CN101951607A

CN101951607A - 一种基于可信度的无线局域网可信接入方法及系统

Info

Publication number: CN101951607A
Application number: CN201010506789XA
Authority: CN
Inventors: 张剑; 肖毅; 邓永晖; 曾梦岐
Original assignee: CETC 30 Research Institute
Current assignee: CETC 30 Research Institute
Priority date: 2010-10-14
Filing date: 2010-10-14
Publication date: 2011-01-19

Abstract

本发明公开了一种基于可信度的无线局域网可信接入方法及系统，所述方法包括以下步骤：在移动终端的身份认证成功之后，根据安全参数设置计算接入认证系统的接入门限可信度K_A以及所述移动终端的可信度K；当所述移动终端的可信度K等于接入门限可信度K_A时，允许所述移动终端接入无线局域网。本发明提出的可信接入方法，有利于对移动终端的入网进行安全控制；在认证过程中实现了对移动终端可信状态信息的量化评估，并且针对不同的可信度实施不同的处理机制，认证粒度更细，便于实际应用；另外，本发明实施无需对现有设备进行较大的改动，实施和部署都比较方便。

Description

一种基于可信度的无线局域网可信接入方法及系统

技术领域

本发明涉及接入认证领域，特别是涉及一种基于可信度的无线局域网可信接入方法及系统。

背景技术

可信网络连接(Trusted Network Connection，TNC)技术是建立在可信计算技术之上的，其主要目的在于以可信计算提供的终端安全技术为依托，实现整个网络的安全可信，将信任链进一步延伸到整个网络中。TNC不是全新的技术实现，而是综合现有成熟的网络访问控制技术(例如802.1x、IKE、EAP、Radius)来实现安全可信的接入控制功能。

TNC构架的主要目的是通过提供一个由成熟的接入认证协议和规范组成的开放性框架来实现一种普适通用的接入认证技术，它提供如下功能：

身份认证与可信验证：用于验证网络访问请求者身份的合法性，以及平台的完整性状态。

访问授权：为终端的状态建立一个可信级别，例如：确认应用程序的存在性、状态、升级情况，升级防病毒软件和IDS的规则库的版本，终端操作系统和应用程序的补丁级别等，从而使终端被给予一个访问网络的权限。

评估、隔离及补救：通过评估终端的可信状态，确保不符合可信策略要求的终端机能被隔离在可信网络之外，如果满足策略要求则对其执行补救操作。

TNC提出了实现移动终端入网时可信验证的总体技术框架，但在可信接入认证具体实现机制和移动终端可信状态量化分析等方面还有待深入，在可信接入与补救的实现框架、协议和流程方面的研究还缺乏对具体网络实施方案和细节的规范化和标准化，这不利于可信网络产品和设备的开发、实现以及互连互通，因此对可信网络接入各方面的技术还需要通过深入研究不断细化完善。TNC建议的接入认证协议IF-T基于EAP(Extensible Authentication Protocol，可扩展认证协议)，但运行在TCP/IP(Transmission Control Protocol/InternetProtocol，传输控制协议/因特网互联协议)层，且使用了“内部”和“外部”EAP方法，协议栈结构和分组封装都比较复杂。

发明内容

本发明提供一种基于可信度的无线局域网可信接入方法及系统，用以解决现有技术中存在的移动终端在可信接入方面不够完善的问题。

为达上述目的，一方面，本发明提供一种基于可信度的无线局域网可信接入方法，所述方法包括以下步骤：

在移动终端的接入身份认证成功之后，根据安全参数设置计算接入认证系统的接入门限可信度K_A以及所述移动终端的可信度K；

当所述移动终端的可信度K等于接入门限可信度K_A时，允许所述移动终端接入无线局域网。

进一步，在移动终端的接入身份认证成功之后，还需计算接入认证系统的补救门限可信度K_R；

当所述移动终端的可信度K小于补救门限可信度K_R时，不允许所述移动终端接入无线局域网；

当所述移动终端的可信度K大于等于补救门限可信度K_R、且小于其接入门限可信度K_A时，对所述移动终端进行可信补救，可信补救之后，重新计算其可信度K，进行重新认证。

进一步，所述移动终端的可信度K通过公式(1)计算：

K = Σ_{i = 1}^{n} W_{i} k_{i} - - - (1)

其中，W_i为所述移动终端第i个文件的归一化权重值；k_i为所述移动终端第i个文件的可信度；n为所述移动终端进行可信接入认证需验证的文件个数。

进一步，所述移动终端第i个文件的可信度k_i通过公式(2)计算：

k_{i} = Σ_{j = 1}^{m} w_{ij} k_{ij} - - - (2)

其中，w_ij为所述移动终端第i个文件中第j个属性的可信权重；k_ij为所述移动终端第i个文件中第j个属性的可信度；m为所述移动终端第i个文件中需验证的属性个数。

进一步，当所述移动终端第i个文件中第j个属性通过可信验证时，k_ij通过公式(3)计算：

k_ij＝δ_i+(1-δ_i)×s_ij (3)

其中，δ_i为所述移动终端第i个文件的可信度先验值；s_ij为所述移动终端第i个文件中属性j的验证成功系数。

进一步，当所述移动终端第i个文件中第j个属性没有通过可信验证时，k_ij通过公式(4)计算：

k_ij＝(1-f_ij)×δ_i (4)

其中，δ_i为所述移动终端第i个文件的可信度先验值；f_ij为所述移动终端第i个文件中属性j的验证失败系数。

进一步，当所属移动终端进行可信接入认证时需验证的所有文件的所有属性都通过可信验证时，根据公式(1)(2)(3)计算出的K值就是K_A。

进一步，所述移动终端通过可信认证协议与可信服务器进行通信，进行可信认证；

所述可信认证协议的分组格式包括：代码、标识符、长度1、类型、标志域、版本、长度2、属性、长度3。

进一步，所述移动终端与可信补救服务器需通过补救协议进行通信；

所述补救协议的分组格式包括：消息类型、长度、补救ID、可信度、资源定位码：其中，资源定位码包括相对定位码和全局定位码。

另一方面，本发明还提供一种基于可信度的无线局域网可信接入系统，包括移动终端和无线可信接入点，所述系统包括：

可信接入服务器，用于在移动终端的接入身份认证成功之后，计算所述移动终端的可信度K和接入认证系统的接入门限可信度K_A和补救门限可信度K_R；并根据K、K_A和K_R，判定是否允许所述移动终端接入无线局域网；

可信补救服务器，用于当K大于等于K_R、且小于K_A时，对所述移动终端进行补救操作，以提高其可信度。

本发明有益效果如下：

本发明提出的可信接入方法，有利于对移动终端的入网进行安全控制；在认证过程中实现了对移动终端可信状态信息的量化评估，并且针对不同的可信度实施不同的处理机制，认证粒度更细，便于实际应用；另外，本发明实施无需对现有设备进行较大的改动，实施和部署都比较方便。

附图说明

图1为本发明实施例一种基于可信度的无线局域网可信接入方法的流程图；

图2为本发明实施例可信认证协议分组格式图；

图3为本发明实施例可信认证协议封装图；

图4为本发明实施例可信接入认证流程图；

图5为本发明实施例补救协议分组格式图；

图6为本发明实施例可信补救协义分组在EAP分组中的封装图；

图7为本发明实施例可信补救流程图；

图8为本发明实施例基于可信度的无线局域网可信接入系统组成图。

具体实施方式

以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

如图1所示，本发明实施例涉及一种基于可信度的无线局域网可信接入方法，具体包括以下步骤：

第一步，进行基于证书的双向身份认证：无线可信接入点依据移动终端(用户)所持有的能证明其身份的数字证书，对接入网络用户的身份进行认证；本步骤可以基于现有身份认证技术中的任意一种进行身份认证。

第二步，认证结果判决：根据第一步身份认证的结果，决定用户是否可以继续完成后续认证流程；如果认证成功，则转第三步，如果认证失败，则不允许移动终端接入无线局域网。

第三步，可信度计算：计算移动终端可信度K，以及接入认证系统的接入门限可信度K_A和补救门限可信度K_R。

第四步，可信度判决：根据可信度K、补救门限可信度K_R和接入门限可信度K_A进行判决，以决定是否允许终端接入无线局域网或进行可信补救。当K等于K_A时，则允许移动终端接入无线局域网；当K小于K_R时，则不允许移动终端接入无线局域网；当K_R≤K＜K_A时，则转步骤五。

第五步，可信补救：对符合补救条件(K_R≤K＜K)的移动终端进行隔离补救。补救后再重新进行可信认证。

下面对以上各步骤进行详细的描述：

由于移动终端进行可信接入认证时会与接入认证服务器进行信息交互，需要设计可信认证协议，下面，首先介绍本发明设计的可信认证协议。

可信认证协议分组格式如图2所示，各个组成部分如下：

代码：0x01表示请求(Request)；0x02表示响应(Response)；0x03表示成功(Success)；0x04表示失败(Failure)；

标识符：用来匹配请求和响应的标识，是一个随机数；

长度1：表示整个分组的长度；

类型：0xFF，自定义类型，区别于其他已有的EAP类型；

标志域：F置1表示该分组是承载分片数据的第一个分片；M置1表示该分组有后续分片；N置1表示支持EAP-TNC中定义的Diffie-Hellman预协商；

版本：协议版本，为00001；

长度2：表示数据分片前的总长度，当F置1时该域才存在；

属性：0x01表示数字证书；0x02表示随机数；0x03表示可信状态信息(文件及属性)；0x04表示可信度。最多可以扩展支持256种不同类型的用户数据；

长度3：表示数据域长度。

可信接入协议由EAPoL封装后，再由数据链路层帧封装并传输，协议封装如图3所示。

可信接入认证流程如图5所示，图5中，C表示移动终端，S表示可信接入服务器，E表示无线可信接入点，PK表示公钥，SK表示私钥，Cert表示可信第三方签发的证书，R表示时间相关的随机数，T表示文件的可信状态信息，K_C表示接入请求点C的可信度。可信接入认证流程具体步骤如下：

步骤1，C→E：EAPoL-Start，C发起初始化连接请求；

步骤2，E→C：EAP-Req，E向C请求身份证书以证明其合法性；

步骤3，C→E：{Cert_C+R₁}PK_S，S的公钥加密Cert_C保证机密性，即除S以外其他的C均无法获得Cert_C的明文，R₁防止S端的重放攻击；

E→S：认证请求1，E转发{Cert_C+R₁}PK_S；

步骤4，S解密出Cert_C并验证其合法性；

步骤5，S→E：{R₁+T_S+R₂}SK_S，S的私钥签名T_S保证其完整性以及身份的可证明性，C通过R₁识别该分组是否是被重放，R₂防止C端的重放攻击；

E→C：EAP-Req，E转发{R₁+T_S+R₂}SK_S并请求T_C；

步骤6，C对S的身份进行验证并解密出T_S对S的可信状态进行验证；

步骤7，C→E：{R₂+T_C}SK_C，C的私钥签名T_C保证其完整性以及身份的可证明性，S通过R₂识别该分组是否是被重放的；

E→S：认证请求2，E转发{R₂+T_C}SK_C；

步骤8，S验证C的身份并解密出T_C并计算出K_C，对C的可信状态和可信度进行验证。若验证后的可信度未达到接入可信度的要求，即K_C＜K_A，但C具备合法的补救权限即K_C＜K_R，则S通知C和E执行补救操作，若身份认证未通过则支持拒绝C接入；

步骤9，S→E：Access-Accept+KC，可信认证成功，允许接入并发送可信度信息；

步骤10，E→C：EAP-Success+KC，认证成功，E开放端口允许C接入网络；

步骤11，C←→E：通信过程与数据收发；

步骤12，C→E：EAPoL-Logoff，退出请求，E收到后将端口状态改变为认证态。

步骤4、6、8共同实现了C与S之间身份信息和可信状态信息的双向验证。而在步骤8中，S不仅对所要求的TC进行定性判决，还对根据可信状态计算出的可信度K进行验证。例如，若K_A为90％，K_R为60％，而实际验证后的K为85％，则需要实施适当的补救措施，然后重新进行可信认证。

步骤8中，可信度的计算通过以下步骤：

移动终端一般来说，包含有多个文件，每个文件又具备各种不同的属性，比如版本号、日期、大小、签名、概要、Hash值等。有时候，文件的属性可能会被修改，会造成安全问题。因此，需要通过综合文件各部分属性的完整性验证结果，判断文件的可信程度。不同属性对于文件可信程度的影响各不相同，因此可以对其赋予不同的权重，并通过加权求和的方法来计算文件可信度。

为了使其能更客观的反应文件受信任的状态，采用不确定性思想的理论，基于模糊化处理方法提出一种文件可信度算法。影响文件可信度k的因素包括可信度先验值δ、可信验证系数s和f、可信权重w。若用k_ij表示第i个文件中第个j属性被验证后获得的可信度，s_ij和f_ij分别表示第i个文件中第j个属性的验证成功系数和失败系数，w_ij为第i个文件中第j个属性的可信权重，而δ_i是第i个文件的可信度先验值。s_ij、f_ij、δ_i和w_ij可以根据经验值获得，也可以给出数值后，再通过有限次的反复对比和调整，以获得合适的数值，且

则当移动终端的第i个文件中第j个属性通过可信验证时，k_ij计算公式为：

k_ij＝δ_i+(1-δ_i)×s_ij (1)

当移动终端的第i个文件中第j个属性未通过可信验证时，k_ij计算公式为：

k_ij＝(1-f_ij)×δ_i (2)

每个文件的每个属性都有一个预期值，即被认为安全可信的值。而文件又有可能被修改，因此，判断移动终端的第i个文件中第j个属性是否通过可信验证，就是判断移动终端的第i个文件中第j个属性是否与预期值一致，如果一致，则通过可信验证，如果不一致，则未通过可信验证。

若移动终端的第i个文件总共被验证了m种属性，则文件i最终的可信度k_i为：

k_{i} = Σ_{j = 1}^{m} w_{ij} k_{ij} - - - (3)

例如，同样选取版本号、日期、大小、签名、概要信息、核心代码Hash值作为某文件i需要验证的属性值，将可信度先验值δ_i设为0.6，各属性的权重分配和可信验证系数配置可如表1所示：

表1

属性j

验证成功系数(s_ij)

验证失败系数(f_ij)

可信权重(w_ij)

(1)版本号	0.3	0.2	0.1
				(2)日期	0.3	0.2	0.1
(3)大小	0.3	0.2	0.1
				(4)签名	0.4	0.3	0.15
(5)概要信息	0.4	0.3	0.15
				(6)核心代码Hash	0.8	0.7	0.4

计算完移动终端文件i的可信度k_i之后，进一步计算移动终端的可信度。若一次可信验证总共验证了n个文件，W_i为文件i的归一化权重值，即

则移动终端经可信验证后的可信度K为：

K = Σ_{i = 1}^{n} W_{i} k_{i} - - - (4)

然后进行门限可信度计算：

K_A的值由s_ij、δ_i、w_ij、W_i决定，即当所有文件都通过可信验证时，根据公式(1)(2)(3)(4)计算出的K值就是K_A。K_R则根据实际应用的安全可信需求进行设置，一般设置范围为K_R∈[0.6K_A，0.8K_A]。通过将移动终端可信度K与补救可信度K_R和接入可信度K_A进行比较，可对移动终端做出接入(K_A＝K)、补救(K_R≤K＜K_A)和拒绝(K＜K_R)的判决。

可信接入补救机制通过验证接入请求点的身份和可信度信息，综合决策是否允许其入网或进行隔离补救操作，如表2所示。

表2

身份认证	可信度	判决
			通过	K＝K_A	允许接入
通过	K_R≤K＜K_A	隔离补救
			通过	K＜K_R	拒绝接入
未通过	------	拒绝接入

对于未通过接入认证但满足补救权限的移动终端，还可经过补救操作实现自身的可信增强以重新满足入网策略的要求。同样的，补救过程中的消息交互也应遵循规范的格式和流程。移动终端与可信补救服务器需要通过补救协议进行通信，补救协议分组格式如图5所示，各个组成部分如下

消息类型：0x01表示补救请求；0x02表示请求成功；0x03表示请求失败；0x04表示补救通告；

长度：表示整个补救消息长度；

补救ID：补救服务器用以匹配正确的补救代理请求；

可信度：经可信接入服务器量化评估后接入请求点的可信度K；

资源定位码：补救资源的标识，用以在补救资源库中定位资源，分为相对定位码和全局定位码。相对定位码指需补救资源在某次可信验证的对象中的相对位置编号；全局定位码则是需补救资源在补救资源库中的绝对位置编号，是资源的唯一标识符。在一条补救消息中根据实际情况可包含多个资源定位码。

请求成功和请求失败消息只包含消息类型和长度字段。可信补救分组可以封装在数据链路层帧、EAP分组或其他协议分组中，由具体应用而定。可信补救分组在EAP分组中的封装如图6所示，此时需要定义新的类型字段值以区别现有的各种EAP方法类型。

如图7所示，以CR表示包含可信补救代理的移动终端，E表示无线可信接入点，S_A表示可信接入服务器，S_R表示可信补救服务器：可信补救流程具体步骤如下：

1)，E收到S_A的补救判决后，分别向C_R和S_R发送一条包含补救ID和可信度K的通告消息(发往C_R的消息中还包含需补救资源的相对定位码信息，该信息从S_A的补救判决中获得)，并向C_R开放S_R所在端口；

2)，C_R收到补救通告后，由相对定位码获取需补救资源的全局定位码；

3)，S_R收到补救通告后，将补救ID和可信度信息存储到补救信息库中；

4)，C_R向用户显示经验证后接入请求点的可信度K，并询问是否执行补救过程；

5)，若用户选择执行补救，则C_R通过E向S_R发送补救请求，请求中包括签名的补救ID以及可信度K和资源的全局定位码；

6)，S_R验证请求中的签名、补救ID和可信度信息是否与补救信息库中的内容一致，然后根据可信度K是否大于补救可信度K_R判断补救与否，并通过E向C_R发送签名的请求成功消息；

7)，C_R在验证请求成功消息中的签名后确定S_R的身份，然后与S_R建立通信连接(FTP、HTTP等)并根据资源定位码获取补救资源；

8)，C_R对自身进行补救升级，即将被篡改的文件恢复为预期状态，并在完成后重新收集终端的可信状态，准备开始新一轮的接入认证。

如图8所示，上述方法可以由基于可信度的无线局域网可信接入系统实现。基于可信度的无线局域网可信接入系统包括移动终端101、无线可信接入点102、可信接入服务器103和可信补救服务器104。移动终端101上安装了TPM(Trusted Platform Module，可信平台模块)、TSS(Trusted Software Stack，可信软件栈)、可信认证代理和可信补救代理软件，实现平台的可信接入认证与补救。无线可信接入点102控制移动终端的信道接入。可信接入服务器103安装了TPM可信密码模块、身份与可信认证服务软件、TPM驱动及管理软件、TSS协议栈和证书接口库，实现对移动终端的接入认证。可信补救服务器104安装了TPM驱动及管理软件、Ftp(File Transfer Protocol，文件传输协议)服务器软件、TSS协议栈和证书接口库，通过文件下载、补丁更新实现对移动终端的隔离补救。

移动终端101每次加电启动时，都会首先完成自身的信任链建立过程，并在请求连接无线局域网时将TPM存储的可信状态值提交给可信接入服务器103进行验证。只有通过了可信接入服务器103认证的移动终端101才有权限接入网络中访问其资源，未通过验证的移动终端101无法通过可信接入点访问网络中的各种资源，可信接入点只转发其认证和补救请求数据，其他数据则丢弃。当不符合无线局域网接入条件的移动终端101在可信补救服务器104处获取补救服务进行可信增强，重新进行可信接入认证并通过之后，便可以通过可信接入点访问网内的资源。

由上述实施例可以看出，本发明中基于EAP和802.1X设计的可信接入认证协议具备良好的可扩展性，能有效兼容现有认证体制和技术，无需对现有设备进行较大的改动，实施和部署都比较方便；本发明提出的可信接入认证协议为二层协议，加入EAPoL头部后直接封装在数据链路层帧中进行传输，无需使用IP地址和端口号，通过属性-值对的形式进行扩展，也同样可以实现多种认证方法；在数据链路层实施接入认证，更有利于对移动终端的入网进行安全控制；本发明提出的接入机制在认证过程中实现了对移动终端可信状态信息的量化评估，并且针对不同的可信度实施不同的处理机制，相较于“通过”与“不通过”的二元判决机制，认证粒度更细，便于实际应用。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种基于可信度的无线局域网可信接入方法，其特征在于，所述方法包括以下步骤：

2.如权利要求1所述基于可信度的无线局域网可信接入方法，其特征在于，在移动终端的接入身份认证成功之后，还需计算接入认证系统的补救门限可信度K_R；

当所述移动终端的可信度K大于等于补救门限可信度K_R、且小于接入门限可信度K_A时，对所述移动终端进行可信补救，可信补救之后，重新计算其可信度K，进行重新认证。

3.如权利要求1所述基于可信度的无线局域网可信接入方法，其特征在于，所述移动终端的可信度K通过公式(1)计算：

K = Σ_{i = 1}^{n} W_{i} k_{i} - - - (1)

4.如权利要求3所述基于可信度的无线局域网可信接入方法，其特征在于，所述移动终端第i个文件的可信度k_i通过公式(2)计算：

其中，w_ij为所述移动终端第i个文件中第j个属性的可信权重；k_ij为所述移动终端第i个文件中第j个属性的可信度；m为所述移动终端第i个文件需验证的属性个数。

5.如权利要求4所述基于可信度的无线局域网可信接入方法，其特征在于，当所述移动终端第i个文件中第j个属性通过可信验证时，k_ij通过公式(3)计算：

k_ij＝δ_i+(1-δ_i)×s_ij (3)

6.如权利要求4所述基于可信度的无线局域网可信接入方法，其特征在于，当所述移动终端第i个文件中第j个属性没有通过可信验证时，k_ij通过公式(4)计算：

k_ij＝(1-f_ij)×δ_i (4)

7.如权利要求5所述基于可信度的无线局域网可信接入方法，其特征在于，当所属移动终端进行可信接入认证时需验证的所有文件的所有属性都通过可信验证时，根据公式(1)(2)(3)计算出的K值就是K_A。

8.如权利要求1所述基于可信度的无线局域网可信接入方法，其特征在于，所述移动终端通过可信认证协议与可信服务器进行通信，进行可信认证；

9.如权利要求2所述基于可信度的无线局域网可信接入方法，其特征在于，所述移动终端与可信补救服务器需通过补救协议进行通信；

10.一种基于可信度的无线局域网可信接入系统，包括移动终端和无线可信接入点，其特征在于，所述系统包括：