專利名稱:評(píng)估網(wǎng)絡(luò)側(cè)安全狀態(tài)的方法和安全認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種評(píng)估網(wǎng)絡(luò)側(cè)安全狀態(tài)的方法��,特別是一種網(wǎng)絡(luò)端點(diǎn)對(duì)網(wǎng)
絡(luò)側(cè)安全狀態(tài)進(jìn)行評(píng)估的方法��;本發(fā)明又涉及一種接入網(wǎng)絡(luò)的方法��,特別是 一種基于雙向安全認(rèn)證的網(wǎng)絡(luò)側(cè)絡(luò)的方法�;本發(fā)明還涉及一種安全認(rèn)證系統(tǒng), 特別是一種網(wǎng)絡(luò)端點(diǎn)和網(wǎng)絡(luò)側(cè)之間能夠雙向安全認(rèn)證的系統(tǒng)����,屬于網(wǎng)絡(luò)技術(shù) 領(lǐng)域。
背景技術(shù):
隨著互聯(lián)網(wǎng)在全球的快速發(fā)展���,互聯(lián)網(wǎng)上的病毒�、黑客攻擊等層出不窮��, 給互聯(lián)網(wǎng)應(yīng)用層上的安全帶來(lái)越來(lái)越多的威脅���。這些威脅的主要原因來(lái)自于 網(wǎng)際協(xié)-議(Internet Protocol,以下簡(jiǎn)稱IP ):技術(shù)的開(kāi)i文架構(gòu)和其本身安 全保護(hù)手l殳的缺乏����。網(wǎng)絡(luò)端點(diǎn)評(píng)估(Network Endpoint Assessment,以下簡(jiǎn) 稱NEA)的目的是保護(hù)網(wǎng)絡(luò)不受那些來(lái)自不安全的網(wǎng)絡(luò)節(jié)點(diǎn)的威脅���。這些不 安全的網(wǎng)絡(luò)節(jié)點(diǎn)包括已經(jīng)被病毒感染或存在某些安全漏洞的節(jié)點(diǎn)���。
在NEA體系中,網(wǎng)絡(luò)管理者通過(guò)設(shè)置在試圖接入網(wǎng)絡(luò)的網(wǎng)絡(luò)端點(diǎn)上的代理 客戶端��,收集該網(wǎng)絡(luò)端點(diǎn)的系統(tǒng)狀態(tài)信息����,并對(duì)其進(jìn)行評(píng)估,考察這些網(wǎng)絡(luò) 端點(diǎn)與網(wǎng)絡(luò)安全策略的符合程度��。然后根據(jù)對(duì)某個(gè)網(wǎng)絡(luò)端點(diǎn)的評(píng)估結(jié)果來(lái)確 定是否允許該網(wǎng)絡(luò)端點(diǎn)接入網(wǎng)絡(luò)��。為了維護(hù)網(wǎng)絡(luò)的安全����,只有那些符合網(wǎng)絡(luò) 安全策略要求的網(wǎng)絡(luò)端點(diǎn)才被允許接入網(wǎng)絡(luò)���。對(duì)于不符合網(wǎng)絡(luò)安全策略要求 的網(wǎng)絡(luò)端點(diǎn),網(wǎng)絡(luò)管理者不允許其接入網(wǎng)絡(luò)����,同時(shí)還可以將更新安全策略的 途徑通知該網(wǎng)絡(luò)端點(diǎn)。
參見(jiàn)圖1 �����,基于上述網(wǎng)絡(luò)端點(diǎn)評(píng)估而對(duì)其接入到網(wǎng)絡(luò)側(cè)的一個(gè)現(xiàn)有的技術(shù) 方案如下首先�����,在網(wǎng)絡(luò)端點(diǎn)請(qǐng)求接入到某一網(wǎng)絡(luò)側(cè)的時(shí)候��,該網(wǎng)絡(luò)側(cè)發(fā)送查詢請(qǐng)求ll�,設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器A在該查詢請(qǐng)求11中指明需要設(shè)置 在網(wǎng)絡(luò)端點(diǎn)的代理客戶端B應(yīng)當(dāng)提供哪些安全方面的信息;該代理客戶端B通 過(guò)查詢結(jié)果消息12將其所在的網(wǎng)絡(luò)端點(diǎn)的安全信息發(fā)送給前述的代理服務(wù)器 A;代理服務(wù)器A對(duì)代理客戶端B發(fā)送過(guò)來(lái)的安全信息進(jìn)行評(píng)估�����,并根據(jù)評(píng)估的 結(jié)果做出是否允許該網(wǎng)絡(luò)端點(diǎn)接入網(wǎng)絡(luò)的處理����,并將授權(quán)信息和更新途徑通 過(guò)授權(quán)/更新消息3發(fā)送到代理客戶端B ��。
前述的代理客戶端B在具體的技術(shù)實(shí)現(xiàn)上�,可以是安裝在網(wǎng)絡(luò)端點(diǎn)上 的NEA處理裝置或者代理軟件�,它能夠搜集其所在網(wǎng)絡(luò)端點(diǎn)的系統(tǒng)狀態(tài)信 息�����,并傳送給網(wǎng)絡(luò)側(cè)的服務(wù)器����。它還能夠接收網(wǎng)絡(luò)側(cè)服務(wù)器的評(píng)估結(jié)果。 該實(shí)體或者軟件可以借助網(wǎng)絡(luò)端點(diǎn)上多個(gè)其他功能模塊完成其功能�����。代理 服務(wù)器A在具體的實(shí)現(xiàn)上是由網(wǎng)絡(luò)管理者部署的設(shè)備�����、裝置或者軟件��。它 能夠?qū)W(wǎng)絡(luò)端點(diǎn)代理客戶端發(fā)出的系統(tǒng)狀態(tài)信息進(jìn)行評(píng)估�,并根據(jù)評(píng)估結(jié) 果控制該網(wǎng)絡(luò)端點(diǎn)對(duì)網(wǎng)絡(luò)側(cè)的訪問(wèn)。該實(shí)體或者軟件可以借助網(wǎng)絡(luò)側(cè)的多 個(gè)其他功能模塊完成其自身的功能��。
參見(jiàn)圖2 ,基于上述網(wǎng)絡(luò)端點(diǎn)評(píng)估而對(duì)其接入到網(wǎng)絡(luò)的另 一個(gè)現(xiàn)有的技術(shù) 方案是首先����,在網(wǎng)絡(luò)端點(diǎn)請(qǐng)求接入到某一網(wǎng)絡(luò)側(cè)的時(shí)候,由網(wǎng)絡(luò)側(cè)發(fā)送策 略信息21 ����,設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器A通過(guò)該策略信息2l將評(píng)估時(shí)所需要的 安全策略發(fā)送到設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端B;代理客戶端B依據(jù)安全策略 對(duì)網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)進(jìn)行評(píng)估,并將評(píng)估結(jié)果22發(fā)送到代理服務(wù)器A;代理 服務(wù)器A根據(jù)評(píng)估結(jié)果22做出是否允許該網(wǎng)絡(luò)端點(diǎn)接入到網(wǎng)絡(luò)側(cè)的處理���,并將 授權(quán)決定和更新途徑通過(guò)決定/更新消息3發(fā)送到代理客戶端���。這種方式可以 避免安全信息在網(wǎng)絡(luò)側(cè)中傳輸。
在前述的兩類現(xiàn)有技術(shù)方案中��,安全狀態(tài)的評(píng)估針對(duì)的只是試圖接入到 網(wǎng)絡(luò)側(cè)中的網(wǎng)絡(luò)端點(diǎn)�����。也就是說(shuō)只有網(wǎng)絡(luò)側(cè)對(duì)網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)進(jìn)行評(píng) 估����,并根據(jù)評(píng)估結(jié)果決定是否對(duì)其實(shí)施訪問(wèn)限制。這樣做��,可以通過(guò)屏蔽帶 有安全脆弱性的網(wǎng)絡(luò)端點(diǎn)來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)側(cè)的目的。盡管�����,對(duì)于網(wǎng)絡(luò)端點(diǎn)安
全狀態(tài)的評(píng)估既可以在網(wǎng)絡(luò)側(cè)的代理服務(wù)器A ����,也可以在網(wǎng)絡(luò)端點(diǎn)的代理客戶 端B����,但這兩種技術(shù)方案都是單向地對(duì)網(wǎng)絡(luò)端點(diǎn)進(jìn)行安全評(píng)估,沒(méi)有提供網(wǎng)絡(luò) 端點(diǎn)對(duì)于網(wǎng)絡(luò)側(cè)進(jìn)行安全狀態(tài)評(píng)估的手段���。在這種情況下�����,網(wǎng)絡(luò)端點(diǎn)只能完 全信任它所要接入的網(wǎng)絡(luò)側(cè)是"安全的"�����。但是��,事實(shí)上并非如此���。如前所
述由于互聯(lián)網(wǎng)絡(luò)的開(kāi)放架構(gòu)和其本身安全保護(hù)手段的缺乏���,網(wǎng)絡(luò)端點(diǎn)所要 接入的網(wǎng)絡(luò)側(cè)中可能已經(jīng)存在大量已感染病毒的主機(jī);或者該網(wǎng)絡(luò)側(cè)本身正 在遭受某種惡意軟件或某些惡意用戶的攻擊�����;或者該網(wǎng)絡(luò)側(cè)本身的安全基礎(chǔ) 設(shè)施不夠健全����,例如只有普通的防火墻而沒(méi)有入侵監(jiān)測(cè)設(shè)備等。因此�,如 果一個(gè)網(wǎng)絡(luò)端點(diǎn)不能反過(guò)來(lái)對(duì)其準(zhǔn)備接入的網(wǎng)絡(luò)側(cè)進(jìn)行安全評(píng)估,而只是假 定要接入的該網(wǎng)絡(luò)側(cè)是"安全的"���,當(dāng)其接入后�,就很可能會(huì)令其自身面臨 來(lái)自網(wǎng)絡(luò)側(cè)的安全威脅���。因此��,有必要在現(xiàn)有技術(shù)的基礎(chǔ)上����,進(jìn)一步實(shí)現(xiàn)網(wǎng) 絡(luò)端點(diǎn)對(duì)其所要接入的網(wǎng)絡(luò)側(cè)的安全評(píng)估,使得網(wǎng)絡(luò)端點(diǎn)能夠根據(jù)評(píng)估的結(jié) 果���,做出是否接入到該網(wǎng)絡(luò)側(cè)的處理�����。
發(fā)明內(nèi)容
本發(fā)明的第一個(gè)方面是通過(guò)一些實(shí)施例�,提供一種評(píng)估網(wǎng)絡(luò)側(cè)安全狀態(tài) 的方法��,網(wǎng)絡(luò)端點(diǎn)夠針對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估�,以保證網(wǎng)絡(luò)端點(diǎn)只 接入那些符合自身安全策略的網(wǎng)絡(luò)側(cè)�。
本發(fā)明的第二個(gè)方面是通過(guò)另 一些實(shí)施例,提供一種接入網(wǎng)絡(luò)的方法�����, 使得每個(gè)網(wǎng)絡(luò)端點(diǎn)既能夠協(xié)助網(wǎng)絡(luò)側(cè)針對(duì)自身進(jìn)行安全評(píng)估���,還能夠?qū)W(wǎng) 絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估�����,并根據(jù)評(píng)估結(jié)果執(zhí)行接入到網(wǎng)絡(luò)側(cè)的處理��,以 保證網(wǎng)絡(luò)端點(diǎn)只接入那些符合自身安全策略的網(wǎng)絡(luò)側(cè)��。
本發(fā)明的第三個(gè)方面是通過(guò)又一些實(shí)施例�,提供一種網(wǎng)絡(luò)側(cè)安全認(rèn)證系 統(tǒng),使得網(wǎng)絡(luò)端點(diǎn)既能夠協(xié)助網(wǎng)絡(luò)側(cè)針對(duì)自身進(jìn)行安全評(píng)估����,還能夠?qū)W(wǎng) 絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估,并根據(jù)評(píng)估結(jié)果執(zhí)行接入到網(wǎng)絡(luò)側(cè)的處理����,以 保證網(wǎng)絡(luò)端點(diǎn)只接入符合自身安全策略的網(wǎng)絡(luò)側(cè)。
本發(fā)明的第一個(gè)方面的一些實(shí)施例所提供的方法具體是如下的一類技術(shù)
方案
網(wǎng)絡(luò)側(cè)將其自身的安全狀態(tài)信息發(fā)送給網(wǎng)絡(luò)端點(diǎn)�����;所述網(wǎng)絡(luò)端點(diǎn)根據(jù)所 述安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估�����,獲得所述網(wǎng)絡(luò)側(cè)的安全 狀態(tài)���。
本發(fā)明第 一個(gè)方面的實(shí)施例使得網(wǎng)絡(luò)端點(diǎn)夠針對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài) 進(jìn)行評(píng)估���,保證了網(wǎng)絡(luò)端點(diǎn)能夠在接入之前對(duì)要接入的網(wǎng)絡(luò)的安全狀態(tài)進(jìn) 行了解�,有利于網(wǎng)絡(luò)端點(diǎn)只選擇接入那些符合自身安全策略的網(wǎng)絡(luò)�����。
本發(fā)明的第二個(gè)方面的另 一些實(shí)施例所提供的方法具體是如下的 一類技 術(shù)方案
代理服務(wù)器向代理客戶端發(fā)送查詢請(qǐng)求�����,該查詢請(qǐng)求中攜帶有代理服務(wù) 器所在網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息����;
代理客戶端在收到該網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息后,根據(jù)該安全狀態(tài)信息對(duì) 該網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行網(wǎng)絡(luò)安全評(píng)估���;
代理客戶端根據(jù)網(wǎng)絡(luò)安全評(píng)估結(jié)果,向該代理服務(wù)器發(fā)送攜帶該網(wǎng)絡(luò)端 點(diǎn)安全信息的消息��,或者拒絕接入該網(wǎng)絡(luò)側(cè)的消息����;
代理服務(wù)器根據(jù)該安全信息對(duì)該網(wǎng)絡(luò)端點(diǎn)進(jìn)行網(wǎng)絡(luò)端點(diǎn)安全評(píng)估,并根 據(jù)網(wǎng)絡(luò)端點(diǎn)安全評(píng)估的結(jié)果將授權(quán)信息和/或更新途徑通信息發(fā)送給代理客 戶端����。
從上述的技術(shù)方案可知由于網(wǎng)絡(luò)端點(diǎn)接入某個(gè)網(wǎng)絡(luò)之前����,可以先對(duì)該 網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估�����,通過(guò)這一方法����,能夠讓網(wǎng)絡(luò)端點(diǎn)對(duì)將要接入的 網(wǎng)絡(luò)的安全狀態(tài)有一個(gè)預(yù)先的估計(jì),而不是盲目地對(duì)其信任�,從而可以避免 不安全的網(wǎng)絡(luò)側(cè)對(duì)網(wǎng)絡(luò)端點(diǎn)的威脅,保證了網(wǎng)絡(luò)端點(diǎn)只接入那些符合自身安 全策略的網(wǎng)絡(luò)側(cè)��。
本發(fā)明的第二個(gè)方面的另 一些實(shí)施例所提供的方法具體是如下的 一類技 術(shù)方案
代理服務(wù)器向所述代理客戶端發(fā)送查詢請(qǐng)求�����;
代理客戶端向代理服務(wù)器發(fā)送網(wǎng)絡(luò)端點(diǎn)的安全信息���,同時(shí)請(qǐng)求代理服務(wù)
器發(fā)送網(wǎng)絡(luò)側(cè)的安全信息�����;
代理服務(wù)器根據(jù)網(wǎng)絡(luò)端點(diǎn)的安全信息對(duì)網(wǎng)絡(luò)端點(diǎn)進(jìn)行網(wǎng)絡(luò)端點(diǎn)的安全評(píng) 估�����,根據(jù)對(duì)網(wǎng)絡(luò)端點(diǎn)安全評(píng)估的結(jié)果將授權(quán)信息和/或更新途徑通信息發(fā)送給 代理客戶端�����;并將代理服務(wù)器所在網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息發(fā)送給代理客戶端����;
代理客戶端根據(jù)該網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行網(wǎng)絡(luò) 安全評(píng)估;并根據(jù)網(wǎng)絡(luò)安全評(píng)估結(jié)果�����,執(zhí)行接入該網(wǎng)絡(luò)側(cè)的操作�。
從上述的技術(shù)方案可知由于網(wǎng)絡(luò)端點(diǎn)接入某個(gè)網(wǎng)絡(luò)側(cè)之前,通過(guò)與代 理服務(wù)器的交互�����,可以事先對(duì)要接入的網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估����,通過(guò)這 一方法,能夠讓網(wǎng)絡(luò)端點(diǎn)對(duì)將要接入的網(wǎng)絡(luò)側(cè)的安全狀態(tài)有一個(gè)預(yù)先的估計(jì)�����, 而不是盲目地對(duì)其信任�,從而可以避免不安全的網(wǎng)絡(luò)側(cè)對(duì)網(wǎng)絡(luò)端點(diǎn)的威脅, 保證了網(wǎng)絡(luò)端點(diǎn)只接入那些符合自身安全策略的網(wǎng)絡(luò)側(cè)��。
本發(fā)明的第三個(gè)方面的 一些實(shí)施例所提供的 一種安全認(rèn)證系統(tǒng)具體包 括設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端和設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器��;其中�����,該 代理客戶端設(shè)有用于從代理服務(wù)器發(fā)送的查詢請(qǐng)求中獲得該代理服務(wù)器所 在網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的第一單元���,以及用于根據(jù)前述安全狀態(tài)信息對(duì)該 網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行網(wǎng)絡(luò)安全評(píng)估�,并根據(jù)該網(wǎng)絡(luò)安全評(píng)估的結(jié)果控制代 理客戶端執(zhí)行接入到網(wǎng)絡(luò)的操作的第二單元����。
由于在網(wǎng)絡(luò)端點(diǎn)的代理客戶端設(shè)置了前述的第一、第二單元��,通過(guò)其與 代理服務(wù)器的交互��,可以事先對(duì)要接入的網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估,對(duì)要 接入的網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證�����,因此��,能夠讓網(wǎng)絡(luò)端點(diǎn)對(duì)將要接入的網(wǎng)絡(luò)側(cè)的安全 狀態(tài)有一個(gè)預(yù)先的估計(jì)�,而不是盲目地對(duì)其信任,從而可以避免不安全的網(wǎng) 絡(luò)側(cè)對(duì)網(wǎng)絡(luò)端點(diǎn)的威脅�,保證了網(wǎng)絡(luò)端點(diǎn)只接入那些符合自身安全策略的網(wǎng) 絡(luò)側(cè)。
綜上�,本發(fā)明前述的若干實(shí)施例提供的各類技術(shù)方案使得每個(gè)網(wǎng)絡(luò)端點(diǎn)
既能夠協(xié)助網(wǎng)絡(luò)側(cè)針對(duì)網(wǎng)絡(luò)端點(diǎn)自身進(jìn)行安全評(píng)估,也可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)側(cè)安 全狀態(tài)的評(píng)估��,網(wǎng)絡(luò)端點(diǎn)根據(jù)對(duì)網(wǎng)絡(luò)側(cè)安全狀態(tài)的評(píng)估結(jié)果來(lái)決定是否接入 到網(wǎng)絡(luò)側(cè)�。這種技術(shù)方案,和現(xiàn)有技術(shù)相比�,達(dá)到了在保證網(wǎng)絡(luò)側(cè)能夠接入 安全的網(wǎng)絡(luò)端點(diǎn)的同時(shí),網(wǎng)絡(luò)端點(diǎn)可以選擇性地接入到安全的網(wǎng)絡(luò)側(cè)的目的�����。 在保證網(wǎng)絡(luò)側(cè)安全的同時(shí)��,也保證了網(wǎng)絡(luò)端點(diǎn)的安全�。
下面通過(guò)一些具體的實(shí)施例,對(duì)本發(fā)明的內(nèi)容做進(jìn)一步的詳細(xì)描述����。
圖1為現(xiàn)有技術(shù)的一種網(wǎng)絡(luò)側(cè)安全狀態(tài)評(píng)估的流程示意圖2為現(xiàn)有技術(shù)的另一種網(wǎng)絡(luò)側(cè)安全狀態(tài)評(píng)估的流程示意圖3為本發(fā)明第二方面的一些實(shí)施例的流程示意圖4為本發(fā)明第二方面的另一些實(shí)施例的流程示意圖5為本發(fā)明第二方面的又一些實(shí)施例的流程示意圖6為本發(fā)明第二方面的代理服務(wù)器獲得網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的示意圖。
具體實(shí)施例方式
為了實(shí)現(xiàn)本發(fā)明第一方面的目的�����,在網(wǎng)絡(luò)端點(diǎn)接入到某一網(wǎng)絡(luò)之前�����,為 了保證其自身的安全���,需要對(duì)網(wǎng)絡(luò)側(cè)進(jìn)行安全評(píng)估�,以保證其接入的網(wǎng)絡(luò)是 安全的�����,為此�����,需要網(wǎng)絡(luò)側(cè)將其自身的安全狀態(tài)信息發(fā)送給網(wǎng)絡(luò)端點(diǎn)�;網(wǎng)絡(luò) 端點(diǎn)收到網(wǎng)絡(luò)側(cè)發(fā)送的安全狀態(tài)信息后���,根據(jù)該安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè) 的安全狀態(tài)進(jìn)行評(píng)估,以獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)���。
為了適應(yīng)網(wǎng)絡(luò)端點(diǎn)隨時(shí)都可以獲得網(wǎng)絡(luò)側(cè)的安全狀態(tài)���,網(wǎng)絡(luò)端點(diǎn)可以主 動(dòng)地向網(wǎng)絡(luò)側(cè)發(fā)送查詢所述網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求,網(wǎng)絡(luò)側(cè)在收到該請(qǐng) 求后�,將其自身的安全狀態(tài)信息發(fā)送給網(wǎng)絡(luò)端點(diǎn)。這樣做有如下的好處第 一可以使得網(wǎng)絡(luò)端點(diǎn)不僅可以在實(shí)際執(zhí)行接入操作時(shí)了解網(wǎng)絡(luò)側(cè)的安全狀
態(tài)���,在此之前的任何時(shí)刻也都可以了解���,即主動(dòng)請(qǐng)求獲得網(wǎng)絡(luò)側(cè)的安全狀態(tài)
信息;另一方面�,鑒于網(wǎng)絡(luò)側(cè)安全狀態(tài)的動(dòng)態(tài)性,即使網(wǎng)絡(luò)端點(diǎn)已經(jīng)對(duì)網(wǎng)絡(luò)
側(cè)進(jìn)行過(guò)安全評(píng)估���,其安全狀態(tài)在此后也會(huì)發(fā)生改變�,因此��,由網(wǎng)絡(luò)端點(diǎn)主 動(dòng)向網(wǎng)絡(luò)側(cè)發(fā)起獲得網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的請(qǐng)求,可以及時(shí)地獲得網(wǎng)絡(luò)側(cè) 最新的安全狀態(tài)信息��。
對(duì)于網(wǎng)絡(luò)側(cè)而言��,因?yàn)樾枰蚓W(wǎng)絡(luò)端點(diǎn)提供其自身的安全信息��,它需要
執(zhí)行獲得自身安全狀態(tài)信息的搡作����,這些操作可以是從網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)獲得 網(wǎng)絡(luò)側(cè)當(dāng)前流量信息�����;也可以是從網(wǎng)絡(luò)側(cè)的入侵;f企測(cè)系統(tǒng)獲得網(wǎng)絡(luò)側(cè)的安全 威脅信息��;還可以從網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng)獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件的 版本信息�����;又可以從網(wǎng)絡(luò)側(cè)的防火墻獲得網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息等等�。
前述的信息包括但不限于是網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息、網(wǎng)絡(luò) 側(cè)的流量信息��、網(wǎng)絡(luò)側(cè)擁塞信息�����、當(dāng)前的安全威脅信息、當(dāng)前對(duì)外開(kāi)放的業(yè) 務(wù)信息以及網(wǎng)絡(luò)側(cè)的安全設(shè)施信息����,可以是這些信息的"盼,也可以是其全部�。
最后,網(wǎng)絡(luò)端點(diǎn)與網(wǎng)絡(luò)側(cè)交互實(shí)現(xiàn)前述對(duì)網(wǎng)絡(luò)側(cè)安全狀態(tài)的評(píng)估����,其主 要通過(guò)設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端以及設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器實(shí)現(xiàn)。 以下各個(gè)實(shí)施例充分披露了代理客戶端和代理服務(wù)器具體的操作實(shí)施方案�, 在此不再贅述。
參見(jiàn)圖3���、圖4����,按照現(xiàn)有的NEA技術(shù)����,在網(wǎng)絡(luò)端點(diǎn)向網(wǎng)絡(luò)側(cè)發(fā)出接 入的請(qǐng)求之后,設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器A需要向設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代 理客戶端B發(fā)送一個(gè)查詢請(qǐng)求�,用以通過(guò)該代理客戶端B獲取其所在的網(wǎng) 絡(luò)端點(diǎn)的安全狀態(tài)信息�。
為了實(shí)現(xiàn)本發(fā)明第二方面的目的�,前述代理服務(wù)器A可以在發(fā)送該查 詢請(qǐng)求的時(shí)候,將其獲得的網(wǎng)絡(luò)側(cè)的安全信息發(fā)送給該代理客戶端B;這 個(gè)網(wǎng)絡(luò)側(cè)的安全信息可以封裝在前述的查詢請(qǐng)求之中����,也可以單獨(dú)發(fā)送。 當(dāng)代理客戶端B收到網(wǎng)絡(luò)側(cè)的安全信息后�,可以根據(jù)其自身的安全策略來(lái) 對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估,然后根據(jù)評(píng)估出的網(wǎng)絡(luò)側(cè)的安全狀態(tài)來(lái)確 定其所在的網(wǎng)絡(luò)端點(diǎn)是否執(zhí)行后續(xù)接入該網(wǎng)絡(luò)側(cè)的操作���。
顯然,根據(jù)網(wǎng)絡(luò)端點(diǎn)的安全策略���,如果被評(píng)估的網(wǎng)絡(luò)側(cè)的安全狀態(tài)對(duì) 于前述的網(wǎng)絡(luò)端點(diǎn)的安全構(gòu)成威脅時(shí)����,該網(wǎng)絡(luò)端點(diǎn)將會(huì)選4奪拒絕接入到該 網(wǎng)絡(luò)側(cè)�����。至于網(wǎng)絡(luò)端點(diǎn)如何根據(jù)網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息來(lái)評(píng)估網(wǎng)絡(luò)側(cè)的安
評(píng)估方法���;或者也可以釆用其他所屬領(lǐng)域技術(shù)人員依據(jù)現(xiàn)有技術(shù)條件或者 其發(fā)明創(chuàng)造的方法實(shí)現(xiàn)���,本專利申請(qǐng)文件在此不進(jìn)行詳細(xì)的討論�����。
當(dāng)代理客戶端B所在的網(wǎng)絡(luò)端點(diǎn)通過(guò)安全評(píng)估����,選擇接入到代理服務(wù) 器A所在的網(wǎng)絡(luò)側(cè)時(shí)���,就可以在響應(yīng)前述代理服務(wù)器A發(fā)出的查詢請(qǐng)求時(shí)���, 向該代理服務(wù)器A發(fā)送該代理客戶端B所在的網(wǎng)絡(luò)端點(diǎn)的安全信息,此后�����, 網(wǎng)絡(luò)側(cè)的代理服務(wù)器A根據(jù)代理客戶端B所在的網(wǎng)絡(luò)端點(diǎn)的安全信息和該 網(wǎng)絡(luò)側(cè)的安全策略����,對(duì)該網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)進(jìn)行評(píng)估,最終根據(jù)評(píng)估的 結(jié)果決定其是否允許該網(wǎng)絡(luò)端點(diǎn)接入�����。
參見(jiàn)圖4,當(dāng)前述的代理客戶端B經(jīng)過(guò)安全評(píng)估,認(rèn)定前述網(wǎng)絡(luò)側(cè)的 安全狀態(tài)不適于接入時(shí)�,該代理客戶端B也可以不響應(yīng)代理服務(wù)器A所發(fā) 出的查詢請(qǐng)求;代理服務(wù)器A收不到代理客戶端B的響應(yīng)�,則無(wú)法獲得該 代理客戶端B所在的網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)信息,因而也就無(wú)法對(duì)網(wǎng)絡(luò)端點(diǎn) 的安全狀態(tài)進(jìn)行評(píng)估�����,自然就不會(huì)允許該網(wǎng)絡(luò)端點(diǎn)接入���。
參見(jiàn)圖5�,按照現(xiàn)有的NEA技術(shù)���,在網(wǎng)絡(luò)端點(diǎn)向網(wǎng)絡(luò)側(cè)發(fā)出接入到網(wǎng)絡(luò)的 請(qǐng)求之后,設(shè)置在網(wǎng)絡(luò)側(cè)的代理服務(wù)器A需要向設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端 B發(fā)送一個(gè)查詢請(qǐng)求��,用以通過(guò)該代理客戶端B獲取其所在的網(wǎng)絡(luò)端點(diǎn)的安全
卄犬'態(tài)45息�。
為了實(shí)現(xiàn)本發(fā)明第二方面的目的,本發(fā)明另外一些實(shí)施例中����,網(wǎng)絡(luò)端點(diǎn) 的代理客戶端B在響應(yīng)該查詢請(qǐng)求的時(shí)候, 一方面如現(xiàn)有技術(shù)一樣�����,將其所在 的網(wǎng)絡(luò)端點(diǎn)的安全狀態(tài)信息發(fā)送給網(wǎng)絡(luò)側(cè)的代理服務(wù)器A,同時(shí)�����,還進(jìn)一步發(fā) 送要求網(wǎng)絡(luò)側(cè)返回網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求�����。當(dāng)網(wǎng)絡(luò)側(cè)的代理服務(wù)器A收到
代理客戶端B的響應(yīng)時(shí)����,也就獲得了網(wǎng)絡(luò)端點(diǎn)要求網(wǎng)絡(luò)側(cè)返回網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求。此后�����,代理服務(wù)器A執(zhí)行的操作可能有如下的幾種情況
1 �����、代理服務(wù)器A或者其所在的網(wǎng)絡(luò)側(cè)根據(jù)代理客戶端B響應(yīng)的網(wǎng)絡(luò)端點(diǎn)的 安全狀態(tài)信息進(jìn)行評(píng)估��,發(fā)現(xiàn)該網(wǎng)絡(luò)端點(diǎn)的安全性不能滿足網(wǎng)絡(luò)側(cè)的安全要 求時(shí)���,則會(huì)拒絕該網(wǎng)絡(luò)端點(diǎn)的接入����;此時(shí)可以不再響應(yīng)網(wǎng)絡(luò)端點(diǎn)要求網(wǎng)絡(luò)側(cè) 返回網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求。在這種情況下�,網(wǎng)絡(luò)端點(diǎn)自然不可能繼續(xù) 接入到前述的網(wǎng)絡(luò)側(cè)之中。
安全狀態(tài)信息進(jìn)行評(píng)估���,發(fā)現(xiàn)該網(wǎng)絡(luò)端點(diǎn)的安全性能夠滿足網(wǎng)絡(luò)側(cè)的安全要 求時(shí)���,則會(huì)響應(yīng)網(wǎng)絡(luò)端點(diǎn)要求網(wǎng)絡(luò)側(cè)返回網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求,將網(wǎng) 絡(luò)側(cè)的安全狀態(tài)信息發(fā)送給代理客戶端B��。代理客戶端B收到網(wǎng)絡(luò)側(cè)的安全狀 態(tài)信息后��,則進(jìn)一步對(duì)其評(píng)估��,將該網(wǎng)絡(luò)側(cè)的安全狀態(tài)與其所在的網(wǎng)絡(luò)端點(diǎn) 的安全策略進(jìn)行比較����,如果該網(wǎng)絡(luò)端點(diǎn)依據(jù)其自身的安全策略接受該網(wǎng)絡(luò)側(cè) 的安全狀態(tài)�,則進(jìn)一步執(zhí)行接入到該網(wǎng)絡(luò)側(cè)的操作;否則拒絕接入到該網(wǎng)絡(luò) 側(cè)�。換句話說(shuō)�����,即使網(wǎng)絡(luò)側(cè)根據(jù)前述的安全評(píng)估步驟��,允許網(wǎng)絡(luò)端點(diǎn)接入���, 但是,網(wǎng)絡(luò)端點(diǎn)還可以通過(guò)對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)的評(píng)估來(lái)確定自己是否接入 到該網(wǎng)絡(luò)側(cè)����。這樣就實(shí)現(xiàn)了網(wǎng)絡(luò)側(cè)和網(wǎng)絡(luò)端點(diǎn)通過(guò)雙向的安全狀態(tài)評(píng)估來(lái)實(shí) 現(xiàn)各自的安全連接。
需要說(shuō)明的是在前述實(shí)施例中����,即使代理服務(wù)器A主動(dòng)將網(wǎng)絡(luò)的安全狀 態(tài)信息發(fā)送給代理客戶端B,代理客戶端B依然也可以在此后�����,或之前向代理 服務(wù)器A發(fā)送要求網(wǎng)絡(luò)側(cè)發(fā)送其安全狀態(tài)信息的請(qǐng)求���。這樣做的好處是可以 查詢更詳細(xì)或者代理服務(wù)器A沒(méi)有給出的網(wǎng)絡(luò)安全狀態(tài)信息�。前述的這種網(wǎng)絡(luò) 安全信息的請(qǐng)求和響應(yīng)循環(huán)可以多次進(jìn)行�,這樣���,網(wǎng)絡(luò)側(cè)的安全狀態(tài)改變后, 前述的網(wǎng)絡(luò)端點(diǎn)依然可以在網(wǎng)絡(luò)側(cè)安全狀態(tài)符合網(wǎng)絡(luò)端點(diǎn)的安全要求時(shí)執(zhí)行 接入的操作�����。
參見(jiàn)圖6����,為了能夠向網(wǎng)絡(luò)端點(diǎn)提供網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息,網(wǎng)絡(luò)側(cè)的代
理服務(wù)器A可以采集相應(yīng)網(wǎng)絡(luò)側(cè)安全信息���。例如代理服務(wù)器A可以從網(wǎng)絡(luò)側(cè) 的網(wǎng)關(guān)C處獲得網(wǎng)絡(luò)側(cè)當(dāng)前流量信息�����;可以從入侵;f企測(cè)系統(tǒng)E獲得當(dāng)前網(wǎng)絡(luò)側(cè) 面臨的安全威脅信息�����;可以從補(bǔ)丁管理系統(tǒng)F獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件 (防火墻���、防病毒軟件等)的版本信息����;還可以從防火墻D獲得當(dāng)前網(wǎng)絡(luò)側(cè)開(kāi) 放的業(yè)務(wù)等信息��。當(dāng)然�,前述的各種網(wǎng)絡(luò)側(cè)安全設(shè)備可以是分離的�,也可以 是集成為一體的。
另外���,代理服務(wù)器A發(fā)送給網(wǎng)絡(luò)端點(diǎn)的網(wǎng)絡(luò)側(cè)安全信息包括但不限于是下 列的各種信息
1)網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息��;例如被病毒感染的主機(jī)的數(shù)目�����、 百分比等��;2)網(wǎng)絡(luò)側(cè)當(dāng)前的流量,網(wǎng)絡(luò)側(cè)擁塞的信息����;3)網(wǎng)絡(luò)側(cè)當(dāng)前正在 面臨的安全威脅信息;例如正在遭受某種蠕蟲病毒的攻擊等�����;4)網(wǎng)絡(luò)側(cè)當(dāng) 前對(duì)外開(kāi)放的業(yè)務(wù)信息;例如萬(wàn)維網(wǎng)超文本傳輸協(xié)議(Hypertext Transfer Protocol,以下簡(jiǎn)稱HTTP)服務(wù)���,文件共享等���;5)網(wǎng)絡(luò)側(cè)的安全設(shè)施的信 息;例如是否擁有防火墻��,是否支持病毒過(guò)濾等���。
實(shí)際上�����,上面這些描述只是一些例子��,而并不能涵蓋所有的安全狀態(tài)信 息與所有網(wǎng)絡(luò)側(cè)設(shè)備對(duì)應(yīng)的情況��,例如安全信息也可以從防火墻處獲得��。 因此�,上述的安全狀態(tài)信息和從什么網(wǎng)絡(luò)側(cè)設(shè)備獲取這些安全狀態(tài)信息之 間并沒(méi)有非常確定的對(duì)應(yīng)關(guān)系�。前述的各個(gè)實(shí)施例只是披露這樣的技術(shù)內(nèi) 容代理服務(wù)器A可以從其所在的網(wǎng)絡(luò)側(cè)中采集相應(yīng)的網(wǎng)絡(luò)安全狀態(tài)信息���。
有關(guān)代理客戶端B對(duì)網(wǎng)絡(luò)安全狀態(tài)信息的評(píng)估具體是這種評(píng)估是指代理 客戶端B將收到的網(wǎng)絡(luò)安全狀態(tài)信息與網(wǎng)絡(luò)端點(diǎn)本地的安全策略進(jìn)行比較�����,并 根據(jù)比較的結(jié)果確定網(wǎng)絡(luò)端點(diǎn)是否應(yīng)該接入該網(wǎng)絡(luò)側(cè)�。如果網(wǎng)絡(luò)側(cè)的安全狀 態(tài)信息不符合代理客戶端的策略,即使網(wǎng)絡(luò)側(cè)的代理服務(wù)器A允許網(wǎng)絡(luò)端點(diǎn)接 入到網(wǎng)絡(luò)側(cè)����,網(wǎng)絡(luò)端點(diǎn)仍然可以選擇不接入到該網(wǎng)絡(luò)側(cè)。例如當(dāng)網(wǎng)絡(luò)側(cè)的 大部分主機(jī)的安全設(shè)置沒(méi)有得到更新時(shí)(這方面信息可以由代理服務(wù)器A從補(bǔ)丁管理系統(tǒng)F中獲得�,并發(fā)送給代理客戶端B),代理客戶端B可以選擇稍后接 入到網(wǎng)絡(luò)側(cè)���。再例如當(dāng)網(wǎng)絡(luò)側(cè)已經(jīng)遭受到某種病毒的攻擊時(shí)����,代理客戶端B 可以通知網(wǎng)絡(luò)端點(diǎn)本地的安全軟件(例如主機(jī)防火墻等)不使用該網(wǎng)絡(luò)側(cè) 中與該病毒傳播相關(guān)的服務(wù)(例如環(huán)球網(wǎng)(Web)服務(wù))���。代理客戶端B的 策略可以由代理客戶端B所在的網(wǎng)絡(luò)端點(diǎn)自行設(shè)置����,也可以由代理客戶端B通 過(guò)與代理服務(wù)器A預(yù)先協(xié)商后設(shè)置。
為了克服現(xiàn)有技術(shù)的缺點(diǎn)���,在網(wǎng)絡(luò)端點(diǎn)接入某個(gè)網(wǎng)絡(luò)側(cè)之前首先對(duì)該網(wǎng)絡(luò) 側(cè)的安全狀態(tài)進(jìn)行評(píng)估�����,這需要網(wǎng)絡(luò)側(cè)代理服務(wù)器A的配合���。后者需要將該網(wǎng) 絡(luò)側(cè)的安全信息提供給端點(diǎn)。在這一過(guò)程中代理客戶端B和代理服務(wù)器A之間 可能需要進(jìn)行多次交互����;代J紹:戶端B也可以向代理服務(wù)器A給出自己希望的了 解的網(wǎng)絡(luò)安全信息的類別。本發(fā)明前述的各種實(shí)施例能夠讓網(wǎng)絡(luò)端點(diǎn)對(duì)將要 接入的網(wǎng)絡(luò)側(cè)的狀態(tài)有一個(gè)預(yù)先的估計(jì)�����,而不是盲目的信任�����。因此��,能夠?qū)τ?可能給網(wǎng)絡(luò)端點(diǎn)帶來(lái)安全威脅的網(wǎng)絡(luò)側(cè)�����,選擇不接入的控制措施來(lái)避免威脅。
需要說(shuō)明的是本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述各個(gè)實(shí)施例的 部分或全部步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成���;前述的程序可以存儲(chǔ) 于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中;該程序在執(zhí)行時(shí)����,包括上述方法的步驟;所述 的存儲(chǔ)介質(zhì)可以時(shí)只讀存儲(chǔ)器(Read Only Memory,以下簡(jiǎn)稱ROM)���、隨機(jī) 存取存儲(chǔ)器(Random Access Memory,以下簡(jiǎn)稱RAM)�����、磁碟或光盤等���。
為了實(shí)現(xiàn)本發(fā)明第三個(gè)方面,本發(fā)明的另 一些實(shí)施例提供了這樣的網(wǎng)絡(luò) 側(cè)安全iU正的系統(tǒng)
該系統(tǒng)由包括設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端和設(shè)置在網(wǎng)絡(luò)側(cè)中的代理服 務(wù)器所構(gòu)成�����,并且�����,代理客戶端和代理服務(wù)器之間通過(guò)有線和/或無(wú)線方式進(jìn) 行通信連接。與現(xiàn)有技術(shù)不同的是在前述的系統(tǒng)中����,該代理客戶端中設(shè)有 一個(gè)用于從代理服務(wù)器發(fā)送的查詢請(qǐng)求中獲得該代理服務(wù)器所在網(wǎng)絡(luò)側(cè)的安 全狀態(tài)信息的單元,以及一個(gè)用于根據(jù)前述安全狀態(tài)信息對(duì)該網(wǎng)絡(luò)側(cè)的安全 狀態(tài)進(jìn)行網(wǎng)絡(luò)安全評(píng)估�����,并根據(jù)該網(wǎng)絡(luò)安全評(píng)估的結(jié)果控制代理客戶端執(zhí)行接入到該網(wǎng)絡(luò)側(cè)操作的單元�。有關(guān)前述各個(gè)單元進(jìn)行通信和評(píng)估網(wǎng)絡(luò)安全狀 態(tài)的操作步驟與本發(fā)明前述第一、二方面的各個(gè)實(shí)施例所述的相同或相似��, 具體可以參見(jiàn)本發(fā)明前述第一���、二方面的各個(gè)實(shí)施例�����,在此不作贅述�。
為了滿足上述的在發(fā)送的查詢請(qǐng)求中攜帶網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的要 求�,在代理服務(wù)器中可以設(shè)置一個(gè)用于將該安全狀態(tài)信息封裝在前述查詢請(qǐng) 求之中的部件。
另外���,在代理客戶端B中還可以設(shè)置一個(gè)這樣的單元���,用于向代理服務(wù)
器A發(fā)送獲得網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息請(qǐng)求��。這樣�����,代理客戶端B依然也可以 在代理服務(wù)器A向其發(fā)送查詢請(qǐng)求后或之前�,向代理服務(wù)器A發(fā)送要求網(wǎng)絡(luò) 側(cè)發(fā)送其安全狀態(tài)信息的請(qǐng)求�。
在代理服務(wù)器A中還可以設(shè)置用于從網(wǎng)絡(luò)側(cè)獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài) 信息的部件����,該部件具體可以包括用于從網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)獲得網(wǎng)絡(luò)側(cè)當(dāng)前流 量信息的模塊、用于從網(wǎng)絡(luò)側(cè)的入侵檢測(cè)系統(tǒng)獲得網(wǎng)絡(luò)側(cè)的安全威脅信息的 模塊�����、用于從網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng)獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件的版本信 息的模塊����,以及用于從網(wǎng)絡(luò)側(cè)的防火墻獲得網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息的模塊。 這些模塊可以同時(shí)或者任意地設(shè)置在代理服務(wù)器A之中��。
如上所述本發(fā)明第三個(gè)方面有關(guān)系統(tǒng)的各個(gè)實(shí)施例實(shí)現(xiàn)前述對(duì)于網(wǎng)絡(luò)側(cè) 安全狀態(tài)信息評(píng)估的各個(gè)實(shí)施例的步驟,具體參見(jiàn)前述本發(fā)明第一���、二方面 的各個(gè)具體實(shí)施例�,在此不作贅述��。
最后應(yīng)說(shuō)明的是本發(fā)明以上各個(gè)方面的實(shí)施例僅用以說(shuō)明本發(fā)明各個(gè) 方面的技術(shù)方案��,而非對(duì)本發(fā)明進(jìn)行限制����;盡管參照上述各個(gè)實(shí)施例對(duì)本發(fā) 明各個(gè)方面主要實(shí)施例的技術(shù)方案進(jìn)行了詳細(xì)的說(shuō)明,但本發(fā)明的范圍并不 局限于此��。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以在本發(fā)明前述各個(gè) 方面實(shí)施例揭露的技術(shù)啟示下�,對(duì)其中的各個(gè)技術(shù)方案進(jìn)行修改或者等同替 換;而這些對(duì)前述各個(gè)實(shí)施例的修改或者等同替換�����,其實(shí)質(zhì)并不脫離本發(fā)明 各個(gè)實(shí)施例所揭示的技術(shù)方案的精神和范圍��。
權(quán)利要求
1���、一種評(píng)估網(wǎng)絡(luò)側(cè)安全狀態(tài)的方法���,其特征在于���,包括網(wǎng)絡(luò)側(cè)將其自身的安全狀態(tài)信息發(fā)送給網(wǎng)絡(luò)端點(diǎn);所述網(wǎng)絡(luò)端點(diǎn)根據(jù)所述安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估��,獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)���。
2����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于,在所述網(wǎng)絡(luò)側(cè)將其自身的 安全狀態(tài)信息發(fā)送給所述網(wǎng)絡(luò)端點(diǎn)之前�����,還包括網(wǎng)絡(luò)端點(diǎn)向網(wǎng)絡(luò)側(cè)發(fā)送查詢所述網(wǎng)絡(luò)側(cè)安全狀態(tài)信息的請(qǐng)求�。
3、 根據(jù)權(quán)利要求1或2所述的方法���,其特征在于��,還包括所述網(wǎng)絡(luò)側(cè) 獲得自身安全狀態(tài)信息的步驟�,具體包括從所述網(wǎng)關(guān)獲得所述網(wǎng)絡(luò)側(cè)當(dāng)前流量信息;和/或從所述網(wǎng)絡(luò)側(cè)的入侵檢 測(cè)系統(tǒng)獲得所述網(wǎng)絡(luò)側(cè)的安全威脅信息���;和/或從所述網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng) 獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件的版本信息��;和/或從所述網(wǎng)絡(luò)側(cè)的防火墻獲得 所述網(wǎng)絡(luò)側(cè)開(kāi)^:的業(yè)務(wù)信息�。
4���、 根據(jù)權(quán)利要求3所述的方法���,其特征在于所述的安全狀態(tài)信息包括 所述網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息、所述網(wǎng)絡(luò)側(cè)的流量信息�����、網(wǎng)絡(luò)側(cè)擁 塞信息�����、當(dāng)前的安全威脅信息�����、當(dāng)前對(duì)外開(kāi)放的業(yè)務(wù)信息、所述網(wǎng)絡(luò)側(cè)的安 全設(shè)施信息之一或者其任意組合����。
5、 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于所述的安全狀態(tài)信息 包括所述網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息��、所述網(wǎng)絡(luò)側(cè)的流量信息����、網(wǎng) 絡(luò)側(cè)擁塞信息、當(dāng)前的安全威脅信息��、當(dāng)前對(duì)外開(kāi)放的業(yè)務(wù)信息�����、所述網(wǎng)絡(luò) 側(cè)的安全設(shè)施信息之一或者其任意組合���。
6、 一種接入網(wǎng)絡(luò)的方法,其特征在于�,包括網(wǎng)絡(luò)側(cè)的代理服務(wù)器向網(wǎng)絡(luò)端點(diǎn)的代理客戶端發(fā)送查詢請(qǐng)求,該查詢請(qǐng)求中攜帶有網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息�;所述代理客戶端根據(jù)查詢請(qǐng)求中攜帶的安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行網(wǎng)絡(luò)安全評(píng)估;所述代理客戶端根據(jù)網(wǎng)絡(luò)安全評(píng)估結(jié)果�,向所述代理服務(wù)器發(fā)送攜帶所 述網(wǎng)絡(luò)端點(diǎn)安全信息的消息,或者拒絕接入所述網(wǎng)絡(luò)側(cè)的消息�;所述代理服務(wù)器根據(jù)該安全信息對(duì)所述網(wǎng)絡(luò)端點(diǎn)進(jìn)行網(wǎng)絡(luò)端點(diǎn)安全評(píng) 估,并根據(jù)網(wǎng)絡(luò)端點(diǎn)安全評(píng)估的結(jié)果將授權(quán)信息和/或更新途徑通信息發(fā)送給 代理客戶端�����。
7�、 根據(jù)權(quán)利要求6所述的方法,其特征在于��,還包括 所述代理客戶端向所述代理服務(wù)器發(fā)送所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息請(qǐng)求��;所述代理服務(wù)器依據(jù)所述的請(qǐng)求向所述代理客戶端發(fā)送所述網(wǎng)絡(luò)側(cè)的安 全狀態(tài)信息����。
8、 根據(jù)權(quán)利要求6所述的方法�,其特征在于,還包括所述代理服務(wù)器 獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的步驟�����,具體包括從所述網(wǎng)關(guān)獲得所述網(wǎng)絡(luò)側(cè)當(dāng)前流量信息;和/或從所述網(wǎng)絡(luò)側(cè)的入侵檢 測(cè)系統(tǒng)獲得所述網(wǎng)絡(luò)側(cè)的安全威脅信息����;和/或從所述網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng) 獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件的版本信息;和/或從所述網(wǎng)絡(luò)側(cè)的防火墻獲得 所述網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息����。
9、 根據(jù)權(quán)利要求6或7或8所述的方法��,其特征在于所述網(wǎng)絡(luò)側(cè)的安 全狀態(tài)信息包括所述網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息�、所述網(wǎng)絡(luò)側(cè)的流 量信息、網(wǎng)絡(luò)側(cè)擁塞信息���、當(dāng)前的安全威脅信息��、當(dāng)前對(duì)外開(kāi)放的業(yè)務(wù)信息�����、 所述網(wǎng)絡(luò)側(cè)的安全設(shè)施信息之一或者其任意組合��。
10��、 一種接入網(wǎng)絡(luò)的方法��,其特征在于 網(wǎng)絡(luò)側(cè)的代理服務(wù)器向網(wǎng)絡(luò)端點(diǎn)的代理客戶端發(fā)送查詢請(qǐng)求�����; 所述代理客戶端向所述代理服務(wù)器發(fā)送所述網(wǎng)絡(luò)端點(diǎn)的安全信息����,同時(shí)請(qǐng)求所述代理服務(wù)器發(fā)送所述網(wǎng)絡(luò)側(cè)的安全信息�����;所述代理服務(wù)器根據(jù)所述網(wǎng)絡(luò)端點(diǎn)的安全信息對(duì)所述網(wǎng)絡(luò)端點(diǎn)進(jìn)行網(wǎng)絡(luò)端點(diǎn)的安全評(píng)估���,根據(jù)對(duì)網(wǎng)絡(luò)端點(diǎn)安全評(píng)估的結(jié)果將授權(quán)信息和/或更新途徑通信息發(fā)送給代理客戶端�����;并將網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息發(fā)送給所述代理客戶 端�;所述代理客戶端根據(jù)該網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè)的安全狀態(tài) 進(jìn)行網(wǎng)絡(luò)安全評(píng)估��;并根據(jù)網(wǎng)絡(luò)安全評(píng)估結(jié)果��,執(zhí)行接入所述網(wǎng)絡(luò)側(cè)的操作。
11���、 根據(jù)權(quán)利要求IO所述的方法���,其特征在于,還包括所述代理服務(wù) 器獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的步驟��,具體包括從所述網(wǎng)關(guān)獲得所述網(wǎng)絡(luò)側(cè)當(dāng)前流量信息�����;和/或從所述網(wǎng)絡(luò)側(cè)的入侵檢 測(cè)系統(tǒng)獲得所述網(wǎng)絡(luò)側(cè)的安全威脅信息�����;和/或從所述網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng) 獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟件的版本信息�����;和/或從所述網(wǎng)絡(luò)側(cè)的防火墻獲得 所述網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息��。
12�����、 根據(jù)權(quán)利要求10或11所述的方法,其特征在于所述網(wǎng)絡(luò)側(cè)的安 全狀態(tài)信息包括所述網(wǎng)絡(luò)側(cè)中被病毒感染的主機(jī)的信息���、所述網(wǎng)絡(luò)側(cè)的流 量信息、網(wǎng)絡(luò)側(cè)擁塞信息��、當(dāng)前的安全威脅信息�����、當(dāng)前對(duì)外開(kāi)放的業(yè)務(wù)信息�、 所述網(wǎng)絡(luò)側(cè)的安全設(shè)施信息之一或者其任意組合。
13�����、 一種安全認(rèn)證系統(tǒng)����,包括設(shè)置在網(wǎng)絡(luò)端點(diǎn)的代理客戶端和設(shè)置在網(wǎng) 絡(luò)側(cè)中的代理服務(wù)器;其特征在于��,所述代理客戶端設(shè)有第 一單元���,用于從所述代理服務(wù)器發(fā)送的查詢請(qǐng)求中獲得所述代理服務(wù) 器所在網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息����;第二單元,用于根據(jù)所述安全狀態(tài)信息對(duì)所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行網(wǎng) 絡(luò)安全評(píng)估���,并根據(jù)所述網(wǎng)絡(luò)安全評(píng)估的結(jié)果控制所述代理客戶端執(zhí)行接入 所述網(wǎng)絡(luò)側(cè)的操作���。
14、 根據(jù)權(quán)利要求13所述的系統(tǒng)���,其特征在于�,所述代理服務(wù)器還包括 第一部件�����,用于將網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息封裝在所述查詢請(qǐng)求之中�����。
15�����、 根據(jù)權(quán)利要求13或14所述的系統(tǒng),其特征在于���,所述代理客戶端 還包括 請(qǐng)求���。
16、 根據(jù)權(quán)利要求13或14所述的系統(tǒng)�����,其特征在于����,所述代理服務(wù)器 還包括第二部件����,用于從所述網(wǎng)絡(luò)側(cè)獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息。
17�����、 根據(jù)權(quán)利要求16所述的系統(tǒng)���,其特征在于����,所述第二部件具體包括 第一模塊,用于從所述網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)獲得所述網(wǎng)絡(luò)側(cè)當(dāng)前流量信息�����;和/或第二模塊�����,用于從所述網(wǎng)絡(luò)側(cè)的入侵檢測(cè)系統(tǒng)獲得所述網(wǎng)絡(luò)側(cè)的安全威 脅信息���;和/或第三模塊�,用于從所述網(wǎng)絡(luò)的補(bǔ)丁管理系統(tǒng)獲得網(wǎng)絡(luò)側(cè)中各主機(jī)安全軟 件的版本信息�����;和/或第四模塊����,用于從所述網(wǎng)絡(luò)側(cè)的防火墻獲得所述網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息。
18��、 根據(jù)權(quán)利要求15所述的系統(tǒng)����,其特征在于��,所述代理服務(wù)器還包括 第二部件����,用于從所述網(wǎng)絡(luò)側(cè)獲得所述網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息�。
19、 根據(jù)權(quán)利要求18所述的系統(tǒng)����,其特征在于,所述第二部件具體包括 第一模塊���,用于從所述網(wǎng)絡(luò)側(cè)的網(wǎng)關(guān)獲得所述網(wǎng)絡(luò)側(cè)當(dāng)前流量信息;和/或第二模塊�,用于從所述網(wǎng)絡(luò)側(cè)的入侵檢測(cè)系統(tǒng)獲得所述網(wǎng)絡(luò)側(cè)的安全威 脅信息;和/或第三模塊��,用于從所述網(wǎng)絡(luò)側(cè)的補(bǔ)丁管理系統(tǒng)獲得網(wǎng)絡(luò)中各主機(jī)安全軟 件的版本信息�����;和/或第四模塊���,用于從所述網(wǎng)絡(luò)側(cè)的防火墻獲得所述網(wǎng)絡(luò)側(cè)開(kāi)放的業(yè)務(wù)信息�。
全文摘要
本發(fā)明的若干實(shí)施例公開(kāi)了一種接入網(wǎng)絡(luò)的方法,其主要是網(wǎng)絡(luò)側(cè)代理服務(wù)器向代理客戶端發(fā)送網(wǎng)絡(luò)安全狀態(tài)信息��;代理客戶端根據(jù)該安全狀態(tài)信息對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估�����;然后確定是否接入到相應(yīng)的網(wǎng)絡(luò)側(cè)�����。本發(fā)明另外一些實(shí)施例公開(kāi)了一種網(wǎng)絡(luò)側(cè)安全認(rèn)證系統(tǒng)��;該系統(tǒng)設(shè)置有代理客戶端和代理服務(wù)器�;其中,代理客戶端設(shè)有用于從代理服務(wù)器獲得網(wǎng)絡(luò)側(cè)的安全狀態(tài)信息的第一單元��,和用于根據(jù)安全狀態(tài)信息對(duì)網(wǎng)絡(luò)側(cè)的安全狀態(tài)進(jìn)行評(píng)估并控制代理客戶端執(zhí)行接入到網(wǎng)絡(luò)側(cè)操作的第二單元����。本發(fā)明前述各個(gè)實(shí)施例在保證網(wǎng)絡(luò)側(cè)能夠接入安全的網(wǎng)絡(luò)端點(diǎn)的同時(shí),網(wǎng)絡(luò)端點(diǎn)可以選擇性地接入到安全的網(wǎng)絡(luò)側(cè)����;在保證網(wǎng)絡(luò)側(cè)安全的同時(shí)���,也保證了網(wǎng)絡(luò)端點(diǎn)的安全。
文檔編號(hào)H04L12/26GK101345646SQ20071011864
公開(kāi)日2009年1月14日 申請(qǐng)日期2007年7月11日 優(yōu)先權(quán)日2007年7月11日
發(fā)明者瀚 尹, 寧 張, 科 賈 申請(qǐng)人:華為技術(shù)有限公司