安全状态评估方法、网络设备和网络系统技术方案

本发明专利技术实施例公开了一种安全状态评估方法、网络设备和网络系统。本发明专利技术实施例提供的安全状态评估方法，包括：响应方接收来自请求方的通信请求，以及所述请求方所信任评估者的信息；根据所述评估者的信息，所述响应方或请求方确定双方都信任的评估者；所述响应方获取所述评估者对所述请求方的安全状态评估结果，所述安全状态评估结果由所述评估者根据来自请求方的安全状态信息获取；所述响应方根据所述评估结果对所述请求方的通信请求做出响应。本发明专利技术实施例适用于对通信实体进行安全状态评估。

【技术实现步骤摘要】

本专利技术涉及网络
，特别涉及一种安全状态评估方法、网络设备和 网络系统。
技术介绍
随着网络技术的不断发展，网络规模越来越大，网络的应用也越来越广泛。 与此同时，网络中出现的安全问题也越来越频繁，网络安全形势日趋严峻。而 用户主机、工作站、服务器等终端是网络数据流的起点与终点，也是网络安全 事件产生的根源。大量接入到网络中的不安全终端不仅会成为被攻击的对象， 还可能被攻击者所利用，成为病毒传播、黑客攻击的中间媒介，进而严重影响 整个网络的正常运行。因此，必须从产生网络安全隐患的源头上解决不安全终 端带来的网络安全问题。可信计算组织(Trusted Computing Group, TCG )于2005年颁布了针对企 业网的可信网络连接(Trusted Network Connect, TNC)标准。TNC架构包括 接入请求者(Access Requestor, AR )、策略执行点(Policy Enforcement Point, PEP)、笨略决策点(Policy Decision Point, PDP )、元凄t才居i方问点(Metadata Access Point, MAP )、流量控制器和传感器。当AR请求接入一个受保护的网络， PDP根据网络的安全策略配置完成对AR安全状态信息的评估，才艮据评估的结果 做出决策。然后将这一决策传给PEP，由PEP对AR的接入请求做出响应。 在实现本专利技术的过程中，专利技术人发现现有技术中存在如下问题 在现有的TNC架构中，终端在请求接入网络时，必须将自己的安全状态信 息公布给网络方，由网络方对所述安全状态信息进^f亍评估。因此，采用TNC架6构对终端进行安全状态评估时，终端的隐私得不到保护，终端的安全性低。
技术实现思路
一方面，,本专利技术的实施例提供一种安全状态评估方法，该方法能够充分保 护通信实体的隐私，增强通信实体的安全性，提高安全状态评估的灵活性。本专利技术的实施例安全状态评估方法采用以下技术方案 一种安全状态评估方法，包括响应方接收来自请求方的通信请求，以及所述请求方所信任评估者的信息;根据所述评估者的信息，所述响应方或请求方确定双方都信任的评估者；所述响应方获取所述评估者对所述请求方的安全状态评估结果，所述安全 状态评估结果由所述评估者根据来自请求通信实体的安全状态信息获取；所述响应方根据所述评估结果对所述请求方的通信请求做出响应。本专利技术的实施例安全状态评估方法，请求方和响应方协商确定评估者，由 详估者根据请求方的安全状态信息，对请求方进行评估，响应方根据评估结果 对请求方做出响应。与现有技术相比，请求方不需要将自己的安全状态信息公 布给响应方，避免了由于安全状态信息的泄漏而导致自身受到攻击，充分保护 了通信实体的隐私，增强了通信实体的安全性，提高了安全状态评估的灵活性。另一方面，本专利技术的实施例提供一种网络设备，该网络设备能够充分保护 通信实体的隐私，增强通信实体的安全性，提高安全状态评估的灵活性。本专利技术的实施例网络设备采用以下技术方案一种网络设备，包括安全状态信息获取单元，用于获取第一通信实体的安全状态信息； 评估单元，用于才艮据所述安全状态信息，对所述第一通信实体进行安全状 态评估，将评估结果发送给与所述第一通信实体通信的第二通信实体，由所述第二通信实体根据所述评估结果对所述被评估的通信实体做出响应。本专利技术的实施例网络设备，安全状态信息获取单元获取需要评估的通信实 体的安全状态信息，评估单元根据所述安全状态信息，对第一通信实体进行安 全状态评估，并将评估结果发送给第二通信实体，由第二通信实体根据所述结 果对所述被评估的通信实体做出响应。与现有技术相比，第一通信实体不需要 将自己的安全状态信息公布给第二通信实体，避免了由于安全状态信息的泄漏 而导致自身受到攻击，充分保护了通信实体的隐私，增强了通信实体的安全性, 提高了 ^全状态评估的灵活性。第三方面，本专利技术的实施例提供一种网络系统，该网络系统能够充分保护 通信实体的隐私，增强通信实体的安全性，提高安全状态评估的灵活性。' 本专利技术的实施例网络系统采用以下技术方案 一种网络系统，包括请求方，用于向响应方请求建立通信，将自己所信任评估者的信息告知响 应方；响应方，用于接收请求方发送来的评估者的信息，根据所述评估者的信息, 确定双方都信任的评估者，获取所述评估者对请求方的评估结果，根据所述评 估结果对请求方做出响应；评估者，用于获取请求方的安全状态信息，对请求方的安全状态进行评估， 得到评估结果。本专利技术的实施例网络系统，请求方和响应方协商确定评估者，由评估者根 揚请求方的安全状态信息，对请求方进行评估，响应方#>据评估结果对请求方 做出响应。与现有技术相比，请求方不需要将自己的安全状态信息公布给响应 方，避免了由于安全状态信息的泄漏而导致自身受到攻击，充分保护了通信实体的隐私，增强了通信实体的安全性，提高了安全状态评估的灵活性。第四方面，本专利技术的实施例提供一种安全状态评估方法，该方法能够充分 保护通信实体的隐私，增强通信实体的安全性，提高安全状态评估的灵活性。本专利技术的实施例安全状态评估方法采用以下技术方案 一种安全状态评估方法，包括第二通信实体接收来自第一通信实体的通信请求，以及第一通信实体所信 任评估者的信息；根据第 一通信实体所信任评估者的信息，第二通信实体或第 一通信实体确 定双方都信任的第 一评估者和第二评估者；第二通^实体获取第 一评估者对第 一通信实体的评估结果，所述第 一评估 者对第一通信实体的评估结果由第一评估者根据来自第一通信实体的安全状态 信息获取；第二通信实体根据所述评估结果对第 一通信实体做出响应； 第一通信实体获取第二评估者对第二通信实体的评估结果，所述第二评估者对第二通信实体的评估结果由第二评估者才艮据来自第二通信实体的安全状态信息获取；第 一通信实体根据所述评估结果对第二通信实体做出响应。 本专利技术的实施例安全状态评估方法，第 一通信实体和第二通信实体协商确 定各自的评估者，每个评估者根据自己评估的通信实体的安全状态信息，对该 通信实体进行评估，两通信实体根据评估结果对对侧通信实体做出响应。与现 有技术相比，两通信实体不需要将自己的安全状态信息公布给对侧通信实体， 避免了由于安全状态信息的泄漏而导致自身受到攻击，充分保护了通信实体的 隐私，增强了通信实体的安全性，提高了安全状态评估的灵活性。第五方面，本专利技术的实施例提供一种网络系统，该网络系统能够充分保护 通信实体的隐私，增强通信实体的安全性，提高安全状态评估的灵活性。— 本专利技术的实施例网络系统采用以下技术方案 一种网络系统，包括第-通信实体，用于向第二通信实体发送通信请求，将自身所信任评估者 的信息告知第二通信实体，获取第二评估者对第二通信实体的评估结果，根据 所述评估结果对第二通信实体做出响应；-第二通信实体，用于接收来自第一通信实体的评估者的信息，根据第一通 信实体所信任评估者的信息，确定双方都信任的第一评估者和第二评估者，获取第一评估者对第一通信实体的评估结果，4艮据所述评估结果对第一通信实体 ^敝出响应；第一评估者，用于获取第一通信实体的安全状态信息，对第一通信实体的 安全状态进行评估，得本文档来自技高网...

【技术保护点】
一种安全状态评估方法，其特征在于，包括：　响应方接收来自请求方的通信请求，以及所述请求方所信任评估者的信息；　根据所述评估者的信息，所述响应方或请求方确定双方都信任的评估者；　所述响应方获取所述评估者对所述请求方的安全状态 评估结果，所述安全状态评估结果由所述评估者根据来自请求方的安全状态信息获取；　所述响应方根据所述评估结果对所述请求方的通信请求做出响应。

【技术特征摘要】
1、一种安全状态评估方法，其特征在于，包括响应方接收来自请求方的通信请求，以及所述请求方所信任评估者的信息；根据所述评估者的信息，所述响应方或请求方确定双方都信任的评估者；所述响应方获取所述评估者对所述请求方的安全状态评估结果，所述安全状态评估结果由所述评估者根据来自请求方的安全状态信息获取；所述响应方根据所述评估结果对所述请求方的通信请求做出响应。2、 根据权利要求l所述的安全状态评估方法，其特征在于，所述响应方或 请求方确定双方都信任的评估者的步骤包括响应方根据请求方所信任评估者的信息，选择双方都信任的评估者；或者， 响应方将自身所信任评估者的信息发送给请求方，由请求方选择双方都信 任的评估者。3、 根据权利要求l所述的安全状态评估方法，其特征在于，所述安全状态 评估结果由所述评估者根据来自请求方的安全状态信息获取的步骤包括评估者根据所述安全状态信息对所述请求方进行评估；或者， 评估者提取自身所存储的对所述请求方的评估结果。4、 根据权利要求3所述的安全状态评估方法，其特征在于，所述评估者根据 所述安全状态信息对所述请求方进行评估的步骤包括评估者按照自身提供的策略，根据所述安全状态信息对所述请求方进行评 估；或者，评估者按照响应方提供的策略，根据所述安全状态信息对所述请求方进行 评估。5、 根据权利要求l所述的安全状态评估方法，其特征在于，所述响应方获 取所述评估者对所述请求方的安全状态评估结果的步骤包括响应方向评估者请求对请求方的评估结果；或者，评估者将评估结果发送给请求方，请求方将带有评估者标识的评估结果发 纟会响应方。6、根据权利要求1至5中任一项所述的安全状态评估方法，其特征在于，所 迷安全状态信息包括请求方所安装操作系统的版本信息、补丁信息、防火墙版本信息、杀毒软 件版本信息或浏览器版本信息。7、 一种安全状态评估方法，其特征在于，包括第二通信实体接收来自第一通信实体的通信请求，以及第一通信实体所信 任评估者的信息；根据第一通信实体所信任评估者的信息，第二通信实体或第一通信实体确 定双方都信任的第 一评估者和第二评估者；第二通信实体获取第 一评估者对第 一通信实体的评估结果，所述第 一评估 者对第一通信实体的评估结果由第一评估者根据来自第一通信实体的安全状态 信息获取； ，第二通信实体根据所述评估结果对第 一通信实体估文出响应；第 一通信实体获取第二评估者对第二通信实体的评估结果，所述第二评估者对第二通信实体的评估结果由第二评估者根据来自第二通信实体的安全状态信息获取；第 一通信实体根据所述评估结果对第二通信实体做出响应。8、 根据权利要求7所述的安...

【专利技术属性】
技术研发人员：贾科，尹瀚，任兰芳，刘夫萍，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]