CN110401640A - 一种基于可信计算双体系架构的可信连接方法 - Google Patents
一种基于可信计算双体系架构的可信连接方法 Download PDFInfo
- Publication number
- CN110401640A CN110401640A CN201910604540.3A CN201910604540A CN110401640A CN 110401640 A CN110401640 A CN 110401640A CN 201910604540 A CN201910604540 A CN 201910604540A CN 110401640 A CN110401640 A CN 110401640A
- Authority
- CN
- China
- Prior art keywords
- trusted node
- credible
- opposite end
- node
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于可信计算双体系架构的可信连接方法,可信连接方法包括:在可信节点对对端可信节点发起网络连接时,可信节点与对端可信节点均通过可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,可信节点与对端可信节点建立网络连接,建立完成后进行数据传输。本发明所提供的方法,在节点之间进行网络连接时,通过可信安全管理平台对节点的身份和状态进行可信验证,在确信对方可信的基础上建立安全可信的网络连接,从而保证节点之间的通信安全。
Description
技术领域
本发明涉及可信计算领域,具体涉及一种基于可信计算双体系架构的可信连接方法。
背景技术
计算节点之间在进行网络连接时,为了保证网络安全,计算节点通常会对对方进行身份认证,如果身份认证通过,则允许进行网络连接,如果身份认证未通过,则拒绝进行网络连接。上述网络连接方法存在以下缺陷:1)身份认证信息容易被盗取或篡改,将会导致非法节点允许进行网络连接,或者合法节点网络连接不成功;2)计算节点的可信状态无法保证,即使身份认证通过,如果计算节点本身的可信状态无法保证的话,也将会存在网络安全隐患。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于可信计算双体系架构的可信连接方法,不仅可以保证计算节点本身可信,还可以通过可信安全管理平台保证网络连接安全。
为实现上述目的,本发明采用的技术方案如下:
一种基于可信计算双体系架构的可信连接方法,应用于可信计算系统,所述可信计算系统包括可信安全管理平台和与所述可信安全管理平台连接的至少两个可信节点,所述可信节点包括并行的计算部件和防护部件,所述计算部件用于执行计算任务,所述防护部件用于对所述计算部件进行可信度量和控制,所述计算部件与所述防护部件之间具有安全隔离机制,通过专用访问通道进行交互;
所述可信连接方法包括:
在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输包括:
(1)所述可信节点的计算部件通过TSB代理拦截网络行为,读取所述网络行为及其上下文数据,并将所述网络行为及其上下文数据传递给所述可信节点的防护部件;
(2)所述可信节点的防护部件通过可信软件基中的策略引擎,匹配与所述网络行为及其上下文数据相关的策略,并根据所述策略对所述网络行为及其上下文数据进行度量和控制,得到控制结果;
(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果;
(4)所述可信节点根据所述认证结果,与所述对端可信节点协商建立安全的通信方式,并建立各自的通信会话,所述可信节点与所述对端可信节点之间的网络连接建立完成;
(5)所述可信节点通过所述通信方式和各自的通信会话,与所述对端可信节点进行数据传输。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果包括:
(3.1)所述可信节点的计算部件中的TSB代理根据所述控制结果,对所述对端可信节点的防护部件的可信平台控制模块提供的可信凭据进行可信认证,得到第一认证结果;
(3.2)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态进行可信认证,得到第二认证结果;
(3.3)所述可信节点的计算部件中的TSB代理在所述第一认证结果和所述第二认证结果均为可信时,确定所述认证结果为可信。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,(3.1)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态进行可信认证,得到第二认证结果包括:
所述可信节点的计算部件中的TSB代理根据所述控制结果,获取所述可信安全管理平台对所述对端可信节点的可信报告的评估结果,根据所述评估结果得到第二认证结果。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,在所述可信节点对所述对端可信节点发起网络连接之前,所述可信连接方法还包括:
所述可信节点和所述对端可信节点均通过自身的防护部件定期向所述可信安全管理平台发送可信报告。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输包括:
(10)所述可信节点的计算部件通过TSB代理拦截网络行为,读取所述网络行为及其上下文数据,并将所述网络行为及其上下文数据传递给所述可信节点的防护部件;
(20)所述可信节点的防护部件通过可信软件基中的策略引擎,匹配与所述网络行为及其上下文数据相关的策略,并根据所述策略对所述网络行为及其上下文数据进行度量和控制,得到控制结果;
(30)所述可信节点根据所述控制结果,通过已建立的通信方式和各自的通信会话,与所述对端可信节点进行数据传输。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,在所述可信节点与所述对端可信节点之间建立网络连接之后,所述可信节点通过以下任一方式与所述对端可信节点进行数据传输:
所述可信节点通过协商建立的通信方式,根据自身的通信会话中的会话密钥对数据进行加密和HMAC运算,将加密运算后的数据打包发送至所述对端可信节点;
所述可信节点通过协商建立的通信方式接收所述对端可信节点发送的数据包,读取所述数据包的标签,根据所述标签查询对应的通信会话,根据查询到的通信会话中的会话密钥对所述数据包进行解密和HMAC验证。
进一步,如上所述的一种基于可信计算双体系架构的可信连接方法,所述可信节点的计算部件还包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的其中一组硬件资源;
所述可信节点的防护部件还包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的另一组硬件资源;
所述计算机的硬件资源包括以下至少之一:CPU核、内存和I/O外设。
一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行本发明所述的一种基于可信计算双体系架构的可信连接方法。
一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行本发明所述的一种基于可信计算双体系架构的可信连接方法。
本发明的有益效果在于:本发明所提供的方法,在节点之间进行网络连接时,通过可信安全管理平台对节点的身份和状态进行可信验证,在确信对方可信的基础上建立安全可信的网络连接,从而保证节点之间的通信安全。
附图说明
图1为本发明实施例中提供的一种基于可信计算双体系架构的可信连接方法的流程示意图;
图2为本发明实施例中提供的可信连接认证流程图;
图3为本发明实施例中提供的可信连接框架图;
图4为本发明实施例中提供的可信连接逻辑控制流程图。
具体实施方式
下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。
术语解释:
TCM:可信密码模块,可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
TPCM:可信平台控制模块,一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。
TSB:可信软件基,为可信计算平台的可信性提供支持的软件元素的集合。
现有技术中,在计算节点进行网络连接时,由于存在身份认证信息容易被盗取或篡改以及无法保证计算节点的可信性的缺陷,所以容易导致各种网络安全隐患,无法保证网络连接和数据通信的可信性和安全性。针对现有技术存在的上述缺陷,本发明提供一种基于可信计算双体系架构的可信连接方法,除了可以验证计算节点彼此的身份认证信息之外,还可以利用可信安全管理平台对计算节点的可信状态进行评估,而且本发明还对计算节点进行了TPCM构建,使其成为可信计算双体系架构,双体系架构中的防护部件可以对计算部件进行可信度量和控制。本发明不仅可以保证计算节点本身可信,还可以通过可信安全管理平台保证网络连接安全。此外,本发明还可以在网络连接成功后进行会话管理和数据通信加密处理,以进一步保证计算节点之间的通信安全。
下面对本发明的可信节点进行详细描述。
本发明中的可信节点可以理解为对普通计算节点构建可信计算双体系架构后得到的节点,本发明中称其为可信节点。可信节点包括并行运行的计算部件和防护部件,计算部件用于执行计算任务,防护部件用于对计算部件进行可信度量和控制,且防护部件具有比计算部件更高的控制权限,防护部件可以访问并控制计算部件,但计算部件不可以访问和控制防护部件,双方通过安全的专用通道进行交互。
本发明中的可信节点基于CPU多核架构提供的资源隔离和交互机制,构建可信计算双体系架构。多核CPU架构可以将CPU核、内存和I/O外设等计算机硬件资源划分为两组互相隔离的资源集合,并提供安全防护和相互通信的能力。本发明利用CPU的特性,将CPU核、内存和I/O外设划分为计算部件和防护部件两组硬件资源。可信计算双体系架构中,原有的计算机系统属于计算部件,可信平台控制模块(TPCM)属于防护部件。防护部件与计算部件并行运行,防护部件独立于计算部件,其资源受硬件机制保护,不受计算部件和外部的干涉和破坏。
在可信节点启动之后,TPCM先于计算部件启动,根据自身的策略,主动发起对计算部件的度量和安全防护。TPCM对计算部件的度量包括静态度量和动态度量。静态度量是指:在计算部件启动过程中对启动镜像逐级进行度量,并根据度量结果控制计算部件的启动过程(例如重启等)。计算部件启动镜像一般为多级启动镜像(如BIOS->GRUB->OS或UBOOT->OS),前一个启动镜像执行完成后,在加载下一级启动镜像的时候,通知TPCM度量下一级启动镜像,度量完成后计算部件执行下一级启动镜像,直到操作系统和TSB代理(植入到计算部件中的钩子程序)以及应用程序完成启动。动态度量是指:在计算部件运行过程中对TSB代理拦截到的行为、以及该行为执行所依赖的执行环境(包括系统环境和进程环境)进行度量,并根据度量结果控制计算部件的运行过程(例如杀死进程等)。
本发明中防护部件还可以根据对计算部件的度量结果生成可信报告,上报给可信安全管理平台,以供可信安全管理平台对可信节点进行可信状态评估。
实施例一
下面对本发明提供的一种基于可信计算双体系架构的可信连接方法进行详细描述。
一种基于可信计算双体系架构的可信连接方法,应用于可信计算系统,可信计算系统包括可信安全管理平台和与可信安全管理平台连接的至少两个可信节点,可信节点包括并行的计算部件和防护部件,计算部件用于执行计算任务,防护部件用于对计算部件进行可信度量和控制,计算部件与防护部件之间具有安全隔离机制,通过专用访问通道进行交互;
可信连接方法包括:
在可信节点对对端可信节点发起网络连接时,可信节点与对端可信节点均通过可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,可信节点与对端可信节点建立网络连接,建立完成后进行数据传输。
可信节点的计算部件包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的其中一组硬件资源,计算机的操作系统,TSB代理;
可信节点的防护部件包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的另一组硬件资源,可信平台控制模块TPCM,可信软件基TSB;
计算机的硬件资源包括以下至少之一:CPU核、内存和I/O外设。
本发明除了验证可信节点与对端可信节点彼此的身份认证信息之外,还利用可信安全管理平台对对方的可信状态进行评估,当身份认证信息和可信状态评估信息均可信时,确定当前的网络环境为安全状态,此时,可信节点可以与对端可信节点进行数据传输,以保证传输数据的完整性和安全性。除此之外,本发明的可信节点的防护部件还可以根据对计算部件的度量结果生成可信报告,上报给可信安全管理平台,以供可信安全管理平台对可信节点进行可信状态评估。
实施例二
下面针对可信节点与对端可信节点进行网络连接的过程进行详细描述。
如图1所示,在可信节点对对端可信节点发起网络连接时,可信节点与对端可信节点均通过可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,可信节点与对端可信节点建立网络连接,建立完成后进行数据传输包括:
步骤100、可信节点的计算部件通过TSB代理拦截网络行为,读取网络行为及其上下文数据,并将网络行为及其上下文数据传递给可信节点的防护部件;
TSB代理是植入计算部件中的用于拦截行为(包括网络行为)的钩子程序。
步骤200、可信节点的防护部件通过可信软件基中的策略引擎,匹配与网络行为及其上下文数据相关的策略,并根据策略对网络行为及其上下文数据进行度量和控制,得到控制结果;
防护部件中包括TPCM和TSB,TSB中包括策略引擎。策略引擎基于网络行为的上下文数据,在自身策略库中匹配与网络行为控制相关的策略,根据策略规定的度量方式对网络行为进行度量,如果度量结果为不可信,则表示该网络行为存在安全隐患不宜继续执行,则可以控制杀死该网络行为,阻止其继续执行,影响可信节点的可信性。如果度量结果为可信,则表示该网络行为可信,可以允许其继续执行,继续后续的操作。
步骤300、可信节点的计算部件中的TSB代理根据控制结果,通过可信安全管理平台对对端可信节点的身份和状态进行可信认证,得到认证结果;
同时,对端可信节点的计算部件中的TSB代理也会根据对应的控制结果,通过可信安全管理平台对可信节点的身份和状态进行可信认证,得到对应的认证结果。
步骤400、可信节点根据认证结果,与对端可信节点协商建立安全的通信方式,并建立各自的通信会话,可信节点与对端可信节点之间的网络连接建立完成;
如果认证结果为,对端可信节点的身份和状态均可信,同样地,对端可信节点对可信节点的身份和状态的认证结果同样可信,此时,可信节点与对端可信节点进行协商,建立一个安全的通信方式,比如单工通信、半双工通信和全双工通信,并各自建立通信会话,用于保留通信的关键数据,如密钥。通信会话也将记录会话的过期时间,以便及时更新关键数据,或者删除失效会话。
步骤500、可信节点通过通信方式和各自的通信会话,与对端可信节点进行数据传输。
如图2所示的可信连接架构图,可信连接不是一个简单的模块就可以实现的,而是可信计算环境各模块相互协调完成的任务。其中,网络行为拦截是TSB行为拦截的一部分,策略引擎是TSB的一部分,认证协商一般在TSB代理中实现,认证协商过程需要TPCM提供可信凭据,也需要可信安全管理平台提供进一步的对端状态评估,会话管理可以在TSB或其代理中实现,数据通信和连接控制也可以在TSB或其代理中实现。
可信连接架构包括以下模块:
1)网络行为拦截
网络行为拦截,在计算部件中植入网络行为拦截钩子(即TSB代理),通过构造拦截网络行为,读取网络行为和上下文数据,将数据传递给防护部件的TPCM,通过TPCM转发给TSB内的策略引擎。
2)策略引擎
策略引擎是策略语言执行部件,策略引擎根据TSB代理传入的网络行为和上下文数据,匹配网络控制相关的策略,并执行策略规定的度量和控制,如果度量结果可信,则取消拦截并允许网络行为继续执行,继续后续操作,如果度量结果不可信,则对网络行为进行控制(比如杀死进程),阻止后续操作。
3)认证和协商
根据策略引擎执行的网络连接控制结果,与对端进行可信认证和协商,只有对网络行为的度量结果为可信才允许继续与对端进行可信认证和协商。
其中可信认证,将本节点的可信凭据发送给对方,并验证对方的可信凭据,询问可信安全管理平台对端的可信状态。这些都通过以后,表明对方身份和状态可信,可以进行通信。
在认证的基础上,为了保证通信本身的安全可信,双方协商建立一个安全的通信方式。
4)会话管理
在双方协商安全通信方式以后,双方各自建立通信会话,通信会话将保留通信的关键数据,如密钥。通信会话也将记录会话的过期时间,以便及时更新关键数据,或者删除失效会话。
5)数据通信和连接控制
双方按前面协商的通信方式和会话,对数据进行适当的密码运算(如加密和HMAC),以保障数据机密性和完整性。对于没有进行相关密码运算的数据,被认为是非法数据,从而拒绝不可信的网络通信。
实施例三
下面针对可信节点对对端可信节点的身份和状态进行认证的过程进行详细描述。
可信节点的计算部件中的TSB代理根据控制结果,通过可信安全管理平台对对端可信节点的身份和状态进行可信认证,得到认证结果包括:
步骤301、可信节点的计算部件中的TSB代理根据控制结果,对对端可信节点的防护部件的可信平台控制模块提供的可信凭据进行可信认证,得到第一认证结果;
在可信认证发起之前,可信节点首先发起一个专用通信连接,用于向对端可信节点发送自身的可信凭据和接收对端可信节点发送的可信凭据,可信节点的计算部件中的TSB代理通过上述专用通信连接接收对端可信节点的防护部件的可信平台控制模块发送的可信凭据,并对其进行可信认证,得到第一认证结果。待双方可信凭据和可信状态都认证通过后,会建立一个数据通信连接,利用该数据通信连接可以进行数据通信。
步骤302、可信节点的计算部件中的TSB代理根据控制结果,通过可信安全管理平台对对端可信节点的状态进行可信认证,得到第二认证结果;
可信连接双方在认证过程中,通过可信安全管理平台作为第三方进一步验证对方状态的可信性,可信安全管理平台作为第三方对节点的状态评估会更为公正有效。
步骤303、可信节点的计算部件中的TSB代理在第一认证结果和第二认证结果均为可信时,确定认证结果为可信。
只有当网络行为的度量结果可信,控制结果为允许其执行时,可信节点的计算部件中的TSB代理才会继续对对端可信节点的身份和状态进行认证。
需要说明的是,可信节点的计算部件中的TSB代理对对端可信节点的身份和状态的认证不分先后,也可同时进行。
在可信节点对对端可信节点发起网络连接之前,可信连接方法还可以包括:
可信节点和对端可信节点均通过自身的防护部件定期向可信安全管理平台发送可信报告。
可信节点的计算部件中的TSB代理根据控制结果,通过可信安全管理平台对对端可信节点的状态进行可信认证,得到第二认证结果包括:
可信节点的计算部件中的TSB代理根据控制结果,获取可信安全管理平台对对端可信节点的可信报告的评估结果,根据评估结果得到第二认证结果。
如图3所示的可信连接认证流程图,在可信连接认证发起之前,所有可信节点(包括可信节点A和B)都会定期向可信安全管理平台发送可信报告(0.1可信报告),可信安全管理平台基于可信报告对对应的可信节点的可信状态进行评估,并记录评估结果(0.2可信状态评估)。
任意节点需要跟对端连接时则需要发起可信认证。假设可信节点A首先发起连接。具体流程如下:
1、在可信连接认证发起之前,可信节点A向可信节点B发起一个专用通信连接,用于专门向可信节点B发送自身的可信凭据和接收可信节点B发送的可信凭据;
2、可信节点A向可信节点B发送可信节点A的可信凭据;
3、可信节点B验证可信节点A的可信凭据,并进一步询问可信安全管理平台可信节点A是否可信,即获取可信节点A的可信状态评估结果;
4、可信节点B向可信节点A发送可信节点B的可信凭据;
5、可信节点A验证可信节点B的可信凭据,并进一步询问可信安全管理平台可信节点B是否可信,即获取可信节点B的可信状态评估结果;
6、可信节点A与B相互认知完成,可信节点A向可信节点B发送通信协商信息,通信协商信息用于协商建立安全的通信方式和建立各自的通信会话;
7、可信节点B向可信节点A发送通信协商信息。
在可信连接认证发起之前,可信节点A首先发起一个用于传递可信凭证的专用通信连接,用于向可信节点B发送自身的可信凭据和接收可信节点B发送的可信凭据,待双方可信凭据和可信状态都认证通过后,会建立一个用于传递数据的数据通信连接,利用该数据通信连接可以进行数据通信。
上述协商过程可以适当优化,在可信节点A传输可信凭据的时候,也可以同时传输通信协商信息。
实施例四
下面针对可信节点与对端可信节点进行网络连接的另一种方法进行详细描述。
在可信节点对对端可信节点发起网络连接时,可信节点与对端可信节点均通过可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,可信节点与对端可信节点建立网络连接,建立完成后进行数据传输包括:
步骤10、可信节点的计算部件通过TSB代理拦截网络行为,读取网络行为及其上下文数据,并将网络行为及其上下文数据传递给可信节点的防护部件;
步骤20、可信节点的防护部件通过可信软件基中的策略引擎,匹配与网络行为及其上下文数据相关的策略,并根据策略对网络行为及其上下文数据进行度量和控制,得到控制结果;
步骤30、可信节点根据控制结果,通过已建立的通信方式和各自的通信会话,与对端可信节点进行数据传输。
在可信节点的防护部件通过可信软件基中的策略引擎对网络行为及其上下文数据进行度量和控制之后,如果度量结果可信,控制结果为允许网络行为执行,则判断是否已经存在通信会话,如果已经存在通信会话,则表明前面的网络行为已经建立与对端可信节点的会话。此时,可以跳过协商和会话建立过程,直接通过已建立的通信方式和各自的通信会话,与对端可信节点进行数据传输。
实施例五
下面针对可信节点与对端可信节点进行数据传输的过程进行详细描述。
在可信节点与对端可信节点之间建立网络连接之后,可信节点通过以下任一方式与对端可信节点进行数据传输。
当可信节点作为发送数据的一方时,可信节点与对端可信节点进行数据传输包括:
可信节点通过通信方式,根据自身的通信会话中的会话密钥对数据进行加密和HMAC运算,将加密运算后的数据打包发送至对端可信节点。
当可信节点作为接收数据的一方时,可信节点与对端可信节点进行数据传输包括:
可信节点通过通信方式接收对端可信节点发送的数据包,读取数据包的标签,根据标签查询对应的通信会话,根据查询到的通信会话中的会话密钥对数据包进行解密和HMAC验证。
可信节点接收到数据包之后,首先通过策略引擎对其进行可信度量,度量通过才读取数据包的标签,执行后续操作。
HMAC(Hash-based Message Authentication Code,哈希运算消息认证码)是与密钥相关的哈希运算消息认证码,HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。HMAC运算能够保证数据在传送的过程中没有被改动过,以保障数据的机密性和完整性。
如图4所示的可信连接逻辑控制流程图,节点1与节点2之间建立网络连接和进行数据传输的过程具体如下:
1、节点1的TSB代理拦截网络行为,读取网络行为和上下文数据,将数据传递给节点1的TPCM,通过TPCM转发给TSB。
2、节点1的TSB内的策略引擎根据TSB代理传入的行为和上下文数据,匹配网络控制相关的策略,并执行策略规定的度量和控制。
3、在策略允许的情况下,节点1开始建立网络通信会话。首先查找是否已经存在网络通信会话,如果已经存在网络通信会话,表明前面的网络行为已经建立与对端了会话,跳过协商和会话建立过程。
4、如果不存在网络通信会话,开始进行可信认证。认证过程将节点1的可信凭据发送给节点2,并验证对方的可信凭据,询问可信安全管理平台对端的可信状态。这些都通过以后,表面对方身份和状态可信,可以进行通信。
5、在认证通过的基础上,为了保证通信本身的安全可信,节点1和节点2协商建立一个安全的通信方式。双方各自建立通信会话,通信会话将保留通信的关键数据,如密钥。通信会话也将记录会话的过期时间,以便及时更新关键数据,或者删除失效会话。
6、如果会话建立成功或者已经存在,则开始传输数据,双方采用前面协商的通信方式和会话信息,节点1对数据进行适当的密码运算(如加密和HMAC运算)后打包发送给节点2,以保障数据机密性和完整性。对于没有进行相关密码运算的数据,被认为是非法数据,从而拒绝不可信的网络通信。
7、节点2接收到数据包后,通过自身的策略引擎对数据包进行可信度量,若度量结果为可信,则读取数据包的标签,查询对应的会话,通过会话中的密钥对数据包进行解密和HMAC验证,验证通过后得到数据。
实施例六
本发明还提供一种存储介质,存储介质中存储有计算机程序,其中,计算机程序运行时可以执行本发明的一种基于可信计算双体系架构的可信连接方法。该存储介质包括以下至少之一:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒(MemoryStick)、xD卡等,将本发明的一种基于可信计算双体系架构的可信连接方法转化成数据(计算机程序)刻录到上述存储介质中,比如将刻有本发明的一种基于可信计算双体系架构的可信连接方法的计算机程序的硬盘放入电脑运行,则可以实现本发明的一种基于可信计算双体系架构的可信连接方法。
实施例七
本发明还提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行本发明的一种基于可信计算双体系架构的可信连接方法。该存储器属于实施例六中的存储介质,能够存储本发明的一种基于可信计算双体系架构的可信连接方法的计算机程序,该处理器可以对存储器中的数据进行处理,该电子装置可以是计算机、手机或者其他包括存储器和处理器的任何装置。在计算机启动后,启动处理器运行存储器中的本发明的一种基于可信计算双体系架构的可信连接方法的计算机程序,则可以实现本发明的一种基于可信计算双体系架构的可信连接方法。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于可信计算双体系架构的可信连接方法,其特征在于,应用于可信计算系统,所述可信计算系统包括可信安全管理平台和与所述可信安全管理平台连接的至少两个可信节点,所述可信节点包括并行的计算部件和防护部件,所述计算部件用于执行计算任务,所述防护部件用于对所述计算部件进行可信度量和控制,所述计算部件与所述防护部件之间具有安全隔离机制,通过专用访问通道进行交互;
所述可信连接方法包括:
在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输。
2.根据权利要求1所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输包括:
(1)所述可信节点的计算部件通过TSB代理拦截网络行为,读取所述网络行为及其上下文数据,并将所述网络行为及其上下文数据传递给所述可信节点的防护部件;
(2)所述可信节点的防护部件通过可信软件基中的策略引擎,匹配与所述网络行为及其上下文数据相关的策略,并根据所述策略对所述网络行为及其上下文数据进行度量和控制,得到控制结果;
(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果;
(4)所述可信节点根据所述认证结果,与所述对端可信节点协商建立安全的通信方式,并建立各自的通信会话,所述可信节点与所述对端可信节点之间的网络连接建立完成;
(5)所述可信节点通过所述通信方式和各自的通信会话,与所述对端可信节点进行数据传输。
3.根据权利要求2所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,(3)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的身份和状态进行可信认证,得到认证结果包括:
(3.1)所述可信节点的计算部件中的TSB代理根据所述控制结果,对所述对端可信节点的防护部件的可信平台控制模块提供的可信凭据进行可信认证,得到第一认证结果;
(3.2)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态进行可信认证,得到第二认证结果;
(3.3)所述可信节点的计算部件中的TSB代理在所述第一认证结果和所述第二认证结果均为可信时,确定所述认证结果为可信。
4.根据权利要求3所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,(3.2)所述可信节点的计算部件中的TSB代理根据所述控制结果,通过所述可信安全管理平台对所述对端可信节点的状态进行可信认证,得到第二认证结果包括:
所述可信节点的计算部件中的TSB代理根据所述控制结果,获取所述可信安全管理平台对所述对端可信节点的可信报告的评估结果,根据所述评估结果得到第二认证结果。
5.根据权利要求1所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,在所述可信节点对所述对端可信节点发起网络连接之前,所述可信连接方法还包括:
所述可信节点和所述对端可信节点均通过自身的防护部件定期向所述可信安全管理平台发送可信报告。
6.根据权利要求1所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,在所述可信节点对对端可信节点发起网络连接时,所述可信节点与所述对端可信节点均通过所述可信安全管理平台对对方的身份和状态进行可信认证,认证通过后,所述可信节点与所述对端可信节点建立网络连接,建立完成后进行数据传输包括:
(10)所述可信节点的计算部件通过TSB代理拦截网络行为,读取所述网络行为及其上下文数据,并将所述网络行为及其上下文数据传递给所述可信节点的防护部件;
(20)所述可信节点的防护部件通过可信软件基中的策略引擎,匹配与所述网络行为及其上下文数据相关的策略,并根据所述策略对所述网络行为及其上下文数据进行度量和控制,得到控制结果;
(30)所述可信节点根据所述控制结果,通过已建立的通信方式和各自的通信会话,与所述对端可信节点进行数据传输。
7.根据权利要求1至6中任一项所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,在所述可信节点与所述对端可信节点之间建立网络连接之后,所述可信节点通过以下任一方式与所述对端可信节点进行数据传输:
所述可信节点通过协商建立的通信方式,根据自身的通信会话中的会话密钥对数据进行加密和HMAC运算,将加密运算后的数据打包发送至所述对端可信节点;
所述可信节点通过协商建立的通信方式接收所述对端可信节点发送的数据包,读取所述数据包的标签,根据所述标签查询对应的通信会话,根据查询到的通信会话中的会话密钥对所述数据包进行解密和HMAC验证。
8.根据权利要求1至6中任一项所述的一种基于可信计算双体系架构的可信连接方法,其特征在于,所述可信节点的计算部件还包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的其中一组硬件资源;
所述可信节点的防护部件还包括:通过多核CPU架构将计算机的硬件资源划分为两组硬件资源的另一组硬件资源;
所述计算机的硬件资源包括以下至少之一:CPU核、内存和I/O外设。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至8中任一项所述的一种基于可信计算双体系架构的可信连接方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至8中任一项所述的一种基于可信计算双体系架构的可信连接方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910604540.3A CN110401640B (zh) | 2019-07-05 | 2019-07-05 | 一种基于可信计算双体系架构的可信连接方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910604540.3A CN110401640B (zh) | 2019-07-05 | 2019-07-05 | 一种基于可信计算双体系架构的可信连接方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110401640A true CN110401640A (zh) | 2019-11-01 |
CN110401640B CN110401640B (zh) | 2021-10-22 |
Family
ID=68322732
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910604540.3A Active CN110401640B (zh) | 2019-07-05 | 2019-07-05 | 一种基于可信计算双体系架构的可信连接方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110401640B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
CN112149801A (zh) * | 2020-09-08 | 2020-12-29 | 北京工业大学 | 一种gan神经网络可信执行方法及装置 |
CN113076462A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
CN115021964A (zh) * | 2022-04-29 | 2022-09-06 | 北京旋极安辰计算科技有限公司 | 一种基于可信验证的分布式安全监管引擎系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281010B2 (en) * | 2000-11-15 | 2007-10-09 | Lenovo (Singapore) Pte. Ltd. | Trusted computing platform with dual key trees to support multiple public/private key systems |
CN101242297A (zh) * | 2007-09-14 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种实现可信网络管理的方法 |
CN101778099B (zh) * | 2009-12-31 | 2012-10-03 | 郑州信大捷安信息技术股份有限公司 | 可容忍非信任组件的可信网络接入架构及其接入方法 |
CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
CN104468606A (zh) * | 2014-12-24 | 2015-03-25 | 国家电网公司 | 一种基于电力生产控制类系统的可信连接系统和方法 |
CN107493271A (zh) * | 2017-07-28 | 2017-12-19 | 大唐高鸿信安(浙江)信息科技有限公司 | 可信安全网络系统 |
CN109871694A (zh) * | 2019-03-14 | 2019-06-11 | 沈昌祥 | 一种基于双体系结构可信计算平台的静态度量方法 |
CN109918916A (zh) * | 2019-03-14 | 2019-06-21 | 沈昌祥 | 一种双体系可信计算系统及方法 |
-
2019
- 2019-07-05 CN CN201910604540.3A patent/CN110401640B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7281010B2 (en) * | 2000-11-15 | 2007-10-09 | Lenovo (Singapore) Pte. Ltd. | Trusted computing platform with dual key trees to support multiple public/private key systems |
CN101242297A (zh) * | 2007-09-14 | 2008-08-13 | 西安西电捷通无线网络通信有限公司 | 一种实现可信网络管理的方法 |
CN101778099B (zh) * | 2009-12-31 | 2012-10-03 | 郑州信大捷安信息技术股份有限公司 | 可容忍非信任组件的可信网络接入架构及其接入方法 |
CN104038478A (zh) * | 2014-05-19 | 2014-09-10 | 瑞达信息安全产业股份有限公司 | 一种嵌入式平台身份验证可信网络连接方法和系统 |
CN104468606A (zh) * | 2014-12-24 | 2015-03-25 | 国家电网公司 | 一种基于电力生产控制类系统的可信连接系统和方法 |
CN107493271A (zh) * | 2017-07-28 | 2017-12-19 | 大唐高鸿信安(浙江)信息科技有限公司 | 可信安全网络系统 |
CN109871694A (zh) * | 2019-03-14 | 2019-06-11 | 沈昌祥 | 一种基于双体系结构可信计算平台的静态度量方法 |
CN109918916A (zh) * | 2019-03-14 | 2019-06-21 | 沈昌祥 | 一种双体系可信计算系统及方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
CN112149801A (zh) * | 2020-09-08 | 2020-12-29 | 北京工业大学 | 一种gan神经网络可信执行方法及装置 |
CN112149801B (zh) * | 2020-09-08 | 2024-05-28 | 北京工业大学 | 一种gan神经网络可信执行方法及装置 |
CN113076462A (zh) * | 2021-03-25 | 2021-07-06 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
CN113076462B (zh) * | 2021-03-25 | 2024-04-30 | 恒安嘉新(北京)科技股份公司 | 网络会话数据查询方法、装置、设备及介质 |
CN115021964A (zh) * | 2022-04-29 | 2022-09-06 | 北京旋极安辰计算科技有限公司 | 一种基于可信验证的分布式安全监管引擎系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110401640B (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101114728B1 (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
CN110401640A (zh) | 一种基于可信计算双体系架构的可信连接方法 | |
RU2437228C2 (ru) | Система доверительного сетевого подключения для улучшения безопасности | |
CN109361668A (zh) | 一种数据可信传输方法 | |
Barbosa et al. | Provable security analysis of FIDO2 | |
Kumar et al. | Exploring security issues and solutions in cloud computing services–a survey | |
US11997210B2 (en) | Protection of online applications and webpages using a blockchain | |
Ravindran et al. | A Review on Web Application Vulnerability Assessment and Penetration Testing. | |
CN116015977A (zh) | 一种用于物联网设备的网络访问控制方法及系统 | |
Deshpande et al. | Major web application threats for data privacy & security–detection, analysis and mitigation strategies | |
Liu et al. | Risk-based dynamic identity authentication method based on the UCON model | |
Deeptha et al. | Extending OpenID connect towards mission critical applications | |
Ma et al. | Security modeling and analysis of mobile agent systems | |
Dietz et al. | Hardening Persona-Improving Federated Web Login. | |
Bella | What is correctness of security protocols? | |
CN113449343B (zh) | 基于量子技术的可信计算系统 | |
Alzomai | Identity management: Strengthening one-time password authentication through usability | |
Malamas et al. | Design flaws as security threats | |
US20230063043A1 (en) | Management of resource access in a blockchain | |
De Ryck | Client-side web security: mitigating threats against web sessions | |
Varfolomeeva et al. | Blockchain Fog-based scheme for identity authentication in smart building | |
Bays et al. | FIC Vulnerability Profile | |
Lahmer | Towards a Virtual Domain based Authentication Solution for the MapReduce Application | |
Bhat | Analysis of Cybersecurity for the Enterprise |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |