[发明专利]安全能力信息查询方法、反馈方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及安全能力信息查询方法、反馈方法及装置。

背景技术

云计算(Cloud Computing)是一种信息技术与商业服务结合的新的消费与交付模式。云计算的核心是云计算的硬件和软件都是资源，并被封装为服务，用户可以通过网络按自身的需求对其进行访问和使用。云计算核心的五大特征为：按需自助服务(On-demand self-service)、广泛的网络访问(Broad network access)、资源共享(Resource pooling)、快速的可伸缩性(Rapid elasticity)以及可度量的服务(Measured service)。

按照云计算提供的服务类型，美国国家标准技术研究院(National Institute of Standards and Technology，简称NIST)将云计算划分为：基础设施作为服务(Infrastructure as a Service，简称IaaS)、平台作为服务(Platform as a Service，简称PaaS)以及软件作为服务(Software as a Service，简称SaaS)。其他的标准组织、企业和研究团体提出了其他的服务类型，如，通信作为服务(Communications as a Service，简称CaaS)、安全作为服务(Security as a Service，简称SaaS)、身份作为服务(Identity as a Service，简称IDaaS)以及网络作为服务(Network as a Service，简称NaaS)。现在，一般使用X作为服务(X as a Service，简称XaaS)来表示云计算服务，其中，X表明云服务类型。

按照部署方式划分，云计算可以划分为：公有云(Public Cloud)、私有云(Private Cloud)、社区云(Community Cloud)和混合云(Hybrid Cloud)。

2008年10月，首席信息官(CIO)研究部门发布了对云计算的研究报告，调查收集了接收调查的173名IT主管对云计算的看法以及云计算对其企业的适用性，调查结果表明安全是被调查的公司采用云计算的最大顾虑。

当采用公有云、社区云或混合云的部署方式时，云计算用户(Cloud Service User，简称CSU)的信息资产(例如，数据和应用)运行在云计算服务提供商(Cloud Service Provider，简称CSP)，不在CSU的直接控制下，CSU很难确定CSP是否具有足够的安全能力以及CSP所提供的安全能力是否能够正确运行。现有技术中，目前为止还没有一种简单、有效的评估方法使得CSU可以获得CSP的安全能力，从而导致CSU在使用云服务的时数据的安全性难以得到保证。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了安全能力信息查询方法、反馈方法及装置，以至少解决现有技术中没有一种简单、有效的评估方法使得CSU可以获得CSP的安全能力，从而导致的CSU在使用云服务时数据的安全性难以得到保证的技术问题。

根据本发明实施例的一个方面，提供了一种安全能力信息查询方法，包括：CSU向CTTP或者CSP发送安全能力查询请求，其中，查询请求用于查询CSP安全能力信息；CSU接收CTTP或者CSP返回的响应消息，其中，响应消息携带有CSP安全能力信息；CSU从响应消息中获取CSP安全能力。

优选地，CSP安全能力信息包括CSP的安全能力和/或CSP提供的云服务的安全能力。

优选地，CSP安全能力信息包括以下至少之一：信息安全与隐私标准、信息安全与隐私法规、信息安全与隐私标准中的安全控制、信息安全与隐私法规中的安全控制、信息安全与隐私标准中的安全条目以及信息安全与隐私法规中的安全条目。

优选地，查询请求携带有CSP标识和/或云服务标识。

优选地，当查询请求携带有CSP标识时，响应消息携带有CSP标识对应的CSP的安全能力；当查询请求携带有CSP标识和云服务标识时，响应消息携带有CSP标识对应的CSP中、由云服务标识对应的云服务的安全能力。

优选地，查询请求还携带有查询类型指示标识，其中，查询类型指示标识用于指示查询请求的查询类型。