WO2009115029A1

WO2009115029A1 - 一种修复数据的方法、系统和装置

Info

Publication number: WO2009115029A1
Application number: PCT/CN2009/070815
Authority: WO
Inventors: 刘衍珩; 王健; 余雪岗; 朱建启; 吴静; 丁一兰
Original assignee: 华为技术有限公司
Priority date: 2008-03-18
Filing date: 2009-03-16
Publication date: 2009-09-24
Also published as: CN101540755A; CN101540755B

Description

一种修复数据的方法、系统和装置本申请要求于 2008年 03月 18 日提交中国专利局、申请号为 200810102129.8、发明名称为"一种修复数据的方法、系统和装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信领域，特别涉及一种修复数据的方法、系统和装置。背景技术

互联网络自出现以来受到了广泛的应用，人们对其依赖也日益增强，但由于目前互联网中普遍存在的脆弱性和网络提供服务能力的有限性，大大降低了网络的可信任程度，例如：对于试图接入某些特定网络的可管理或不可管理的终端用户，虽然网络供应商可以运用现有的标准技术来限制对网络的访问，然而面对很多来自网络内部的恶意攻击仍然束手无策。要解决内部安全威胁，就需要建立一个信息的信任传递模式。信息安全的核心正在向"可信任"转变。

可信性比安全性更富有广泛的技术内涵，可信的互联网络应该具有如下特性：

(1) 实现传统意义上的安全性，即系统和信息的保密性、完整性、可用性；

(2) 真实性 (authenticity), 即用户身份、信息来源、信息内容的真实性；

(3) 可审计性 (accountability), 即网络实体发起的任何行为都可追踪到实体本身；

(4) 私密性 (privacy), 即用户的隐私是受到保护的，某些应用是可匿名的；

(5) 抗毁性 (survivability), 在系统故障、恶意攻击的环境中，能够提供有效的服务； (6) 可控性 (controllability), 是指对违反网络安全策略的行为具有控制能力。

由康柏、惠普、 IBM、 Intel和微软牵头组织了可信计算组织 (Trusted Computing Group, TCG), 致力于在计算平台体系结构上增强其安全性，为高可信计算制定开放的标准，并发布了可信平台模块 CTrusted Platform Module, TPM)规范，为了给 TCG发布的 TPM提供一种应用支持， TCG发布了 TNC(Trusted Network Connect, 可信网络连接)规范。其主要目的是通过使用可信主机提供的终端技术，实现网络访问控制的协同工作。参见图 1，为 TNG提供的 TNC体系结构示意图。其中，可信网络连接技术 TNC是建立在基于主机的可信计算技术之上的。基于 TNC开放规范的解决方案可确保试图接入网络的终端设备满足网络运营商规定的来源、完整性状态和安全要求及其他安全策略，其中；

1 . 网络访问请求者 (Access Requestor, AR)是请求访问受保护网络的实体（可能是一台或多台物理计算机或者是一个驻留在计算机中的独立程序）。其中， AR 中按照功能划分有三个模块：

网络访问请求模块（NAR， Network Access Requestor)用来发起网络请求；可信客户端模块 (TNCC， TNC Client)主要负责收集可信信息，并将这些信息发送给对端的可信服务模块（TNCS， TNC Server) 进行可信验证；可信信息测量模块 (IMC， Integrity Measurement Collectors)负责测量与 AR实体完整性相关的可信信息，例如操作系统安全性、杀毒软件、防火墙、应用软件版本等信息，该实体中可能有一个或多个可信信息测量模块；

2. 策略执行点 (； Policy Enforcement Point, PEP): 该实体中只有 PEP模块，其功能是控制对受保护的可信网络的访问，与 PDP交互并决定是否允许 AR访问网络；

3 . 策略决策点 (Policy Decision Point, PDP): 根据特定的网络访问策略，检查 AR的访问认证，决定是否授权访问的网络实体。其中， PDP按照功能划分有三个模块：

网络访问认证模块 (NAA， Network Access Authority)用于决定 AR是否应该得到访问授权，向可信服务端询问 AR的完整性是否满足本地安全策略；可信服务端模块 (TNCS)用于管理可信信息验证模块（IMV， Integrity Measurement Verifiers) 和可信信息测量模块 (IMC) 之间的消息流向，将验证结果与本地安全策略相比较，做出最终的全局评估结果，如验证成功、失败或建议修复等；可信信息验证模块（IMV)用于验证从可信信息测量模块传递来的可信信息，一个 PDP中可能有多个可信信息验证模块。

在某终端完整性验证失败，需要进入可信修复的过程中，如果可信网络接入的过程缺少修复环节，那么对于没有满足可信网络完整性要求的接入用户，将无法得知是由于什么原因而无法访问可信网络，或者无法通过一个安全可信的渠道获取修复数据。用户只能通过手动去下载可修复的资源，这对于用户来说是一个相当繁琐且复杂的过程，会影响用户对可信网络使用的积极性，给可信网络的普及带来负面影响。

发明人在实现本发明的过程中发现，尽管 TCG组织的标准文档中，在接入过程的提出了关于修复的概念，但是并没有给出功能描述和具体的实现方案。发明内容

为了使用户终端在接入可信网络，当完整性验证失败时，给用户提供自动的可修复过程，从而使用户能够自动完成了修复过程后成功实现可信网络的接入，本发明实施例提供了一种修复数据的方法、系统和装置。所述技术方案如下：

一方面，本发明实施例提供了一种修复数据的方法，所述方法包括：

修复服务器接收终端发送的验证消息，所述验证消息中携带所述终端的身份信息，根据自身预存的终端身份信息，对所述终端的合法性进行验证；

当对所述终端的合法性验证成功后，接收所述终端发送的资源请求消息，判断是否能够提供所述终端需要的资源，如果是，向所述终端下发所述资源，所述资源用于修复所述终端自身的数据。

一方面，本发明实施例提供了一种修复数据的系统，所述系统包括：终端和修复服务器，其中，

所述终端，用于向所述修复服务器发送验证消息；在身份验证通过后，向所述修复服务器发送资源请求消息，接收所述修复服务器发送的资源，根据所述资源修复自身的数据；所述修复服务器，用于接收所述终端发送的验证消息，根据自身预存的终端身份信息，对所述终端的合法性进行验证，接收所述终端发送的资源请求消息，判断是否能够提供所述终端需要的资源，如果是，向所述终端下发所述资源。

一方面，本发明实施例提供了一种终端装置，所述终端装置包括：

发送模块，用于向修复服务器发送验证消息及资源请求信息；

接收模块，用于接收所述修复服务器发送的资源，所述资源由所述修复服务器根据验证信息验证终端装置通过后，在判断修复服务器能够提供所述资源时获取并发送的；

修复模块，用于根据所述接收模块接收的资源修复自身的数据。

一方面，本发明实施例提供了一种修复服务器，所述修复服务器包括：

接收模块，用于接收终端发送的验证消息；

验证模块，用于根据自身存储的终端身份信息，以及所述接收模块接收到的终端的验证消息，对所述终端的合法性进行验证；

处理模块，用于当所述验证模块验证的结果为合法，接收所述终端发送的资源请求消息，判断是否能够提供所述终端需要的资源，如果是，向所述终端下发所述资源。

一方面，本发明实施例提供了一种决策服务器，所述决策服务器包括：

验证模块，用于对终端进行完整性验证；

发送模块，用于在所述验证模块对终端进行完整性验证失败后，向所述终端发送接入失败消息，并将在验证终端完整性过程中获取的终端的验证信息发送给修复服务器，所述终端的验证信息包括终端标识、终端需要的资源信息。本发明实施例提供的技术方案的有益效果是：通过可信修复网络的引入，当终端完整性验证失败，需要进入可信修复的过程中，实现用户自动获取可修复的资源，从而利用该资源对用户自身的不完整性的数据进行修复，提高了用户的体验，增加了用户的满意度，大大提高了用户对可信网络使用的积极件，有力地促进了可信网络的普及。附图说明

图 1是现有技术提供的可信网络的网络体系结构示意图；

图 2是本发明实施例 1提供的可信修复通信场景示意图；

图 3是本发明实施例 1提供的修复数据的方法流程图；

图 4是本发明实施例 1提供的终端 TRA的功能结构示意图；

图 5是本发明实施例 1提供的 MTRS的功能结构示意图；

图 6是本发明实施例 1提供的 TRRS的功能结构示意图；

图 7是本发明实施例 1提供的可信修复网络的网络体系结构示意图；

图 8是本发明实施例 2提供的修复数据的系统的示意图；

图 9是本发明实施例 4提供修复服务器的示意图；

图 10是本发明实施例 3提供的终端装置的示意图；

图 11是本发明实施例 5提供的决策服务器的示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供的技术方案，通过在现有的 TNC体系结构的基础上，增加可信修复服务器和可信修复模块（TRA， Trusted Remediation Application), 实现了对那些在接入可信网络时，由于完整性验证失败无法接入可信网络的用户终端，通过提供给其自动的可修复过程，从而使用户终端能够在自动完成了修复过程后成功实现可信网络的接入。其中，本发明实施例提供了一种修复数据的方法，该方法如下：

修复服务器接收终端发送的验证消息，验证消息中携带终端的身份信息，根据自身预存的终端身份信息，对终端的合法性进行验证；

当对终端的合法性验证成功后，接收终端发送的资源请求消息，判断是否能够提供终端需要的资源，如果是，向终端下发资源；

终端接收修复服务器发送的资源，根据资源修复自身的数据。其中，在具体实现了为了均衡修复服务器的负载，提高效率，上述修复服务器可以具体设计为包括：主修复服务器和至少一个修复资源服务器，相应地，方法具体为：

主修复服务器接收终端发送的验证消息，验证消息中携带终端的身份信息，根据自身预存的终端身份信息，对终端的合法件进行验证；

当对终端的合法性验证成功后，主修复服务器接收终端发送的资源请求消息，判断修复资源服务器是否能够提供终端需要的资源，如果是，向修复资源服务器获取资源，将资源转发给终端；

终端接收修复服务器发送的资源，根据资源修复自身的数据。

相应地，上述向修复资源服务器获取资源，将资源转发给终端的步骤具体可以通过以下内容实现：

主修复服务器向修复资源服务器发送资源获取消息，修复资源服务器判断是否能提供资源，如果是，将资源发送主修复服务器，主修复服务器将资源转发给终端。

在修复服务器接收终端发送的验证消息步骤，之前还包括：

决策服务器向终端发送接入失败消息，并将终端的验证消息发送给修复服务器，终端的验证消息包括终端标识、终端需要的资源信息。

或者；

决策服务器向终端发送可信网络接入失败消息，并将终端的身份信息发送给修复服务器，终端的身份消息包括终端标识；

相应地，终端发送的资源请求消息中携带终端需要的资源信息。

为了保证修复数据获取的安全性，该方法还可以包括：决策服务器和修复服务器进行身份验证，如：决策服务器向修复服务器发送身份验证消息，身份验证消息中携带决策服务器的标识，修复服务器收到身份验证消息后，根据决策服务器的标识对决策服务器进行身份验证；当修复服务器对决策服务器验证通过后，修复服务器向决策服务器发送身份验证消息，身份验证消息中携带修复服务器的标识，决策服务器收到身份验证消息，根据修复服务器的标识对修复服务器进行身份验证。双向身份验证通过后执行上述方法提供的各步骤。

为了保证终端和可信修复服务器的隔离状态，保证修复数据获取的隐蔽性和安全性，终端和修复服务器之间存在用于对终端和可信修复网络进行隔离的执行服务器，该执行服务器的具体功能如下：

修复服务器接收通过执行服务器转发的终端发送的验证消息，根据自身预存的终端身份信息，对终端的合法性进行验证；当对终端的合法性验证成功后，接收通过执行服务器转发终端发送的资源请求消息，判断是否能够提供终端需要的资源，如果是，通过执行服务器向终端下发资源；

终端接收通过执行服务器转发的修复服务器发送的资源，根据资源修复自身的数据。综上所述，通过本发明实施例提供的方法，实现了对用于修复的数据的获取，保证了用于提供修复数据的修复服务器的安全性和隐蔽性，并且为了保证可信修复网络的安全性，均衡了可信修复资源服务器的负载，将可信修复资源服务器设计为具体包括：主修复服务器（MTRS， Main Trusted Remediation Server)和多个修复资源服务器（TRRS， Trusted Remediation Resource Server), 不同的 TRRS由不同的厂商进行资源的提供和维护。

在此基础上，下面以多个实施例对本发明实施例提供的修复数据的方法进行详细的说明。以将本发明实施例提供的修复数据的方法应用于可信网络为例进行说明，其中，当终端接入可信网络由于可信信息不完整，需要进行修复，自动获取到用于修复的数据，从而利用获取到的修复资源对自身的不完整性的可信数据进行修复，详细内容如下：实施例 1

参见图 2，为了详细说明本发明实施例提供了一种可信修复通信场景示意图。如图所示，可信修复服务器包括一个主修复服务器 MTRS和多个修复资源服务器 TRRS ; 其中， TRS 和 TRRS 设置在与用户隔离的环境中，被称为可信修复网络，一个可信修复网络可以为多个 PDP提供修复服务功能。其中， MTRS对待修复终端和 PDP进行身份验证，并根据要修复的可信属性类型（如操作系统安全性、杀毒软件、防火墙、应用软件版本等信息）定向到各个 TRRS， TRRS由不同厂商提供，为用户提供不同类型或厂商的修复资源。可信修复模块（TRA)是在接入终端新增的一个模块，用来与用户交互。在图 2的基础上，参见图 3，本发明实施例提供了一种修复数据的方法，其中，该方法内容如下：

终端在接入可信网络的过程中，当 PDP验证某一个接入终端完整性验证失败后，会向该终端发送完整性验证失败消息；此时，终端需要对自身现有的可信数据进行修复从而获取完整的可信信息，终端进入了可信修复过程，步骤如下：

101：终端接收 PDP发送的验证失败消息，向 MTRS发送待终端身份验证消息，并请求查看修复措施，该步骤具体实现如下：

终端接收到 PDP发送的验证失败消息后，将修复信息和措施显示给用户，并询问用户是否进行可信修复，如果用户不进行可信修复，则结束；如果用户确定进行可信修复后，终端就向 MTRS发送终端的身份验证消息，其中，该身份验证消息中携带终端的标识和加密算法（如 MD5等）； 102： MTRS收到终端发送的身份验证消息，根据其中携带的终端标识，对该终端进行身份验证，判断该终端是否合法；如果是，则执行 103 ; 否则，执行 109;

其中，由于终端在接入可信网络的过程中，当 PDP验证某一个接入终端完整性验证失败后，会向该终端发送完整件验证失败消息，其中，验证失败消息和接入失败消息是一致的，即验证完整性失败等于终端接入可信网络失败。同时， PDP也会向 MTRS发送携带该待接入终端的信息的消息，该消息中会携带该待接入终端标识、加密算法 (其中，加密算法主要用于基于协议层的验证)以及该终端所需要的修复信息（本实施例为了提高终端获取修复资源的速度，采用由 PDP向 MTRS发送该终端所需要的修复信息的方式为例进行说明）等； MTRS会对该携带待接入终端的信息的消息进行保存，如保存在自身的身份信息库中。于是，在 MTRS收到终端发送的身份验证消息后，根据其中携带的终端标识，查询 MTRS 自身的身份信息库，通过查看是否存在该终端身份信息的标识对该终端的合法性进行判断，如果存在则表明该终端合法，否则，表明该终端为非法用户，拒绝为其提供可信修复服务。

103： MTRS认证用户合法后，向终端返回身份认证成功的消息。

104：终端收到身份认证成功的消息后，向 MTRS发送可信修复资源请求消息。

105： MTRS收到终端发送的可信修复资源请求消息，根据终端需要修复的项目信息，判断是否能定向到相应的 TRRS，如果是，则执行 106; 否则，执行 110。

其中， MTRS自身下挂管理多个 TRRS，不同的 TRRS可以提供不同的可信修复项目资源。例如终端 A需要修复的项目为金山杀毒软件的版本号，如果存在可以提供金山杀毒软件的版本升级的项目资源 TRRS ,则表明 MTRS能够定向到相应的 TRRS。在 MTRS定向到 TRRS时，具体可以通过项目资源标识实现，参见表 1，提供了一种实现定向的示意表。

表 1

如表 1所不，提供了一种 MTRS实现 TRRS定向的不意表，通过项目标识进行索引，从而定向到相应的 TRRS。

106： MTRS向定向到的 TRRS下发获取修复资源指示， TRRS根据 MTRS的指示，查询自身获取相应的可信修复资源，将相应可信修复资源返回给 MTRS。

其中，当 TRRS根据 MTRS的指示，査询自身无法获取相应的可信修复资源时，向 MTRS 返回查询失败的应答消息。

107： MTRS将获取到的可信修复资源，发送给终端。 108：终端获取到可信修复资源后，根据自身的需要对资源进行相应的处理，如安装、或者覆盖等操作，完成对自身原来不完整的数据的修复，结束。

其中，当终端完成了可信修复过程后，由于对自身的数据进行了修复，从而可以进行可信网络的重新接入。

109： MTRS通知终端，拒绝为终端提供可信修复资源，结束。

110： MTRS通知终端无法提供可信修复资源，无法进行修复，结束。

进一步地，为了确保可信网络的安全性，可以将上述终端与 MTRS的通信通过 PEP的重定向来完成，即用户只能通过 PEP重定向到该可信修复网络环境中，其中，利用 PEP进行重定向的过程如下：

首先， PEP为了实现通信的重定向，所需要的数据结构如下：

1 ) 过滤 EP表：至少包含终端 IP地址（AR_IP)、过滤器 ID (FILTER ID), 以及超时时间（EXPIRETIME)三个表项，该表的作用是根据过滤规则决定将待修复终端定向到修复网络中。如表 2所示，其中， AR—ADDRESS指明了终端的 IP地址标识， FILTER_ID指明了该终端是否需要进行可信修复接入，如当 FILTER_ID的字段为 SUCCEED时，表示该终端为已经成功接入可信网络；如当 FILTER_ID的字段为 FIXJJP时，表示该终端需要进行可信修复等等。

表 2

2) 重定向 Redirect表：至少包含终端的 IP 地址 CAR_IP)、终端用于修复过程的端口 (AR PORT) 和 PEP用于修复过程的端口（PEP_PORT) 三个表项，该表的作用是实现修复过程中重定向的功能。即当表 1 中的 FILTER_ID的字段为 FIXJJP时，启用该 Redirect 表，参见表 3，提供了 Redirect表的示意表。

表 3

PEP实现重定向的过程如下：

首先， PEP等待接收 PDP验证某个终端的完整性结果信息，并将相关信息（终端 IP地址，过滤器 ID) 记录到过滤表中； EP过滤器按照过滤表中的规则，对到来消息进行过滤；若该消息是 PDP指示该终端需要进行修复，则将 EP表中的 FILTER ID更改为 FIX UP; 然后，当有待修复的终端访问时， Redirect表记录下终端的 IP地址和用于修复过程的端口，并将消息的目的 IP地址改为可信修复服务器的 IP地址，源 IP地址改为 PEP的 IP地址，源端口改为 PEP用于修复过程的唯一端口；根据可信修复服务器的目的 IP地址， PEP 将消息转发至可信修复服务器；

然后，当可信修复服务器回应终端时，通过 PEP用于修复过程的唯一端口，查找到终端的 IP地址和修复端口，将消息的目的 IP地址改为终端的 IP地址，目的端口改为 AR的修复端口，根据该终端的 IP地址， PEP将该应答消息转发至终端。

综上，此过程即实现了 PEP的重定向功能，对客户端隐藏了修复服务器，提高了可信修复过程的安全性。当该待修复终端的修复结束后，过滤表和重定向表中该终端对应的记录将被删除，终端可以进行重新接入可信网络的认证。

综上过程，实现了 PEP的重定向功能，对做为客户端的终端隐藏了可信修复网络，提高了可信修复过程的安全性。

进一步地，为了确保可信修复网络的安全性，当需要可信修复网络提供服务时， MTRS 要对 PDP进行身份验证（身份验证可以在 PDP启动时发起或者在终端完整性验证失败后发起等等）。只有当身份验证成功后， MTRS才可与 PDP进行和待修复终端相关的通信（例如 MTRS接收 PDP发送的修复终端信息和待修复项目信息等等），其中，同一个可信修复网络可以为多个 PDP提供修复服务。决策服务器和修复服务器进行双向身份验证可以通过如下方式实现：

决策服务器向修复服务器发送身份验证消息，身份验证消息中携带决策服务器的标识，修复服务器收到身份验证消息后，根据决策服务器的标识对决策服务器进行身份验证；当修复服务器对决策服务器验证通过后，修复服务器向决策服务器发送身份验证消息，身份验证消息中携带修复服务器的标识，决策服务器收到身份验证消息，根据修复服务器的标识对修复服务器进行身份验证。

其中，上述本发明实施例以 MTRS和 PDP的身份验证在 PDP启动时已经完成为例，即上述 101— 110中涉及到的 PDP都是已经和 MTRS完成了认证通过的。

综上所述，通过在现有的 TNC体系结构的基础上，增加可信修复服务器和可信修复模块 TRA，实现了对那些在接入可信网络，由于完整性验证失败无法接入可信网络的用户终端，通过提供给其自动的可修复过程，从而使用户终端能够自动完成了修复过程后成功实现可信网络的接入。

其中，下面进一步地，对本实施例中涉及到的嵌入了 TRA的终端，以及可信修复服务器（包括主修复服务器 MTRS和修复资源服务器 TRRS) 如何具体实现进行描述：由于终端的可信修复服务要与用户进行交互，而这个交互过程无法通过终端现有的 IMC 等其他模块来实现，因此每个终端包括一个可信修复客户端模块，称为可信修复应用程序（TRA)。其功能主要用于接收并解析需要修复的可信属性信息，将修复措施和建议显示给用户；接收并处理可信修复资源（安装、覆盖等），完成可信修复过稈。参见图 4，提供了 TRA的功能结构示意图，其中， IMC接口模块：处理 TRA与 IMC进行数据交互的过程：包括接收 IMC接口模块传给 TRA的数据，并将错误信息发送给错误信息解析模块。错误信息解析模块：接收某个验证失败的完整性属性信息，并对该信息进行解析。 NAR接口模块：处理 TRA与 NAR进行数据交互的过程。包括接收和发送 NAR模块传给 TRA的请求和应答报文，并将相应报文传给 MTRS以便客户端能够连接 MTRS进行可信修复。过程处理模块：接收可信修复资源，并完成安装覆盖等修复过程。参见表 4，提供了该 TRA与其它通信对象进行交互的示意表。

表 4

可信修复服务器是处于相对于用户隔离的环境，也称为可信修复网络，为了保证可信修复网络的安全性，均衡可信修复资源服务器的负载，可以设计为包括一个主修复服务器

(MTRS)和多个修复资源服务器 (TRRS):

其中， MTRS的主要负责对 PDP和待修复终端进行身份认证，并根据待修复终端要修复的可信属性信息定向到相应的 TRRS。参见图 5，提供了 MTRS的功能结构示意图，其中，网络接口模块：用于接收和发送 PDP和 TRA的数据报文，进行简单的报文解析，将相应的报文传给相应的模块进行处理。身份认证模块：用于核对和验证 PDP和待修复终端用户的身份信息，并将验证结果发送到网络接口模块。 TRRS管理模块：根据待修复终端的错误信息定位到相应的 TRRS, 并对 TRRS进行管理。身份信息库：主要存储 PDP的身份信息和待修复终端的身份信息。 TRRS信息库：主要存储每个 TRRS 能够修复的修复项目，以及 TRRS自身的信息。参见表 5，提供了该 MTRS与其它通信对象进行交互的示意表。通信对象通信的目的（功能) PDP 对接入服务器 PDP进行身份认证，接收待修复终端要修复的可信属性信息

PEP 通过 PEP的重定向对待修复终端进行身份认证；并将可信修复资源通过 PEP 发送至对应终端其中， TRRS (至少一个）根据要修复的可信属性信息查找修复资源，并将其通过 MTRS 传送至终端。参见图 6，提供了 TRRS 的功能结构示意图，其中，网络接口模块：用于与 MTRS进行通信，接收 MTRS发来的修复项目信息，并将查到的修复资源发送给 MTRS。修复资源管理模块：用于管理可信修复资源，包括资源查找和资源更新。资源查找模块：用于査找修复资源。资源更新模块：用于对修复资源进行添加、删除和修改的操作。修复资源库：主要存储可信修复资源文件。与 TRRS通信的实体只有 MTRS, 其通信功能是接受 MTRS 的可信修复信息，根据指示，查找相应修复资源地址。 TRRS可以由不同的厂商提供并进行维护，从而提供不同类型或厂商的修复资源，例如 TRRS1提供杀毒软件修复资源项目， TRRS2提供防火墙修复资源项目等等。

参见图 7，为本发明实施例提供的可修复网络体系示意图，其中在具体实现时，可以采用 Diameter和 PANA协议相结合的可信接入认证方式来实现，把 PANA协议与 Diameter协议用做认证信息的下层安全载体。

综上所述，本发明实施例提供了一种修复数据的方法，通过在现有的 TNC体系结构的基础上，增加可信修复服务器和可信修复模块（TRA)，实现了对那些在接入可信网络，由于完整性验证失败无法接入可信网络的用户终端，通过提供给其自动的可信修复过程，从而使用户终端能够自动完成修复过程后成功实现可信网络的接入。向终端用户提供了人性化的修复服务，用户只需选择可信修复，即可以通过方便可靠的可信修复向导进行修复，避免了用户手动修复的麻烦；并且可信修复服务器对 PDP和终端的身份认证不仅确保了可信修复服务器的安全性，而且使用户能到可靠的修复服务，同时也有效减少了 PDP受攻击的概率。待修复终端与可信修复网络通过 PEP的重定向进行通信，保证了修复网络与用户的隔离，也进一步确保了修复服务器的安全性。由于可信修复资源服务器由多个修复服务提供商负责维护管理，在为用户提供安全可靠的可信修复资源的同时也为可信修复服务提供商产生了经济效益。

实施例 2

参见图 8，本发明实施例提供了一种修复数据的系统，系统包括：终端 801和修复服务器 802，其中，

终端 801，用于发送验证消息；在身份验证通过后，向修复服务器 802发送资源请求消息，接收修复服务器 802发送的资源，根据资源修复自身的数据；修复服务器 802，用于接收终端 801发送的验证消息，根据自身预存的终端身份信息，对终端的合法性进行验证，接收终端 801 发送的资源请求消息，判断是否能够提供终端需要的资源，如果是，向终端 801下发资源。

其中，在具体实现该系统的时候，为了均衡修复服务器的负载，修复服务器可以被设计成包括：主修复服务器和至少一个修复资源服务器，相应地，

主修复服务器，用于接收终端发送的验证消息，验证消息中携带终端的身份信息，根据自身预存的终端身份信息，验证终端合法；还用于接收终端发送的资源请求消息，判断修复资源服务器是否能够提供终端需要的资源，如果是，向修复资源服务器获取资源，将资源转发给终端；

修复资源服务器，用于向主修复服务器提供资源。

该系统还包括决策服务器，

决策服务器，用于向终端发送接入失败消息，并将终端的验证消息发送给修复服务器，终端的验证消息包括终端标识、终端需要的资源信息。

为了确保资源获取的安全性和可靠性，决策服务器和修复服务器需要进行双向认证，于是；

决策服务器，还用于向修复服务器发送身份验证消息，身份验证消息中携带决策服务器的标识；还用于接收修复服务器发送的身份验证消息，身份验证消息中携带修复服务器的标识，根据修复服务器的标识对修复服务器进行身份验证。

相应地，修复服务器还用于接收决策服务器发送身份验证信息，身份验证信息中携带决策服务器的标识，根据决策服务器的标识对决策服务器进行身份验证。

为了进一步地保证修复的安全性和可靠性，实现修复服务器和终端的隔离，系统还包括位于终端和修复服务器之间的执行服务器，其中，执行服务器，用于转发终端和修复服务器之间的消息。

本发明实施例提供了一种修复数据的系统，通过可信修复服务器对那些在接入可信网络过程中，由于完整性验证失败无法接入可信网络的用户终端，通过提供给其自动的可信修复过程，从而使用户终端能够自动完成了修复过程后成功实现可信网络的接入。向终端用户提供了人性化的修复服务，用户只需选择可信修复，即可以通过方便可靠的可信修复向导进行修复，避免了用户手动修复的麻烦；并且可信修复服务器对 PDP和终端的身份认证不仅确保了可信修复服务器的安全性，而且使用户能到可靠的修复服务，同时也有效减少了 PDP受攻击的概率。

实施例 3 参见图 10，本发明实施例提供了一种终端装置，终端装置包括：

发送模块 1001，用于向修复服务器发送验证消息及资源请求信息；

接收模块 1002，用于接收修复服务器发送的资源，所述资源由所述修复服务器根据验证信息验证终端装置通过后，在判断能够提供所述资源时获取并发送的；

修复模块 1003，用于根据接收模块 1001接收的资源修复自身的数据。

实施例 4

参见图 9，本发明实施例提供了一种修复服务器，修复服务器包括：

接收模块 901，用于接收终端发送的验证消息；

验证模块 902，用于根据自身存储的终端身份信息，以及接收模块 901接收到的终端的验证消息，对终端的合法性进行验证；

处理模块 903，用于当验证模块 902验证的结果为合法，接收终端发送的资源请求消息，判断是否能够提供终端需要的资源，如果是，向终端下发资源。

其中，修复服务器还包括：

资源提供模块，用于向处理模块提供终端需要的资源。

其中，在具体实现该修复服务器的时候，为了均衡修复服务器的负载，修复服务器可以被设计成包括：主修复服务器和至少一个修复资源服务器（即对应于上述的资源提供模块）。

进一步地，为了确保资源获取的安全性和可靠性，当需要和决策服务器进行双向认证时，修复服务器还包括：

第二验证模块，用于接收决策服务器发送身份验证信息，身份验证信息中携带决策服务器的标识，根据决策服务器的标识对决策服务器进行身份验证。

实施例 5

参见图 11，本发明实施例提供了一种决策服务器，决策服务器包括：

验证模块 1101，用于对终端进行完整性验证；

发送模块 1102，用于在验证模块 1101对终端进行完整性验证失败后，向所述终端发送接入失败消息，并将在验证终端完整性过程中获取的终端的验证信息发送给修复服务器，所述终端的验证信息包括终端标识、终端需要的资源信息。

进一步地，验证模块 1101，还用于接收修复服务器发送的身份验证消息，所述身份验证消息中携带修复服务器的标识，根据修复服务器的标识对修复服务器进行身份验证；发送模块 1102，还用于向修复服务器发送身份验证消息，该身份验证消息中携带决策服务器的标识。本发明实施例提供的技术方案还适用于认证、授权、计费的 AAA ( Authentication, Authorization, and Accounting, 认证，授权，计费）领域，可以通过在可信修复过程中添加相应的授权与计费结构来实现，也可添加结合更多的修复方法，把本发明的修复方法作为一个可选的办法，以满足更为高级的修复需求：例如不同的修复方法可能会收取不同的费用，采用不同修复方法达到可信接入等级的终端，可以采取不同的认证方法以及授权方法。这就要求可信修复网络与 AAA服务器之间具有信息通信。

本发明实施例中的部分步骤，可以利用软件实现，相应的软件程序可以存储在可读取的存储介质中，如光盘或硬盘等。

以上所述仅为本发明的具体实施例，并不用以限制本发明，对于本技术领域的普通技术人员来说，凡在不脱离本发明原理的前提下，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1.一种修复数据的方法，其特征在于，所述方法包括：

2. 如权利要求 1所述的修复数据的方法，其特征在于，所述修复服务器包括：主修复服务器和至少一个修复资源服务器，所述方法为：

主修复服务器接收终端发送的验证消息，所述验证消息中携带所述终端的身份信息，根据自身预存的终端身份信息，对所述终端的合法性进行验证；

当对所述终端的合法性验证成功后，所述主修复服务器接收所述终端发送的资源请求消息，判断所述修复资源服务器是否能够提供所述终端需要的资源，如果是，向所述修复资源服务器获取所述资源，将所述资源转发给所述终端。

3. 如权利要求 2所述的修复数据的方法，其特征在于，所述主修复服务器向所述修复资源服务器获取所述资源，将所述资源转发给所述终端，具体为：

所述主修复服务器向所述修复资源服务器发送资源获取消息，所述修复资源服务器判断是否能提供所述资源，如果是，将所述资源发送所述主修复服务器，所述主修复服务器将所述资源转发给所述终端。

4. 如权利要求 1所述的修复数据的方法，其特征在于，所述修复服务器接收终端发送的验证消息的步骤之前还包括：

所述修复服务器接收决策服务器在向所述终端发送接入失败消息后发送的所述终端的验证消息，所述终端的验证消息包括终端标识、终端需要的资源信息。

5. 如权利要求 1所述的修复数据的方法，其特征在于，所述修复服务器接收终端发送的验证消息的步骤之前还包括：

所述修复服务器接收决策服务器在向所述终端发送可信网络接入失败消息后发送的所述终端的身份信息，所述终端的身份消息包括终端标识。

6. 如权利要求 4或 5所述的修复数据的方法，其特征在于，所述方法还包括：所述修复服务器接收所述决策服务器发送的身份验证消息，所述身份验证消息中携带决策服务器的标识，所述修复服务器收到所述身份验证消息后，根据所述决策服务器的标识对所述决策服务器进行身份验证；

当所述修复服务器对所述决策服务器验证通过后，所述修复服务器向所述决策服务器发送身份验证消息，所述身份验证消息中携带所述修复服务器的标识，所述修复服务器的标识用于使所述决策服务器对所述修复服务器进行身份验证。

7. 如权利要求 1所述的修复数据的方法，其特征在于，所述方法具体为：

修复服务器接收通过所述执行服务器转发的所述终端发送的验证消息，根据自身预存的终端身份信息，对所述终端的合法性进行验证；

当对所述终端的合法性验证成功后，接收通过所述执行服务器转发所述终端发送的资源请求消息，判断是否能够提供所述终端需要的资源，如果是，通过所述执行服务器向所述终端下发所述资源。

8.一种修复数据的系统，其特征在于，所述系统包括：终端（801 )和修复服务器（802)，其中，

所述终端（801 )，用于向所述修复服务器（802 )发送验证消息；在身份验证通过后，向所述修复服务器（802 ) 发送资源请求消息，接收所述修复服务器（802 ) 发送的资源，根据所述资源修复自身的数据；

所述修复服务器（802)，用于接收所述终端（801 )发送的验证消息，根据自身预存的终端身份信息，对所述终端（801 ) 的合法性进行验证，接收所述终端（801 ) 发送的资源请求消息，判断是否能够提供所述终端（801 ) 需要的资源，如果是，向所述终端（801 ) 下发所述资源。

9. 如权利要求 8所述修复数据的系统，其特征在于，所述修复服务器包括：主修复服务器和至少一个修复资源服务器，相应地，

所述主修复服务器，用于接收终端发送的验证消息，根据自身预存的终端身份信息，验证所述终端合法；还用于接收所述终端发送的资源请求消息，判断所述修复资源服务器是否能够提供所述终端需要的资源，如果是，向所述修复资源服务器获取所述资源，将所述资源转发给所述终端；

所述修复资源服务器，用于向所述主修复服务器提供所述资源。

10. 如权利要求 8所述所述修复数据的系统，其特征在于，所述系统还包括决策服务器，所述决策服务器，用于在对终端进行完整性失败后，向所述终端发送接入失败消息，并将所述终端的验证消息发送给所述修复服务器，所述终端的验证消息包括终端标识、终端需要的资源信息。

11 . 如权利要求 10所述所述修复数据的系统，其特征在于，所述决策服务器，还用于向所述修复服务器发送身份验证消息，所述身份验证消息中携带决策服务器的标识，还用于当接收所述修复服务器发送的身份验证消息，所述身份验证消息中携带所述修复服务器的标识，根据所述修复服务器的标识对所述修复服务器进行身份验证；

相应地，所述修复服务器，还用于接收所述决策服务器发送身份验证信息，所述身份验证信息中携带决策服务器的标识，根据所述决策服务器的标识对所述决策服务器进行身份验证。

12. 如权利要求 8-11任意一项权利要求所述修复数据的系统，其特征在于，所述系统还包括位于所述终端和所述修复服务器之间的执行服务器，

所述执行服务器，用于转发所述终端和所述修复服务器之间的消息。

13. 一种终端装置，其特征在于，所述终端装置包括：

发送模块（1001 )，用于向修复服务器发送验证消息及资源请求信息；

接收模块（1002)，用于接收所述修复服务器发送的资源，所述资源由所述修复服务器根据验证信息验证终端装置通过后，在判断修复服务器能够提供所述资源时获取并发送的；修复模块（1003)，用于根据所述接收模块（1002 ) 接收的资源修复自身的数据。

14. 一种修复服务器，其特征在于，所述修复服务器包括：

接收模块（901 )，用于接收终端发送的验证消息；

验证模块（902)，用于根据自身存储的终端身份信息，以及所述接收模块（901 )接收到的终端的验证消息，对所述终端的合法性进行验证；

处理模块（903)，用于当所述验证模块（902 )验证的结果为合法时，接收所述终端发送的资源请求消息，判断是否能够提供所述终端需要的资源，如果是，向所述终端下发所述资源。

15. 如权利要求 14所述修复服务器，其特征在于，所述修复服务器还包括：

资源提供模块，用于向所述处理模块提供所述终端需要的资源。

16. 如权利要求 14所述修复服务器，其特征在于，所述修复服务器还包括：

第二验证模块，用于接收决策服务器发送的身份验证信息，所述身份验证信息中携带决策服务器的标识，根据所述决策服务器的标识对所述决策服务器进行身份验证。

17. 一种决策服务器，其特征在于，所述决策服务器包括：

验证模块（1101 )，用于对终端进行完整性验证；发送模块（1102)，用于在所述验证模块（1101 )对终端进行完整性验证失败后，向所述终端发送接入失败消息，并将在验证终端完整性过程中获取的终端的验证信息发送给修复服务器，所述终端的验证信息包括终端标识、终端需要的资源信息。

18. 如权利要求 17所述决策服务器，其特征在于，

所述验证模块（1101 )，还用于接收所述修复服务器发送的身份验证消息，所述身份验证消息中携带所述修复服务器的标识，根据所述修复服务器的标识对所述修复服务器进行身份验证；

所述发送模块（1102)，还用于向修复服务器发送身份验证消息，所述身份验证消息中携带决策服务器的标识。