評估網絡側安全狀態的方法和安全認證系統的制作方法

專利名稱：評估網絡側安全狀態的方法和安全認證系統的制作方法
技術領域：
本發明涉及一種評估網絡側安全狀態的方法，特別是一種網絡端點對網
絡側安全狀態進行評估的方法；本發明又涉及一種接入網絡的方法，特別是 一種基于雙向安全認證的網絡側絡的方法；本發明還涉及一種安全認證系統， 特別是一種網絡端點和網絡側之間能夠雙向安全認證的系統，屬于網絡技術 領域。
背景技術：
隨著互聯網在全球的快速發展，互聯網上的病毒、黑客攻擊等層出不窮， 給互聯網應用層上的安全帶來越來越多的威脅。這些威脅的主要原因來自于 網際協-議(Internet Protocol,以下簡稱IP ):技術的開i文架構和其本身安 全保護手l殳的缺乏。網絡端點評估(Network Endpoint Assessment,以下簡 稱NEA)的目的是保護網絡不受那些來自不安全的網絡節點的威脅。這些不 安全的網絡節點包括已經被病毒感染或存在某些安全漏洞的節點。
在NEA體系中，網絡管理者通過設置在試圖接入網絡的網絡端點上的代理 客戶端，收集該網絡端點的系統狀態信息，并對其進行評估，考察這些網絡 端點與網絡安全策略的符合程度。然后根據對某個網絡端點的評估結果來確 定是否允許該網絡端點接入網絡。為了維護網絡的安全，只有那些符合網絡 安全策略要求的網絡端點才被允許接入網絡。對于不符合網絡安全策略要求 的網絡端點，網絡管理者不允許其接入網絡，同時還可以將更新安全策略的 途徑通知該網絡端點。
參見圖1 ，基于上述網絡端點評估而對其接入到網絡側的一個現有的技術 方案如下首先，在網絡端點請求接入到某一網絡側的時候，該網絡側發送查詢請求ll，設置在網絡側的代理服務器A在該查詢請求11中指明需要設置 在網絡端點的代理客戶端B應當提供哪些安全方面的信息；該代理客戶端B通 過查詢結果消息12將其所在的網絡端點的安全信息發送給前述的代理服務器 A;代理服務器A對代理客戶端B發送過來的安全信息進行評估，并根據評估的 結果做出是否允許該網絡端點接入網絡的處理，并將授權信息和更新途徑通 過授權/更新消息3發送到代理客戶端B 。
前述的代理客戶端B在具體的技術實現上，可以是安裝在網絡端點上 的NEA處理裝置或者代理軟件，它能夠搜集其所在網絡端點的系統狀態信 息，并傳送給網絡側的服務器。它還能夠接收網絡側服務器的評估結果。 該實體或者軟件可以借助網絡端點上多個其他功能模塊完成其功能。代理 服務器A在具體的實現上是由網絡管理者部署的設備、裝置或者軟件。它 能夠對網絡端點代理客戶端發出的系統狀態信息進行評估，并根據評估結 果控制該網絡端點對網絡側的訪問。該實體或者軟件可以借助網絡側的多 個其他功能模塊完成其自身的功能。
參見圖2 ，基于上述網絡端點評估而對其接入到網絡的另 一個現有的技術 方案是首先，在網絡端點請求接入到某一網絡側的時候，由網絡側發送策 略信息21 ，設置在網絡側的代理服務器A通過該策略信息2l將評估時所需要的 安全策略發送到設置在網絡端點的代理客戶端B;代理客戶端B依據安全策略 對網絡端點的安全狀態進行評估，并將評估結果22發送到代理服務器A;代理 服務器A根據評估結果22做出是否允許該網絡端點接入到網絡側的處理，并將 授權決定和更新途徑通過決定/更新消息3發送到代理客戶端。這種方式可以 避免安全信息在網絡側中傳輸。
在前述的兩類現有技術方案中，安全狀態的評估針對的只是試圖接入到 網絡側中的網絡端點。也就是說只有網絡側對網絡端點的安全狀態進行評 估，并根據評估結果決定是否對其實施訪問限制。這樣做，可以通過屏蔽帶 有安全脆弱性的網絡端點來達到保護網絡側的目的。盡管，對于網絡端點安
全狀態的評估既可以在網絡側的代理服務器A ，也可以在網絡端點的代理客戶 端B，但這兩種技術方案都是單向地對網絡端點進行安全評估，沒有提供網絡 端點對于網絡側進行安全狀態評估的手段。在這種情況下，網絡端點只能完 全信任它所要接入的網絡側是"安全的"。但是，事實上并非如此。如前所
述由于互聯網絡的開放架構和其本身安全保護手段的缺乏，網絡端點所要 接入的網絡側中可能已經存在大量已感染病毒的主機；或者該網絡側本身正 在遭受某種惡意軟件或某些惡意用戶的攻擊；或者該網絡側本身的安全基礎 設施不夠健全，例如只有普通的防火墻而沒有入侵監測設備等。因此，如 果一個網絡端點不能反過來對其準備接入的網絡側進行安全評估，而只是假 定要接入的該網絡側是"安全的"，當其接入后，就很可能會令其自身面臨 來自網絡側的安全威脅。因此，有必要在現有技術的基礎上，進一步實現網 絡端點對其所要接入的網絡側的安全評估，使得網絡端點能夠根據評估的結 果，做出是否接入到該網絡側的處理。

發明內容
本發明的第一個方面是通過一些實施例，提供一種評估網絡側安全狀態 的方法，網絡端點夠針對網絡側的安全狀態進行評估，以保證網絡端點只 接入那些符合自身安全策略的網絡側。
本發明的第二個方面是通過另 一些實施例，提供一種接入網絡的方法， 使得每個網絡端點既能夠協助網絡側針對自身進行安全評估，還能夠對網 絡側的安全狀態進行評估，并根據評估結果執行接入到網絡側的處理，以 保證網絡端點只接入那些符合自身安全策略的網絡側。
本發明的第三個方面是通過又一些實施例，提供一種網絡側安全認證系 統，使得網絡端點既能夠協助網絡側針對自身進行安全評估，還能夠對網 絡側的安全狀態進行評估，并根據評估結果執行接入到網絡側的處理，以 保證網絡端點只接入符合自身安全策略的網絡側。
本發明的第一個方面的一些實施例所提供的方法具體是如下的一類技術
方案
網絡側將其自身的安全狀態信息發送給網絡端點；所述網絡端點根據所 述安全狀態信息對所述網絡側的安全狀態進行評估，獲得所述網絡側的安全 狀態。
本發明第 一個方面的實施例使得網絡端點夠針對網絡側的安全狀態 進行評估，保證了網絡端點能夠在接入之前對要接入的網絡的安全狀態進 行了解，有利于網絡端點只選擇接入那些符合自身安全策略的網絡。
本發明的第二個方面的另 一些實施例所提供的方法具體是如下的 一類技 術方案
代理服務器向代理客戶端發送查詢請求，該查詢請求中攜帶有代理服務 器所在網絡側的安全狀態信息；
代理客戶端在收到該網絡側的安全狀態信息后，根據該安全狀態信息對 該網絡側的安全狀態進行網絡安全評估；
代理客戶端根據網絡安全評估結果，向該代理服務器發送攜帶該網絡端 點安全信息的消息，或者拒絕接入該網絡側的消息；
代理服務器根據該安全信息對該網絡端點進行網絡端點安全評估，并根 據網絡端點安全評估的結果將授權信息和/或更新途徑通信息發送給代理客 戶端。
從上述的技術方案可知由于網絡端點接入某個網絡之前，可以先對該 網絡側的安全狀態進行評估，通過這一方法，能夠讓網絡端點對將要接入的 網絡的安全狀態有一個預先的估計，而不是盲目地對其信任，從而可以避免 不安全的網絡側對網絡端點的威脅，保證了網絡端點只接入那些符合自身安 全策略的網絡側。
本發明的第二個方面的另 一些實施例所提供的方法具體是如下的 一類技 術方案
代理服務器向所述代理客戶端發送查詢請求；
代理客戶端向代理服務器發送網絡端點的安全信息，同時請求代理服務
器發送網絡側的安全信息；
代理服務器根據網絡端點的安全信息對網絡端點進行網絡端點的安全評 估，根據對網絡端點安全評估的結果將授權信息和/或更新途徑通信息發送給 代理客戶端；并將代理服務器所在網絡側的安全狀態信息發送給代理客戶端；
代理客戶端根據該網絡側的安全狀態信息對網絡側的安全狀態進行網絡 安全評估；并根據網絡安全評估結果，執行接入該網絡側的操作。
從上述的技術方案可知由于網絡端點接入某個網絡側之前，通過與代 理服務器的交互，可以事先對要接入的網絡側的安全狀態進行評估，通過這 一方法，能夠讓網絡端點對將要接入的網絡側的安全狀態有一個預先的估計， 而不是盲目地對其信任，從而可以避免不安全的網絡側對網絡端點的威脅， 保證了網絡端點只接入那些符合自身安全策略的網絡側。
本發明的第三個方面的 一些實施例所提供的 一種安全認證系統具體包 括設置在網絡端點的代理客戶端和設置在網絡側的代理服務器；其中，該 代理客戶端設有用于從代理服務器發送的查詢請求中獲得該代理服務器所 在網絡側的安全狀態信息的第一單元，以及用于根據前述安全狀態信息對該 網絡側的安全狀態進行網絡安全評估，并根據該網絡安全評估的結果控制代 理客戶端執行接入到網絡的操作的第二單元。
由于在網絡端點的代理客戶端設置了前述的第一、第二單元，通過其與 代理服務器的交互，可以事先對要接入的網絡側的安全狀態進行評估，對要 接入的網絡側進行認證，因此，能夠讓網絡端點對將要接入的網絡側的安全 狀態有一個預先的估計，而不是盲目地對其信任，從而可以避免不安全的網 絡側對網絡端點的威脅，保證了網絡端點只接入那些符合自身安全策略的網 絡側。
綜上，本發明前述的若干實施例提供的各類技術方案使得每個網絡端點
既能夠協助網絡側針對網絡端點自身進行安全評估，也可以實現對網絡側安 全狀態的評估，網絡端點根據對網絡側安全狀態的評估結果來決定是否接入 到網絡側。這種技術方案，和現有技術相比，達到了在保證網絡側能夠接入 安全的網絡端點的同時，網絡端點可以選擇性地接入到安全的網絡側的目的。 在保證網絡側安全的同時，也保證了網絡端點的安全。
下面通過一些具體的實施例，對本發明的內容做進一步的詳細描述。


圖1為現有技術的一種網絡側安全狀態評估的流程示意圖2為現有技術的另一種網絡側安全狀態評估的流程示意圖3為本發明第二方面的一些實施例的流程示意圖4為本發明第二方面的另一些實施例的流程示意圖5為本發明第二方面的又一些實施例的流程示意圖6為本發明第二方面的代理服務器獲得網絡側安全狀態信息的示意圖。
具體實施例方式
為了實現本發明第一方面的目的，在網絡端點接入到某一網絡之前，為 了保證其自身的安全，需要對網絡側進行安全評估，以保證其接入的網絡是 安全的，為此，需要網絡側將其自身的安全狀態信息發送給網絡端點；網絡 端點收到網絡側發送的安全狀態信息后，根據該安全狀態信息對所述網絡側 的安全狀態進行評估，以獲得所述網絡側的安全狀態。
為了適應網絡端點隨時都可以獲得網絡側的安全狀態，網絡端點可以主 動地向網絡側發送查詢所述網絡側安全狀態信息的請求，網絡側在收到該請 求后，將其自身的安全狀態信息發送給網絡端點。這樣做有如下的好處第 一可以使得網絡端點不僅可以在實際執行接入操作時了解網絡側的安全狀
態，在此之前的任何時刻也都可以了解，即主動請求獲得網絡側的安全狀態
信息；另一方面，鑒于網絡側安全狀態的動態性，即使網絡端點已經對網絡
側進行過安全評估，其安全狀態在此后也會發生改變，因此，由網絡端點主 動向網絡側發起獲得網絡側的安全狀態信息的請求，可以及時地獲得網絡側 最新的安全狀態信息。
對于網絡側而言，因為需要向網絡端點提供其自身的安全信息，它需要
執行獲得自身安全狀態信息的搡作，這些操作可以是從網絡側的網關獲得 網絡側當前流量信息；也可以是從網絡側的入侵;f企測系統獲得網絡側的安全 威脅信息；還可以從網絡側的補丁管理系統獲得網絡側中各主機安全軟件的 版本信息；又可以從網絡側的防火墻獲得網絡側開放的業務信息等等。
前述的信息包括但不限于是網絡側中被病毒感染的主機的信息、網絡 側的流量信息、網絡側擁塞信息、當前的安全威脅信息、當前對外開放的業 務信息以及網絡側的安全設施信息，可以是這些信息的"盼，也可以是其全部。
最后，網絡端點與網絡側交互實現前述對網絡側安全狀態的評估，其主 要通過設置在網絡端點的代理客戶端以及設置在網絡側的代理服務器實現。 以下各個實施例充分披露了代理客戶端和代理服務器具體的操作實施方案， 在此不再贅述。
參見圖3、圖4，按照現有的NEA技術，在網絡端點向網絡側發出接 入的請求之后，設置在網絡側的代理服務器A需要向設置在網絡端點的代 理客戶端B發送一個查詢請求，用以通過該代理客戶端B獲取其所在的網 絡端點的安全狀態信息。
為了實現本發明第二方面的目的，前述代理服務器A可以在發送該查 詢請求的時候，將其獲得的網絡側的安全信息發送給該代理客戶端B;這 個網絡側的安全信息可以封裝在前述的查詢請求之中，也可以單獨發送。 當代理客戶端B收到網絡側的安全信息后，可以根據其自身的安全策略來 對網絡側的安全狀態進行評估，然后根據評估出的網絡側的安全狀態來確 定其所在的網絡端點是否執行后續接入該網絡側的操作。
顯然，根據網絡端點的安全策略，如果被評估的網絡側的安全狀態對 于前述的網絡端點的安全構成威脅時，該網絡端點將會選4奪拒絕接入到該 網絡側。至于網絡端點如何根據網絡側的安全狀態信息來評估網絡側的安
評估方法；或者也可以釆用其他所屬領域技術人員依據現有技術條件或者 其發明創造的方法實現，本專利申請文件在此不進行詳細的討論。
當代理客戶端B所在的網絡端點通過安全評估，選擇接入到代理服務 器A所在的網絡側時，就可以在響應前述代理服務器A發出的查詢請求時， 向該代理服務器A發送該代理客戶端B所在的網絡端點的安全信息，此后， 網絡側的代理服務器A根據代理客戶端B所在的網絡端點的安全信息和該 網絡側的安全策略，對該網絡端點的安全狀態進行評估，最終根據評估的 結果決定其是否允許該網絡端點接入。
參見圖4,當前述的代理客戶端B經過安全評估，認定前述網絡側的 安全狀態不適于接入時，該代理客戶端B也可以不響應代理服務器A所發 出的查詢請求；代理服務器A收不到代理客戶端B的響應，則無法獲得該 代理客戶端B所在的網絡端點的安全狀態信息，因而也就無法對網絡端點 的安全狀態進行評估，自然就不會允許該網絡端點接入。
參見圖5，按照現有的NEA技術，在網絡端點向網絡側發出接入到網絡的 請求之后，設置在網絡側的代理服務器A需要向設置在網絡端點的代理客戶端 B發送一個查詢請求，用以通過該代理客戶端B獲取其所在的網絡端點的安全
卄犬'態45息。
為了實現本發明第二方面的目的，本發明另外一些實施例中，網絡端點 的代理客戶端B在響應該查詢請求的時候， 一方面如現有技術一樣，將其所在 的網絡端點的安全狀態信息發送給網絡側的代理服務器A，同時，還進一步發 送要求網絡側返回網絡側安全狀態信息的請求。當網絡側的代理服務器A收到
代理客戶端B的響應時，也就獲得了網絡端點要求網絡側返回網絡側安全狀態信息的請求。此后，代理服務器A執行的操作可能有如下的幾種情況
1 、代理服務器A或者其所在的網絡側根據代理客戶端B響應的網絡端點的 安全狀態信息進行評估，發現該網絡端點的安全性不能滿足網絡側的安全要 求時，則會拒絕該網絡端點的接入；此時可以不再響應網絡端點要求網絡側 返回網絡側安全狀態信息的請求。在這種情況下，網絡端點自然不可能繼續 接入到前述的網絡側之中。
安全狀態信息進行評估，發現該網絡端點的安全性能夠滿足網絡側的安全要 求時，則會響應網絡端點要求網絡側返回網絡側安全狀態信息的請求，將網 絡側的安全狀態信息發送給代理客戶端B。代理客戶端B收到網絡側的安全狀 態信息后，則進一步對其評估，將該網絡側的安全狀態與其所在的網絡端點 的安全策略進行比較，如果該網絡端點依據其自身的安全策略接受該網絡側 的安全狀態，則進一步執行接入到該網絡側的操作；否則拒絕接入到該網絡 側。換句話說，即使網絡側根據前述的安全評估步驟，允許網絡端點接入， 但是，網絡端點還可以通過對網絡側的安全狀態的評估來確定自己是否接入 到該網絡側。這樣就實現了網絡側和網絡端點通過雙向的安全狀態評估來實 現各自的安全連接。
需要說明的是在前述實施例中，即使代理服務器A主動將網絡的安全狀 態信息發送給代理客戶端B，代理客戶端B依然也可以在此后，或之前向代理 服務器A發送要求網絡側發送其安全狀態信息的請求。這樣做的好處是可以 查詢更詳細或者代理服務器A沒有給出的網絡安全狀態信息。前述的這種網絡 安全信息的請求和響應循環可以多次進行，這樣，網絡側的安全狀態改變后， 前述的網絡端點依然可以在網絡側安全狀態符合網絡端點的安全要求時執行 接入的操作。
參見圖6，為了能夠向網絡端點提供網絡側的安全狀態信息，網絡側的代
理服務器A可以采集相應網絡側安全信息。例如代理服務器A可以從網絡側 的網關C處獲得網絡側當前流量信息；可以從入侵;f企測系統E獲得當前網絡側 面臨的安全威脅信息；可以從補丁管理系統F獲得網絡側中各主機安全軟件 (防火墻、防病毒軟件等)的版本信息；還可以從防火墻D獲得當前網絡側開 放的業務等信息。當然，前述的各種網絡側安全設備可以是分離的，也可以 是集成為一體的。
另外，代理服務器A發送給網絡端點的網絡側安全信息包括但不限于是下 列的各種信息
1)網絡側中被病毒感染的主機的信息；例如被病毒感染的主機的數目、 百分比等；2)網絡側當前的流量，網絡側擁塞的信息；3)網絡側當前正在 面臨的安全威脅信息；例如正在遭受某種蠕蟲病毒的攻擊等；4)網絡側當 前對外開放的業務信息；例如萬維網超文本傳輸協議(Hypertext Transfer Protocol,以下簡稱HTTP)服務，文件共享等；5)網絡側的安全設施的信 息；例如是否擁有防火墻，是否支持病毒過濾等。
實際上，上面這些描述只是一些例子，而并不能涵蓋所有的安全狀態信 息與所有網絡側設備對應的情況，例如安全信息也可以從防火墻處獲得。 因此，上述的安全狀態信息和從什么網絡側設備獲取這些安全狀態信息之 間并沒有非常確定的對應關系。前述的各個實施例只是披露這樣的技術內 容代理服務器A可以從其所在的網絡側中采集相應的網絡安全狀態信息。
有關代理客戶端B對網絡安全狀態信息的評估具體是這種評估是指代理 客戶端B將收到的網絡安全狀態信息與網絡端點本地的安全策略進行比較，并 根據比較的結果確定網絡端點是否應該接入該網絡側。如果網絡側的安全狀 態信息不符合代理客戶端的策略，即使網絡側的代理服務器A允許網絡端點接 入到網絡側，網絡端點仍然可以選擇不接入到該網絡側。例如當網絡側的 大部分主機的安全設置沒有得到更新時(這方面信息可以由代理服務器A從補丁管理系統F中獲得，并發送給代理客戶端B)，代理客戶端B可以選擇稍后接 入到網絡側。再例如當網絡側已經遭受到某種病毒的攻擊時，代理客戶端B 可以通知網絡端點本地的安全軟件(例如主機防火墻等)不使用該網絡側 中與該病毒傳播相關的服務(例如環球網(Web)服務)。代理客戶端B的 策略可以由代理客戶端B所在的網絡端點自行設置，也可以由代理客戶端B通 過與代理服務器A預先協商后設置。
為了克服現有技術的缺點，在網絡端點接入某個網絡側之前首先對該網絡 側的安全狀態進行評估，這需要網絡側代理服務器A的配合。后者需要將該網 絡側的安全信息提供給端點。在這一過程中代理客戶端B和代理服務器A之間 可能需要進行多次交互；代J紹:戶端B也可以向代理服務器A給出自己希望的了 解的網絡安全信息的類別。本發明前述的各種實施例能夠讓網絡端點對將要 接入的網絡側的狀態有一個預先的估計，而不是盲目的信任。因此，能夠對于 可能給網絡端點帶來安全威脅的網絡側，選擇不接入的控制措施來避免威脅。
需要說明的是本領域普通技術人員可以理解實現上述各個實施例的 部分或全部步驟可以通過程序指令相關的硬件來完成；前述的程序可以存儲 于計算機可讀取存儲介質中；該程序在執行時，包括上述方法的步驟；所述 的存儲介質可以時只讀存儲器(Read Only Memory,以下簡稱ROM)、隨機 存取存儲器(Random Access Memory,以下簡稱RAM)、磁碟或光盤等。
為了實現本發明第三個方面，本發明的另 一些實施例提供了這樣的網絡 側安全iU正的系統
該系統由包括設置在網絡端點的代理客戶端和設置在網絡側中的代理服 務器所構成，并且，代理客戶端和代理服務器之間通過有線和/或無線方式進 行通信連接。與現有技術不同的是在前述的系統中，該代理客戶端中設有 一個用于從代理服務器發送的查詢請求中獲得該代理服務器所在網絡側的安 全狀態信息的單元，以及一個用于根據前述安全狀態信息對該網絡側的安全 狀態進行網絡安全評估，并根據該網絡安全評估的結果控制代理客戶端執行接入到該網絡側操作的單元。有關前述各個單元進行通信和評估網絡安全狀 態的操作步驟與本發明前述第一、二方面的各個實施例所述的相同或相似， 具體可以參見本發明前述第一、二方面的各個實施例，在此不作贅述。
為了滿足上述的在發送的查詢請求中攜帶網絡側的安全狀態信息的要 求，在代理服務器中可以設置一個用于將該安全狀態信息封裝在前述查詢請 求之中的部件。
另外，在代理客戶端B中還可以設置一個這樣的單元，用于向代理服務
器A發送獲得網絡側的安全狀態信息請求。這樣，代理客戶端B依然也可以 在代理服務器A向其發送查詢請求后或之前，向代理服務器A發送要求網絡 側發送其安全狀態信息的請求。
在代理服務器A中還可以設置用于從網絡側獲得所述網絡側的安全狀態 信息的部件，該部件具體可以包括用于從網絡側的網關獲得網絡側當前流 量信息的模塊、用于從網絡側的入侵檢測系統獲得網絡側的安全威脅信息的 模塊、用于從網絡側的補丁管理系統獲得網絡側中各主機安全軟件的版本信 息的模塊，以及用于從網絡側的防火墻獲得網絡側開放的業務信息的模塊。 這些模塊可以同時或者任意地設置在代理服務器A之中。
如上所述本發明第三個方面有關系統的各個實施例實現前述對于網絡側 安全狀態信息評估的各個實施例的步驟，具體參見前述本發明第一、二方面 的各個具體實施例，在此不作贅述。
最后應說明的是本發明以上各個方面的實施例僅用以說明本發明各個 方面的技術方案，而非對本發明進行限制；盡管參照上述各個實施例對本發 明各個方面主要實施例的技術方案進行了詳細的說明，但本發明的范圍并不 局限于此。本領域的普通技術人員應當理解其依然可以在本發明前述各個 方面實施例揭露的技術啟示下，對其中的各個技術方案進行修改或者等同替 換；而這些對前述各個實施例的修改或者等同替換，其實質并不脫離本發明 各個實施例所揭示的技術方案的精神和范圍。
權利要求
1、一種評估網絡側安全狀態的方法，其特征在于，包括網絡側將其自身的安全狀態信息發送給網絡端點；所述網絡端點根據所述安全狀態信息對所述網絡側的安全狀態進行評估，獲得所述網絡側的安全狀態。
2、 根據權利要求1所述的方法，其特征在于，在所述網絡側將其自身的 安全狀態信息發送給所述網絡端點之前，還包括網絡端點向網絡側發送查詢所述網絡側安全狀態信息的請求。
3、 根據權利要求1或2所述的方法，其特征在于，還包括所述網絡側 獲得自身安全狀態信息的步驟，具體包括從所述網關獲得所述網絡側當前流量信息；和/或從所述網絡側的入侵檢 測系統獲得所述網絡側的安全威脅信息；和/或從所述網絡側的補丁管理系統 獲得網絡側中各主機安全軟件的版本信息；和/或從所述網絡側的防火墻獲得 所述網絡側開^:的業務信息。
4、 根據權利要求3所述的方法，其特征在于所述的安全狀態信息包括 所述網絡側中被病毒感染的主機的信息、所述網絡側的流量信息、網絡側擁 塞信息、當前的安全威脅信息、當前對外開放的業務信息、所述網絡側的安 全設施信息之一或者其任意組合。
5、 根據權利要求1或2所述的方法，其特征在于所述的安全狀態信息 包括所述網絡側中被病毒感染的主機的信息、所述網絡側的流量信息、網 絡側擁塞信息、當前的安全威脅信息、當前對外開放的業務信息、所述網絡 側的安全設施信息之一或者其任意組合。
6、 一種接入網絡的方法，其特征在于，包括網絡側的代理服務器向網絡端點的代理客戶端發送查詢請求，該查詢請求中攜帶有網絡側的安全狀態信息；所述代理客戶端根據查詢請求中攜帶的安全狀態信息對所述網絡側的安全狀態進行網絡安全評估；所述代理客戶端根據網絡安全評估結果，向所述代理服務器發送攜帶所 述網絡端點安全信息的消息，或者拒絕接入所述網絡側的消息；所述代理服務器根據該安全信息對所述網絡端點進行網絡端點安全評 估，并根據網絡端點安全評估的結果將授權信息和/或更新途徑通信息發送給 代理客戶端。
7、 根據權利要求6所述的方法，其特征在于，還包括 所述代理客戶端向所述代理服務器發送所述網絡側的安全狀態信息請求；所述代理服務器依據所述的請求向所述代理客戶端發送所述網絡側的安 全狀態信息。
8、 根據權利要求6所述的方法，其特征在于，還包括所述代理服務器 獲得所述網絡側的安全狀態信息的步驟，具體包括從所述網關獲得所述網絡側當前流量信息；和/或從所述網絡側的入侵檢 測系統獲得所述網絡側的安全威脅信息；和/或從所述網絡側的補丁管理系統 獲得網絡側中各主機安全軟件的版本信息；和/或從所述網絡側的防火墻獲得 所述網絡側開放的業務信息。
9、 根據權利要求6或7或8所述的方法，其特征在于所述網絡側的安 全狀態信息包括所述網絡側中被病毒感染的主機的信息、所述網絡側的流 量信息、網絡側擁塞信息、當前的安全威脅信息、當前對外開放的業務信息、 所述網絡側的安全設施信息之一或者其任意組合。
10、 一種接入網絡的方法，其特征在于 網絡側的代理服務器向網絡端點的代理客戶端發送查詢請求； 所述代理客戶端向所述代理服務器發送所述網絡端點的安全信息，同時請求所述代理服務器發送所述網絡側的安全信息；所述代理服務器根據所述網絡端點的安全信息對所述網絡端點進行網絡端點的安全評估，根據對網絡端點安全評估的結果將授權信息和/或更新途徑通信息發送給代理客戶端；并將網絡側的安全狀態信息發送給所述代理客戶 端；所述代理客戶端根據該網絡側的安全狀態信息對所述網絡側的安全狀態 進行網絡安全評估；并根據網絡安全評估結果，執行接入所述網絡側的操作。
11、 根據權利要求IO所述的方法，其特征在于，還包括所述代理服務 器獲得所述網絡側的安全狀態信息的步驟，具體包括從所述網關獲得所述網絡側當前流量信息；和/或從所述網絡側的入侵檢 測系統獲得所述網絡側的安全威脅信息；和/或從所述網絡側的補丁管理系統 獲得網絡側中各主機安全軟件的版本信息；和/或從所述網絡側的防火墻獲得 所述網絡側開放的業務信息。
12、 根據權利要求10或11所述的方法，其特征在于所述網絡側的安 全狀態信息包括所述網絡側中被病毒感染的主機的信息、所述網絡側的流 量信息、網絡側擁塞信息、當前的安全威脅信息、當前對外開放的業務信息、 所述網絡側的安全設施信息之一或者其任意組合。
13、 一種安全認證系統，包括設置在網絡端點的代理客戶端和設置在網 絡側中的代理服務器；其特征在于，所述代理客戶端設有第 一單元，用于從所述代理服務器發送的查詢請求中獲得所述代理服務 器所在網絡側的安全狀態信息；第二單元，用于根據所述安全狀態信息對所述網絡側的安全狀態進行網 絡安全評估，并根據所述網絡安全評估的結果控制所述代理客戶端執行接入 所述網絡側的操作。
14、 根據權利要求13所述的系統，其特征在于，所述代理服務器還包括 第一部件，用于將網絡側的安全狀態信息封裝在所述查詢請求之中。
15、 根據權利要求13或14所述的系統，其特征在于，所述代理客戶端 還包括 請求。
16、 根據權利要求13或14所述的系統，其特征在于，所述代理服務器 還包括第二部件，用于從所述網絡側獲得所述網絡側的安全狀態信息。
17、 根據權利要求16所述的系統，其特征在于，所述第二部件具體包括 第一模塊，用于從所述網絡側的網關獲得所述網絡側當前流量信息；和/或第二模塊，用于從所述網絡側的入侵檢測系統獲得所述網絡側的安全威 脅信息；和/或第三模塊，用于從所述網絡的補丁管理系統獲得網絡側中各主機安全軟 件的版本信息；和/或第四模塊，用于從所述網絡側的防火墻獲得所述網絡側開放的業務信息。
18、 根據權利要求15所述的系統，其特征在于，所述代理服務器還包括 第二部件，用于從所述網絡側獲得所述網絡側的安全狀態信息。
19、 根據權利要求18所述的系統，其特征在于，所述第二部件具體包括 第一模塊，用于從所述網絡側的網關獲得所述網絡側當前流量信息；和/或第二模塊，用于從所述網絡側的入侵檢測系統獲得所述網絡側的安全威 脅信息；和/或第三模塊，用于從所述網絡側的補丁管理系統獲得網絡中各主機安全軟 件的版本信息；和/或第四模塊，用于從所述網絡側的防火墻獲得所述網絡側開放的業務信息。
全文摘要
本發明的若干實施例公開了一種接入網絡的方法，其主要是網絡側代理服務器向代理客戶端發送網絡安全狀態信息；代理客戶端根據該安全狀態信息對網絡側的安全狀態進行評估；然后確定是否接入到相應的網絡側。本發明另外一些實施例公開了一種網絡側安全認證系統；該系統設置有代理客戶端和代理服務器；其中，代理客戶端設有用于從代理服務器獲得網絡側的安全狀態信息的第一單元，和用于根據安全狀態信息對網絡側的安全狀態進行評估并控制代理客戶端執行接入到網絡側操作的第二單元。本發明前述各個實施例在保證網絡側能夠接入安全的網絡端點的同時，網絡端點可以選擇性地接入到安全的網絡側；在保證網絡側安全的同時，也保證了網絡端點的安全。
文檔編號H04L12/26GK101345646SQ20071011864
公開日2009年1月14日 申請日期2007年7月11日 優先權日2007年7月11日
發明者瀚 尹, 寧 張, 科 賈 申請人:華為技術有限公司