[发明专利]基于移动终端安全状态的移动通信网准入控制装置及方法

说明书

技术领域

本发明涉及一种基于移动终端安全状态的移动通信网准入控制装置及方法

背景技术

未来的3G移动终端将拥有处理能力更强的操作系统，更大的接入带宽，这些使得其能够进行丰富的数据和多媒体业务。然而，这种移动终端与互联网终端(PC)相互融合的趋势导致了未来的移动终端也将面临互联网终端所面临的安全威胁，类似于互联网上的病毒也将会是影响未来移动业务开展的重要因素。

目前针对移动网络的准入控制主要是根据用户是否有应用移动网络资源的能力(如是否拥有合法用户标志、是否拥有充足的话费余额、通讯信号是否满足QoS要求等条件)来实施对移动终端接入移动网络的准入控制，移动终端的安全状态并不作为实施准入控制的条件。

另一方面，3G网络中，移动终端数据能力增强，极有可能发生网络的蠕虫病毒(如邮件蠕虫)，占用大量网络资源。通常处理这种情况的方法是在蠕虫病毒发生后，在通过采用病毒过滤的方法，防止病毒的扩散。目前在移动通信网络中，还没有一种在病毒等灾害发生初期，能够及时发现病毒源，并迅速防止灾害扩散的具体实现方法。

发明内容

针对现有技术存在的缺陷和不足，本发明提供一种基于移动终端安全状态的移动通信网准入控制装置及方法，能够有效防止不安全的移动终端接入移动网络，降低网络受病毒等威胁的影响，保护移动网络资源，保证正常移动业务的开展。

为了达到上述发明目的，本发明基于移动终端安全状态的移动通信网准入控制方法，包括以下步骤：

(1)安全代理收集移动终端的安全信息，并将所述安全信息通过移动网络接入控制设备发送给终端安全状态评估服务器；

(2)终端安全状态评估服务器根据所述安全信息对该移动终端的安全状态进行评估，并将该移动终端的安全状态评估结果发送给准入策略服务器；

(3)准入策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略，并将该准入控制策略发送给移动网络接入控制设备；

(4)移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。

上述的基于移动终端安全状态的移动通信网准入控制方法中，所述步骤(4)之后还包括：

(5)安全代理将收集到的移动终端当前流量信息通过移动网络接入控制设备上传给终端安全状态评估服务器；

(6)如果终端安全状态评估服务器对该移动终端的安全状态评估结果为“正常状态”，步骤结束；如果终端安全状态评估服务器的对该移动终端的安全状态评估结果为“危险状态”，则发送“危险状态”标识给准入策略服务器；

(7)准入策略服务器根据“危险状态”标识，生成针对该移动终端的准入控制策略，并通知移动网络接入控制设备执行准入控制操作。

其中，所述步骤(5)中安全代理定期将收集到的移动终端当前流量信息通过移动网络接入控制设备上传给终端安全状态评估服务器。

与上一段并列的另一种方案为，所述步骤(5)中安全代理收集移动终端网络流量异常时的流量信息，并将该流量信息通过移动网络接入控制设备上传给终端安全状态评估服务器。

进一步的，所述准入控制策略包括：

允许策略：允许移动终端接入移动网络，并使用全部网络资源；

警告策略：允许移动终端接入移动网络，并向该移动终端发送相关安全警告信息，并建议该移动终端进行更新或升级；

隔离策略：只允许移动终端使用移动语音业务；

拒绝策略：拒绝该移动终端的接入。

一种基于移动终端安全状态的移动通信网准入控制装置，包括：

安全代理：安装于移动终端中，用于收集移动终端的安全信息；

移动网络接入控制设备：处于移动网络边界，用于控制移动终端进入移动网络，以及移动终端与移动网络内各设备的通信转接；

终端安全状态评估服务器：处于移动网络内，对移动终端的安全状态信息进行安全状态评估，生成移动终端安全状态评估结果；

准入策略服务器：处于移动网络内，根据移动终端安全状态评估结果生成该移动终端准入控制策略；

其中，安全代理收集移动终端的安全信息，并将所述安全信息通过移动网络接入控制设备发送给终端安全状态评估服务器，终端安全状态评估服务器根据所述安全信息对该移动终端的安全状态进行评估，并将该移动终端的安全状态评估结果发送给准入策略服务器，准入策略服务器跟据移动终端安全状态评估结果生成该移动终端准入控制策略，并将该准入控制策略发送给移动网络接入控制设备，移动网络接入控制设备按照该准入控制策略控制移动终端进入移动网络。