[发明专利]对大范围内终端进行安全更新的方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其是涉及对大范围内终端进行安全更新的方法和系统。

背景技术

为了保证网络安全，从源头上对抗由不安全终端带来的网络安全威胁，关联响应系统(CRS)提供从网络接入控制到应用服务控制的多层安全控制手段。

如图1所示，在ITU-T X.CRS提案中提出的CRS中主要的实体包括：终端侧的安全关联代理(SCA)、网络侧的安全关联服务器(SCS)、网络侧的网络接入控制器(NAC)和应用服务控制器(ASC)。SCA和SCS构成了关联反应系统的核心。

其中，SCA负责收集终端的安全相关信息，对其进行处理生成安全相关信息(SCI)报告，并将该报告上报给SCS。SCS收到SCA发来的SCI报告后，通过SCA收集到的安全相关信息来评估终端的安全状况和安全等级，以及终端的安全状况是否被允许访问网络和申请各种应用服务。SCS根据评估结果，指示NAC或ASC对终端的网络访问和应用访问作适当的控制，SCS也会将对终端的控制情况通知SCA。

当有适合终端的安全更新信息时，如有适合终端进行自身操作系统升级的补丁、组件或者安全相关应用软件，或者这些补丁、组件或软件的更新信息时，SCS会通知SCA协助终端进行相应的升级或者更新。安全更新信息在安全更新服务器，例如图1中所示的安全应用软件服务器(SAS-S)、终端操作系统更新服务器(TOS-VS)上，SCA收到SCS的更新指令后，根据指令中的安全更新服务器信息控制终端到对应的安全更新服务器获取安全更新信息进行安全更新。

在上述方法中，如果同一安全更新信息适合于大范围内的终端，则SCS将向大范围内的每个终端发送安全更新指令，终端在收到安全更新指令后，即向安全更新服务器获取更新信息，往往会由于大量终端同时发起安全更新，造成通往安全更新服务器的网络路径拥塞，甚至由于业务量的突然急剧增加导致安全更新服务器的瘫痪；此外，由于SCS针对每一终端分别发送安全更新指令，也造成了网络流量的突然加大，增加了系统负担，并会导致网络拥塞。

发明内容

有鉴于此，本发明的主要目的在于提供对大范围内终端进行安全更新的方法和系统，能够实现对大范围内终端的安全更新，并减少网络拥塞。

为实现上述目的的第一个方面，本发明提供了一种对大范围内终端进行安全更新的方法，该方法包括：

A、安全关联服务器SCS确定其控制的每个终端对应的强制安全更新指令执行滞后时间；

B、当SCS确定需要实施大范围终端的安全更新时，控制每个终端按照对应的强制安全更新指令执行滞后时间延迟进行安全更新。

较佳地，所述步骤A包括：

所述每个终端上的SCA向SCS发送终端安全相关信息；

所述SCS根据接收的终端安全相关信息确定终端的安全等级，并根据终端的安全等级确定每个终端对应的强制安全更新指令执行滞后时间。

较佳地，所述步骤A中，SCS进一步根据用户定制的安全服务、网络流量或带宽，或以上的任意组合确定每个终端对应的强制安全更新指令执行滞后时间。

较佳地，所述步骤B后进一步包括：

终端完成安全更新后，终端上的SCA即时向SCS发送新的安全相关信息，SCS根据接收的新的安全相关信息重新确定该终端对应的强制安全更新指令执行滞后时间，然后返回执行步骤B。

所述步骤B可以包括：

B11、SCS在确定其控制的每个终端对应的强制安全更新指令执行滞后时间后，将该指令执行滞后时间下发给对应终端上的SCA；

B12、当SCS确定需要实施大范围终端的安全更新时，向所述每个终端上的SCA发送强制安全更新指令；

B13、SCA接收强制安全更新指令，并按照SCS下发的指令执行滞后时间延迟触发终端进行安全更新。

所述步骤B还可以包括：

B21、SCS确定其控制的每个终端对应的强制安全更新指令执行滞后时间后，在自身中为每个终端保存强制安全更新指令执行滞后时间；

B22、当SCS确定需要实施大范围终端强制更新时，按照每个终端对应的所述指令执行滞后时间延迟向对应的该终端上的SCA发送强制更新指令；

B23、接收到强制更新指令的SCA触发终端进行安全更新。

较佳地，所述强制安全更新指令中包括安全更新项目信息，SCA触发所述终端进行安全更新前，根据所述安全更新项目信息判断终端是否已经执行所述更新，如果是则结束该流程；否则，执行所述触发终端进行安全更新的步骤。