CN103260161B - 一种终端安全状态评估方法、网络设备及系统 - Google Patents

一种终端安全状态评估方法、网络设备及系统 Download PDF

Info

Publication number
CN103260161B
CN103260161B CN201310095067.3A CN201310095067A CN103260161B CN 103260161 B CN103260161 B CN 103260161B CN 201310095067 A CN201310095067 A CN 201310095067A CN 103260161 B CN103260161 B CN 103260161B
Authority
CN
China
Prior art keywords
network
terminal
state
security
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310095067.3A
Other languages
English (en)
Other versions
CN103260161A (zh
Inventor
任兰芳
庄小君
尹瀚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310095067.3A priority Critical patent/CN103260161B/zh
Publication of CN103260161A publication Critical patent/CN103260161A/zh
Application granted granted Critical
Publication of CN103260161B publication Critical patent/CN103260161B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开一种终端安全状态评估方法,包括:第二网络接收来自所述终端的接入请求;所述第二网络获取来自第一网络的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果;或者,所述第二网络向第一网络发送安全策略,所述第一网络根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全评估状态结果,将所述安全评估状态结果反馈给第二网络。本发明还公开相关的网络系统和网络设备。通过本发明实施例,能提高了信息和网络的利用效率和安全性,减轻网络负载。

Description

一种终端安全状态评估方法、网络设备及系统
技术领域
本发明涉及通信技术领域,特别涉及一种终端安全状态评估的方法、网络设备及系统。
背景技术
随着Internet的飞速发展和普遍应用,病毒技术也迅速发展。当病毒大规模爆发时,网络中传输的大量数据流量是由病毒产生的垃圾数据和探测、攻击流量,造成资源浪费,严重影响了运营商的网络效率和安全,也对用户的终端和业务产生不利的影响和安全威胁。用户在获得更多样化的服务的同时,对自身和网络带来的安全风险也大大增加。
来自运营商网络的内部的安全威胁容易管理和得到保障,而相应的用户终端的病毒侵入却更容易,而且用户分布范围广泛,小的终端因为资源有限导致防护能力较低下,也无法保证客户端都装有杀毒软件或防火墙。即使都安装安全应用软件客户端,由于没有统一控制,用户很可能不能及时进行安全更新,造成系统漏洞或病毒库的过期等安全隐患。
同时,随着移动技术的发展以及移动终端的普及,越来越多的用户希望在移动的过程中可以随时接入网络享受各种各样的服务。因此,不仅要针对固定的终端或者固定的用户进行安全防护以及安全评估,更为重要的是实现对移动的终端进行无缝的安全状态评估。
现有技术中对终端安全状态信息的收集和安全状态评估在拜访网络中进行,并不能充分利用终端的归属网络或漫游之前的拜访网络的资源,及其归属网络或漫游之前的拜访网络已得到的安全状态信息或得到安全状态评估结果,造成拜访网络负载过大和资源浪费。
发明内容
有鉴于此,本发明实施例提出一种终端安全状态评估方法,应用于第一网络和第二网络,该方法包括:
所述第二网络接收来自所述终端的接入请求;
所述第二网络通过第一网络完成对所述终端的身份认证;
所述第二网络获取来自第一网络的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果;或者,
所述第二网络向第一网络发送安全策略,所述第一网络根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果,将所述安全状态评估结果提供给第二网络;
其中,所述安全状态信息为反映终端安全状态的信息,包括:所述终端所在的操作系统版本信息、补丁信息、防火墙版本信息、杀毒软件版本信息或浏览器版本信息。
本发明实施例还提供一种终端安全状态评估方法,第一网络存储对该终端的安全状态评估结果,当该终端拜访第二网络时,所述方法包括:所述第二网络接收来自所述终端的接入请求;所述第二网络通过第一网络完成对所述终端的身份认证;所述第二网络向第一网络请求安全状态评估结果,第二网络接收来自第一网络保存的对该终端的安全状态评估结果,根据该结果对所述终端的接入作出响应。
本发明实施例还提供一种终端安全状态评估方法,第一网络存储对该终端的安全状态评估结果和安全状态信息,当该终端拜访第二网络时,所述方法包括:所述第二网络接收来自所述终端的接入请求和包括第一网络标识的信息;所述第二网络通过第一网络完成对所述终端的身份认证;第二网络根据所述第一网络标识,向第一网络发起所述终端的安全状态评估结果和/或安全状态信息请求,通过与第一网络的之间预先建立或临时建立的安全通道获取第一网络保存的对所述终端的安全状态评估结果和/或安全状态信息。
本发明实施例还提供一种网络系统,包括:第一网络的第一服务器和第二网络的第二服务器,其中:
所述第二服务器,用于接收来自所述终端的接入请求;通过第一网络的第一服务器完成对所述终端的身份认证;向所述第一网络请求安全策略,获取来自所述第一服务器的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果;
所述第一服务器,用于向第二服务器发送安全策略。
本发明实施例还提供一种网络系统,包括:第一网络的第一服务器和第二网络第二服务器,其中:
所述第二服务器,用于接收来自所述终端的接入请求;通过第一网络的第一服务器完成对所述终端的身份认证;请求所述第一网络对所述终端进行安全状态评估,向第一服务器发送安全策略;接收来自第一服务器的对终端的安全状态评估结果;
所述第一服务器,用于获取来自第二服务器的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果,将评估结果反馈给第二服务器。
本发明实施例还提供一种网络设备,包括:
接入请求接收单元,用于接收来自漫游终端的接入请求;
安全策略获取单元,用于根据所述接入请求向所述终端的归属网络或漫游之前的拜访网络请求安全策略,获取所述安全策略;
安全状态评估单元,用于根据所述安全策略获取单元获取到的安全策略,获取来自所述终端的安全状态信息,根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果。
本发明实施例还提供一种网络设备,包括:
接入请求接收单元,用于接收来自漫游终端的接入请求;
安全评估请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估,向所述归属网络或拜访网络发送安全策略;
安全状态评估结果接收单元,用于接收来自所述归属网络或拜访网络对终端的安全状态评估结果。
本发明实施例还提供一种终端安全状态评估方法,包括:
第二网络接收来自终端的通信请求;
所述第二网络通过第一网络完成对所述终端的身份认证;
第二网络或所述终端请求第一网络对所述终端进行安全状态评估;
第二网络接收来自所述第一网络的对所述终端的安全状态评估结果,该安全状态评估结果是由所述第一网络按照所述第二网络或所述终端的请求,根据接收来自终端的安全状态信息评估得到。
本发明实施例还提供一种网络设备,包括:
通信请求接收单元,用于接收来自漫游终端的通信请求;
安全状态评估结果请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估;
安全状态评估结果接收单元,用于接收来自所述归属网络或拜访网络对终端的安全状态评估结果。
本发明实施例还提供一种网络系统,包括:第一网络的第一服务器和第二网络第二服务器,其中:
所述第二服务器,用于接收来自所述终端的通信请求;通过第一网络的第一服务器完成对所述终端的身份认证;请求所述第一网络对所述终端进行安全状态评估;接收来自第一服务器的对终端的安全状态评估结果;
所述第一服务器,用于接收来自第二服务器或来自终端的安全状态评估请求,按照所述请求,根据接收来自终端的安全状态信息对安全状态进行评估,得到安全状态评估结果,将该评估结果提供给第二服务器。
本发明实施例还提供一种终端安全状态评估方法,包括:
第二网络接收来自终端的通信请求;
所述第二网络通过第一网络完成对所述终端的身份认证;
第二网络或所述终端请求第一网络收集所述终端的安全状态信息;
第二网络接收来自第一网络的所述终端安全状态信息,所述终端安全状态信息是由第一网络根据第二网络或所述终端的请求向所述终端收集得到;
第二网络根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果。
本发明实施例还提供一种网络设备,包括:
通信请求接收单元,用于接收来自漫游终端的通信请求;
安全状态信息请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端的安全状态信息进行收集;
安全状态信息接收单元,用于接收来自所述归属网络或拜访网络收集的终端的安全状态信息;
安全状态评估单元,用于根据所述安全状态信息接收单元获取到的安全状态信息,对终端进行安全状态评估,得到安全状态评估结果。
本发明实施例还一种网络系统,包括:第一网络的第一服务器和第二网络第二服务器,其中:
所述第二服务器,用于接收来自所述终端的通信请求;通过第一网络的第一服务器完成对所述终端的身份认证;请求所述第一网络收集所述终端的安全状态信息;接收来自第一服务器收集到的终端的安全状态信息;根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果;
所述第一服务器,用于接收来自第二服务器或所述终端的安全状态信息请求,根据所述请求收集终端的安全状态信息,将该安全状态信息提供给第二服务器。
通过本发明实施例,可以充分利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果或安全状态信息,提高了信息和网络的利用效率和安全性,减轻了网络负载,解决因安全状态信息的收集以及不必要的安全状态评估所造成的时延或者是业务中断问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的终端安全状态评估方法流程图;
图2为本发明实施例一的第二网络服务器组成示意图;
图3为本发明实施例一的第一网络服务器组成示意图;
图4为本发明实施例一的系统组网示意图;
图5为本发明实施例二的终端安全状态评估方法流程图;
图6为本发明实施例二的第二网络服务器组成示意图;
图7为本发明实施例一的第一网络服务器组成示意图;
图8为本发明实施例三的终端安全状态评估方法流程图;
图9为本发明实施例三的第二网络服务器组成示意图;
图10为本发明实施例三的第一网络服务器组成示意图;
图11为本发明实施例四的终端安全状态评估方法流程图;
图12为本发明实施例五的终端安全状态评估方法流程图;
图13为本发明实施例五的第二网络服务器组成示意图;
图14为本发明实施例五的第一网络服务器组成示意图;
图15为本发明实施例五的系统组网示意图;
图16为本发明实施例六的终端安全状态评估方法流程图;
图17为本发明实施例六的第二网络服务器组成示意图;
图18为本发明实施例六的第一网络服务器组成示意图;
图19为本发明实施例六的系统组网示意图;
图20为本发明实施例七的终端安全状态评估方法流程图;
图21为本发明实施例七的第二网络服务器组成示意图;
图22为本发明实施例七的第一网络服务器组成示意图。
图23为本发明实施例七的系统组网示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在下面的各个实施例中,第一网络(记为网络1)是指漫游终端(或移动终端)的归属网络(或家乡网络)或者漫游之前所在的网络,第二网络(记为网络2)是指漫游终端(或移动终端)的拜访网络(或外地网络)或者漫游之后所在的网络,或者是一个业务提供服务器,或者其他网络设备。网络类型可以是移动网络、固定网络、移动固定移动融合网络等,可以是局域网、城域网、广域网,可以是接入网、核心网、传输网,可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。
在下面的各个实施例中,所述安全状态信息可以是反映终端安全状态的信息,如:终端所在的操作系统版本、补丁信息、防火墙版本、杀毒软件版本、浏览器版本等相关信息。
在下面的各个实施例中,漫游终端(或移动终端)可以是手机、笔记本电脑等终端,或者可以是以移动地址(如移动IP)方式接入网络的其他类型终端,等等。
在下面的各个实施例中,通信请求可以是网络各个层的通信请求,包括:物理层、链路层的接入请求,以及应用层的业务或服务请求等。
实施例一
参见图1,以通信请求为接入网络的请求为例子,本发明实施例提出一种漫游终端(或移动终端)接入网络的安全状态评估方法,由网络2根据网络1的安全策略配置完成评估,该方法包括:
Step1.漫游终端向网络2发起接入请求;
Step2.网络2通过终端的网络1完成对终端的身份认证;
Step3.网络2向该终端的网络1请求终端所对应的安全策略配置信息;安全策略可以是:比如网络需要检查终端的操作系统版本是不是最新的,或者防病毒软件版本是不是最新的等;
Step4.网络1向网络2提供该终端的安全策略配置信息;
Step5.网络2根据来自网络1的安全策略向终端请求对应的安全状态信息;安全状态信息可以是:比如终端的操作系统版本信息,或者防病毒软件版本信息等;
Step6.终端响应网络2请求的安全状态信息;
Step7.网络2请求其他的安全状态信息;
Step8.终端响应网络2请求的其他安全状态信息;
Step9.网络2根据终端上报的安全状态信息对终端进行安全状态评估,得到安全状态评估结果;
Step10.网络2根据得到的安全状态评估结果,对终端的接入请求作出响应,安全状态评估通过则允许终端接入,否则,可以是拒绝接入,或者提示接入失败。
举个例子,终端可以是手机,网络1的服务器可以是手机所在归属网络的接入策略决策点PDP1,网络2的服务器可以是手机漫游后想要接入的拜访网络的策略决策点PDP2。这时拜访网络将向该手机所对应的归属网络的PDP请求相应的安全策略配置信息。在得到这一响应之后,拜访网络将根据这一安全策略配置对手机进行安全状态信息的收集以及安全状态的评估。评估通过,则允许接入,否则,拒绝该手机接入当前拜访网络。
参照图2,本实施例的第二网络(网络2)服务器可以是包括:
接入请求接收单元202,用于接收来自漫游终端的接入请求;
安全策略获取单元204,用于根据所述接入请求向所述终端的归属网络或漫游之前的拜访网络请求安全策略,获取安全策略;
安全状态评估单元206,用于根据所述安全策略获取单元获取到的安全策略,获取来自终端的安全状态信息,根据安全状态信息对该终端进行安全状态评估,得到安全状态评估结果;
接入响应单元208,用于根据所述安全状态评估单元得到的安全状态评估结果对所述终端的接入请求作出响应。安全状态评估通过则允许终端接入,否则,拒绝接入。
参照图3,本实施例的第一网络(网络1)服务器可以是包括:
安全策略提供单元302,用于根据第二网络服务器的安全策略请求,向第二网络服务器提供安全策略。
本实施例的系统组网图如图4所示,该系统可以包括:网络1的第一服务器402、网络2的第二服务器404,其中:
第二服务器404,用于接收来自所述终端的接入请求;向第一网络请求安全策略,获取来自第一服务器的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对所述终端进行安全状态评估;
第一服务器402,用于向第二服务器发送安全策略。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态信息,提高了信息的利用效率和安全性,减轻拜访网络的负载。
实施例二
参见图5,以通信请求为接入网络的请求为例子,本发明又一实施例提出一种终端接入网络的安全状态评估方法,由于网络2自身不配备TNC架构,需要请求该终端的网络1进行评估,由网络1根据网络2的策略配置进行评估,该方法包括:
Step1.漫游终端向网络2发起接入请求;
Step2.网络2通过终端的网络1完成对终端的身份认证;
Step3.网络2请求网络1进行安全状态评估(在该请求中包含该网络所对应的安全策略配置信息);
Step4.网络1根据来自网络2的安全策略向终端请求对应的安全状态信息;
Step5.终端响应网络1请求的安全状态信息;
Step6.网络1请求其他的安全状态信息;
Step7.终端上报其他的安全状态信息;
Step8.网络1根据来自网络2的安全策略配置完成对终端的安全状态评估;
Step9.网络1将安全状态评估结果告知网络2;
Step10.网络2根据网络1的安全状态评估结果对终端的接入请求作出响应。安全状态评估通过则允许终端接入,否则,可以是拒绝接入或者提示接入失败。。
在此实施例中,当终端漫游后想要接入的拜访网络无法对该终端进行安全状态评估,但同时它还需要按照网络自身的安全状态配置,检查终端的安全状态信息,最终对该终端的接入请求作出接入响应。这时,拜访网络将向该终端所对应的归属网络的PDP发送其自身对应的安全策略配置信息,同时请求终端对应的归属网络按照这一策略配置来完成对终端的安全状态评估。终端所在的归属网络按照这一策略配置,通过对终端进行安全状态信息的收集完成安全评估之后,将评估结果反馈给拜访网络。在得到这一评估结果之后,拜访网络将根据这一评估结果对请求接入的终端作出接入响应。
参照图6,本实施例的第二网络(网络2)服务器可以是包括:
接入请求接收单元602,用于接收来自漫游终端的接入请求;
安全评估请求单元604,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估,向第一服务器发送安全策略;
安全状态评估结果接收单元606,用于接收来自第一网络服务器的对终端的安全状态评估结果;
接入响应单元608,用于根据所述安全状态评估结果接收单元获取到的安全状态评估结果,对所述终端的接入请求作出响应。
参照图7,本实施例的第一网络(网络1)服务器可以是包括:
安全策略接收单元702,用于接收来自第二网络服务器的安全策略;
安全状态评估单元704,用于根据接收到的来自第二网络服务器的安全策略向终端请求对应的安全状态信息,根据该安全状态信息对终端进行安全状态评估,得到安全状态评估结果。
本实施例的系统组网图同图4所示,该系统可以包括:网络1的第一服务器802、网络2的第二服务器804,其中:
第二服务器,用于接收来自所述终端的接入请求;请求第一网络对所述终端进行安全状态评估,向第一服务器发送安全策略;接收来自第一服务器的对终端的安全状态评估结果;
第一服务器,用于与所述第一服务器进行协商,获取来自第二服务器的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息进行安全状态评估,将评估结果反馈给第二服务器。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果,提高了网络的利用效率和安全性,减轻了拜访网络负载。
实施例三
参见图8,以通信请求为接入网络的请求为例子,本发明又一实施例提出一种终端接入网络的安全状态评估方法,网络1存储对该终端的安全状态评估结果,网络2直接利用网络1的安全状态评估结果,当网络2对终端的安全级别要求较低,无需对终端进行安全状态评估的时候,只需要向网络1请求其上一次的评估结果,这一结果将作为该终端接入的参考条件。
该方法包括:
Step1.漫游终端向网络2发起接入请求;
Step2.网络2通过终端的网络1完成对终端的身份认证;
Step3.网络2直接向网络1请求其上次对终端的评估结果;
Step4.网络1将保存的安全状态评估结果发送给网络2;
Step5.网络2参考这一安全状态评估结果对终端作出接入响应。
在本实施例中,终端请求接入的拜访网络的安全级别要求不高,这时拜访网络不需要对终端的安全状态信息进行一一评估,只需要通过终端所在的归属网络获得终端之前的评估结果,参考这一评估结果就直接对终端的接入请求作出响应。
参照图9,本实施例的第二网络(网络2)服务器可以是包括:
接入请求接收单元902,用于接收来自终端的接入请求;
安全状态评估结果请求单元904,用于向第一网络服务器请求安全状态评估结果。
参照图10,本实施例的第一网络(网络1)服务器可以是包括:安全状态评估结果提供单元1002,用于根据第二网络服务器的请求,向第二网络服务器提供自身保存的安全状态评估结果。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果,提高了网络的利用效率和安全性,减轻了拜访网络负载。
实施例四
以通信请求为接入网络的请求为例子,本发明又一实施例提出一种终端接入网络的安全状态评估方法,可以是在网络部署的时候,在网络1和网络2之间预先建立信任关系并维护一条安全的通道,也可以是临时建立安全通道,在网络1中保存终端的安全状态信息和对该终端的安全状态评估结果。利用这一安全通道,网络1和网络2之间可以共享终端的安全状态信息以及安全状态评估结果。这样可以减少安全状态信息在网络中的重复传输,从而降低了安全风险,同时减少切换时延,避免实时业务的服务质量下降。
网络1和网络2之间交互的终端安全状态信息,可以通过终端用户的IMSI、URL等来标识身份。参见图11,该方法包括:
Step1-Step6:跟前述实施例的情况类似;
Step7.当终端漫游到网络2后,向网络2发起接入请求,这时请求中包含有网络1的标识,或者可以是网络1的标识独立于接入请求进行发送;
Step8.当前网络2通过网络1完成对终端的身份认证;
Step9.通过网络1的标识,当前网络2通过预先建立或临时建立的安全通道向原来网络1请求它所保存的终端的安全状态信息和/或者安全状态评估结果;
Step10.原来的网络1对网络2的请求作出响应,提供终端的安全状态信息和/或安全状态评估结果;
Step11.当前网络2根据自己对接入终端的安全级别要求选择是否进行安全状态评估;若对终端的安全级别要求不高,则可以直接参考原先网络1的评估结果作出响应;若安全级别要求较高,则网络2可以根据安全状态信息对终端进行安全状态评估,得到安全状态评估结果;
Step12.当前网络2根据安全状态评估结果向请求接入的终端作出接入响应。
在本实施例中,网络1既可以是拜访网络,也可以是归属网络。当终端在多个网络之间漫游时,一种方式是,将自身的安全状态信息或者安全状态评估结果保存在归属网络的服务器中,这样,在终端漫游后接入不同的拜访网络时,这些拜访网络只需要向该终端所在的归属网络请求其对应的安全状态信息或者安全状态评估结果。另一种方式是,终端当前所在的拜访网络保存该终端的安全状态信息以及本次的安全状态评估结果。当终端漫游到下一个网络时,新的拜访网络只需要向前一个拜访网络请求终端对应的安全状态信息或者安全状态评估结果,无需再向终端的归属网络获得这一信息。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果,提高了信息和网络的利用效率和安全性,减轻了拜访网络负载。
实施例五
参见图12,本发明又一实施例提出一种终端安全状态评估方法,终端向网络2发起通信请求后,网络1将对终端的安全状态评估结果发送给网络2,网络2据此对终端的通信请求作出响应。
该方法包括:
Step1.漫游终端向网络2发起通信请求;
Step2.网络2或漫游终端请求网络1对所述终端进行安全状态评估;
Step3.网络1从终端获取安全状态信息,对终端进行安全状态评估;
Step4.网络1把评估结果发送给网络2;
Step5.网络2参考这一安全状态评估结果对终端的通信请求作出响应。
本实施例还可以在Step2之前或之后进一步包括:网络2通过终端的网络1完成对终端的身份认证。在本实施例中,可以是终端向网络2发起通信请求后,网络2向网络1发起请求,请求其对终端进行安全状态评估。也可以是在终端向网络2发起通信请求后,终端请求网络1对其进行安全状态评估,其中包含网络2的标识。在网络1完成安全状态评估之后,将安全状态评估结果提供给网络2。
参照图13,本实施例的第二网络(网络2)服务器可以是包括:
通信请求接收单元1302,用于接收来自终端的通信请求;
安全状态评估结果请求单元1304,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估;
安全状态评估结果接收单元1306,用于接收来自所述归属网络或拜访网络对终端的安全状态评估结果。
进一步地,第二网络(网络2)服务器还可以包括:
响应单元1308,用于根据所述安全状态评估结果接收单元获取到的安全状态评估结果,对所述终端的通信请求作出响应。
参照图14,本实施例的第一网络(网络1)服务器可以是包括:
安全状态评估结果提供单元1402,用于根据来自终端或来自第二网络服务器的安全状态评估请求,向第二网络服务器提供自身保存的安全状态评估结果。
参照图15,本实施例的网络系统包括:
第一网络的第一服务器1502和第二网络第二服务器1504,其中:
第二服务器1504,用于接收来自终端的通信请求;请求第一网络对所述终端进行安全状态评估;接收来自第一服务器的对终端的安全状态评估结果;
所述第一服务器1502,用于接收来自第二服务器或来自终端的安全状态评估请求,按照所述请求,根据接收来自终端的安全状态信息对安全状态进行评估,得到安全状态评估结果,将该评估结果提供给第二服务器。
进一步地,第二服务器1504还可以用于根据所述安全状态评估结果对所述终端的通信请求作出响应。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果,提高了网络的利用效率和安全性,减轻了拜访网络负载。
实施例六
参见图16,本发明又一实施例提出一种终端安全状态评估的方法,终端向网络2发起通信请求后,网络1收集终端的安全状态信息,将该信息发给网络2,网络2利用这些安全状态信息对终端进行安全状态评估,根据评估结果作出响应。
该方法包括:
Step1.漫游终端向网络2发起通信请求;
Step2.网络2或漫游终端请求网络1收集所述终端的安全状态信息;
Step3.网络1收集终端的安全状态信息;
Step4.网络1将收集到的终端的安全状态信息发送给网络2;
Step5.网络2利用终端的安全状态信息对终端进行安全状态评估;
Step5.网络2根据安全状态评估结果对终端的通信请求作出响应。
本实施例还可以在Step2之前或之后进一步包括:网络2通过终端的网络1完成对终端的身份认证。
在本实施例中,可以是终端向网络2发起通信请求后,网络2向网络1发起请求,请求其收集终端的安全状态信息。也可以是在终端向网络2发起接入请求后,终端请求网络1对其进行安全状态信息的收集。其中包含网络2的标识。这样在网络1完成信息收集之后,发送给网络2。
参照图17,本实施例的第二网络(网络2)服务器可以是包括:
通信请求接收单元1702,用于接收来自终端的通信请求;
安全状态信息请求单元1704,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端的安全状态信息进行收集;
安全状态信息接收单元1706,用于接收来自所述归属网络或拜访网络收集的终端的安全状态信息;
安全状态评估单元1708,用于根据所述安全状态信息接收单元获取到的安全状态信息,对终端进行安全状态评估,得到安全状态评估结果。
进一步地,第二网络(网络2)服务器还可以包括:
响应单元1710,用于根据所述安全状态评估单元得到的安全状态评估结果,对所述终端的通信请求作出响应。
参照图18,本实施例的第一网络(网络1)服务器可以是包括:安全状态信息提供单元1802,用于根据第二网络服务器的请求,向第二网络服务器提供收集的安全状态信息。
参见图19,本实施例还提出一种网络系统,包括:
第一网络的第一服务器1902和第二网络第二服务器1904,其中:
第二服务器1904,用于接收来自终端的通信请求;请求第一网络收集终端的安全状态信息;接收来自第一服务器收集到的终端的安全状态信息;根据安全状态信息对终端进行安全状态评估,得到安全状态评估结果;
第一服务器1902,用于接收来自第二服务器或终端的安全状态信息请求,根据所述请求收集终端的安全状态信息,将该安全状态信息提供给第二服务器。
进一步地,第二服务器还用于根据所述安全状态评估结果对所述终端的通信请求作出响应。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态信息,提高了信息和网络的利用效率和安全性,减轻了拜访网络负载。
实施例七
参见图20,本发明又一实施例提出一种终端安全状态评估方法,终端向网络1请求获得一个可以标识其安全状态的凭证(例如,证书、token等)。终端向网络2发起通信请求后,网络2验证该凭证,根据验证结果对通信请求作出响应。
该方法包括:
Step1.漫游终端从网络1获取一个凭证,如证书、token等;
Step2.终端向网络2发起通信请求,其中携带该凭证;
Step3.网络2完成对终端的身份认证后,验证该凭证的有效性;
Step4.网络2根据验证结果对终端的通信请求作出响应。
在本实施例中,通信请求可以是终端向网络2发起接入网络的请求;也可以是终端向某一业务提供服务器(如,网络2中的)发起针对某种业务的请求。
参照图21,本实施例的第二网络(网络2)服务器可以是包括:
通信请求接收单元2102,用于接收来自终端的通信请求;
凭证信息接收单元2104,用于接收来自终端的凭证信息;
凭证信息验证单元2106,用于验证所述凭证信息的有效性,得到对所述终端的安全状态评估结果。
进一步地,第二网络(网络2)服务器还可以包括:
响应单元2108,用于根据所述凭证信息验证单元得到的安全状态评估结果,对所述终端的通信请求作出响应。
参照图22,本实施例的第一网络(网络1)服务器可以是包括:凭证提供单元2202,用于向终端提供标识其安全的凭证信息。
参见图23,本实施例还提出一种网络系统,包括:
第一网络的第一服务器2302和第二网络第二服务器2304,其中:
第一服务器2302,用于向终端提供凭证信息;
第二服务器2304,用于接收来自终端的通信请求以及凭证信息;验证凭证信息的有效性,得到对终端的安全状态评估结果。
进一步地,第二服务器还用于根据安全状态评估结果对所述终端的通信请求作出响应。
本发明实施例利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果,提高了信息和网络的利用效率和安全性,减轻了拜访网络负载。
通过本发明实施例,可以充分利用漫游终端的归属网络或漫游之前的拜访网络得到对该终端的安全状态评估结果或安全状态信息,提高了信息和网络的利用效率和安全性,减轻了网络负载,解决因安全状态信息的收集以及不必要的安全状态评估所造成的时延或者是业务中断问题。
专业人员还可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它形式的存储介质中。
综上所述,以上仅为对本发明精神的展示,而非用于限制本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (13)

1.一种终端安全状态评估方法,其特征在于,应用于第一网络和第二网络,所述方法包括:
所述第二网络接收来自终端的接入请求;
所述第二网络通过第一网络完成对所述终端的身份认证;所述第二网络获取来自第一网络的安全策略,根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果;或者,所述第二网络向第一网络发送安全策略,所述第一网络根据所述安全策略获取来自所述终端的对应的安全状态信息,根据所述安全状态信息对终端进行安全状态评估得到安全状态评估结果,将所述安全状态评估结果提供给第二网络;
所述第二网络向第一网络发送安全策略的步骤包括:
第二网络请求第一网络对所述终端进行安全状态评估,向第一网络发送安全策略;其中,所述安全状态信息为反映终端安全状态的信息,包括:所述终端所在的操作系统版本信息、补丁信息、防火墙版本信息、杀毒软件版本信息或浏览器版本信息。
2.如权利要求1所述的方法,其特征在于,所述第二网络获取来自第一网络的安全策略的步骤之前还包括:
第二网络向第一网络请求安全策略,第一网络根据所述请求向第二网络提供所述安全策略。
3.一种网络设备,其特征在于,包括:
接入请求接收单元,用于接收来自漫游终端的接入请求;
安全评估请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估,向所述归属网络或拜访网络发送安全策略;
安全状态评估结果接收单元,用于接收来自所述归属网络或拜访网络对终端的安全状态评估结果。
4.如权利要求3所述的设备,其特征在于,进一步包括:
接入响应单元,用于根据所述安全状态评估结果接收单元获取到的安全状态评估结果,对所述终端的接入请求作出响应。
5.一种终端安全状态评估方法,其特征在于,包括:
第二网络接收来自终端的通信请求;
所述第二网络通过第一网络完成对所述终端的身份认证;
第二网络或所述终端请求第一网络对所述终端进行安全状态评估;
第二网络接收来自所述第一网络的对所述终端的安全状态评估结果,该安全状态评估结果是由所述第一网络按照所述第二网络或所述终端的请求,根据接收来自终端的安全状态信息评估得到。
6.如权利要求5所述方法,其特征在于,所述第一网络为所述终端的归属网络或漫游之前的拜访网络;第二网络为所述终端的拜访网络或者漫游之后所在的网络,或者为业务提供服务器,或者其他网络设备;
所述终端为漫游到所述第二网络的手机,或者,漫游到所述第二网络的、以移动地址方式接入网络的其他类型终端。
7.一种网络设备,其特征在于,包括:
通信请求接收单元,用于接收来自漫游终端的通信请求;
安全状态评估结果请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端进行安全状态评估;
安全状态评估结果接收单元,用于接收来自所述归属网络或拜访网络对终端的安全状态评估结果。
8.如权利要求7所述的设备,其特征在于,进一步包括:
响应单元,用于根据所述安全状态评估结果接收单元获取到的安全状态评估结果,对所述终端的通信请求作出响应。
9.一种网络系统,其特征在于,包括:第一网络的第一服务器和第二网络第二服务器,其中:
所述第二服务器,用于接收来自所述终端的通信请求;通过第一网络的第一服务器完成对所述终端的身份认证;请求所述第一网络对所述终端进行安全状态评估;接收来自第一服务器的对终端的安全状态评估结果;
所述第一服务器,用于接收来自第二服务器或来自终端的安全状态评估请求,按照所述请求,根据接收来自终端的安全状态信息对安全状态进行评估,得到安全状态评估结果,将该评估结果提供给第二服务器。
10.一种终端安全状态评估方法,其特征在于,包括:
第二网络接收来自终端的通信请求;
所述第二网络通过第一网络完成对所述终端的身份认证;
第二网络或所述终端请求第一网络收集所述终端的安全状态信息;
第二网络接收来自第一网络的所述终端安全状态信息,所述终端安全状态信息是由第一网络根据第二网络或所述终端的请求向所述终端收集得到;
第二网络根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果。
11.一种网络设备,其特征在于,包括:
通信请求接收单元,用于接收来自漫游终端的通信请求;
安全状态信息请求单元,用于请求该漫游终端的归属网络或漫游之前的拜访网络对所述终端的安全状态信息进行收集;
安全状态信息接收单元,用于接收来自所述归属网络或拜访网络收集的终端的安全状态信息;
安全状态评估单元,用于根据所述安全状态信息接收单元获取到的安全状态信息,对终端进行安全状态评估,得到安全状态评估结果。
12.如权利要求11所述的设备,其特征在于,进一步包括:
响应单元,用于根据所述安全状态评估单元得到的安全状态评估结果,对所述终端的通信请求作出响应。
13.一种网络系统,其特征在于,包括:第一网络的第一服务器和第二网络第二服务器,其中:
所述第二服务器,用于接收来自所述终端的通信请求;通过第一网络的第一服务器完成对所述终端的身份认证;请求所述第一网络收集所述终端的安全状态信息;接收来自第一服务器收集到的终端的安全状态信息;根据所述安全状态信息对所述终端进行安全状态评估,得到安全状态评估结果;
所述第一服务器,用于接收来自第二服务器或所述终端的安全状态信息请求,根据所述请求收集终端的安全状态信息,将该安全状态信息提供给第二服务器。
CN201310095067.3A 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统 Active CN103260161B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310095067.3A CN103260161B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN200810065495.0 2008-02-29
CN200810065495 2008-02-29
CN200810098771.3A CN101621380B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统
CN201310095067.3A CN103260161B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN200810098771.3A Division CN101621380B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统

Publications (2)

Publication Number Publication Date
CN103260161A CN103260161A (zh) 2013-08-21
CN103260161B true CN103260161B (zh) 2016-01-27

Family

ID=41055546

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201310095067.3A Active CN103260161B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统
CN200810098771.3A Active CN101621380B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN200810098771.3A Active CN101621380B (zh) 2008-02-29 2008-05-28 一种终端安全状态评估方法、网络设备及系统

Country Status (2)

Country Link
CN (2) CN103260161B (zh)
WO (1) WO2009109118A1 (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215211B (zh) * 2010-04-02 2016-01-20 中兴通讯股份有限公司 通信方法、支持可信网络接入的安全策略协商方法及系统
CN103209414B (zh) * 2012-01-13 2016-05-11 腾讯科技(深圳)有限公司 一种控制网页访问的方法、装置及移动终端
CN102882923B (zh) * 2012-07-25 2015-04-15 北京亿赛通科技发展有限责任公司 移动终端安全存储系统及方法
CN103561035A (zh) * 2013-11-11 2014-02-05 中国联合网络通信集团有限公司 一种移动用户安全防护方法和系统
CN103856568B (zh) * 2014-03-25 2019-03-19 努比亚技术有限公司 一种可提示用户终端安全状态的终端、系统及实现方法
CN103970651A (zh) * 2014-04-18 2014-08-06 天津大学 基于组件安全属性的软件体系结构安全性评估方法
US11140168B2 (en) * 2015-07-22 2021-10-05 AVAST Software s.r.o. Content access validation system and method
CN108052367A (zh) * 2017-12-27 2018-05-18 深圳豪客互联网有限公司 一种应用程序的界面背景颜色设置方法及装置
CN111885191B (zh) * 2020-07-30 2021-08-17 西安电子科技大学 一种计算机网络通信系统
CN112073443B (zh) * 2020-11-12 2021-03-16 飞天诚信科技股份有限公司 一种基于浏览器访问认证设备的方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022647A (zh) * 2006-02-15 2007-08-22 华为技术有限公司 切换处理过程中确定安全协商参数的实现方法及装置
CN101521885A (zh) * 2008-02-26 2009-09-02 华为技术有限公司 一种权限控制方法、系统及设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
CN1214686C (zh) * 2002-08-29 2005-08-10 华为技术有限公司 一种漫游用户信息安全控制设备及漫游用户信息交互方法
CN100525184C (zh) * 2004-05-27 2009-08-05 华为技术有限公司 网络安全防护系统及方法
CN100502406C (zh) * 2006-01-12 2009-06-17 华为技术有限公司 在移动终端与移动网络之间实现安全联动的方法
US8346265B2 (en) * 2006-06-20 2013-01-01 Alcatel Lucent Secure communication network user mobility apparatus and methods
CN101094063B (zh) * 2006-07-19 2011-05-11 中兴通讯股份有限公司 一种游牧终端接入软交换网络系统的安全交互方法
CN101123803B (zh) * 2006-08-11 2010-08-04 华为技术有限公司 一种关联反应系统中移动台状态变化时的处理方法
CN100496156C (zh) * 2007-02-16 2009-06-03 西安西电捷通无线网络通信有限公司 一种基于wapi的证书漫游认证方法
CN101330401B (zh) * 2007-06-22 2010-12-08 华为技术有限公司 一种安全状态的评估方法、装置及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022647A (zh) * 2006-02-15 2007-08-22 华为技术有限公司 切换处理过程中确定安全协商参数的实现方法及装置
CN101521885A (zh) * 2008-02-26 2009-09-02 华为技术有限公司 一种权限控制方法、系统及设备

Also Published As

Publication number Publication date
WO2009109118A1 (zh) 2009-09-11
CN101621380A (zh) 2010-01-06
CN101621380B (zh) 2015-04-08
CN103260161A (zh) 2013-08-21

Similar Documents

Publication Publication Date Title
CN103260161B (zh) 一种终端安全状态评估方法、网络设备及系统
CN106487777B (zh) 身份认证方法和物联网网关装置及认证网关装置
CN110199513B (zh) 一种会话处理方法及设备
EP1782265B1 (en) System and method for secure network connectivity
US8910282B2 (en) System and method for protecting devices on dynamically configured network
CN101335692B (zh) 协商pcc和pce之间安全能力的方法及其网络系统
CN106332067A (zh) 防止无线网络中直径信令攻击的方法、装置和系统
KR102001544B1 (ko) 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
CN104335546A (zh) 使用邻居发现来为其它应用创建信任信息
Li et al. Transparent AAA security design for low-latency MEC-integrated cellular networks
WO2009115029A1 (zh) 一种修复数据的方法、系统和装置
CN101621523A (zh) 一种用户安全接入控制方法及其装置和系统
CN114995214A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
CN105392137A (zh) 家庭wifi防盗用的方法、无线路由器及终端设备
CN102740296A (zh) 一种移动终端可信网络接入方法和系统
CN101521885B (zh) 一种权限控制方法、系统及设备
CN103957194B (zh) 一种网络协议ip接入方法及接入设备
CN103780395B (zh) 网络接入证明双向度量的方法和系统
CN113872933A (zh) 隐藏源站的方法、系统、装置、设备及存储介质
CN105792216A (zh) 基于认证的无线钓鱼接入点检测方法
Al-Duwairi et al. A novel scheme for mitigating botnet-based DDoS attacks
CN115580871A (zh) 面向5g高清远程医疗应用的通信保障实现方法及系统
CN106341399A (zh) 一种用户访问的控制方法及系统
CN113812125B (zh) 登录行为的校验方法及装置、系统、存储介质、电子装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant