技術領域

本發明涉及通信領域，具體而言，涉及安全能力信息查詢方法、反饋方法及裝置。

背景技術

云計算(Cloud Computing)是一種信息技術與商業服務結合的新的消費與交付模式。云計算的核心是云計算的硬件和軟件都是資源，并被封裝為服務，用戶可以通過網絡按自身的需求對其進行訪問和使用。云計算核心的五大特征為：按需自助服務(On-demand self-service)、廣泛的網絡訪問(Broad network access)、資源共享(Resource pooling)、快速的可伸縮性(Rapid elasticity)以及可度量的服務(Measured service)。

按照云計算提供的服務類型，美國國家標準技術研究院(National Institute of Standards and Technology，簡稱NIST)將云計算劃分為：基礎設施作為服務(Infrastructure as a Service，簡稱IaaS)、平臺作為服務(Platform as a Service，簡稱PaaS)以及軟件作為服務(Software as a Service，簡稱SaaS)。其他的標準組織、企業和研究團體提出了其他的服務類型，如，通信作為服務(Communications as a Service，簡稱CaaS)、安全作為服務(Security as a Service，簡稱SaaS)、身份作為服務(Identity as a Service，簡稱IDaaS)以及網絡作為服務(Network as a Service，簡稱NaaS)。現在，一般使用X作為服務(X as a Service，簡稱XaaS)來表示云計算服務，其中，X表明云服務類型。

按照部署方式劃分，云計算可以劃分為：公有云(Public Cloud)、私有云(Private Cloud)、社區云(Community Cloud)和混合云(Hybrid Cloud)。

2008年10月，首席信息官(CIO)研究部門發布了對云計算的研究報告，調查收集了接收調查的173名IT主管對云計算的看法以及云計算對其企業的適用性，調查結果表明安全是被調查的公司采用云計算的最大顧慮。

當采用公有云、社區云或混合云的部署方式時，云計算用戶(Cloud Service User，簡稱CSU)的信息資產(例如，數據和應用)運行在云計算服務提供商(Cloud Service Provider，簡稱CSP)，不在CSU的直接控制下，CSU很難確定CSP是否具有足夠的安全能力以及CSP所提供的安全能力是否能夠正確運行。現有技術中，目前為止還沒有一種簡單、有效的評估方法使得CSU可以獲得CSP的安全能力，從而導致CSU在使用云服務的時數據的安全性難以得到保證。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了安全能力信息查詢方法、反饋方法及裝置，以至少解決現有技術中沒有一種簡單、有效的評估方法使得CSU可以獲得CSP的安全能力，從而導致的CSU在使用云服務時數據的安全性難以得到保證的技術問題。

根據本發明實施例的一個方面，提供了一種安全能力信息查詢方法，包括：CSU向CTTP或者CSP發送安全能力查詢請求，其中，查詢請求用于查詢CSP安全能力信息；CSU接收CTTP或者CSP返回的響應消息，其中，響應消息攜帶有CSP安全能力信息；CSU從響應消息中獲取CSP安全能力。

優選地，CSP安全能力信息包括CSP的安全能力和/或CSP提供的云服務的安全能力。

優選地，CSP安全能力信息包括以下至少之一：信息安全與隱私標準、信息安全與隱私法規、信息安全與隱私標準中的安全控制、信息安全與隱私法規中的安全控制、信息安全與隱私標準中的安全條目以及信息安全與隱私法規中的安全條目。

優選地，查詢請求攜帶有CSP標識和/或云服務標識。

優選地，當查詢請求攜帶有CSP標識時，響應消息攜帶有CSP標識對應的CSP的安全能力；當查詢請求攜帶有CSP標識和云服務標識時，響應消息攜帶有CSP標識對應的CSP中、由云服務標識對應的云服務的安全能力。

優選地，查詢請求還攜帶有查詢類型指示標識，其中，查詢類型指示標識用于指示查詢請求的查詢類型。