WO2012019457A1 - 适合协同可信网络连接模型的间接交互实现方法及其系统 - Google Patents

Description

适合协同可信网络连接模型的间接交互实现方法及其系统 本申请要求在 2011年 10月 25日提交中国专利局、 申请号为 201010251489.1、 发明名 称为"适合协同可信网络连接模型的间接交互实现方法及其系统"的中国专利申请的优先权， 其 全部内容通过 ]用结合在本申请中。 技术领域

本发明涉及通信领域， 尤其是一种适合协同可信网络连接模型的间接交 互实现方法。 背景技术

随着信息化的发展， 病毒、 蠕虫等恶意软件的问题异常突出。 目前已经 出现了超过三万五千种的恶意软件， 每年都有超过四千万的计算机被感染。 要遏制住这类攻击， 不仅要借助解决安全的传输和数据输入时的检查， 还要 从源头即从每一台连接到网络的终端开始防御。 而传统的安全防御技术已经 无法防御种类繁多的恶意攻击。

为了解决上述问题， 业内提出了多种可信网络连接技术， 如： 国际可信 计算组织（ Trusted Computing Group, TCG )的可信网络连接（ Trusted Network Connect, TNC )技术、微软的网络接入保护（ Network Access Protection, NAP ) 技术和思科的网络接入控制 （Network Access Control, NAC )技术等。 但是， 当一个安全域内的终端要访问另一个安全域内的服务时， 这些可信网络连接 技术则变得不适用了。 为此， TCG定义了一种协同可信网络连接（ Federated Trusted Network Connect, FTNC )模型， 参见图 1。

在图 1所示的协同可信网络模型中， 当终端请求访问依赖安全域（Relymg Security Domain, RSD )的服务时， RSD需要从断言安全域（ Asserting Security Domain, ASD ) 处获取终端的安全状态信息， 而 ASD需要利用 TNC技术获取 终端的安全状态信息。

上述 FTNC模型存在一种间接交互方式， 参见图 2。 在图 2所示的 FTNC模型下的间接交互方式中， 当终端请求 RSD的服务时， ASD首先基于 TNC技术获取终端的安全状态信息， 然后根据所获取的终端的 安全状态信息进行评估， 将安全状态评估结果发送给终端， 接着终端向 RSD 发送服务请求时将 ASD对终端的安全状态评估结果发送给 RSD ,最后 RSD验证 ASD对终端的安全状态评估结果后根据验证结果向终端提供服务。

由于终端的安全状态评估结果要通过终端发送 RSD,且 ASD与 RSD在过程 中不存在直接交互， 所以终端可以利用早期的终端的安全状态评估结果来欺 骗 RSD, 从而形成重放攻击。 但是， 业内目前还没有出现相应的解决方法。 发明内容

为了解重放攻击问题， 本发明提供了一种适合协同可信网络连接模型的 间接交互实现方法， 该方法包括：

步骤一， 断言安全域 ASD获取终端的安全状态信息， 评估终端的安全状 态信息并产生安全状态评估结果， 将安全状态评估结果发送给终端；

步骤二， 依赖安全域 RSD接收终端的服务访问请求， 其中包括 ASD对 终端的安全状态评估结果； 以及

步骤三， RSD验证 ASD对终端的安全状态评估结果后根据验证结果向终 端提供服务；

其中： 所述 ASD和 RSD保持时钟同步；

所述步骤一中， ASD产生终端的安全状态评估结果时还记录生成终端的 安全状态评估结果时的时戳 TS_ASD, 并将 TS_ASD发送给终端；

所述步骤二中， 所述服务访问请求中还包括 TS_ASD;

所述步骤三中， RSD还通过对比 TS_ASD与 RSD当前的时戳是否在一阈值 范围内， 判断 TS_ASD是否新鲜有效， 以此判断从终端收到的安全状态评估结果 的新鲜有效性， 以及在确定新鲜有效时向终端提供服务。

较佳的， 步骤一中： 所述 ASD获取终端的安全状态信息， 具体包括：

ASD从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全 状态信息； 或者当所述协同可信网络连接请求不包含终端的安全状态信息时，

ASD向终端请求安全状态信息并接收终端返回的安全状态信息； 以及

ASD将安全状态评估结果和 TS_ASD发送给终端， 具体包括： ASD将安全 状态评估结果和 TS_ASD包含在协同可信网络连接响应中发送给终端。

进一步， 所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及所述步骤三中还包括： RSD还根据终端的安全状态信息确定对终端的服 务策略， 并按照确定的策略向终端提供服务。

更进一步， 所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD; 以及所述协同可信网络连接响应中还包括： ASD根据 ID_RSD使用和 RSD约定 的保密技术生成的校验信息； 步骤二中的所述服务访问请求中还包括 ASD的 标识信息 ID_ASD; 步骤三中， RSD在对比 TS_ASD与 RSD当前的时戳是否在一 阈值范围内之前， 先根据 ID_ASD， 使用和 ASD约定的保密技术确认校验信息 是否正确， 如果正确则进一步对比 TS_ASD与 RSD当前的时戳是否在一阈值范 围内， 否则丟弃接收到的服务访问请求。

本发明实施例还提供一种适合协同可信网络连接模型的间接交互实现系 统， 包括：

断言安全域 ASD, 用于获取终端的安全状态信息， 评估终端的安全状态 信息， 产生安全状态评估结杲并记录生成终端的安全状态评估结果时的时戳 TS_ASD， 以及将安全状态评估结果和 TS_ASD发送给终端；

和所述 ASD保持时钟同步的依赖安全域 RSD,用于接收终端的服务访问 请求， 所述服务访问请求中包括 ASD对终端的安全状态评估结果和 TS_ASD, 通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是否新 鲜有效， 以此判断从终端收到的安全状态评估结果的新鲜有效性， 以及在确 定新鲜有效时向终端提供服务。

较佳的， 所述 ASD, 具体用于从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全状态信息； 或者当所述协同可信网络连接请求不包 含终端的安全状态信息时， ASD向终端请求安全状态信息并接收终端返回的 安全状态信息；以及将安全状态评估结果和 TS_ASD包含在协同可信网络连接响 应中发送给终端。

进一步， 所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及所述 RSD, 还用于根据终端的安全状态信息确定对终端的服务策略， 并 按照确定的策略向终端提供服务。

更进一步， 所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD; 以及所述 ASD, 还用于根据 ID_RSD使用和 RSD约定的保密技术生成的校验信 息， 并携带在协同可信网络连接响应中发送给终端； 所述终端发送的服务访 问请求中还包括 ASD的标识信息 ID_ASD；以及所述 RSD，还用于从在对比 TS_ASD 与 RSD当前的时戳是否在一阈值范围内之前， 先根据 ID_ASD , 使用和 ASD约 定的保密技术确认校验信息是否正确， 如果正确则进一步对比 TS_ASD与 RSD 当前的时戳是否在一阈值范围内， 否则丟弃接收到的服务访问请求。

本发明实施例提供的第二种适合协同可信网絡连接模型中的断言安全域 ASD处理终端安全状态评估结果的方法， 包括：

获取终端的安全状态信息；

评估终端的安全状态信息， 产生安全状态评估结果并记录生成终端的安 全状态评估结果时的时戳 TS_ASD;

将安全状态评估结果和 TS_ASD发送给终端。

较佳的， 所述获取终端的安全状态信息， 具体包括：

从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全状态 信息； 或者当所述协同可信网络连接请求不包含终端的安全状态信息时， 向 终端请求安全状态信息并接收终端返回的安全状态信息； 以及将安全状态评 估结果和 TS_ASD包含在协同可信网絡连接响应中发送给终端。

更进一步， 所述协同可信网络连接响应中还包括： 终端的安全状态信息。 进而， 所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD; 以 及协同可信网络连接响应中还包括： 根据 ID_RSD， 使用和 RSD约定的保密技 术生成的校验信息。 相应的， 本发明实施例提供的一种适合协同可信网络连接模型中的断言 安全域 ASD处理终端安全状态评估结果的装置， 包括：

获取模块， 用于获取终端的安全状态信息；

生成模块， 用于评估终端的安全状态信息， 产生安全状态评估结果并记 录生成终端的安全状态评估结果时的时戳 TS_ASD;

发送模块， 用于将安全状态评估结果和 TS_ASD发送给终端。

较佳的， 所述第一获取模块， 具体用于： 从终端发来的协同可信网络连 接请求中， 获得终端主动提供的安全状态信息； 或者当所述协同可信网络连 接请求不包含终端的安全状态信息时， 向终端请求安全状态信息并接收终端 返回的安全状态信息；以及将安全状态评估结果和 TS_ASD包含在协同可信网络 连接响应中发送给终端。

进一步， 所述协同可信网络连接响应中还包括： 终端的安全状态信息。 更进一步， 所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD; 以及协同可信网络连接响应中还包括： 根据 ID_RSD使用和 RSD约定的保密技 术生成的校验信息。

本发明实施例提供的第三种适合协同可信网絡连接模型中依赖安全域 SD处理终端服务访问请求的方法， 包括：

接收终端的服务访问请求， 所述服务访问请求中包括 ASD对终端的安全 状态评估结果和 TS_ASD;

通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是 否新鲜有效， 以此判断从终端收到的安全状态评估结果的新鲜有效性； 以及 在确定新鲜有效时向终端提供服务。

较佳的， 所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及所述 RSD, 还用于根据终端的安全状态信息确定对终端的服务策略， 并 按照确定的策略向终端提供服务。

进一步， 所述服务访问请求中还包含： ASD的标识信息 ID_ASD， 以及 ASD 使用和 RSD约定的保密技术生成的校验信息； 以及所述在对比 TS_ASD与 RSD 当前的时戳是否在一阈值范围内之前， 先根据 ID_ASD, 使用和 ASD约定的保 密技术确认校验信息是否正确， 如果正确则进一步对比 TS_ASD与 RSD当前的 时戳是否在一阈值范围内， 否则丢弃接收到的服务访问请求。

相应的， 一种适合协同可信网络连接模型中依赖安全域 RSD中处理终端 服务访问请求的装置， 包括：

接收模块，用于接收终端的服务访问请求，所述服务访问请求中包括 ASD 对终端的安全状态评估结果和 TS_ASD;

校验模块，用于通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是否新鲜有效，以此判断从终端收到的安全状态评估结果的新鲜有 效性； 以及

服务模块， 用于在确定新鲜有效时向终端提供服务。

进一步， 所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及所述服务模块， 还用于根据终端的安全状态信息确定对终端的服务策略， 并按照确定的策略向终端提供服务。

更进一步， 所述服务访问请求中还包含： ASD的标识信息 ID_ASD, 以及 ASD使用和 RSD约定的保密技术生成的校验信息； 以及所述服务模块， 还用 于在对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内之前， 先根据 IDASD , 使用和 ASD约定的保密技术确认校验信息是否正确， 如果正确则进一步对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 否则丢弃接收到的服务访问 请求。

本发明实施例提供的第四种适合协同可信网络连接模型中的终端向 RSD 请求获得服务的方法， 包括：

将安全状态信息发送给断言安全域 ASD;

从 ASD接收 ASD根据安全状态信息生成的安全状态评估结果，以及 ASD 生成终端的安全状态评估结果时的时戳 TS_ASD;

向依赖安全域 RSD发送服务访问请求， 其中包括 ASD对终端的安全状 态评估结果和 TS_ASD; 接收 RSD通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内，确定 从终端收到的安全状态评估结果的新鲜有效时提供的服务。

进一步， 所述将安全状态信息发送给 ASD, 具体包括： 将安全状态信息 写到在协同可信网絡连接请求中发送给 ASD;或者向 ASD发送协同可信网络 连接请求后， 接收到 ASD的安全状态信息请求时， 将安全状态信息发送给 ASD;以及所述从 ASD接收安全状态评估结果以及 TS_ASD，具体包括：从 ASD 接收协同可信网络连接响应， 并从中获得安全状态评估结果， 以及 TS_ASD。

更进一步所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及所述服务访问请求中还包括： 终端的安全状态信息。

进而， 所述协同可信网络连接请求中还包含： RSD的标识信息 ID_RSD; 以 及所述协同可信网络连接响应中还包括： ASD根据 IDRSD使用和 RSD约定的 保密技术生成的校验信息； 所述服务访问请求中还包括： ASD的标识信息 IDASD。

相应的一种适合协同可信网络连接模型中的终端设备， 包括：

安全状态发送模块， 用于将安全状态信息发送给断言安全域 ASD;

评估结果接收模块， 用于从 ASD接收 ASD根据安全状态信息生成的安 全状态评估结果， 以及 ASD生成终端的安全状态评估结果时的时戳 TS_ASD;

服务请求模块， 用于向依赖安全域 RSD发送服务访问请求， 其中包括 ASD对终端的安全状态评估结果和 TS_ASD， 所述 ASD和 RSD保持时钟同步； 服务接收模块，用于接收 RSD通过对比 TS_ASD与 RSD当前的时戳是否在一阁值 范围内， 确定从终端收到的安全状态评估结果的新鲜有效时提供的服务。

本发明实施例中， 将 ASD对于终端的安全状态评估结果通过终端发送给 RSD , 且 ASD与 RSD在过程中不存在直接交换， 通过时钟同步， 保证了 RSD 收到的 ASD对终端的安全状态评估结果的不可重放。 进一步， 本发明实施例 通过保密传输或者签名保证了 RSD收到的 ASD对终端的安全状态评估结果的 可靠性。 附图说明

图 1是背景技术中的协同可信网絡连接模型；

图 2是背景技术中的协同可信网络连接模型下的间接交互方式； 图 3是本发明实施例所提供的一种适合协同可信网络连接模型的间接交 互实现方法示意图；

图 4是本发明实施例中步骤 301的一种具体实现方法的流程图示意图； 图 5是本发明实施例的步骤 402中， ASD侧具体执行的方法流程示意图； 图 6是本发明实施例中， 使用第一种保密传输技术时， RSD侧具体执行的 方法流程示意图；

图 7是本发明实施例中， 使用第二种保密传输技术时， RSD侧具体执行的 方法流程示意图；

图 8是本发明实施例中， 终端侧在适合协同可信网络连接模型中请求获得 RSD服务的方法流程示意图；

图 9是本发明实施例提供的一种在适合协同可信网络连接模型中的断言 安全域 ASD中处理终端安全状态评估结果的装置结构示意图；

图 10是本发明实施例提供的一种在适合协同可信网络连接模型中的依赖 安全域 RSD中处理终端服务访问请求的装置结构示意图；

图 11是本发明实施例提供的一种在适合协同可信网络连接模型中的终端 设备结构示意图。 具体实施方式

为使得本领域技术人员更好的理解本发明内容， 以下结合附图进行详细 的说明。

如图 3所示， 本发明实施例所提供的一种适合协同可信网络连接模型的间 接交互实现方法包括：

步骤 301 , ASD从终端处获取终端的安全状态信息， 评估终端的安全状态 信息， 产生安全状态评估结果并记录产生安全状态评估结果时的时戳信息， 以及将安全状态评估结果和时戳信息发送给终端；

步骤 302， RSD接收终端构造并发送的服务访问请求， 服务访问请求中携 带终端从 ASD接收的所有信息的步骤； 以及

步骤 303 , RSD根据 ASD对终端的安全状态评估结果和时戳信息， 验证 ASD对终端的安全状态评估结果安全并新鲜有效后向终端发送服务访问响应 的步骤。

本发明实施例中， ASD和 RSD始终保持时钟同步， 下面具体来说明主要 步骤。

如图 4所示， 步骤 301可以包括如下子步骤：

步骤 401 , 终端向 ASD发送协同可信网络连接请求；

步骤 402, ASD收到终端发来的协同可信网络连接请求后， 获取终端的安 全状态信息；

步骤 403 , ASD产生安全状态评估结果并记录产生安全状态评估结果时的 时戳；

步骤 404, ASD向终端发送协同可信网络连接响应， 其中携带安全状态评 估结果和时间戳。

步骤 401中， 终端可以在协同可信网络连接请求中， 利用 ^ ^字段主动 携带终端的安全状态信息， 则所述协同可信网络连接请求包括： InfosH字段： 表示终端的安全状态信息；

若终端未主动提供安全状态信息， 则所述协同可信网络连接请求不包括： Infospio

如图 5所示， 步骤 402中， ASD具体执行如下子步骤：

步骤 501， ASD接收终端发送的协同可信网络连接请求；

步骤 502 , ASD首先查看终端发来的协同可信网络连接请求中是否包含终 端的安全状态信息， 若不包含终端的安全状态信息， 则执行步骤 503 ; 若包含 终端的安全状态信息， 则执行步骤 503；

步骤 503 , ASD评估步骤 502中所获取的终端的安全状态信息， 若 ASD能 够根据获取的终端的安全状态信息生成终端的安全状态评估结果， 则生成终 端的安全状态评估结果并记录产生安全状态评估结果时的时戳信息， 然后执 行步骤 505 ; 否则， 执行步骤 504;

步骤 504 , ASD向终端请求终端的安全状态信息， 并接收终端向 ASD返回 的安全状态信息， 直至 ASD能够根据从终端获取的所有安全状态信息生成终 端的安全状态评估结果后， 生成终端的安全状态评估结果并记录产生安全状 态评估结果时的时戳信息， 然后执行步骤 505 ;

步骤 505 , ASD向终端发送协同可信网络连接响应， 协同可信网络连接响 应中携带终端的安全状态评估结果和时戳信息。

为进一步保证终端的安全状态评估结果和时戳信息的安全传输， 本发明 的一种较佳实施例中， ASD和 RSD之间可以约定保密技术， 利用校验信息对 数据进行保密传输。 保密传输可以釆用如下两种方式实现：

保密传输方式一、

令 ASD和 RSD之间存在安全通道， 即 ASD和 RSD之间存在安全密钥，用于 保证 RSD收到的 ASD对终端的安全状态评估的可靠性。 则所述协同可信网络 连接响应包括：

ID_RSD字段： 用于表示终端请求服务的 RSD的身份标识， 由于 RSD可能有 多个， ASD和每一个 RSD之间采用不同的安全密钥， ASD可以根据 ID_RSD查询 该 RSD相应的安全密钥， 当然如果系统中只有一个 RSD， 则该字段可以省略；

E ( TSASD II ESEVA )字段： 表示密文信息字段， 由 ASD使用与 RSD之间的 密钥对 ASD对终端的安全状态评估结果及时戳 TS_ASD加密后的数据；其中 TS_ASD 表示 ASD的时戳信息； RES_EVA表示 ASD对终端的安全状态评估结果；

MIC字段： 表示完整性校验码， 由 ASD利用与 RSD之间的密钥对 E ( TS_ASD || ES_EVA )字段通过杂凑函数计算得到的杂凑值， 完整性校验码作为校验信息 用于校验传输的数据是否正确。

在另一较佳实施例中， RSD可以根据终端的安全状态信息决策是否向终 端提供服务， 则 ASD需要向 RSD提供终端的安全状态信息， 则所述协同可信 网络连接响应中包括：

ID_RSD字段： 用于表示终端请求服务的 RSD的身份标识， 由于 RSD可能有 多个， ASD和每一个 RSD之间采用不同的安全密钥， ASD可以根据 ID_RSD查询 该 RSD相应的安全密钥； 当然如果系统中只有一个 RSD, 则该字段可以省略；

E ( TSASD H ESEVAI I InfoEVA )字段：表示密文信息字段， 由 ASD使用与 RSD 之间的密钥对 ASD的时戳 TS_ASD、 ASD对终端的安全状态评估结果 RES_EVA及终 端的安全状态信息 Info_EVA加密后的数据； 其中， TS_ASD表示 ASD的时戳信息； RES_EVA表示 ASD对终端的安全状态评估结果； Info_EVA表示 ASD从终端获得的 所有安全状态信息， 是 ASD首次收到的终端安全状态信息足够生成终端的安 全状体评估结果， 即当 Info_SPI足够生成终端的安全状体评估结果时， Info_EVA即 等于 Info_SPI;

MIC字段： 表示完整性校验码， 由 ASD利用与 RSD之间的密钥对该评估结 果响应分组中 E ( TS_ASD ||RES_EVA|| Info_EVA )字段通过杂凑函数计算得到的杂凑 值。

保密传输方式二、

令 ASD使用签名保证 RSD收到的 ASD对终端的安全状态评估的可靠性。 若 ASD不需要提供终端的安全状态信息供 RSD进行决策， 则所述协同可信网 络连接响应包括：

ID_RSD字段： 用于表示终端请求服务的 RSD的身份标识， 由于 RSD可能有 多个， ASD和每一个 RSD之间采用不同的公钥私钥对， ASD可以根据 ID_RSD查 询该 RSD相应的私钥； 当然如果系统中只有一个 RSD, 则该字段可以省略；

TS_ASD字段： 表示 ASD的时戳信息；

RES_EVA字段： 表示 ASD对终端的安全状态评估结果；

SIG_ASD__RSD字段： 表示 ASD使用自己的私钥对 ID_RSD || TS_ASD|| RES_EVA的签 名， 签名作为校验信息用于校验传输的数据是否正确；

若 ASD需要提供终端的安全状态信息供 RSD进行决策， 则所述协同可信 网络连接响应还包括： Info_EVA字段， 并且 SIG_ASMlSD字段表示 ASD使用自己的 私钥对 ID_RSD||TS_ASD|| RESEVA II Info_EVA的签名。

釆用上述任何一种保密方式， ASD都可以在传输数据中加入校验信息密， 来实现安全传输， 本领域技术人员还可以采用其他保密技术， 这里不再—— 列举。

步骤 302中， 终端收到 ASD发来的协同可信网络连接响应后， 构造服务访 问请求发送给 RSD , 所述服务访问请求包括 ASD发来的协同可信网络连接响 应中除 ID_RSD的所有字段外， 还包括 ID_ASD字段； 表示 ASD的身份标识， 其作用 是 RSD确定对终端进行安全评估的 ASD , 从而使用相应的保密技术验证校验 信息是否正确。

步骤 302中， 如果采用上述保密传输方式， 则终端发送给 RSD的服务访问 以 ASD和 RSD之间存在安全通道为例， 对步骤 303进行详细说明， RSD收 到终端发送的服务访问请求后， 具体执行如下步骤：

如图 6所示， 根据前述的保密传输方式一， 若 ASD和 RSD之间存在安全通 道， 即 ASD和 RSD之间存在安全密钥， 则 RSD进行如下操作：

步骤 601， RSD接收终端发送的服务访问请求；

步骤 602 , RSD首先根据 ID_ASD字段查询与 ASD之间的共享密钥， 利用共享 密钥验证 MIC字段是否正确， 若正确， 则执行步骤 603 ; 否则， 执行步骤 606 丢弃该服务访问请求；

步骤 603 , RSD用与 ASD之间的共享密钥解密密文信息字段， 即可得到 ASD提供的供 RSD进行决策的信息； 其中， 供 RSD进行决策的信息包括 ASD 的时戳 TS_ASD以及 ASD对终端的评估结果 RES_EVA， 当 RSD需要终端的安全状态 信息来进行决策时， 供 RSD进行决策的信息还包含终端的安全状态信息

Info_EVA;

步骤 604 , RSD判断 ASD的时戳 TS_ASD是否有效， RSD通过对比消息中 ASD 的时戳与 RSD当前时戳是否在一定阈值， 判断 ASD时戳是否新鲜有效， 以此 判断收到的 ASD对终端的安全状态评估结果的新鲜有效性， 若有效， 则执行 步骤 605; 否则， 执行步骤 606丟弃该服务访问请求； 需要说明的， 阈值的设 置与 RSD和 ASD之间的同步精度等因素有关， 具体设置方法为本领域技术人 员所熟知， 本发明不予限制。

步骤 605, 若分组中包含终端的安全状态信息 Info_EVA, 则根据得到的 ASD 对终端的评估结果 RES_EVA以及终端的安全状态信息 Info_EVA， 对终端的服务访 问请求做出决策， 构造服务访问响应发送给终端； 若分组中不包含终端的安 全状态信息 Info_EVA, 则根据得到的 ASD对终端的评估结果 RES_EVA, 对终端的 服务访问请求做出决策， 构造服务访问响应发送给终端； 所述服务访问响应 包括： RES_ACC字段； 表示 RSD对终端的服务访问请求的决策。

如图 7所示， 根据前述的保密传输方式一， 若 ASD使用签名保证 RSD收到 的 ASD对终端的安全状态评估的可靠性， 即 ASD和 RSD之间存在公钥私钥对， 则 RSD进行如下操作：

步骤 701， RSD接收终端发送的服务访问请求；

步骤 702, RSD首先验证 SIG_ASM¾SD字段是否正确， 若正确， 则提取分组中 供 RSD进行决策的信息， 执行步骤 703; 否则， 执行步驟 706丟弃该服务访问 请求； 其中， 供 RSD进行决策的信息包括 ASD的时戳 TS_ASD以及 ASD对终端的 评估结果 RES_EVA, 当 RSD需要终端的安全状态信息来进行决策时， 供 RSD进 行决策的信息还包含终端的安全状态信息 Info_EVA;

步骤 703， RSD判断 ASD的时戳 TS_ASD是否有效， RSD通过对比消息中 ASD 的时戳与 RSD当前时戳是否在一定阁值范围内 , 判断 ASD时戳是否新鲜有效， 以此判断收到的 ASD对终端的安全状态评估结果的新鲜有效性， 若有效， 则 执行步骤 704; 否则， 执行步骤 706丢弃该服务访问请求；

步骤 704, 若分组中包含终端的安全状态信息 Info_EVA, 则 RSD根据得到的 ASD对终端的评估结果 RES_EVA以及终端的安全状态信息 Info_EVA, 对终端的服 务访问请求做出决策， 构造服务访问响应发送给终端； 若分组中不包含终端 的安全状态信息 Info_EVA， 则根据得到的 ASD对终端的评估结果 RES_EVA， 对终 端的服务访问请求做出决策， 构造服务访问响应发送给终端， 服务访问响应 包括 RES_ACC;

终端收到 RSD发来的服务访问响应后， 终端从 RSD获取相应的服务。 如图 8所示， 终端侧在适合协同可信网络连接模型中请求获得 RSD服务 的方法， 包括如下步骤：

步骤 801、 终端将安全状态信息发送给断言安全域 ASD;

步骤 802、终端从 ASD接收 ASD根据安全状态信息生成的安全状态评估 结果， 以及 ASD生成终端的安全状态评估结果时的时戳 TS_ASD;

步骤 803、 终端向依赖安全域 RSD发送服务访问请求， 其中包括 ASD对 终端的安全状态评估结果和 TS_ASD;

步骤 804、 终端接收 RSD通过对比 TS_ASD与 RSD当前的时戳是否在一阈 值范围内， 确定从终端收到的安全状态评估结果的新鲜有效时提供的服务。

较佳的， 终端将安全状态信息发送给 ASD， 具体包括： 将安全状态信息 写到协同可信网络连接请求中发送给 ASD;或者向 ASD发送协同可信网络连 接请求后，接收到 ASD的安全状态信息请求时，将安全状态信息发送给 ASD; 以及

从 ASD接收安全状态评估结果以及 TS_ASD， 具体包括： 从 ASD接收协同 可信网络连接响应， 并从中获得安全状态评估结果， 以及 TS_ASD。

进一步的， 协同可信网络连接响应中还包括： 终端的安全状态信息； 以 及服务访问请求中还包括： 终端的安全状态信息。

更进一步， 协同可信网络连接请求中还包含： RSD的标识信息 ID_RSD; 以 及协同可信网络连接响应中还包括： ASD根据 ID_RSD使用和 RSD约定的保密 技术生成的校验信息； 服务访问请求中还包括： ASD的标识信息 ID_ASD。

根据本发明实施例提供的方法， 本发明实施例还提供实现上述方法的系 统以及系统中的各个装置。

参阅图 1所示， 首先， 本发明实施例提供一种适合协同可信网络连接模 型的间接交互实现系统， 包括：

断言安全域 ASD, 用于获取终端的安全状态信息， 评估终端的安全状态 信息， 产生安全状态评估结果并记录生成终端的安全状态评估结果时的时戳

TS_ASD， 以及将安全状态评估结果和 TS_ASD发送给终端；

和 ASD保持时钟同步的依赖安全域 RSD ,用于接收终端的服务访问请求， 服务访问请求中包括 ASD对终端的安全状态评估结果和 TS_ASD, 通过对比 TSASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是否新鲜有效， 以此判断从终端收到的安全状态评估结果的新鲜有效性， 以及在确定新鲜有 效时向终端提供服务。

其中 ASD, 具体用于从终端发来的协同可信网络连接请求中， 获得终端 主动提供的安全状态信息； 或者当协同可信网络连接请求不包含终端的安全 状态信息时， ASD向终端请求安全状态信息并接收终端返回的安全状态信息； 以及将安全状态评估结果和 TS_ASD包含在协同可信网络连接响应中发送给终 端。

较佳的， 协同可信网络连接响应中还包括： 终端的安全状态信息； 以及 RSD还用于根据终端的安全状态信息确定对终端的服务策略， 并按照确定的 策略向终端提供服务。

更进一步， 协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD; 以 及 ASD， 还用于根据 ID_RSD使用和 RSD约定的保密技术生成的校验信息， 并 携带在协同可信网络连接响应中发送给终端；

终端发送的服务访问请求中还包括 ASD的标识信息 ID_ASD; 以及 RSD， 还用于从在对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内之前， 先根据 ID_ASD,使用和 ASD约定的保密技术确认校验信息是否正确，如果正确则进一 步对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 否则丢弃接收到的服 务访问请求。

如图 9所示， 为本发明实施例提供的一种在适合协同可信网络连接模型 中的断言安全域 ASD中处理终端安全状态评估结果的装置， 包括：

获取模块 901， 用于获取终端的安全状态信息；

生成模块 902 , 用于评估终端的安全状态信息， 产生安全状态评估结果并 记录生成终端的安全状态评估结果时的时戳 TS_ASD;

发送模块 903， 用于将安全状态评估结果和 TS_ASD发送给终端。

如图 10所示， 为本发明实施例提供的一种在适合协同可信网络连接模型 中的依赖安全域 RSD中处理终端服务访问请求的装置， 包括：

接收模块 1001，用于接收终端的服务访问请求，服务访问请求中包括 ASD 对终端的安全状态评估结果和 TSASD；

校验模块 1002 , 用于通过对比 TSASD与 RSD当前的时戳是否在一阈值 范围内， 判断 TSASD是否新鲜有效， 以此判断从终端收到的安全状态评估结 果的新鲜有效性； 以及

服务模块 1003 , 用于在确定新鲜有效时向终端提供服务。

如图 11所示， 为本发明实施例提供的一种在适合协同可信网络连接模型 中的终端设备， 包括：

安全状态发送模块 1101 , 用于将安全状态信息发送给断言安全域 ASD; 评估结果接收模块 1102 , 用于从 ASD接收 ASD根据安全状态信息生成 的安全状态评估结果， 以及 ASD生成终端的安全状态评估结果时的时戳 TSASD;

服务请求模块 1103 , 用于向依赖安全域 RSD发送服务访问请求， 其中包 括 ASD对终端的安全状态评估结果和 TS_ASD;

服务接收模块 1104 , 用于接收 RSD通过对比 TS_ASD与 RSD当前的时戳 是否在一阈值范围内， 确定从终端收到的安全状态评估结果的新鲜有效时提 供的服务。

为确保终端只能获取 ASD有关于自己的安全状态评估结果和安全状态信 息， 且不被攻击者知道， 防止终端可以利用该时戳下的其他终端的安全状态 评估结果和安全状态信息来进行欺骗， 在上述适合协同可信网络连接模型的 间接交互实现方法中， 终端和 ASD之间的信息交互还可以利用终端和 ASD之 间的安全通道进行保护。

综上所述， 本发明通过 ASD与 RSD始终保持时钟同步， 并在 ASD通过终 端将 ASD对终端的安全状态评估结果发送给 RSD时包含 ASD生成终端的安全 状态评估结果时的时戳， RSD通过对比消息中 ASD的时戳与 RSD当前时戳是 否在一定阈值范围内 , 判断 ASD时戳是否新鲜有效， 以此判断收到的 ASD对 终端的安全状态评估结果的新鲜有效性， 保证终端无法重放 ASD之前对终端 的评估结果发送给 RSD。

综上所述， 本发明除解决了重放问题外， 还可防止终端篡改由 ASD提供 给 RSD用于对终端访问进行决策的信息。 为防止篡改， 本发明提出了两种解 决方案： 信息时， 通过将这些信息用 ASD与 RSD之间的密钥进行加密， 并计算完整性 校验码， 保证终端无法篡改这些由 ASD提供给 RSD用于对终端访问进行决策 的信息， 也即保证了 RSD收到的用于决策的信息的可靠性。 此时， 由 ASD提 供给 RSD对终端访问进行决策的信息包括 ASD对终端的安全状态评估结果、 ASD的时戳， 还可包含终端的安全状态信息。

另一种解决方案则是在 ASD通过终端向 RSD提供对终端访问进行决策的 信息时， 通过对这些信息进行签名， 由 RSD进行验签， 保证终端无法篡改这 些由 ASD提供给 RSD对终端访问进行决策的信息，也即保证了 RSD收到的信息 的可靠性， 此时， 由 ASD提供给 RSD对终端访问进行决策的信息包括 ASD对 终端的安全状态评估结果、 ASD的时戳， 还可包含终端的安全状态信息。

本发明还提供一种适合协同可信网络连接模型的间接交互实现系统， 其 特殊之处在于： 该系统包括始终保持时钟同步的 ASD ( Asserting Security Domain, 断言安全域） 和 RSD ( Relying Security Domain, 依赖安全域） 以及 终端， 所述 ASD对终端的安全状态进行评估， 并将终端的安全状态评估结果 和终端的安全状态信息通过终端发送给 RSD, 终端从 RSD获取相应的服务。

本领域内的技术人员应明白， 本发明的实施例可提供为方法、 系统、 或 计算机程序产品。 因此， 本发明可釆用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实施例的形式。 而且， 本发明可采用在一个或多个 其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘 存储器、 CD-ROM、 光学存储器等） 上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、 设备（系统）、 和计算机程序产 品的流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图 和 /或方框图中的每一流程和 /或方框、 以及流程图和 /或方框图中的流程 和 /或方框的结合。 可提供这些计算机程序指令到通用计算机、 专用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器， 使得通 过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流 程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的 装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设 备以特定方式工作的计算机可读存储器中， 使得存储在该计算机可读存储器 中的指令产生包括指令装置的制造品， 该指令装置实现在流程图一个流程或 多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上， 使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的 处理， 从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图 一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步 骤。

尽管已描述了本发明的优选实施例， 但本领域内的技术人员一旦得知了 基本创造性概念， 则可对这些实施例作出另外的变更和修改。 所以， 所附权 利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然， 本领域的技术人员可以对本发明实施例进行各种改动和变型而不 脱离本发明实施例的精神和范围。 这样， 倘若本发明实施例的这些修改和变 型属于本发明权利要求及其等同技术的范围之内， 则本发明也意图包含这些 改动和变型在内。

Claims

权 利 要 求

1、 一种适合协同可信网络连接模型的间接交互实现方法， 包括： 步骤一， 断言安全域 ASD获取终端的安全状态信息， 评估终端的安全状 态信息并产生安全状态评估结果， 将安全状态评估结果发送给终端；

步骤二， 依赖安全域 RSD接收终端的服务访问请求， 其中包括 ASD对 终端的安全状态评估结果； 以及

步骤三， RSD验证 ASD对终端的安全状态评估结果后根据验证结果向终 端提供服务；

其特征在于：

所述 ASD和 RSD保持时钟同步；

所述步骤一中， ASD产生终端的安全状态评估结果时还记录生成终端的 安全状态评估结果时的时戳 TS_ASD, 并将 TS_ASD发送给终端；

所述步骤二中， 所述服务访问请求中还包括 TS_ASD;

所述步骤三中， RSD还通过对比 TS_ASD与 RSD当前的时戳是否在一阈值 范围内， 判断 TS_ASD是否新鲜有效， 以此判断从终端收到的安全状态评估结果 的新鲜有效性， 以及在确定新鲜有效时向终端提供服务。

2、 如权利要求 1所述的方法， 其特征在于， 步骤一中： 所述 ASD获取 终端的安全状态信息， 具体包括：

ASD从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全 状态信息； 或者当所述协同可信网络连接请求不包含终端的安全状态信息时， ASD向终端请求安全状态信息并接收终端返回的安全状态信息； 以及

ASD将安全状态评估结果和 TS_ASD发送给终端， 具体包括： ASD将安全 状态评估结果和 TS_ASD包含在协同可信网络连接响应中发送给终端。

3、 如权利要求 2所述的方法， 其特征在于：

所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及 所述步骤三中还包括： RSD还根据终端的安全状态信息确定对终端的服 务策略， 并按照确定的策略向终端提供服务。

4、 如权利要求 2或 3所述的方法， 其特征在于：

所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD； 以及 所述协同可信网絡连接响应中还包括： ASD根据 IDRSD使用和 RSD约定 的保密技术生成的校验信息；

步骤二中的所述服务访问请求中还包括 ASD的标识信息 ID_ASD;

步骤三中 , RSD在对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内之 前， 先根据 ID_ASD, 使用和 ASD约定的保密技术确认校验信息是否正确， 如 果正确则进一步对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 否则丢 弃接收到的服务访问请求。

5、 一种适合协同可信网络连接模型的间接交互实现系统， 其特征在于， 包括：

断言安全域 ASD, 用于获取终端的安全状态信息， 评估终端的安全状态 信息， 产生安全状态评估结果并记录生成终端的安全状态评估结果时的时戳 TS_ASD, 以及将安全状态评估结果和 TS_ASD发送给终端；

和所述 ASD保持时钟同步的依赖安全域 RSD，用于接收终端的服务访问 请求， 所述服务访问请求中包括 ASD对终端的安全状态评估结果和 TS_ASD, 通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是否新 鲜有效， 以此判断从终端收到的安全状态评估结果的新鲜有效性， 以及在确 定新鲜有效时向终端提供服务。

6、 如权利要求 5所述的系统， 其特征在于， 所述 ASD , 具体用于从终端 发来的协同可信网络连接请求中， 获得终端主动提供的安全状态信息； 或者 当所述协同可信网絡连接请求不包含终端的安全状态信息时， ASD向终端请 求安全状态信息并接收终端返回的安全状态信息； 以及将安全状态评估结果 和 TS_ASD包含在协同可信网络连接响应中发送给终端。

7、 如权利要求 6所述的系统， 其特征在于：

所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及 所述 RSD, 还用于根据终端的安全状态信息确定对终端的服务策略， 并 按照确定的策略向终端提供服务。

8、 如权利要求 6或 7所述的系统， 其特征在于：

所述协同可信网絡连接请求中还包含 RSD的标识信息 ID_RSD； 以及 所述 ASD， 还用于根据 ID_RSD使用和 RSD约定的保密技术生成的校验信 息， 并携带在协同可信网絡连接响应中发送给终端；

所述终端发送的 务访问请求中还包括 ASD的标识信息 ID_ASD; 以及 所述 RSD, 还用于从在对比 TS_ASD与 RSD当前的时戳是否在一阔值范围 内之前， 先根据 ID_ASD, 使用和 ASD约定的保密技术确认校验信息是否正确， 如果正确则进一步对比 TS_ASD与 RSD当前的时戳是否在一阔值范围内 , 否则 丟弃接收到的服务访问请求。

9、 一种适合协同可信网络连接模型中的断言安全域 ASD处理终端安全 状态评估结果的方法， 其特征在于， 包括：

获取终端的安全状态信息；

评估终端的安全状态信息， 产生安全状态评估结果并记录生成终端的安 全状态评估结果时的时戳 TS_ASD;

将安全状态评估结果和 TS_ASD发送给终端。

10、 如权利要求 9所述的方法， 其特征在于， 所述获取终端的安全状态 信息， 具体包括：

从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全状态 信息； 或者当所述协同可信网络连接请求不包含终端的安全状态信息时， 向 终端请求安全状态信息并接收终端返回的安全状态信息； 以及将安全状态评 估结果和 TS_ASD包含在协同可信网絡连接响应中发送给终端。

11、 如权利要求 10所述的方法， 其特征在于， 所述协同可信网络连接响 应中还包括： 终端的安全状态信息。

12、 如权利要求 10或 11所述的方法， 其特征在于：

所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD； 以及 协同可信网络连接响应中还包括： 根据 ID_RSD, 使用和 RSD约定的保密 技术生成的校验信息。

13、 一种适合协同可信网络连接模型中的断言安全域 ASD处理终端安全 状态评估结果的装置， 其特征在于， 包括：

获取模块， 用于获取终端的安全状态信息；

生成模块， 用于评估终端的安全状态信息， 产生安全状态评估结果并记 录生成终端的安全状态评估结果时的时戳 TS_ASD;

发送模块， 用于将安全状态评估结果和 TS_ASD发送给终端。

14、 如权利要求 13所述的装置， 其特征在于， 所述第一获取模块， 具体 用于： 从终端发来的协同可信网络连接请求中， 获得终端主动提供的安全状 态信息； 或者当所述协同可信网络连接请求不包含终端的安全状态信息时， 向终端请求安全状态信息并接收终端返回的安全状态信息； 以及将安全状态 评估结果和 TS_ASD包含在协同可信网絡连接响应中发送给终端。

15、 如权利要求 14所述的装置， 其特征在于， 所述协同可信网络连接响 应中还包括： 终端的安全状态信息。

16、 如权利要求 14或 15所述的装置， 其特征在于：

所述协同可信网络连接请求中还包含 RSD的标识信息 ID_RSD； 以及 协同可信网络连接响应中还包括： 根据 ID_RSD使用和 RSD约定的保密技 术生成的校验信息。

17、 一种适合协同可信网络连接模型中依赖安全域 RSD处理终端服务访 问请求的方法， 其特征在于， 包括：

接收终端的服务访问请求， 所述服务访问请求中包括 ASD对终端的安全 状态评估结果和 TS_ASD;

通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是 否新鲜有效， 以此判断从终端收到的安全状态评估结果的新鲜有效性； 以及 在确定新鲜有效时向终端提供服务。

18、 如权利要求 17所述的方法， 其特征在于， 所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及 所述 RSD， 还用于根据终端的安全状态信息确定对终端的服务策略， 并 按照确定的策略向终端提供服务。

19、 如权利要求 17或 18所述的方法， 其特征在于：

所述服务访问请求中还包含： ASD的标识信息 ID_ASD， 以及 ASD使用和 RSD约定的保密技术生成的校验信息； 以及

所述在对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内之前， 先根据 ID_ASD,使用和 ASD约定的保密技术确认校验信息是否正确，如果正确则进一 步对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 否则丟弃接收到的服 务访问请求。

20、 一种适合协同可信网络连接模型中依赖安全域 RSD中处理终端服务 访问请求的装置， 其特征在于， 包括：

接收模块，用于接收终端的服务访问请求，所述服务访问请求中包括 ASD 对终端的安全状态评估结果和 TS_ASD;

校验模块，用于通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 判断 TS_ASD是否新鲜有效，以此判断从终端收到的安全状态评估结果的新鲜有 效性； 以及

服务模块， 用于在确定新鲜有效时向终端提供服务。

21、 如权利要求 20所述的装置， 其特征在于，

所述协同可信网络连接响应中还包括： 终端的安全状态信息； 以及 所述服务模块， 还用于根据终端的安全状态信息确定对终端的服务策略， 并按照确定的策略向终端提供服务。

22、 如权利要求 20或 21所述的装置， 其特征在于：

所述服务访问请求中还包含： ASD的标识信息 ID_ASD， 以及 ASD使用和 RSD约定的保密技术生成的校验信息； 以及

所述服务模块， 还用于在对比 TS_ASD与 RSD当前的时戳是否在一阈值范 围内之前， 先根据 ID_ASD, 使用和 ASD约定的保密技术确认校验信息是否正 确， 如果正确则进一步对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内， 否则丟弃接收到的服务访问请求。

23、 一种适合协同可信网络连接模型中的终端向 RSD请求获得服务的方 法， 其特征在于， 包括：

将安全状态信息发送给断言安全域 ASD;

从 ASD接收 ASD根据安全状态信息生成的安全状态评估结果，以及 ASD 生成终端的安全状态评估结果时的时戳 TS_ASD;

向依赖安全域 RSD发送服务访问请求， 其中包括 ASD对终端的安全状 态评估结果和 TS_ASD;

接收 RSD通过对比 TS_ASD与 RSD当前的时戳是否在一阈值范围内，确定 从终端收到的安全状态评估结果的新鲜有效时提供的服务。

24、 如权利要求 23所述的方法， 其特征在于：

所述将安全状态信息发送给 ASD, 具体包括： 将安全状态信息写到在协 同可信网络连接请求中发送给 ASD;或者向 ASD发送协同可信网络连接请求 后， 接收到 ASD的安全状态信息请求时， 将安全状态信息发送给 ASD; 以及 所述从 ASD接收安全状态评估结果以及 TS_ASD, 具体包括： 从 ASD接收 协同可信网络连接响应， 并从中获得安全状态评估结果， 以及 TS_ASD。

25、 如权利要求 24所述的方法， 其特征在于：

所述协同可信网絡连接响应中还包括： 终端的安全状态信息； 以及 所述服务访问请求中还包括： 终端的安全状态信息。

26、 如权利要求 24或 25所述的方法， 其特征在于：

所述协同可信网络连接请求中还包含： RSD的标识信息 ID_RSD; 以及 所述协同可信网络连接响应中还包括： ASD根据 ID_RSD使用和 RSD约定 的保密技术生成的校验信息；

所述服务访问请求中还包括： ASD的标识信息 ID_ASD。

27、 一种适合协同可信网络连接模型中的终端设备， 其特征在于， 包括: 安全状态发送模块， 用于将安全状态信息发送给断言安全域 ASD; 评估结果接收模块， 用于从 ASD接收 ASD根据安全状态信息生成的安 全状态评估结果， 以及 ASD生成终端的安全状态评估结果时的时戳 TS_ASD; 服务请求模块， 用于向依赖安全域 RSD发送服务访问请求， 其中包括 ASD对终端的安全状态评估结果和 TS_ASD, 所述 ASD和 RSD保持时钟同步； 服务接收模块，用于接收 RSD通过对比 TS_ASD与 RSD当前的时戳是否在 一阈值范围内， 确定从终端收到的安全状态评估结果的新鲜有效时提供的服 务。