專利名稱:一種安全狀態(tài)的評估方法�、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)及通信領(lǐng)域,特別是涉及一種安全狀態(tài)的評估方法�、裝置 及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)在全球的快速發(fā)展��,應(yīng)用層的安全威脅�����,比如病毒����,黑客攻擊 等層出不窮。這主要源于IP技術(shù)的開放架構(gòu)和其本身安全保護的缺乏��。網(wǎng)絡(luò)端點評估NEA (Network Endpoint Assessment)的目的是保護網(wǎng)絡(luò)不受來自不 安全網(wǎng)絡(luò)端點的威脅���。這些不安全網(wǎng)絡(luò)端點包括已經(jīng)被病毒感染或存在某些安 全漏洞的網(wǎng)絡(luò)端點�����。NEA體系中�����,網(wǎng)絡(luò)管理者通過設(shè)置在試圖接入網(wǎng)絡(luò)的網(wǎng)絡(luò)端點上的代理客 戶端����,收集該網(wǎng)絡(luò)端點的系統(tǒng)狀態(tài)信息并進行評估�,以及根據(jù)評估結(jié)果決定是 否允許該網(wǎng)絡(luò)端點接入網(wǎng)絡(luò)。若評估結(jié)果表明符合網(wǎng)絡(luò)安全策略��,則允許該網(wǎng) 絡(luò)端點接入網(wǎng)絡(luò)��。若評估結(jié)果表明不符合網(wǎng)絡(luò)安全策略�,則不允許該網(wǎng)絡(luò)端點 接入網(wǎng)絡(luò),同時還可以將更新途徑通知該網(wǎng)絡(luò)端點?�,F(xiàn)有技術(shù)中的一種網(wǎng)絡(luò)端點評估實現(xiàn)方式���,參見圖1所示���,包括下列步驟 1 、由網(wǎng)絡(luò)側(cè)的代理服務(wù)器向網(wǎng)絡(luò)端點中的代理客戶端發(fā)送查詢請求消息����, 該查詢請求消息中攜帶有需要代理客戶端提供的安全狀態(tài)信息��;2��、 代理客戶端通過查詢結(jié)果消息將相應(yīng)的安全狀態(tài)信息發(fā)送給代理服務(wù)哭��,6口 ����,3���、 代理服務(wù)器對查詢結(jié)果消息中攜帶的安全狀態(tài)信息進行評估�����,并根據(jù) 評估結(jié)果做出是否允許該網(wǎng)絡(luò)端點接入網(wǎng)絡(luò)的決定���;若允許該網(wǎng)絡(luò)端點接入網(wǎng)絡(luò),則直接通過授權(quán)/更新消息將評估授權(quán)決定發(fā)5給該網(wǎng)絡(luò)端點中的代理客戶端���;否則通過授權(quán)/更新消息將評估授權(quán)決定和更新途徑發(fā)給該網(wǎng)絡(luò)端點中的代理客戶端?��,F(xiàn)有技術(shù)中的另一種網(wǎng)絡(luò)端點評估實現(xiàn)方式����,參見圖2所示���,包括下列步驟1����、 由網(wǎng)絡(luò)側(cè)的代理服務(wù)器向網(wǎng)絡(luò)端點中的代理客戶端發(fā)送策略信息消息��, 代理服務(wù)器通過該消息將評估時所需要的安全策略發(fā)送到代理客戶端����;2���、 代理客戶端依據(jù)安全策略對其所屬的網(wǎng)絡(luò)端點的安全狀態(tài)進行評估�����, 并將評估結(jié)果消息發(fā)送到代理服務(wù)器��;3����、 代理服務(wù)器對該代理客戶端上報的評估結(jié)果進行分析,并做出是否允 許該網(wǎng)絡(luò)端點接入網(wǎng)絡(luò)的決定�����;若允許該網(wǎng)絡(luò)端點接入網(wǎng)絡(luò)�����,則直接通過授權(quán)/更新消息將評估授權(quán)決定發(fā) 給該網(wǎng)絡(luò)端點中的代理客戶端�;否則通過授權(quán)/更新消息將評估授權(quán)決定和更新 途徑發(fā)給該網(wǎng)絡(luò)端點中的代理客戶端。發(fā)明人在發(fā)明過程中發(fā)現(xiàn)��,上述兩種網(wǎng)絡(luò)端點評估實現(xiàn)方式中�,對安全狀 態(tài)的評估只是針對希望接入網(wǎng)絡(luò)的網(wǎng)絡(luò)端點,但無法向網(wǎng)絡(luò)端點保證其名大接入 的網(wǎng)絡(luò)是安全的���。發(fā)明內(nèi)容本發(fā)明實施例提供一種安全狀態(tài)的評估方法����、裝置及系統(tǒng)����,以實現(xiàn)通過安 全狀態(tài)評估過程,保證交互雙方均安全。本發(fā)明實施例的方法包括第一網(wǎng)絡(luò)實體接收來自第二網(wǎng)絡(luò)實體的對第一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息��;第 一 網(wǎng)絡(luò)實體根據(jù)所述請求消息向第 二網(wǎng)絡(luò)實體返回對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息��,向第二網(wǎng)絡(luò)實 體發(fā)送對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�����;第 一 網(wǎng)絡(luò)實體接收第二 網(wǎng)絡(luò)實體返回的安全狀態(tài)評估結(jié)果以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所 需的信息��;第一網(wǎng)絡(luò)實體根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第二網(wǎng)絡(luò)實體進行安全評估��,向第二網(wǎng)絡(luò)實體返回安全狀態(tài)評估授權(quán)決 定��。
本發(fā)明實施例的網(wǎng)絡(luò)實體��,包括接收單元���、反饋單元和安全狀態(tài)評估單 元;所述接收單元��,用于接收對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�����;接 收評估授權(quán)決定,以及進行安全狀態(tài)評估所需的信息���;所述反饋單元�,用于返 回對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息��,以及進行安全狀態(tài)評估的請求 消息���;返回安全狀態(tài)評估單元得出的評估授權(quán)決定���;所述安全狀態(tài)評估單元, 用于根據(jù)接收單元收到的進行安全狀態(tài)評估所需的信息����,進行安全評估。
本發(fā)明實施例的安全狀態(tài)的評估系統(tǒng)���,包括第一網(wǎng)絡(luò)實體和第二網(wǎng)絡(luò)實 體�;所述第一網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體進行信息交互���,相互進行安全狀態(tài)評估��, 根據(jù)安全狀態(tài)評估結(jié)果向?qū)Ψ椒祷卦u估授權(quán)決定�。
本發(fā)明實施例中,由于第 一網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體相互請求評估對端的 安全狀態(tài)��,并相互作出評估授權(quán)決定�,從而實現(xiàn)通過安全狀態(tài)評估過程,保證 交互雙方均安全����。
圖1為現(xiàn)有技術(shù)中的一種網(wǎng)絡(luò)端點評估實現(xiàn)方式的流程圖2為現(xiàn)有技術(shù)中的另 一種網(wǎng)絡(luò)端點評估實現(xiàn)方式的流程圖3為本發(fā)明實施例的方法步驟流程圖4為本發(fā)明實施例的網(wǎng)絡(luò)實體結(jié)構(gòu)示意圖5為本發(fā)明實施例的系統(tǒng)結(jié)構(gòu)示意圖6為本發(fā)明實施例1的流程圖7為本發(fā)明實施例2的流程圖8為本發(fā)明實施例3的流程圖9為本發(fā)明實施例4的流程圖。
具體實施例方式
為了實現(xiàn)通過安全狀態(tài)評估過程��,保證交互雙方均安全�����,在兩個網(wǎng)絡(luò)實體 間進行雙向的操作之前�,首先進行雙向的安全評估。每個網(wǎng)絡(luò)實體既能夠完成 針對對端的安全評估�����,也可以協(xié)助對端完成針對自己的安全評估��。通過這一機 制�,每個網(wǎng)絡(luò)實體都可以根據(jù)對將要與其進行各種操作的對端所進行的安全評 估��,來決定是否與該對端繼續(xù)進一步的交互。
因此�,本發(fā)明實施例提供了一種安全狀態(tài)的評估方法,參見圖3所示�,包
括下列主要步驟
51、 第一網(wǎng)絡(luò)實體接收來自第二網(wǎng)絡(luò)實體的對第一網(wǎng)絡(luò)實體進行安全狀態(tài) 評估的請求消息���。
其中�,所述對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括對第一網(wǎng) 絡(luò)實體安全狀態(tài)的查詢消息�����,或者對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略
的消息�����。
52���、 第一網(wǎng)絡(luò)實體根據(jù)所述請求消息向第二網(wǎng)絡(luò)實體返回對第一網(wǎng)絡(luò)實體 進行安全狀態(tài)評估所需的信息�����,向第二網(wǎng)絡(luò)實體發(fā)送對第二網(wǎng)絡(luò)實體進行安全 狀態(tài)評估的請求消息����。
其中,所述對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息包括第一網(wǎng)絡(luò) 實體的安全狀態(tài)信息��;或者根據(jù)所述對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策 略�,對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的評估結(jié)果。
所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括對第二網(wǎng)絡(luò)實體
安全狀態(tài)的查詢消息��,或者對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略的消 臺�����、
53���、 第一網(wǎng)絡(luò)實體接收第二網(wǎng)絡(luò)實體返回的安全狀態(tài)評估結(jié)果以及對第二 網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息����。
其中����,所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息包括第二網(wǎng)絡(luò) 實體的安全狀態(tài)信息;或者根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略�����,對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的評估結(jié)果�����。
若第二網(wǎng)絡(luò)實體返回的評估授權(quán)決定指示不允許第 一 網(wǎng)絡(luò)實體接入�����,則第 二網(wǎng)絡(luò)實體還可以返回更新安全狀態(tài)可采用的方式(更新途徑)����,使第一網(wǎng)絡(luò) 實體根據(jù)可采用的方式進行安全狀態(tài)更新,從而使第一網(wǎng)絡(luò)實體在進行安全狀 態(tài)更新之后與第二網(wǎng)絡(luò)實體的安全評估策略一致��。
S4�����、第一網(wǎng)絡(luò)實體根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息 對第二網(wǎng)絡(luò)實體進行安全評估�����,向第二網(wǎng)絡(luò)實體返回安全狀態(tài)評估授權(quán)決定�。
若第 一 網(wǎng)絡(luò)實體返回的評估授權(quán)決定指示不允許第二網(wǎng)絡(luò)實體接入,則第
實體根據(jù)可釆用的方式進行安全狀態(tài)更新��,從而使第二網(wǎng)絡(luò)實體在進行安全狀 態(tài)更新之后與第 一 網(wǎng)絡(luò)實體的安全評估策略一致��。
本發(fā)明實施例還提供了一種網(wǎng)絡(luò)實體,該網(wǎng)絡(luò)實體可為網(wǎng)路端點(如個 人計算機PC,移動終端等)���,也可為網(wǎng)絡(luò)側(cè)的服務(wù)器(如路由器����、網(wǎng)關(guān)或認 證服務(wù)器等)����。參見圖4所示,包括接收單元��、反饋單元和安全狀態(tài)評估單 元�����;進一步還可包括更新單元�。上述各個單元可以相互獨立,也可集成在一 起稱之為安全代理����。
所述接收單元,用于接收對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息����;接 收評估授權(quán)決定����,以及進行安全狀態(tài)評估所需的信息����;
所述反饋單元��,用于返回對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息��,以 及進行安全狀態(tài)評估的請求消息����;返回安全狀態(tài)評估單元得出的評估授權(quán)決 定。
所述安全狀態(tài)評估單元�,用于根據(jù)接收單元收到的進行安全狀態(tài)評估所需 的信息,進行安全評估���。
更新單元��,用于在安全狀態(tài)評估單元得出的評估授權(quán)決定指示不允許對端 接入時�����,返回包括更新安全狀態(tài)可采用的方式的消息��。
本發(fā)明實施例還提供了一種通信系統(tǒng)�,參見圖5所示,其包括第一網(wǎng)絡(luò)實體和第二網(wǎng)絡(luò)實體�����。
所述第 一 網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體進行信息交互��,相互進行安全狀態(tài)評 估��,根據(jù)安全狀態(tài)評估結(jié)果向?qū)Ψ椒祷卦u估授權(quán)決定�����。具體可通過網(wǎng)絡(luò)實體中 包含的安全代理進行信息交互�,完成對本端和對方的安全評估。
更為具體的�����,所述第一網(wǎng)絡(luò)實體可為網(wǎng)路端點(如PC,移動終端等)����,
也可為網(wǎng)絡(luò)側(cè)的服務(wù)器(如路由器����、網(wǎng)關(guān)或認證服務(wù)器等)����;所述第二網(wǎng)絡(luò) 實體可為網(wǎng)路端點(如PC,移動終端等),也可為網(wǎng)絡(luò)側(cè)的服務(wù)器(如路 由器�����、網(wǎng)關(guān)或認證服務(wù)器等)����。經(jīng)過組合����,所述系統(tǒng)可為非對等系統(tǒng)(即包含 網(wǎng)路端點和服務(wù)器);所述系統(tǒng)可為對等系統(tǒng)(即包含相互之間處于同等地位 的網(wǎng)路端點)���,例如點對點P2P傳輸系統(tǒng)�����,其中的各個網(wǎng)路端點既作為節(jié)點��, 又作為對端的服務(wù)器�。
所述第一網(wǎng)絡(luò)實體,用于接收第二網(wǎng)絡(luò)實體發(fā)來的對第一網(wǎng)絡(luò)實體進行安 全狀態(tài)評估的請求消息�����;向第二網(wǎng)絡(luò)實體返回對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評 估所需的信息��,以及向第二網(wǎng)絡(luò)實體發(fā)送對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的 請求消息�;接收第二網(wǎng)絡(luò)實體返回的評估授權(quán)決定以及對第二網(wǎng)絡(luò)實體進行安 全狀態(tài)評估所需的信息;根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信 息對第二網(wǎng)絡(luò)實體進行安全評估����,并向第二網(wǎng)絡(luò)實體返回評估授權(quán)決定;
所述第二網(wǎng)絡(luò)實體���,用于向第一網(wǎng)絡(luò)實體發(fā)出對第一網(wǎng)絡(luò)實體進行安全狀 態(tài)評估的請求消息�����;接收第一網(wǎng)絡(luò)實體發(fā)來的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評 估所需的信息�����,以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息��;根據(jù)所述 對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第一網(wǎng)絡(luò)實體進行安全評估���, 并向第一網(wǎng)絡(luò)實體返回評估授權(quán)決定�����,以及向第一網(wǎng)絡(luò)實體返回對第二網(wǎng)絡(luò)實 體進行安全狀態(tài)評估所需的信息���。
其中,網(wǎng)絡(luò)實體得出的評估授權(quán)決定指示不允許對端接入�,則該網(wǎng)絡(luò)實體 還返回更新安全狀態(tài)可釆用的方式。
其中����,第二網(wǎng)絡(luò)實體發(fā)出的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括對第一網(wǎng)絡(luò)實體安全狀態(tài)的查詢消息�,或者對第一網(wǎng)絡(luò)實體進行安全狀
態(tài)評估所用策略的消息;
第一網(wǎng)絡(luò)實體發(fā)出的對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括 對第二網(wǎng)絡(luò)實體安全狀態(tài)的查詢消息����,或者對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估 所用策略的消息。
其中����,第一網(wǎng)絡(luò)實體向第二網(wǎng)絡(luò)實體返回的對第一網(wǎng)絡(luò)實體進行安全狀態(tài) 評估所需的信息包括第一網(wǎng)絡(luò)實體的安全狀態(tài)信息���;或者第一網(wǎng)絡(luò)實體根據(jù) 所述對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略,對第一網(wǎng)絡(luò)實體進行安全狀
態(tài)評估的評估結(jié)果��;
第二網(wǎng)絡(luò)實體向第一網(wǎng)絡(luò)實體返回的對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估
所需的信息包括第二網(wǎng)絡(luò)實體的安全狀態(tài)信息�;或者第二網(wǎng)絡(luò)實體根據(jù)所述 對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略,對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評 估的評估結(jié)果��。
以下通過4個實施例具體描述����。
實施例1、兩個對等的網(wǎng)絡(luò)實體(例如兩個PC機)均采用查詢方式進 行安全評估�����。參見圖6所示����,包括下列步驟
1、 由網(wǎng)絡(luò)實體2中的安全代理2向網(wǎng)絡(luò)實體1中的安全代理l發(fā)送查詢 請求消息��,安全代理2在該查詢請求消息中攜帶有需要安全代理l提供的安全 狀態(tài)信息���。
2�����、 安全代理1將網(wǎng)絡(luò)實體1當前的安全狀態(tài)信息和針對網(wǎng)絡(luò)實體2的查 詢請求發(fā)送給安全代理2;
其中���,網(wǎng)絡(luò)實體l當前的安全狀態(tài)信息可攜帶于針對網(wǎng)絡(luò)實體2的查詢請 求消息中��;具體的可將安全狀態(tài)信息攜帶于查詢請求消息中的特定屬性字段 中�����。
若通過查詢請求響應(yīng)消息返回網(wǎng)絡(luò)實體1當前的安全狀態(tài)信息��,則可在該 查詢請求響應(yīng)消息中攜帶針對網(wǎng)絡(luò)實體2的查詢請求信息�����;具體的可將查詢請
ii求信息攜帶于查詢請求響應(yīng)消息中的特定屬性字段中�����。
也可通過兩條消息分別將網(wǎng)絡(luò)實體l當前的安全狀態(tài)信息和針對網(wǎng)絡(luò)實體 2的查詢請求信息發(fā)送給安全代理2。
3����、 安全代理2根據(jù)自身的策略對網(wǎng)絡(luò)實體1當前的安全狀態(tài)信息進行評 估�,并根據(jù)評估的結(jié)果做出是否允許網(wǎng)絡(luò)實體1與其繼續(xù)交互的決定����。
若允許網(wǎng)絡(luò)實體1與其繼續(xù)交互,則直接將評估授權(quán)決定和網(wǎng)絡(luò)實體2當 前的安全狀態(tài)信息發(fā)送到安全代理1;否則將評估授權(quán)決定��、網(wǎng)絡(luò)實體2當前
的安全狀態(tài)信息���,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安全代理1��。
其中����,評估授權(quán)決定和網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息可通過一條或兩條 消息發(fā)送到安全代理1�����。
4��、 安全代理1根據(jù)自身的策略對網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息進行評 估����,并根據(jù)評估的結(jié)果做出是否允許網(wǎng)絡(luò)實體2與其繼續(xù)交互的決定。
若允許網(wǎng)絡(luò)實體2與其繼續(xù)交互�,則直接將評估授權(quán)決定發(fā)送到安全代理 2;否則將評估授權(quán)決定��,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安 全代理2��。
實施例2�����、兩個非對等的網(wǎng)絡(luò)實體(例如網(wǎng)絡(luò)實體1為PC機�����,網(wǎng)絡(luò)實 體2為網(wǎng)絡(luò)側(cè)的服務(wù)器)均采用下發(fā)策略的方式進行安全評估����。參見圖7所示���, 包括下列步驟
1��、 由網(wǎng)絡(luò)實體2中的安全代理2向網(wǎng)絡(luò)實體1中的安全代理1發(fā)送策略 信息消息�,安全代理2通過該消息將安全代理1對網(wǎng)絡(luò)實體1進行安全狀態(tài)評 估所需的策略下發(fā)到安全代理1;即安全代理2將自身的策略下發(fā)到安全代理 1,要求安全代理1按照該策略進行安全狀態(tài)評估�。
2、 安全代理1根據(jù)安全代理2發(fā)來的策略對網(wǎng)絡(luò)實體1當前的安全狀態(tài) 信息進行評估���,并將評估結(jié)果和針對網(wǎng)絡(luò)實體2進行安全狀態(tài)評估所需的策略 發(fā)送給安全代理2;
其中�����,評估結(jié)果和針對網(wǎng)絡(luò)實體2進行安全狀態(tài)評估所需的策略通過一條或兩條消息發(fā)送���。3、 安全代理2分析安全代理1對網(wǎng)絡(luò)實體1做出的評估結(jié)果�,并做出是否允許網(wǎng)絡(luò)實體1與其繼續(xù)交互的決定;以及安全代理2根據(jù)安全代理1發(fā)來 的策略對網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息進行評估�。若允許網(wǎng)絡(luò)實體1與其繼續(xù)交互,則直接將評估授權(quán)決定和針對網(wǎng)絡(luò)實體2的評估結(jié)果發(fā)送到安全代理1;否則將評估授權(quán)決定�、針對網(wǎng)絡(luò)實體2的評 估結(jié)果,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安全代理l���。其中�,評估授權(quán)決定和針對網(wǎng)絡(luò)實體2的評估結(jié)果可通過一條或兩條消息 發(fā)送到安全代理1�����。4�、 安全代理1分析安全代理2對網(wǎng)絡(luò)實體2做出的評估結(jié)果,并做出是 否允許網(wǎng)絡(luò)實體2與其繼續(xù)交互的決定����。若允許網(wǎng)絡(luò)實體2與其繼續(xù)交互��,則直接將評估授權(quán)決定發(fā)送到安全代理 2;否則將評估授權(quán)決定��,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安 全代理2���。實施例3、兩個對等的網(wǎng)絡(luò)實體(例如兩個PC機)采用不同的安全評 估方式進行安全評估�����。參見圖8所示�����,包括下列步驟1����、 由網(wǎng)絡(luò)實體2中的安全代理2向網(wǎng)絡(luò)實體1中的安全代理1發(fā)送查詢 請求消息,安全代理2在該查詢請求消息中攜帶有需要安全代理1提供的安全 狀態(tài)信息����。2、 安全代理1將網(wǎng)絡(luò)實體1當前的安全狀態(tài)信息和針對網(wǎng)絡(luò)實體2進行 安全狀態(tài)評估所需的策略發(fā)送給安全代理2;其中��,網(wǎng)絡(luò)實體l當前的安全狀態(tài)信息和針對網(wǎng)絡(luò)實體2進行安全狀態(tài)評 估所需的策略通過一條或兩條消息發(fā)送。3�����、 安全代理2根據(jù)自身的策略對網(wǎng)絡(luò)實體1當前的安全狀態(tài)信息進行評 估����,并根據(jù)評估的結(jié)果做出是否允許網(wǎng)絡(luò)實體1與其繼續(xù)交互的決定�����;以及安 全代理2根據(jù)安全代理l發(fā)來的策略對網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息進行評估��。若允許網(wǎng)絡(luò)實體1與其繼續(xù)交互�����,則直接將評估^^權(quán)決定和針對網(wǎng)絡(luò)實體2的評估結(jié)果發(fā)送到安全代理1;否則將評估授權(quán)決定�、針對網(wǎng)絡(luò)實體2的評估結(jié)果,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安全代理1�。其中,評估授權(quán)決定和針對網(wǎng)絡(luò)實體2的評估結(jié)果可通過一條或兩條消息發(fā)送到安全代理1��。4��、安全代理1分析安全代理2對網(wǎng)絡(luò)實體2做出的評估結(jié)果,并做出是 否允許網(wǎng)絡(luò)實體2與其繼續(xù)交互的決定���。若允許網(wǎng)絡(luò)實體2與其繼續(xù)交互�,則直接將評估授權(quán)決定發(fā)送到安全代理 2;否則將評估授權(quán)決定�,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安 全代理2。實施例4����、兩個非對等的網(wǎng)絡(luò)實體(例如網(wǎng)絡(luò)實體1為PC才幾,網(wǎng)絡(luò)實示��,包括下列步驟1�、 由網(wǎng)絡(luò)實體2中的安全代理2向網(wǎng)絡(luò)實體1中的安全代理l發(fā)送策略 信息消息,安全代理2通過該消息將安全代理1對網(wǎng)絡(luò)實體1進行安全狀態(tài)評 估所需的策略下發(fā)到安全代理1;即安全代理2將自身的策略下發(fā)到安全代理 1,要求安全代理1按照該策略進行安全狀態(tài)評估���。2���、 安全代理1根據(jù)安全代理2發(fā)來的策略對網(wǎng)絡(luò)實體1當前的安全狀態(tài) 信息進行評估,并將評估結(jié)果和針對網(wǎng)絡(luò)實體2的查詢請求發(fā)送給安全代理2;其中�,針對網(wǎng)絡(luò)實體1的評估結(jié)果和針對網(wǎng)絡(luò)實體2的查詢請求通過一條 或兩條消息發(fā)送。3���、 安全代理2分析安全代理1對網(wǎng)絡(luò)實體1做出的評估結(jié)果���,并做出是 否允許網(wǎng)絡(luò)實體1與其繼續(xù)交互的決定�;若允許網(wǎng)絡(luò)實體1與其繼續(xù)交互�,則直接將評估授權(quán)決定和網(wǎng)絡(luò)實體2當 前的安全狀態(tài)信息發(fā)送到安全代理1;否則將評估授權(quán)決定、網(wǎng)絡(luò)實體2當前其中��,評估授權(quán)決定和網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息可通過一條或兩條 消息發(fā)送到安全代理1����。4�����、安全代理1根據(jù)自身的策略對網(wǎng)絡(luò)實體2當前的安全狀態(tài)信息進行評 估�,并根據(jù)評估的結(jié)果做出是否允許網(wǎng)絡(luò)實體2與其繼續(xù)交互的決定。若允許網(wǎng)絡(luò)實體2與其繼續(xù)交互��,則直接將評估授權(quán)決定發(fā)送到安全代理 2;否則將評估授權(quán)決定�����,以及更新安全狀態(tài)可采用的方式(可選)發(fā)送到安 全代理2�����。綜上所述,本發(fā)明實施例中���,第一網(wǎng)絡(luò)實體中的第一安全代理接收第二網(wǎng) 絡(luò)實體中的第二安全代理發(fā)來的請求對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估的消息����;第一安全代理向第二安全代理返回對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需 的信息���,并向第二安全代理發(fā)送請求對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的消 息����;第 一安全代理接收第二安全代理返回的評估授權(quán)決定以及對第二網(wǎng)絡(luò)實體 進行安全狀態(tài)評估所需的信息�����;第 一安全代理根據(jù)所述對第二網(wǎng)絡(luò)實體進行安 全狀態(tài)評估所需的信息對第二網(wǎng)絡(luò)實體進行安全評估��,并向第二安全代理返回 評估授權(quán)決定���。從而實現(xiàn)通過安全狀態(tài)評估過程�����,保證交互雙方均安全���。進一步�,若第一網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體非對等��,例如第一網(wǎng)絡(luò)實體為 PC機���,第二網(wǎng)絡(luò)實體為網(wǎng)絡(luò)側(cè)的服務(wù)器�,則不但可像現(xiàn)有技術(shù)那樣保證網(wǎng)絡(luò) 側(cè)的服務(wù)器的安全���,而且還可保證接入網(wǎng)絡(luò)的PC機的安全。進一步��,若第一網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體對等����,即系統(tǒng)由對等的網(wǎng)絡(luò)實體 組成(例如P2P系統(tǒng)),則其中任何一個網(wǎng)絡(luò)實體都可以作為另一個網(wǎng)絡(luò)實體 的客戶端和服務(wù)器�����,而且安全評估的策略也可以由各個網(wǎng)絡(luò)實體自行設(shè)置���?��;谶@種系統(tǒng)��,更需要交互雙方分別對對端進行安全評估�����。通過本發(fā)明的實施例����, 可保證每一對等網(wǎng)絡(luò)實體的安全���。明的精神和范圍����。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)�,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
權(quán)利要求
1、一種安全狀態(tài)的評估方法�����,其特征在于,包括下列步驟第一網(wǎng)絡(luò)實體接收來自第二網(wǎng)絡(luò)實體的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�����;第一網(wǎng)絡(luò)實體根據(jù)所述請求消息向第二網(wǎng)絡(luò)實體返回對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息�����,向第二網(wǎng)絡(luò)實體發(fā)送對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�;第一網(wǎng)絡(luò)實體接收第二網(wǎng)絡(luò)實體返回的安全狀態(tài)評估結(jié)果以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息;第一網(wǎng)絡(luò)實體根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第二網(wǎng)絡(luò)實體進行安全評估����,向第二網(wǎng)絡(luò)實體返回安全狀態(tài)評估授權(quán)決定。
2�����、 如權(quán)利要求1所述的方法��,其特征在于��,若所述評估授權(quán)決定指示不 允許對端接入����,則還返回更新安全狀態(tài)可采用的方式。
3�、 如權(quán)利要求1或2所述的方法,其特征在于����,所述對第一網(wǎng)絡(luò)實體進 行安全狀態(tài)評估的請求消息包括對第一網(wǎng)絡(luò)實體安全狀態(tài)的查詢消息,或者 對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略的消息�;所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括對第二網(wǎng)絡(luò)實體 安全狀態(tài)的查詢消息,或者對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略的消 息�。
4、 如權(quán)利要求1或2所述的方法�,其特征在于,所述對第一網(wǎng)絡(luò)實體進 行安全狀態(tài)評估所需的信息包括第一網(wǎng)絡(luò)實體的安全狀態(tài)信息�;或者根據(jù)所 述對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略,對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài) 評估的評估結(jié)果�����;所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息包括第二網(wǎng)絡(luò)實體的 安全狀態(tài)信息�����;或者根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略����,對 第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的評估結(jié)果��。
5����、 一種網(wǎng)絡(luò)實體�,其特征在于,包括接收單元����、反饋單元和安全狀態(tài) 評估單元;所述接收單元����,用于接收對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息;接 收評估授權(quán)決定�����,以及進行安全狀態(tài)評估所需的信息��;所述反饋單元�����,用于返回對該網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息����,以 及進行安全狀態(tài)評估的請求消息;返回安全狀態(tài)評估單元得出的評估授權(quán)決 定���;所述安全狀態(tài)評估單元����,用于根據(jù)接收單元收到的進行安全狀態(tài)評估所需 的信息�����,進行安全評估�。
6、 如權(quán)利要求5所述的實體�����,其特征在于�����,還包括更新單元�,用于在安全狀態(tài)評估單元得出的評估授權(quán)決定指示不允許對端 接入時����,返回包括更新安全狀態(tài)可采用的方式的消息��。
7�����、 如權(quán)利要求5或6所述的實體���,其特征在于����,該網(wǎng)絡(luò)實體類型包括 個人計算機�、路由器、網(wǎng)關(guān)或認證服務(wù)器��。
8���、 一種通信系統(tǒng)�����,其特征在于�����,包括第一網(wǎng)絡(luò)實體和第二網(wǎng)絡(luò)實體���; 所述第一網(wǎng)絡(luò)實體與第二網(wǎng)絡(luò)實體進行信息交互,相互進行安全狀態(tài)評估���,根據(jù)安全狀態(tài)評估結(jié)果向?qū)Ψ椒祷卦u估授權(quán)決定�����。
9���、 如權(quán)利要求8所述的系統(tǒng),其特征在于�,所述第一網(wǎng)絡(luò)實體,用于接 收第二網(wǎng)絡(luò)實體發(fā)來的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息��;向第二 網(wǎng)絡(luò)實體返回對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息���,以及向第二網(wǎng)絡(luò) 實體發(fā)送對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�����;接收第二網(wǎng)絡(luò)實體返 回的評估授權(quán)決定以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息�����;根據(jù)所 述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第二網(wǎng)絡(luò)實體進行安全評估�����,并向第二網(wǎng)絡(luò)實體返回評估授權(quán)決定�����;所述第二網(wǎng)絡(luò)實體����,用于向第一網(wǎng)絡(luò)實體發(fā)出對第一網(wǎng)絡(luò)實體進行安全狀 態(tài)評估的請求消息;接收第一網(wǎng)絡(luò)實體發(fā)來的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息�,以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息;根據(jù)所述對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第 一 網(wǎng)絡(luò)實體進行安全評估�, 并向第一網(wǎng)絡(luò)實體返回評估授權(quán)決定,以及向第一網(wǎng)絡(luò)實體返回對第二網(wǎng)絡(luò)實 體進行安全狀態(tài)評估所需的信息��。
10����、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于��,網(wǎng)絡(luò)實體得出的評估授權(quán)決 定指示不允許對端接入�,則該網(wǎng)絡(luò)實體還返回更新安全狀態(tài)可采用的方式����。
11、 如權(quán)利要求9或10所述的系統(tǒng)���,其特征在于���,第二網(wǎng)絡(luò)實體發(fā)出的 對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括對第一網(wǎng)絡(luò)實體安全狀態(tài) 的查詢消息,或者對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略的消息��;第 一 網(wǎng)絡(luò)實體發(fā)出的對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息包括 對第二網(wǎng)絡(luò)實體安全狀態(tài)的查詢消息��,或者對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估 所用策略的消息��。
12����、 如權(quán)利要求9或10所述的系統(tǒng),其特征在于�����,第一網(wǎng)絡(luò)實體向第二 網(wǎng)絡(luò)實體返回的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息包括第一網(wǎng)絡(luò) 實體的安全狀態(tài)信息;或者第一網(wǎng)絡(luò)實體根據(jù)所述對第一網(wǎng)絡(luò)實體進行安全狀 態(tài)評估所用策略�����,對第 一 網(wǎng)絡(luò)實體進行安全狀態(tài)評估的評估結(jié)果���;第二網(wǎng)絡(luò)實體向第一網(wǎng)絡(luò)實體返回的對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估 所需的信息包括第二網(wǎng)絡(luò)實體的安全狀態(tài)信息��;或者第二網(wǎng)絡(luò)實體根據(jù)所述 對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所用策略���,對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的評估結(jié)果。
13�、 如權(quán)利要求8所述的系統(tǒng),其特征在于����,該系統(tǒng)部署在P2P網(wǎng)絡(luò)中。全文摘要
本發(fā)明公開了一種安全狀態(tài)的評估方法�����、裝置及系統(tǒng),以實現(xiàn)通過安全狀態(tài)評估過程��,保證交互雙方均安全���。方法包括第一網(wǎng)絡(luò)實體接收來自第二網(wǎng)絡(luò)實體的對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息���;第一網(wǎng)絡(luò)實體根據(jù)所述請求消息向第二網(wǎng)絡(luò)實體返回對第一網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息,向第二網(wǎng)絡(luò)實體發(fā)送對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估的請求消息�����;第一網(wǎng)絡(luò)實體接收第二網(wǎng)絡(luò)實體返回的安全狀態(tài)評估結(jié)果以及對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息�;第一網(wǎng)絡(luò)實體根據(jù)所述對第二網(wǎng)絡(luò)實體進行安全狀態(tài)評估所需的信息對第二網(wǎng)絡(luò)實體進行安全評估����,向第二網(wǎng)絡(luò)實體返回安全狀態(tài)評估授權(quán)決定。
文檔編號H04L9/32GK101330401SQ20071012343
公開日2008年12月24日 申請日期2007年6月22日 優(yōu)先權(quán)日2007年6月22日
發(fā)明者位繼偉, 瀚 尹 申請人:華為技術(shù)有限公司