专利名称:一种移动终端可信网络接入方法和系统的制作方法
技术领域:
本发明属于可信网络接入技术领域,尤其涉及一种移动终端在可信网络中的接入方法和接入系统。
背景技术:
随着移动设备、移动网络的不断更新和发展,手机已经成为人类现代生活的不可或缺的一部分。移动网络的快速增长在引入了很多新的概念和技术的同时也带来了很多新的安全挑战。例如许多雇员在家使用移动设备(手机、PDA、平板电脑、笔记本电脑等)上网时不经意间下载了一些恶意软件(木马、病毒等)。当他们用这些移动设备连接公司网络时可能被第三者利用来盗取或是破毁公司的秘密资源,同时这些恶意软件也有可能被传播到公司网络中。因此,当移动终端请求网络接入时,网络接入控制设备除了对终端进行传统的用户身份认证以外,还希望能够验证用户的平台身份,确认运行在特定的平台上的终端受到了某种安全技术的保护,从而建立起对用户的某种信任,以防止网络接入控制设备因接入含有恶意软件的移动终端而受到感染恶意软件的威胁;与此相似,用户也希望能够验证网络接入控制设备的平台身份,以防止因接入含有恶意软件的网络接入控制设备而受到感染恶意软件、泄露隐私资料等威胁。因此,实现机器到机器之间的平台身份认证是有必要的。同时网络接入控制设备希望能够验证用户的操作系统版本、杀毒软件的病毒库、系统补丁、运行软件完整性校验值等是否达到安全要求,从而建立起某种信任关系,相信请求接入的移动终端确实运行在适当的环境中,没有受到病毒和木马的攻击。因此,控制移动终端在可信网中的接入,防范网络办公带来的安全性问题成为目前一个亟待解决的问题。
发明内容
针对现有技术中存在的技术问题,本发明的目的是提供一种可信网络中移动终端接入时安全性验证、接入策略决定及执行策略的方法。该方法执行移动终端运行状况的策略验证,确保接入网络的终端的运行状况符合网络访问策略中有关运行状况策略的规定,并有选择地限制运行状况不正常的移动终端只有在恢复正常后才能进行访问。根据以上目的,实现本发明的一个具体的方案是至少有三个典型的参与实体一一请求接入的移动终端、接入控制服务器和接入策略服务器。移动终端可信网络接入技术的处理过程包括如下步骤I.移动终端向接入控制服务器发出网络接入请求;2.接入控制服务器收到网络接入请求后,向接入策略服务器发出网络接入判定请求;3.接入策略服务器收到判定请求后,验证移动终端的用户身份(用户名、密码等传统认证方法);、
4.移动终端的用户身份验证通过后,接入策略服务器与移动终端之间开始进行平台身份认证;5.移动终端和接入策略服务器相互发送消息,相互验证双方的系统完整性。接入策略服务器向移动终端发出系统完整性验证请求,请求内容包括移动终端上运行的操作系统版本、系统补丁情况、是否有恶意软件等,根据移动终端返回的结果来度量移动终端的系统完整性,由此建立起接入策略服务器对于移动终端的信任;同样的,移动终端向接入策略服务器发出系统完整性验证请求,请求内容包括操作系统版本、系统补丁情况等,根据接入策略服务器返回的结果来度量其系统完整性,由此建立起移动终端对于接入策略服务器的信任。相互验证系统完整性结束后,就建立起 了移动终端和接入策略服务器双方的平台信任关系。6.接入策略服务器根据验证结果(即建立的平台信任关系)向接入控制服务器发送是否接入的建议,接入控制服务器根据该建议,允许、拒绝或是部分授予移动终端网络访问权限。在移动终端发出网络接入请求前,部署与移动终端的可信网络连接客户端载入IMC并检测MC的完整性(防止载入遭到恶意软件伪造、篡改的MC,保证MC的可信性);同样的,接入策略服务器的可信连接服务器端加载完整性验证者MV,并验证完整性验证者的完整性(采用校验IMV的散列值等方式,保证IMV没有被恶意修改)。所述移动终端和接入策略服务器验证双方的系统完整性的方法为A、移动终端上的完整性收集者将MC自身的配置情况(如MC所支持的消息类型、信息收集能力及范围等)报告给移动终端上的可信网络连接客户端TNCC ;B、接入策略服务器上的完整性验证者将IMV自身的配置情况(如IMV所支持的消息类型、信息度量能力及范围等)报告给接入策略服务器上的可信连接服务器端TNCS ;C、可信连接服务器端TNCS将完整性收集者MC的信息发给完整性验证者MV,完整性验证者MV验证完整性收集者MC的完整性,并通过可信连接服务器端与完整性收集者MC交换平台身份认证消息,双方交互的消息包括IMV向MC发出的收集移动终端系统完整性的具体请求(如请求收集移动终端的操作系统版本和补丁信息等)、IMC向IMV返回的根据完整性收集请求收集到的该移动终端的一系列完整性值(如操作系统版本和补丁信息等)、IMC向IMV发出的收集接入策略服务器系统完整性的具体请求、IMV向MC返回的根据完整性收集请求收集到的接入策略服务器的一系列完整性值;D.完整性验证者IMV根据完整性收集者IMC收集的关于移动终端的一系列完整性值,验证移动终端的系统完整性,对是否允许移动终端接入做出IMV动作建议;完整性收集者MC根据完整性验证者IMV收集到的关于接入策略服务器的一系列系统完整性确定接入策略服务器是否可以信任。完整性验证者MV将MV动作建议传送给可信连接服务器端TNCS,IMV动作建议可以为“允许接入”、“允许接入部分网络资源”、“拒绝接入,隔离移动终端”等,TNCS根据IMV动作建议和自身的安全策略形成TNCS接入建议,并执行TNCS接入建议,完成接入流程。本发明还提供一种可信网络中移动终端的接入系统,包括移动终端AR、接入控制服务器pep和接入策略服务器rop,移动终端发出网络接入请求;接入策略服务器验证移动终端的平台身份和平台完整性,判断移动终端的运行状态是否满足网络接入策略;接入控制服务器根据接入策略服务器的判断结果允许、拒绝或是部分授予移动终端网络访问权限。所述移动终端包括完整性收集者(IMC, Integrity Measurement CollectorInterface)、可信网络连接客户端(TNCC, Trusted Network Connect Client)和网络接入请求者(NAR, Network Access Requestor);可信网络连接客户端与接入策略服务器连接,接收完整性收集者发送的完整性值并发送给接入策略服务器进行验证;网络接入请求者向接入控制服务器发出接入请求。所述接入控制服务器包括网络接入策略执行部件,网络接入策略执行部件根据接入策略服务器的判断结果对移动终端的网络接入请求进行处理。所述接入策略服务器包括完整性验证者、可信连接服务器端和网络接入授权模块;完整性验证者验证移动终端的完整性值;可信连接服务器端设置有网络接入策略、验证移动终端的平台身份和平台完整性状态,并给出网络接入建议;网络接入授权模块接收可信连接服务器端发送的建议并输送到接入控制服务器。 与现有技术相比,本发明的积极效果为本发明的优点在于,提供双向的平台认证,AR和PDP可以相互验证对方平台身份证据和完整性状态。通过验证双方的平台完整性建立起AR和PDP之间的信任关系。PDP可以自主定义网络接入策略,PDP可以对AR采取评估、隔离和纠正措施,当网络访问请求者的端点机器的环境不能达到访问控制安全策略中的信任要求时,将会被授予部分的网络访问权限去访问一个独立的网络(既可以使是物理上独立的网络也可以是逻辑上独立的网络),这个独立的网络就会为它们提供足够的连接来下载、安装和更新允许它们通过访问控制策略所必需的组件。通过以上措施,移动终端可信网络接入技术能够很好的保证网络资源受到保护。
图I为移动终端可信网络接入系统结构示意框图;图2为移动终端可信网络接入方法的流程图。
具体实施例方式下面结合附图具体阐述本发明的移动终端可信网络接入技术。如图I所示,移动终端可信网络接入系统包括请求接入的移动终端、接入控制服务器和接入策略服务器。I.发出接入请求的移动终端(AR, Access Requestor),通过无线与PEP连接,其通常安装有常用的网络接入端来支持一般的网络接入方式,如802. Ix, AR上部署有完整性收集者(IMC, Integrity Measurement Collector Interface)、可信网络连接客户端(TNCC, Trusted Network Connect Client)和网络接入请求者(NAR, Network AccessRequestor)。2.网络接入设备(PEP, Policy Enforcement Point),例如 AP、VPN 网关等,需要支持常用的802. Ix和VPN接入方式。PEP上部署有网络接入策略执行部件(NAE,NetworkAccess Enforcer)。
3.接入策略服务器(PDP,Policy Decision Point), PDP用来决定是否允许AR接入,PDP通常是一台RADIUS和Diameter服务器。PDP上部署有完整性验证者(MV,Integrity Measurement Verifiers)、可信连接服务器端(TNCS, Trusted Network ConnectServer)和网络接入授权服务器(NAA, Network Access Authority)。移动终端可信网络接入技术在逻辑上划分为三个层次(自上而下)第一层完整性收集/验证层。MC和MV在此层次工作,运行在移动终端上的IMC通过读取移动终端的配置文件、扫描可执行文件等方式收集移动终端的完整性值,并提交给IMV进行验证。完整性验证者IMV通过读取接入策略服务器的配置文件、扫描可执行文件方式收集接入策略服务器的完整性值,并提交给頂C进行验证。第二层完整性评估层。TNCC和TNCS在此层次工作,TNCC负责初始化和加载IMC、通过比较TNCS的系统完整性值和自身安全策略中预期的数值是否相同,验证TNCS平台身份和完整性状态、管理和TNCS之间的连接、接收IMC发出的移动终端完整性度量值,并将其 转发给TNCS。TNCS包含网络接入策略(如“允许接入”、“允许接入部分网络资源”、“拒绝接入,隔离移动终端”等)、验证AR的平台身份和平台完整性状态、验证AR的完整性度量值、评估AR的运行状态是否满足网络接入策略并给出TNCS建议。第三层网络访问层。NAR、NAE和NAA在此层工作,NAE负责与NAA通信,NAE负责向NAA转发接入消息,NAA接收TNCS建议并发送给NAE执行。如图2所示,移动终端可信网络接入方法的具体的实现方式如下I.移动接入客户端和服务器初始化TNCC载入MC并检测MC的完整性(防止载入遭到恶意软件伪造、篡改的MC,保证MC的可信性),TNCS载入MV并检测MV的完整性(防止载入遭到恶意软件伪造、篡改的MV,保证MV的可信性)。MC和MV表现为一个动态连接库(如dll文件、so文件或者jar文件)。完整性校验成功后,系统准备就绪,可以发起接入请求。 2. AR的NAR向PEP发出网络接入请求消息网络接入请求消息的格式如下
权利要求
1.一种移动终端可信网络接入方法,其步骤为 1)移动终端载入完整性收集者IMC并检测其完整性、接入策略服务器载入完整性验证者IMV并检测其完整性; 2)移动终端向接入控制服务器发出网络接入请求; 3)接入控制服务器收到网络接入请求后,向接入策略服务器发出网络接入判定请求; 4)接入策略服务器收到判定请求后,验证移动终端的用户身份; 5)移动终端的用户身份验证通过后,接入策略服务器与移动终端之间开始进行平台身份认证; 6)移动终端和接入策略服务器相互发送消息,相互验证双方的系统完整性,建立移动终端和接入策略服务器双方的平台信任关系; 7)接入策略服务器根据所述平台信任关系向接入控制服务器发送是否接入的建议,接入控制服务器根据该建议,允许、拒绝或是部分授予移动终端网络访问权限。
2.如权利要求I所述的方法,其特征在于所述移动终端和接入策略服务器验证双方的系统完整性的方法为 1)接入策略服务器上的完整性验证者IMV向移动终端上的完整性收集者MC发出收集移动终端系统完整性的请求消息; 2)完整性收集者MC向完整性验证者IMV返回收集到的移动终端的完整性值; 3)完整性收集者MC向接入策略服务器上的完整性验证者MV发出收集接入策略服务器系统完整性的请求消息; 4)完整性验证者IMV向完整性收集者MC返回收集到的接入策略服务器的完整性值; 5)完整性验证者MV根据完整性收集者MC返回的完整性值,验证移动终端的系统完整性,对是否允许移动终端接入做出建议;完整性收集者MC根据完整性验证者IMV返回的系统完整性确定接入策略服务器是否可以信任。
3.如权利要求2所述的方法,其特征在于所述请求消息包括操作系统版本、是否有恶意软件和补丁信息。
4.如权利要求2所述的方法,其特征在于所述完整性收集者IMC通过读取移动终端的配置文件、扫描可执行文件方式收集移动终端的完整性值;所述完整性验证者IMV通过读取接入策略服务器的配置文件、扫描可执行文件方式收集接入策略服务器的完整性值。
5.如权利要求2所述的方法,其特征在于移动终端通过比较接入策略服务器的系统完整性值与移动终端自身安全策略中预期的数值是否相同,验证接入策略服务器的身份和完整性状态。
6.如权利要求I所述的方法,其特征在于所述网络接入请求消息包括用户名、用户口令、属性ID、属性ID个数;所述属性ID的数据结构包括完整性属性Id、完整性属性长度、完整性属性值。
7.一种移动终端可信网络接入系统,其特征在于包括网络互联的移动终端AR、接入控制服务器pep和接入策略服务器rop ; 所述移动终端包括完整性收集者、可信网络连接客户端和网络接入请求者;可信网络连接客户端用于接收完整性收集者发送的完整性值并发送给接入策略服务器进行验证;网络接入请求者用于向接入控制服务器发出接入请求;所述接入控制服务器,用于根据接入策略服务器的判断结果对移动终端的网络接入请求进行处理; 所述接入策略服务器包括完整性验证者、可信连接服务器端和网络接入授权模块;完整性验证者验证移动终端的完整性值;可信连接服务器端设有网络接入策略、验证移动终端的平台身份和平台完整性状态,并给出网络接入建议;网络接入授权模块接收可信连接服务器端发送的建议并输送到接入控制服务器。
8.如权利要求7所述的系统,其特征在于所述网络接入请求消息包括用户名、用户口令、属性ID、属性ID个数。
9.如权利要求8所述的系统,其特征在于所述属性ID的数据结构包括完整性属性Id、完整性属性长度、完整性属性值。
全文摘要
本发明公开了一种移动终端可信网络接入方法和系统,属于可信网络接入技术领域。本方法为1)移动终端载入完整性收集者并检测其完整性、接入策略服务器载入完整性验证者并检测其完整性;2)移动终端向接入控制服务器发出网络接入请求;3)接入控制服务器收到网络接入请求后,向接入策略服务器发出网络接入判定请求,验证移动终端的用户身份;4)验证通过后,接入策略服务器与移动终端之间开始进行平台身份认证,并相互验证双方的系统完整性,建立双方的平台信任关系;7)接入策略服务器根据平台信任关系向接入控制服务器发送是否接入的建议,接入控制服务器根据该建议,授予移动终端网络访问权限。本发明能够很好的保证网络资源受到保护。
文档编号H04W12/06GK102740296SQ20121022208
公开日2012年10月17日 申请日期2012年6月28日 优先权日2012年6月28日
发明者冯登国, 杨轶, 苏璞睿, 谷雅聪 申请人:中国科学院软件研究所