专利名称:基于移动终端安全状态的移动通信网准入控制装置及方法
技术领域:
本发明涉及一种基于移动终端安全状态的移动通信网准入控制装置及方法
背景技术:
未来的3G移动终端将拥有处理能力更强的操作系统,更大的接入带宽,这些使得其能 够进行丰富的数据和多媒体业务。然而,这种移动终端与互联网终端(PC)相互融合的趋势 导致了未来的移动终端也将面临互联网终端所面临的安全威胁,类似于互联网上的病毒也将 会是影响未来移动业务开展的重要因素。
目前针对移动网络的准入控制主要是根据用户是否有应用移动网络资源的能力(如是否 拥有合法用户标志、是否拥有充足的话费余额、通讯信号是否满足QoS要求等条件)来实施 对移动终端接入移动网络的准入控制,移动终端的安全状态并不作为实施准入控制的条件。
另一方面,3G网络中,移动终端数据能力增强,极有可能发生网络的蠕虫病毒(如邮件 蠕虫),占用大量网络资源。通常处理这种情况的方法是在蠕虫病毒发生后,在通过采用病毒 过滤的方法,防止病毒的扩散。目前在移动通信网络中,还没有一种在病毒等灾害发生初期, 能够及时发现病毒源,并迅速防止灾害扩散的具体实现方法。
发明内容
针对现有技术存在的缺陷和不足,本发明提供一种基于移动终端安全状态的移动通信网 准入控制装置及方法,能够有效防止不安全的移动终端接入移动网络,降低网络受病毒等威 胁的影响,保护移动网络资源,保证正常移动业务的开展。
为了达到上述发明目的,本发明基于移动终端安全状态的移动通信网准入控制方法,包 括以下步骤
(1) 安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设备 发送给终端安全状态评估服务器;
(2) 终端安全状态评估服务器根据所述安全信息对该移动终端的安全状态进行评估,并 将该移动终端的安全状态评估结果发送给准入策略服务器;
(3) 准入策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并 将该准入控制策略发送给移动网络接入控制设备;(4) 移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。 上述的基于移动终端安全状态的移动通信网准入控制方法中,所述步骤(4)之后还包括:
(5) 安全代理将收集到的移动终端当前流量信息通过移动网络接入控制设备上传给终端 安全状态评估服务器;
(6) 如果终端安全状态评估服务器对该移动终端的安全状态评估结果为"正常状态", 步骤结束;如果终端安全状态评估服务器的对该移动终端的安全状态评估结果为"危险状态", 则发送"危险状态"标识给准入策略服务器;
(7) 准入策略服务器根据"危险状态"标识,生成针对该移动终端的准入控制策略,并 通知移动网络接入控制设备执行准入控制操作。
其中,所述步骤(5)中安全代理定期将收集到的移动终端当前流量信息通过移动网络接 入控制设备上传给终端安全状态评估服务器。
与上一段并列的另一种方案为,所述步骤(5)中安全代理收集移动终端网络流量异常时 的流量信息,并将该流量信息通过移动网络接入控制设备上传给终端安全状态评估服务器。
进一步的,所述准入控制策略包括
允许策略允许移动终端接入移动网络,并使用全部网络资源;
警告策略允许移动终端接入移动网络,并向该移动终端发送相关安全警告信息,并建 议该移动终端进行更新或升级;
隔离策略只允许移动终端使用移动语音业务;
拒绝策略拒绝该移动终端的接入。
一种基于移动终端安全状态的移动通信网准入控制装置,包括 安全代理安装于移动终端中,用于收集移动终端的安全信息;
移动网络接入控制设备处于移动网络边界,用于控制移动终端进入移动网络,以及移 动终端与移动网络内各设备的通信转接;
终端安全状态评估服务器处于移动网络内,对移动终端的安全状态信息进行安全状态 评估,生成移动终端安全状态评估结果;
准入策略服务器处于移动网络内,根据移动终端安全状态评估结果生成该移动终端准
入控制策略;
其中,安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设 备发送给终端安全状态评估服务器,终端安全状态评估服务器根据所述安全信息对该移动终 端的安全状态进行评估,并将该移动终端的安全状态评估结果发送给准入策略服务器,准入 策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并将该准入控制 策略发送给移动网络接入控制设备,移动网络接入控制设备按照该准入控制策略控制移动终 端进入移动网络。
采用本发明所述方法和装置,能够在一定程度上隔离不安全的移动终端,降低病毒等威 胁对移动网络资源的影响。另一方面,3G移动网络可以动态的监视所有接入移动终端的安全 状态,并分析网络的流量等相关安全状态,动态调整3G移动网络的接入终端,可以在病毒
等威胁发生时动态控制特定终端的接入状态,保证了 3G移动网络资源的安全。
图1为基于移动终端安全状态的移动网络准入控制系统示意图2为基于移动终端安全状态的3G移动网络准入控制方法流程图3为3G移动网络动态实施准入控制策略的方法流程图。
具体实施例方式
下面结合附图对本发明作进一步的详细说明
为了避免感染病毒的移动终端进入移动网络,本发明的基于移动终端安全状态的移动通
信网准入控制装置,如图1所示,包括以下四部分
安装于移动终端中的安全代理,用于收集移动终端的安全信息。这些信息包括操作系统 信息、安装相关补丁版本、病毒库版本、网络上传流量等。安全代理可以是安装在移动终端 上的软件,也可以是软硬件结合。安全代理可以通过移动终端向移动网络接入设备发送安全 状态消息。
处干移动网络边界的移动网络接入控制设备,用于控制移动终端进入移动网络,以及移 动终端与移动网络内各设备的通信转接。在3G网络系统中,移动网络接入控制设备可以是 SGSN/HSS。
处于移动网络内的终端安全状态评估服务器,对移动终端的安全状态信息进行安全状态 评估,生成移动终端安全状态评估结果。
处于移动网络内的准入策略服务器,根据移动终端安全状态评估结果生成该移动终端准 入控制策略。
其中,安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设 备发送给终端安全状态评估服务器,终端安全状态评估服务器根据所述安全信息对该移动终 端的安全状态进行评估,并将该移动终端的安全状态评估结果发送给准入策略服务器,准入 策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并将该准入控制 策略发送给移动网络接入控制设备,移动网络接入控制设备按照该准入控制策略控制移动终 端进入移动网络。
在3G移动通信网络中,基于移动终端安全状态的移动网络准入控制方法的准入控制流
程在移动终端与3G移动网络完成身份认证之后进行,包括以下步骤
(1) 安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设备
发送给终端安全状态评估服务器;
(2) 终端安全状态评估服务器根据所述安全信息对该移动终端的安全状态进行评估,并 将该移动终端的安全状态评估结果发送给准入策略服务器;
(3) 准入策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并 将该准入控制策略发送给移动网络接入控制设备;
(4) 移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。 其中,所述准入控制策略包括
允许策略允许移动终端接入移动网络,并使用全部网络资源;
警告策略允许移动终端接入移动网络,并向该移动终端发送相关安全警告信息,并建 议该移动终端进行更新或升级;
隔离策略只允许移动终端使用移动语音业务;
拒绝策略拒绝该移动终端的接入。
通过评估移动终端的安全状态,并在准入控制策略上针对不同安全状态的移动终端实行 不同的准入控制策略,这样,在尽量不影响移动终端接入的前提下,有效地保护了整个移动 网络的安全。
本方法的优选实施例如图2所示,在终端与网络侧完成身份认证后,准入控制具体流程 如下
1、 安装在移动终端中的安全代理事先收集好该移动终端的安全状态信息,这些信息包括 移动终端操作系统信息、操作系统上安装软件的相关补丁版本信息、病毒库版本等。
2、 移动终端向SGSN/HSS发送由安全代理事先收集好的移动终端安全状态信息。
3、 SGSN/HSS将收到的移动终端安全状态信息转发给终端安全状态评估服务器。
4、 终端安全状态评估服务器根据输入的该终端的安全状态信息,对该终端的安全状态进 行评估,生成移动终端安全状态评估结果。
5、 终端安全状态评估服务器将该移动终端安全状态评估结果发送给准入策略服务器。
6、 准入策略服务器根据该移动终端的安全评估结果,生成该终端的准入控制策略。
7、 准入策略服务器将生成的准入策略发送给SGSN/HSS。
8、 SGSN/HSS根据收到的准入策略,生成相应的准入执行命令执行准入控制操作(允许、 隔离等)。
这样就完成了基于移动终端安全状态的移动网络准入控制流程。
另外,在移动终端与3G网络通信过程中,可以根据移动终端定期向3G网络发送当前的 流量状态信息,判断终端是否安全,以及是否需要对处于"危险状态"的终端实施相应的控 制策略。上述的基于移动终端安全状态的移动通信网准入控制方法中,所述步骤(4)之后还 可以包括
(5) 移动终端可以以一定时间间隔定期将安全代理收集到的移动终端当前流量信息通过 移动网络接入控制设备上传给终端安全状态评估服务器,这样可以简化设定程序,也可以当 移动终端网络流量异常(如上传流量超出一定阈值)时,启动将异常流量定期上传功能,这 样可以节省系统资源。
(6) 如果终端安全状态评估服务器的评估结果为"正常状态",则不进行任何操作;如 果终端安全状态评估服务器的评估结果为"危险状态"(如,邮件蠕虫病毒占用终端的大量上 行带宽的情况),则发送"危险状态"标识给准入策略服务器。
(7) 准入策略服务器根据传入的"危险状态"标识,生成该终端的准入控制策略,并通
知移动网络接入控制服务器执行准入控制操作。
终端安全状态评估服务器和准入策略服务器可以在一个实体上实现,也可以在不同实体 上分别实现,他们只是在逻辑上是分开的。
下面以终端发生邮件蠕虫病毒为例,3G移动网络采用"隔离策略"(只允许使用基本的
语音移动业务,不允许使用数据业务等其他业务)控制终端,如图3所示,具体流程如下
1、 移动终端定期将安全代理收集的终端当前流量信息通过SGSN/HSS上传给终端安全 状态评估服务器。例如当前终端发生邮件蠕虫病毒,那么终端邮件业务的上传流量增大。
2、 如果终端安全状态评估服务器的评估结果为"正常状态",则不进行任何操作;如果 终端安全状态评估服务器的评估结果为"危险状态"(如,邮件蠕虫病毒占用终端的大量上行 带宽的情况),则发送"危险状态"标识给准入策略服务器。
3、 准入策略服务器根据传入的"危险状态"标识,生成该终端的准入控制策略(如隔离 策略),并通知接入控制服务器SGSN/HSS 。
4、 SGSN/HSS根据准入控制策略(如隔离策略)生成相应的指令执行如"隔离"这样的 相关操作。
权利要求
1、一种基于移动终端安全状态的移动通信网准入控制方法,其特征在于包括以下步骤(1)安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设备发送给终端安全状态评估服务器;(2)终端安全状态评估服务器根据所述安全信息对该移动终端的安全状态进行评估,并将该移动终端的安全状态评估结果发送给准入策略服务器;(3)准入策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并将该准入控制策略发送给移动网络接入控制设备;(4)移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。
2、 根据权利要求1所述的基于移动终端安全状态的移动通信网准入控制方法,其特征在 于所述步骤(4)之后还包括(5) 安全代理将收集到的移动终端当前流量信息通过移动网络接入控制设备上传给终端 安全状态评估服务器;(6) 如果终端安全状态评估服务器对该移动终端的安全状态评估结果为"正常状态", 步骤结束;如果终端安全状态评估服务器的对该移动终端的安全状态评估结果为"危险状态", 则发送"危险状态"标识给准入策略服务器;(7) 准入策略服务器根据"危险状态"标识,生成针对该移动终端的准入控制策略,并 通知移动网络接入控制设备执行准入控制操作。
3、 根据权利要求2所述的基于移动终端安全状态的移动通信网准入控制方法,其特征在 于所述步骤(5)中安全代理定期将收集到的移动终端当前流量信息通过移动网络接入控制 设备上传给终端安全状态评估服务器。
4、 根据权利要求2所述的基于移动终端安全状态的移动通信网准入控制方法,其特征在 于所述步骤(5)中安全代理收集移动终端网络流量异常时的流量信息,并将该流量信息通 过移动网络接入控制设备上传给终端安全状态评估服务器。
5、 根据权利要求1所述的基于移动终端安全状态的移动通信网准入控制方法,其特征在 于所述准入控制策略包括允许策略允许移动终端接入移动网络,并使用全部网络资源; 警告策略允许移动终端接入移动网络,并向该移动终端发送相关安全警告信息,并建 议该移动终端进行更新或升级;隔离策略只允许移动终端使用移动语音业务;柜绝策略拒绝该移动终端的接入。
6、 一种基于移动终端安全状态的移动通信网准入控制装置,其特征在于包括 安全代理安装于移动终端中,用于收集移动终端的安全信息;移动网络接入控制设备处于移动网络边界,用于控制移动终端进入移动网络,以及移 动终端与移动网络内各设备的通信转接;终端安全状态评估服务器处于移动网络内,对移动终端的安全状态信息进行安全状态 评估,生成移动终端安全状态评估结果;准入策略服务器处于移动网络内,根据移动终端安全状态评估结果生成该移动终端准 入控制策略;其中,安全代理收集移动终端的安全信息,并将所述安全信息通过移动网络接入控制设 备发送给终端安全状态评估服务器,终端安全状态评估服务器根据所述安全信息对该移动终 端的安全状态进行评估,并将该移动终端的安全状态评估结果发送给准入策略服务器,准入 策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略,并将该准入控制 策略发送给移动网络接入控制设备,移动网络接入控制设备按照该准入控制策略控制移动终 端进入移动网络。
全文摘要
本发明公开了一种基于移动终端安全状态的移动通信网准入控制装置及方法。目前在移动通信网络中,还没有一种在病毒等灾害发生初期,能够及时发现病毒源,并迅速防止灾害扩散的具体实现方法。为解决上述问题,本发明基于移动终端安全状态的移动通信网准入控制装置及方法中,安全代理收集移动终端的安全信息,发送给终端安全状态评估服务器,终端安全状态评估服务器根据安全信息对该移动终端的安全状态进行评估,安全状态评估结果发送给准入策略服务器,准入策略服务器生成准入控制策略,并发送给移动网络接入控制设备,移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。本发明适用于移动网络。
文档编号H04W12/12GK101193430SQ200610145870
公开日2008年6月4日 申请日期2006年11月21日 优先权日2006年11月21日
发明者刚 李, 栎 李, 李远威 申请人:中兴通讯股份有限公司