劉佳, 杜雪濤

（中國移動通信集團設計院有限公司，北京 100080）

1 背景介紹

隨著人們對無線網(wǎng)絡業(yè)務需求的增長，各種無線網(wǎng)絡的融合已經(jīng)成為網(wǎng)絡發(fā)展的大趨勢。無線網(wǎng)絡的業(yè)務類型也隨之豐富，為用戶提供了便利的信息共享平臺。與此同時，用戶的行為言論合法性、業(yè)務系統(tǒng)發(fā)布內(nèi)容的合法性等問題都伴隨網(wǎng)絡的發(fā)展凸顯出來。一方面，為了保證網(wǎng)絡的健康運行和業(yè)務的合法使用，對用戶采用了身份認證機制，但是惡意用戶的非法言論、網(wǎng)購信譽低等行為信任問題一直沒有得到約束和控制。另一方面，部分與運營商直接簽約合作的渠道方違反合同擅自發(fā)展了下游、下下游網(wǎng)站進行非法鏈接合作，這些下游、下下游網(wǎng)站中存在部分黃色WAP網(wǎng)站和發(fā)布低俗違法內(nèi)容的WAP網(wǎng)站，從而影響了網(wǎng)絡的健康運行和運營商的企業(yè)形象。現(xiàn)有的研究大多集中在用戶側(cè)行為的安全可信研究，但是上述問題都沒有得到有效的解決。

2 現(xiàn)有的無線網(wǎng)絡的接入框架

現(xiàn)有的無線網(wǎng)絡采用單一身份認證的網(wǎng)絡架構(gòu)，包括無線接入，接入控制，身份認證，接口網(wǎng)關和業(yè)務平臺。無線接入部分是用戶終端和核心網(wǎng)之間的部分，是終端用戶接入網(wǎng)絡的接口。接入控制主要是和身份認證模塊結(jié)合，控制用戶是否能夠繼續(xù)訪問后續(xù)業(yè)務。當用戶通過身份認證時，接入控制模塊允許終端用戶繼續(xù)訪問業(yè)務平臺，否則，終端用戶則無法訪問業(yè)務平臺。由此可見，終端用戶只有通過身份認證和不通過身份認證兩種狀態(tài)。

無線網(wǎng)絡的安全可信問題主要體現(xiàn)在用戶和業(yè)務系統(tǒng)是否安全可信?，F(xiàn)在的網(wǎng)絡中，用戶側(cè)和業(yè)務側(cè)都暴露出了嚴重的可信問題，包括用戶購物信譽低，發(fā)表違法言論，網(wǎng)站間的盜鏈，網(wǎng)站發(fā)布低俗、黃色內(nèi)容等。這既損害了廣大用戶的利益，也損壞了運營商的形象?，F(xiàn)網(wǎng)中采用用戶身份認證，這種單一認證模式下，網(wǎng)絡只能控制終端用戶是否可以接入，而對用戶利用網(wǎng)絡進行的一些非法行為無法控制，對業(yè)務內(nèi)容的合法性也無法實時監(jiān)控，對于用戶言論以及發(fā)布內(nèi)容處于“灰色地帶”的行為缺乏量化指標而無法明確處理。

3 雙向可信的網(wǎng)絡

針對以上提出的無線網(wǎng)絡中的大量用戶和大量WAP網(wǎng)站的安全可信問題，提出了一種基于用戶和業(yè)務的雙向安全可信框架。在雙向安全可信框架下，網(wǎng)絡可以對用戶和業(yè)務進行分級。根據(jù)業(yè)務對用戶的評價，計算用戶的信任值，并劃分用戶級別。根據(jù)不同的用戶信任級別，為用戶提供不同的網(wǎng)絡服務。對于信譽非常低的用戶可以拒絕其接入網(wǎng)絡訪問業(yè)務，而對于其他用戶則可以通過限制享受服務內(nèi)容來起到約束作用。同時，系統(tǒng)根據(jù)網(wǎng)絡的各種監(jiān)測信息，對業(yè)務平臺進行評價，得到業(yè)務平臺的信任值并劃分不同的級別。針對不同等級的業(yè)務，網(wǎng)絡能夠限制業(yè)務發(fā)布何種內(nèi)容，或者拒絕業(yè)務平臺使用網(wǎng)絡。整個過程無需人工參與，解決了以往方法的認證單一、時效性差的缺點。

3.1 雙向可信的安全網(wǎng)絡架構(gòu)

本文提出了一種基于用戶和業(yè)務信任分級的雙向可信的網(wǎng)絡架構(gòu)，如圖1所示。雙向可信的網(wǎng)絡架構(gòu)是在原有網(wǎng)絡架構(gòu)中加入了“信任計算分級模塊”和“管理平臺”。

信任計算分級模塊的功能包括用戶信任分級和業(yè)務信任分級，分別實現(xiàn)對用戶、業(yè)務的評價信息的采集，計算，分級和驗證。信任計算分級模塊需要從業(yè)務平臺，接口網(wǎng)關服務器等分別獲取用戶和業(yè)務信任值的原始數(shù)據(jù)，并和AAA服務器，接口網(wǎng)關服務器，業(yè)務平臺，管理平臺進行信任值信息的交互。

管理平臺的功能是為了運營商側(cè)能夠方便的設置終端用戶和業(yè)務平臺的信任門限，以決定終端用戶是否能夠訪問業(yè)務平臺和業(yè)務平臺是否能夠通過網(wǎng)絡發(fā)布自己的信息。管理平臺上還具有一些其它管理功能：查詢用戶日志，瀏覽用戶、業(yè)務信任值信息，統(tǒng)計業(yè)務平臺對用戶、網(wǎng)絡對業(yè)務平臺的一些評價反饋信息。管理平臺僅需要和信任計算分級模塊進行連接。

3.2 各個模塊間的信息交互

3.2.1 用戶身份認證模塊與信任分級模塊的交互

圖1 雙向可信的網(wǎng)絡架構(gòu)

AAA服務器中的“信任值判決模塊”調(diào)用“信任值查詢服務”，“信任值查詢服務”從數(shù)據(jù)庫中讀取身份認證門限值和用戶信任值。查詢結(jié)果反饋給AAA服務器中的信任值判決模塊進行判決。判決模塊根據(jù)查詢結(jié)果進行比較判決，將判決信息“True”或者“False”發(fā)送給AAA認證模塊，以決定用戶是否能夠通過身份信任驗證。如果是“True”，則允許用戶繼續(xù)訪問；如果是“False”，則拒絕用戶訪問，如圖2所示。

圖2 用戶身份認證模塊與其它模塊的交互情況

3.2.2 信任計算分級模塊各個組件的信息交互

如圖3所示，信任計算分級模塊中包含信任查詢服務、信任采集服務、信任計算服務和信任值數(shù)據(jù)庫。

信任采集服務主要由業(yè)務平臺、網(wǎng)絡接口網(wǎng)關、內(nèi)容審計設備、協(xié)議分析設備等設備調(diào)用，將量化的評價信息（業(yè)務平臺對用戶的評價信息或者網(wǎng)絡對業(yè)務平臺的評價信息）由信任采集服務寫入數(shù)據(jù)庫，作為數(shù)據(jù)庫中的信任值計算的原始數(shù)據(jù)。

信任值計算服務為定時觸發(fā)，周期性讀取數(shù)據(jù)庫中的信任值計算策略和信任值原始數(shù)據(jù)，并對信任值進行計算。由信任值計算服務計算得到的信任值更新數(shù)據(jù)庫中原有的信任值。因此，用戶或者業(yè)務的信任值不是靜態(tài)的，而是動態(tài)變化的，信任值隨著用戶或者業(yè)務的行為周期性更新，保證了信任值的準確性和時效性。

信任值查詢服務由信任值判決設備調(diào)用，這些設備包括AAA服務器，業(yè)務平臺和接口網(wǎng)關服務器等。通過信任值查詢服務，判決設備能夠獲取最新的用戶信任值和業(yè)務信任值，進而判決用戶是否繼續(xù)訪問業(yè)務和業(yè)務是否能夠繼續(xù)通過網(wǎng)絡發(fā)布自己的內(nèi)容。

數(shù)據(jù)庫是信任計算分級模塊中的重要組成部分。數(shù)據(jù)庫中存儲的信息包括用戶信任值原始數(shù)據(jù)，用戶信任值，業(yè)務信任值原始數(shù)據(jù)，業(yè)務信任值，信任值計算策略，用戶日志，用戶及業(yè)務列表等內(nèi)容。

圖3 信任計算分級模塊中3個服務和數(shù)據(jù)庫之間的信息交互

3.2.3 信任值判決、采集設備與信任計算分級模塊的信息交互

業(yè)務平臺、接口網(wǎng)關和其它信息采集設備，如內(nèi)容審計設備，協(xié)議分析設備等是信任計算分級模塊計算信任值的原始數(shù)據(jù)采集設備。

業(yè)務平臺根據(jù)用戶在業(yè)務平臺上的行為量化對用戶的評價，并將這些評價信息反饋給信任計算分級模塊，即業(yè)務平臺通過調(diào)用信任值采集服務，向信任計算分級模塊提供用戶信任評價的原始數(shù)據(jù)。信任值計算服務定期向數(shù)據(jù)庫讀取這些數(shù)據(jù)，計算得出用戶的信任值，并將新的信任值寫入數(shù)據(jù)庫中，作為更新后的用戶信任值。

接口網(wǎng)關、協(xié)議分析設備、內(nèi)容審計設備等是網(wǎng)絡側(cè)對業(yè)務提供評價數(shù)據(jù)的采集設備。接口網(wǎng)關或協(xié)議分析設備可以根據(jù)數(shù)據(jù)分組分析，讀取HTTP分組頭中的referer字段，進而判斷相應業(yè)務頁面上是否存在盜鏈；內(nèi)容審計設備則可以根據(jù)關鍵字監(jiān)測，發(fā)現(xiàn)業(yè)務平臺上是否有低俗、黃色內(nèi)容等違法信息。網(wǎng)絡側(cè)根據(jù)這些采集信息給對應的業(yè)務平臺作出量化的評價。評價數(shù)據(jù)作為運營商網(wǎng)絡對業(yè)務平臺進行信任評價的原始數(shù)據(jù)，根據(jù)這些數(shù)據(jù)信任計算分級模塊就可以計算業(yè)務的信任值。

業(yè)務平臺、接口網(wǎng)關和AAA同時也是信任值判決設備。AAA通過調(diào)用信任值查詢模塊從數(shù)據(jù)庫中讀取用戶的信任值和用戶接入業(yè)務的門限值，網(wǎng)絡判決用戶是否能夠通過身份信任認證，進而決定用戶是否繼續(xù)訪問業(yè)務平臺。業(yè)務平臺通過調(diào)用信任值查詢模塊從數(shù)據(jù)庫中讀取用戶的信任值，業(yè)務平臺自行設定各類服務的門限值，這些門限值即劃分用戶等級的閾值，據(jù)此判決用戶等級能夠訪問哪類業(yè)務。接口網(wǎng)關通過調(diào)用信任值查詢模塊從數(shù)據(jù)庫中讀取業(yè)務的信任值，根據(jù)設置業(yè)務登記閾值，網(wǎng)絡判決業(yè)務的信譽等級，進而決定業(yè)務平臺能否通過網(wǎng)絡發(fā)布內(nèi)容或者提供下級鏈接。

圖4 信任值判決和采集設備與信任計算分級模塊的信息交互

3.2.4 管理模塊與信任計算分級模塊的交互

管理模塊提供用戶管理，信任值管理，業(yè)務資源管理，用戶日志管理，信任計算策略管理。

圖5 管理模塊與信任計算分級模塊的交互

用戶管理主要維護用戶列表，能夠添加、刪除用戶。

信任值管理分為用戶信任值管理和業(yè)務信任值管理。用戶信任值管理能夠設定用戶接入信任門限，新用戶的初始信任值，用戶登陸業(yè)務初始門限值，用戶每次登陸業(yè)務平臺的信任評價值以及用戶的當前信任值。業(yè)務信任值管理能夠顯示每個業(yè)務的當前信任值，以及對業(yè)務評價的門限值。

業(yè)務資源管理主要維護與運營商簽約的業(yè)務列表，能夠添加、刪除業(yè)務。

圖6 用戶訪問業(yè)務流程

日志管理提供用戶登陸日志，管理員日志等。

信任計算策略管理主要是為管理員提供制定信任值計算策略的管理平面。通過定義信任值計算策略，能夠綜合考慮不同網(wǎng)絡、不同用戶、不同業(yè)務的實際需求，制定出具有時效性和綜合性的信任值評價策略。

3.3 用戶訪問業(yè)務流程

用戶通過雙向可信網(wǎng)絡框架的訪問流程如圖6所示，描述如下。

（1）用戶終端成功接入無線網(wǎng)絡后，在訪問業(yè)務系統(tǒng)前，需要通過GGSN接入；

（2）GGSN向AAA服務請求對用戶身份信任認證；

（3）AAA服務向信任計算分級模塊發(fā)起用戶信任值查詢請求，請求信息中含有用戶手機號碼；

（4）信任計算分級模塊根據(jù)用戶手機號碼查詢用戶當前信任值和系統(tǒng)設定的允許接入信任門限值（管理員通過管理平臺設定），并將查詢結(jié)果返回給AAA中的判決模塊。判決模塊根據(jù)查詢到的信任值和門限值來決定用戶是否可以訪問（數(shù)據(jù)）業(yè)務系統(tǒng)，AAA將判決結(jié)果反饋給GGSN，GGSN根據(jù)反饋結(jié)果允許訪問業(yè)務，或拒絕訪問業(yè)務；

（5）用戶通過 GGSN接入后，向接口網(wǎng)關發(fā)送訪問業(yè)務請求；

（6）接口網(wǎng)關向信任計算分級模塊查詢業(yè)務信任值和業(yè)務門限值（管理員通過管理平臺設定），請求信息中包含業(yè)務的鏈接地址。信任計算分級模塊根據(jù)鏈接地址查詢對應業(yè)務平臺的信任值和門限值，將查詢結(jié)果反饋給接口網(wǎng)關，接口網(wǎng)關根據(jù)查詢結(jié)果判決業(yè)務是否能夠通過網(wǎng)絡發(fā)布相關內(nèi)容；

（7）如果相關業(yè)務滿足信任要求，用戶可繼續(xù)訪問業(yè)務平臺；

（8）業(yè)務系統(tǒng)向信任計算分級模塊發(fā)起用戶信任值查詢請求。請求信息中含用戶賬號對應的手機號碼。在用戶具體業(yè)務操作前，業(yè)務系統(tǒng)需要獲取用戶信任值，來授權(quán)用戶享受相應的服務。信任計算分級模塊根據(jù)用戶手機號碼查詢用戶當前信任值，并返回給業(yè)務系統(tǒng)；

（9）業(yè)務系統(tǒng)根據(jù)查詢到的用戶信任值，對比系統(tǒng)設定的允許接入信任門限值（由業(yè)務平臺設定）。業(yè)務系統(tǒng)根據(jù)行為處理結(jié)果決定用戶是否繼續(xù)后面具體業(yè)務操作；

（10）業(yè)務操作：業(yè)務系統(tǒng)根據(jù)用戶信任值授權(quán)用戶操作相應的業(yè)務模塊。