一种双向安全可信的网络架构

刘佳, 杜雪涛

（中国移动通信集团设计院有限公司，北京 100080）

1 背景介绍

随着人们对无线网络业务需求的增长，各种无线网络的融合已经成为网络发展的大趋势。无线网络的业务类型也随之丰富，为用户提供了便利的信息共享平台。与此同时，用户的行为言论合法性、业务系统发布内容的合法性等问题都伴随网络的发展凸显出来。一方面，为了保证网络的健康运行和业务的合法使用，对用户采用了身份认证机制，但是恶意用户的非法言论、网购信誉低等行为信任问题一直没有得到约束和控制。另一方面，部分与运营商直接签约合作的渠道方违反合同擅自发展了下游、下下游网站进行非法链接合作，这些下游、下下游网站中存在部分黄色WAP网站和发布低俗违法内容的WAP网站，从而影响了网络的健康运行和运营商的企业形象。现有的研究大多集中在用户侧行为的安全可信研究，但是上述问题都没有得到有效的解决。

2 现有的无线网络的接入框架

现有的无线网络采用单一身份认证的网络架构，包括无线接入，接入控制，身份认证，接口网关和业务平台。无线接入部分是用户终端和核心网之间的部分，是终端用户接入网络的接口。接入控制主要是和身份认证模块结合，控制用户是否能够继续访问后续业务。当用户通过身份认证时，接入控制模块允许终端用户继续访问业务平台，否则，终端用户则无法访问业务平台。由此可见，终端用户只有通过身份认证和不通过身份认证两种状态。

无线网络的安全可信问题主要体现在用户和业务系统是否安全可信。现在的网络中，用户侧和业务侧都暴露出了严重的可信问题，包括用户购物信誉低，发表违法言论，网站间的盗链，网站发布低俗、黄色内容等。这既损害了广大用户的利益，也损坏了运营商的形象。现网中采用用户身份认证，这种单一认证模式下，网络只能控制终端用户是否可以接入，而对用户利用网络进行的一些非法行为无法控制，对业务内容的合法性也无法实时监控，对于用户言论以及发布内容处于“灰色地带”的行为缺乏量化指标而无法明确处理。

3 双向可信的网络

针对以上提出的无线网络中的大量用户和大量WAP网站的安全可信问题，提出了一种基于用户和业务的双向安全可信框架。在双向安全可信框架下，网络可以对用户和业务进行分级。根据业务对用户的评价，计算用户的信任值，并划分用户级别。根据不同的用户信任级别，为用户提供不同的网络服务。对于信誉非常低的用户可以拒绝其接入网络访问业务，而对于其他用户则可以通过限制享受服务内容来起到约束作用。同时，系统根据网络的各种监测信息，对业务平台进行评价，得到业务平台的信任值并划分不同的级别。针对不同等级的业务，网络能够限制业务发布何种内容，或者拒绝业务平台使用网络。整个过程无需人工参与，解决了以往方法的认证单一、时效性差的缺点。

3.1 双向可信的安全网络架构

本文提出了一种基于用户和业务信任分级的双向可信的网络架构，如图1所示。双向可信的网络架构是在原有网络架构中加入了“信任计算分级模块”和“管理平台”。

信任计算分级模块的功能包括用户信任分级和业务信任分级，分别实现对用户、业务的评价信息的采集，计算，分级和验证。信任计算分级模块需要从业务平台，接口网关服务器等分别获取用户和业务信任值的原始数据，并和AAA服务器，接口网关服务器，业务平台，管理平台进行信任值信息的交互。

管理平台的功能是为了运营商侧能够方便的设置终端用户和业务平台的信任门限，以决定终端用户是否能够访问业务平台和业务平台是否能够通过网络发布自己的信息。管理平台上还具有一些其它管理功能：查询用户日志，浏览用户、业务信任值信息，统计业务平台对用户、网络对业务平台的一些评价反馈信息。管理平台仅需要和信任计算分级模块进行连接。

3.2 各个模块间的信息交互

3.2.1 用户身份认证模块与信任分级模块的交互

图1 双向可信的网络架构

AAA服务器中的“信任值判决模块”调用“信任值查询服务”，“信任值查询服务”从数据库中读取身份认证门限值和用户信任值。查询结果反馈给AAA服务器中的信任值判决模块进行判决。判决模块根据查询结果进行比较判决，将判决信息“True”或者“False”发送给AAA认证模块，以决定用户是否能够通过身份信任验证。如果是“True”，则允许用户继续访问；如果是“False”，则拒绝用户访问，如图2所示。

图2 用户身份认证模块与其它模块的交互情况

3.2.2 信任计算分级模块各个组件的信息交互

如图3所示，信任计算分级模块中包含信任查询服务、信任采集服务、信任计算服务和信任值数据库。

信任采集服务主要由业务平台、网络接口网关、内容审计设备、协议分析设备等设备调用，将量化的评价信息（业务平台对用户的评价信息或者网络对业务平台的评价信息）由信任采集服务写入数据库，作为数据库中的信任值计算的原始数据。

信任值计算服务为定时触发，周期性读取数据库中的信任值计算策略和信任值原始数据，并对信任值进行计算。由信任值计算服务计算得到的信任值更新数据库中原有的信任值。因此，用户或者业务的信任值不是静态的，而是动态变化的，信任值随着用户或者业务的行为周期性更新，保证了信任值的准确性和时效性。

信任值查询服务由信任值判决设备调用，这些设备包括AAA服务器，业务平台和接口网关服务器等。通过信任值查询服务，判决设备能够获取最新的用户信任值和业务信任值，进而判决用户是否继续访问业务和业务是否能够继续通过网络发布自己的内容。

数据库是信任计算分级模块中的重要组成部分。数据库中存储的信息包括用户信任值原始数据，用户信任值，业务信任值原始数据，业务信任值，信任值计算策略，用户日志，用户及业务列表等内容。

图3 信任计算分级模块中3个服务和数据库之间的信息交互

3.2.3 信任值判决、采集设备与信任计算分级模块的信息交互

业务平台、接口网关和其它信息采集设备，如内容审计设备，协议分析设备等是信任计算分级模块计算信任值的原始数据采集设备。

业务平台根据用户在业务平台上的行为量化对用户的评价，并将这些评价信息反馈给信任计算分级模块，即业务平台通过调用信任值采集服务，向信任计算分级模块提供用户信任评价的原始数据。信任值计算服务定期向数据库读取这些数据，计算得出用户的信任值，并将新的信任值写入数据库中，作为更新后的用户信任值。

接口网关、协议分析设备、内容审计设备等是网络侧对业务提供评价数据的采集设备。接口网关或协议分析设备可以根据数据分组分析，读取HTTP分组头中的referer字段，进而判断相应业务页面上是否存在盗链；内容审计设备则可以根据关键字监测，发现业务平台上是否有低俗、黄色内容等违法信息。网络侧根据这些采集信息给对应的业务平台作出量化的评价。评价数据作为运营商网络对业务平台进行信任评价的原始数据，根据这些数据信任计算分级模块就可以计算业务的信任值。

业务平台、接口网关和AAA同时也是信任值判决设备。AAA通过调用信任值查询模块从数据库中读取用户的信任值和用户接入业务的门限值，网络判决用户是否能够通过身份信任认证，进而决定用户是否继续访问业务平台。业务平台通过调用信任值查询模块从数据库中读取用户的信任值，业务平台自行设定各类服务的门限值，这些门限值即划分用户等级的阈值，据此判决用户等级能够访问哪类业务。接口网关通过调用信任值查询模块从数据库中读取业务的信任值，根据设置业务登记阈值，网络判决业务的信誉等级，进而决定业务平台能否通过网络发布内容或者提供下级链接。

图4 信任值判决和采集设备与信任计算分级模块的信息交互

3.2.4 管理模块与信任计算分级模块的交互

管理模块提供用户管理，信任值管理，业务资源管理，用户日志管理，信任计算策略管理。

图5 管理模块与信任计算分级模块的交互

用户管理主要维护用户列表，能够添加、删除用户。

信任值管理分为用户信任值管理和业务信任值管理。用户信任值管理能够设定用户接入信任门限，新用户的初始信任值，用户登陆业务初始门限值，用户每次登陆业务平台的信任评价值以及用户的当前信任值。业务信任值管理能够显示每个业务的当前信任值，以及对业务评价的门限值。

业务资源管理主要维护与运营商签约的业务列表，能够添加、删除业务。

图6 用户访问业务流程

日志管理提供用户登陆日志，管理员日志等。

信任计算策略管理主要是为管理员提供制定信任值计算策略的管理平面。通过定义信任值计算策略，能够综合考虑不同网络、不同用户、不同业务的实际需求，制定出具有时效性和综合性的信任值评价策略。

3.3 用户访问业务流程

用户通过双向可信网络框架的访问流程如图6所示，描述如下。

（1）用户终端成功接入无线网络后，在访问业务系统前，需要通过GGSN接入；

（2）GGSN向AAA服务请求对用户身份信任认证；

（3）AAA服务向信任计算分级模块发起用户信任值查询请求，请求信息中含有用户手机号码；

（4）信任计算分级模块根据用户手机号码查询用户当前信任值和系统设定的允许接入信任门限值（管理员通过管理平台设定），并将查询结果返回给AAA中的判决模块。判决模块根据查询到的信任值和门限值来决定用户是否可以访问（数据）业务系统，AAA将判决结果反馈给GGSN，GGSN根据反馈结果允许访问业务，或拒绝访问业务；

（5）用户通过 GGSN接入后，向接口网关发送访问业务请求；

（6）接口网关向信任计算分级模块查询业务信任值和业务门限值（管理员通过管理平台设定），请求信息中包含业务的链接地址。信任计算分级模块根据链接地址查询对应业务平台的信任值和门限值，将查询结果反馈给接口网关，接口网关根据查询结果判决业务是否能够通过网络发布相关内容；

（7）如果相关业务满足信任要求，用户可继续访问业务平台；

（8）业务系统向信任计算分级模块发起用户信任值查询请求。请求信息中含用户账号对应的手机号码。在用户具体业务操作前，业务系统需要获取用户信任值，来授权用户享受相应的服务。信任计算分级模块根据用户手机号码查询用户当前信任值，并返回给业务系统；

（9）业务系统根据查询到的用户信任值，对比系统设定的允许接入信任门限值（由业务平台设定）。业务系统根据行为处理结果决定用户是否继续后面具体业务操作；

（10）业务操作：业务系统根据用户信任值授权用户操作相应的业务模块。