一种网络安全状态获取方法、装置及系统转让专利
申请号 : CN200710166405.2
文献号 : CN101425920B
文献日 : 2011-02-16
发明人 : 尹瀚 , 张宁 , 庄小君
申请人 : 华为技术有限公司
摘要 :
本发明提出一种网络安全状态获取方法,该方法包括:第一网络设备向第二网络设备发送当前网络安全状态请求消息,获取第二网络设备当前所在网络的安全信息。本发明还提出网络设备、网络安全状态获取装置、以及网络系统。本发明提出的方法、装置及系统,能够在第二网络设备请求接入第一网络设备所在网络时,使第一网络设备获取该第二网络设备当前所在网络的安全状态。
权利要求 :
1.一种网络安全状态获取方法,其特征在于,该方法包括:第一网络设备向第二网络设备发送第二网络设备所在网络的安全状态请求消息;
第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备反馈该网络安全信息。
2.根据权利要求1所述的方法,其特征在于,所述第二网络设备所在网络的安全状态请求消息包括查询请求消息,所述第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备反馈该网络安全信息的步骤包括:第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述查询请求消息获取网络安全状态信息,向第一网络设备反馈第二网络设备所在网络的网络安全状态信息。
3.根据权利要求1所述的方法,其特征在于,
所述第二网络设备所在网络的安全状态请求消息包括策略信息,所述第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备反馈该网络安全信息的步骤包括:第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述策略信息对网络安全状态进行评估,向第一网络设备反馈第二网络设备所在网络的安全状态评估结果。
4.根据权利要求2所述的方法,其特征在于,所述第二网络设备所在网络的网络安全状态信息由第二网络设备或网络安全状态获取装置获取得到后,直接或经由第二网络设备发送给第一网络设备。
5.根据权利要求3所述的方法,其特征在于,所述第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述策略信息对网络安全状态进行评估的步骤包括:第二网络设备或网络安全状态获取装置获取所述第二网络设备所在网络的安全状态信息,根据所述策略信息对所述安全状态信息进行评估,得到安全状态评估结果。
6.一种网络设备,其特征在于,所述网络设备包括:
请求消息发送模块,用于向待接入的网络节点发送待接入网络节点所在网络的网络安全状态请求消息;
接收模块,用于接收待接入节点所在网络的网络安全信息。
7.一种网络设备,其特征在于,所述网络设备包括:
请求消息接收模块,用于接收来自接入网络服务器的所述网络设备所在网络的网络安全状态请求消息;
第一发送模块,用于向网络安全状态获取装置发送所述网络设备所在网络的网络安全状态请求消息;
安全信息获取模块,用于获取所述网络设备所在网络的网络安全信息;
第二发送模块,用于向接入网络服务器发送所述网络设备所在网络的网络安全信息。
8.根据权利要求7所述的网络设备,其特征在于,所述网络设备进一步包括:评估模块,用于对安全信息获取模块所获取的所述网络设备所在网络的网络安全状态信息进行评估,得到所述网络设备所在网络的网络安全状态评估结果。
9.一种网络安全状态获取装置,其特征在于,包括:
获取模块,用于从网络设备中收集待接入网络节点所在网络的网络安全状态信息;
发送模块,用于将获取模块所收集的待接入网络节点所在网络的网络安全状态信息直接或经由待接入的网络节点发送至接入网络服务器。
10.根据权利要求9所述的装置,其特征在于,所述装置进一步包括:评估模块,用于对获取模块所收集的待接入网络节点所在网络的网络安全状态信息进行评估,得到待接入网络节点所在网络的网络安全状态评估结果。
11.根据权利要求9所述的装置,其特征在于,所述装置的类型包括网络代理服务器。
12.一种网络系统,其特征在于,该系统包括:
第一网络设备,用于向第二网络设备发送第二网络设备所在网络的安全状态请求消息,获取第二网络设备所在网络的网络安全信息;
第二网络设备,用于将所述第二网络设备所在网络的安全状态请求消息,发送给网络安全状态获取装置;
网络安全状态获取装置,用于获取第二网络设备所在网络的网络安全信息,将所述第二网络设备所在网络的网络安全信息直接或经由第二网络设备提供给第一网络设备。
13.根据权利要求12所述的系统,其特征在于,所述网络安全状态获取装置获取到的安全状态信息是通过向网络设备收集得到的,所述网络设备类型包括:网关、防火墙、入侵检测系统或补丁管理系统。
14.根据权利要求12所述的系统,其特征在于,所述网络安全状态获取装置类型包括:网络代理服务器。
说明书 :
一种网络安全状态获取方法、装置及系统
技术领域
[0001] 本发明涉及网络安全领域,特别涉及一种网络安全状态获取方法、装置及系统。
背景技术
[0002] 随着互联网在全球的快速发展,由于IP技术的开放架构和其本身安全保护的缺乏,使得应用层的安全威胁,如病毒、黑客攻击等层出不穷。为了保护网络不受那些来自不安全端点的威胁,出现了网络端点评估(NEA,Network Endpoint Assessment)技术。
[0003] 在NEA体系中,网络管理者通过安装在试图接入网络的端点上的NEA代理软件,收集端点的状态信息,并进行评估,考察其对网络安全策略的符合程度,对于不符合安全策略的端点,将不允许其接入网络。这里,安装了NEA代理软件的端点称为代理客户端,对代理客户端进行评估的网络节点称为代理服务器。当代理客户端要接入某个网络时,为明确起见,将代理客户端当前所在网络的代理服务器称为当前网络代理服务器,将代理客户端请求接入的网络中的代理服务器称为接入网络代理服务器。
[0004] 现有技术中,有两种对代理客户端评估的实现方式,以下分别描述:
[0005] 方式一:参见图1,图1为现有技术对代理客户端评估的实现方式一。评估的具体步骤如下:
[0006] 步骤101:代理服务器向代理客户端发送查询请求消息,在该消息中指明需要代理客户端提供哪些安全方面的信息。
[0007] 步骤102:代理客户端向代理服务器发送查询结果消息,在该消息中携带相应的自身安全状态信息。
[0008] 步骤103:代理服务器对收到的安全状态信息进行评估,根据评估结果做出是否允许代理客户端接入网络的接入决策,如果允许,则将授权决定通过授权消息发送给代理客户端;如果不允许,则将更新途径通过更新消息发送给代理客户端。
[0009] 方式二:参见图2,图2为现有技术对代理客户端评估的实现方式二。评估的具体步骤如下:
[0010] 步骤201:代理服务器向代理客户端发送策略信息消息,在该消息中携带评估时所需要的安全策略。
[0011] 步骤202:代理客户端依据安全策略对自身的安全状态信息进行评估,将评估结果携带在评估结果消息中发送至代理服务器。
[0012] 步骤203:代理服务器根据评估结果做出是否允许代理客户端接入网络的接入决策,如果允许,则将授权决定通过授权消息发送给代理客户端;如果不允许,则将更新途径通过更新消息发送给代理客户端。
[0013] 上述两种方式可以看出,当代理客户端要接入某个网络时,该网络中的代理服务器能获取该代理客户端的安全信息,所述安全信息为安全状态信息或者安全状态评估结果,根据获取的代理客户端安全信息做出接入决策,判断是否允许代理客户端接入网络。但是,代理服务器无法获取代理客户端当前所在网络的安全信息,这样使得来自不安全网络的代理客户端极有可能给下一个接入网络带来潜在的安全隐患。此外,对于点对点(P2P,Point to Point)网络,将NEA代理客户端软件、以及NEA代理服务器软件分别安装在不同的网络端点时,安装NEA代理服务器软件的端点也无法获取安装NEA代理客户端软件的网络端点所在网络的安全信息。以下为方便起见,将安装NEA代理服务器软件的端点称为第一网络设备,将安装NEA代理客户端软件的网络端点称为第二网络设备。
发明内容
[0014] 本发明实施例提出一种网络安全状态获取方法,该方法能够在第二网络设备请求接入第一网络设备所在网络时,使第一网络设备获取该第二网络设备当前所在网络的安全状态。
[0015] 本发明实施例还提出网络设备、一种网络安全状态获取装置、以及一种网络系统,使第一网络设备获取第二网络设备当前所在网络的安全状态。
[0016] 本发明的技术方案是这样实现的:
[0017] 一种网络安全状态获取方法,该方法包括:
[0018] 第一网络设备向第二网络设备发送第二网络设备所在网络的安全状态请求消息;
[0019] 第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备反馈该网络安全信息。
[0020] 一种网络设备,所述网络设备包括:
[0021] 请求消息发送模块,用于向待接入的网络节点发送待接入网络节点所在网络的网络安全状态请求消息;
[0022] 接收模块,用于接收待接入节点所在网络的网络安全信息。
[0023] 一种网络设备,所述网络设备包括:
[0024] 请求消息接收模块,用于接收来自接入网络服务器的所述网络设备所在网络的网络安全状态请求消息;
[0025] 第一发送模块,用于向网络安全状态获取装置发送所述网络设备所在网络的网络安全状态请求消息;
[0026] 安全信息获取模块,用于获取所述网络设备所在网络的网络安全信息;
[0027] 第二发送模块,用于向接入网络服务器发送所述网络设备所在网络的网络安全信息。
[0028] 一种网络安全状态获取装置,所述装置包括:
[0029] 获取模块,用于从网络设备中收集待接入网络节点所在网络的网络安全状态信息;
[0030] 发送模块,用于将获取模块所收集的待接入网络节点所在网络的网络安全状态信息直接或经由待接入的网络节点发送至接入网络服务器。
[0031] 一种网络系统,该系统包括:
[0032] 第一网络设备,用于向第二网络设备发送当前网络安全状态请求消息,获取第二网络设备当前所在网络的安全信息;
[0033] 第二网络设备,将所述当前网络安全状态请求消息,发送给网络安全状态获取装置;
[0034] 网络安全状态获取装置,用于获取当前网络安全信息,将所述当前网络安全信息直接或经由第二网络设备提供给第一网络设备。
[0035] 可见,本发明提出的网络安全状态获取方法、系统及装置,能够在第二网络设备请求接入第一网络设备所在网络时,使第一网络设备获取该第二网络设备当前所在网络的安全状态。
附图说明
[0036] 图1为现有技术对代理客户端评估的实现方式一;
[0037] 图2为现有技术对代理客户端评估的实现方式二;
[0038] 图3为本发明实施例应用场景举例示意图;
[0039] 图4为本发明实施例一网络安全获取方法流程图;
[0040] 图4a为本发明实施例一网络安全获取方法A流程图;
[0041] 图4b为本发明实施例一网络安全获取方法B流程图;
[0042] 图5为本发明实施例收集网络安全状态信息的方法示意图;
[0043] 图6为本发明实施例二网络安全获取方法流程图;
[0044] 图6a为本发明实施例二网络安全获取方法A流程图;
[0045] 图6b为本发明实施例二网络安全获取方法B流程图。
具体实施方式
[0046] 本发明提出一种网络安全状态获取方法,该方法包括:第一网络设备向第二网络设备发送第二网络设备所在网络的安全状态请求消息;
[0047] 第二网络设备或第二网络设备所在网络中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备反馈该网络安全信息。
[0048] 参见图3,图3为本发明实施例应用场景举例示意图。例如,某用户正在参加一学术会议,该用户使用第二网络设备,已经接入到会场的无线局域网中。会议进行过程中,该用户发现需参考公司内部的资料,于是通过虚拟专用网(VPN,Virtula Private Network)请求将第二网络设备接入到公司的内部网络。
[0049] 为了保护公司内部网络的安全,公司内部网络中的第一网络设备可以采用本发明实施例所述的方法,向第二网络设备发送第二网络设备所在网络(即会场中的无线局域网)的安全状态请求消息;第二网络设备或者会场的无线局域网中的网络安全状态获取装置根据所述安全状态请求消息获取网络安全信息,向第一网络设备返回会场中的无线局域网的安全信息。
[0050] 以下以第一网络设备为接入网络代理服务器、第二网络设备为代理客户端为例,对本发明实施例进行详细说明。
[0051] 值得指出的是,代理客户端当前所在网络可能有多个,并且代理客户端接入新的网络时并不一定脱离当前所在网络。
[0052] 上述方法中,所述当前网络安全状态请求消息可以为查询请求消息,所述安全信息可以为安全状态信息;
[0053] 或者,所述当前网络安全状态请求消息可以为策略信息消息,所述安全信息可以为安全状态评估结果。
[0054] 当收到查询请求消息时,代理客户端可以从网络安全状态获取装置中获取当前网络的安全状态信息,再发送给接入网络代理服务器;或者,代理客户端也可以将该消息转发给网络安全状态获取装置,由该装置将当前网络的安全状态信息发送给接入网络代理服务器。
[0055] 当收到策略信息消息时,代理客户端可以从网络安全状态获取装置中获取当前网络的安全状态信息,对该信息进行评估后得到当前网络安全状态评估结果,再发送给接入网络代理服务器;或者,代理客户端也可以将该消息转发给网络安全状态获取装置,由该模块将当前网络的安全状态评估结果发送给接入网络代理服务器。
[0056] 上述方法中,代理客户端向接入网络代理服务器发送当前网络的安全信息时,可以与现有技术中发送自身安全信息的步骤一起进行,即:将当前网络的安全状态信息以及自身安全状态信息一起携带在查询结果消息中,发送给接入网络代理服务器;或者,将当前网络的安全状态评估结果以及自身安全状态评估结果一起携带在评估结果消息中,发送给接入网络代理服务器。
[0057] 或者,代理客户端向接入网络代理服务器发送当前网络的安全信息时,也可以与现有技术中发送自身安全信息的步骤分开进行,如:在代理客户端向接入网络代理服务器发送当前网络的安全信息之后,进一步发送自身安全信息。
[0058] 接入网络代理服务器可以根据当前网络的安全信息、以及代理客户端自身安全信息,进行接入决策,即判断是否允许代理客户端接入网络。
[0059] 上述方法中,网络安全状态获取装置可以是当前网络代理服务器、或者当前网络中其他的物理实体,用于从当前网络设备中收集当前网络的安全状态信息。所述的当前网络设备可以是:网关、防火墙、入侵检测系统和补丁管理系统等。
[0060] 以下举具体实施例,详细描述本发明的实现过程。为方便描述,在以下实施例中,将代理客户端当前所在网络称为网络1,将代理客户端请求接入的网络称为网络2,将当前网络代理服务器称为网络1代理服务器,将接入网络代理服务器称为网络2代理服务器。
[0061] 实施例一:
[0062] 在本实施例中,以网络2代理服务器向代理客户端发送查询请求消息,代理客户端向网络2代理服务器返回网络1安全状态信息为例进行描述。
[0063] 参见图4,图4为本发明实施例一网络安全获取方法流程图。
[0064] 当代理客户端由网络1请求接入网络2时,在代理客户端与网络2成功进行身份认证后,执行步骤401。
[0065] 步骤401:网络2代理服务器向代理客户端发送查询请求消息。
[0066] 步骤402:代理客户端将该消息转发给网络1代理服务器,网络1代理服务器收集网络1的安全状态信息,将所述网络1的安全状态信息发送给代理客户端。
[0067] 步骤403:代理客户端将收到的网络1的安全状态信息携带在查询结果消息中,发送给网络2代理服务器。
[0068] 本发明实施例中,网络2代理服务器可以根据收到的网络1安全状态信息、以及代理客户端安全状态信息,做出接入决策。具体方式如下:
[0069] 本实施例可以与代理客户端向网络2发送自身安全状态信息的过程融合在一起进行,即代理客户端将收到的网络1的安全状态信息、连同代理客户端自身的安全状态信息一起,携带在查询结果消息中,发送给网络2代理服务器。参见图4a,图4a为本发明实施例一网络安全获取方法A流程图。
[0070] 步骤401a~402a与步骤401~402相同。
[0071] 步骤403a:代理客户端将收到的网络1的安全状态信息、以及代理客户端的安全状态信息携带在查询结果消息中,发送给网络2代理服务器。
[0072] 步骤404a:网络2代理服务器对收到的信息进行评估,根据评估结果判断是否允许代理客户端接入网络2,即做出接入决策。
[0073] 或者,也可以与代理客户端向网络2发送自身安全状态信息的过程分开进行,即:在发送网络1的安全状态信息之后,代理客户端将自身安全状态信息发送给网络2代理服务器。参见图4b,图4b为本发明实施例一网络安全获取方法B流程图。
[0074] 步骤401b~403b与步骤401~403相同。
[0075] 步骤404b:网络2代理服务器再次向代理客户端发送查询请求消息,查询代理客户端的安全状态信息。
[0076] 步骤405b:代理客户端收集自身的安全状态信息,将其携带在查询结果消息中,发送给网络2代理服务器。
[0077] 可以理解的是,步骤404b和405b也可以在步骤401b之前进行。
[0078] 步骤406b:网络2代理服务器对收到的信息进行评估,根据评估结果判断是否允许代理客户端接入网络2,即进行接入决策。
[0079] 本实施例中,是以网络1代理服务器作为网络安全状态获取装置举例说明的,在本发明的其他实施例中,也可以采用网络1中的其他物理实体作为网络安全状态获取装置,用来获取网络1的安全状态信息。另外,本实施例中,是采用代理客户端将网络1的安全状态信息发送给网络2代理服务器,在本发明的其他实施例中,也可以采用网络1代理服务器直接将网络1的安全状态信息发送给网络2代理服务器。
[0080] 在本实施例步骤402中,网络1代理服务器收集网络1的安全状态信息包括但不限于下述情况:
[0081] 1)网络1中被病毒感染的主机的情况,比如数目、百分比等;
[0082] 2)网络1当前的流量,网络1拥塞的情况等;
[0083] 3)网络1当前面临的安全威胁,比如正在遭受某种蠕虫病毒的攻击;
[0084] 4)网络1对外开放的业务,比如http、文件共享等;
[0085] 5)网络1的安全设施情况,比如是否拥有防火墙、是否支持病毒过滤等。
[0086] 网络1代理服务器可以从各种网络安全设备收集网络1的安全状态信息,具体如图5所示,图5为本发明实施例收集网络安全状态信息的方法示意图。如图5所示,网络1代理服务器可以通过向网络1中的防火墙、入侵检测系统、网关、补丁管理系统等安全设备发送请求,获取网络安全状态信息。
[0087] 在以下的实施例中,网络1代理服务器收集网络安全状态信息的方法与本实施例中所述方法相同,此后不再赘述。
[0088] 实施例二:
[0089] 在本实施例中,以网络2代理服务器向代理客户端发送策略信息消息,代理客户端向网络2代理服务器返回网络1安全状态评估结果为例。
[0090] 参见图6,图6为本发明实施例二网络安全获取方法流程图。
[0091] 当代理客户端由网络1请求接入网络2时,在代理客户端与网络2成功进行身份认证后,执行步骤501。
[0092] 步骤601:网络2代理服务器向代理客户端发送策略信息消息。
[0093] 步骤602:代理客户端将该消息转发给网络1代理服务器,网络1代理服务器收集网络1的安全状态信息,将所述网络1的安全状态信息发送给代理客户端。
[0094] 步骤603:代理客户端对收到的网络1的安全状态信息进行评估,得到网络1安全状态评估结果,将所述评估结果携带在评估结果消息中,发送给网络2代理服务器。
[0095] 在步骤602中,也可以由网络1代理服务器对网络1的安全状态信息进行评估,将网络1安全状态评估结果发送给代理客户端。这样,步骤603中代理客户端则不再需要执行评估过程,而只需将评估结果发送给网络2代理服务器。
[0096] 本实施例可以与代理客户端向网络2发送自身安全状态评估结果的过程融合在一起进行,即代理客户端将网络1安全状态评估结果、连同代理客户端自身的安全状态评估结果一起,携带在评估结果消息中,发送给网络2代理服务器。参见图6a,图6a为本发明实施例二网络安全获取方法A流程图。
[0097] 步骤601a~602a与步骤601~602相同。
[0098] 步骤603a:代理客户端将网络1的安全状态评估结果、以及代理客户端的安全状态评估结果携带在评估结果消息中,发送给网络2代理服务器。
[0099] 步骤604a:网络2代理服务器根据收到的评估结果判断是否允许代理客户端接入网络2,即做出接入决策。
[0100] 或者,也可以代理客户端向网络2发送自身安全状态评估结果的过程分开进行,即:在发送网络1的安全状态评估结果之后,代理客户端将自身安全状态评估结果发送给网络2代理服务器。参见图6b,图6b为本发明实施例二网络安全评估方法B流程图。
[0101] 步骤601b~603b与步骤601~603相同。
[0102] 步骤604b:网络2代理服务器再次向代理客户端发送策略信息消息,查询代理客户端的安全状态评估结果。
[0103] 步骤605b:代理客户端对自身的安全状态信息进行评估,得到代理客户端的安全状态评估结果,将所述评估结果携带在评估结果消息中,发送给网络2代理服务器。
[0104] 可以理解的是,步骤604b、605b也可以在步骤601b之前进行。
[0105] 网络2代理服务器收到网络1安全状态评估结果、以及代理客户端安全状态评估结果后,执行步骤606b。
[0106] 步骤606b:网络2代理服务器根据收到的评估结果判断是否允许代理客户端接入网络2,即进行接入决策。
[0107] 本实施例中,是以网络1代理服务器作为网络安全状态获取装置举例说明,在本发明的其他实施例中,也可以采用网络1中的其他物理实体作为网络安全状态获取装置,用来获取网络1的安全状态评估结果。另外,本实施例中,是采用代理客户端将网络1的安全状态评估结果发送给网络2代理服务器,在本发明的其他实施例中,也可以采用网络1代理服务器直接将网络1的安全状态评估结果发送给网络2代理服务器。
[0108] 从上述2个实施例可以看出,通过采用本发明实施例网络安全获取方法获取到网络1安全状态后,网络2代理服务器可以根据网络1安全状态评估结果、以及代理客户端的安全状态评估结果做出接入决策,这种方法相比现有技术中仅仅根据代理客户端的安全状态评估结果做出接入决策来说,具有更高的安全性,可以更大程度地降低代理客户端接入网络所带来的风险。并且,网络2代理服务器可以对来自安全级别较高网络的代理客户端适当简化评估流程;而对来自安全级别较低网络的代理客户端采取更严格的评估控制,甚至拒绝接入。
[0109] 以上是以客户端(C,Client)/服务器(S,Server)网络为例进行举例说明的,本发明实施例同样可以应用于P2P网络中。应用于P2P网络时,将代理客户端软件和代理服务器软件分别安装在不同的网络端点中,当安装代理客户端软件的网络端点请求接入安装代理服务器软件的网络端点时,安装代理服务器软件的网络端点可以采用上述相同的方法获取安装代理客户端软件的网络端点所在网络的安全信息,用于辅助判断是否允许安装代理客户端软件的网络端点进行接入。
[0110] 本发明实施例还提出一种网络设备,所述网络设备包括:
[0111] 请求消息发送模块,用于向待接入的网络节点发送待接入网络节点所在网络的网络安全状态请求消息;
[0112] 接收模块,用于接收待接入节点所在网络的网络安全信息。
[0113] 上述网络设备可以为代理服务器,待接入的网络节点可以为代理客户端。对于P2P网络来说,上述网络设备可以为安装代理服务器软件的网络端点,待接入的网络节点可以为安装代理客户端软件的网络端点。
[0114] 本发明实施例还提出一种网络设备,所述网络设备包括:
[0115] 请求消息接收模块,用于接收来自接入网络服务器的所述网络设备所在网络的网络安全状态请求消息;
[0116] 第一发送模块,用于向网络安全状态获取装置发送所述网络设备所在网络的网络安全状态请求消息。
[0117] 所述网络设备可以进一步包括:
[0118] 安全信息获取模块,用于获取所述网络设备所在网络的网络安全信息;
[0119] 第二发送模块,用于向接入网络服务器发送所述网络设备所在网络的网络安全信息。
[0120] 所述网络设备还可以进一步包括:
[0121] 评估模块,用于对安全信息获取模块所获取的所述网络设备所在网络的网络安全状态信息进行评估,得到所述网络设备所在网络的网络安全状态评估结果。
[0122] 上述网络设备可以为代理客户端,接入网络服务器可以为代理服务器。对于P2P网络来说,上述网络设备可以为安装代理客户端软件的网络端点,接入网络服务器可以为安装代理服务器软件的网络端点。
[0123] 本发明实施例还提出一种网络安全状态获取装置,所述装置可以包括:
[0124] 获取模块,用于从网络设备中收集待接入网络节点所在网络的网络安全状态信息;
[0125] 发送模块,用于将获取模块所收集的待接入网络节点所在网络的网络安全状态信息发送给待接入的网络节点和/或接入网络服务器。
[0126] 所述装置还可以包括:
[0127] 评估模块,用于对获取模块所收集的待接入网络节点所在网络的网络安全状态信息进行评估,得到待接入网络节点所在网络的网络安全状态评估结果。
[0128] 所述装置的类型可以包括当前网络代理服务器。
[0129] 本发明实施例还提出一种网络系统,其特征在于,该系统包括:
[0130] 第一网络设备,用于向第二网络设备发送当前网络安全状态请求消息,获取第二网络设备当前所在网络的安全信息;
[0131] 第二网络设备,用于将所述当前网络安全状态请求消息,发送给网络安全状态获取装置;
[0132] 网络安全状态获取装置,用于获取当前网络安全信息,将所述当前网络安全信息提供给第一网络设备和/或第二网络设备。
[0133] 上述系统中,所述第一网络设备可以为代理服务器,所述第二网络设备可以为代理客户端。对于P2P网络来说,上述第一网络设备可以为安装代理服务器软件的网络端点,第二网络设备可以为安装代理客户端软件的网络端点。
[0134] 综上所述,本发明实施例提出的网络安全状态获取方法、系统及装置,能够在第二网络设备请求接入网络时,第一网络设备获取第二网络设备当前网络的安全信息。第一网络设备可以根据当前网络安全信息、以及第二网络设备安全信息做出接入决策,降低第二网络设备接入网络所带来的风险,而且可以对来自安全级别较高网络的第二网络设备适当简化评估流程。并且,本发明第一网络设备获取第二网络设备当前网络安全状态的步骤可以与现有技术中获取第二网络设备自身安全状态的步骤融合在一起,使用现有技术中已有的消息进行传输,这样对原有网络实体以及协议的改动最小。
[0135] 综上所述,以上仅为对本发明精神的展示,而非用于限制本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。