[发明专利]一种补丁检查的方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别是涉及一种补丁检查的方法和设备。

背景技术

随着社会信息化步伐的不断提速，网络应用不断普及与深入，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为企业用户最关心的问题，网络安全设施也日渐成为企业网建设的重中之重。为了保证企业网中终端的安全状态符合企业的安全策略，NAC(Network Access control，网络接入控制)技术为企业提供了一个相对完整的网络安全解决方法，可以从企业网的终端入手，强制终端实施企业的安全策略，从而加强企业网终端的主动防御能力，大幅度提高了企业网的整体安全。

EAD(End user Admission Domination，端点准入控制)是一种NAC系统，通过安全策略服务器、认证服务器、补丁服务器、接入设备和客户端共同配合，可以实现对客户端所在终端用户进行补丁安全检查、自动安装丁等功能。如图1所示的一种网络接入控制技术方案中补丁管理的典型组网示意图。

现有技术中，一种补丁检查的流程图如图2所示，包括以下步骤：

步骤201，客户端通过身份认证，处在隔离区，发起安全认证请求。

步骤202，安全策略服务器回应报文，要求客户端进行补丁状态检查操作。

步骤203，客户端进行补丁检查操作。

步骤204，判断客户端补丁状态检查是否合格。如果补丁检查合格，执行步骤206，如果补丁检查不合格，执行步骤205。

步骤205，客户端到补丁服务器下载补丁并安装。补丁安装完成后，重新发起安全认证和补丁检查，并继续执行步骤204的判断步骤。

步骤206，客户端上线成功，可以接入网络，正常开展工作。

但是，在采用上述方式进行补丁检查时，如果有最新的补丁，则所有客户端都会进行打补丁操作，同一时刻会有大量的客户端从补丁服务器下载补丁，从而导致网络带宽和补丁服务器处理压力极大，严重降低了业务网络的服务质量，甚至影响后续的用户进行认证，引发事故。

发明内容

本发明提供一种补丁检查的方法和设备，以合理的进行补丁检查，降低系统压力和局部网络负载压力，且减少网络安全隐患。

为了达到上述目的，本发明提供一种补丁检查的方法，应用于包括安全策略服务器、补丁服务器和多个客户端的系统中，在客户端进行补丁检查之前允许该客户端接入网络，该方法包括以下步骤：

所述安全策略服务器获取各接入网络的客户端对应的上次补丁检查时间戳信息；如果所述时间戳信息与当前时间大于预设时长，则为对应的客户端设置第一标识；

所述安全策略服务器从接入网络的具有第一标识的客户端中选择待检查客户端，并通知所述待检查客户端进行补丁检查；

如果所述待检查客户端补丁检查不合格，则通过所述补丁服务器对所述待检查客户端的补丁进行更新。

所述安全策略服务器从接入网络的具有第一标识的客户端中选择待检查客户端，具体包括：

所述安全策略服务器根据预设周期从接入网络的具有第一标识的客户端中选择预设个数的待检查客户端。

所述安全策略服务器从接入网络的具有第一标识的客户端中选择待检查客户端，具体包括：

所述安全策略服务器根据预设周期以及各客户端的所属接入设备从接入网络的具有第一标识的客户端中选择预设个数的待检查客户端。

所述预设时长大于所述预设周期；所述预设时长根据补丁的更新速度和/或所述安全策略服务器对应的总用户数设定；所述预设周期根据系统性能信息设定，且所述预设周期为选择预设个数的待检查客户端的时间周期。

当所述待检查客户端补丁检查合格时，所述方法还包括：

所述安全策略服务器清除所述待检查客户端的所述第一标识，并更新所述待检查客户端对应的上次补丁检查时间戳信息。

本发明提供一种安全策略服务器，应用于包括所述安全策略服务器、补丁服务器和多个客户端的系统中，在客户端进行补丁检查之前允许该客户端接入网络，该安全策略服务器包括：

获取模块，用于获取各接入网络的客户端对应的上次补丁检查时间戳信息；

设置模块，用于当所述时间戳信息与当前时间大于预设时长时，为对应的客户端设置第一标识；

选择模块，用于从接入网络的具有第一标识的客户端中选择待检查客户端；

通知模块，用于通知所述选择模块选择的所述待检查客户端进行补丁检查；并当所述待检查客户端补丁检查不合格时，由所述补丁服务器对所述待检查客户端的补丁进行更新。