网络接入控制应用系统的安全检查方法及安全策略服务器

摘要

本发明公开了一种NAC应用系统的安全检查方法，包括：获取桌面管理DM应用系统支持的安全检查项；指令DM应用系统对接入终端进行至少一项其支持的安全检查项的检测；接收DM应用系统返回的检测结果。本发明在NAC应用系统和DM应用系统间采用安全检查项的通用接口，具有良好的通用性，便于扩展，并且能够节约开发成本。

说明书

技术领域

本发明涉及网络接入控制领域，尤其涉及一种网络接入控制应用系统的安全检查方法及安全策略服务器。

背景技术

随着网络应用的不断普及与深入，网络安全成为各企业极为重视的问题。NAC(Network Access Control，网络接入控制)应用系统为企业提供了一个相对完整的网络安全解决方案，如H3C(华三通信)的EAD(Endpoint Admission Defense，端点准入防御)，Cisco(思科)的CNAC(Cisco Network Admission Control，思科网络准入控制)以及微软尚未发布的MS-NAP(Microsoft Network Access Protection，微软网络访问保护)等应用系统。

如图1所示，通常NAC应用系统包括AAA(AuthenticationAuthorization Accounting，认证、授权与计费)服务器110、安全策略服务器120、接入设备130和分别安装在各个接入终端150上的NAC客户端软件。当接入终端150通过接入设备130接入网络时，NAC应用系统一般对其进行两级控制——身份认证和安全检查。需要说明的是，图1中各个服务器是具有相应功能的逻辑单元，根据具体的网络环境，这些服务器可能由不同数量的物理设备来实现。

NAC应用系统首先由AAA服务器110对使用接入终端150的用户的身份进行认证，在用户通过身份认证前该接入终端150不能访问任何其他的网络资源，甚至没有可用的IP地址；在通过身份认证后，用户可以通过该接入终端150访问一个逻辑的隔离区，在隔离区可以进行病毒库更新、终端软件的补丁更新等，处在隔离区的用户相互之间不能通信。

NAC应用系统的安全检查由安全策略服务器120结合接入终端150上的NAC客户端进行，对隔离区中的接入终端150是否符合安全要求予以检测，在检测结果为符合安全要求时对接入终端150解除隔离限制。安全检查的内容包括多个安全检查项，例如检测接入终端150上是否存在病毒、检测接入终端150上是否开启了某特定监听端口或运行了某特定软件等。

为了更好地实现网络安全，企业根据自身特点往往希望将各种各样的安全检查项列入NAC应用系统的安全检查范围中，这些安全检查项的检测有的是DM(Desktop Management，桌面管理)应用系统已经具有的功能。如图1所示，DM应用系统通常包括DM服务器140和安装在接入终端150上的DM客户端软件，能够对接入终端150的某个或某些安全检查项进行检测。在出现网络接入控制技术之前，传统的桌面管理应用系统，如防病毒系统、补丁管理、软件防火墙等已经有了非常普及的应用。为保护现有投资，企业在引入NAC应用系统增强其网络安全的同时，会要求NAC应用系统与正在使用的DM应用系统能够协同进行安全检查工作。

一个NAC应用系统一般由一家网络解决方案提供商提供，NAC应用系统提供商会提出一个NAC框架，并推动DM应用系统提供商融入到这个NAC框架中来。现有技术中，NAC框架中包括一系列与DM应用系统的接口规范，这些接口规范不仅与DM应用系统的业务功能相关，而且还与每个DM系统对该功能的具体实现相关。

例如，在针对NAC框架与防病毒DM应用系统的接口规范中会有获取接入终端上防病毒客户端的病毒库更新日期的接口，这个接口是与防病毒业务功能相关的。这样，对NAC应用系统而言，防病毒方面的接口规范可以适用于不同厂商开发的防病毒DM应用系统，但不适用于其它类型的DM应用系统。比如要把补丁管理系统融入NAC框架，需要针对补丁管理系统制定一套新的接口规范。也就是说，针对不同类型的DM系统存在不同的接口规范，每当NAC框架支持一类新的DM应用系统时，都要制定一套相应的接口规范，扩展性差。

而对DM应用系统而言，由于NAC框架中的接口规范与DM应用系统的具体实现相关，一个独立的DM应用系统要融入到一个NAC框架中，需要按照其具体实现来进行适配开发，以便在DM应用系统侧实现由NAC框架制定的接口规范，如提供相应的动态链接库。

以DM应用系统提供DLL(Dynamic Linkage Library，动态链接库)为例，通常在NAC应用系统中安装各个DM应用系统的DLL库，为NAC应用系统提供DM应用系统所具有的安全检查功能的调用接口。当NAC应用系统进行某个安全检查项检测时，可以调用具有对应功能的DM应用系统的DLL接口，由DM应用系统中实现该功能的模块就该安全检查项对接入终端进行检测。

由于不同NAC应用系统提供商制定的NAC框架也往往与其具体实现相关，DM应用系统的开发的接口规范也不具有通用性，不得不针对不同NAC应用系统分别开发。

发明内容

本发明要解决的是现有技术中NAC应用系统同DM应用系统协同工作时通用性和扩展性差，需要进行大量开发工作的问题。

本发明提供了一种NAC应用系统的安全检查方法，包括：

获取DM应用系统支持的安全检查项；

指令DM应用系统对接入终端进行至少一项其支持的安全检查项的检测；

接收DM应用系统返回的检测结果。

本发明还提供了一种DM应用系统在网络接入控制中的安全检查方法，包括：

接收NAC应用系统的指令，所述指令中包括要对接入终端进行检测的至少一个安全检查项；

对接入终端进行所述安全检查项的检测；

向NAC应用系统返回检测结果。

本发明公开的一种NAC应用系统的安全策略服务器，包括：

能力信息获取单元，用于获取DM应用系统支持的安全检查项；

检测指示单元，用于根据能力信息获取单元获取的信息指示安全检查项的检测及指示进行所述检测的DM应用系统；

检测结果单元，用于接收所述安全检查项检测的结果。

本发明提供的一种DM应用系统的DM服务器，包括：

指令接收单元，用于接收NAC应用系统的指令，所述指令中包括要对接入终端进行检测的至少一个安全检查项；

指令执行单元，用于指示所述接入终端的DM客户端进行所述安全检查项的检测；

结果上报单元，用于接收DM客户端的检测结果并将其上报至NAC应用系统。

本发明还公开了一种接入终端，包括NAC应用系统的NAC客户端和DM应用系统的DM客户端，其中：

NAC客户端用于接收安全策略服务器指示的安全检查项检测及进行检测的DM应用系统，指令所述DM应用系统的DM客户端进行安全检查项的检测，并将DM客户端的检测结果上报至安全策略服务器；

DM客户端用于按照NAC客户端的指令进行安全检查项的检测，并向其返回检测结果。

本发明中由NAC应用系统指令DM应用系统进行哪些安全检查项的检测，由DM应用系统完成检测并返回结果；相比于现有技术中由NAC应用系统调用DM应用系统的底层功能模块完成相应安全检查项检测的方式，本发明采用安全检查项作为NAC应用系统和DM应用系统的接口，与NAC应用系统或DM应用系统对功能模块的具体实现相分离，具有良好的通用性，便于扩展，并且能够节约开发成本。

附图说明

图1：NAC应用系统与DM应用系统协同工作的网络结构示意图；

图2：本发明所述安全检查方法实施例一的流程图；

图3：本发明所述安全检查方法实施例二的流程图；

图4：本发明应用示例中安全检查通用分类规范表的构成示意图；

图5：本发明应用示例中安全检查分类及其安全检查项的构成示意图；

图6：本发明应用示例中安全策略确定界面的示意图；

图7：本发明所述NAC应用系统与DM应用系统实施例一的结构示意图；

图8：本发明所述NAC应用系统与DM应用系统实施例二的结构示意图。

具体实施方式

DM应用系统已经有了相当长时间的发展，不同DM应用系统之间不仅提供的安全检查项检测功能的种类和数量不同，而且对同一个安全检查项检测功能的实现也存在很大区别。现有技术中，NAC应用系统通过DLL库调用DM应用系统中的检测功能模块，这样NAC应用系统参与到DM应用系统对安全检查项的实际检测中，因而两个应用系统的协同工作就需要考虑每个应用系统的具体实现。

事实上，虽然不同DM应用系统的具体实现不同，但对于相同的安全检查项，不同DM应用系统能够提供的检测功能却区别不大。本发明中，NAC应用系统将需要DM应用系统进行检测的安全检查项指示给DM应用系统，由DM应用系统按照其实现独立完成检测并返回检测结果；这样，NAC应用系统同样可以利用该DM应用系统的相应检测功能，而不必关心该DM应用系统对检测功能的具体实现。同时，安全检查项可以在各个NAC应用系统和DM应用系统之间通用，因此本发明具有良好的通用性。

本发明所述安全检查方法实施例一的流程如图2所示。本实施例中，NAC应用系统包括安全策略服务器和安装在至少一个接入终端上的NAC客户端，DM应用系统包括DM服务器和与NAC客户端安装在相同接入终端上的DM客户端。

步骤S210：安全策略服务器获取DM应用系统支持的安全检查项。

可以由DM应用系统的DM服务器在启动时向安全策略服务器注册，在注册信息中携带本DM应用系统支持的安全检查项。由于DM应用系统所支持的安全检查项通常只有在应用系统升级时才会发生变化，因而也可以在安全策略服务器上由管理员手工注册各个DM应用系统，并设置每个DM应用系统支持的安全检查项，这些DM应用系统与该NAC应用系统在安全检查中协同工作。DM服务器也可以在满足其他设定条件时告知安全策略服务器其支持的安全检查项，或者由安全策略服务器向DM服务器查询上述信息。

例如，假设一个DM系统支持以下安全检查项，这些安全检查项的总和构成了这个DM系统的安全检查能力：

禁止Everyone(每个用户)共享设置，即发现某终端上设置有Everyone共享设置则认为不符合安全要求；

禁止系统默认共享设置，即发现某终端上设置有系统默认的共享，如：c$(驱动器C)、d$(驱动器D)等则认为不符合安全要求；

禁止写入共享设置，即发现某终端上提供了写入共享则认为不符合安全要求；

禁止任何共享设置，即发现某终端上有任何共享设置、不论是读共享还是写共享，则认为不符合安全要求；

禁止提供远程桌面登录功能，即发现某终端上提供远程桌面登录功能，则认为不符合安全要求；

禁止提供远程FTP(File Transfer Protocol，文件传输协议)访问，即发现某终端上提供远程FTP访问，则认为不符合安全要求；

禁止提供远程Telnet登录，即发现某终端上提供远程Telnet登录，则认为不符合安全要求；

禁止提供Web server(万维网服务器)服务，即发现某终端上提供Web server服务，则认为不符合安全要求。

在本步骤中，可以由管理员在安全策略服务器上为DM应用系统进行手工注册，并将其支持的上述安全检查项配置在安全策略服务器上；也可以由该DM系统的DM服务器向安全策略服务器发送双方约定格式的报文，通知安全策略服务器该DM系统支持的安全检查项。

步骤S220：确定NAC应用系统要检测哪些安全检查项以及这些安全检查项由哪个DM应用系统来进行检测，即生成本NAC应用系统包括上述内容的安全策略。

一个NAC应用系统往往与多个DM应用系统协同工作，这些DM应用系统支持的安全检查项可能相同，也可能不同。基于步骤S210中所获取的各DM系统支持的安全检查项，安全策略服务器可以对NAC应用系统的安全检查进行集中管理，生成本NAC应用系统的安全策略。安全策略可以根据实际网络环境的需求来定制，在所有安全检查项中选择部分或全部，由一个至多个DM应用系统对其支持的安全检查项进行检测。

例如，当DM应用系统a和DM应用系统b均支持某个安全检查项时，安全策略服务器可以确定由DM应用系统a对部分请求接入的用户进行该安全检查项的检测，由DM应用系统b对其余请求接入的用户进行该安全检查项的检测；也可以确定由DM应用系统a对初次接入的用户进行该安全检查项的检测，由DM应用系统b对成功接入网络后的用户进行定期监控，以确定接入后用户的该安全检查项持续满足NAC应用系统的要求。

当NAC应用系统只与一个DM应用系统协同工作并且对其支持的全部安全检查项进行检测时，由于在步骤S210中获取的信息已经生成了NAC应用系统的安全策略，则本步骤可以省略。

步骤S230：安全策略服务器向接入终端的NAC客户端下发安全策略，将要检测的安全检查项及对其进行检测的DM应用系统通知接入终端的NAC客户端。

对不同的用户或者接入终端，安全策略服务器可以下发不同的安全策略，进行不同安全检查项的检测或者由不同的DM应用系统进行检测。

步骤S240：NAC客户端指令该接入终端的DM客户端进行安全检查项的检测。

对下发的安全策略中涉及的一个或多个DM应用系统，NAC客户端向这些DM应用系统在同一个接入终端上的DM客户端发出指令，指令其进行安全策略确定的相应安全检查项的检测。

步骤S250：DM客户端向NAC客户端返回检测结果。

DM应用系统的DM客户端完成检测后，向同一个接入终端上的NAC客户端返回检测结果。根据DM应用系统的具体实现，对一些安全检查项的检测过程可能包括对不符合安全要求的接入终端进行自动修复。

DM应用系统返回的检测结果中，通常包括接入终端是否通过该安全检查项检测的结论。

步骤S260：NAC客户端将检测结果上报至安全策略服务器。

在一些情况下，如对请求接入的用户进行安全检查时，NAC客户端可以将不同DM应用系统的检测结果汇集后一并上报安全策略服务器。

步骤S230与S240中，NAC应用系统指令DM应用系统对接入终端进行至少一项其支持的安全检查项的检测；步骤S250与S260中，被指令的DM应用系统向NAC应用系统返回检测结果。

本实施例中，在同一个接入终端上由NAC客户端与一种或多种DM客户端进行信息交互来完成安全检查过程，在安全检查过程中不需要安全策略服务器与DM服务器之间进行直接交互。

图3所示为本发明所述安全检查方法实施例二的流程。本实施例中，NAC应用系统包括安全策略服务器，DM应用系统包括DM服务器和安装在至少一个接入终端上的DM客户端。

本实施例的步骤S310与S320分别与本发明安全检查方法实施例一中的步骤S210与S220相同，具体描述请参见上述实施例，不再重复。

步骤S330：安全策略服务器指令DM服务器进行安全检查项的检测。

对安全策略中涉及的一个或多个DM应用系统，安全策略服务器向这些DM应用系统的DM服务器发出指令，指定其进行至少一项所支持的安全检查项的检测，这些安全检查项在安全策略中确定由该DM系统来执行检测。

步骤S340：DM服务器指令DM客户端对其所在的接入终端进行本DM应用系统被指定的安全检查项的检测。

步骤S350：DM客户端向DM服务器上报对上述安全检查项的检测结果。

步骤S340与S350是在现有的DM应用系统中已经具有的功能。

步骤S360：DM服务器向安全策略服务器返回本DM应用系统的检测结果。

根据DM应用系统的具体实现，对一些安全检查项的检测过程可能包括对不符合安全要求的接入终端进行自动修复。DM应用系统返回的检测结果中，通常包括接入终端是否通过该安全检查项检测的结论。

本实施例与上述实施例的不同之处在于，对NAC应用系统指令DM应用系统对接入终端进行安全检查项检测由步骤S330至S340实现，而被指令的DM应用系统向NAC应用系统返回检测结果由步骤S350至360实现。

本实施例中，在安全检查过程中由NAC安全策略服务器与一个或多个DM服务器进行信息交互，而不需要NAC客户端与DM客户端之间进行直接交互。

以下通过一个应用示例来说明本发明推荐的一种具体实现。在下述应用示例中，采用安全检查通用分类规范表作为NAC应用系统和DM应用系统之间传递安全检查项相关信息的接口。对有DM应用系统支持的安全检查项进行归纳分类可以形成安全检查通用分类规范表，其包括一个至多个安全检查分类，每个安全检查分类包括一个至多个安全检查项。

如图4所示，安全检查项(Item)在安全检查通用分类规范表中按其所属的安全检查分类(Category)陈列。以树来打比方，安全检查分类是树根或树枝，安全检查项则是树叶。

可以令一个安全检查分类中的每个安全检查项占用一个二进制的位(ItemID)，以该二进制位的值来表示所传递的信息中是否指定了该安全检查项；同时，每个安全检查分类可以用与其具有对应关系的一个其CategoryID来表征。这样，一个安全检查分类的取值(CategoryValue)，即安全检查分类中所有安全检查项对应的二进制位取值的总和，可以表明其中哪些安全检查项被指定，即值对<CategoryID，CategoryValue>就可以表示一个安全检查分类中所有被指定的安全检查项。

例如，一个NAC应用系统的安全检查通用分类规范表中，安全检查分类文件共享设置检查和远程服务提供设置检查的构成如图5所示：文件共享设置检查的CategoryID为1000，其所属的ItemID 1、2、4、8分别对应于安全检查项禁止Everyone共享、禁用系统默认共享、禁用写入共享和禁用任何共享设置；远程服务提供设置检查的CategoryID为1001，其所属的ItemID 1、2、4、8、16分别对应于安全检查项禁止提供远程桌面登录功能、禁止提供远程FTP访问、禁止提供远程Telnet登录、禁止提供上网代理服务和禁止提供Web Server服务。

这样，在NAC应用系统与DM应用系统的通信中，可以采用值对<1000，1>表示安全检查项禁用Everyone共享被指定，采用值对<1000，2>表示安全检查项禁用系统默认共享被指定，采用值对<1000，3>表示两个安全检查项用Everyone共享和禁用系统默认共享均被指定。一个DM应用系统H3C-iChecker在上述两个安全检查分类中仅不具有禁止提供上网代理服务的安全检查功能，则其所支持的安全检查项可以用如下的值对集合来表示：{<1000，15>，<1001，23>}。

安全检查通用分类规范表在安全策略服务器上可以保存在一个文本文件中。如以文件UniversalCategories_cn.ini来存放，其文件内容包括：

[1000]

name＝文件共享设置检查

1＝禁用Everyone共享

2＝禁用系统默认共享

4＝禁用写入共享

8＝禁用任何共享设置

[1001]

name＝远程服务提供设置检查

1＝禁止提供远程桌面登录功能

2＝禁止提供远程FTP访问

4＝禁止提供远程Telnet登录

8＝禁止提供上网代理服务

16＝禁止提供Web Server服务

安全检查通用分类规范表中的其他安全检查分类及其安全检查项也按照上述格式存储在文件UniversalCategories_cn.ini中，不再列举。

在NAC应用系统与DM应用系统协同工作前，先在安全策略服务器上进行DM应用系统的注册。DM应用系统的注册是把一个DM系统的支持的安全检查项告知NAC应用系统。注册DM应用系统一般包括：

登记该DM应用系统的唯一标识，如：MS-WSUS，H3C-iChecker；

登记该DM应用系统支持哪些安全检查项，即登记该DM应用系统的值对集合{<CategoryId-1，CategoryValue-1>，…，<CategoryId-N，CategoryValue-N>}，其中每个值对表示该DM应用系统支持的安全检查分类及其中的安全检查项。例如，DM应用系统H3C-iChecker的值对结合为{<1000，15>，<1001，23>}。

DM应用系统的注册操作可以通过在NAC应用系统的安全策略服务器上导入如下所示的一个XML(eXtensible Markup Language，可扩展置标语言)文件即可：

<software id＝”H3C-iChecker”>

    <category id＝1000 value＝15/>

    <category id＝1001 value＝23/>

</software>

一个NAC应用系统可以注册多个DM应用系统，也可以注销一个或多个已经注册的DM应用系统。注销DM应用系统时，只需根据该DM应用系统的唯一标识查找到对应的XML文件，将该DM应用系统的注册信息删除即可。

完成DM应用系统注册后，可以在NAC应用系统的安全策略服务器上集中进行安全策略的设置，其界面可以如图6所示。在设置安全策略时，可以根据实际需要选择对哪些安全检查分类进行检测，对哪些安全检查分类不做检测；可以根据实际需()求灵活地选择DM应用系统支持的全部或部分安全检查项，例如，NAC应用系统没有采用DM应用系统H3C-iChecker支持的禁用任何共享设置的安全检查项；还可以根据实际需要设置当接入终端未通过某个安全检查项检测时，所要进行具体操作，如隔离还是提醒。

在图6所示的安全策略设置界面中，安全检查分类来自于安全检查通用分类规范表。对每个安全检查分类而言，管理员首先确定是否要对该安全检查分类进行检测(即选中要进行检测的安全检查分类的复选框)，并进一步确定把该安全检查分类的检测指派给哪一个DM应用系统(即在该安全检查分类名称的右侧下拉列表中选择对应的DM应用系统标识)，以及确定让该DM应用系统对该分类下具体哪些安全检查项实施检测(即选中要进行检测的安全检查项的复选框)。

这样，所有的安全策略可以在NAC应用系统的安全策略服务器上进行集中管理，方便管理员从整体把握安全策略的设置；同时本应用示例中将一个安全检查分类交由一个DM应用系统处理，有效降低了配置的复杂度，进一步增强了管理的便利性。

当接入终端发起安全检查请求后，NAC应用系统的安全策略服务器会根据设置的安全策略，把要进行的安全检查项以值对集合的形式分别发送给对应DM应用系统。如把值对集合{<1000，7>，<1001，23>}分发给DM应用系统H3C-iChecker，指令其检测指定的安全检查项，由DM应用系统对该接入终端进行检测。

可以由NAC应用系统定期向各个DM应用系统查询检测结果，也可以DM应用系统自行返回检测结果。各个DM应用系统可以通过如下四元组的形式返回安全检查项的检测结果：

<CategoryId，ItemId，dwRtnVal，strInfo>

其中，CategoryId和ItemId指示安全检查分类中的安全检查项，表示本检测结果对应于哪个安全检查项。

dwRtnVal表示检测的当前结果，可以具有如下的取值及含义：

0：检测完成，符合安全要求；

1：检测完成，不符合安全要求，不支持自动修复；

2：检测完成，不符合安全要求，正在自动修复；

3：检测被中断或被取消；

4：自动修复失败；

5：自动修复被中断或被取消；

6：自动修复完成；

7及大于7的值：保留供以后扩展。

strInfo可以是一个XML格式的字符串信息，用于当dwRtnVal的取值不能完全表达检查结果的补充信息。如当dwRtnVal为1或2时，可能需要strInfo进一步携带有关检测不通过的详细信息。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，包括上述方法实施例中的全部或部分步骤；所述的存储介质包括：ROM/RAM(Read Only Memory/Random-Access/Memory，只读存储器/随机访问内存)、磁碟或者光盘等。

本发明所述NAC应用系统与DM应用系统实施例一的结构可以如图7所示，其中NAC应用系统包括安全策略服务器400和接入终端500上的NAC客户端520，安全策略服务器400包括能力信息获取单元410、检测指示单元420和检测结果单元430；DM应用系统包括接入终端500上的DM客户端510，还可以包括DM服务器(图中未示出)。本领域技术人员知道，安全策略服务器400可以连接一个至多个接入终端，每个接入终端上可以包括一个至多个DM应用系统的DM客户端。

安全策略服务器400的能力信息获取单元410用来获取DM应用系统支持的安全检查项。这一信息可以由管理员通过能力信息获取单元410手工配置，也可以由DM应用系统的DM服务器向能力信息获取单元410上报。

检测指示单元420按照能力信息获取单元410获得的信息，指示接入终端500的NAC客户端520要检测的安全检查项的检测及对其进行检测的DM应用系统。检测指示单元420包括策略确定模块421和策略下发模块422。能力信息获取单元410将其获取的DM应用系统及其支持的安全检查项输出至策略确定模块421，策略确定模块421按照上述信息确定本NAC应用系统的安全策略，即要对哪些安全检查项进行检测以及由哪些DM应用系统对这些安全检查项进行检测。策略下发模块422向接入终端500的NAC客户端下发所确定的安全策略，安全策略可以因接入终端或用户的不同而不同。当NAC应用系统只与一个DM应用系统协同工作并且对其支持的全部安全检查项进行检测时，策略确定模块421可以省略。

接入终端500的NAC客户端520接收到安全策略服务器400下发的安全策略，得知接入终端500上需要由哪个DM应用系统来进行哪些安全检测项的检测。NAC客户端520向DM应用系统在同一接入终端500上DM客户端510发出指令，指令其进行对应于该DM应用系统的安全检查项的检测。DM客户端510按照指令执行上述安全检查项的检测，并向NAC客户端520返回检测结果。NAC客户端将DM客户端返回的检测结果上报至安全策略服务器400的检测结果单元430。

检测结果单元430接收各个接入终端上报的安全检查项检测结果，从而得知每个终端是否符合NAC应用系统的安全要求。

本发明所述NAC应用系统与DM应用系统实施例二的结构参见图8，其中NAC应用系统包括安全策略服务器600，在安全策略服务器600中包括能力信息获取单元410、检测指示单元620和检测结果单元430。DM应用系统包括DM服务器700和接入终端800，其中DM服务器700包括指令接收单元720、指令执行单元730和结果返回单元730，还可以包括能力上包括单元710；接入终端800包括DM应用系统的DM客户端810。同样地，安全策略服务器600可以连接一个至多个接入终端，每个接入终端上可以包括一个至多个DM应用系统的DM客户端。

安全策略服务器400的能力信息获取单元410用来获取DM应用系统支持的安全检查项。这一信息可以由管理员通过能力信息获取单元410手工配置，也可以由DM服务器700的能力信息上报单元710向能力信息获取单元410上报。

检测指示单元620按照能力信息获取单元410获得的信息，指令DM服务器700进行至少一项其支持的安全检查项的检测。检测指示单元620包括策略确定模块421和检测指令模块622。策略确定模块421按照能力信息获取单元410获取的信息确定本NAC应用系统的安全策略，即要对哪些安全检查项进行检测以及由哪些DM应用系统对这些安全检查项进行检测。按照安全策略，检测指令模块622指令DM服务器700进行安全检查项的检测，这些安全检查项在安全策略中确定由DM服务器700所在的DM应用系统进行检测。

DM服务器700的指令接收单元720接收安全策略服务器600的指令，并将其输出至指令执行单元730。指令执行单元730指示接入终端800上本DM应用系统的DM客户端810对安全策略服务器600的指令中指定的安全检查项进行检测。DM客户端810将检测结果上报至DM服务器700的结果返回单元740。结果返回单元740将本DM应用系统的安全检查项检测结果返回至安全策略服务器600的检测结果单元430。

检测结果单元430接收DM服务器700上报的安全检查项检测结果，从而得知各个终端是否符合NAC应用系统的安全要求。

由于安全检查项本身的通用性，本发明采用安全检查项作为NAC应用系统和DM应用系统之间的接口，实现了良好的通用性。同时，随着DM系统的检查能力的丰富，只需要把新的安全检查项纳入到接口中即可，而无需NAC应用系统和DM应用系统侧配合开发，实现了良好的扩展性。另外，NAC应用系统的安全策略可以在安全策略服务器上集中配置，便于管理。

需要声明的是，上述发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用，不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理内，当可作各种修改、等同替换、或改进。本发明的保护范围以所附权利要求书为准。