專利名稱:終端安全狀態(tài)的監(jiān)控和更新方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng)��。
背景技術(shù):
在現(xiàn)有的可信網(wǎng)絡(luò)連接(TNC, Trusted Network Connect)架構(gòu)中,對終端 安全狀態(tài)信息的評估是由與終端處在同一安全域中的TNC服務(wù)器執(zhí)行的�。所述 終端的安全狀態(tài)信息是指反映終端安全狀態(tài)的一些信息,比如�,終端所在的操 作系統(tǒng)版本,補(bǔ)丁信息����,防火墻版本、殺毒軟件版本�,瀏覽器的版本等相關(guān)的 信息。TNC架構(gòu)也能夠提供來自其他安全設(shè)備的元數(shù)據(jù)(metadata)用以關(guān)聯(lián)與 TNC客戶端相關(guān)的由狀態(tài)運(yùn)行環(huán)境信息(stateful runtime )��。所述元數(shù)據(jù)表明網(wǎng) 絡(luò)中當(dāng)前安裝狀態(tài)的一些信息����,為安全相關(guān)決策增加了其他的數(shù)據(jù)來源。元數(shù) 據(jù)共享同樣只被用于單個(gè)安全域下用以支持姿態(tài)信息的共享�����,即TNC數(shù)據(jù)和元 數(shù)據(jù)的發(fā)布者和訂閱者都屬于同 一組織����。
當(dāng)終端跨不同安全域訪問其他安全域中的服務(wù)時(shí),依賴斷言安全域(RSD����, Relying Security Domain)中的月良務(wù)器可以向斷言安全域(ASD, Asserting Security Domain)中的服務(wù)器請求終端相應(yīng)的安全狀態(tài)信息進(jìn)行安全評估����,從而可以進(jìn) 行接入控制��。
當(dāng)終端跨不同安全域進(jìn)行訪問時(shí)�,新的安全域不僅需要對終端進(jìn)行接入控 制,而且也需要對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控���。例如��,當(dāng)終端想訪問一個(gè)由 第三方業(yè)務(wù)提供者所提供的一個(gè)服務(wù)時(shí)����,提供該業(yè)務(wù)的服務(wù)器不僅需要對此終 端進(jìn)行安全狀態(tài)評估進(jìn)行接入控制����,同時(shí)還需要掌握終端在整個(gè)服務(wù)過程中的 安全狀態(tài)信息變化情況����,以便能夠及時(shí)做出調(diào)整。
發(fā)明人在本發(fā)明的創(chuàng)造過程中發(fā)現(xiàn)���,在目前的聯(lián)合可信網(wǎng)絡(luò)連接(FTNC, Federated Trusted Network Connect)中�,只涉及到終端^爭域時(shí)如何在不同域之間 交互終端的安全狀態(tài)信息以及安全評估結(jié)果,對于跨域時(shí)如何進(jìn)行元數(shù)據(jù)交互�,以及終端跨域接入之后,ASD或者RSD如何對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控還 沒有相應(yīng)的解決方案��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng)����,通過在不
同的域之間進(jìn)行元數(shù)據(jù)交互,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新���。 本發(fā)明實(shí)施例提供了 一種終端安全狀態(tài)的監(jiān)控和更新方法���,包括 終端安全狀態(tài)信息請求方從終端安全狀態(tài)信息^提供方獲得與終端安全狀態(tài)
信息相關(guān)的元數(shù)據(jù);所述終端安全狀態(tài)信息的請求方在安全狀態(tài)信息請求域��;
終端安全狀態(tài)信息提供方在安全狀態(tài)信息提供域��;
終端安全狀態(tài)信息請求方根據(jù)所迷終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�,對終
端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
本發(fā)明實(shí)施例還提供了一種終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)��,包括 終端安全狀態(tài)信息請求方和終端安全狀態(tài)信息的提供方���; 所述終端安全狀態(tài)信息的請求方���,用于從所述終端安全狀態(tài)信息提供方獲
得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)��;所述終端安全狀態(tài)信息的請求方在安全
狀態(tài)信息請求域�;終端安全狀態(tài)信息提供方在安全狀態(tài)信息提供域��;
終端安全狀態(tài)信息請求方根據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�����,對終
端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新����。
實(shí)施本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng),具有如
下有益效果
本發(fā)明實(shí)施例利用接口�����,通過在不用域之間進(jìn)行元數(shù)據(jù)的交互����,根據(jù)所述 元數(shù)據(jù)�,實(shí)現(xiàn)對終端安全狀態(tài)的實(shí)時(shí)監(jiān)控和及時(shí)更新��。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實(shí)施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述 中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付 出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實(shí)施例4C供的終端安全狀態(tài)的監(jiān)控和更新方法第一實(shí)施例的流程示意圖2是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第二實(shí)施例的 流程示意圖3是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第三實(shí)施例的 流程示意圖4是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第四實(shí)施例的 流程示意圖5是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第五實(shí)施例的 流程示意圖6是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第六實(shí)施例的 流程示意圖7是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第七實(shí)施例的 流程示意圖8是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第一實(shí)施例的 結(jié)構(gòu)示意圖9是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第二實(shí)施例的 結(jié)構(gòu)示意圖10是本發(fā)明實(shí)施例4是供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第三實(shí)施例的 結(jié)構(gòu)示意圖11是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第三實(shí)施例的 結(jié)構(gòu)示意圖����。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清 楚��、完整地描述�����,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是 全部的實(shí)施例?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍����。
本發(fā)明實(shí)施例提供了一種終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng)�,通過在 不同的域之間進(jìn)行元數(shù)據(jù)交互,實(shí)現(xiàn)對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和及時(shí)更 新。需要說明的是��,本發(fā)明實(shí)施例所描述的終端安全狀態(tài)信息��,是指可以反映終端安全狀態(tài)的一些信息��,比如終端所在的操作系統(tǒng)版本�����、補(bǔ)丁信息�����、防火墻
版本���、殺毒軟件的版本以及瀏覽器的版本等相關(guān)信息;
本發(fā)明實(shí)施例所描述的元數(shù)據(jù)���,是表明終端當(dāng)前所在網(wǎng)絡(luò)中設(shè)備�、用戶���、 流量的狀態(tài)信息����,所述狀態(tài)信息包括注冊的地址綁定、認(rèn)證狀態(tài)�、終端的策略 合規(guī)狀態(tài)、終端行為����、以及授權(quán)狀態(tài)等信息。
參見圖1,為本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第一實(shí)施 例的流程示意本實(shí)施例提供的方法包括
步驟100,終端安全狀態(tài)信息請求方從終端安全狀態(tài)信息提供方獲得與終端 安全狀態(tài)信息相關(guān)的元數(shù)據(jù)���;所述終端安全狀態(tài)信息的請求方在安全狀態(tài)信息 請求域�����;終端安全狀態(tài)信息提供方在安全狀態(tài)信息提供域�����;
步驟101,終端安全狀態(tài)信息請求方根據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù) 據(jù)���,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
需要說明的是�����,所述終端安全狀態(tài)信息請求方通過連接所述安全狀態(tài)信息 提供域中的可信網(wǎng)絡(luò)連接服務(wù)器的聯(lián)合可信網(wǎng)絡(luò)連接接口 (IF-FTNC, Interface for Federated Trusted Network Connection ),從終端安全狀態(tài)信息提供方獲得與終 端安全狀態(tài)信息相關(guān)的元凝:據(jù)�。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新方法第 一 實(shí)施例,在不同的域之間進(jìn)行元 數(shù)據(jù)交互�����,可以實(shí)現(xiàn)對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新���。
參見圖2,是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第二實(shí)施 例的流程示意本發(fā)明實(shí)施例中,所述終端跨域之前所在的域作為安全狀態(tài)信息提供域����, 終端跨域之后所在的域作為安全狀態(tài)信息請求域,所述終端安全狀態(tài)信息請求 方為第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器�,所述終端安 全狀態(tài)信息提供方為安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)。
本實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法包括
步驟200,第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器通過 聯(lián)合可信網(wǎng)絡(luò)連接接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元 數(shù)據(jù)請求消息�����;
步驟201,安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器收到所述元數(shù)據(jù)請求消息后����,轉(zhuǎn)發(fā)給所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn);
步驟202,所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)接收到所述元數(shù)據(jù)請
求消息后��,向所述安全狀態(tài)信息提供求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送與終端
安全狀態(tài)信息相關(guān)的元數(shù)據(jù); ^
步驟203,所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信
網(wǎng)絡(luò)連接接口向第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器返
回所述元數(shù)據(jù)�����;
步驟204,所述第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器 根據(jù)所述元數(shù)據(jù)�,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新方法第二實(shí)施例����,通過聯(lián)合可信網(wǎng)絡(luò)連接 接口,在第三方業(yè)務(wù)提供者與安全狀態(tài)信息提供域����,或者安全狀態(tài)信息請求域 和與安全狀態(tài)信息提供域之間進(jìn)行元數(shù)據(jù)交互,可以實(shí)現(xiàn)第三方業(yè)務(wù)提供者或 者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更 新�。
參見圖3,是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第二實(shí)施 例的流程示意首先說明的是��,本實(shí)施中����,終端跨域之前所在的域?yàn)閿嘌园踩?ASD), 所謂ASD��,作為終端的歸屬域���,有權(quán)斷言終端是否安全�����,可以提供安全狀態(tài)信 息或者終端的安全狀態(tài)評估結(jié)果或者安全憑證以及metadata等�����;終端^爭域之后 所在的域?yàn)閿嘌砸蕾嚢踩?RSD),所謂RSD,作為終端的拜訪域���,它本身不 知道終端是否安全����,需要依賴于ASD提供的安全狀態(tài)信息或者終端的安全狀態(tài) 評估結(jié)果或者安全憑證以及metadata,才可以明確所述終端是否安全�。
當(dāng)終端訪問一個(gè)第三方業(yè)務(wù)提供者或者RSD中的某一應(yīng)用服務(wù)器提供的服 務(wù)時(shí)���,對于第三方業(yè)務(wù)提供者或者應(yīng)用服務(wù)器來說��,不僅需要對終端在接入的 時(shí)候通過安全評估進(jìn)行接入控制���,而且還需要在終端接入之后實(shí)時(shí)完成對終端 安全狀態(tài)的掌握,以便能夠在終端的安全狀態(tài)發(fā)生變化后���,及時(shí)采取相應(yīng)的措 施���。
本實(shí)施例中�����,將所述終端跨域之前所在的域����,即ASD作為安全狀態(tài)信息提 供域���,終端跨域之后所在的域�����,即RSD作為安全狀態(tài)信息請求域����,所述終端安 全狀態(tài)信息請求方則為第三方業(yè)務(wù)4是供者或者為RSD中的應(yīng)用服務(wù)器�,所述終端安全狀態(tài)信息提供方為ASD中的元凄t據(jù)訪問點(diǎn)(MAP, Metadata Access Point);
需要說明的是,終端在本發(fā)明實(shí)施例中為支持TNC功能的TNC客戶端�����,以 下以TNC客戶端進(jìn)行說明,MAP在實(shí)施例中是以MAP服務(wù)器實(shí)現(xiàn)的�,以下將以 MAP服務(wù)器進(jìn)行說明;
具體方法流程如下所示
步驟300��, TNC客戶端向第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器發(fā)起針 對某種業(yè)務(wù)的請求��;
步驟301,第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器確定合適的安全狀態(tài) 或安全評估結(jié)果(assertion)的提供者��,這里的assertion可能只是TNC客戶端的
以是包含以上終端的所有信息的assertion;第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用 服務(wù)器確定合適的assertion的過程也即對ASD的發(fā)現(xiàn)過程���。需要說明的是��,對于 ASD的發(fā)現(xiàn)可以是TNC客戶端和第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器相 互協(xié)商的結(jié)果�,也可以由TNC客戶端直接告知第三方業(yè)務(wù)提供者或者RSD中的 應(yīng)用服務(wù)器���;
步驟302,第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器向ASD中的TNC服 務(wù)器發(fā)送請求消息��,請求TNC客戶端的asserion;
步驟303, TNC服務(wù)器與ASD中的MAP服務(wù)器進(jìn)行信息交互獲取該TNC客 戶端的metadata;如圖3所示����,ASD中的TNC服務(wù)器向所述MAP服務(wù)器發(fā)送 IF-MAP詢問消息,獲取該終端的metadata;
步驟304, ASD中TNC服務(wù)器向RSD中的第三方業(yè)務(wù)提供者或者RSD中的應(yīng) 用服務(wù)器返回響應(yīng)消息���,給該TNC客戶端提供對應(yīng)的assertion;
步驟305���,根據(jù)ASD中的TNC服務(wù)器提供的TNC客戶端的assertion�,第三方 業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器向TNC客戶端返回響應(yīng)消息��,允許接入 TNC客戶端的業(yè)務(wù)請求��。當(dāng)然���,如果TNC客戶端的assertion不能滿足該業(yè)務(wù)提供 者對安全狀態(tài)的要求�,則第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器可以對 TNC客戶端的業(yè)務(wù)請求作出拒絕接入的響應(yīng)��;
步驟306�, TNC客戶端將業(yè)務(wù)接入第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù) 器,享用第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器提供的業(yè)務(wù)服務(wù)�����;步驟307,對于第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器來說��,不僅需要 掌握TNC客戶端在接入時(shí)候的安全狀態(tài)�,而且還需要進(jìn)一步掌握TNC客戶端在 享用它提供的業(yè)務(wù)服務(wù)過程中的實(shí)時(shí)安全狀態(tài),以免在TNC客戶端的安全狀態(tài) 發(fā)生變化后����,給自己的服務(wù)帶來威脅���。因此該第三方業(yè)務(wù)提供者或者RSD中的
求(metadata subscribe)消息;
步驟308, ASD中的TNC服務(wù)器收到所述metadata subscribe消息之后��,發(fā)給 ASD中的MAP服務(wù)器�����;
步驟309,當(dāng)TNC客戶端所在ASD中的MAP服務(wù)器收到關(guān)于該TNC客戶端的 安全狀態(tài)變化情況時(shí)���,發(fā)送元數(shù)據(jù)結(jié)果(metadata result)消息給該ASD中的TNC 服務(wù)器�����;
步驟310,所述ASD中的TNC服務(wù)器將元數(shù)據(jù)結(jié)果(metadataresult)消息通 過IF - FTNC及時(shí)將TNC客戶端安全狀態(tài)變化的結(jié)果告知所述第三方業(yè)務(wù)提供 者或者RSD中的應(yīng)用服務(wù)器�����。
這時(shí)所述第三方業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器根據(jù)所述metadata result消息就可以對終端進(jìn)行相應(yīng)的操作,進(jìn)一步實(shí)現(xiàn)對終端安全狀態(tài)的實(shí)時(shí)控 制和更新�����。
參見圖4,為本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第四實(shí)施 例的流程示意本發(fā)明實(shí)施例中,所述終端跨域之前所在的域作為安全狀態(tài)信息請求域����, 終端跨域之后所在的域作為安全狀態(tài)信息提供域,所述終端安全狀態(tài)信息請求 方為安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器���,所述終端安全狀態(tài)信息提 供方為安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)���;
本實(shí)施例提供的方法,包括
步驟400��,在終端安全狀態(tài)變化或異常情況時(shí)�,向所述安全狀態(tài)信息提供域 中的元數(shù)據(jù)訪問點(diǎn)發(fā)布終端安全狀態(tài)變化或異常情況信息;需要說明的是�,在 終端安全狀態(tài)變化時(shí),或網(wǎng)絡(luò)中與該終端異常情況時(shí)��,是由所述安全狀態(tài)信息 提供域中的傳感器(Sensors) /入侵檢測系統(tǒng)(IDS, Inbreak Detect System) /入 侵防護(hù)系統(tǒng)(IPS, Inbreak Protect System)向安全狀態(tài)信息提供域中的元數(shù)據(jù)訪 問點(diǎn)發(fā)布終端安全狀態(tài)變化或異常情況信息���;步驟401 ����,所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)將所述終端安全狀態(tài) 變化或異常情況信息發(fā)布給安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器;
步驟402��,所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信 網(wǎng)絡(luò)連接接口將與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)發(fā)送給安全狀態(tài)信息請求域 中的可信網(wǎng)絡(luò)連接服務(wù)器����;
步驟403,所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器將所述元數(shù)據(jù) 發(fā)送給所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn);
步驟404�,所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)匯總并分析元數(shù)據(jù)以 后,將分析結(jié)果告知給安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器�����;
步驟405,所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器根據(jù)所述元數(shù) 據(jù)分析結(jié)果對所述終端進(jìn)行實(shí)時(shí)監(jiān)控和更新�����。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新方法第四實(shí)施例�,利用聯(lián)合可信網(wǎng)絡(luò)連接 接口在安全狀態(tài)信息請求域和安全狀態(tài)信息提供域之間進(jìn)行元數(shù)據(jù)交互,實(shí)現(xiàn) 安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控 和更新�。
參見圖5,為本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第五實(shí)施 例的流程示意首先說明的是,本實(shí)施中����,終端跨域之前所在的域?yàn)閿嘌园踩?ASD), 所謂ASD,作為終端的歸屬域,有權(quán)斷言終端是否安全�,可以提供安全狀態(tài)信 息或者終端的安全狀態(tài)評估結(jié)果或者安全憑證以及metadata等;終端跨域之后 所在的域?yàn)閿嘌砸蕾嚢踩?RSD),所謂RSD,作為終端的拜訪域����,它本身不 知道終端是否安全,需要依賴于ASD提供的安全狀態(tài)信息或者終端的安全狀態(tài) 評估結(jié)果或者安全憑證以及metadata,才可以明確所述終端是否安全����。
當(dāng)終端跨域接入到RSD之后,雖然終端當(dāng)前并不在ASD��,但是對于ASD來 說����,需要實(shí)時(shí)知道該終端的安全狀態(tài)情況,實(shí)現(xiàn)對終端進(jìn)行實(shí)時(shí)監(jiān)控���。同時(shí)及 時(shí)對終端的安全狀態(tài)(如��,軟件版本���、系統(tǒng)補(bǔ)丁等)進(jìn)行實(shí)時(shí)更新升級。這種 情況下�,需要RSD內(nèi)的Sensors /IDS/IPS等將與該終端相關(guān)的元數(shù)據(jù)傳輸給ASD 中的MAP服務(wù)器。經(jīng)ASD中的MAP服務(wù)器分析處理所述元數(shù)據(jù)后將產(chǎn)生的 metadata result發(fā)送給ASD中的TNC服務(wù)器���,從而允許ASD中的TNC服務(wù)器對終 端安全狀態(tài)等信息進(jìn)行及時(shí)更新升級�����。本實(shí)施例中�,所述終端跨域之前所在的域ASD作為安全狀態(tài)信息請求域, 終端跨域之后所在的域RSD作為安全狀態(tài)信息提供域��,所述終端安全狀態(tài)信息 請求方為ASD中的TNC服務(wù)器�,所述終端安全狀態(tài)信息提供方為RSD中的MAP;
需要說明的是,終端在本發(fā)明實(shí)施例中為支持TNC功能的TNC客戶端�����,以 下以TNC客戶端進(jìn)行說明�,MAP在實(shí)施例中是以MAP服務(wù)器實(shí)現(xiàn)的,以下將以 MAP服務(wù)器進(jìn)行說明�;
具體方法流程如下所示
步驟500至步驟506跟實(shí)施例三中的步驟300至步驟306基本相同,只是負(fù)責(zé) 對TNC客戶端進(jìn)行接入評估的是RSD中的TNC服務(wù)器��,在此不再贅述�。
步驟507, TNC客戶端接入RSD�,當(dāng)該RSD內(nèi)的Sensor/IDS/IPS發(fā)現(xiàn)TNC客戶 端的某些狀態(tài)發(fā)生變化,或者發(fā)現(xiàn)TNC客戶端有異常情況時(shí)����,就會向該RSD中 的MAP服務(wù)器發(fā)送元數(shù)據(jù)發(fā)布(metadatapublisher)消息��,發(fā)布TNC客戶端的狀 態(tài)發(fā)生變化或者該TNC客戶端有異常情況的信息����;
步驟508, RSD中的MAP服務(wù)器收到所述信息之后��,就會發(fā)布給該RSD中的 TNC服務(wù)器���;
步驟509, RSD內(nèi)的TNC服務(wù)器利用IF-FTNC接口 ,通過元數(shù)據(jù)發(fā)布(metadata publisher)消息將與該TNC客戶端安全狀態(tài)信息相關(guān)的metadata發(fā)布給TNC客戶 端所在ASD中的TNC服務(wù)器����;
步驟510, ASD中的TNC服務(wù)器也將所述信息通過元數(shù)據(jù)發(fā)布(metadata publisher)消息發(fā)布給ASD中的MAP服務(wù)器��;
步驟511, ASD中的MAP服務(wù)器在收集����、匯總并分析所述metadata之后,就 會將最終的結(jié)果告知ASD中的TNC服務(wù)器���;
步驟512, ASD中的TNC服務(wù)器根據(jù)metadata的分析匯總結(jié)果����,對所述TNC 客戶端進(jìn)行實(shí)時(shí)監(jiān)控和更新升級。
參見圖6��,為本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第六實(shí)施 例的流程示意本發(fā)明實(shí)施例中����,所述終端跨域之前所在的域作為安全狀態(tài)信息提供域, 終端跨域之后所在的域作為安全狀態(tài)信息請求域���,所述終端安全狀態(tài)信息請求 方為安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器���,所述終端安全狀態(tài)信息提 供方為安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn),本實(shí)施例提供的方法���,包括步驟600����,所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信 網(wǎng)絡(luò)連接接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)請求
消息��;
步驟601�,所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器將所述元數(shù)據(jù) 請求消息發(fā)送給安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn);
步驟602,所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)接收所述元數(shù)據(jù)請求 消息�,在終端的安全信息需要更新時(shí)���,將終端的安全信息需要更新的消息告知 所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器;
步驟603���,所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信 網(wǎng)絡(luò)連接接口向安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)�,告 知所述終端的安全信息需要更新��;
步驟604,所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器向所述安全狀 態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)發(fā)送所述元數(shù)據(jù)�,告知所述元數(shù)據(jù)訪問點(diǎn)�,終 端的安全信息需要更新;
步驟605�����,所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)根據(jù)所述元數(shù)據(jù)���,對 終端進(jìn)行實(shí)時(shí)監(jiān)控和更新�。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新方法第六實(shí)施例�,通過聯(lián)合可信網(wǎng)絡(luò)連接 接口在安全狀態(tài)信息請求域和安全狀態(tài)信息提供域之間進(jìn)行元數(shù)據(jù)交互,可以
終端安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和 更新��。
參見圖7,為本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法第七實(shí)施 例的流程示意圖�����。
首先說明的是,本實(shí)施中����,終端跨域之前所在的域?yàn)閿嘌园踩?ASD), 所謂ASD,作為終端的歸屬域���,有權(quán)斷言終端是否安全���,可以提供安全狀態(tài)信 息或者終端的安全狀態(tài)評估結(jié)果或者安全憑證以及metadata等;終端跨域之后 所在的域?yàn)閿嘌砸蕾嚢踩?RSD),所謂RSD,作為終端的拜訪域�����,它本身不 知道終端是否安全�,需要依賴于ASD提供的安全狀態(tài)信息或者終端的安全狀態(tài) 評估結(jié)果或者安全憑證以及metadata,才可以明確所述終端是否安全。
當(dāng)終端從ASD跨域接入到另 一個(gè)安全域RSD中時(shí)���, 一旦終端的ASD發(fā)現(xiàn)終 端的某一或某些安全狀態(tài)需要進(jìn)行更新或者升級之時(shí)��,ASD必須及時(shí)告知終端當(dāng)前所在的RSD�,以^^實(shí)現(xiàn)對終端安全狀態(tài)信息的實(shí)時(shí)更新����。
本發(fā)明實(shí)施例中��,所述終端跨域之前所在的域��,即ASD作為安全狀態(tài)信息 提供域�,終端跨域之后所在的域�,即RSD作為安全狀態(tài)信息請求域,所述終端 安全狀態(tài)信息請求方為RSD中的TNC服務(wù)器��,所述終端安全狀態(tài)信息提供方為 ASD中的MAP;
需要說明的是�,終端在本發(fā)明實(shí)施例中為支持TNC功能的TNC客戶端,以 下以TNC客戶端進(jìn)行說明���,MAP在實(shí)施例中是以MAP服務(wù)器實(shí)現(xiàn)的,以下將以 MAP服務(wù)器進(jìn)行說明�;
具體方法流程如下所示
步驟700至步驟706與實(shí)施例三中的步驟300至步驟306基本相同,在此不再贅述���。
為了能夠?qū)NC客戶端的安全狀態(tài)信息進(jìn)行升級 更新�����,RSD中的TNC服務(wù) 器需要接收ASD中MAP服務(wù)器發(fā)布的元數(shù)據(jù)�����。
首先��,步驟707���, RSD中的TNC服務(wù)器通過IF-FTNC向ASD中的TNC服務(wù)器 發(fā)送元凄史才居i貪求(metadata subscribe)消息�;
metadata subscribe消息�。
步驟709,當(dāng)ASD發(fā)現(xiàn)TNC客戶端的某安全信息需要進(jìn)行升級更新時(shí),ASD
消息����,告知終端的某安全信息需要進(jìn)行升級更新;
步驟710,所述ASD中的TNC服務(wù)器則通過IF - FTNC向RSD中的TNC服務(wù)器 發(fā)送所述metadata result消息���,告知終端的某安全信息需要進(jìn)行升級更新�;
步驟711, RSD中的TNC服務(wù)器向該RSD中的MAP服務(wù)器發(fā)送metadata
publish消息�����,向MAP服務(wù)器發(fā)布TNC客戶端的某安全信息需要進(jìn)行升級更新信 臺
所述RSD中的MAP服務(wù)器接收到所述metadata publish消息后���,就能夠?qū)?TNC客戶端的某安全信息進(jìn)行升級更新�。
圖8是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第一實(shí)施例的 結(jié)構(gòu)示意終端安全狀態(tài)信息請求方200和終端安全狀態(tài)信息的提供方100;所述終端安全狀態(tài)信息的請求方200,用于從所述終端安全狀態(tài)信息提供方 100獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù);所述終端安全狀態(tài)信息的請求方 200為第三方業(yè)務(wù)提供者4�����,或者在安全狀態(tài)信息請求域中�;終端安全狀態(tài)信息 提供方IOO在安全狀態(tài)信息提供域中;
終端安全狀態(tài)信息請求方200根據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�����, 對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新�。
所述安全狀態(tài)信息提供域中還包括可信網(wǎng)絡(luò)連接服務(wù)器;
終端安全狀態(tài)信息請求方200通過安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接 服務(wù)器��,從終端安全狀態(tài)信息提供方100獲得與終端安全狀態(tài)信息相關(guān)的元數(shù) 據(jù)��;
所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器還連接有聯(lián)合可信網(wǎng)絡(luò) 連接接口 3;
終端安全狀態(tài)信息請求方200通過連接所述安全狀態(tài)信息提供域中的可信 網(wǎng)絡(luò)連接服務(wù)器的聯(lián)合可信網(wǎng)絡(luò)連接接口 3�,從終端安全狀態(tài)信息提供方100獲 得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)����。
實(shí)施本發(fā)明實(shí)施例提供的系統(tǒng),通過在不同域之間進(jìn)行元數(shù)據(jù)交互��,能夠 實(shí)現(xiàn)對終端的安全狀態(tài)實(shí)時(shí)控制和對終端的安全信息進(jìn)行及時(shí)更新。
圖9是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第二實(shí)施例的 結(jié)構(gòu)示意在本實(shí)施例中���,所述終端跨域之前所在的域����,即斷言安全域(ASD) 1作為 安全狀態(tài)信息提供域����,終端跨域之后所在的域,即依賴斷言安全域(RSD) 2作 為安全狀態(tài)信息請求域��,所述終端安全狀態(tài)信息請求方為第三方業(yè)務(wù)提供者4 或者RSD2中的應(yīng)用服務(wù)器20,所述終端安全狀態(tài)信息提供方為ASD1中的MAP (本實(shí)施中以MAP服務(wù)器11實(shí)現(xiàn))�����;所述ASD1中還包括TNC服務(wù)器10;
所述第三方業(yè)務(wù)提供者4或者RSD2中的應(yīng)用服務(wù)器20���,用于通過聯(lián)合可
信網(wǎng)絡(luò)連接接口 (IF-FTNC) 3向ASD1中的TNC服務(wù)器IO發(fā)送元數(shù)據(jù)請求消 自
所述ASD1中的TNC服務(wù)器10���,用于在收到所述元數(shù)據(jù)定制消息后,將元 數(shù)據(jù)請求消息轉(zhuǎn)發(fā)給所述ASD1中的MAP服務(wù)器11;
所述MAP服務(wù)器11�,用于接收所述元數(shù)據(jù)請求消息后,將與終端安全狀態(tài)信息相應(yīng)的元數(shù)據(jù)發(fā)送給所述ASD1中的TNC服務(wù)器10;
所述ASD1中的TNC服務(wù)器10,用于通過IF-FTNC 3向第三方業(yè)務(wù)提供者 4或者RSD2中的應(yīng)用服務(wù)器20返回所述元數(shù)據(jù)����,將終端的安全狀態(tài)信息告知 所述第三方業(yè)務(wù)提供者4或者RSD2中的應(yīng)用服務(wù)器20;
第三方業(yè)務(wù)提供者4或者RSD2中的應(yīng)用服務(wù)器20則根據(jù)所述TNC服務(wù) 器IO返回的與終端安全狀態(tài)信息相應(yīng)的元數(shù)據(jù)�,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān) 控和更新���。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第二實(shí)施例����,通過IF-FTNC在第三方 業(yè)務(wù)提供者與ASD,或者RSD與ASD之間進(jìn)行元數(shù)據(jù)交互�,可以實(shí)現(xiàn)第三方 業(yè)務(wù)提供者或者RSD中的應(yīng)用服務(wù)器對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
圖10是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第三實(shí)施例的 結(jié)構(gòu)示意在本實(shí)施例中,所述終端跨域之前所在的域,即斷言安全域(ASD) 1作為 安全狀態(tài)信息請求域��,終端跨域之后所在的域,即依賴斷言安全域(RSD) 2作 為安全狀態(tài)信息提供域����,所述終端安全狀態(tài)信息請求方為ASDl中的TNC服務(wù) 器10,所述終端安全狀態(tài)信息提供方為RSD2中的MAP (本實(shí)施例中以MAP 服務(wù)器22實(shí)現(xiàn))�;RSD2中還包括TNC服務(wù)器21和傳感器/入侵檢測系統(tǒng)/入侵 防護(hù)系統(tǒng)(Sersor/IDS/IPS ) 23;
所述RSD2的Sersor/IDS/IPS23,用于在終端安全狀態(tài)變化時(shí)�����,或終端異常 情況時(shí)����,向RSD2中的MAP服務(wù)器22發(fā)布終端安全狀態(tài)變化或異常情況信息;
所述RSD2的MAP服務(wù)器22����,用于將所述終端安全狀態(tài)變化或異常情況信 息發(fā)布給RSD2中的TNC服務(wù)器21;
所述RSD2中的TNC服務(wù)器21 ,用于通過聯(lián)合可信網(wǎng)絡(luò)連接接口 ( IF-FTNC ) 3將與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)發(fā)布給ASDl中的TNC服務(wù)器10;
所述ASD1中的TNC服務(wù)器IO�,用于根據(jù)所述元數(shù)據(jù),對終端進(jìn)行實(shí)時(shí)監(jiān) 控和更新�。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第三實(shí)施例,通過IF-FTNC接口在 RSD和ASD之間進(jìn)行元數(shù)據(jù)交互����,可以使得ASD中的TNC服務(wù)器對終端的安 全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
圖11是本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第四實(shí)施例的結(jié)構(gòu)示意本實(shí)施例中���,所述終端if爭域之前所在的域�����,即斷言安全域(ASD) 1作為安 全狀態(tài)信息提供域�����,終端跨域之后所在的域�,即依賴斷言安全域(RSD) 2作為 安全狀態(tài)信息請求域,所述終端安全狀態(tài)信息請求方為RSD2中的TNC服務(wù)器 21,所述終端安全狀態(tài)信息提供方為ASD1中的MAP (本實(shí)施例中以MAP服 務(wù)器11實(shí)現(xiàn))�����,所述RSD2中還包括MAP (本實(shí)施中以MAP服務(wù)器22實(shí)現(xiàn))�����, 所述ASD1中還包括TNC服務(wù)器10:
所述RSD2中的TNC服務(wù)器21,用于通過聯(lián)合可信網(wǎng)絡(luò)連接接口 ( IF-FTNC ) 3向ASD1中的TNC服務(wù)器10發(fā)送元數(shù)據(jù)請求消息�����;
所述ASD1中的TNC服務(wù)器IO將所述元數(shù)據(jù)請求消息發(fā)送給ASDl中的 MAP服務(wù)器11;
所述ASD1中的MAP服務(wù)器11���,用于接收所述元數(shù)據(jù)請求消息��,在終端的 安全信息需要更新時(shí)��,將終端的安全信息需要更新告知所述ASD1中的TNC服 務(wù)器10;
所述ASDl中的TNC服務(wù)器10,用于通過IF-FTNC3向RSD2中的TNC 服務(wù)器21發(fā)送元數(shù)據(jù)�����,告知所述終端的安全信息需要更新���;
所述RSD2中的TNC服務(wù)器21 �����,用于向所述RSD2中的MAP服務(wù)器22 發(fā)送所述元數(shù)據(jù),告知所述MAP服務(wù)器22�,終端的安全信息需要更新;
所述RSD2中的MAP服務(wù)器22則根據(jù)所述元數(shù)據(jù)��,對終端進(jìn)行實(shí)時(shí)監(jiān)控 和更新�����。
實(shí)施終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)第四實(shí)施例���,通過IF-FTNC接口在 ASD和RSD之間進(jìn)行元數(shù)據(jù)交互��,可以使RSD中的MAP服務(wù)器對終端的安全 狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新���。
需要說明的是,只要是用于執(zhí)行本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控 和更新方法的裝置或設(shè)備���,或者是組成本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān) 控和更新系統(tǒng)的裝置或設(shè)備��,都應(yīng)當(dāng)屬于本發(fā)明的保護(hù)范圍���。
實(shí)施本發(fā)明實(shí)施例提供的終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng)�����,通過在 不同域之間進(jìn)行元數(shù)據(jù)交互�,可以實(shí)現(xiàn)對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新�����。
通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明 可借助軟件加必需的硬件平臺的方式來實(shí)現(xiàn),當(dāng)然也可以全部通過硬件來實(shí)施���?���;谶@樣的理解�����,本發(fā)明的技術(shù)方案對背景技術(shù)做出貢獻(xiàn)的全部或者部分可以 以軟件產(chǎn)品的形式體現(xiàn)出來����,該計(jì)算機(jī)軟件產(chǎn)品可以存儲在存儲介質(zhì)中���,如
ROM/RAM、磁碟�、光盤等,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè) 人計(jì)算機(jī)����,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某 些部分所述的方法����。
以上所揭露的僅為本發(fā)明 一種較佳實(shí)施例而已,當(dāng)然不能以此來限定本發(fā) 明之權(quán)利范圍�����,因此依本發(fā)明權(quán)利要求所作的等同變化���,仍屬本發(fā)明所涵蓋的 范圍�。
權(quán)利要求
1���、一種終端安全狀態(tài)的監(jiān)控和更新方法���,其特征在于���,包括終端安全狀態(tài)信息請求方從終端安全狀態(tài)信息提供方獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù);所述終端安全狀態(tài)信息的請求方為第三方業(yè)務(wù)提供者����,或者在安全狀態(tài)信息請求域中;終端安全狀態(tài)信息提供方在安全狀態(tài)信息提供域中��;終端安全狀態(tài)信息請求方根據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)���,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新����。
2�����、 如權(quán)利要求1所述的終端安全狀態(tài)的監(jiān)控和更新方法���,其特征在于���,所 述終端安全狀態(tài)信息請求方通過安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù) 器���,從終端安全狀態(tài)信息提供方獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)。
3�、 如權(quán)利要求2所述的終端安全狀態(tài)的監(jiān)控和更新方法,其特征在于�,所 述終端安全狀態(tài)信息請求方通過連接所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連 接服務(wù)器的聯(lián)合可信網(wǎng)絡(luò)連接接口 ,從終端安全狀態(tài)信息提供方獲得與終端安 全狀態(tài)信息相關(guān)的元數(shù)據(jù)�����。
4��、 如權(quán)利要求3所述的終端安全狀態(tài)的監(jiān)控和更新方法���,其特征在于,所 述終端跨域之前所在的域作為安全狀態(tài)信息提供域�����,終端跨域之后所在的域作 為安全狀態(tài)信息請求域����,所述終端安全狀態(tài)信息請求方為第三方業(yè)務(wù)提供者或 者為安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器,所述終端安全狀態(tài)信息提供方為安 全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn),所述方法包括第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器通過聯(lián)合可信 網(wǎng)絡(luò)連接接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)請求 消息����;安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器收到所述元數(shù)據(jù)請求消息 后,轉(zhuǎn)發(fā)給所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)����;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)接收到所述元數(shù)據(jù)請求消息后,向所述安全狀態(tài)信息提供求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信網(wǎng)絡(luò)連接 接口向所述第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器返回所 述元數(shù)據(jù);所述第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器根據(jù)所述 元數(shù)據(jù)���,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新����。
5���、 如權(quán)利要求3所述的終端安全狀態(tài)的監(jiān)控和更新方法��,其特征在于��,所 述終端跨域之前所在的域作為安全狀態(tài)信息請求域��,終端跨域之后所在的域作 為安全狀態(tài)信息提供域�����,所述終端安全狀態(tài)信息請求方為安全狀態(tài)信息請求域 中的可信網(wǎng)絡(luò)連接服務(wù)器���,所述終端安全狀態(tài)信息提供方為安全狀態(tài)信息提供 域中的元數(shù)據(jù)訪問點(diǎn)��,所述方法包括在終端安全狀態(tài)變化或異常情況時(shí)����,向所述安全狀態(tài)信息提供域中的元數(shù) 據(jù)訪問點(diǎn)發(fā)布終端安全狀態(tài)變化或異常情況信息����;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)將所述終端安全狀態(tài)變化或異 常情況信息發(fā)布給安全狀態(tài)信息4是供域中的可信網(wǎng)絡(luò)連接服務(wù)器;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信網(wǎng)絡(luò)連接 接口將與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)發(fā)送給安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器��;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器根據(jù)所述元數(shù)據(jù)�����,對終 端進(jìn)行實(shí)時(shí)監(jiān)控和更新���。
6、 如權(quán)利要求5所述的終端安全狀態(tài)的監(jiān)控和更新方法���,其特征在于�����,所 述在終端安全狀態(tài)變化或異常情況時(shí)��,向所述安全狀態(tài)信息提供域中的元數(shù)據(jù) 訪問點(diǎn)發(fā)布終端安全狀態(tài)變化或異常情況信息����,具體包括在終端安全狀態(tài)變化或有異常情況時(shí),所述安全狀態(tài)信息提供域中的傳感 器/入侵檢測系統(tǒng)/入侵防護(hù)系統(tǒng)向安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)發(fā)布 終端安全狀態(tài)變化或異常情況信息����。
7、 如權(quán)利要求5所述的終端安全狀態(tài)的監(jiān)控和更新方法��,其特征在于�����,所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器根據(jù)所述元數(shù)據(jù)����,對終端進(jìn)行實(shí)時(shí)監(jiān)控和更新,包括所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器將所述元數(shù)據(jù)發(fā)送給所 述安全狀態(tài)信息請求域中的元凄t據(jù)訪問點(diǎn)�����;所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)匯總并分析元數(shù)據(jù)以后,將分 析結(jié)果告知給安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接^^務(wù)器���;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器根據(jù)所述元數(shù)據(jù)分析結(jié) 果對所述終端進(jìn)行實(shí)時(shí)監(jiān)控和更新��。
8���、 如權(quán)利要求3所述的終端安全狀態(tài)的監(jiān)控和更新方法,其特征在于�,所 述終端跨域之前所在的域作為安全狀態(tài)信息提供域,終端跨域之后所在的域作 為安全狀態(tài)信息請求域��,所述終端安全狀態(tài)信息請求方為安全狀態(tài)信息請求域 中的可信網(wǎng)絡(luò)連接服務(wù)器�,所述終端安全狀態(tài)信息提供方為安全狀態(tài)信息提供 域中的元數(shù)據(jù)訪問點(diǎn),所述方法包括所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信網(wǎng)絡(luò)連接 接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)請求消息����;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器將所述元數(shù)據(jù)請求消息 發(fā)送給安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)�;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)接收所述元數(shù)據(jù)請求消息,在 終端的安全信息需要更新時(shí)�����,將終端的安全信息需要更新的消息告知所述安全 狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器通過聯(lián)合可信網(wǎng)絡(luò)連接 接口向安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)���,告知所述終 端的安全信息需要更新�����;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器向所述安全狀態(tài)信息請 求域中的元數(shù)據(jù)訪問點(diǎn)發(fā)送所述元數(shù)據(jù)���,告知所述元數(shù)據(jù)訪問點(diǎn),終端的安全 信息需要更新��; 所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)根據(jù)所述元數(shù)據(jù)��,對終端進(jìn)行 實(shí)時(shí)監(jiān)控和更新�。
9、 一種終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)�����,其特征在于�����,包括 終端安全狀態(tài)信息請求方和終端安全狀態(tài)信息的提供方����; 所述終端安全狀態(tài)信息的請求方��,用于從所述終端安全狀態(tài)信息提供方獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�;所述終端安全狀態(tài)信息的請求方為第三 方業(yè)務(wù)提供者��,或者在安全狀態(tài)信息請求域中�;終端安全狀態(tài)信息提供方在安 全狀態(tài)信息提供域中;終端安全狀態(tài)信息請求方纟艮據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)����,對終 端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
10��、 如權(quán)利要求9所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)���,其特征在于�, 所述安全狀態(tài)信息提供域中還包括可信網(wǎng)絡(luò)連接服務(wù)器����;終端安全狀態(tài)信息請求方通過安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù) 器,從終端安全狀態(tài)信息提供方獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�。
11��、 如權(quán)利要求IO所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng),其特征在于���, 所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器還連接有聯(lián)合可信網(wǎng)絡(luò)連接 接口�;終端安全狀態(tài)信息請求方通過連接所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò) 連接服務(wù)器的聯(lián)合可信網(wǎng)絡(luò)連接接口 ���,從終端安全狀態(tài)信息提供方獲得與終端 安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�。
12����、 如權(quán)利要求11所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng),其特征在于�����, 所述終端跨域之前所在的域作為安全狀態(tài)信息提供域��,終端跨域之后所在的域 作為安全狀態(tài)信息請求域�,所述終端安全狀態(tài)信息請求方為第三方業(yè)務(wù)提供者 或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器,所述終端安全狀態(tài)信息提供方為安 全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)�;所述安全狀態(tài)信息提供域中還包括可信 網(wǎng)絡(luò)連接月良務(wù)器;第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器����,用于通過聯(lián) 合可信網(wǎng)絡(luò)連接接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)請求消息��;安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器�����,用于在收到所述元數(shù)據(jù)請求消息后�����,轉(zhuǎn)發(fā)給所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)�;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)���,用于接收到所述元數(shù)據(jù)請求消息后��,向所述安全狀態(tài)信息提供求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�����;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器�,用于通過聯(lián)合可信網(wǎng)絡(luò)連接接口向第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器返回所述元數(shù)據(jù)��;所述第三方業(yè)務(wù)提供者或者安全狀態(tài)信息請求域中的應(yīng)用服務(wù)器則根據(jù)所 述元數(shù)據(jù)��,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。
13�、 如權(quán)利要求11所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng),其特征在于�����, 所述終端跨域之前所在的域作為安全狀態(tài)信息請求域��,終端跨域之后所在的域 作為安全狀態(tài)信息提供域��,所述終端安全狀態(tài)信息請求方為安全狀態(tài)信息請求 域中的可信網(wǎng)絡(luò)連接服務(wù)器�����,所述終端安全狀態(tài)信息提供方為安全狀態(tài)信息提 供域中的元數(shù)據(jù)訪問點(diǎn)��;安全狀態(tài)信息提供域中還包括可信網(wǎng)絡(luò)連接服務(wù)器和 傳感器/入侵檢測系統(tǒng)/入侵防護(hù)系統(tǒng)��;安全狀態(tài)信息提供域中的傳感器/入侵檢測系統(tǒng)/入侵防護(hù)系統(tǒng)���,用于在終端 安全狀態(tài)變化或異常情況時(shí),向所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)發(fā) 布終端安全狀態(tài)變化或異常情況信息�;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn),用于將所述終端安全狀態(tài)變 化或異常情況信息發(fā)布給安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器��;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器,用于通過聯(lián)合可信網(wǎng) 絡(luò)連接接口將與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)發(fā)送給安全狀態(tài)信息請求域中 的可信網(wǎng)絡(luò)連接服務(wù)器��;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器���,用于根據(jù)所述元數(shù)據(jù)����, 對終端進(jìn)行實(shí)時(shí)監(jiān)控和更新�。
14、 如權(quán)利要求13所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)��,其特征在于�����,所述安全狀態(tài)信息請求域中還包括元數(shù)據(jù)訪問點(diǎn)��;所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)�,用于接收來自所述安全狀態(tài) 信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送的元數(shù)據(jù),將所述元數(shù)據(jù)進(jìn)行匯總并 分析元數(shù)據(jù)以后�,將分析結(jié)果告知給安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服 務(wù)器。
15���、如權(quán)利要求11所述的終端安全狀態(tài)的監(jiān)控和更新系統(tǒng)�,其特征在于, 所述終端跨域之前所在的域作為安全狀態(tài)信息提供域�����,終端跨域之后所在的域 作為安全狀態(tài)信息請求域�����,所述終端安全狀態(tài)信息請求方為安全狀態(tài)信息請求 域中的可信網(wǎng)絡(luò)連接服務(wù)器�,所述終端安全狀態(tài)信息提供方為安全狀態(tài)信息提 供域中的元數(shù)據(jù)訪問點(diǎn)���,所述安全狀態(tài)信息請求域中還包括元數(shù)據(jù)訪問點(diǎn)���,所 述安全狀態(tài)信息4是供域中還包括可信網(wǎng)絡(luò)連接服務(wù)器;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器����,用于通過聯(lián)合可信網(wǎng)絡(luò)連接接口向安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)請求消 自 所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器,用于將所述元數(shù)據(jù)請求消息發(fā)送給安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn)����;所述安全狀態(tài)信息提供域中的元數(shù)據(jù)訪問點(diǎn),用于接收所述元數(shù)據(jù)請求消 息�����,在終端的安全信息需要更新時(shí),將終端的安全信息需要更新的消息告知所 述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器����;所述安全狀態(tài)信息提供域中的可信網(wǎng)絡(luò)連接服務(wù)器,還用于通過聯(lián)合可信 網(wǎng)絡(luò)連接接口向安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器發(fā)送元數(shù)據(jù)��,告 知所述終端的安全信息需要更新��;所述安全狀態(tài)信息請求域中的可信網(wǎng)絡(luò)連接服務(wù)器�,還用于向所述安全狀 態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)發(fā)送所述元數(shù)據(jù),告知所述元數(shù)據(jù)訪問點(diǎn)�,終 端的安全信息需要更新;所述安全狀態(tài)信息請求域中的元數(shù)據(jù)訪問點(diǎn)還用于根據(jù)所述元數(shù)據(jù)��,對終 端進(jìn)行實(shí)時(shí)監(jiān)控和更新����。
全文摘要
本發(fā)明實(shí)施例公開了一種終端安全狀態(tài)的監(jiān)控和更新方法和系統(tǒng),所述方法包括終端安全狀態(tài)信息請求方從終端安全狀態(tài)信息提供方獲得與終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)�;所述終端安全狀態(tài)信息的請求方為第三方業(yè)務(wù)提供者,或者在安全狀態(tài)信息請求域中�;終端安全狀態(tài)信息提供方在安全狀態(tài)信息提供域中;終端安全狀態(tài)信息請求方根據(jù)所述終端安全狀態(tài)信息相關(guān)的元數(shù)據(jù)��,對終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控和更新。采用本發(fā)明實(shí)施例�����,可在不同的域之間進(jìn)行元數(shù)據(jù)交互��,實(shí)現(xiàn)對終端安全狀態(tài)的實(shí)時(shí)監(jiān)控和更新�����。
文檔編號H04L12/26GK101616034SQ20081002900
公開日2009年12月30日 申請日期2008年6月25日 優(yōu)先權(quán)日2008年6月25日
發(fā)明者任蘭芳, 冰 劉, 瀚 尹, 科 賈 申請人:華為技術(shù)有限公司