專利名稱:基于c/s模式的移動(dòng)終端可信接入兼管理系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及可信接入并管理的系統(tǒng)及方法。具體是一種基于C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)及方法,主要用于對(duì)移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)對(duì)移動(dòng)終端的軟硬件進(jìn)行驗(yàn)證以及接入后對(duì)移動(dòng)終端的可信管理。
背景技術(shù):
目前,無(wú)線網(wǎng)絡(luò)技術(shù)不斷發(fā)展,移動(dòng)終端設(shè)備越發(fā)普及,可以方便地接入互聯(lián)網(wǎng)以獲取服務(wù)。同時(shí)隨著無(wú)線網(wǎng)絡(luò)應(yīng)用的普及,無(wú)線網(wǎng)絡(luò)的安全性越來(lái)越受到重視。但是在今天的網(wǎng)絡(luò)環(huán)境下漏洞無(wú)處不在,不論在操作系統(tǒng),應(yīng)用系統(tǒng)還是在移動(dòng)終端軟硬件方面都有漏洞。然而,目前無(wú)線網(wǎng)絡(luò)接入的安全措施僅僅關(guān)注對(duì)用戶的管理和認(rèn)證,缺乏對(duì)用戶所使用的移動(dòng)終端的自身安全的驗(yàn)證,包括對(duì)移動(dòng)終端及使用平臺(tái)的驗(yàn)證,例如,用戶所使用的操作系統(tǒng)或其他應(yīng)用軟件被惡意者攻擊,將會(huì)導(dǎo)致用戶存儲(chǔ)在移動(dòng)終端中的個(gè)人信息, 各種網(wǎng)絡(luò)賬號(hào)密碼,銀行賬號(hào)密碼等重要個(gè)人敏感信息將會(huì)被惡意者獲取,從而損害用戶的合法權(quán)益并對(duì)整個(gè)網(wǎng)絡(luò)的安全性造成威脅。當(dāng)用戶所使用的移動(dòng)終端的硬件信息被惡意者更改,將會(huì)導(dǎo)致用戶使用的移動(dòng)終端發(fā)生故障,所以存在一定的安全隱患。移動(dòng)終端設(shè)備存儲(chǔ)資源和計(jì)算資源有限,并且移動(dòng)終端本身面臨諸多安全威脅, 因此即使用戶身份合法,不表示其使用的移動(dòng)終端及使用平臺(tái)安全可信。現(xiàn)有技術(shù)中對(duì)用戶的管理和認(rèn)證也未考慮以下幾個(gè)問(wèn)題(1)未檢驗(yàn)移動(dòng)終端及適用平臺(tái)本身是否安全可信,若移動(dòng)終端本身已經(jīng)被病毒感染,或攻擊者已經(jīng)惡意修改移動(dòng)平臺(tái)的硬件、操作系統(tǒng)、應(yīng)用軟件或固件,在用戶毫不知情的情況下,用戶輸入的口令和指紋很容易被非法竊取。(2)對(duì)用戶身份認(rèn)證成功即此移動(dòng)終端已接入到WLAN等無(wú)線網(wǎng)絡(luò)中后,惡意者對(duì)移動(dòng)終端的軟硬件信息發(fā)生改變,這時(shí)服務(wù)交互的安全性將受到威脅。綜上所述,如何提供一種方法來(lái)實(shí)現(xiàn)管理端對(duì)各移動(dòng)終端在接入時(shí)可信認(rèn)證以及接入后對(duì)移動(dòng)終端的可信管理,解決傳統(tǒng)WLAN等無(wú)線網(wǎng)絡(luò)接入時(shí)以及接入后的問(wèn)題,已成為目前亟需解決的問(wèn)題。
發(fā)明內(nèi)容
針對(duì)目前無(wú)線網(wǎng)絡(luò)接入的安全措施僅僅關(guān)注對(duì)用戶的管理和認(rèn)證,缺乏對(duì)用戶移動(dòng)終端及適用平臺(tái)的驗(yàn)證以及接入后可信管理的缺失,本發(fā)明提供了基于C/S模式移動(dòng)終端可信接入兼管理系統(tǒng)及方法,實(shí)現(xiàn)對(duì)移動(dòng)終端的在線接入驗(yàn)證以及可信管理,從而保證網(wǎng)絡(luò)的安全性。本發(fā)明首先是基于C/S模式移動(dòng)終端可信接入兼管理系統(tǒng),包括有認(rèn)證服務(wù)器, MySQL服務(wù)器,核心網(wǎng)絡(luò)設(shè)備如路由器,交換機(jī)等,移動(dòng)終端。認(rèn)證服務(wù)器與MySQL服務(wù)器相連接,移動(dòng)終端通過(guò)核心網(wǎng)絡(luò)設(shè)備與認(rèn)證服務(wù)器相連接,其中移動(dòng)終端與認(rèn)證服務(wù)器通過(guò)通信協(xié)議進(jìn)行可信接入及管理,認(rèn)證服務(wù)器通過(guò)查詢MySQL服務(wù)器來(lái)實(shí)現(xiàn)對(duì)移動(dòng)終端的可信接入與管理,其特征在于所述通信協(xié)議為A/S協(xié)議,定義A/S協(xié)議內(nèi)容其中RcgCode 為幀識(shí)別碼,用來(lái)存放消息頭,統(tǒng)一設(shè)為“TPMASCOMM” ;CMD_MJ_CODE為主功能號(hào),主要用來(lái)存放不同類型的命令;CMD_MN_CODE為子功能號(hào),主要用來(lái)存放特定主功能號(hào)下的請(qǐng)求某一特定信息的命令;DataBuf主要用來(lái)存放軟硬件信息;DataBufLen主要用來(lái)存放軟硬件信息的長(zhǎng)度;Extension用來(lái)存放要擴(kuò)展的軟硬件信息;ExtensionLen用來(lái)存放要擴(kuò)展的軟硬件信息的長(zhǎng)度。本發(fā)明的系統(tǒng)遵循傳統(tǒng)的C/S模式,并無(wú)添加任何額外的設(shè)備,因此可信管理遵循原有的框架,使得管理比較簡(jiǎn)單易行,重要的是本發(fā)明采用自行設(shè)計(jì)的A/S協(xié)議,該協(xié)議定義了認(rèn)證服務(wù)器和移動(dòng)終端進(jìn)行數(shù)據(jù)交互的規(guī)則,用來(lái)保證認(rèn)證服務(wù)器和移動(dòng)終端進(jìn)行安全的交互。使得移動(dòng)終端與認(rèn)證服務(wù)器之間可以安全的通信,從而保證移動(dòng)終端的可信接入及管理和無(wú)線網(wǎng)絡(luò)的安全。本發(fā)明還是一種基于C/S模式移動(dòng)終端可信接入的方法,該方法包括以下步驟1)認(rèn)證服務(wù)器對(duì)移動(dòng)終端所在網(wǎng)絡(luò)發(fā)出組播信息,在核心網(wǎng)絡(luò)設(shè)備的支持下,對(duì)網(wǎng)絡(luò)中各移動(dòng)終端進(jìn)行偵測(cè);2)移動(dòng)終端要求接入無(wú)線網(wǎng)絡(luò)時(shí),認(rèn)證服務(wù)器請(qǐng)求移動(dòng)終端的軟硬件信息,該請(qǐng)求通過(guò)A/S協(xié)議進(jìn)行封包;3)認(rèn)證服務(wù)器將封包的內(nèi)容發(fā)送到移動(dòng)終端;4)移動(dòng)終端按照A/S協(xié)議對(duì)相應(yīng)的軟硬件信息進(jìn)行封包;5)移動(dòng)終端將封包的內(nèi)容發(fā)送到認(rèn)證服務(wù)器;6)認(rèn)證服務(wù)器對(duì)移動(dòng)終端發(fā)送過(guò)來(lái)的內(nèi)容進(jìn)行解析,從中提取出相應(yīng)的信息,并與MySQL服務(wù)器中的數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行對(duì)比,完成信息驗(yàn)證;若認(rèn)證服務(wù)器驗(yàn)證成功,則移動(dòng)終端實(shí)現(xiàn)可信接入;若驗(yàn)證失敗,則拒絕移動(dòng)終端可信接入并顯示相應(yīng)信息。本發(fā)明在移動(dòng)終端要求接入無(wú)線網(wǎng)絡(luò)時(shí),有別于傳統(tǒng)的無(wú)線接入驗(yàn)證,認(rèn)證服務(wù)器還需要對(duì)移動(dòng)終端的軟硬件信息驗(yàn)證,以保證移動(dòng)終端接入時(shí)移動(dòng)終端軟硬件的安全性,同時(shí)也保護(hù)了網(wǎng)絡(luò)資源的安全性,即保護(hù)網(wǎng)絡(luò)資源不會(huì)被非法用戶所使用。本發(fā)明還是一種基于C/S模式移動(dòng)終端可信管理方法,包括合法用戶的可信管理和惡意者的可信管理。對(duì)合法的用戶可信管理,實(shí)現(xiàn)方法包括以下步驟(1)移動(dòng)終端向認(rèn)證服務(wù)器發(fā)送修改軟硬件信息的請(qǐng)求。(2)認(rèn)證服務(wù)器根據(jù)移動(dòng)終端的合法性回應(yīng)移動(dòng)終端,若移動(dòng)終端合法,則發(fā)送允許修改的信息,若不合法,則發(fā)送失敗的信息。(3)移動(dòng)終端接受到認(rèn)證服務(wù)器允許修改的信息后,將需要修改的軟硬件信息通過(guò)A/S協(xié)議封裝協(xié)議包。(4)移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行通信,將A/S協(xié)議包進(jìn)行編碼后發(fā)送到服務(wù)器端。(5)認(rèn)證服務(wù)器接收到相應(yīng)的協(xié)議包,解碼后得到A/S協(xié)議包,并按照A/S協(xié)議解析出發(fā)生變更的相應(yīng)軟硬件信息;(6)服務(wù)器更新MySQL數(shù)據(jù)庫(kù)中存放相應(yīng)移動(dòng)終端軟硬件信息的內(nèi)容。本發(fā)明可以有效的區(qū)分合法的用戶和惡意者之間的區(qū)別,若合法的用戶需要更改移動(dòng)終端的軟硬件信息時(shí),則執(zhí)行上述步驟,保證合法用戶的權(quán)益不受到侵害。
本發(fā)明的實(shí)現(xiàn)還在于,當(dāng)移動(dòng)終端可信接入無(wú)線網(wǎng)絡(luò)后,若惡意攻擊者更改移動(dòng)終端的軟硬件信息時(shí),認(rèn)證服務(wù)器偵測(cè)到軟硬件信息的變化并做出相應(yīng)的處理。其步驟如下a)當(dāng)移動(dòng)終端已經(jīng)接入到無(wú)線網(wǎng)絡(luò)時(shí),若移動(dòng)終端有新硬件接入或者軟件的更新,移動(dòng)終端偵測(cè)到發(fā)生變更的軟硬件信息;b)移動(dòng)終端按照A/S協(xié)議封裝變更后的軟硬件信息;c)移動(dòng)終端將封包的內(nèi)容發(fā)送到認(rèn)證服務(wù)器;d)認(rèn)證服務(wù)器接收移動(dòng)終端發(fā)送來(lái)的按照A/S協(xié)議進(jìn)行封裝的信息包;e)認(rèn)證服務(wù)器搜索MySQL服務(wù)器中的數(shù)據(jù)庫(kù),與數(shù)據(jù)庫(kù)中保存的該移動(dòng)終端的軟硬件信息進(jìn)行對(duì)比;f)認(rèn)證服務(wù)器對(duì)不一致的信息進(jìn)行標(biāo)記,并根據(jù)分析作出相應(yīng)的結(jié)果。傳統(tǒng)的認(rèn)證方法只進(jìn)行接入前的認(rèn)證,而認(rèn)證后若移動(dòng)終端遭受到攻擊則不予處理,本發(fā)明在移動(dòng)終端接入網(wǎng)絡(luò)的整個(gè)時(shí)段,有效的對(duì)移動(dòng)終端進(jìn)行檢測(cè),保證雙方交互的安全性,實(shí)現(xiàn)在線保護(hù)網(wǎng)絡(luò)和用戶信息的安全。采用A/S協(xié)議的優(yōu)點(diǎn)在于認(rèn)證服務(wù)器和移動(dòng)終端在一個(gè)自定義的統(tǒng)一的規(guī)則下進(jìn)行安全的交互,達(dá)到安全傳輸數(shù)據(jù)的目的。本發(fā)明所述的組播用于跨網(wǎng)段發(fā)現(xiàn)移動(dòng)終端。本發(fā)明認(rèn)證服務(wù)器能夠通過(guò)移動(dòng)終端對(duì)自身及使用平臺(tái)包括軟硬件信息的變更進(jìn)行偵測(cè),并有效的在認(rèn)證服務(wù)器端進(jìn)行顯示并記錄。本發(fā)明所述的MySQL服務(wù)器的數(shù)據(jù)庫(kù)用于存儲(chǔ)移動(dòng)終端的軟硬件信息,方便認(rèn)證服務(wù)器驗(yàn)證移動(dòng)終端的軟硬件信息,這樣,當(dāng)移動(dòng)終端的軟硬件信息發(fā)生改變時(shí),將與 MySQL服務(wù)器中的數(shù)據(jù)庫(kù)中保存的信息不一致。與現(xiàn)有技術(shù)相比,本發(fā)明具有下述優(yōu)點(diǎn)本發(fā)明可以通過(guò)組播技術(shù)有效發(fā)現(xiàn)跨網(wǎng)段下各個(gè)移動(dòng)終端,并可以結(jié)合MySQL服務(wù)器通過(guò)A/S協(xié)議對(duì)各個(gè)移動(dòng)終端及使用平臺(tái)包括軟硬件信息進(jìn)行有效驗(yàn)證。采用A/S協(xié)議的數(shù)據(jù)幀不僅包含了要傳送數(shù)據(jù)的數(shù)據(jù)類型和長(zhǎng)度,而且還為以后擴(kuò)展預(yù)留了空間,方便以后擴(kuò)展要檢測(cè)的軟硬件信息。保證了雙方在交互過(guò)程中的安全性。由于在移動(dòng)終端接入的時(shí)候不單關(guān)注于對(duì)用戶本身的認(rèn)證而且還關(guān)注于用戶終端的驗(yàn)證,本發(fā)明從移動(dòng)終端自身及使用平臺(tái)構(gòu)成的層面上對(duì)移動(dòng)終端的軟硬件信息有效進(jìn)行的驗(yàn)證,使得惡意攻擊者沒(méi)有進(jìn)入移動(dòng)終端,也沒(méi)有通過(guò)移動(dòng)終端進(jìn)入網(wǎng)絡(luò)的途徑,從根本上保證了用戶信息的安全性,也保證了網(wǎng)絡(luò)資源的安全性。由于在移動(dòng)終端接入后本發(fā)明可以有效的區(qū)分合法者和惡意攻擊者之間修改軟硬件信息,使得即使在接入后惡意攻擊者試圖通過(guò)修改移動(dòng)終端的軟硬件信息對(duì)整個(gè)網(wǎng)絡(luò)的安全性構(gòu)成威脅不現(xiàn)實(shí),這既可以有效的保護(hù)合法者修改軟硬件信息,也可以防止惡意攻擊者修改軟硬件信息。由于本發(fā)明不僅在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)對(duì)用戶及使用平臺(tái)進(jìn)行驗(yàn)證,而且在接入后還對(duì)移動(dòng)終端的軟硬件信息進(jìn)行檢測(cè),所以當(dāng)移動(dòng)終端的軟硬件信息發(fā)生改變時(shí), 認(rèn)證服務(wù)器可以有效的進(jìn)行偵測(cè),達(dá)到在整個(gè)服務(wù)交互的過(guò)程中對(duì)移動(dòng)終端的軟硬件信息進(jìn)行驗(yàn)證。
圖1為基于C/S模式移動(dòng)終端可信接入兼管理系統(tǒng)的基本結(jié)構(gòu)示意圖;圖2為A/S協(xié)議傳輸數(shù)據(jù)的幀格式示意圖;圖3為移動(dòng)終端可信接入與認(rèn)證服務(wù)器交互的示意圖;圖4為可信接入后,合法的用戶修改軟硬件信息,認(rèn)證服務(wù)器與移動(dòng)終端交互的示意圖;圖5為可信接入后,惡意者修改軟硬件信息,認(rèn)證服務(wù)器與移動(dòng)終端交互的示意圖。
具體實(shí)施例方式實(shí)施例1本發(fā)明是基于C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)及方法,圖1是本發(fā)明采用C/S模式下移動(dòng)終端可信接入系統(tǒng)的基本結(jié)構(gòu)示意圖?;贑/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)包括有核心網(wǎng)絡(luò)設(shè)備,認(rèn)證服務(wù)器以及與認(rèn)證服務(wù)器相連接的移動(dòng)終端,以及與所述認(rèn)證服務(wù)器連接的MySQL服務(wù)器。移動(dòng)終端通過(guò)核心網(wǎng)絡(luò)設(shè)備與認(rèn)證服務(wù)器相連接,核心網(wǎng)絡(luò)設(shè)備可以是路由器,交換機(jī)等,本例中核心網(wǎng)絡(luò)設(shè)備為路由器,移動(dòng)終端與認(rèn)證服務(wù)器通過(guò)通信協(xié)議進(jìn)行可信接入并管理,認(rèn)證服務(wù)器通過(guò)查詢MySQL服務(wù)器來(lái)實(shí)現(xiàn)對(duì)移動(dòng)終端的可信接入與管理。本發(fā)明是基于C/S模式下運(yùn)行實(shí)現(xiàn)的。圖2是認(rèn)證服務(wù)器與移動(dòng)終端通過(guò)A/S協(xié)議傳輸數(shù)據(jù)的幀格式,其中RcgCode為幀識(shí)別碼,用來(lái)存放消息頭,在這里統(tǒng)一設(shè)為“TPMASCOMM”,CMD_MJ_C0DE為主功能號(hào),主要用來(lái)存放不同類型的命令,比如說(shuō)是請(qǐng)求硬件信息的命令還是請(qǐng)求軟件信息的命令,CMD_ MN_C0DE為子功能號(hào),主要用來(lái)存放特定主功能號(hào)下的請(qǐng)求某一特定信息的命令。比如 CMD_MJ_C0DE為請(qǐng)求硬件信息的命令,CMD_MN_C0DE里存放的就是請(qǐng)求某一特定硬件信息 (usb,pci,nci等)的命令。DataBuf主要用來(lái)存放軟硬件信息,DataBufLen主要用來(lái)存放軟硬件信息的長(zhǎng)度,Extension用來(lái)存放以后可能要擴(kuò)展的軟硬件信息,ExtensionLen用來(lái)存放要擴(kuò)展的軟硬件信息的長(zhǎng)度。采用A/S協(xié)議的數(shù)據(jù)幀不僅包含了要傳送數(shù)據(jù)的數(shù)據(jù)類型和長(zhǎng)度,而且還為以后擴(kuò)展預(yù)留了空間,方便以后擴(kuò)展要檢測(cè)的軟硬件信息。保證了雙方在交互過(guò)程中的安全性。本發(fā)明還是一種基于C/S模式實(shí)現(xiàn)移動(dòng)終端可信接入方法,該方法是在上述基于 C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)實(shí)現(xiàn)的,如圖3所示該方法包括以下步驟1)認(rèn)證服務(wù)器對(duì)移動(dòng)終端所在網(wǎng)絡(luò)發(fā)出組播信息,在核心網(wǎng)絡(luò)設(shè)備的支持下,網(wǎng)絡(luò)中各移動(dòng)終端通過(guò)組播信息可以檢測(cè)到認(rèn)證服務(wù)器;2)當(dāng)移動(dòng)終端要求接入無(wú)線網(wǎng)絡(luò)時(shí),認(rèn)證服務(wù)器請(qǐng)求移動(dòng)終端的軟硬件信息,將該請(qǐng)求通過(guò)A/S協(xié)議進(jìn)行封包,其中封包的幀格式為=RcgCode為消息的頭部,CMD_MJ_C0DE 用來(lái)存放所請(qǐng)求移動(dòng)終端信息的類型,其中類型分硬件和軟件,CMD_MN_C0DE主要用來(lái)存放具體的軟硬件設(shè)備信息,其中軟硬件信息包括usb,內(nèi)存,硬盤(pán),cpu,顯卡,操作系統(tǒng),主要的應(yīng)用軟件等等;
3)認(rèn)證服務(wù)器將封包的內(nèi)容發(fā)送到移動(dòng)終端;4)移動(dòng)終端按照A/S協(xié)議對(duì)相應(yīng)的軟硬件信息進(jìn)行封包,其中移動(dòng)終端接收認(rèn)證服務(wù)器所發(fā)送來(lái)的幀信息,按照A/S協(xié)議定義的幀格式解析幀信息,從中提取出CMD_MJ_ CODE和CMD_MN_C0DE,并將所請(qǐng)求的軟硬件信息填充到幀信息中的DataBuf中,軟硬件信息的長(zhǎng)度存儲(chǔ)到DataBufLen ;5)移動(dòng)終端將封包的內(nèi)容發(fā)送到認(rèn)證服務(wù)器,移動(dòng)終端將認(rèn)證服務(wù)器所請(qǐng)求的信息按A/S協(xié)議封裝填充好的幀,將其編碼后發(fā)送到認(rèn)證服務(wù)器。6)認(rèn)證服務(wù)器對(duì)移動(dòng)終端發(fā)送過(guò)來(lái)的內(nèi)容進(jìn)行解析,從中提取出相應(yīng)的信息,并與MySQL服務(wù)器中的內(nèi)容進(jìn)行對(duì)比,完成信息驗(yàn)證。認(rèn)證服務(wù)器接收到移動(dòng)終端發(fā)送過(guò)來(lái)的幀信息,首先將其解碼得到原來(lái)的幀信息,然后從DataBuf中提取出所請(qǐng)求的移動(dòng)終端的軟硬件信息,并與MySql服務(wù)器中所存儲(chǔ)的內(nèi)容進(jìn)行對(duì)比,若一致,接收移動(dòng)終端接入該網(wǎng)絡(luò),若不一致,則認(rèn)證服務(wù)器提示用戶接入失敗,完成信息驗(yàn)證,移動(dòng)終端根據(jù)認(rèn)證服務(wù)器判斷結(jié)果實(shí)現(xiàn)可信接入與否。本發(fā)明通過(guò)組播技術(shù)有效發(fā)現(xiàn)跨網(wǎng)段下各個(gè)移動(dòng)終端,并可以結(jié)合MySQL服務(wù)器通過(guò)A/S協(xié)議對(duì)各個(gè)移動(dòng)終端及使用平臺(tái)包括軟硬件信息進(jìn)行有效驗(yàn)證。由于在移動(dòng)終端接入的時(shí)候不單關(guān)注于對(duì)用戶本身的認(rèn)證而且還關(guān)注于用戶終端的驗(yàn)證,本發(fā)明從移動(dòng)終端自身及使用平臺(tái)構(gòu)成的層面上對(duì)移動(dòng)終端的軟硬件信息有效進(jìn)行的驗(yàn)證,使得惡意攻擊者沒(méi)有進(jìn)入移動(dòng)終端,也沒(méi)有通過(guò)移動(dòng)終端進(jìn)入網(wǎng)絡(luò)的途徑,從根本上保證了用戶信息的安全性,也保證了網(wǎng)絡(luò)資源的安全性。實(shí)施例2本發(fā)明還是基于C/S模式的移動(dòng)終端可信管理方法,該管理方法也是基于C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)實(shí)現(xiàn)的??尚殴芾矸椒ǎê戏ㄓ脩舻目尚殴芾砗蛺阂庹叩目尚殴芾?,可信接入后,若合法的用戶需要修改移動(dòng)終端的軟硬件信息,實(shí)現(xiàn)方法包括以下步驟參見(jiàn)圖4,(1)移動(dòng)終端向認(rèn)證服務(wù)器發(fā)送修改軟硬件信息的請(qǐng)求。(2)認(rèn)證服務(wù)器根據(jù)移動(dòng)終端的合法性回應(yīng)移動(dòng)終端,若移動(dòng)終端合法,則發(fā)送允許修改的信息,若不合法,則發(fā)送失敗的信息。(3)移動(dòng)終端接受到認(rèn)證服務(wù)器允許修改的信息后,將需要修改的軟硬件信息通過(guò)A/S協(xié)議封裝協(xié)議包。其中封包的內(nèi)容為,RcgCode為消息的頭部,CMD_MJ_C0DE用來(lái)存放發(fā)生變化的移動(dòng)終端信息的類型,比如是硬件還是軟件,CMD_MN_C0DE主要用來(lái)存放具體的軟硬件設(shè)備信息,比如usb,pci,nci等等,DataBuf主要用來(lái)存放發(fā)生變化的軟硬件信息,DataBufLen主要用來(lái)存放軟硬件信息的長(zhǎng)度;(4)移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行通信,將A/S協(xié)議包進(jìn)行編碼后發(fā)送到服務(wù)器端。(5)認(rèn)證服務(wù)器接收到相應(yīng)的協(xié)議包,解碼后得到A/S協(xié)議包,并按照A/S協(xié)議解析出發(fā)生變更的相應(yīng)軟硬件信息,從中提取出DataBuf和DataBufLen ;(6)服務(wù)器更新MySQL數(shù)據(jù)庫(kù)中存放相應(yīng)移動(dòng)終端軟硬件信息的內(nèi)容。本發(fā)明可以有效的區(qū)分合法的用戶和惡意者之間的區(qū)別,若合法的用戶需要更改移動(dòng)終端的軟硬件信息時(shí),則執(zhí)行上述步驟,保證合法用戶的權(quán)益不受到侵害。實(shí)施例3
基于C/S模式的移動(dòng)終端可信接入系統(tǒng)、基于C/S模式移動(dòng)終端可信接入方法,基于C/S模式移動(dòng)終端可信管理方法同實(shí)施例1-2,其中基于C/S模式實(shí)現(xiàn)移動(dòng)終端可信管理方法中對(duì)惡意者的管理是可信接入后,若惡意者更改移動(dòng)終端的軟硬件信息,認(rèn)證服務(wù)器對(duì)移動(dòng)終端軟硬件信息的變更進(jìn)行偵測(cè),如圖5所示實(shí)現(xiàn)方法包括以下步驟a)當(dāng)新硬件接入時(shí),移動(dòng)終端可以有效偵測(cè)到硬件變化的信息,便會(huì)通過(guò)A/S協(xié)議封裝協(xié)議包,其中封包的內(nèi)容為,RcgCode為消息的頭部,CMD_MJ_C0DE用來(lái)存放發(fā)生變化的移動(dòng)終端信息的類型,比如是硬件還是軟件,CMD_MN_C0DE主要用來(lái)存放具體的軟硬件設(shè)備信息,比如usb,pci, nci等等,DataBuf主要用來(lái)存放發(fā)生變化的軟硬件信息, DataBufLen主要用來(lái)存放軟硬件信息的長(zhǎng)度;b)移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行通信,將A/S協(xié)議包進(jìn)行編碼后發(fā)送到服務(wù)器端。c)認(rèn)證服務(wù)器接收到相應(yīng)的協(xié)議包,解碼后得到A/S協(xié)議包,并按照A/S協(xié)議解析出發(fā)生變更的相應(yīng)軟硬件信息,從中提取出DataBuf和DataBufLen ;d)服務(wù)器搜索MySQL數(shù)據(jù)庫(kù),將步驟3解析出來(lái)的DataBuf與數(shù)據(jù)庫(kù)中相對(duì)應(yīng)的數(shù)據(jù)進(jìn)行比較,得出與數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)不一致的結(jié)論,從而斷開(kāi)與移動(dòng)終端的鏈接。由于在移動(dòng)終端接入后本發(fā)明可以有效的區(qū)分合法者和惡意攻擊者之間的修改軟硬件信息,本發(fā)明可以有效的阻止惡意攻擊者通過(guò)修改移動(dòng)終端的軟硬件信息威脅整個(gè)網(wǎng)絡(luò)的安全性,這既可以有效的保護(hù)合法者修改軟硬件信息,也可以防止惡意攻擊者威脅整個(gè)網(wǎng)絡(luò)的安全性。由于本發(fā)明不僅在移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)對(duì)用戶及使用平臺(tái)進(jìn)行驗(yàn)證,而且在接入后還對(duì)移動(dòng)終端的軟硬件信息進(jìn)行檢測(cè),所以當(dāng)移動(dòng)終端的軟硬件信息發(fā)生改變時(shí), 認(rèn)證服務(wù)器可以有效的進(jìn)行偵測(cè),達(dá)到在整個(gè)服務(wù)交互的過(guò)程中對(duì)移動(dòng)終端的軟硬件信息進(jìn)行驗(yàn)證。實(shí)施例4基于C/S模式的移動(dòng)終端可信接入系統(tǒng)、基于C/S模式移動(dòng)終端可信接入方法,基于C/S模式移動(dòng)終端可信管理方法同實(shí)施例1-3。為了實(shí)現(xiàn)基于C/S模式移動(dòng)終端可信接入,基于C/S模式的移動(dòng)終端可信接入系統(tǒng)的構(gòu)成如下兩臺(tái)筆記本電腦、一臺(tái)裝有服務(wù)器軟件的認(rèn)證服務(wù)器、用于筆記本電腦與認(rèn)證服務(wù)器相連接的路由器、一臺(tái)裝有MySQL的服務(wù)器。上述所述的筆記本電腦用A、B表示, 其中A為在認(rèn)證服務(wù)器登記自身硬件和軟件信息的設(shè)備,硬件信息包括BIOS、主板、CPU、硬盤(pán)、內(nèi)存、USB接口的主要信息如廠商,編號(hào)等。軟件信息包括操作系統(tǒng)的版本號(hào),瀏覽器的版本號(hào),主要編譯器的版本號(hào)。B為未在認(rèn)證服務(wù)器登記的筆記本。當(dāng)筆記本A,B要求連接到該無(wú)線網(wǎng)絡(luò)中,認(rèn)證服務(wù)器通過(guò)組播信息通知A,B認(rèn)證服務(wù)器的IP地址和端口號(hào)使得A,B知道認(rèn)證服務(wù)器的所在地。認(rèn)證服務(wù)器通過(guò)A/S協(xié)議封裝相應(yīng)的請(qǐng)求包,請(qǐng)求A,B的硬件信息和軟件信息,A,B接受到相應(yīng)的數(shù)據(jù)包并解析相應(yīng)的數(shù)據(jù),A,B將自身的硬件信息和軟件信息通過(guò)A/S協(xié)議封裝好后發(fā)送給認(rèn)證服務(wù)器。由于A在認(rèn)證服務(wù)器登記過(guò)自身的信息,這樣認(rèn)證服務(wù)器通過(guò)查詢MySQL服務(wù)器可以驗(yàn)證A 的信息,使得A可以可信的接入到該無(wú)線網(wǎng)絡(luò)。同時(shí)由于B未在認(rèn)證服務(wù)器登記過(guò),則認(rèn)證服務(wù)器通過(guò)查詢MySQL服務(wù)器得出B不可信的結(jié)論從而不允許B接入到該無(wú)線網(wǎng)路中。由于基于C/S模式的移動(dòng)終端可信接入系統(tǒng)可以對(duì)移動(dòng)終端的軟硬件信息和自身使用的平臺(tái)進(jìn)行有效的驗(yàn)證,使得非法的用戶無(wú)法通過(guò)修改移動(dòng)終端自身的信息來(lái)對(duì)整個(gè)網(wǎng)絡(luò)的安全性構(gòu)成威脅,所以更好的保證了用戶自身信息的安全性和整個(gè)網(wǎng)絡(luò)資源的安全性。實(shí)施例5基于C/S模式的移動(dòng)終端可信接入系統(tǒng)、基于C/S模式移動(dòng)終端可信接入方法,基于C/S模式移動(dòng)終端可信管理方法同實(shí)施例1-4。為了實(shí)現(xiàn)基于C/S模式移動(dòng)終端可信管理,基于C/S模式的移動(dòng)終端可信系統(tǒng)的構(gòu)成如下兩臺(tái)筆記本電腦、一臺(tái)裝有服務(wù)器軟件的認(rèn)證服務(wù)器、用于筆記本電腦與認(rèn)證服務(wù)器相連接的路由器、一臺(tái)裝有MySQL的服務(wù)器。上述所述的筆記本電腦用A、B表示,A,B 均為可信接入到該無(wú)線網(wǎng)絡(luò)的筆記本。其中A模擬合法用戶在接入后插入一個(gè)U盤(pán),B模擬惡意攻擊者通過(guò)插入U(xiǎn)盤(pán)來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的攻擊。當(dāng)A可信接入到該無(wú)線網(wǎng)絡(luò)后,A需要將要登記的U盤(pán)信息發(fā)送到認(rèn)證服務(wù)器來(lái)使得在認(rèn)證服務(wù)器端登記該U盤(pán)。首先,A通過(guò)輸入自身的賬號(hào)密碼向認(rèn)證服務(wù)器發(fā)送修改信息的要求,認(rèn)證服務(wù)器通過(guò)檢測(cè)確定A的合法性發(fā)送允許修改的信息,A將該U盤(pán)的廠商,編號(hào),生產(chǎn)地址等信息通過(guò)A/S協(xié)議發(fā)送到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接受到相應(yīng)的數(shù)據(jù)并解析,繼而在MySQL上登記該U盤(pán)信息。當(dāng)B可信接入到該無(wú)線網(wǎng)絡(luò)后,惡意攻擊者希望通過(guò)插入U(xiǎn)盤(pán)來(lái)對(duì)整個(gè)網(wǎng)絡(luò)的安全性構(gòu)成威脅,當(dāng)惡意攻擊者插入U(xiǎn)盤(pán)后,B可以有效的偵測(cè)到自身的硬件信息發(fā)生變化, 從而將插入的U盤(pán)信息(廠商,編號(hào),生產(chǎn)地等)通過(guò)A/S協(xié)議發(fā)送到認(rèn)證服務(wù)器,認(rèn)證服務(wù)器接受到相應(yīng)的信息解析出其中的硬件信息,通過(guò)查詢MySQL服務(wù)器得出該U盤(pán)未在認(rèn)證服務(wù)器處登記,從而認(rèn)證服務(wù)器無(wú)線網(wǎng)絡(luò)中B的連接,并通知B有未登記的硬件信息要求 B重新接入。由于基于C/S模式的移動(dòng)終端可信管理不僅是在接入前對(duì)用戶的軟硬件信息進(jìn)行驗(yàn)證,并在接入后對(duì)移動(dòng)終端的軟硬件信息進(jìn)行檢測(cè),使得在接入后即使有惡意攻擊者試圖通過(guò)修改移動(dòng)終端的軟硬件信息來(lái)對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)的安全性構(gòu)成威脅,本管理方法也可以有效的檢測(cè)到這種威脅,達(dá)到在整個(gè)服務(wù)交互的過(guò)程中對(duì)移動(dòng)終端進(jìn)行管理。本發(fā)明在現(xiàn)行的c/s模式中采用了 A/S協(xié)議,A/S協(xié)議的數(shù)據(jù)幀不僅包含數(shù)據(jù)類型和長(zhǎng)度,還為擴(kuò)展預(yù)留了空間,方便擴(kuò)展要檢測(cè)的軟硬件信息。保證了交互過(guò)程的安全性。 通過(guò)組播技術(shù)有效發(fā)現(xiàn)跨網(wǎng)段下各個(gè)移動(dòng)終端。對(duì)移動(dòng)終端可信接入件進(jìn)行地方軟硬件的認(rèn)證,還在可信接入后對(duì)移動(dòng)終端的軟硬件信息進(jìn)行在線偵測(cè)。從移動(dòng)終端自身及使用平臺(tái)構(gòu)成的層面上對(duì)移動(dòng)終端進(jìn)行驗(yàn)證,使惡意攻擊者無(wú)進(jìn)入移動(dòng)終端和網(wǎng)絡(luò)的途徑,保證了用戶信息和網(wǎng)絡(luò)資源的安全性。主要用于對(duì)移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)對(duì)移動(dòng)終端的軟硬件進(jìn)行驗(yàn)證以及接入后對(duì)移動(dòng)終端的可信管理。
10
權(quán)利要求
1.一種基于C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng),包括有認(rèn)證服務(wù)器,MySQL服務(wù)器,核心網(wǎng)絡(luò)設(shè)備,處在無(wú)線網(wǎng)絡(luò)中的移動(dòng)終端;認(rèn)證服務(wù)器與MySQL服務(wù)器相連接,移動(dòng)終端通過(guò)核心網(wǎng)絡(luò)設(shè)備與認(rèn)證服務(wù)器相連接,其中移動(dòng)終端與認(rèn)證服務(wù)器通過(guò)通信協(xié)議進(jìn)行可信接入及管理,認(rèn)證服務(wù)器通過(guò)查詢MySQL服務(wù)器來(lái)實(shí)現(xiàn)對(duì)移動(dòng)終端的可信接入與管理,其特征在于所述通信協(xié)議為A/S協(xié)議,定義A/S協(xié)議內(nèi)容其中RcgCode為幀識(shí)別碼, 用來(lái)存放消息頭,統(tǒng)一設(shè)為“TPMASCOMM” ;CMD_MJ_CODE為主功能號(hào),主要用來(lái)存放不同類型的命令;CMD_MN_CODE為子功能號(hào),主要用來(lái)存放特定主功能號(hào)下的請(qǐng)求某一特定信息的命令;DataBuf主要用來(lái)存放軟硬件信息;DataBufLen主要用來(lái)存放軟硬件信息的長(zhǎng)度; Extension用來(lái)存放要擴(kuò)展的軟硬件信息;ExtensionLen用來(lái)存放要擴(kuò)展的軟硬件信息的長(zhǎng)度。
2.一種基于C/S模式移動(dòng)終端可信接入的方法,該方法包括以下步驟1)認(rèn)證服務(wù)器對(duì)移動(dòng)終端所在網(wǎng)絡(luò)發(fā)出組播信息,在核心網(wǎng)絡(luò)設(shè)備的支持下,網(wǎng)絡(luò)中各移動(dòng)終端通過(guò)組播信息可以檢測(cè)到認(rèn)證服務(wù)器;2)移動(dòng)終端要求接入無(wú)線網(wǎng)絡(luò)時(shí),認(rèn)證服務(wù)器請(qǐng)求移動(dòng)終端的軟硬件信息,該請(qǐng)求通過(guò)A/S協(xié)議進(jìn)行封包;3)認(rèn)證服務(wù)器將封包的內(nèi)容發(fā)送到移動(dòng)終端;4)移動(dòng)終端按照A/S協(xié)議對(duì)相應(yīng)的軟硬件信息進(jìn)行封包;5)移動(dòng)終端將封包的內(nèi)容發(fā)送到認(rèn)證服務(wù)器;6)認(rèn)證服務(wù)器對(duì)移動(dòng)終端發(fā)送過(guò)來(lái)的內(nèi)容進(jìn)行解析,從中提取出相應(yīng)的信息,并與 MySQL服務(wù)器中的數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行對(duì)比,完成信息驗(yàn)證;若認(rèn)證服務(wù)器驗(yàn)證成功,則移動(dòng)終端實(shí)現(xiàn)可信接入;若驗(yàn)證失敗,則拒絕移動(dòng)終端可信接入并顯示相應(yīng)信息。
3.一種基于C/S模式移動(dòng)終端可信管理方法,其特征在于包括合法用戶的可信管理和惡意者的可信管理,對(duì)合法的用戶可信管理,實(shí)現(xiàn)方法包括以下步驟(1)移動(dòng)終端向認(rèn)證服務(wù)器發(fā)送修改軟硬件信息的請(qǐng)求;(2)認(rèn)證服務(wù)器根據(jù)移動(dòng)終端的合法性回應(yīng)移動(dòng)終端,若移動(dòng)終端合法,則發(fā)送允許修改的信息,若不合法,則發(fā)送失敗的信息;(3)移動(dòng)終端接受到認(rèn)證服務(wù)器允許修改的信息后,將需要修改的軟硬件信息通過(guò)A/ S協(xié)議封裝協(xié)議包;(4)移動(dòng)終端與認(rèn)證服務(wù)器進(jìn)行通信,將A/S協(xié)議包進(jìn)行編碼后發(fā)送到服務(wù)器端;(5)認(rèn)證服務(wù)器接收到相應(yīng)的協(xié)議包,解碼后得到A/S協(xié)議包,并按照A/S協(xié)議解析出發(fā)生變更的相應(yīng)軟硬件信息;(6)服務(wù)器更新MySQL數(shù)據(jù)庫(kù)中存放相應(yīng)移動(dòng)終端軟硬件信息的內(nèi)容。
4.根據(jù)權(quán)利要求3所述的基于C/S模式移動(dòng)終端可信管理方法,其特征在于可信接入后,對(duì)惡意者修改移動(dòng)終端的軟硬件信息的管理,實(shí)現(xiàn)方法包括以下步驟3a)當(dāng)移動(dòng)終端已經(jīng)接入到網(wǎng)絡(luò)時(shí),若移動(dòng)終端有新硬件接入或者軟件的更新,移動(dòng)終端自動(dòng)偵測(cè)發(fā)生變更的軟硬件信息;3b)移動(dòng)終端按照A/S協(xié)議封裝發(fā)生變更的軟硬件信息;3c)移動(dòng)終端調(diào)用通信模塊將封包的內(nèi)容發(fā)送到認(rèn)證服務(wù)器;3d)認(rèn)證服務(wù)器接收移動(dòng)終端發(fā)送來(lái)的按照A/S協(xié)議進(jìn)行封裝的信息包;3e)認(rèn)證服務(wù)器搜索MySQL服務(wù)器中的數(shù)據(jù)庫(kù),得到與MySQL服務(wù)器中的數(shù)據(jù)庫(kù)中保存的該移動(dòng)終端的軟硬件信息不一致的結(jié)論,斷開(kāi)與移動(dòng)終端的連接。
全文摘要
本發(fā)明公開(kāi)了一種基于C/S模式的移動(dòng)終端可信接入兼管理系統(tǒng)及方法,屬網(wǎng)絡(luò)安全領(lǐng)域,本發(fā)明在現(xiàn)行的C/S模式中采用了A/S協(xié)議,A/S協(xié)議的數(shù)據(jù)幀不僅包含數(shù)據(jù)類型和長(zhǎng)度,還為擴(kuò)展預(yù)留了空間,方便擴(kuò)展要檢測(cè)的軟硬件信息,保證了交互過(guò)程的安全性。通過(guò)組播技術(shù)有效發(fā)現(xiàn)跨網(wǎng)段下各個(gè)移動(dòng)終端。對(duì)移動(dòng)終端可信接入件進(jìn)行地方軟硬件的認(rèn)證,還在可信接入后對(duì)移動(dòng)終端的軟硬件信息進(jìn)行在線偵測(cè)。從移動(dòng)終端自身及使用平臺(tái)構(gòu)成的層面上對(duì)移動(dòng)終端進(jìn)行驗(yàn)證,使惡意攻擊者無(wú)進(jìn)入移動(dòng)終端和網(wǎng)絡(luò)的途徑,保證了用戶信息和網(wǎng)絡(luò)資源的安全性。主要用于對(duì)移動(dòng)終端接入無(wú)線網(wǎng)絡(luò)時(shí)對(duì)移動(dòng)終端的軟硬件進(jìn)行驗(yàn)證以及接入后對(duì)移動(dòng)終端的可信管理。
文檔編號(hào)H04W12/06GK102291414SQ20111025757
公開(kāi)日2011年12月21日 申請(qǐng)日期2011年9月1日 優(yōu)先權(quán)日2011年9月1日
發(fā)明者孟憲佳, 岳盼, 張亮, 李興華, 楊力, 王一川, 蘆笛, 鄧晶晶, 郭朝輝, 馬建峰 申請(qǐng)人:西安電子科技大學(xué)