專利名稱:安全狀態(tài)評估方法�、網(wǎng)絡設備和網(wǎng)絡系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡技術領域,特別涉及一種安全狀態(tài)評估方法���、網(wǎng)絡設備和 網(wǎng)絡系統(tǒng)。
背景技術:
隨著網(wǎng)絡技術的不斷發(fā)展���,網(wǎng)絡規(guī)模越來越大���,網(wǎng)絡的應用也越來越廣泛���。 與此同時,網(wǎng)絡中出現(xiàn)的安全問題也越來越頻繁�,網(wǎng)絡安全形勢日趨嚴峻。而 用戶主機�、工作站、服務器等終端是網(wǎng)絡數(shù)據(jù)流的起點與終點���,也是網(wǎng)絡安全 事件產生的根源���。大量接入到網(wǎng)絡中的不安全終端不僅會成為被攻擊的對象, 還可能被攻擊者所利用����,成為病毒傳播、黑客攻擊的中間媒介����,進而嚴重影響 整個網(wǎng)絡的正常運行。因此���,必須從產生網(wǎng)絡安全隱患的源頭上解決不安全終 端帶來的網(wǎng)絡安全問題���。
可信計算組織(Trusted Computing Group, TCG )于2005年頒布了針對企 業(yè)網(wǎng)的可信網(wǎng)絡連接(Trusted Network Connect, TNC)標準�。TNC架構包括 接入請求者(Access Requestor, AR )���、策略執(zhí)行點(Policy Enforcement Point, PEP)�����、笨略決策點(Policy Decision Point, PDP )���、元凄t才居i方問點(Metadata Access Point, MAP )、流量控制器和傳感器���。當AR請求接入一個受保護的網(wǎng)絡�����, PDP根據(jù)網(wǎng)絡的安全策略配置完成對AR安全狀態(tài)信息的評估�,才艮據(jù)評估的結果 做出決策���。然后將這一決策傳給PEP,由PEP對AR的接入請求做出響應���。 在實現(xiàn)本發(fā)明的過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術中存在如下問題 在現(xiàn)有的TNC架構中,終端在請求接入網(wǎng)絡時�����,必須將自己的安全狀態(tài)信 息公布給網(wǎng)絡方��,由網(wǎng)絡方對所述安全狀態(tài)信息進^f亍評估��。因此�,采用TNC架
6構對終端進行安全狀態(tài)評估時,終端的隱私得不到保護�,終端的安全性低。
發(fā)明內容
一方面���,,本發(fā)明的實施例提供一種安全狀態(tài)評估方法��,該方法能夠充分保 護通信實體的隱私�����,增強通信實體的安全性�,提高安全狀態(tài)評估的靈活性。
本發(fā)明的實施例安全狀態(tài)評估方法采用以下技術方案 一種安全狀態(tài)評估方法���,包括
響應方接收來自請求方的通信請求��,以及所述請求方所信任評估者的信息;
根據(jù)所述評估者的信息�����,所述響應方或請求方確定雙方都信任的評估者��;
所述響應方獲取所述評估者對所述請求方的安全狀態(tài)評估結果����,所述安全 狀態(tài)評估結果由所述評估者根據(jù)來自請求通信實體的安全狀態(tài)信息獲?���。?br>
所述響應方根據(jù)所述評估結果對所述請求方的通信請求做出響應�。
本發(fā)明的實施例安全狀態(tài)評估方法,請求方和響應方協(xié)商確定評估者�����,由 詳估者根據(jù)請求方的安全狀態(tài)信息�����,對請求方進行評估����,響應方根據(jù)評估結果 對請求方做出響應。與現(xiàn)有技術相比�����,請求方不需要將自己的安全狀態(tài)信息公 布給響應方��,避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊�,充分保護 了通信實體的隱私,增強了通信實體的安全性���,提高了安全狀態(tài)評估的靈活性��。
另一方面�����,本發(fā)明的實施例提供一種網(wǎng)絡設備�����,該網(wǎng)絡設備能夠充分保護 通信實體的隱私��,增強通信實體的安全性����,提高安全狀態(tài)評估的靈活性。
本發(fā)明的實施例網(wǎng)絡設備采用以下技術方案
一種網(wǎng)絡設備����,包括
安全狀態(tài)信息獲取單元,用于獲取第一通信實體的安全狀態(tài)信息�����; 評估單元�����,用于才艮據(jù)所述安全狀態(tài)信息�����,對所述第一通信實體進行安全狀 態(tài)評估�����,將評估結果發(fā)送給與所述第一通信實體通信的第二通信實體,由所述第二通信實體根據(jù)所述評估結果對所述被評估的通信實體做出響應��。
本發(fā)明的實施例網(wǎng)絡設備����,安全狀態(tài)信息獲取單元獲取需要評估的通信實 體的安全狀態(tài)信息����,評估單元根據(jù)所述安全狀態(tài)信息,對第一通信實體進行安 全狀態(tài)評估�,并將評估結果發(fā)送給第二通信實體,由第二通信實體根據(jù)所述結 果對所述被評估的通信實體做出響應�。與現(xiàn)有技術相比,第一通信實體不需要 將自己的安全狀態(tài)信息公布給第二通信實體��,避免了由于安全狀態(tài)信息的泄漏 而導致自身受到攻擊�,充分保護了通信實體的隱私,增強了通信實體的安全性, 提高了 ^全狀態(tài)評估的靈活性���。
第三方面�,本發(fā)明的實施例提供一種網(wǎng)絡系統(tǒng)��,該網(wǎng)絡系統(tǒng)能夠充分保護 通信實體的隱私����,增強通信實體的安全性���,提高安全狀態(tài)評估的靈活性。
' 本發(fā)明的實施例網(wǎng)絡系統(tǒng)采用以下技術方案 一種網(wǎng)絡系統(tǒng)��,包括
請求方�����,用于向響應方請求建立通信�,將自己所信任評估者的信息告知響 應方;
響應方���,用于接收請求方發(fā)送來的評估者的信息��,根據(jù)所述評估者的信息, 確定雙方都信任的評估者���,獲取所述評估者對請求方的評估結果,根據(jù)所述評 估結果對請求方做出響應��;
評估者��,用于獲取請求方的安全狀態(tài)信息���,對請求方的安全狀態(tài)進行評估���, 得到評估結果��。
本發(fā)明的實施例網(wǎng)絡系統(tǒng)�,請求方和響應方協(xié)商確定評估者���,由評估者根 揚請求方的安全狀態(tài)信息,對請求方進行評估�����,響應方#>據(jù)評估結果對請求方 做出響應����。與現(xiàn)有技術相比,請求方不需要將自己的安全狀態(tài)信息公布給響應 方���,避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊�����,充分保護了通信實體的隱私�,增強了通信實體的安全性,提高了安全狀態(tài)評估的靈活性���。
第四方面���,本發(fā)明的實施例提供一種安全狀態(tài)評估方法,該方法能夠充分 保護通信實體的隱私����,增強通信實體的安全性,提高安全狀態(tài)評估的靈活性�����。
本發(fā)明的實施例安全狀態(tài)評估方法采用以下技術方案 一種安全狀態(tài)評估方法�����,包括
第二通信實體接收來自第一通信實體的通信請求����,以及第一通信實體所信 任評估者的信息;
根據(jù)第 一通信實體所信任評估者的信息�,第二通信實體或第 一通信實體確 定雙方都信任的第 一評估者和第二評估者;
第二通^實體獲取第 一評估者對第 一通信實體的評估結果,所述第 一評估 者對第一通信實體的評估結果由第一評估者根據(jù)來自第一通信實體的安全狀態(tài) 信息獲?���。?br>
第二通信實體根據(jù)所述評估結果對第 一通信實體做出響應����; 第一通信實體獲取第二評估者對第二通信實體的評估結果,所述第二評估
者對第二通信實體的評估結果由第二評估者才艮據(jù)來自第二通信實體的安全狀態(tài)
信息獲?��?;
第 一通信實體根據(jù)所述評估結果對第二通信實體做出響應�。 本發(fā)明的實施例安全狀態(tài)評估方法,第 一通信實體和第二通信實體協(xié)商確 定各自的評估者�����,每個評估者根據(jù)自己評估的通信實體的安全狀態(tài)信息�����,對該 通信實體進行評估�,兩通信實體根據(jù)評估結果對對側通信實體做出響應����。與現(xiàn) 有技術相比����,兩通信實體不需要將自己的安全狀態(tài)信息公布給對側通信實體, 避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊�,充分保護了通信實體的 隱私,增強了通信實體的安全性��,提高了安全狀態(tài)評估的靈活性�。第五方面���,本發(fā)明的實施例提供一種網(wǎng)絡系統(tǒng)�����,該網(wǎng)絡系統(tǒng)能夠充分保護 通信實體的隱私����,增強通信實體的安全性��,提高安全狀態(tài)評估的靈活性����。
— 本發(fā)明的實施例網(wǎng)絡系統(tǒng)采用以下技術方案 一種網(wǎng)絡系統(tǒng),包括
第-通信實體,用于向第二通信實體發(fā)送通信請求��,將自身所信任評估者 的信息告知第二通信實體�,獲取第二評估者對第二通信實體的評估結果,根據(jù) 所述評估結果對第二通信實體做出響應����;
-第二通信實體,用于接收來自第一通信實體的評估者的信息����,根據(jù)第一通 信實體所信任評估者的信息,確定雙方都信任的第一評估者和第二評估者�����,獲
取第一評估者對第一通信實體的評估結果�����,4艮據(jù)所述評估結果對第一通信實體 ^敝出響應��;
第一評估者�,用于獲取第一通信實體的安全狀態(tài)信息�,對第一通信實體的 安全狀態(tài)進行評估,得到評估結果;
第二評估者����,用于獲取第二通信實體的安全狀態(tài)信息,對第二通信實體的 安全狀態(tài)進行評估�����,得到評估結果����。
本發(fā)明的實施例網(wǎng)絡系統(tǒng),第一通信實體和第二通信實體協(xié)商確定各自的 評估者��,每個評估者根據(jù)自己評估的通信實體的安全狀態(tài)信息��,對該通信實體 %行評估��,兩通信實體根據(jù)評估結果對對側通信實體做出響應����。與現(xiàn)有技術相 比,兩通信實體不需要將自己的安全狀態(tài)信息公布給對側通信實體�����,避免了由 于安全狀態(tài)信息的泄漏而導致自身受到攻擊,充分保護了通信實體的隱私�,增 強了通信實體的安全性,提高了安全狀態(tài)評估的靈活性��。
圖l為本發(fā)明實施例提供的安全狀態(tài)評估方法流程圖����;圖2為本發(fā)明安全狀態(tài)評估方法實施例 一 流程圖; 圖3為本發(fā)明安全狀態(tài)評估方法實施例二流程圖�; 圖4為本發(fā)明實施例提供的另 一種安全狀態(tài)評估方法流程圖; 圖5為本發(fā)明安全狀態(tài)評估方法實施例三流程圖�����; 圖6為本發(fā)明實施例提供的網(wǎng)絡設備結構示意圖�; 圖7為本發(fā)明實施例提供的網(wǎng)絡系統(tǒng)結構示意圖; 圖8為本發(fā)明實施例^是供的另 一種網(wǎng)絡系統(tǒng)結構示意圖���。
具體實施例方式
為了解決現(xiàn)有技術中對終端進行評估時���,終端的隱私得不到保護的問題, 本發(fā)明的實施例提供一種安全狀態(tài)評估方法���、網(wǎng)絡i殳備和網(wǎng)絡系統(tǒng)��。
為使本發(fā)明技術方案的優(yōu)點更加清楚�,下面結合附圖和實施例對本發(fā)明作 詳細說明����。"
在以下本發(fā)明的所有實施例中,安全狀態(tài)信息包括通信實體所安裝操作系 統(tǒng)的版本信息���、補丁信息�����、防火墻版本信息���、殺毒軟件版本信息或瀏覽器版本 信息等。
在以下本發(fā)明的所有實施例中����,請求方、響應方����、通信實體的類型可以是 手機、PDA�����、計算機、服務器���、家用電器��,以及各種網(wǎng)絡設備(如網(wǎng)絡服務器或 者業(yè)務提供者或者應用服務器等)�、電子設備或計算機相關設備等��。
在以下本發(fā)明的所有實施例中�����,網(wǎng)絡的類型可以是移動網(wǎng)絡��、固定網(wǎng)絡����、 移動固定融合網(wǎng)絡,也可以是局域網(wǎng)��、城域網(wǎng)�、廣域網(wǎng),還可以是點對點網(wǎng)絡 (P2P)�����、客戶機/服務器架構的網(wǎng)絡(C/S)等���。
在以下本發(fā)明的所有實施例中����,通信請求可以是網(wǎng)絡各個層的通信請求�����, 包括物理層��、鏈路層的接入請求�����,以及應用層的業(yè)務或服務請求等�。本發(fā)明的實施例提供一種安全狀態(tài)評估方法,該方法能夠充分保護通信實 體的隱私����,增強通信實體的安全性,提高安全狀態(tài)評估的靈活性����。
如圖1所示�,安全狀態(tài)評估方法包括
步驟101:響應方接收來自請求方的通信請求�����,以及所述請求方所信任評估 者的信息����;所述通信請求和評估者的信息可以是封裝在同一消息中,也可以是 分別封裝發(fā)送����;
步驟102:根據(jù)所述評估者的信息,所述響應方或請求方確定雙方都信任的 評估者�;
響應方或請求方確定雙方都信任的評估者的過程可以是所述評估者的信 息包括多個可選的評估者,響應方從中選擇確定雙方都信任的評估者����;或者是, 響應方將自身所信任的評估者告知請求方��,請求方選擇雙方都信任的評估者�;
步驟103:所述響應方獲取所述評估者對所述請求方的安全狀態(tài)評估結果, 所述安全狀態(tài)評估結果由所述評估者根據(jù)來自請求方的安全狀態(tài)信息獲取���;
步驟104:所述響應方根據(jù)所述評估結果對所述請求方的通信請求做出響應�。
本發(fā)明的實施例安全狀態(tài)評估方法�����,請求方和響應方協(xié)商確定評估者���,由 評估者根據(jù)請求方的安全狀態(tài)信息,對請求方進行評估�,響應方根據(jù)評估結果 對請求方做出響應。與現(xiàn)有技術相比����,請求方不需要將自己的安全狀態(tài)信息公 布給響應方,避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊��,充分保護 了通信實體的隱私�,增強了通信實體的安全性,提高安全狀態(tài)評估的靈活性��。
下面結合具體實施例對所述安全狀態(tài)評估方法進行詳細介紹�����。
實施例一
在該實施例中,請求方A向響應方B請求網(wǎng)絡服務�,雙方協(xié)商之后,由B選擇雙方都信任的評估者C�����,評估者C對請求方A的安全狀態(tài)信息進行評估�。如圖2所 示,該實施例的具體實現(xiàn)過程包括以下步驟
步驟201:請求方A向響應方B請求網(wǎng)絡服務����,同時請求方A將自己所信任的 評估者C、 D����、 E的信息告知響應方B;
其中,所述網(wǎng)絡服務為網(wǎng)頁瀏覽���,或者接入由響應方B管理的一個網(wǎng)絡域����。
評估者的IP地址�、MAC地址�����、設備標識符等標識發(fā)給響應方B�。
步驟202:響應方B根據(jù)請求方A所信任的評估者C����、 D、 E的信息����,直接選擇
雙方都信任的評估者C;
步驟203:評估者C獲取請求方A的安全狀態(tài)信息��,并完成對請求方A的評估�; 其中,評估者C可以根據(jù)所述安全狀態(tài)信息��,按照自己的安全策略或者響應
方B的安全策略����,對所述請求方A進行實時評估;
或者�����,評估者C直接調用自己所存儲的對所述請求方A的評估結果。
步驟204:響應方B獲取評估者C對請求方A的評估結果�����;
其中��,響應方B可以直接向評估者C請求對請求方A的評估結果����;
或者,評估者C將評估結果發(fā)送給請求方A,請求方A將帶有評估者C標識的
評估結果發(fā)給響應方B�����。
步驟2G5:響應方B根據(jù)所述評估結果對請求方A做出響應����;
其中,所述響應方B對請求方A做出的響應為響應方B允許請求方A完全接
入網(wǎng)絡���,或者響應方B允許請求方A部分接入網(wǎng)絡�,或者響應方B拒絕請求方A接
入網(wǎng)絡����。
實施例二
在該實施例中���,請求方A向響應方B請求建立通信,雙方協(xié)商之后���,由A選擇雙方都信任的評估者C����,評估者C對請求方A的安全狀態(tài)信息進行評估�����。如圖3所 示�,該實施例的具體實現(xiàn)過程包括以下步驟 步驟301:與步驟201相同;
步驟302:響應方B將自身所信任的評估者C��、 D告知請求方A; 步驟303:請求方A選4奪雙方都信任的評估者C; 步驟304:與步驟203相同�; 步驟305:,與步驟204相同�����; 步驟306:與步驟205相同�。
因而�,利用本發(fā)明的實施例安全狀態(tài)評估方法���,能夠充分保護通信實體的 隱私�,增強了通信實體的安全性����,提高了安全狀態(tài)評估的靈活性�����。
本發(fā)明的實施例提供另外一種安全狀態(tài)評估方法,該方法能夠充分保護通 信實體的隱私�����,增強通信實體的安全性�,提高安全狀態(tài)評估的靈活性。
如圖4所示���,安全狀態(tài)評估方法包括
步驟401:第二通信實體接收來自第一通信實體的通信請求��,以及第一通信 實體所信任評估者的信息�����;
步驟402: 4艮據(jù)第一通信實體所信任評估者的信息��,第二通信實體或第一通 信實體確定雙方都信任的第一評估者和第二評估者;其中���,第一評估者負責對 第一通信實體作安全狀態(tài)評估�,第二評估者負責對第二通信實體作安全狀態(tài)評 估�����。
步驟403:第二通信實體獲取第一評估者對第一通信實體的評估結果���,所述 第一評估者對第一通信實體的評估結果由第一評估者根據(jù)來自第一通信實體的 安全狀態(tài)信息獲取����;
步驟404:第二通信實體根據(jù)所述評估結果對第一通信實體做出響應���;步驟405:第一通信實體獲取第二評估者對第二通信實體的評估結果�����,所述 第二評估者對第二通信實體的評估結果由第二評估者根據(jù)來自第二通信實體的
安全狀態(tài)信息獲?����。?br>
步驟406:第 一通信實體根據(jù)所述評估結果對第二通信實體做出響應���。
本發(fā)明的實施例安全狀態(tài)評估方法����,第一通信實體和第二通信實體協(xié)商確 定各自的評估者��,每個評估者根據(jù)自己評估的通信實體的安全狀態(tài)信息���,對該 通信實體進行評估�����,兩通信實體根據(jù)評估結果對對側通信實體做出響應����。與現(xiàn) 有技術相比��,兩通信實體不需要將自己的安全狀態(tài)信息公布給對側通信實體��, 避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊�,充分保護了通信實體的 隱私��,增強了通信實體的安全性,提高了安全狀態(tài)評估的靈活性��。
下面結合具體實施例對所述安全狀態(tài)評估方法進行詳細介紹��。
實施例三
在該實施例中����,需要通信的通信實體A和通信實體B都需要知道對方的評估 結果��,雙方協(xié)商確定通信實體A的評估者為評估者C,通信實體B的評估者為評估 者D��,由評估者C和評估者D分別完成對通信實體A和通信實體B的評估����,通信雙方 根據(jù)評估者給出的評估結果,對對方的請求做出響應����。如圖5所示,該實施例的 具體實現(xiàn)過程包括以下步驟
步驟501:通信實體A向通信實體B請求建立通信���,同時將通信實體A所信任 的評估者C�����、 D、 E的信息告知通信實體B;
其中�,通信實體A可以將評估者的名稱以列表的方式發(fā)給通信實體B,也可 以將評估者的IP地址、MAC地址�����、設備標識符等標識發(fā)給通信實體B。
步驟502:通信實體B將自己所信任的評估者C����、 D告知通信實體A;
步驟503:通信實體B選擇評估者D作為自己的評估者步驟504:通信實體A選擇評估者C作為自己的評估者;
步驟505:評估者C完成對通信實體A的評估����;
步驟506:評估者D完成對通信實體B的評估;
步驟507:通信實體B獲取評估者C對通信實體A的評估結果����;
其中,所述評估結果為評估者C根據(jù)通信實體A的安全狀態(tài)信息����,對通信實
體A進行評估獲取的結果;
或者�����,所述評估結果為評估者C存儲的對所述通信實體A的評估結果����。
步驟508:通信實體A獲取評估者D對通信實體B的評估結果;
其中�,所述評估結果為評估者D根據(jù)通信實體B的安全狀態(tài)信息,對通信實
體B進行評估獲取的結果;
或者�,所述評估結果為評估者D存儲的對所述通信實體B的評估結果。 步驟509:通信實體B根據(jù)評估者C對通信實體A的評估結果����,對通信實體A做
出響應;
步驟510:^通信實體A根據(jù)評估者D對通信實體B的評估結果�����,對通信實體B做 出響應���;
步驟511: A��、 B間完成雙向評估����,雙方建立通信���。
其中����,所述步驟503可以在步驟504之后執(zhí)行���;所述步驟505可以在步驟506 之后執(zhí)行�,或者步驟505和步驟506同時執(zhí)行�����;所述步驟507可以在步驟508之后 執(zhí)行�,或者步驟507和步驟508同時執(zhí)行;所述步驟509可以在步驟510之后執(zhí)行�����。
實施例四
在該實施例中��,需要通信的通信實體A和通信實體B都需要知道對方的評估 結果�,雙方協(xié)商之后,確定通信實體A和通信實體B的評估者為同一個評估者C����, 由評估者C完成對通信實體A和通信實體B的評估,通信雙方^4t評估者C給出的評估結果�,對對方的請求做出響應。該實施例的具體實現(xiàn)過程與實施例三類似���, 在此不再贅述���。
因而���,利用本發(fā)明的實施例安全狀態(tài)評估方法,能夠充分保護通信實體的 隱私��,增強了通信實體的安全性���,提高了通信實體安全狀態(tài)評估的靈活性�����。
本發(fā)明的實施例還提供一種網(wǎng)絡設備��,該網(wǎng)絡設備能夠充分保護通信實體 的隱私�,增強通信實體的安全性��,提高安全狀態(tài)評估的靈活性�。
其中,呵述網(wǎng)絡設備可以是計算機�、服務器,或者通過軟件實現(xiàn)���,網(wǎng)絡設 備可以部署在網(wǎng)絡層或應用層����。
如圖6所示�����,所述網(wǎng)絡設備包括
安全狀態(tài)信息獲取單元601���,用于獲取第一通信實體的安全狀態(tài)信息��;
評估單元602�,用于根據(jù)所述安全狀態(tài)信息�,對所述第一通信實體進行安全 狀態(tài)評估,將評估結果發(fā)送給與所述第一通信實體通信的第二通信實體��,由所 述第二通信實體根據(jù)所述評估結果對所述被評估的通信實體#文出響應���。
本發(fā)明的實施例網(wǎng)絡設備����,安全狀態(tài)信息獲取單元601獲取需要評估的通信 實體的安全狀態(tài)信息���,評估單元602根據(jù)所述安全狀態(tài)信息��,對第一通信實體進 行評估����,并將評估結果發(fā)送給第二通信實體,由第二通信實體根據(jù)所述結果對 所述被評估的通信實體做出響應����。與現(xiàn)有技術相比,第一通信實體不需要將自 己的安全狀態(tài)信息公布給第二通信實體���,避免了由于安全狀態(tài)信息的泄漏而導 致自身受到攻擊����,充分保護了通信實體的隱私�����,增強了通信實體的安全性���,提 高了安全狀態(tài)評估的靈活性�。
如圖6所示��,所述網(wǎng)絡設備還包括 -存儲單元603,用于存儲已評估過的通信實體的評估結果����。
因而����,^J用本發(fā)明的實施例網(wǎng)絡設備��,能夠充分保通信實體的隱私��,增強
17了通信實體的安全性���,提高了安全狀態(tài)評估的靈活性。
本發(fā)明的實施例還提供一種網(wǎng)絡系統(tǒng)�,該網(wǎng)絡系統(tǒng)能夠充分保護通信實體 的隱私,增強通信實體的安全性���,提高安全狀態(tài)評估的靈活性�����。
如圖7所示�����,所述網(wǎng)絡系統(tǒng)包括
請求方701,用于向響應方請求建立通信�,將自己所信任評估者的信息告知 響應方;
響應方702���,用于接收請求方發(fā)送來的評估者的信息��,才艮據(jù)所述評估者的信 息����,確定雙方都信任的評估者����,獲取所述評估者對請求方的評估結果,根據(jù)所 述評估結果對請求方做出響應���;
評估者703,用于獲取請求方的安全狀態(tài)信息�,對請求方的安全狀態(tài)進行評 估�,得到評估結果。
本發(fā)明的實施例網(wǎng)絡系統(tǒng)��,請求方和響應方協(xié)商確定評估者����,由所述評估 者根據(jù)請求方的安全狀態(tài)信息,對請求方進行評估,響應方4艮據(jù)評估結果對請 求方做出響應�。與現(xiàn)有技術相比,請求方不需要將自己的安全狀態(tài)信息公布給 響應方���,避免了由于安全狀態(tài)信息的泄漏而導致自身受到攻擊�����,充分保護了通 信實體的隱私�����,增強了通信實體的安全性,提高了安全狀態(tài)評估的靈活性���。
其中���,所述評估者703包括
存儲模塊704,用于存儲已評估過的請求方的評估結果��。
所述存儲模塊704中存儲有已評估過的請求方的評估結果��,請求方可以直接 從所述存儲模塊中獲取評估者對請求方的評估結果�����。
因而,利用本發(fā)明的實施例網(wǎng)絡系統(tǒng)�,能夠充分保護通信實體的隱私,增 強了通信實體的安全性��,提高了安全狀態(tài)評估的靈活性���。
本發(fā)明的實施例還提供另外一種網(wǎng)絡系統(tǒng)�����,該網(wǎng)絡系統(tǒng)能夠充分保護通信實體的隱私�,增強通信實體的安全性�,提高安全狀態(tài)評估的靈活性。
如圖8所示����,所述網(wǎng)絡系統(tǒng)包括
第一通信實體801,用于向第二通信實體發(fā)送通信請求��,將自身所信任評估 者的信息告知第二通信實體�����,獲取第二評估者對第二通信實體的評估結果,根 據(jù)所述評估結果對第二通信實體做出響應��;
第二通信實體802�,用于接收來自第一通信實體的評估者的信息,根據(jù)第一 通信實體所信任評估者的信息���,確定雙方都信任的第一評估者和第二評估者�����, 獲取第一評估者對第一通信實體的評估結果�,才艮據(jù)所述評估結果對第一通信實 體^f故出響應�����;"
第一評估者803�,用于獲取第一通信實體的安全狀態(tài)信息�����,對第一通信實體 的安全狀態(tài)進行評估�,得到評估結果;
第二評估者804����,用于獲取第二通信實體的安全狀態(tài)信息�,對第二通信實體 的安全狀態(tài)進行評估�,得到評估結果。
本發(fā)明的實施例網(wǎng)絡系統(tǒng)��,第一通信實體和第二通信實體協(xié)商確定各自的 評估者���,每個評估者根據(jù)自己評估的通信實體的安全狀態(tài)信息�����,對該通信實體 進行評估��,兩通信實體根據(jù)評估結果對對側通信實體做出響應���。與現(xiàn)有技術相 比,兩通信實體不需要將自己的安全狀態(tài)信息公布給對側通信實體�,避免了由 于安全狀態(tài)信息的泄漏而導致自身受到攻擊,充分保護了通信實體的隱私�����,增 強了通信實體的安全性��,提高了安全狀態(tài)評估的靈活性。 其中�����,所述第一評估者和第二評估者分別包括 存儲模塊805��,用于存儲已評估過的通信實體的評估結果���。 所述存儲模塊中存儲有已評估過的通信實體的評估結果����, 一側通信實體可 以直接從所述存儲;溪塊中獲取評估者對另 一側通信實體的評估結果���。因而���,利用本發(fā)明的實施例網(wǎng)絡系統(tǒng),能夠充分保護通信實體的隱私���,增 強了通信實體的安全性,提高了安全狀態(tài)評估的靈活性��。
本發(fā)明的所有實施例均可以適用于機場����、咖啡廳���、圖書館等場景中的臨時
終端的網(wǎng)絡接入服務。例如���,在機場中����,旅客的筆記本��、PDA等在請求接入機場
的網(wǎng)絡管理服務器前�,為了保護自己的隱私和安全,需要和機場的網(wǎng)絡管理服 務器協(xié)商確定雙方都信任的第三方評估者�����,由第三方評估者對旅客的筆記本�、
PDA等進行安全狀態(tài)評估;同樣��,機場的網(wǎng)絡管理服務器為了保護自己不受非法 接入用戶的攻擊�����,將會和旅客的筆記本、PDA等協(xié)商確定雙方都信任的第三方評 估者�,由第三方評估者對機場的網(wǎng)絡管理服務器進行安全狀態(tài)評估。其中�,所 述第三方評估者可以為網(wǎng)絡上的服務器等網(wǎng)絡設備。
以上所述��,僅為本發(fā)明實施例的具體實施方式
�����,但本發(fā)明實施例的保護范 圍并不局限于此����,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍 內,可輕易想到的變化或替換�,都應涵蓋在本發(fā)明的保護范圍之內。因此�����,本 發(fā)明實掩例的保護范圍應該以權利要求的保護范圍為準���。
20
權利要求
1、一種安全狀態(tài)評估方法��,其特征在于,包括響應方接收來自請求方的通信請求��,以及所述請求方所信任評估者的信息����;根據(jù)所述評估者的信息,所述響應方或請求方確定雙方都信任的評估者�����;所述響應方獲取所述評估者對所述請求方的安全狀態(tài)評估結果��,所述安全狀態(tài)評估結果由所述評估者根據(jù)來自請求方的安全狀態(tài)信息獲?���。凰鲰憫礁鶕?jù)所述評估結果對所述請求方的通信請求做出響應����。
2、 根據(jù)權利要求l所述的安全狀態(tài)評估方法���,其特征在于�,所述響應方或 請求方確定雙方都信任的評估者的步驟包括響應方根據(jù)請求方所信任評估者的信息���,選擇雙方都信任的評估者���;或者�, 響應方將自身所信任評估者的信息發(fā)送給請求方�,由請求方選擇雙方都信 任的評估者。
3����、 根據(jù)權利要求l所述的安全狀態(tài)評估方法,其特征在于���,所述安全狀態(tài) 評估結果由所述評估者根據(jù)來自請求方的安全狀態(tài)信息獲取的步驟包括評估者根據(jù)所述安全狀態(tài)信息對所述請求方進行評估�;或者�����, 評估者提取自身所存儲的對所述請求方的評估結果�����。
4��、 根據(jù)權利要求3所述的安全狀態(tài)評估方法,其特征在于�����,所述評估者根據(jù) 所述安全狀態(tài)信息對所述請求方進行評估的步驟包括評估者按照自身提供的策略����,根據(jù)所述安全狀態(tài)信息對所述請求方進行評 估���;或者���,評估者按照響應方提供的策略,根據(jù)所述安全狀態(tài)信息對所述請求方進行 評估����。
5、 根據(jù)權利要求l所述的安全狀態(tài)評估方法����,其特征在于,所述響應方獲 取所述評估者對所述請求方的安全狀態(tài)評估結果的步驟包括響應方向評估者請求對請求方的評估結果�����;或者,評估者將評估結果發(fā)送給請求方��,請求方將帶有評估者標識的評估結果發(fā) 纟會響應方����。
6、根據(jù)權利要求1至5中任一項所述的安全狀態(tài)評估方法�����,其特征在于���,所 迷安全狀態(tài)信息包括請求方所安裝操作系統(tǒng)的版本信息��、補丁信息����、防火墻版本信息����、殺毒軟 件版本信息或瀏覽器版本信息。
7����、 一種安全狀態(tài)評估方法�����,其特征在于�����,包括第二通信實體接收來自第一通信實體的通信請求,以及第一通信實體所信 任評估者的信息�����;根據(jù)第一通信實體所信任評估者的信息���,第二通信實體或第一通信實體確 定雙方都信任的第 一評估者和第二評估者��;第二通信實體獲取第 一評估者對第 一通信實體的評估結果����,所述第 一評估 者對第一通信實體的評估結果由第一評估者根據(jù)來自第一通信實體的安全狀態(tài) 信息獲?����?��; �,第二通信實體根據(jù)所述評估結果對第 一通信實體估文出響應;第 一通信實體獲取第二評估者對第二通信實體的評估結果���,所述第二評估者對第二通信實體的評估結果由第二評估者根據(jù)來自第二通信實體的安全狀態(tài)信息獲??�;第 一通信實體根據(jù)所述評估結果對第二通信實體做出響應��。
8����、 根據(jù)權利要求7所述的安全狀態(tài)評估方法,其特征在于�,所述第一評估 者對第一通信實體的評估結果由第一評估者根據(jù)來自第一通信實體的安全狀態(tài) 信息獲取的步驟包括第一評估者根據(jù)所述來自第一通信實體的安全狀態(tài)信息對第一通信實體進行評估;或者�����,第 一評傳者提取自身所存儲的對所述第 一通信實體的評估結果�����。
9�、 根據(jù)權利要求7所述的安全狀態(tài)評估方法��,其特征在于�����,所述第二評估 者對第二通信實體的評估結果由第二評估者根據(jù)來自第二通信實體的安全狀態(tài) 信息獲取的步驟包括第二評估者根據(jù)所述來自第二通信實體的安全狀態(tài)信息對第二通信實體進 行評估�����;或者��,第二評估者提取自身所存儲的對所述第二通信實體的評估結果。
10��、 一種網(wǎng)絡設備�,其特征在于,包括安全狀態(tài)信息獲取單元�,用于獲取第一通信實體的安全狀態(tài)信息; 評估單元���,用于4艮據(jù)所述安全狀態(tài)信息����,對所述第一通信實體進行安全狀 態(tài)評估��,將評估結果發(fā)送給與所述第一通信實體通信的第二通信實體,由所述 第二通信實體根據(jù)所述評估結果對所述被評估的通信實體做出響應���。
11�、 根據(jù)權利要求10所述的網(wǎng)絡設備�,其特征在于,所述網(wǎng)絡設備還包括 存儲單元���,用于存儲已評估過的通信實體的評估結果����。
12��、 一種網(wǎng)絡系統(tǒng)����,其特征在于,包括請求方����,用于向響應方請求建立通信,將自己所信任評估者的信息告知響 應方��;響^方����,用于接收請求方發(fā)送來的評估者的信息���,根據(jù)所述評估者的信息, 確定雙方都信任的評估者,獲取所述評估者對請求方的評估結果����,根據(jù)所述評 估結果對請求方做出響應;評估者����,用于獲取請求方的安全狀態(tài)信息,對請求方的安全狀態(tài)進行評估,得到評估結果�。
13、 根據(jù)權利要求12所述的網(wǎng)絡系統(tǒng)�����,其特征在于��,所述評估者包括 存儲模塊��,用于存儲已評估過的請求方的評估結果�����。
14�����、 一種網(wǎng)絡系統(tǒng)���,其特征在于�����,包括第一通信實體�,用于向第二通信實體發(fā)送通信請求�����,將自身所信任評估者 的信息告知第二通信實體��,獲取第二評估者對第二通信實體的評估結果��,根據(jù) 所述評估結果對第二通信實體做出響應�;第二通信實體,用于接收來自第一通信實體的評估者的信息��,根據(jù)第一通 信實體所信任評估者的信息,確定雙方都信任的第一評估者和第二評估者�����,獲 取第一評估者對第一通信實體的評估結果��,根據(jù)所述評估結果對第一通信實體 估支出響應�����;第一評估者��,用于獲取第一通信實體的安全狀態(tài)信息�,對第一通信實體的 安全狀態(tài)進行評估,得到評估結果���;第二評估者����,用于獲取第二通信實體的安全狀態(tài)信息�,對第二通信實體的 安全狀態(tài)進行評估����,得到評估結果。
15�、 根據(jù)權利要求14所述的網(wǎng)絡系統(tǒng)�,其特征在于����,所述第一評估者和第二 評估者包括,存儲模塊�,用于存儲已評估過的通信實體的評估結果。
全文摘要
本發(fā)明實施例公開了一種安全狀態(tài)評估方法�、網(wǎng)絡設備和網(wǎng)絡系統(tǒng)。本發(fā)明實施例提供的安全狀態(tài)評估方法�,包括響應方接收來自請求方的通信請求,以及所述請求方所信任評估者的信息���;根據(jù)所述評估者的信息����,所述響應方或請求方確定雙方都信任的評估者���;所述響應方獲取所述評估者對所述請求方的安全狀態(tài)評估結果����,所述安全狀態(tài)評估結果由所述評估者根據(jù)來自請求方的安全狀態(tài)信息獲?����。凰鲰憫礁鶕?jù)所述評估結果對所述請求方的通信請求做出響應�。本發(fā)明實施例適用于對通信實體進行安全狀態(tài)評估。
文檔編號H04L12/24GK101582810SQ200810097589
公開日2009年11月18日 申請日期2008年5月15日 優(yōu)先權日2008年5月15日
發(fā)明者任蘭芳, 劉夫萍, 瀚 尹, 科 賈 申請人:華為技術有限公司