[发明专利]一种安全相关代理的安装方法及用于移动台的智能卡

说明书

技术领域

本发明属于通信领域，尤其涉及关联响应系统中，安全相关代理的安装方法，以及用于移动台的智能卡。

背景技术

目前，分组数据业务逐渐取代传统电路语音业务，移动运营商网络趋于网际协议(Internet Protocol，IP)化。在以TCP/IP协议栈为基础的因特网体系中，每个网络节点、每台主机、每个用户是平等的，存在着一点突破、全网瘫痪的危险。

随着病毒技术的迅速发展，使得当病毒大规模爆发时，网络中传输的大量数据流量是由病毒产生的垃圾数据和探测、攻击流量，造成了很大的资源浪费，严重影响了运营商的网络效率和安全，也对用户的移动台和业务产生了不利的影响和很大的安全威胁。

由于应用业务极大丰富，第三方应用服务提供商(Application ServiceProvider，ASP)逐渐增加，业务趋向增值服务和精细化经营。移动用户在获得更多样化的服务的同时，对自身和网络带来的安全风险也大大增加。例如由于用户身份失窃，企业有可能使自己的内部资源暴露给非授权用户，应用系统可能遭到破坏或被滥用或者应用服务质量下降甚至不可用。

相对而言，来自运营商网络内部的安全威胁容易管理和得到保障，而相应的移动台的病毒侵入却更容易，而且用户分布范围广泛，小的移动台因为资源有限导致防护能力较低下，而且也无法保证客户端都装有杀毒软件或防火墙等安全应用软件。即使客户端都安装安全应用软件，由于没有统一控制，用户很可能不能及时进行安全更新，造成系统漏洞或病毒库的过期等安全隐患。

传统标准第三代合作伙伴计划(3GPP)、无线局域网(Wireless Local AreaNetwork，WLAN)、全球微波互通接入(World Interoperability for MicrowaveAccess，WiMAX)等系统的安全机制已经保障了接入用户认证、业务传输安全等方面，但由于应用服务提供者和IP网络本身的开放性和安全漏洞，仍不足以应付层出不穷的来自应用层面的病毒等安全威胁。

在传统的有线网络领域，可信计算组织(Trusted Computing Group，TCG)组织提出的基于internet网络的可信网络互连架构(Trusted NetworkConnect，TNC)规范，提出了网络接入移动台的完整性概念，只有通过网络侧验证，符合服务网络安全策略的移动台才能接入网络。但同时，对于移动网络中的移动性、漫游、小移动台、移动台易丢失、无线空口连接的不可靠性等问题，其并没有针对性的考虑。参考X.1121中移动数据服务端到端的安全特性，移动网络注册用户的特有的服务特性也需要重新考虑，例如移动台(MobileStation，MS)中毒或误操作，往往造成不合理收费、性能下降等问题。另外，移动网络的移动台的机卡分离、独立的无线接入协议等问题，也都是有待考虑的。

安全攻击分为基于网络层的网络攻击和基于应用层的服务攻击两类，前者在网络连接建立阶段和应用服务之前进行攻击，后者则在网络连接建立后，在提供应用服务的过程中发起攻击。往往网络攻击以服务攻击为载体，攻击的目的是危害网络系统和服务系统。

为了从源头上对抗由不安全移动台带来的网络安全威胁，关联响应系统(Correlative Reacting System，CRS)提供了从网络接入控制到应用服务控制的多层安全控制手段，保护移动网络免受来自不安全移动台(即不符合网络指定的安全策略，例如有安全漏洞或感染病毒的移动台)的安全威胁。网络接入控制可以与应用服务控制相互补充，同时弥补应用服务控制的局限性，有效控制网络蠕虫、黑客攻击等基于复杂机制的安全风险。另一方面，通过应用服务控制，可以从源头上阻止针对特定服务的攻击带来的网络流量冲击，有效阻止病毒在网络中传播。

图1示出了现有CRS的体系结构和应用环境，主要包括移动台侧的安全相关代理(Security Correlative Agent，SCA)、网络侧的安全关联服务器(SecurityCorrelative Server，SCS)、网络侧的网络接入控制器(Network AccessControl/Controller，NAC)和应用服务控制器(Application ServiceControl/Controller，ASC)。SCA和SCS构成了CRS系统的核心。SCA和SCS通过Ic接口进行通信。同时，SCS通过Ics接口与公用陆地移动通信网(PublicLand Mobile Network，PLMN)中的其它网元通信，通过与它们之间的通信和交互，CRS系统提供对移动台的安全控制功能。