技術領域

本發(fā)明屬于融合泛在網(wǎng)安全感知領域，特別是一種融合泛在網(wǎng)多層次安全感知組件的設計方法。?

背景技術

隨著移動通信網(wǎng)絡的不斷發(fā)展，無線接入技術、終端技術、網(wǎng)絡技術和業(yè)務平臺技術正向異構化、多樣化和泛在化趨勢發(fā)展。泛在終端的多樣性，為異構終端之間的認證和安全可靠訪問提出了挑戰(zhàn)。泛在網(wǎng)絡具有無所不在的特性，意味著非法終端可以更容易地向網(wǎng)絡發(fā)起入侵和攻擊。因此，需要針對泛在終端的異構、輕量等特性，對認證、訪問控制、數(shù)據(jù)安全傳輸和共享、互操作控制等問題進行研究，為網(wǎng)絡和應用提供安全保證。?

自2004年MUSE提出以來，世界各地對移動泛在網(wǎng)絡的安全問題進行了很多研究。在國際范圍內(nèi)，歐盟的信息社會技術(IST)系列研究項目最具代表性。IST從整體性的高度對未來可能出現(xiàn)的泛在智能、異構網(wǎng)絡協(xié)同工作進行了系統(tǒng)的部署。IST在B3G框架下設置了20多個大型項目，進行全方位多角度的研究。其中，在“Ambient?Networks”項目中提出了移動泛在網(wǎng)絡的安全需求，具體可以概括為19條安全需求和6個安全目標。目前，該項目已經(jīng)在部分領域取得了一定成果，例如，在身份認證的密鑰管理方面，提出了利用分層式的密鑰管理方法;在多用戶、多網(wǎng)絡的接人認證方面，提出了組安全認證要求，但都沒有具體的實現(xiàn)方案。?

日本和韓國對移動泛在網(wǎng)絡的安全問題也展開研究。自日本野村綜合研究所提出“泛在網(wǎng)絡”概念以來，該思想在日本得到了廣泛的研究和應用，并衍生出“泛在網(wǎng)絡社會”的概念。而促進泛在網(wǎng)絡的發(fā)展，最重要的是創(chuàng)建一個讓服務使用者放心且安全的環(huán)境，使其能夠隨時、隨地、方便地通過網(wǎng)絡來處理任何事情。在移動泛在網(wǎng)絡的安全機制研究中，日本還研究了服務提供者對服務使用者不同業(yè)務的認證技術。服務使用者利用一個類似客戶識別模塊(SIM)卡存放所有的異構網(wǎng)絡認證身份時需要的信息，當使用某服務時，從SIM卡中提取對應的認證信息則可以通過身份驗證。但該設計存在缺陷，即SIM卡一旦丟失，將會失去所有的身份認證信息。此外，日韓也提出了一些移動泛在網(wǎng)絡的安全基本需求，但并未提出具體的解決方案。?

發(fā)明內(nèi)容

本發(fā)明的目的在于為解決移動泛在網(wǎng)的安全得不到保障，而提供的一種融合泛在網(wǎng)多層次安全感知組件的設計方法。?

實現(xiàn)本發(fā)明目的的技術解決方案為：一種融合泛在網(wǎng)多層次安全感知組件的設計方法。該組件用JavaMIDP2.0來開發(fā)安全引擎，MIDP2.0支持端到端的安全模型，可以對傳輸?shù)臄?shù)據(jù)進行加密。MIDP2.0通過安全域來確保未授權的MIDlet套件無法訪問受權限控制的數(shù)據(jù)、應用程序以及其他網(wǎng)絡和設備資源，該機制可以確保通用的移動終端設備通過自動加載專用的安全引擎而構成無線網(wǎng)絡專用的安全產(chǎn)品。安全感知組件可以實現(xiàn)融合泛在網(wǎng)終端漏洞的自動修復和安全引擎自動加載技術。?

安全感知組件的框架包括事件處理、上下文感知服務、安全態(tài)勢決策管理、數(shù)據(jù)管理、安全決策引擎和服務管理。?

融合泛在網(wǎng)多層次安全感知組件的設計方法，包含以下七個步驟：?

第一步，用戶向受保護資源提出訪問請求；

第二步，受保護資源將用戶的訪問請求轉發(fā)給安全決策引擎；

第三步，安全決策引擎根據(jù)本次請求，向基本可信度分配的“系統(tǒng)終端安全態(tài)勢模型”請求分析安全態(tài)勢，安全態(tài)勢模型返回分析結果給安全決策引擎；

第四步，安全決策引擎向安全策略數(shù)據(jù)庫查詢相關安全策略，如訪問控制策略，安全策略數(shù)據(jù)庫根據(jù)主體和資源的標志，返回相應的安全策略；

第五步，感知安全決策引擎需要向上下文服務器查詢與此次安全策略評估相關的上下文，上下文服務器返回獲得的安全上下文給決策引擎，把上下文作為安全策略中的角色或權限的約束條件，以實現(xiàn)動態(tài)的角色或權限賦予；

第六步，安全決策引擎進行策略和安全態(tài)勢綜合評估，然后將評估結果回應給應用程序；

第七步，受保護資源依據(jù)該響應，允許或拒絕用戶的訪問。

所述的步驟六中安全態(tài)勢分析按照以下步驟進行：?

第一步，列出所有可能的命題通過監(jiān)控器把觀測數(shù)據(jù)從觀測空間變換到證據(jù)空間，對每一種評估結果分配一個概率賦值，產(chǎn)生對命題的基本可信度分配；

第二步：將所述的基本可信度結果傳送到證據(jù)合成模塊，根據(jù)Dempster組合規(guī)則計算各個命題組合后的概率賦值和相應的信任度空間；

第三步：對本地子域監(jiān)控器提供的證據(jù)進行分析，計算綜合概率賦值和信任度空間，判斷出系統(tǒng)當前安全態(tài)勢。