技術領域

本發明涉及網絡技術領域，特別涉及一種安全狀態評估方法、網絡設備和網絡系統。

背景技術

隨著網絡技術的不斷發展，網絡規模越來越大，網絡的應用也越來越廣泛。與此同時，網絡中出現的安全問題也越來越頻繁，網絡安全形勢日趨嚴峻。而用戶主機、工作站、服務器等終端是網絡數據流的起點與終點，也是網絡安全事件產生的根源。大量接入到網絡中的不安全終端不僅會成為被攻擊的對象，還可能被攻擊者所利用，成為病毒傳播、黑客攻擊的中間媒介，進而嚴重影響整個網絡的正常運行。因此，必須從產生網絡安全隱患的源頭上解決不安全終端帶來的網絡安全問題。

可信計算組織(Trusted?Computing?Group，TCG)于2005年頒布了針對企業網的可信網絡連接(Trusted?Network?Connect，TNC)標準。TNC架構包括：接入請求者(Access?Requestor，AR)、策略執行點(Policy?Enforcement?Point，PEP)、策略決策點(Policy?Decision?Point，PDP)、元數據訪問點(MetadataAccess?Point，MAP)、流量控制器和傳感器。當AR請求接入一個受保護的網絡，PDP根據網絡的安全策略配置完成對AR安全狀態信息的評估，根據評估的結果做出決策。然后將這一決策傳給PEP，由PEP對AR的接入請求做出響應。

在實現本發明的過程中，發明人發現現有技術中存在如下問題：

在現有的TNC架構中，終端在請求接入網絡時，必須將自己的安全狀態信息公布給網絡方，由網絡方對所述安全狀態信息進行評估。因此，采用TNC架構對終端進行安全狀態評估時，終端的隱私得不到保護，終端的安全性低。

發明內容

一方面，本發明的實施例提供一種安全狀態評估方法，該方法能夠充分保護通信實體的隱私，增強通信實體的安全性，提高安全狀態評估的靈活性。

本發明的實施例安全狀態評估方法采用以下技術方案：

一種安全狀態評估方法，包括：

響應方接收來自請求方的通信請求，以及所述請求方所信任評估者的信息；

根據所述評估者的信息，所述響應方或請求方確定雙方都信任的評估者；

所述響應方獲取所述評估者對所述請求方的安全狀態評估結果，所述安全狀態評估結果由所述評估者根據來自請求通信實體的安全狀態信息獲??；

所述響應方根據所述評估結果對所述請求方的通信請求做出響應。

本發明的實施例安全狀態評估方法，請求方和響應方協商確定評估者，由評估者根據請求方的安全狀態信息，對請求方進行評估，響應方根據評估結果對請求方做出響應。與現有技術相比，請求方不需要將自己的安全狀態信息公布給響應方，避免了由于安全狀態信息的泄漏而導致自身受到攻擊，充分保護了通信實體的隱私，增強了通信實體的安全性，提高了安全狀態評估的靈活性。

另一方面，本發明的實施例提供一種網絡設備，該網絡設備能夠充分保護通信實體的隱私，增強通信實體的安全性，提高安全狀態評估的靈活性。

本發明的實施例網絡設備采用以下技術方案：

一種網絡設備，包括：

安全狀態信息獲取單元，用于獲取第一通信實體的安全狀態信息；

評估單元，用于根據所述安全狀態信息，對所述第一通信實體進行安全狀態評估，將評估結果發送給與所述第一通信實體通信的第二通信實體，由所述第二通信實體根據所述評估結果對所述被評估的通信實體做出響應。

本發明的實施例網絡設備，安全狀態信息獲取單元獲取需要評估的通信實體的安全狀態信息，評估單元根據所述安全狀態信息，對第一通信實體進行安全狀態評估，并將評估結果發送給第二通信實體，由第二通信實體根據所述結果對所述被評估的通信實體做出響應。與現有技術相比，第一通信實體不需要將自己的安全狀態信息公布給第二通信實體，避免了由于安全狀態信息的泄漏而導致自身受到攻擊，充分保護了通信實體的隱私，增強了通信實體的安全性，提高了安全狀態評估的靈活性。

第三方面，本發明的實施例提供一種網絡系統，該網絡系統能夠充分保護通信實體的隱私，增強通信實體的安全性，提高安全狀態評估的靈活性。

本發明的實施例網絡系統采用以下技術方案：

一種網絡系統，包括：

請求方，用于向響應方請求建立通信，將自己所信任評估者的信息告知響應方；