主机接入方法、待接入主机及DHCP服务器与流程

主机接入方法、待接入主机及dhcp服务器
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种主机接入方法、待接入主机及dhcp服务器。


背景技术：

2.传统的dhcp(dynamic host configuration protocol，动态主机配置协议)分配系统，是基于dhcp服务器的动态ip分配能力保证主机能正常接入dhcp服务器可控的网络，而dhcp服务器又没有检测主机的威胁程度的能力。
3.一旦让一个已经被植入病毒木马的主机申请到了内网ip，即使内部有针对病毒木马的防范措施，但是有问题的主机从接入网络到被扫描发现有病毒木马存在再到隔离清除病毒木马是有一段存活时间的，在这段存活时间内该主机有可能会对公司内网其他主机会存在很大的威胁。


技术实现要素：

4.本发明提供一种主机接入方法、待接入主机及dhcp服务器，通过确定出待接入主机不具有病毒之后，dhcp服务器为待接入主机分配ip地址，提高了网络的安全性。
5.第一方面，本发明实施例提供的一种主机接入方法，包括：
6.针对每个扫描周期，在所述扫描周期内通过扫描待接入主机，获取表征所述待接入主机的安全性的至少一个特征；其中，表征所述待接入主机的安全性的特征包括以下部分或全部：所述待接入主机中的预设配置信息、所述待接入主机在运行过程中的预设行为、所述待接入主机中的预设软件；
7.确定获取到的至少一个所述特征对应的安全值，并根据至少一个所述特征对应的安全值，确定所述扫描周期对应的表征所述待接入主机安全程度的目标信息；其中，所述特征对应的安全值为所述特征影响所述待接入主机安全的安全程度；
8.在监测到所述待接入主机向所述dhcp服务器发送请求ip地址的报文之后，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，并将所述目标扫描周期对应的目标信息发送给dhcp服务器，以使所述dhcp服务器根据所述目标信息确定所述待接入主机安全后为所述待接入主机分配ip地址。
9.上述方法，通过扫面主机的方式获取表征待接入主机的安全性的特征，根据特征确定该接入主机的安全性，并将表征安全性的信息发送给dhcp服务器,dhcp服务器确定待接入主机安全，不具有病毒时，分配给待接入主机ip地址，这样避免了现有技术中主机出现病毒，而导致威胁性大的问题，提高了网络的安全性。
10.在一种可能的实现方式中，确定获取到的至少一个所述特征对应的安全值，包括：
11.针对每个特征，若所述特征满足所述特征对应的预设条件，则确定所述特征对应的安全值为第一预设值；
12.若所述特征不满足所述特征对应的预设条件，则确定所述特征对应的安全值为第
二预设值。
13.上述方法，通过满足特征对应的预设条件，或者不满足特征对应的预设条件，设置不同的数值，从而能够区分不同的效果，提高了分辨率。
14.在一种可能的实现方式中，其中，所述待接入主机中的预设配置信息为所述待接入主机中配置的屏保时间和/或命名规范；所述待接入主机中的预设配置信息是通过扫描所述待接入主机的配置信息得到的；
15.所述待接入主机在运行过程中的预设行为：为所述待接入主机将自身的目录共享到外部设备；所述待接入主机在运行过程中的预设行为是通过扫描所述待接入主机的系统日志得到的；
16.所述待接入主机中的预设软件为预设安全软件、预设敏感软件、预设病毒软件中的部分或全部；所述待接入主机中的预设软件是通过扫描所述待接入主机的配置信息和/或通过扫描所述待接入主机的硬盘得到的。
17.上述方法，能够通过扫描硬盘，扫描配置、扫描待接入主机的系统日志，全面的监测待接入主机的内容，提高监测的准确率。
18.在一种可能的实现方式中，其中：
19.若所述特征为所述待接入主机的屏保时间，则所述特征对应的预设条件为，所述待接入主机的屏保时间不超过预设时间；
20.若所述特征为所述待接入主机的命名规范，则所述特征对应的预设条件为，所述待接入主机的命名规范满足预设命名规范；
21.若所述特征为所述待接入主机是否具有预设安全软件，则所述特征对应的预设条件为，所述待接入主机具有预设安全软件；
22.若所述特征为所述待接入主机是否具有预设危险软件，则所述特征对应的预设条件为，所述待接入主机不具有预设危险软件；
23.若所述特征为所述待接入主机是否将自身的目录共享到外部设备，则所述特征对应的预设条件为，所述待接入主机未将自身的目录共享到外部设备。
24.上述方法，通过每个特征对应的预设条件，判断特征的安全性，提高了判断的准确率。
25.在一种可能的实现方式中，根据至少一个所述特对应的安全值，确定表征所述待接入主机安全程度的目标信息，包括：
26.将每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值作为所述目标信息；或
27.若每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值，则将表征所述待接入主机安全的标识作为所述目标信息。
28.上述方法，通过安全性和对应的权重相乘得到的值作为目标信息，或者判断该值在超过阈值时，将表征待接入主机安全的标识作为目标信息，这样通过不同的信息作为目标信息，提高了实用性。
29.在一种可能的实现方式中，所述方法还包括：
30.若每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值不超过阈值，则在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，将待接入主
机向dhcp服务器发送请求ip地址的报文丢弃，并向用户发出告警信息，以警告用户所述待接入主机不安全。
31.上述方法，能够在确定安全值和权重相乘后得到的值不超过阈值，即安全性不高时，向用户发出告警，以便使得用户能够了解主机的情况。
32.第二方面，本发明实施例提供的一种主机接入方法，包括：
33.接收待接入主机发送的表征所述待接入主机安全程度的目标信息；其中，所述目标信息为根据表征所述待接入主机的安全性的至少一个特征对应的安全值确定的；所述特征对应的安全值为所述特征影响所述待接入主机安全的安全程度；所述特征是通过扫描待接入主机获取到的，所述特征包括以下部分或全部：所述待接入主机中的预设配置信息、所述待接入主机在运行过程中的预设行为、所述待接入主机中的预设软件；
34.若根据所述目标信息确定出所述待接入主机安全，则在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，为所述待接入主机分配ip地址。
35.在一种可能的实现方式中，通过以下方式确定所述待接入主机是否安全：
36.若所述目标信息为每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值，且所述每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值，则确定所述待接入主机安全；
37.若所述目标信息为每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值，且每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值不超过阈值，则确定所述待接入主机不安全；
38.若所述目标信息为表征所述待接入主机安全的标识，则确定所述待接入主机安全；其中，表征所述待接入主机安全的标识为根据每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值确定的。
39.在一种可能的实现方式中，所述方法还包括：
40.若根据所述目标信息确定出所述待接入主机不安全，则在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，将接收到的所述待接入主机向所述dhcp服务器请求ip地址的报文丢弃。
41.第三方面，本技术还提供一种待接入主机，包括：处理器和存储器；
42.处理器；
43.用于存储所述处理器可执行指令的存储器；
44.其中，所述处理器被配置为执行所述指令，以实现如第一方面中的任一项所述的主机接入方法。
45.第四方面，本技术还提供一种dhcp服务器，包括：处理器和存储器；
46.处理器；
47.用于存储所述处理器可执行指令的存储器；
48.其中，所述处理器被配置为执行所述指令，以实现如第二方面中的任一项所述的主机接入方法。
49.另外，第二方面至第四方面中被处理单元执行时实现第一方面所述任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果，此处不再赘述。
50.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不
能限制本发明。
附图说明
51.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理，并不构成对本发明的不当限定。
52.图1是本发明实施例提供的一种主机接入方法的流程图；
53.图2是本发明实施例提供的另一种主机接入方法的流程图；
54.图3是本发明实施例提供的第一种两端交互的流程图；
55.图4是本发明实施例提供的第二种两端交互的流程图；
56.图5是本发明实施例提供的第三种两端交互的流程图；
57.图6是本发明实施例提供的一种终端安全检测装置的结构图；
58.图7是本发明实施例提供的一种可信终端验证装置的结构图；
59.图8是本发明实施例提供的一种电子设备的结构图。
具体实施方式
60.为了使本领域普通人员更好地理解本发明的技术方案，下面将结合附图，对本发明实施例中的技术方案进行清楚、完整地描述。
61.对于本发明来说：建立一套针对待接入主机接入网络的提前预防和监控机制。在待接入主机接入dhcp服务器前，通过扫描待接入主机检测待接入的安全性，且监听和劫持待接入主机申请ip地址的请求报文，通过修改报文增加独有的目标信息，目标信息为包含待接入主机的安全性相关的信息。
62.在dhcp服务端，通过监听和劫持dhcp服务器的网卡中申请ip的报文，通过判断请求报文中是否包含独有的目标信息，如果没有目标信息或者目标信息指示的待接入主机的安全系数过低，则拒绝给待接入主机分配ip。
63.本发明能够从网络申请阶段就杜绝了一些未知威胁的主机的不安全接入。
64.以下结合附图详细说明。
65.结合图1所示，本发明实施例提出一种主机接入方法，包括：
66.s100：针对每个扫描周期，在扫描周期内通过扫描待接入主机，获取表征待接入主机的安全性的至少一个特征；其中，表征待接入主机的安全性的特征包括以下部分或全部：待接入主机中的预设配置信息、待接入主机在运行过程中的预设行为、待接入主机中的预设软件；
67.s101：确定获取到的至少一个特征对应的安全值，并根据至少一个特征对应的安全值，确定扫描周期对应的表征待接入主机安全程度的目标信息；其中，特征对应的安全值为特征影响待接入主机安全的安全程度；
68.其中，确定获取到的至少一个所述特征对应的安全值，包括：
69.针对每个特征，若特征满足特征对应的预设条件，则确定特征对应的安全值为第一预设值；
70.若特征不满足特征对应的预设条件，则确定特征对应的安全值为第二预设值。
71.例如，第一预设值为1，第二预设值为-1，若特征满足特征对应的预设条件，则确定
该特征对应的安全值为1，若特征不满足特征对应的预设条件，则确定该特征对应的安全值为-1。
72.s102：在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，并将目标扫描周期对应的目标信息发送给dhcp服务器，以使dhcp服务器根据目标信息确定待接入主机安全后为待接入主机分配ip地址。
73.详细来说，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，选择的方式为与监测到请求ip地址的报文的时间最近的扫描周期，例如，对于每个扫描周期进行扫描，确定出目标信息，第一扫描周期对应的目标信息为信息1，第二扫描周期对应的目标信息为信息2，第三扫描周期对应的目标信息为信息3，当监测到待接入主机向所述dhcp服务器发送请求ip地址的报文时，那么第三扫描周期对应的目标信息，即信息3。
74.其中，可以将目标扫描周期对应的目标信息添加到待接入主机向dhcp服务器发送请求ip地址的报文之后，发送待接入主机向dhcp服务器发送请求ip地址的报文。
75.其中，待接入主机中的预设配置信息为待接入主机中配置的屏保时间和/或命名规范；待接入主机中的预设配置信息是通过扫描待接入主机的配置信息得到的；
76.待接入主机在运行过程中的预设行为：为待接入主机将自身的目录共享到外部设备；待接入主机在运行过程中的预设行为是通过扫描所述待接入主机的系统日志得到的；
77.待接入主机中的预设软件为预设安全软件、预设敏感软件、预设病毒软件中的部分或全部；待接入主机中的预设软件是通过扫描待接入主机的配置信息和/或通过扫描待接入主机的硬盘得到的。
78.若特征为待接入主机的屏保时间，则特征对应的预设条件为，待接入主机的屏保时间不超过预设时间；
79.若特征为待接入主机的命名规范，则特征对应的预设条件为，待接入主机的命名规范满足预设命名规范；
80.若特征为待接入主机是否具有预设安全软件，则特征对应的预设条件为，待接入主机具有预设安全软件；
81.若特征为待接入主机是否具有预设危险软件，则特征对应的预设条件为，所述待接入主机不具有预设危险软件；
82.若特征为待接入主机是否将自身的目录共享到外部设备，则特征对应的预设条件为，待接入主机未将自身的目录共享到外部设备。
83.示例性的，通过扫描待接入主机的配置信息，获取待接入主机中配置的屏保时间，判断待接入主机的屏保时间是否超过预设时间，若不超过预设时间，则确定该特征对应的安全值为1，否则，确定该特征对应的安全值为-1；
84.通过扫描待接入主机的配置信息，获取待接入主机中配置的命名规范，判断待接入主机的命名规范是否满足预设命名规范，若满足预设命名规范，则确定该特征对应的安全值为1，否则，确定该特征对应的安全值为-1；
85.通过扫描待接入主机的系统日志，确定待接入主机是否将自身的目录共享到外部设备，若待接入主机不将自身的目录共享到外部设备，则确定该特征对应的安全值为1，否
则，确定该特征对应的安全值为-1；
86.通过扫描待接入主机的配置信息，确定待接入主机中是否有预设安全软件，若待接入主机有预设安全软件，则确定该特征对应的安全值为1，否则，确定该特征对应的安全值为-1；其中，预设安全软件防病毒软件；
87.通过扫描待接入主机的硬盘，确定待接入主机中是否有预设敏感软件，若待接入主机有预设敏感软件，则确定该特征对应的安全值为1，否则，确定该特征对应的安全值为-1；
88.通过扫描待接入主机的硬盘，确定待接入主机中是否有预设病毒软件，若待接入主机有预设病毒软件，则确定该特征对应的安全值为1，否则，确定该特征对应的安全值为-1。
89.需要说明的是，病毒软件可能有多个，通过扫描时，确定是否有该病毒软件，如果有，则确定安全值为1，例如，有病毒软件集合，病毒软件集合包括病毒软件1、病毒软件2、病毒软件3、
……
、病毒软件n，扫描待接入主机的硬盘，从病毒软件集合进行对比，如果有其中一个病毒软件，那么其特征对应的安全值为1。或者，扫描待接入主机的硬盘，从病毒软件集合进行对比，如果有多个病毒软件，那么有几个，那么增加几个，例如有3个病毒软件，那么安全值为-3，如果有2个病毒软件，那么安全值为-2。
90.其中，特征不仅仅是上述介绍的，还可以包括系统防火墙，如果系统防火墙开启，那么满足对应的预设条件，如果系统防火墙不开启，那么不满足对应的预设条件。
91.其中，根据至少一个特对应的安全值，确定表征待接入主机安全程度的目标信息，包括：
92.将每个特征对应的安全值和特征对应的权重相乘的结果相加后的值作为所述目标信息；或
93.若每个特征对应的安全值和特征对应的权重相乘的结果相加后的值超过阈值，则将表征待接入主机安全的标识作为目标信息。
94.若每个特征对应的安全值和特征对应的权重相乘的结果相加后的值不超过阈值，则在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，将待接入主机向dhcp服务器发送请求ip地址的报文丢弃，并向用户发出告警信息，以警告用户待接入主机不安全。
95.例如，待接入主机中配置的屏保时间不超过预设时间，安全值为1；命名规范满足预设命名规范，安全值为1；
96.待接入主机将自身的目录共享到外部设备，安全值为-1；
97.待接入主机有预设安全软件，安全值为1；
98.待接入主机有预设敏感软件，安全值为-1；
99.待接入主机有预设病毒软件，安全值为-1。
100.则对应的安全值1*0.1 1*0.2 (-1)*0.1 1*0.2 (-1)*0.2 (-1)*0.2＝0；
101.其中，可以将0作为目标信息；
102.还可以继续进行判断，判断是否超过阈值，阈值设置为0，那么由于0没有超过阈值0，那么向用户发出告警信息，提示用户待接入主机不安全。当然，提示时，可以将不满足对应的预设条件的特征显示给用户，以便用户能够有效解决上述问题。即，显示待接入主机不安全，待接入主机有预设敏感软件，待接入主机有预设病毒软件，待接入主机将自身的目录
共享到外部设备。
103.结合图2所示，本发明实施例提出另一种主机接入方法，包括：
104.s200：接收待接入主机发送的表征待接入主机安全程度的目标信息；
105.其中，目标信息为根据表征待接入主机的安全性的至少一个特征对应的安全值确定的；特征对应的安全值为所述特征影响所述待接入主机安全的安全程度；所述特征是通过扫描待接入主机获取到的，特征包括以下部分或全部：待接入主机中的预设配置信息、待接入主机在运行过程中的预设行为、待接入主机中的预设软件；其中，目标信息的具体获取过程如上所示。
106.s201：若根据目标信息确定出待接入主机安全，则在接收到待接入主机向dhcp服务器请求ip地址的报文之后，为待接入主机分配ip地址。
107.由上可知，目标信息为两种情况，一种情况为将每个特征对应的安全值和特征对应的权重相乘的结果相加后的值作为目标信息，另一种情况为若每个特征对应的安全值和特征对应的权重相乘的结果相加后的值超过阈值，则将表征待接入主机安全的标识作为目标信息。对于接收端，根据目标信息确定待接入主机是否安全的方式为：
108.若目标信息为每个特征对应的安全值和特征对应的权重相乘的结果相加后的值，且每个所述特征对应的安全值和特征对应的权重相乘的结果相加后的值超过阈值，则确定待接入主机安全；
109.若目标信息为每个特征对应的安全值和所述特征对应的权重相乘的结果相加后的值，且每个特征对应的安全值和特征对应的权重相乘的结果相加后的值超过阈值不超过阈值，则确定待接入主机不安全；
110.若目标信息为表征待接入主机安全的标识，则确定待接入主机安全；其中，表征待接入主机安全的标识为根据每个特征对应的安全值和特征对应的权重相乘的结果相加后的值超过阈值确定的。
111.具体来说，如果将每个特征对应的安全值和特征对应的权重相乘的结果相加后的值作为目标信息，那么需要判断是否超过阈值，如果超过，那么待接入主机安全，如果不超过，那么待接入主机不安全。
112.如果将表征待接入主机安全的标识作为目标信息，那么在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，如果有表征待接入主机安全的标识，就说明待接入主机安全，如果在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，没有接收到表征待接入主机安全的标识，就说明待接入主机不安全。
113.其中，所述方法还包括：
114.若根据目标信息确定出所述待接入主机不安全，则在接收到待接入主机向dhcp服务器请求ip地址的报文之后，将接收到的待接入主机向dhcp服务器请求ip地址的报文丢弃。
115.示例性的，本发明实施例提供了一种两端交互的流程，结合图3所示，包括：
116.s300：待接入主机针对每个扫描周期，在扫描周期内通过扫描待接入主机，获取表征待接入主机的安全性的至少一个特征；
117.s301：待接入主机确定获取到的至少一个特征对应的安全值，将每个特征对应的安全值和特征对应的权重相乘的结果相加后的值作为目标信息；
118.s302：待接入主机在监测到待接入主机向所述dhcp服务器发送请求ip地址的报文之后，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，并将目标扫描周期对应的目标信息发送给dhcp服务器。
119.s303：dhcp服务器接收待接入主机发送的目标信息，并判断目标信息中每个特征对应的安全值和特征对应的权重相乘的结果相加后的值是否超过阈值；若是，则执行s304；否者，执行s305；
120.s304：dhcp服务器在接收到待接入主机向dhcp服务器请求ip地址的报文之后，为待接入主机分配ip地址；
121.s305：dhcp服务器在接收到待接入主机向dhcp服务器请求ip地址的报文之后，将接收到的待接入主机向dhcp服务器请求ip地址的报文丢弃。
122.示例性的，本发明实施例提供了另一种两端交互的流程，结合图4所示，包括：
123.s400：待接入主机针对每个扫描周期，在扫描周期内通过扫描待接入主机，获取表征待接入主机的安全性的至少一个特征；
124.s401：待接入主机确定获取到的至少一个特征对应的安全值，判断每个特征对应的安全值和特征对应的权重相乘的结果相加后的值是否超过阈值；如果是，则执行s402；否则执行s403；
125.s402：待接入主机将表征待接入主机安全的标识作为目标信息，在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，并将目标扫描周期对应的目标信息发送给dhcp服务器；
126.s403：待接入主机在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，将待接入主机向dhcp服务器发送请求ip地址的报文丢弃，并向用户发出告警信息，以警告用户所述待接入主机不安全；
127.s404：dhcp服务器若接收到待接入主机发送的目标信息，则在接收到待接入主机向dhcp服务器请求ip地址的报文之后，为待接入主机分配ip地址。
128.结合上述的内容，举一个示例，结合图5所示。扫描待接入主机，获取表征待接入主机的安全性的至少一个特征，确定获取到的至少一个所述特征对应的安全值，并根据至少一个所述特征对应的安全值，确定扫描周期对应的表征待接入主机安全程度的目标信息，其中目标信息可以为可信令牌。在扫描时实时检测待接入主机的网卡68端口，当检测到待接入主机向dhcp服务器发送请求ip地址的报文，则将可信令牌添加到待接入主机向dhcp服务器发送请求ip地址的报文中，将修改后报文发送给dhcp服务器，监听dhcp服务器的网卡67端口，如果监听到报文后，截获该报文，根据可信令牌确定待接入主机是否安全，如果确定其安全，则重新放到网卡67端口上，由dhcp服务器正常分发给待接入主机ip地址，如果确定其不安全，则将报文丢弃，同时进行日志记录上报给it中心，这样it中心，能够通知待接入主机其安全程度不高的问题。
129.结合图6所示，本发明实施例提供了一种终端安全检测装置，包括：
130.获取模块600，用于针对每个扫描周期，在所述扫描周期内通过扫描待接入主机，获取表征所述待接入主机的安全性的至少一个特征；其中，表征所述待接入主机的安全性的特征包括以下部分或全部：所述待接入主机中的预设配置信息、所述待接入主机在运行
过程中的预设行为、所述待接入主机中的预设软件；
131.确定模块601，用于确定获取到的至少一个所述特征对应的安全值，并根据至少一个所述特征对应的安全值，确定所述扫描周期对应的表征所述待接入主机安全程度的目标信息；其中，所述特征对应的安全值为所述特征影响所述待接入主机安全的安全程度；
132.发送模块602，用于在监测到所述待接入主机向所述dhcp服务器发送请求ip地址的报文之后，从监测到请求ip地址的报文的时间之前的多个扫描周期中选择目标扫描周期，并将所述目标扫描周期对应的目标信息发送给dhcp服务器，以使所述dhcp服务器根据所述目标信息确定所述待接入主机安全后为所述待接入主机分配ip地址。
133.可选的，确定模块601，具体用于：
134.针对每个特征，若所述特征满足所述特征对应的预设条件，则确定所述特征对应的安全值为第一预设值；
135.若所述特征不满足所述特征对应的预设条件，则确定所述特征对应的安全值为第二预设值。
136.可选的，其中，所述待接入主机中的预设配置信息为所述待接入主机中配置的屏保时间和/或命名规范；所述待接入主机中的预设配置信息是通过扫描所述待接入主机的配置信息得到的；
137.所述待接入主机在运行过程中的预设行为：为所述待接入主机将自身的目录共享到外部设备；所述待接入主机在运行过程中的预设行为是通过扫描所述待接入主机的系统日志得到的；
138.所述待接入主机中的预设软件为预设安全软件、预设敏感软件、预设病毒软件中的部分或全部；所述待接入主机中的预设软件是通过扫描所述待接入主机的配置信息和/或通过扫描所述待接入主机的硬盘得到的。
139.可选的，其中：
140.若所述特征为所述待接入主机的屏保时间，则所述特征对应的预设条件为，所述待接入主机的屏保时间不超过预设时间；
141.若所述特征为所述待接入主机的命名规范，则所述特征对应的预设条件为，所述待接入主机的命名规范满足预设命名规范；
142.若所述特征为所述待接入主机是否具有预设安全软件，则所述特征对应的预设条件为，所述待接入主机具有预设安全软件；
143.若所述特征为所述待接入主机是否具有预设危险软件，则所述特征对应的预设条件为，所述待接入主机不具有预设危险软件；
144.若所述特征为所述待接入主机是否将自身的目录共享到外部设备，则所述特征对应的预设条件为，所述待接入主机未将自身的目录共享到外部设备。
145.可选的，确定模块601，具体用于：
146.将每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值作为所述目标信息；或
147.若每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值，则将表征所述待接入主机安全的标识作为所述目标信息。
148.可选的，确定模块601，还用于：若每个所述特征对应的安全值和所述特征对应的
权重相乘的结果相加后的值不超过阈值，则在监测到待接入主机向dhcp服务器发送请求ip地址的报文之后，将待接入主机向dhcp服务器发送请求ip地址的报文丢弃，并向用户发出告警信息，以警告用户所述待接入主机不安全。
149.结合图7所示，本发明实施例提供了一种可信终端验证装置，包括：
150.接收模块700，用于接收待接入主机发送的表征所述待接入主机安全程度的目标信息；其中，所述目标信息为根据表征所述待接入主机的安全性的至少一个特征对应的安全值确定的；所述特征对应的安全值为所述特征影响所述待接入主机安全的安全程度；所述特征是通过扫描待接入主机获取到的，所述特征包括以下部分或全部：所述待接入主机中的预设配置信息、所述待接入主机在运行过程中的预设行为、所述待接入主机中的预设软件；
151.分配模块701，用于若根据所述目标信息确定出所述待接入主机安全，则在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，为所述待接入主机分配ip地址。
152.可选的，分配模块701，具体用于：
153.若所述目标信息为每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值，且所述每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值，则确定所述待接入主机安全；
154.若所述目标信息为每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值，且每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值不超过阈值，则确定所述待接入主机不安全；
155.若所述目标信息为表征所述待接入主机安全的标识，则确定所述待接入主机安全；其中，表征所述待接入主机安全的标识为根据每个所述特征对应的安全值和所述特征对应的权重相乘的结果相加后的值超过阈值确定的。
156.可选的，分配模块701，还用于：
157.若根据所述目标信息确定出所述待接入主机不安全，则在接收到所述待接入主机向所述dhcp服务器请求ip地址的报文之后，将接收到的所述待接入主机向所述dhcp服务器请求ip地址的报文丢弃。
158.在示例性实施例中，还提供了一种包括指令的存储介质，例如包括指令的存储器，上述指令可由待接入主机的处理器执行以完成上述主机接入方法，或上述指令可由dhcp服务器的处理器执行以完成上述主机接入方法。可选地，存储介质可以是非临时性计算机可读存储介质，例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
159.本发明实施例提供了一种待接入主机，包括：
160.包括：处理器和存储器；
161.处理器；
162.用于存储所述处理器可执行指令的存储器；
163.其中，所述处理器被配置为执行所述指令，以实现如上述任一项所述的主机接入方法。
164.本发明实施例提供了一种dhcp服务器，包括：
165.包括：处理器和存储器；
166.处理器；
167.用于存储所述处理器可执行指令的存储器；
168.其中，所述处理器被配置为执行所述指令，以实现如上述任一项所述的主机接入方法。
169.其中，待接入主机和dhcp均可以为以下电子设备的结构。
170.基于上述的介绍，示例性的，提出了图8的结构。
171.包括处理器810以及存储有计算机程序指令的存储器820。
172.具体地，上述处理器810可以包括中央处理器(cpu)，或者特定集成电路(application specific integrated circuit，asic)，或者可以被配置成实施本发明实施例的一个或多个集成电路。
173.存储器820可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器820可包括硬盘驱动器(hard disk drive，hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器820可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器820可在数据处理装置的内部或外部。在特定实施例中，存储器820是非易失性固态存储器。在特定实施例中，存储器820包括只读存储器(rom)。在合适的情况下，该rom可以是掩模编程的rom、可编程rom(prom)、可擦除prom(eprom)、电可擦除prom(eeprom)、电可改写rom(earom)或闪存或者两个或更多个以上这些的组合。
174.处理器810通过读取并执行存储器820中存储的计算机程序指令，以实现上述实施例中的任意一种主机接入方法。
175.在一个示例中，还可包括通信接口830和总线840。其中，如图8所示，处理器810、存储器820、通信接口830通过总线840连接并完成相互间的通信。
176.通信接口830，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
177.总线840包括硬件、软件或两者，将电子设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(agp)或其他图形总线、增强工业标准架构(eisa)总线、前端总线(fsb)、超传输(ht)互连、工业标准架构(isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线840可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。
178.另外，本发明实施例可提供一种存储介质，当所述存储介质中的指令由待接入主机的处理器执行时，使得所述待接入主机能够执行如上述任一项所述的主机接入方法，或当所述存储介质中的指令由dhcp服务器的处理器执行时，使得所述dhcp服务器能够执行如上述任一项所述的主机接入方法。
179.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序
指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
180.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
181.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
182.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
183.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。