集器(112),用于处理包括多个网络节点(102)的通信网络中性能监控数据;所述性能监控数据由网络节点(102)生成;所述性能监控数据是表现所述网络节点(102)性能的数据流,所述性能监控数据采集器(112)能够: ?从网络节点(102)接收(220)性能监控数据, ?存储(222)性能监控数据, ?确定(600)性能监控数据是否被加密, ?从安全网络操作中心(114)请求(604)解密密钥, ?对安全网络操作中心(114)授权(602), ?对经加密的性能监控数据进行解密¢06),并且 ?将经解密的性能监控数据提供(608)给性能分析功能。20.根据权利要求17的所述性能监控数据采集器(112),其中所述性能监控数据采集器(112)适于执行根据权利要求1-9或13或14中任一个的方法。21.—种系统,用于处理包括多个网络节点(102)的通信网络中的性能监控数据,所述系统包括根据权利要求15或16的至少一个网络节点(102)以及根据权利要求17或18的至少一个安全网络操作中心(114),以及根据权利要求19或20的至少一个性能监控数据采集器(112)。22.—种计算机程序,其当由至少一个处理器执行时,适于执行或控制根据权利要求1-14中任一个的处理性能监控数据的方法。
【专利摘要】描述了处理通信网络中性能监控数据的系统、方法、节点和计算机程序。所述通信网络(100)包括多个网络节点(102)。性能监控数据由网络节点(102)生成。性能监控数据是表现网络节点(102)性能的数据流。所述方法包括由网络节点(102)确定是否满足加密所述性能监控数据的加密条件。所述方法进一步包括基于确定的结果,由网络节点(102)对所述性能监控数据加密。所述方法进一步包括在加密后,由网络节点(102)将经加密的性能监控数据发送给性能监控数据采集器(112)。所述方法进一步包括由安全网络操作中心(114)授权所述性能监控数据采集器(112)解密所述经加密的性能监控数据。还描述了关联这些方法的系统、节点和计算机程序。因此在改进的订户数据机密性方面获得了改进的通信网络中性能监控数据处理。
【IPC分类】H04L29/06, H04L12/26
【公开号】CN105379187
【申请号】CN201380076288
【发明人】L·泽姆比克, J·巴塔
【申请人】瑞典爱立信有限公司
【公开日】2016年3月2日
【申请日】2013年5月2日
【公告号】EP2992646A1, US20160080332, WO2014177215A1