技術領域

本發明涉及網絡安全技術領域，尤其是涉及對大范圍內終端進行安全更新的方法和系統。

背景技術

為了保證網絡安全，從源頭上對抗由不安全終端帶來的網絡安全威脅，關聯響應系統(CRS)提供從網絡接入控制到應用服務控制的多層安全控制手段。

如圖1所示，在ITU-T?X.CRS提案中提出的CRS中主要的實體包括：終端側的安全關聯代理(SCA)、網絡側的安全關聯服務器(SCS)、網絡側的網絡接入控制器(NAC)和應用服務控制器(ASC)。SCA和SCS構成了關聯反應系統的核心。

其中，SCA負責收集終端的安全相關信息，對其進行處理生成安全相關信息(SCI)報告，并將該報告上報給SCS。SCS收到SCA發來的SCI報告后，通過SCA收集到的安全相關信息來評估終端的安全狀況和安全等級，以及終端的安全狀況是否被允許訪問網絡和申請各種應用服務。SCS根據評估結果，指示NAC或ASC對終端的網絡訪問和應用訪問作適當的控制，SCS也會將對終端的控制情況通知SCA。

當有適合終端的安全更新信息時，如有適合終端進行自身操作系統升級的補丁、組件或者安全相關應用軟件，或者這些補丁、組件或軟件的更新信息時，SCS會通知SCA協助終端進行相應的升級或者更新。安全更新信息在安全更新服務器，例如圖1中所示的安全應用軟件服務器(SAS-S)、終端操作系統更新服務器(TOS-VS)上，SCA收到SCS的更新指令后，根據指令中的安全更新服務器信息控制終端到對應的安全更新服務器獲取安全更新信息進行安全更新。

在上述方法中，如果同一安全更新信息適合于大范圍內的終端，則SCS將向大范圍內的每個終端發送安全更新指令，終端在收到安全更新指令后，即向安全更新服務器獲取更新信息，往往會由于大量終端同時發起安全更新，造成通往安全更新服務器的網絡路徑擁塞，甚至由于業務量的突然急劇增加導致安全更新服務器的癱瘓；此外，由于SCS針對每一終端分別發送安全更新指令，也造成了網絡流量的突然加大，增加了系統負擔，并會導致網絡擁塞。

發明內容

有鑒于此，本發明的主要目的在于提供對大范圍內終端進行安全更新的方法和系統，能夠實現對大范圍內終端的安全更新，并減少網絡擁塞。

為實現上述目的的第一個方面，本發明提供了一種對大范圍內終端進行安全更新的方法，該方法包括：

A、安全關聯服務器SCS確定其控制的每個終端對應的強制安全更新指令執行滯后時間；

B、當SCS確定需要實施大范圍終端的安全更新時，控制每個終端按照對應的強制安全更新指令執行滯后時間延遲進行安全更新。

較佳地，所述步驟A包括：

所述每個終端上的SCA向SCS發送終端安全相關信息；

所述SCS根據接收的終端安全相關信息確定終端的安全等級，并根據終端的安全等級確定每個終端對應的強制安全更新指令執行滯后時間。

較佳地，所述步驟A中，SCS進一步根據用戶定制的安全服務、網絡流量或帶寬，或以上的任意組合確定每個終端對應的強制安全更新指令執行滯后時間。

較佳地，所述步驟B后進一步包括：

終端完成安全更新后，終端上的SCA即時向SCS發送新的安全相關信息，SCS根據接收的新的安全相關信息重新確定該終端對應的強制安全更新指令執行滯后時間，然后返回執行步驟B。

所述步驟B可以包括：

B11、SCS在確定其控制的每個終端對應的強制安全更新指令執行滯后時間后，將該指令執行滯后時間下發給對應終端上的SCA；

B12、當SCS確定需要實施大范圍終端的安全更新時，向所述每個終端上的SCA發送強制安全更新指令；

B13、SCA接收強制安全更新指令，并按照SCS下發的指令執行滯后時間延遲觸發終端進行安全更新。

所述步驟B還可以包括：

B21、SCS確定其控制的每個終端對應的強制安全更新指令執行滯后時間后，在自身中為每個終端保存強制安全更新指令執行滯后時間；

B22、當SCS確定需要實施大范圍終端強制更新時，按照每個終端對應的所述指令執行滯后時間延遲向對應的該終端上的SCA發送強制更新指令；

B23、接收到強制更新指令的SCA觸發終端進行安全更新。

較佳地，所述強制安全更新指令中包括安全更新項目信息，SCA觸發所述終端進行安全更新前，根據所述安全更新項目信息判斷終端是否已經執行所述更新，如果是則結束該流程；否則，執行所述觸發終端進行安全更新的步驟。