获取云中安全信息方法、云中安全信息上报的方法及装置

摘要

本发明实施例公开了一种获取云中安全信息的方法、云中安全信息上报的方法及装置，所述获取云中安全信息的方法包括：接收客户端发送的获取云中安全信息的请求消息；将所述请求消息转换为云节点能识别的请求消息；将转换后的所述请求消息发送给云节点；接收所述云节点发送的包括自身安全信息的响应消息；对所述响应消息进行转换；将格式转换后的所述响应消息发送给所述客户端。本发明实施例解决了现有技术中由于云端的云中安全信息对应用户不透明，导致用户对云端的安全信任程度降低的技术问题。也就是说，用户通过请求消息可以获取云中安全信息，从而提高了用户对云端安全的信任度。

说明书

技术领域

本发明涉及信息技术领域，特别涉及一种获取云中安全信息的方法、云中安全信 息上报的方法及装置。

背景技术

在传统的信息技术（IT，Information Technology）环境中，用户掌控自己的IT 资源，很清楚自身设备的配置、数据存放位置、环境中发生了什么等，用户对于传统 的IT环境是完全信任的。

但是，随着网络技术的发展，出现了云技术，云技术中的云环境对用户而言是完 全不透明的，用户对于服务的部署方式和位置以及它的控制方式，可能一无所知。云 服务可以由多个供应商的众多服务的“混搭”组成，是在不同地理位置的数据中心进 行物理托管的。这种分离的模式会影响了客户实施控制的能力，从而降低了用户对云 端安全的信任程度。

在对现有技术的研究和实践过程中，本发明的发明人发现，现有的实现方式中， 如何增强云端的安全信息透明是当前有待解决的问题。

发明内容

本发明实施例中提供了一种获取云中安全信息的方法、云中安全信息上报的方法及 装置，以解决现有技术中由于云端的云中安全信息对应用户不透明，导致用户对云端 的安全信任程度降低的技术问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

第一方面提供了一种获取云中安全信息的方法，所述方法包括：

接收客户端发送的获取云中安全信息的请求消息；

将所述请求消息转换为云节点能识别的请求消息；

将转换后的所述请求消息发送给云节点；

接收所述云节点发送的包括自身安全信息的响应消息；

对所述响应消息进行转换；

将格式转换后的所述响应消息发送给所述客户端。

在第一方面的第一种可能的实现方式中，还包括：

在接收到所述请求消息后，对所述客户端的身份权限进行验证，如果通过验证， 则执行所述将请求消息转换为所述云节点能识别的请求消息的步骤。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中， 所述接收客户端发送的获取云中安全信息的请求消息，包括：

接收客户端直接发送的获取云中安全信息的请求消息，或者接收客户端通过云可 信协议代理设备发送的获取云中安全信息的请求消息。

结合第一方面或第一方面的第一种或第二种可能的实现方式，在第三种可能的实 现方式中，还包括：

接收客户端发送的获取云中安全信息的当前版本配置文件的请求消息；

将所述获取云中安全信息的当前版本配置文件的请求消息发送给所述云节点；

接收所述云节点发送的包括所述当前版本配置文件的响应消息。

结合第一方面或第一方面的第一种或第二种或第三种可能的实现方式，在第四种 可能的实现方式中，还包括：

接收客户端发送的获取云中安全信息的当前版本配置文件与指定版本配置文件的 差异的请求消息；

将所述获取云中安全信息的当前版本配置文件与指定版本配置文件的差异的请求 消息发送给所述云节点；

接收所述云节点发送的包括所述当前版本配置文件与所述指定版本配置文件的差 异的响应消息。

结合第一方面或第一方面的第一种或第二种或第三种或第四种可能的实现方式， 在第五种可能的实现方式中，还包括：

接收客户端发送的删除所述云中安全信息的指定版本配置文件的请求消息；

将所述删除所述云中安全信息的指定版本配置文件的请求消息发送给所述云节 点；

接收所述云节点发送的已删除所述指定版本配置文件的响应消息。

结合第一方面或第一方面的第一种或第二种或第三种或第四种或第五种可能的实 现方式，在第六种可能的实现方式中，还包括：

接收客户端发送的用户订阅所述云中安全信息的指定版本配置文件发生变化的请 求消息；

将所述用户订阅所述云中安全信息的指定版本配置文件发生变化的请求消息发送 给所述云节点；

接收所述云节点发送的订阅成功的响应消息的响应消息。

结合第一方面或第一方面的第一种或第二种或第三种或第四种或第五种或第六种 可能的实现方式，在第七种可能的实现方式中，还包括：

接收所述所云节点发送的发生变化的当前配置文件与所述指定版本配置文件的差 异；

将所述差异发送给所述客户端。

结合第一方面或第一方面的第一种或第二种或第三种或第四种或第五种或第六种 或第七种可能的实现方式，在第八种可能的实现方式中，还包括：

接收客户端发送的解除用户订阅所述云中安全信息的指定版本配置文件发生变化 的请求消息；其中，所述请求消息中包括：指定版本配置文件和发起订阅的所述用户 信息；

将所述解除用户订阅所述云中安全信息的指定版本配置文件发生变化的请求消息 发送给所述云节点；

接收所述云节点发送的已解除订阅的响应消息。

第二方面提供了一种获取云中安全信息的方法，所述方法包括：

接收客户端发送的获取云中安全信息的请求消息；

根据所述请求消息确定所述安全信息所在的云服务节点；

将所述请求消息发送给所述云服务节点，以便于所述云服务节点获取云节点的安 全信息；

接收所述云服务节点发送的获取包括云节点安全信息的响应消息；

将所述响应消息发送给所述客户端。

第三方面提供了一种云中安全信息上报的方法，所述方法包括：

接收云服务节点发送的获取云节点的安全信息的请求消息；

获取所述云节点的安全信息；

将所述云节点的安全信息发送给所述云服务节点，以便于所述云服务节点将所述 安全信息发送给客户端。

在第三方面的第一种可能的实现方式中，还包括：

接收云服务节点发送的获取所述云节点的安全信息的当前版本配置文件的请求消 息；

获取所述云节点的安全信息的当前版本配置文件，并存储所述当前版本配置文件；

向所述云服务节点发送包括所述当前版本配置文件的响应消息。

结合第三方面或第三方面的第一种可能的实现方式，在第二种可能的实现方式中， 还包括：

点接收云服务节点发送的获取所述云节点的安全信息的当前版本配置文件与指定 版本配置文件的差异的请求消息；

获取所述云节点的安全信息的当前版本配置文件，以及所述指定版本配置文件；

判断所述当前版本配置文件与所述指定版本配置文件的差异；

向所述云服务节点发送包括所述差异的响应消息。

结合第三方面或第三方面的第一种或第二种可能的实现方式，在第三种可能的实 现方式中，还包括：

接收云服务节点发送的删除所述云节点的安全信息的指定版本配置文件的请求消 息；

删除所述指定版本配置文件；

向所述云服务节点发送已删除所述指定版本配置文件的响应消息。

结合第三方面或第三方面的第一种或第二种或第三种可能的实现方式，在第四种 可能的实现方式中，还包括：

接收云服务节点发送的用户订阅所述云节点的安全信息的指定版本配置文件发生 变化的请求消息；

存储所述指定版本配置文件和发起订阅的所述用户信息；

启动对所述指定版本配置文件的监测；

向所述云服务节点发送的订阅成功的响应消息。

结合第三方面或第三方面的第一种或第二种或第三种或第四种可能的实现方式， 在第五种可能的实现方式中，还包括：

当监测所述云节点的安全信息的指定版本配置文件发生改变时，确定发生变化的 当前配置文件与所述指定版本配置文件的差异；

向所述云服务节点发送的所述差异。

结合第三方面或第三方面的第一种或第二种或第三种或第四种或第五种可能的实 现方式，在第六种可能的实现方式中，还包括：

接收云服务节点发送的解除用户订阅所述云节点安全信息的指定版本配置文件发 生变化的请求消息；其中，所述请求消息中包括：指定版本配置文件和发起订阅的所 述用户信息；

解除所述指定版本配置文件和发起订阅的所述用户信息，并解除对所述指定版本 配置信息的监测；

向所述云服务节点发送的已解除订阅的响应消息。

第四方面提供了一种获取云中安全信息的装置，包括：

第一接收单元，用于接收客户端发送的获取云中安全信息的请求消息；

第一转换单元，用于将所述请求消息转换为云节点能识别的请求消息；

第一发送单元，用于将转换后的所述请求消息发送给云节点；

第二接收单元，用于接收所述云节点发送的包括自身安全信息的响应消息；

第二转换单元，用于对所述响应消息进行格式转换；

第二发送单元，用于将转换后的响应消息发送给所述客户端。

在第四方面的第一种可能的实现方式中，还包括：

验证单元，用于第一接收单元接收到所述请求消息后，对所述客户端的身份权限 进行验证，并将通过验证的判断结果发送给所述第一转换单元；

所述第一转换单元，还用于在接收到所述通过验证的判断结果后，将请求消息转 换为所述云节点能识别的请求消息。

结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中， 所述第一接收单元，具体用于接收客户端直接发送的获取云中安全信息的请求消息， 或者接收客户端通过云可信协议代理设备发送的获取云中安全信息的请求消息。

结合第四方面或第四方面的第一种或第二种可能的实现方式，在第三种可能的实 现方式中，还包括：

第三接收单元，用于接收客户端发送的获取云中安全信息的当前版本配置文件的 请求消息；

第三发送单元，用于将所述获取云中安全信息的当前版本配置文件的请求消息发 送给所述云节点；

第四接收单元，用于接收所述云节点发送的包括所述当前版本配置文件的响应消 息。

结合第四方面或第四方面的第一种或第二种或第三种可能的实现方式，在第四种 可能的实现方式中，还包括：

第五接收单元，用于接收客户端发送的获取云中安全信息的当前版本配置文件与 指定版本配置文件的差异的请求消息；

第四发送单元，用于将所述获取云中安全信息的当前版本配置文件与指定版本配 置文件的差异的请求消息发送给所述云节点；

第六接收单元，用于接收所述云节点发送的包括所述当前版本配置文件与所述指 定版本配置文件的差异的响应消息。

结合第四方面或第四方面的第一种或第二种或第三种或第四种可能的实现方式， 在第五种可能的实现方式中，还包括：

第七接收单元，用于接收所述客户端发送的删除所述云中安全信息的指定版本配 置文件的请求消息；

第五发送单元，用于将所述删除所述云中安全信息的指定版本配置文件的请求消 息发送给所述云节点；

第八接收单元，用于接收所述云节点发送的已删除所述指定版本配置文件的响应 消息。

结合第四方面或第四方面的第一种或第二种或第三种或第四种或第五种可能的实 现方式，在第六种可能的实现方式中，还包括：

第九接收单元，用于接收客户端发送的用户订阅所述云中安全信息的指定版本配 置文件发生变化的请求消息；

第六发送单元，用于将所述用户订阅所述云中安全信息的指定版本配置文件发生 变化的请求消息发送给所述云节点；

第十接收单元，用于接收所述云节点发送的订阅成功的响应消息的响应消息。

结合第四方面或第四方面的第一种或第二种或第三种或第四种或第五种或第六种 可能的实现方式，在第七种可能的实现方式中，还包括：

第十一接收单元，用于接收所述所云节点发送的发生变化的当前配置文件与所述 指定版本配置文件的差异；

第七发送单元，用于将所述差异发送给所述客户端。

结合第四方面或第四方面的第一种或第二种或第三种或第四种或第五种或第六种 或第七种可能的实现方式，在第八种可能的实现方式中，还包括：

第十二接收单元，用于接收客户端发送的解除用户订阅所述云中安全信息的指定 版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版本配置文件 和发起订阅的所述用户信息；

第八发送单元，用于将所述解除用户订阅所述云中安全信息的指定版本配置文件 发生变化的请求消息发送给所述云节点；

第十三接收单元，用于接收所述云节点发送的已解除订阅的响应消息。

第五方面提供了一种获取云中安全信息的装置，包括：

第一接收单元，用于接收客户端发送的获取云中安全信息的请求消息；

确定单元，用于根据所述请求消息确定所述安全信息所在的云服务节点；

第一发送单元，用于将所述请求消息发送给所述云服务节点，以便于所述云服务 节点获取云节点的安全信息；

第二接收单元，用于接收所述云服务节点发送的获取包括云节点安全信息的响应 消息；

第二发送单元，用于将所述响应消息发送给所述客户端。

第六方面提供了一种云中安全信息上报的装置，包括：

第一接收单元，用于接收云服务节点发送的获取云节点的安全信息的请求消息；

第一获取单元，用于获取所述云节点的安全信息；

第一发送单元，用于将所述云节点的安全信息发送给所述云服务节点，以便于所 述云服务节点将所述安全信息发送给客户端。

在第六方面的第一种可能的实现方式中，还包括：

第二接收单元，用于接收云服务节点发送的获取所述云节点的安全信息的当前版 本配置文件的请求消息；

第一获取单元，用于获取所述云节点的安全信息的当前版本配置文件，并存储所 述当前版本配置文件；

第二发送单元，用于向所述云服务节点发送包括所述当前版本配置文件的响应消 息。

结合第六方面或第六方面的第一种可能的实现方式，在第二种可能的实现方式中， 还包括：

第三接收单元，用于接收云服务节点发送的获取所述云节点的安全信息的当前版 本配置文件与指定版本配置文件的差异的请求消息；

第二获取单元，用于获取所述云节点的安全信息的当前版本配置文件，以及所述 指定版本配置文件；

判断单元，用于判断所述当前版本配置文件与所述指定版本配置文件的差异；

第三发送单元，用于向所述云服务节点发送包括所述差异的响应消息。

结合第六方面或第六方面的第一种或第二种可能的实现方式，在第三种可能的实 现方式中，还包括：

第五接收单元，用于接收云服务节点发送的删除所述云节点的安全信息的指定版 本配置文件的请求消息；

删除单元，用于删除所述指定版本配置文件；

第四发送单元，用于向所述云服务节点发送已删除所述指定版本配置文件的响应 消息。

结合第六方面或第六方面的第一种或第二种或第三种可能的实现方式，在第四种 可能的实现方式中，还包括：

第六接收单元，用于接收云服务节点发送的用户订阅所述云节点的安全信息的指 定版本配置文件发生变化的请求消息；

存储单元，用于存储所述指定版本配置文件和发起订阅的所述用户信息；

监测单元，用于启动对所述指定版本配置文件的监测；

第五发送单元，用于向所述云服务节点发送的订阅成功的响应消息。

结合第六方面或第六方面的第一种或第二种或第三种或第四种可能的实现方式， 在第五种可能的实现方式中，还包括：

确定单元，用于在所述监测单元监测所述云节点的安全信息的指定版本配置文件 发生改变时，确定发生变化的当前配置文件与所述指定版本配置文件的差异；

第六发送单元，用于向所述云服务节点发送的所述差异。

结合第六方面或第六方面的第一种或第二种或第三种或第四种或第五种可能的实 现方式，在第六种可能的实现方式中，还包括：

第七接收单元，用于接收云服务节点发送的解除用户订阅所述云节点的安全信息 的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版本配 置文件和发起订阅的所述用户信息；

解除单元，用于解除所述指定版本配置文件和发起订阅的所述用户信息，并解除 对所述指定版本配置信息的监测；

第七发送单元，用于向所述云服务节点发送的已解除订阅的响应消息。

由上述技术方案可知，本发明实施例中，在接收到用户访问云中安全信息的请求 后，获取云中对应云节点的安全信息，然后将该安全信息发送给用户。解决了现有技 术中由于云中安全信息对应用户不透明，导致用户对云中安全信任程度降低的技术问 题。也就是说，用户通过请求方式可以获取云中安全信息，即安全信息对用户透明， 从而提高了用户对云端安全的信任度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要 使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得 其他的附图。

图1为本发明实施例提供的一种获取云中安全信息的方法的流程图；

图2为本发明实施例提供的一种获取云中安全信息的方法的另一流程图；

图3为本发明实施例提供的一种云中安全信息上报的方法的流程图；

图4为本发明实施例提供的一种获取云中安全信息的装置的结构示意图；

图5为本发明实施例提供的获取云中安全信息的装置的另一结构示意图；

图6为本发明实施例提供的一种云中安全信息上报的装置的结构示意图；

图7为本发明实施例提供的一种云服务节点的结构示意图；

图8为本发明实施例提供的一种云可信协议代理设备的结构示意图；

图9为本发明实施例提供的一种云节点的结构示意图；

图10为本发明实施例提供的第一应用实例的结构示意图；

图11为本发明实施例提供的第一应用实例的流程图；

图12为本发明实施例提供的第二应用实例的结构示意图；

图13为本发明提供的第三应用实例的结构示意图；

图14为本发明提供的第四应用实例的结构示意图；

图15为本发明提供的第五应用实例的结构示意图；

图16为本发明提供的第六应用实例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的 描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本 发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实 施例，都属于本发明保护的范围。

本发明实施例提供一种获取云中安全信息的方法及其装置，以支持云用户能够从云 端（即云节点）获取用户关心的安全信息，其实施方案包括：在云端部署云服务节点（比 如CTP Agent节点），收集云服务的安全信息，可以通过相关云节点上部署安全信息上报模 块，来收集云节点上的安全信息。本发明提供直接获取云节点上的安全信息和通过代理获 取云节点上的安全信息。其具体的实现方案如下所示：

本发明实施例还提供一种云中安全信息上报的方法及其装置，该实施例中，在云 节点上部署配置管理单元来比较云中安全信息的当前版本配置文件和指定版本配置文件 的历史配置；以便于在接收到用户获取云中安全信息的请求时，将云中安全信息（还可以 是，当前云中安全信息的配置文件、以及当前配置版本与指定配置版本之间的差异等）通 知给用户。其具体的实现方案如下所示：

请参阅图1，图1为本发明实施例提供的一种获取云中安全信息的流程方法的流程图， 在该实施例，预先在云端部署云服务节点，用来接收用户请求，收集云中安全信息。请求 消息可以是CTP请求消息，所述方法包括：

步骤101：接收客户端发送的获取云中安全信息的请求消息；

其中，所述接收的方式有两种：

一种是直接接收方式，即云服务节点接收客户端直接发送的获取云中安全信息的请求 消息；其中，如果云服务节点与客户端之间使用CTP协议，云服务节点为，云可信协议代 理（CTP Agent，Cloud Trust Protocol-Agent）节点等，该客户端为CTP客户端，该请 求消息为CTP请求消息。

另一种是间接方式，即云服务节点接收客户端通过云可信协议（CTP）代理设备发送 的获取云中安全信息的请求消息。

这种方式中，云服务节点、云可信协议代理设备与客户端之间均使用CTP协议。

该实施例中，所述安全信息包括但不限于下述信息：用户配置信息；系统任务状 态；用户数据访问记录；系统审计日志；用户权限信息；系统漏洞扫描信息；告警信 息；系统补丁和升级信息；系统迁移记录；指标统计信息。

步骤102：将所述请求消息转换为云节点能识别的请求消息；

该步骤中，云服务节点先对接收到的请求消息进行解析，确定用户需要访问的安 全信息，然后将解析后的请求消息转换为云端的对应云节点能识别的消息格式。其中， 云端可以包括一个或多个云节点。

步骤103：将转换后的所述请求消息发送给云节点；

其中，云服务节点将转换后的所述请求消息发送给云端的云节点，以获取云节点的安 全信息。

步骤104：接收所述云节点发送的包括自身安全信息的响应消息；

其中，所述响应消息可以是CTP响应消息，其响应消息中包括的安全信息的内容可以 是上述安全信息的一种或多种。

云服务节点将接收到的各个云节点发送的安全信息组合在一起，通过CTP响应消 息发送给客户端。

步骤105：对所述响应消息进行格式转换；

云服务节点将该响应消息转换为客户端能识别的消息格式。

步骤106：将转换后的响应消息发送给所述客户端。

云服务节点通过CTP协议将该响应消息发送给所述客户端。

本发明实施例中，在接收到用户访问云中安全信息的请求后，获取云中对应云节 点的安全信息，然后将该安全信息发送给用户。解决了现有技术中由于云中安全信息 对应用户不透明，导致用户对云中安全信任程度降低的技术问题。也就是说，用户通 过请求方式可以获取云中安全信息，即安全信息对用户透明，从而提高了用户对云端 安全的信任度。

在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包括：在接 收到所述请求消息后，对所述客户端的身份权限进行验证，如果通过验证，则执行步 骤102，即将所述请求消息转换为所述云节点能识别的请求消息的步骤。

该实施例中，云服务节点在接收用户发送的获取云中安全信息的请求消息后，先 验证客户端的用户身份和访问权限，如果通过验证，则将该请求消息转换为所述云节 点能识别的请求消息。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：接收客户端发送的获取云中安全信息的当前版本配置文件的请求消息；将所述获 取云中安全信息的当前版本配置文件的请求消息发送给所述云节点；接收所述云节点 发送的包括所述当前版本配置文件的响应消息。

该实施例中，如果用户想知道云中安全信息的当前版本配置文件，则可以向云服 务节点发送获取云中安全信息的当前版本配置文件的请求消息，云服务节点在获取所 述安全信息的当前版本配置文件后，将该安全信息的当前版本配置文件反馈给用户。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：收客户端发送的获取云中安全信息的当前版本配置文件与指定版本配置文件的差 异的请求消息；将所述获取云中安全信息的当前版本配置文件与指定版本配置文件的 差异的请求消息发送给所述云节点；接收所述云节点发送的包括所述当前版本配置文 件与所述指定版本配置文件的差异的响应消息。

该实施例中，如果用户想知道云中安全信息的当前版本配置文件与指定版本配置 文件的差异，则可以向云服务节点发送获取该安全信息的当前版本配置文件与指定版 本配置文件的差异的请求，云服务节点在获取所述差异后，将该差异反馈给用户。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：接收客户端发送的删除所述云中安全信息的指定版本配置文件的请求消息；将所 述删除所述云中安全信息的指定版本配置文件的请求消息发送给所述云节点；接收所 述云节点发送的已删除所述指定版本配置文件的响应消息。

该实施例中，如果用户想删除云中安全信息的当前版本配置文件，则可以向云服 务节点发送删除云中安全信息的当前版本配置文件的请求，云服务节点通知对应的云 节点删除云中安全信息的当前版本配置文件后，将接收到该云节点发送的已删除所述 指定版本配置文件响应反馈给用户。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：接收客户端发送的用户订阅所述云中安全信息的指定版本配置文件发生变化的请 求消息；将所述用户订阅所述云中安全信息的指定版本配置文件发生变化的请求消息 发送给所述云节点；接收所述云节点发送的订阅成功的响应消息的响应消息。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：接收所述所云节点发送的发生变化的当前配置文件与所述指定版本配置文件的差 异；将所述差异发送给所述客户端。

该实施例中，所述方法还可以包括：接收客户端发送的解除用户订阅所述云中安 全信息的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定 版本配置文件和发起订阅的所述用户信息；将所述解除用户订阅所述云中安全信息的 指定版本配置文件发生变化的请求消息发送给所述云节点；接收所述云节点发送的已 解除订阅的响应消息。

还请参阅图2，图2为本发明实施例提供的一种获取云中安全信息的方法的流程 图，所述方法包括：

步骤201：接收客户端发送的获取云中安全信息的请求消息；

该实施例中，客户端、云可信协议代理设备和云服务节点之间均使用CTP协议， 其中，所述客户端可以为CTP客户端，云服务节点为CTP Agent节点，请求消息为CTP 请求消息。

所述云可信协议代理设备接收到的所述安全信息包括的内容详见上述，在此不再 赘述。

步骤202：根据所述请求消息确定云中安全信息所在的云服务节点；

云可信协议代理设备在接收到该请求消息后，先识别出所述安全信息所在的云服 务节点。

步骤203：将所述请求消息发送给所述云服务节点，以便于所述云服务节点获取 云节点的安全信息；

云服务节点在接收到云可信协议代理设备发送的所述请求消息后，向云节点发送 获取该云节点自身的安全信息的请求消息，然后，将接收到云节点反馈的安全信息发 送给所述云可信协议代理设备。

步骤204：接收所述云服务节点发送的获取包括云节点安全信息的响应消息；

步骤205：将所述响应消息发送给所述客户端。

在该实施例中，云可信协议代理设备在接收到客户端发送的获取云中安全信息的 请求消息时，先确定所述安全信息所在的云服务节点，然后通过所述云服务节点获取 云节点的安全信息。解决了现有技术中由于云中安全信息对用户不透明，导致用户对 云中安全信任程度降低的技术问题。本发明实施例中，用户通过云可信协议代理设备 可以获取云中安全信息，从而提高了用户对云端安全的信任度。

还请参阅图3，图3为本发明实施例提供的一种云中安全信息上报的方法的流程 图，所述方法包括：

步骤301：接收云服务节点发送的获取云节点的安全信息的请求消息；

步骤302：获取所述云节点的安全信息；

步骤303：将所述云节点的安全信息发送给所述云服务节点。

在该实施例中，接收到该请求消息的云节点，都会将自身的安全信息发送给云服 务节点，所述云服务节点在接收到各个云节点发送自身的安全信息后，将各个云节点 的安全信息组合在一起，并通过响应消息发送给客户端，以便于客户端获知该安全信 息，从而增加用户对云端安全的信任度。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：所述云节点接收云服务节点发送的获取所述云节点的安全信息的当前版本配置文 件的请求消息；所述云节点获取所述云节点的安全信息的当前版本配置文件，并存储 所述当前版本配置文件；所述云节点向所述云服务节点发送包括所述当前版本配置文 件的响应消息。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：所述云节点接收云服务节点发送的获取所述云节点的安全信息的当前版本配置文 件与指定版本配置文件的差异的请求消息；所述云节点获取所述云节点的安全信息的 当前版本配置文件，以及所述指定版本配置文件；所述云节点判断所述当前版本配置 文件与所述指定版本配置文件的差异；所述云节点向所述云服务节点发送包括所述差 异的响应消息。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：所述云节点接收云服务节点发送的删除所述云节点的安全信息的指定版本配置文 件的请求消息；所述云节点删除所述指定版本配置文件；所述云节点向所述云服务节 点发送已删除所述指定版本配置文件的响应消息。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：所述云节点接收云服务节点发送的用户订阅所述云节点的安全信息的指定版本配 置文件发生变化的请求消息；所述云节点存储所述指定版本配置文件和发起订阅的所 述用户信息；所述云节点启动对所述指定版本配置文件的监测；所述云节点向所述云 服务节点发送的订阅成功的响应消息。

其中，该实施例中，所述方法还可以包括：当所述云节点监测所述云节点的安全 信息的指定版本配置文件发生改变时，确定发生变化的当前配置文件与所述指定版本 配置文件的差异；所述云节点向所述云服务节点发送的所述差异。

可选的，在另一实施例中，该实施例在上述实施例的基础上，所述方法还可以包 括：所述云节点接收云服务节点发送的解除用户订阅所述云节点的安全信息的指定版 本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版本配置文件和 发起订阅的所述用户信息；所述云节点解除所述指定版本配置文件和发起订阅的所述 用户信息，并解除对所述指定版本配置信息的监测；所述云节点向所述云服务节点发 送的已解除订阅的响应消息。

基于上述方法的实现过程，本发明实施例提供一种获取云中安全信息的装置，其 结构示意图如图4所示，所述装置包括：第一接收单元41，第一转换单元42，第一发 送单元43，第二接收单元44，第二转换单元45和第二发送单元46，其中，

所述第一接收单元41，用于接收客户端发送的获取云中安全信息的请求消息；其 获取的方式有两种，直接和间接获取，具体用于接收客户端直接发送的获取云中安全 信息的请求消息，或者接收客户端通过云可信协议代理设备发送的获取云中安全信息 的请求消息；所述第一转换单元42，用于将所述请求消息转换为云节点能识别的请求 消息；所述第一发送单元43，用于将转换后的所述请求消息发送给云节点；所述第二 接收单元44，用于接收所述云节点发送的包括自身安全信息的响应消息；所述第二转 换单元45，用于对所述响应消息进行格式转换；所述第二发送单元46，用于将转换后 的响应消息发送给所述客户端。

可选的，所述装置还可以包括：验证单元，其中，所述验证单元，用于第一接收 单元接收到所述请求消息后，对所述客户端的身份权限进行验证，并将通过验证的判 断结果发送给所述第一转换单元；所述第一转换单元，还用于在接收到所述通过验证 的判断结果后，将请求消息转换为所述云节点能识别的请求消息。

可选的，所述装置还可以包括：第三接收单元，第三发送单元和第四接收单元， 其中，所述第三接收单元，用于接收客户端发送的获取云中安全信息的当前版本配置 文件的请求消息；所述第三发送单元，用于将所述获取云中安全信息的当前版本配置 文件的请求消息发送给所述云节点；所述第四接收单元，用于接收所述云节点发送的 包括所述当前版本配置文件的响应消息。

可选的，所述装置还可以包括：第五接收单元，第四发送单元和第六接收单元， 其中，所述第五接收单元，用于接收客户端发送的获取云中安全信息的当前版本配置 文件与指定版本配置文件的差异的请求消息；所述第四发送单元，用于将所述获取云 中安全信息的当前版本配置文件与指定版本配置文件的差异的请求消息发送给所述云 节点；所述第六接收单元，用于接收所述云节点发送的包括所述当前版本配置文件与 所述指定版本配置文件的差异的响应消息。

可选的，所述装置还可以包括：第七接收单元，第五发送单元和第八接收单元， 其中，所述第七接收单元，用于接收所述客户端发送的删除所述云中安全信息的指定 版本配置文件的请求消息；所述第五发送单元，用于将所述删除所述云中安全信息的 指定版本配置文件的请求消息发送给所述云节点；所述第八接收单元，用于接收所述 云节点发送的已删除所述指定版本配置文件的响应消息。

可选的，所述装置还可以包括：第九接收单元，第六发送单元和第十接收单元， 其中，所述第九接收单元，用于接收客户端发送的用户订阅所述云中安全信息的指定 版本配置文件发生变化的请求消息；所述第六发送单元，用于将所述用户订阅所述云 中安全信息的指定版本配置文件发生变化的请求消息发送给所述云节点；所述第十接 收单元，用于接收所述云节点发送的订阅成功的响应消息的响应消息。

可选的，所述装置还可以包括：第十一接收单元和第七发送单元，其中，所述第 十一接收单元，用于接收所述所云节点发送的发生变化的当前配置文件与所述指定版 本配置文件的差异；所述第七发送单元，用于将所述差异发送给所述客户端。

可选的，所述装置还可以包括：第十二接收单元、第八发送单元和第十三接收单 元，，其中，所述第十二接收单元，用于接收客户端发送的解除用户订阅所述云中安全 信息的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版 本配置文件和发起订阅的所述用户信息；所述第八发送单元，用于将所述解除用户订 阅所述云中安全信息的指定版本配置文件发生变化的请求消息发送给所述云节点；所 述第十三接收单元，用于接收所述云节点发送的已解除订阅的响应消息。

可选的，所述装置可以集成在云服务节点中，也可以独立部署在云端。

所述装置中各个单元的功能和作用的实现过程详见上述方法中对应步骤的实现过 程，在此不再赘述。

相应的，本发明实施例还提供一种获取云中安全信息的装置，其结构示意图如图 5所示，所述装置包括：第一接收单元51，确定单元52，第一发送单元53，第二接收 单元54和第二发送单元55，其中，所述第一接收单元51，用于接收客户端发送的获 取云中安全信息的请求消息；所述确定单元52，用于根据所述请求消息确定云中安全 信息所在的云服务节点；所述第一发送单元53，用于将所述请求消息发送给所述云服 务节点，以便于所述云服务节点获取云节点的安全信息；所述第二接收单元54，用于 接收所述云服务节点发送的获取包括云节点安全信息的响应消息；所述第二发送单元 55，用于将所述响应消息发送给所述客户端。

可选的，所述装置可以集成在云可信协议代理设备中，也可以独立部署在网络中。

所述装置中各个单元的功能和作用的实现过程详见上述方法中对应步骤的实现过 程，在此不再赘述。

本发明实施例还提提供一种云中安全信息上报的装置，其结构示意图如图6所示， 所述装置包括：第一接收单元61，第一获取单元62和第一发送单元63，其中，所述 第一接收单元61，用于接收云服务节点发送的获取云中安全信息的请求消息；所述第 一获取单元62，用于所述云节点获取自身的安全信息；所述第一发送单元63，用于将 所述自身的安全信息发送给所述云服务节点，以便于所述云服务节点将所述安全信息 发送给客户端。

可选的，所述装置还可以包括：第二接收单元，第二获取单元和第二发送单元， 其中，所述第二接收单元，用于接收云服务节点发送的获取所述云中安全信息的当前 版本配置文件的请求消息；所述第二获取单元，用于获取所述云中安全信息的当前版 本配置文件，并存储所述当前版本配置文件；所述第二发送单元，用于向所述云服务 节点发送包括所述当前版本配置文件的响应消息。

可选的，所述装置还可以包括：第三接收单元，第三获取单元，判断单元和第三 发送单元，其中，所述第三接收单元，用于接收云服务节点发送的获取所述云中安全 信息的当前版本配置文件与指定版本配置文件的差异的请求消息；所述第三获取单元， 用于获取所述云中安全信息的当前版本配置文件，以及所述指定版本配置文件；所述 判断单元，用于判断所述当前版本配置文件与所述指定版本配置文件的差异；所述第 三发送单元，用于向所述云服务节点发送包括所述差异的响应消息。

可选的，所述装置还可以包括：第五接收单元，删除单元和第四发送单元，其中， 所述第五接收单元，用于接收云服务节点发送的删除所述云中安全信息的指定版本配 置文件的请求消息；所述删除单元，用于删除所述指定版本配置文件；所述第四发送 单元，用于向所述云服务节点发送已删除所述指定版本配置文件的响应消息。

可选的，所述装置还可以包括：第六接收单元，存储单元，监测单元和第五发送 单元，其中，所述第六接收单元，用于接收云服务节点发送的用户订阅所述云中安全 信息的指定版本配置文件发生变化的请求消息；所述存储单元，用于存储所述指定版 本配置文件和发起订阅的所述用户信息；所述监测单元，用于启动对所述指定版本配 置文件的监测；所述第五发送单元，用于向所述云服务节点发送的订阅成功的响应消 息。

在上述实施例中，所述第二获取单元、第三获取单元、判断单元、删除单元和/ 或存储单元可以集成部署在云节点的配置管理单元中。

可选的，所述装置还可以包括：确定单元和第六发送单元，其中，所述确定单元， 用于在所述监测单元监测所述云中安全信息的指定版本配置文件发生改变时，确定发 生变化的当前配置文件与所述指定版本配置文件的差异；所述第六发送单元，用于向 所述云服务节点发送的所述差异。

其中，该实施例中，所述装置还可以包括：第七接收单元，解除单元和第七发送 单元，其中，所述第七接收单元，用于接收云服务节点发送的解除用户订阅所述云中 安全信息的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指 定版本配置文件和发起订阅的所述用户信息；所述解除单元，用于所述云节点解除所 述指定版本配置文件和发起订阅的所述用户信息，并解除对所述指定版本配置信息的 监测；所述第七发送单元，用于向所述云服务节点发送的已解除订阅的响应消息。

可选的，所述装置可以集成在云端的云节点中，也可以独立部署在云端。

所述装置中各个单元的功能和作用的实现过程详见上述方法中对应步骤的实现过 程，在此不再赘述。

相应的，本发明实施例还提供的一种云服务节点，其结构示意图如图7所示，所 述云服务节点7还包括：收发器71和处理器72，其中

所述收发器71，用于接收客户端发送的获取云中安全信息的请求消息；

所述处理器72，用于将所述请求消息转换为云节点能识别的请求消息；

所述收发器71，还用于将转换后的所述请求消息发送给云端的所有云节点；以及 接收所有云节点发送的包括自身安全信息的响应消息；

所述处理器72，还用于对所述响应消息进行转换；

所述收发器71，还用于将格式转换后的所述响应消息发送给所述客户端。

可选的，所述处理器，还用于在收发器接收到所述请求消息后，对所述客户端的 身份权限进行验证，如果通过验证，则所述将请求消息转换为所述云节点能识别的请 求消息。

可选的，所述收发器，具体用于接收客户端直接发送的获取云中安全信息的请求 消息，或者接收客户端通过云可信协议代理设备发送的获取云中安全信息的请求消息。

可选的，所述收发器，还用于接收客户端发送的获取云中安全信息的当前版本配 置文件的请求消息；以及将所述获取云中安全信息的当前版本配置文件的请求消息发 送给所述云节点；以及接收所述云节点发送的包括所述当前版本配置文件的响应消息。

可选的，所述收发器，还用于接收客户端发送的获取云中安全信息的当前版本配 置文件与指定版本配置文件的差异的请求消息；将所述获取云中安全信息的当前版本 配置文件与指定版本配置文件的差异的请求消息发送给所述云节点；接收所述云节点 发送的包括所述当前版本配置文件与所述指定版本配置文件的差异的响应消息。

可选的，所述收发器，还用于接收客户端发送的删除所述云中安全信息的指定版 本配置文件的请求消息；将所述删除所述云中安全信息的指定版本配置文件的请求消 息发送给所述云节点；接收所述云节点发送的已删除所述指定版本配置文件的响应消 息。

可选的，所述收发器，还用于接收客户端发送的用户订阅所述云中安全信息的指 定版本配置文件发生变化的请求消息；将所述用户订阅所述云中安全信息的指定版本 配置文件发生变化的请求消息发送给所述云节点；接收所述云节点发送的订阅成功的 响应消息的响应消息。

可选的，所述收发器，还用于接收所述所云节点发送的发生变化的当前配置文件 与所述指定版本配置文件的差异；将所述差异发送给所述客户端。

可选的，所述收发器，还用于接收客户端发送的解除用户订阅所述云中安全信息 的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版本配 置文件和发起订阅的所述用户信息；将所述解除用户订阅所述云中安全信息的指定版 本配置文件发生变化的请求消息发送给所述云节点；接收所述云节点发送的已解除订 阅的响应消息。

本发明实施例还提供一种云可信协议代理设备，其结构示意图如图8所示，所述 云可信协议代理设备8包括：收发器81和处理器82，其中，所述收发器81，用于接 收客户端发送的获取云中安全信息的请求消息；

所述处理器82，用于根据所述请求消息确定所述安全信息所在的云服务节点；

所述收发器81，还用于将所述请求消息发送给所述云服务节点，以便于所述云服 务节点获取云节点的安全信息；接收所述云服务节点发送的获取包括云节点安全信息 的响应消息；将所述响应消息发送给所述客户端。

相应的，本发明实施例还提供一种云节点，其结构示意图如图9所示，所述云节 点9包括收发器91和处理器92，其中，

所述收发器91，用于接收云服务节点发送的获取云中安全信息的请求消息；

所述处理器92，用于获取自身的安全信息；

所述收发器91，还用于将自身的安全信息发送给所述云服务节点，以便于所述云 服务节点将所述安全信息发送给客户端。

可选的所述收发器，还用于接收云服务节点发送的获取所述云中安全信息的当前 版本配置文件的请求消息；以及获取所述云中安全信息的当前版本配置文件；

所述处理器，还用于存储所述当前版本配置文件；

所述收发器，还用于向所述云服务节点发送包括所述当前版本配置文件的响应消 息。

可选的，所述收发器，还用于接收云服务节点发送的获取所述云中安全信息的当 前版本配置文件与指定版本配置文件的差异的请求消息；以及获取所述云中安全信息 的当前版本配置文件，以及所述指定版本配置文件；

所述处理器，还用于判断所述当前版本配置文件与所述指定版本配置文件的差异；

所述收发器，还用于向所述云服务节点发送包括所述差异的响应消息。

可选的，所述收发器，还用于接收云服务节点发送的删除所述云中安全信息的指 定版本配置文件的请求消息；

所述处理器，还用于删除所述指定版本配置文件；

所述收发器，还用于向所述云服务节点发送已删除所述指定版本配置文件的响应 消息。

可选的，所述收发器，还用于接收云服务节点发送的用户订阅所述云中安全信息 的指定版本配置文件发生变化的请求消息；

所述处理器，还用于存储所述指定版本配置文件和发起订阅的所述用户信息；启 动对所述指定版本配置文件的监测；

所述收发器，还用于向所述云服务节点发送的订阅成功的响应消息。

可选的，所述处理器，还用于在监测到所述云中安全信息的指定版本配置文件发 生改变时，确定发生变化的当前配置文件与所述指定版本配置文件的差异；

所述收发器，还用于向所述云服务节点发送的所述差异。

可选的，所述收发器，还用于接收云服务节点发送的解除用户订阅所述云中安全 信息的指定版本配置文件发生变化的请求消息；其中，所述请求消息中包括：指定版 本配置文件和发起订阅的所述用户信息；

所述处理器，还用于解除所述指定版本配置文件和发起订阅的所述用户信息，并 解除对所述指定版本配置信息的监测；

所述收发器，还用于向所述云服务节点发送的已解除订阅的响应消息。

为了便于本领域技术人员的理解，下面以具体的实例来说明。

请参阅图10，为本发明实施例提供的第一应用实例的结构示意图，在该实施例中， 客户端以CTP客户端11，云端12的云服务节点以CTP Agent节点121，云端12的云 节点以包括多个云节点122为例。

如图10所示，该实施例中，在云端12部署了CTP Agent节点121，CTP Agent 节点121用来接收用户通过CTP客户端11发送的用户请求，所述请求用于收集云中的 安全信息，该CTP Agent节点121在获取云端12的云节点122（图1中云节点1至云 节点n）的安全信息后，将所有的安全信息组合在一起，并转换成客户端能识别的格式， 然后通过CTP协议将包括组合后的安全信息通过响应消息返回给CTP客户端11。同时， 云端的各个云节点上均增加了新的功能，即将获取到自身的安全信息上报为CTP Agent 节点，所述安全信息包括但不限于如下信息：用户配置信息，系统任务状态，用户数 据访问记录，系统审计日志，用户权限信息，系统漏洞扫描信息，告警信息，系统补 丁和升级信息，系统迁移记录和/或指标统计信息。

上述图10的具体实现过程还请参阅图11，图11为本发明实施例提供的第一应用 实例的流程图，具体包括：

步骤111：CTP客户端通过CTP协议向CTP Agent节点发送获取云中安全信息的 CTP请求消息；

步骤112：CTP Agent节点在接收到所述CTP请求消息时，验证CTP客户端的用户 身份和访问权限，如果通过验证，对CTP请求消息进行解析，将解析后的请求消息转 换为云节点能识别的CTP请求消息；

步骤113：CTP Agent节点将转换后的所述CTP请求消息根据配置或策略信息发送 给云端所有云节点；本实施例中以云节点1至云节点n为例。

步骤114：所述云节点在接收到所述CTP请求消息后，获取自身的安全信息；

步骤115：所述云节点将获取自身的安全信息通过响应消息发送给CTP Agent节 点；

步骤116：所述CTP Agent节点将接收到所述响应消息转换为客户端能识别的格 式；

步骤117：所述CTP Agent节点通过CTP协议将包括安全信息的响应消息返回给 CTP客户端，以便于CTP客户端获知云端的安全信息。

本发明实施例中，用户通过CTP Agent节点可以获取云中的安全信息，也就是说， 云中安全信息对用户透明，从而提高了用户对云端安全的信任度。

还请参阅图12，图12为本发明实施例提供的第二应用实例的结构示意图，在该 实施例中，与图10所述的应用实施例一相比，CTP Agent节点、CTP客户端的部署方 式不变，处理流程也不变，本应用实施例只是聚焦在云节点内部，而省略了CTP Agent、 CTP客户端的部署方式。在云节点12上包括接收单元121，配置管理单元122和发送 单元123，其中，接收单元121，用于接收CTP Agent节点发送的请求消息；该配置管 理单元121，用于根据所述请求消息获取对应的信息，其至少具有下述功能之一：获取 单元，用于获取当前版本配置文件和指定版本配置文件；存储单元，用于将当前版本 配置文件归档到历史配置存档库；判断单元，用于比较当前版本配置文件和指定版本 配置文件的差异；删除单元，用于删除指定版本的历史存档配置文件。所述发送单元， 用于向CTP Agent节点发送的所述请求消息的响应消息。

下面分别以查询并存档当前配置文件、查询配置版本差异和删除指定版本为例来 说明。

1）查询并存档当前配置文件

在该实施例中，如果云节点的接收单元在接收到CTP Agent节点发送的查询安全 信息的查询请求时，判断出该请求是查询并存档安全信息的当前版本配置文件，则将 请求转发给配置管理单元，所述配置管理单元中的获取单元，获取安全信息的当前版 本配置文件，所述配置管理单元中的存储单元将获取单元获取的当前版本配置文件归 档到历史配置存档库，然后所述配置管理单元将当前版本配置文件发送给发送单元， 所述发送单元，用于将包括所述安全信息的当前版本配置文件的响应消息发送给CTP Agent节点。

2）查询当前版本配置文件和指定版本配置文件的差异

该实施例中，云节点中的接收单元，在接收到CTP Agent节点发送的安全信息的 查询请求，判断出该请求是查询当前版本配置文件和指定版本配置文件的差异，则将 请求转发给配置管理单元；配置管理单元中的获取单元，获取当前版本配置文件，以 及从历史配置存档库中获取指定版本配置文件，配置管理单元中的判断单元比较当前 版本配置文件和指定版本配置文件的差异，并将该差异发送给发送单元，所述发送单 元将包括所述差异的响应消息发送给CTP Agent节点。

3）删除指定版本配置文件

该实施例中，云节点中的接收单元在接收到CTP Agent节点发送的安全信息的查 询请求时，判断出该请求是删除指定版本配置文件，则将请求转发给配置管理单元， 配置管理单元中的删除单元从历史配置存档库中删除指定版本配置文件，并将删除成 功的操作发送给发送单元，该发送单元向CTP Agent节点发送已删除的响应消息。

还请参阅图13，为本发明提供的第三应用实例的结构示意图，该应用实例在图12 的应用实例上增加了触发单元131，负责监控当前配置文件的改变，当配置文件发生改 变时，将自动触发配置管理单元去比较当前版本配置文件和指定历史版本配置文件的 差异。该实施例以支持用户订阅当前配置文件发生改变以后和指定版本配置文件的差 异。该订阅机制包括：订阅操作、通知操作和解除订阅操作，其具体实现过程包括：

1）订阅流程：

云节点中的接收单元，在收到CTP Agent节点发送的安全信息的查询请求，判断 出该请求是订阅配置改变，则将请求转发给配置管理单元，该请求中携带指定配置版 本信息；配置管理单元获知操作是订阅操作，将所订阅的指定配置版本信息发送给触 发单元，所述触发单元保存所订阅的指定配置版本信息以及发起订阅的用户信息，并 启动当前版本配置信息监控；触发单元将订阅成功消息返回给配置管理单元。配置管 理模块将订阅成功消息返回给发送单元。

2、通知流程：

触发单元，在监控到当前版本配置文件发生改变，通知配置管理单元当前版本配 置文件发生了改变，并将发起订阅的用户信息以及所订阅的配置版本信息发送给配置 管理单元，配置管理单元获取当前版本配置文件，并从历史配置存档库中获取指定版 本配置文件，然后，比较当前配置文件和指定版本配置文件的差异，并将比较结果以 及发起订阅的用户信息发送给发送单元，所述发送单元，用于将比较结果以及发起订 阅的用户信息发送给CTP Agent节点。

3）解除订阅：

该实施例中，接收单元在接收到CTP Agent节点发送的安全信息的查询请求，判 断出该请求是解除订阅配置改变，则将请求转发给配置管理单元，携带配置版本信息 和用户信息。配置管理单元获知操作是解除订阅操作，将所订阅的配置版本信息以及 用户信息发送给触发单元。触发单元删除所订阅的配置版本信息以及发起订阅的用户 信息，解除当前版本配置信息监控，触发单元将解除订阅成功消息返回给配置管理单 元，配置管理单元将解除订阅成功消息返回给发送单元，发送单元将解除订阅成功消 息返回CTP Agent节点。

还请参阅图14，为本发明提供的第四应用实例的结构示意图，该实施例在如图10 所述实施例的基础上增加了CTP代理设备14，即CTP客户端11通过CTP代理设备14 获取云安全信息。其中，CTP代理设备14具有识别安全信息所在云服务商（即CTP Agent 节点），及转发CTP请求的功能。具体包括：

CTP客户端将用户的云安全信息查询请求发送给CTP代理设备，CTP代理设备识别 出云安全信息所在的云服务的CTP Agent节点，并将该请求转发给该云服务的CTP Agent 节点；云服务的CTP Agent节点在接收到云安全信息查询消息以后，收集云节点的自身 安全信息，并将收集到的云节点的安全信息返回给CTP代理设备；CTP代理设备将接收 到安全信息通过响应消息返回给CTP客户端。

还请参阅图15，为本发明提供的第五应用实例的结构示意图，该实施例中，通过 CTP代理设备获取多个云节点的安全信息，并分别返回响应消息。在该实施例中，CTP 代理设备识别出CTP请求对应多个云服务，则分解该CTP请求到对应的多个云服务上。 具体包括：

CTP客户端151将云安全信息查询请求发送给CTP代理设备152，CTP代理设备152 识别出云安全信息在多个云服务上，则分解该CTP请求消息，并分发到对应的多个云（比 如云端A和云端B）上部署的CTP Agent节点1531和/或是CTP Agent节点1541。各云 服务的CTP Agent节点1531和/或是CTP Agent节点1541在接收到CTP请求消息后，收 集自身云节点1532和/或是云节点1542的安全信息，返回响应回消息给CTP代理设备 152；CTP代理设备152接收到每个云服务的CTP Agent节点1531和/或是CTP Agent节 点1541发送的响应消息后，将响应消息转发给CTP客户端151。

还请参阅图16，为本发明提供的第六应用实例的结构示意图，该实施例中，通过 CTP代理设备获取多个云的安全信息，并返回合并响应消息，该实施例与实施例五的区 别在于，CTP代理设备收到各云服务CTP Agent节点返回的响应消息后，不再分别返回 给CTP客户端，而是将各响应消息合并后再返回给CTP客户端。具体包括：

CTP客户端151将云安全信息查询请求发送给CTP代理设备152，CTP代理设备152 识别出云安全信息在多个云服务上，则分解该CTP请求消息，并分发到这多个云上部署 的CTP Agent节点(比如1531和/或1541等)；各云服务的CTP Agent节点接收到CTP 请求消息后，收集云节点（1532和/或1542）的安全信息，返回响应回消息给CTP代理 设备152；CTP代理设备152接收到所有相关CTP Agent节点的响应消息后，将所有响应 消息合并为一个CTP响应消息，发送给CTP客户端151。

本发明实施例中，使云用户能够方便地获取云中的安全信息，大大增加了云中安全 信息的透明度，进而增强了用户对云服务的信任。进一步，用户可以了解自身的用户配 置，特别是在该用户配置改变时，能够及时了解，并清楚当前用户配置与之前的户配置 的摸个指定版本存在的差异。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之 间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其 他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者 设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种 过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括 一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还 存在另外的相同要素。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者 是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做 出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介 质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以 是个人计算机，服务器，或者网络设备等）执行本发明各个实施例或者实施例的某些 部分所述的方法。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人 员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润 饰也应视为本发明的保护范围。