[发明专利]终端安全状态的监控和更新方法及系统

说明书

技术领域

本发明涉及通信技术，尤其涉及一种终端安全状态的监控和更新方法和系 统。

背景技术

在现有的可信网络连接(TNC，Trusted Network Connect)架构中，对终端 安全状态信息的评估是由与终端处在同一安全域中的TNC服务器执行的。所述 终端的安全状态信息是指反映终端安全状态的一些信息，比如，终端所在的操 作系统版本，补丁信息，防火墙版本、杀毒软件版本，浏览器的版本等相关的 信息。TNC架构也能够提供来自其他安全设备的元数据(metadata)用以关联与 TNC客户端相关的由状态运行环境信息(stateful runtime)。所述元数据表明网 络中当前安装状态的一些信息，为安全相关决策增加了其他的数据来源。元数 据共享同样只被用于单个安全域下用以支持姿态信息的共享，即TNC数据和元 数据的发布者和订阅者都属于同一组织。

当终端跨不同安全域访问其他安全域中的服务时，依赖断言安全域(RSD， Relying Security Domain)中的服务器可以向断言安全域(ASD，Asserting Security Domain)中的服务器请求终端相应的安全状态信息进行安全评估，从而可以进 行接入控制。

当终端跨不同安全域进行访问时，新的安全域不仅需要对终端进行接入控 制，而且也需要对终端的安全状态进行实时监控。例如，当终端想访问一个由 第三方业务提供者所提供的一个服务时，提供该业务的服务器不仅需要对此终 端进行安全状态评估进行接入控制，同时还需要掌握终端在整个服务过程中的 安全状态信息变化情况，以便能够及时做出调整。

发明人在本发明的创造过程中发现，在目前的联合可信网络连接(FTNC， Federated Trusted Network Connect)中，只涉及到终端跨域时如何在不同域之间 交互终端的安全状态信息以及安全评估结果，对于跨域时如何进行元数据交互， 以及终端跨域接入之后，ASD或者RSD如何对终端的安全状态进行实时监控还 没有相应的解决方案。

发明内容

本发明实施例提供一种终端安全状态的监控和更新方法和系统，通过在不 同的域之间进行元数据交互，对终端的安全状态进行实时监控和更新。

本发明实施例提供了一种终端安全状态的监控和更新方法，包括：

终端安全状态信息请求方通过连接安全状态信息提供域中的可信网络连接 服务器的联合可信网络连接接口，从终端安全状态信息提供方获得与终端安全 状态信息相关的元数据；所述终端安全状态信息的请求方为第三方业务提供者， 或者为在安全状态信息请求域的应用服务器或可信网络连接服务器；终端安全 状态信息提供方是安全状态信息提供域中的元数据访问点；所述终端安全状态 信息提供方处于断言安全域和依赖断言安全域的其中一个域中，所述终端安全 状态信息请求方处于另一个域中；

终端安全状态信息请求方根据所述终端安全状态信息相关的元数据，对终 端的安全状态进行实时监控和更新。

本发明实施例还提供了一种终端安全状态的监控和更新系统，包括：

终端安全状态信息请求方和终端安全状态信息的提供方；

所述终端安全状态信息的请求方，用于通过连接安全状态信息提供域中的 可信网络连接服务器的联合可信网络连接接口，从所述终端安全状态信息提供 方获得与终端安全状态信息相关的元数据；所述终端安全状态信息的请求方为 第三方业务提供者，或者为在安全状态信息请求域中的应用服务器或可信网络 连接服务器；终端安全状态信息提供方是安全状态信息提供域中的元数据访问 点；所述终端安全状态信息提供方处于断言安全域和依赖断言安全域的其中一 个域中，所述终端安全状态信息请求方处于另一个域中；

终端安全状态信息请求方根据所述终端安全状态信息相关的元数据，对终 端的安全状态进行实时监控和更新。

实施本发明实施例提供的终端安全状态的监控和更新方法和系统，具有如 下有益效果：

本发明实施例利用接口，通过在不用域之间进行元数据的交互，根据所述 元数据，实现对终端安全状态的实时监控和及时更新。

附图说明