CN111866044A - 数据采集方法、装置、设备及计算机可读存储介质 - Google Patents
数据采集方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111866044A CN111866044A CN201910357610.XA CN201910357610A CN111866044A CN 111866044 A CN111866044 A CN 111866044A CN 201910357610 A CN201910357610 A CN 201910357610A CN 111866044 A CN111866044 A CN 111866044A
- Authority
- CN
- China
- Prior art keywords
- subscription
- configuration
- information
- network device
- subscription configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000008569 process Effects 0.000 claims abstract description 30
- 230000015654 memory Effects 0.000 claims description 45
- 238000012545 processing Methods 0.000 claims description 45
- 230000001960 triggered effect Effects 0.000 claims description 21
- 230000000737 periodic effect Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 9
- 238000001914 filtration Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 abstract description 17
- 230000007246 mechanism Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 12
- 238000013499 data model Methods 0.000 description 12
- 238000005259 measurement Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000013480 data collection Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 241000700159 Rattus Species 0.000 description 2
- 230000032683 aging Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- BHTRKEVKTKCXOH-LBSADWJPSA-N tauroursodeoxycholic acid Chemical compound C([C@H]1C[C@@H]2O)[C@H](O)CC[C@]1(C)[C@@H]1[C@@H]2[C@@H]2CC[C@H]([C@@H](CCC(=O)NCCS(O)(=O)=O)C)[C@@]2(C)CC1 BHTRKEVKTKCXOH-LBSADWJPSA-N 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了采集数据的方法、装置、设备及计算机可读存储介质。方法应用于远程证明的过程中,方法包括:远程证明服务器向网络设备下发订阅配置,订阅配置用于订阅网络设备进行远程证明的相关信息;远程证明服务器接收网络设备基于订阅配置反馈的订阅信息。通过远程证明服务器向网络设备下发订阅配置,网络设备可据此自动反馈订阅信息,使得远程证明中的数据采集方式更为灵活,及时性较高,进而降低安全风险。此外,由于订阅配置无需远程证明服务器多次下发,因而减少了额外的消息交互,进而提高了数据采集效率。
Description
技术领域
本申请涉及计算机安全技术领域,特别涉及数据采集方法、装置、设备及计算机可读存储介质。
背景技术
随着计算机安全技术的发展,可信计算的研究越来越受到重视,而远程证明又是可信计算中的重要一环。为了进行远程证明,远程证明服务器需要采集网络设备上的数据,因此,采集数据的方式显得尤为重要。
相关技术在采集数据时,提供了一种轮询式挑战响应机制。该种机制下,由远程证明服务器发起请求,网络设备基于该请求答复当前的可信信息和状态。
不难看出,轮询式挑战响应机制中,由于每次需要服务器发起请求后,网络设备才进行答复,因而该种数据采集方式不够灵活。
申请内容
本申请实施例提供了一种数据采集方法、装置、设备及计算机可读存储介质,以解决相关技术中的问题,技术方案如下:
第一方面,提供了一种数据采集方法,所述方法应用于远程证明的过程中,根据该方法,远程证明服务器向网络设备下发订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息。所述远程证明服务器接收所述网络设备基于所述订阅配置反馈的订阅信息。通过远程证明服务器向网络设备下发订阅配置,网络设备可据远程证明服务器的订阅自动反馈订阅信息,这样,网络设备在远程证明中的数据采集方式较为灵活。而且,由于订阅配置无需远程证明服务器多次下发,可减少额外的消息交互,提高数据采集效率。
可选地,所述方法还包括:远程证明服务器向所述网络设备下发数据处理参数,所述订阅信息包括所述网络设备基于所述数据处理参数处理之后得到的信息。通过提前将数据处理参数下发至网络设备,以备网络设备反馈信息时使用,减少了交互次数,提高了数据采集效率。
可选地,所述向网络设备下发订阅配置,包括:所述远程证明服务器与所述网络设备建立网络配置协议会话,基于所述网络配置协议会话向所述网络设备下发订阅配置。通过网络配置协议来实现信息订阅,不仅有广泛的使用场景,还可继承网络配置协议的灵活、高效、主动通知、确保时效性等优点。
第二方面,提供了一种数据采集方法,所述方法应用于远程证明的过程中,所述方法包括:网络设备接收远程证明服务器下发的订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;所述网络设备基于所述订阅配置向所述远程证明服务器反馈订阅信息。
可选地,上述订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。
可选地,若所述订阅配置包括数据流的订阅配置,所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:基于所述数据流的订阅配置向所述远程服务器反馈以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
可选地,若所述订阅配置包括事件的订阅配置,所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:基于所述事件的订阅配置向所述远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。
可选地,上述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合;
所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:
基于所述订阅配置中包括的订阅模式,向所述远程证明服务器反馈订阅信息。
可选地,上述不同类型的信息对应不同的订阅模式。
可选地,上述订阅配置还包括过滤器的配置,所述订阅信息包括基于所述过滤器的配置进行过滤之后得到的信息。
可选地,所述方法还包括:接收所述远程证明服务器下发的数据处理参数,所述订阅信息包括基于所述数据处理参数处理之后得到的信息。
可选地,所述接收远程证明服务器下发的订阅配置,包括:与所述远程证明服务器建立网络配置协议会话,基于所述网络配置协议会话接收所述远程证明服务器下发的订阅配置。
第三方面,提供了一种数据采集装置,所述装置应用于远程证明的过程中,所述装置包括:发送模块,用于向网络设备下发订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;接收模块,用于接收所述网络设备基于所述订阅配置反馈的订阅信息。
可选地,所述发送模块,还用于向所述网络设备下发数据处理参数,所述订阅信息包括基于所述数据处理参数处理之后得到的信息。
可选地,所述发送模块,用于与所述网络设备建立网络配置协议会话,基于所述网络配置协议会话向所述网络设备下发订阅配置。
第四方面,提供了一种数据采集装置,所述装置应用于远程证明的过程中,所述装置包括:接收模块,用于接收远程证明服务器下发的订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;发送模块,用于基于所述订阅配置向所述远程证明服务器反馈订阅信息。
可选地,若所述订阅配置包括数据流的订阅配置,所述发送模块,用于基于所述数据流的订阅配置向所述远程服务器反馈以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
可选地,若所述订阅配置包括事件的订阅配置,所述发送模块,用于基于所述事件的订阅配置向所述远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。
可选地,所述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合;
所述发送模块,用于基于所述订阅配置中包括的订阅模式,向所述远程证明服务器反馈订阅信息。
可选地,所述接收模块,还用于接收所述远程证明服务器下发的数据处理参数,所述发送模块反馈的订阅信息包括基于所述数据处理参数处理之后得到的信息。
可选地,所述接收模块,用于与所述远程证明服务器建立网络配置协议会话,基于所述网络配置协议会话接收所述远程证明服务器下发的订阅配置。
第五方面,提供了一种采集数据的设备,所述设备包括存储器及处理器;所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现本申请第一方面或第二方面的任一种可能的实施方式中的方法。
第六方面,提供了一种通信装置,该装置包括:收发器、存储器和处理器。其中,该收发器、该存储器和该处理器通过内部连接通路互相通信,该存储器用于存储指令,该处理器用于执行该存储器存储的指令,以控制收发器接收信号,并控制收发器发送信号,并且当该处理器执行该存储器存储的指令时,使得该处理器执行第一方面或第二方面的任一种可能的实施方式中的方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第七方面,提供了一种通信系统,该系统包括上述第三方面或第三方面的任一种可能实施方式中的装置,以及上述第四方面或第四方面的任一种可能实施方式中的装置。
第八方面,提供了一种计算机程序(产品),所述计算机程序(产品)包括:计算机程序代码,当所述计算机程序代码被计算机运行时,使得所述计算机执行上述第一方面或第二方面的任一种可能的实施方式中的方法。
第九方面,提供了一种可读存储介质,可读存储介质存储程序或指令,当所述程序或指令在计算机上运行时,上述第一方面或第二方面的任一种可能的实施方式中的方法被执行。
第十方面,提供了一种芯片,包括处理器,处理器用于从存储器中调用并运行所述存储器中存储的指令,使得安装有所述芯片的通信设备执行上述第一方面或第二方面的任一种可能的实施方式中的方法。
第十一方面,提供另一种芯片,包括:输入接口、输出接口、处理器和存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过内部连接通路相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述第一方面或第二方面的任一种可能的实施方式中的方法。
根据本申请实施例的技术方案,通过远程证明服务器向网络设备下发订阅配置,网络设备可据此自动反馈订阅信息,使得远程证明中的数据采集方式更为灵活,及时性较高,进而降低安全风险。此外,由于订阅配置无需远程证明服务器多次下发,因而减少了额外的消息交互,进而提高了数据采集效率。
附图说明
图1A为本申请实施例提供的远程认证过程示意图;
图1B为本申请实施例提供的实施环境示意图;
图2为本申请实施例提供的启动过程示意图;
图3为本申请实施例提供的启动过程示意图;
图4为本申请实施例提供的远程证明过程示意图;
图5为本申请实施例提供的采集数据的方法流程图;
图6为本申请实施例提供的配置订阅数据模型树形结构示意图;
图7为本申请实施例提供的会话交互示意图;
图8为本申请实施例提供的会话交互示意图;
图9为本申请实施例提供的动态订阅数据模型树形结构示意图;
图10为本申请实施例提供的动态订阅数据模型树形结构示意图;
图11为本申请实施例提供的会话交互示意图;
图12为本申请实施例提供的会话交互示意图;
图13为本申请实施例提供的动态订阅数据模型树形结构示意图;
图14为本申请实施例提供的采集数据的装置结构示意图;
图15为本申请实施例提供的采集数据的装置结构示意图;
图16为本申请实施例提供的采集数据的设备结构示意图;
图17为本申请实施例提供的通信装置结构示意图。
具体实施方式
本申请的实施方式部分使用的术语仅用于对本申请的实施例进行解释,而非旨在限定本申请。
在可信计算体系中,建立可信网络系统需要先拥有可信根(root-of-trust,RoT),然后建立一条可信链(Chain of Trust),再将可信传递到网络系统的各个模块,之后就能建立整个网络系统的可信。由此可见,可信根需要是一个能够被信任的组件。由于一般可以认为可信平台模块(trusted platform module,TPM)和基本输入输出系统(basic inputoutput system,BIOS)是绝对可信的,因而可信根可存在于每个网络设备的TPM和BIOS中。
一个可信网络设备包括三个可信根:度量可信根(root of trust formeasurement,RTM)、存储可信根(root of trust for storage,RTS)和报告可信根(rootof trust for reporting,RTR)。其中,RTM被用来完成完整性度量,通常使用度量可信根的核心(core root of trust for measurement,CRTM)所控制的计算引擎来完成完整性度量。CRTM包括网络设备执行RTM时的执行代码,CRTM一般存在BIOS中。RTM也是信任传递的原点。RTS是维护完整性摘要的值和摘要序列的引擎,RTS一般包括对存储的信息加密的引擎和加密密钥。RTR是计算引擎,能够可靠地报告RTS持有的数据,这个可靠性一般由签名来保证。
远程证明(remote attestation,RA)是可信计算整体解决方案中的技术之一,RA用于判断可信服务器的可信性状态。如图1A所示,远程证明系统包括RA服务器(RAserver)、RA客户端(RA client)和隐私证书颁发中心(privacy certificate authority,PCA)。RA服务器保存有RA客户端的平台配置寄存器(platform configure register,PCR)的参考值,负责接收RA客户端发送的PCR值,并给出RA客户端的可信状态。RA客户端是带有TPM并支持可信启动功能的设备。RA客户端向PCA申请并获得PCA分配的证明标识密钥(attestation identity key,AIK)证书。当某些场景下,RA服务器会发起对RA客户端的远程认证,RA服务器向RA客户端发起挑战请求,RA客户端收集PCR值,使用AIK私钥签名后,将使用AIK私钥签名的PCR值以及AIK证书一起发送给RA服务器,RA服务器向PCA验证RA客户端发送的AIK证书的有效性。PCA向RA服务器返回对应该RA客户端的PCR参考值,RA服务器将RA客户端发送的PCR值与所述RA客户端的PCR参考值比较,根据比较结果确定RA客户端的可信性状态,即确定RA客户端是否可信。
以图1B所示的实施环境中,可信计算组织(trusted computing group,TCG)提出的可信根存在于TPM为例,网络管理系统(network management system,NMS)和/或运行支持系统(operations supporting system,OSS)作为RA服务器,网络设备作为RA客户端,网络设备包括TPM。从网络设备上电开始,到网络设备的BIOS启动、网络设备上的多重操作系统启动管理器(grand unified bootloader,GRUB)及网络设备的系统核心程序加载的整个过程中,每个过程都需要NMS/OSS进行远程认证,以便逐级建立信任链。网络设备将度量得到的动态度量及静态度量等度量值存储在TPM的PCR中。网络设备的远程证明模块将这些度量值发送给作为RA服务器的NMS/OSS。而NMS/OSS可以根据PCR值与度量日志计算获取网络设备的当前状态。之后,再与预期值对比判断网络设备的可信性。图1B中的高安全区可以包括系统核心程序或信任区或因特尔软件保护扩展(intel software guard extensions,SGX)等。图1B中的终端具有设备身份组合引擎(device identity combination engine,DICE)。
由于网络设备的安全性严重依赖于设备上运行的软件的完整性,通常使用信任链模型确保软件完整性,启动期间每个阶段在执行前检查下一个阶段。如图2所示,可信根(RoT)要确保绝对安全,然后在设备启动过程中,系统固件(firmware)初始化整个硬件系统,并对下一阶段要运行的系统载入程序(loader)进行检查,即,对下一阶段要运行的系统载入程序(loader)进行HASH签名对比。如果系统载入程序通过检查,则启动系统载入程序,并由系统载入程序对下一阶段要运行的系统核心程序(kernal)进行检查。如果系统核心程序通过检查,则启动系统核心程序。以上从检查到启动的过程一直重复,直到启动过程全部完成。其中,启动包括安全启动(Secure BOOT)和可信启动(Trusted BOOT)。
安全启动是统一的可扩展固件接口(unified extensible firmware interface,UEFI)的一个部分(子规则),两者是局部与整体的关系。UEFI是一种详细描述类型接口的标准,这种接口用于操作系统自动从预启动的操作环境,加载到一种操作系统上。可扩展固件接口(extensible firmware interface,EFI)是Intel为个人计算机(personal computer,PC)固件的体系结构、接口和服务提出的建议标准,其主要目的是为了提供一组在操作系统(operating system,OS)加载之前(启动前)在所有平台上一致的、正确指定的启动服务。而Secure BOOT采用密钥的方式来防止恶意软件侵入。UEFI规定,主板出厂的时候,可以内置一些可靠的公钥。然后,任何想要在这块主板上加载的操作系统或者硬件驱动程序,都必须通过这些公钥的认证。也就是说,这些软件必须用对应的私钥签署过,否则主板拒绝加载。由于恶意软件不可能通过认证,因此就没有办法感染BOOT。
可信启动包括:在设备的系统启动过程中,设备的TPM记录设备的关键系统状态,在设备的系统启动完成后,设备向远程服务器发送报告,进行远程证明和认证,由使用者根据远程证明和认证的结果来确定整个系统环境的状态是否可信。在本申请的一些实施例中,设备的远程证明功能模块向远程服务器发送报告,进行远程证明和认证。在本申请的一些实施例中,网络管理系统或网络控制器可以基于预先配置或通过某种方式获取的策略,根据远程证明和认证的结果来确定整个系统环境的状态是否可信,比如,对于是否允许设备接入、是否允许设备承载某业务等,都可以由所述网络管理系统或网络控制器基于预先配置或获得去的策略以及远程证明和认证的结果来确定。
如图3所示,可结合使用启动文件校验和启动文件度量,如果文件校验失败则停止启动,而文件度量只记录对启动过程或启动过程相关信息的度量值而不干涉启动。如图3所示,启动文件校验时,系统固件(firmware)初始化整个硬件系统,并对下一阶段要运行的系统载入程序(loader)进行检查,即,对下一阶段要运行的系统载入程序(loader)进行HASH签名对比。如果系统载入程序未通过检查,则停止启动系统载入程序。如果系统载入程序通过检查,则启动系统载入程序,并由系统载入程序对下一阶段要运行的系统核心程序(kernal)进行检查。如果系统核心程序未通过检查,则停止启动系统核心程序。如果系统核心程序通过检查,则启动系统核心程序。如图3所示,启动文件度量时,也会对系统载入程序及系统核心程序进行检查,但该检查并不干涉系统载入程序及系统核心程序的启动,只将启动过程或启动过程相关信息的度量值记录在TPM中。
进一步地,如图4所示,远程证明服务器可以通过网络收集网络设备或节点通过一定格式和交互流程发送的网络设备或节点的安全属性,然后通过挑战-响应的交互机制安全发送给远程证明服务器,并按照一定策略进行验证,最终证明设备的是否可信。另外,为了保证整个远程证明协议交互过程中设备和通信的安全性,包括证书申请和吊销等证书机制必须预先部署好,以支持协议交互过程中的证书的校验和查看等必要操作。所述网络设备或节点可以是服务器、物联网(internet of things,IoT)网关或终端。所述网络设备或节点的安全属性包括软硬件完整性值、配置信息、节点状态等。所述网络设备或节点可以从中央处理器(central processing unit,CPU)&TPM、到BIOS,再到Grub,再到系统核心程序(kernal),最后到应用程序(application,App)的信任链进行完整性值的计算和记录。如图4所示,在终端、网关、云终端可以实现可信移动、远程证明、端到端的保证设备层、通信层、管理层的可信执行环境。
其中,上述远程证明过程中,采集数据的方式是通过挑战-响应的交互机制来实现。该种方式中,需要远程证明服务器先向网络设备发送请求,网络设备再将自身安全属性等数据反馈给远程证明服务器。因此,该种数据采集方式不够灵活,且及时性不高,导致具有一定的安全风险。此外,由于需要服务器发起请求,因而具有额外的消息交互,导致效率不高。
对此,本申请实施例提供了一种应用于远程证明过程中的采集数据的方法,该方法以基于网络配置协议(network configuration protocol,NETCONF)的订阅/发布和推送机制实现数据采集为例。其中,NETCONF是一种应用在网络配置管理工具中的网络配置协议,它提供了一个对网络设备的配置文件进行安装、查询、读写以及删除操作的机制,相对于命令行界面)(command-line interface,CLI)和简单网络管理协议(simple networkmanagement protocol,SNMP),NETCONF在灵活性和可扩展性上更有优势。此外,NETCONF通过可扩展标记语言(extensible markup language,XML)数据格式,基于远程过程调用(remote procedure call,RPC)层之上,提供网络设备配置的安装、操作、删除机制。
NETCONF协议分成如下四层:
内容层:表示的是被管对象的集合。
操作层:定义了一系列在RPC中应用的基本的原语操作集,这些操作将组成NETCONF的基本能力。
RPC层:为RPC模块的编码提供了一个简单的、传输协议无关的机制。
通信协议层:与SNMP使用无连接的用户数据报协议(user datagram protocol,UDP)作为传输协议不同,NETCONF是面向连接的,它要求通信端口之间永久性的连接,而且这种连接必须提供可靠的,顺序的数据传输。目前支持安全壳协议(secure shell,SSH),安全传输层协议(transport layer security,TLS)等。
此外,本申请实施例提供的方法采用Yang push提供了一种标准的机制,使得可以订阅系统内以Yang模型描述的任何数据。指定要订阅的路径和订阅模式后,当选择周期性反馈的订阅模式时,系统会在指定的时间周期到达之后,将指定的数据推送给订阅用户。当选择on change模式(即事件触发反馈的订阅模式)时,系统会在订阅的数据发生改变时就将这些数据推送给订阅用户。
接下来,对本申请实施例提供的采集数据的方法进行举例说明。如图5所示,该方法包括如下几个步骤。
在步骤501中,远程证明服务器向网络设备下发订阅配置,订阅配置用于订阅网络设备进行远程证明的相关信息。
本申请采用订阅的方式,由远程证明服务器向网络设备下发订阅配置,从而订阅网络设备进行远程证明的相关信息。可选地,订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。例如,远程证明服务器向网络设备下发数据流的订阅配置,从而订阅网络设备进行远程证明的数据流的相关信息。或者,远程证明服务器向网络设备下发事件的订阅配置,从而订阅网络设备进行远程证明的事件的相关信息。又或者,远程证明服务器向网络设备下发数据流的订阅配置和事件的订阅配置,从而订阅网络设备进行远程证明的数据流和事件的相关信息。远程证明服务器向网络设备下发数据流的订阅配置和事件的订阅配置时,可以同时下发,也可以不同时下发,本申请实施例对此不加以限定。
其中,数据流的相关信息可以是网络设备可信相关的各类信息,包括但不限于以下信息中的一种或多种:网络设备启动时记录的信任链的各层的软件的完整性信息,网络设备运行时记录的操作系统动态完整性信息,网络设备运行时记录的软件的动态完整性信息,网络设备相关的身份证书和网络设备相关的远程证明证书。
事件包括但不限于设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件。其中,单板切换事件包括业务所在单板进行切换的事件。远程证明服务器订阅哪种数据流以及哪种事件可以依据应用场景来定,本申请实施例对此不加以限定。
可选地,订阅配置还可以包括订阅模式,该订阅模式用于指示反馈订阅信息的方式,该订阅模式包括周期性反馈和事件触发反馈中的一种或组合。可选地,不同类型的信息对应不同的订阅模式。例如,对于一些关键安全数据流,可以配置事件触发反馈的订阅模式,从而在订阅的数据发生改变时,立即由网络设备反馈至远程证明服务器。而对于一般安全数据,可以配置周期性反馈的订阅模式,从而在达到周期后,由网络设备反馈至远程证明服务器。当然,还可以采用其他策略来确定订阅模式,例如依据应用场景确定订阅模式等,本申请实施例对此不加以限定。
可选地,订阅配置还可以包括过滤器的配置。过滤器的配置用于对数据流或事件的相关信息进行过滤。应当理解的是,数据流及事件的订阅配置是一个较宽范围的信息订阅,而过滤器可以理解为一种限制条件,即在较宽范围的信息中筛选出更为细化的信息,从而使得采集的数据更具针对性。
在本申请实施例的可选实施方式中,无论订阅配置是对哪些内容进行订阅的配置,为了将订阅配置下发至网络设备,远程证明服务器向网络设备下发订阅配置的方式,包括但不限于以下方式中的一种或多种:与网络设备建立网络配置协议会话,基于网络配置协议会话向网络设备下发订阅配置。
可选地,本申请实施例提供的方法还可以将订阅配置的时效与网络配置协议会话的时效绑定。订阅配置基于网络配置协议会话下发之后,后续依赖于网络配置协议会话,即可以实现动态订阅。也就是说,在网络配置协议会话有效的情况下,可以基于该订阅配置继续订阅。一旦网络配置协议会话断开,则该订阅配置时效,无法再基于该订阅配置继续订阅,从而可以动态的监控网络设备的状态。该种方式下,可以定义相应的动态订阅RPC,减少额外信息交互。
当然,还可以将订阅配置的时效与网络配置协议会话的时效不绑定。订阅配置基于网络配置协议会话下发后,后续不依赖于网络配置协议会话,即实现配置订阅。也就是说,无论网络配置协议会话是否断开,基于该订阅配置仍然可以继续订阅,可以始终监控网络设备的状态。
订阅配置的时效与网络配置协议会话的时效是否绑定可以基于采集数据的类型来确定,例如,对于一些关键安全数据,可以采用二者不绑定的方式,利用on-change模式始终监控。对于一般安全数据,可以采用二者绑定的方式,在开启NETCONF会话期间周期性读取相关信息。
在步骤502中,网络设备接收远程证明服务器下发的订阅配置。
可选地,若网络设备与远程证明服务器建立了网络配置协议会话,在远程证明服务器基于网络配置协议会话下发订阅配置之后,网络设备基于网络配置协议会话接收远程证明服务器下发的订阅配置。
在步骤503中,网络设备基于订阅配置向远程证明服务器反馈订阅信息。
网络设备接收到远程证明服务器下发的订阅配置后,可基于订阅配置获取需要向远程证明服务器反馈的订阅信息。
可选地,若订阅配置包括数据流的订阅配置,基于订阅配置向远程证明服务器反馈订阅信息,包括:基于数据流的订阅配置向远程服务器反馈以下信息中的一种或多种:网络设备启动时记录的信任链的各层的软件的完整性信息,网络设备运行时记录的操作系统动态完整性信息,网络设备运行时记录的软件的动态完整性信息,网络设备相关的身份证书和网络设备相关的远程证明证书。具体反馈哪种订阅信息,可根据订阅配置中的订阅要求来确定。例如,若订阅配置要求订阅网络设备启动时记录的信任链的各层的软件的完整性信息,则网络设备基于订阅配置将启动时记录的信任链的各层的软件的完整性信息作为订阅信息反馈至远程证明服务器。
可选地,若订阅配置包括事件的订阅配置,基于订阅配置向远程证明服务器反馈订阅信息,包括:基于事件的订阅配置向远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。具体反馈哪种订阅信息,可根据订阅配置中的订阅要求来确定。例如,若订阅配置要求订阅设备启动的相关信息,则网络设备基于订阅配置在网络设备启动完成后,将网络设备启动完成后的信息作为订阅信息反馈至远程证明服务器。
可选地,若订阅配置还包括订阅模式,订阅模式用于指示反馈订阅信息的方式,该订阅模式包括周期性反馈或事件触发反馈或周期性反馈和事件触发反馈的组合。可选地,不同类型的信息对应不同的反馈订阅信息的方式;则网络设备基于订阅配置中包括的订阅模式,向远程证明服务器反馈订阅信息。具体采用哪种订阅模式反馈订阅信息,可基于订阅配置中的订阅要求来确定。例如,若订阅配置要求的订阅模式为周期性反馈,则网络设备在达到周期后,将获取的订阅信息反馈至远程证明服务器。
若订阅配置还包括过滤器的配置,则网络设备在采集订阅配置中订阅的数据流和事件的信息后,基于过滤器的配置对采集的信息进行过滤,之后得到满足订阅需求的订阅信息。
在步骤504中,远程证明服务器接收网络设备基于订阅配置反馈的订阅信息。
远程证明服务器接收网络设备反馈的订阅信息后,完成数据采集,可基于该订阅信息进行远程证明。例如,按照一定策略进行验证,最终证明网络设备是否可信。由此可见,远程证明可以动态监控网络设备的安全属性,防止网络设备被篡改、替换、复制等。
本申请实施例通过远程证明服务器向网络设备下发订阅配置,网络设备可据此自动反馈订阅信息,使得远程证明中的数据采集方式更为灵活,及时性较高,进而降低安全风险。此外,由于订阅配置无需远程证明服务器多次下发,因而减少了额外的消息交互,进而提高了数据采集效率。
进一步地,本申请实施例提供的方法还包括:远程证明服务器向网络设备下发数据处理参数,网络设备接收远程证明服务器下发的数据处理参数。在此基础上,网络设备向远程证明服务器反馈的订阅信息为基于数据处理参数处理之后得到的信息。通过该种方式,远程证明服务器将nonce、hash签名算法、指定TPM名称等数据处理参数提前发送至网络设备,以备后续使用。
例如,如果为了获取tpm的PCR值,数据处理参数包括Nonce、PCR-list数组、完整消息的签名算法标识和可使用的公钥编号(public-key-identifier)。其中,各个参数的内容:
Nonce:每次不同即可,使用时间戳或者计数增加均可。远程证明服务器和网络设备可基于Nonce来确认收到的消息的时效性和非重复性。除了采用Nonce来确认消息的时效性和非重复性之外,在本申请的一些实施例中,远程证明服务器也可以发送一个种子和一个持续计算的hash算法标识,由网络设备及远程证明服务器同步运算,从而共同确认收到的远程证明消息的时效性和非重复性;或者,也可以使用基于时间的单向认证(time-baseduni-directional attestation,RATS TUDA)机制,实现Nonce类似的功能。RATS TUDA机制本质上是一个单向的远程证明协议,即:attester(网络设备)单向给verifier(远程证明服务器)发送其完整性证据,verifier完成验证功能。它主要通过引入一个信任的第三方:可信的时间戳颁发机构(a trusted time stamp authority,TSA)。在verifier利用收到的远程证明消息中携带的attester的时间戳信息,以及TSA提供的时间戳令牌(time stamptoken,TST),共同确认收到的远程证明消息的时效性和非重复性。
PCR-list数组:包括多个PCR信息,PCR信息包括PCR寄存器编号,以及其使用的特定的签名算法。例如:数字签名算法(digital signature algorithm,DSA)、椭圆曲线数字签名算法(elliptic curve digital signature algorithm,ECDSA)或爱德华兹曲线数字签名算法(edwards-curve digital signature algorithm,EDDSA)等;
完整消息的签名算法:包括DSA、ECDSA或EDDSA等。本申请实施例中,该参数为一组可选的签名算法,attester可自主随机选择,并在返回的消息中指明选择了哪种签名算法;
可使用的公钥编号(public-key-identifier):指定应该使用哪一个公钥/私钥对进行签名和验证;本申请实施例中,该参数为一组可选的公钥编号。attester可自主随机选择,并在返回的消息中指明选择了哪个公钥;
目标TPM名称/编号:一组TPM名称,attester可以根据一些策略做决策,例如,1)选择哪个TPM进行收集,2)哪个TPM的PCR值发生变化了,就发送;3)按一定顺序依次发送每个TPM的PCR值等。
又例如,如果Verifier为了获取attester(网络设备)上存储的管理日志(storedmanagement log,SML)的PCR值,发送的数据处理参数包括节点名称、SML中日志记录选择方式、日志类型和PCR-list数值。其中,各个参数的内容如下:
节点名称:本申请实施例中,该参数为一组节点名称。Verifier将节点名称下发给attester后,attester可以根据一些策略做决策,例如:1)attester选择哪个节点进行收集,2)哪个节点的SML日志文件发生变化了,就发送;3)按一定顺序依次发送每个节点的SML全部/更新值等;
SML中日志记录选择方式:上次取完后的下一个/指定编号/指定时间的。Verifier将SML中日志记录选择方式下发给attester后,attester可自主随机选择,并在返回的消息中指明选择了哪种选择方式;
日志类型:bios或者完整性度量结构(integrity measurement architecture,IMA)。
PCR-list数组:由多个PCR信息组成,PCR信息包括PCR寄存器编号,以及其使用的特定的签名算法。例如:DSA、ECDSA或EDDSA等。
应当理解,上述两个数据处理参数的实例只是本申请实施例所提供的方法的示例性实施例,根据应用场景不同,还可以下发其他类型或其他内容的数据处理参数,本申请实施例对此不加以限定。无论针对哪种数据处理参数,网络设备在获取到用于进行远程证明的相关信息后,可基于该数据处理参数对获取到的信息进行处理,之后再将处理后的信息反馈至远程证明服务器。例如,基于数据处理参数中的加密算法对获取到的信息进行加密。
综上所述,本申请实施例通过使用netconf的pub/sub和push机制,不仅在现有固定网络中有广泛使用场景,且还继承了其灵活、高效、主动通知、确保时效性等优点;并且,通过网络设备主动反馈订阅信息,实现了设备侧事件触发的远程证明的机制;另外,通过nonce的随机性和同步性,使得信息可在本申请实施例提供的交互机制中使用。
为了便于理解,接下来以如下两个实例进行举例说明。
(一)针对配置订阅远程证明事件
1、以订阅配置包括数据流的订阅配置、事件的订阅配置、过滤器的订阅配置和订阅模式,远程证明服务器还下发了数据处理参数为例,各个内容如下:
数据流的订阅配置内容包括:
数据流:pcr-trust-evidence(PCR信任证据);
bios-log-trust-evidence(BIOS日志信任证据);
ima-log-trust-evidence(IMA日志信任证据)。
事件的订阅配置内容包括:
事件名:1001;
事件类型:设备启动完成。
数据流的数据处理参数包括:
远程证明类型:tpm2-attestation-challenge;
pcr库:aaa;
pcr-indices:6;
哈希算法id:14;nonce-value:0x564ac291;
signature-identifer-type使用TPM_ALG-ID:2;
Key-id使用价格public-key:0x784a22bf。
过滤器的订阅设置包括:
某厂家设备yang模型:xxx-vendor-device;
某设备的设备id:030DLA106C0522221111。
订阅模式包括:
周期性反馈:periodic;
订阅周期为:500;
推送安全数据流为:1001(与事件的订阅配置中设备启动事件id相同)。基于上述订阅配置,配置信息如下:
定义yang数据模型,描述订阅数据流类型,订阅事件类型,实现配置订阅。相关配置订阅数据模型树形结构如图6所示,树形结构撰写例依据IETF RFC8340。
对于下层的传输协议NETCONF而言,远程证明服务器为NETCONF客户端(NETCONFclient),而网络设备为NETCONF服务端(NETCONF server)。如图7所示,NETCONF client(远程证明服务器)与NETCONF server(网络设备)首先建立netconf session,并通过上述yang数据模型将所关注的远程证明的订阅配置下发给NETCONF server。NETCONF server通过定期发送notification(通知),周期性的将相关数据即订阅信息推送给NETCONF client。配置订阅不依赖于netconf session,session down(会话断开)后配置订阅仍然存在,NETCONF server依旧向NETCONF client定期发送notification。
2、以订阅配置包括数据流的订阅配置、事件的订阅配置、过滤器的订阅配置和订阅模式,远程证明服务器还下发了数据处理参数为例,各个内容如下:
数据流的订阅配置内容包括:数据流:pcr-trust-evidence(PCR信任证据),bios-log-trust-evidence(BIOS日志信任证据)和ima-log-trust-evidence(IMA日志信任证据)。
事件的订阅配置内容包括:
事件名:1002;
事件类型:设备主备切换。
数据流的数据处理参数包括:
远程证明类型:log-retrieval;
log-selector配置:node-name:aaa;
node-physical-index:77;
index-type选择为last-entry-value:010101;
log-type为bios;pcr库:aaa;pcr-indices:7;
哈希算法id:14;log-entry-quantity:69。
过滤器的订阅设置包括:
某厂家设备yang模型:xxx-vendor-device;
某设备的设备id:xxxx。
订阅模式包括:
on-change上报:on-change;
推送安全数据流为:1002(与设备主备切换事件id相同)。
基于上述订阅配置,配置信息如下:
如图8所示,NETCONF client与NETCONF server建立netconf session,并通过上述yang数据模型将所关注的远程证明的订阅配置下发给NETCONF server。当订阅的关键数据发生改变时,NETCONF Server发送notification将相关数据即订阅信息推送给NETCONFclient。配置订阅可以不依赖于netconf session,session down后配置订阅仍然存在,NETCONF server依旧向client定期发送notification。
当订阅事件触发时,NETCONF server向NETCONF client发送如下格式的notification。相关动态订阅数据模型树形结构如图9所示,树形结构撰写例依据IETFRFC8340。
(二)针对动态订阅远程证明事件
1、以订阅配置包括数据流的订阅配置、过滤器的订阅配置和订阅模式为例,各个内容如下:
数据流的订阅配置内容包括:
远程证明类型为:tpm2-attestation-challenge;
pcr库:aaa;pcr-indices:7;
哈希算法id:5;
nonce-value:0xa45668b1;
signature-identifer-type使用TPM_ALG-ID:2;
Key-id使用价格public-key:0xad3567c3。
过滤器的订阅配置内容包括:
某厂家设备yang模型:xxx-vendor-device;
某设备的设备id:xxxx。
订阅模式包括:
周期性上报:periodic;
订阅周期为:500;
推送安全数据流为:1001(与设备启动事件id相同)。
基于上述订阅配置,配置信息如下:
定义yang数据模型,描述订阅数据流类型,订阅事件类型,实现动态订阅。相关动态订阅数据模型树形结构如图10所示,树形结构撰写例依据IETF RFC8340。
动态订阅由NETCONF client在netconf session开启时向NETCONF server发送订阅RPC,NETCONF server在netconf session存在的时间段内向NETCONF client周期性或者on-change式的推送所订阅的订阅信息。例如,如图11所示。NETCONF client与NETCONFserver建立netconf session,并通过上述RPC将自己所关注的远程证明的订阅配置下发给NETCONF server。NETCONF server通过定期发送notification,周期性的将相关数据即订阅信息推送给NETCONF client。动态订阅依赖于netconf session,session down订阅消失。
2、以订阅配置包括数据流的订阅配置、事件的订阅配置、过滤器的订阅配置和订阅模式为例,各个内容如下:
数据流的订阅配置内容包括:
远程证明类型为:log-retrieval;
log-selector配置:node-name:linecard-2;
node-physical-index:77;
index-type选择为last-entry-value:28;
log-type为bios;pcr库:aaa;pcr-indices:7;
哈希算法id:5;
log-entry-quantity:69。
事件的订阅配置内容包括:
事件名:1008;
事件类型:设备更新。
过滤器的订阅配置内容包括:
某厂家设备yang模型:xxx-vendor-device;
某设备的设备id:xxxx。
订阅模式包括:
on-change上报:on-change;
推送安全数据流为:1008(与设备更新事件id相同)。基于上述订阅配置,配置信息如下:
如图12所示,NETCONF client与NETCONF server首先建立netconf session,并通过上述RPC将所关注的远程证明的订阅配置下发给NETCONF server。当订阅的关键数据发生改变时,NETCONF Server发送notification将相关数据即订阅信息推送给NETCONFclient。动态订阅依赖于netconf session,session down订阅消失。
当订阅事件触发时,NETCONF server向NETCONF client发送如下格式的notification。相关动态订阅数据模型树形结构如图13所示,树形结构撰写例依据国际标准RFC8340。
综上所示,本申请实施例提供的方法使用了最新的netconf/表述性状态转移配置协议(representational state transfer configuration protocol,RESCONF)pub(发布)/sub(订阅)和push(推送)机制,在现有固定网络中有广泛使用场景。应当理解的是,该机制可以非常容易地转换成其他协议和消息编码格式,如:RESCONF+JS对象简谱(javascript object notation,JSON)/可扩展标记语言(extensible markup language,XML),受限应用协议(constrained application protocol,CoAP)+简明二进制对象展现(concise binary object representation,CBOR),从而可以很容易地移植到web(互联网)、IoT、移动设备等场景中。其他协议的数据采集方式与NETCONF的原理相同,此处不再一一赘述。
基于相同技术构思,本申请实施例还提供了一种数据采集装置,该装置应用于远程证明的过程中,参见图14,该装置包括:
发送模块141,用于向网络设备下发订阅配置,订阅配置用于订阅网络设备进行远程证明的相关信息;
接收模块142,用于接收网络设备基于订阅配置反馈的订阅信息。
可选地,发送模块141,还用于向网络设备下发数据处理参数,订阅信息包括基于数据处理参数处理之后得到的信息。
可选地,发送模块141,用于与网络设备建立网络配置协议会话,基于网络配置协议会话向网络设备下发订阅配置。
基于相同技术构思,本申请实施例还一种数据采集装置,该装置应用于远程证明的过程中,参见图15,该装置包括:
接收模块151,用于接收远程证明服务器下发的订阅配置,订阅配置用于订阅网络设备进行远程证明的相关信息;
发送模块152,用于基于订阅配置向远程证明服务器反馈订阅信息。
可选地,若订阅配置包括数据流的订阅配置,发送模块152,用于基于数据流的订阅配置向远程服务器反馈以下信息中的一种或多种:
网络设备启动时记录的信任链的各层的软件的完整性信息,
网络设备运行时记录的操作系统动态完整性信息,
网络设备运行时记录的软件的动态完整性信息,
网络设备相关的身份证书,和
网络设备相关的远程证明证书。
可选地,若订阅配置包括事件的订阅配置,发送模块152,用于基于事件的订阅配置向远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。
可选地,订阅配置还包括订阅模式,订阅模式用于指示反馈订阅信息的方式,订阅模式包括周期性反馈和事件触发反馈中的一种或组合;
发送模块152,用于基于订阅配置中包括的订阅模式,向远程证明服务器反馈订阅信息。
可选地,接收模块151,还用于接收远程证明服务器下发的数据处理参数,发送模块反馈的订阅信息包括基于数据处理参数处理之后得到的信息。
可选地,接收模块151,用于与远程证明服务器建立网络配置协议会话,基于网络配置协议会话接收远程证明服务器下发的订阅配置。
应理解的是,上述提供的装置在实现其功能时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于相同构思,本申请实施例还提供了一种采集数据的设备,参见图16,该设备包括存储161及处理器162;存储器161中存储有至少一条指令,至少一条指令由处理器162加载并执行,以实现本申请实施例提供的上述任一种采集数据的方法。
本申请实施例还提供了一种通信装置,参见图17,该装置包括:收发器171、存储器172和处理器173。其中,该收发器171、该存储器172和该处理器173通过内部连接通路互相通信,该存储器172用于存储指令,该处理器173用于执行该存储器存储的指令,以控制收发器171接收信号,并控制收发器171发送信号,并且当该处理器173执行该存储器172存储的指令时,使得该处理器173执行上述任一种采集数据的方法。
本申请实施例还提供了一种通信系统,该系统包括上述图14所示的装置,以及上述图15所示的装置。
本申请的采集数据的设备可以是个人电脑(personal computer,PC)或服务器或网络设备。例如,采集数据的设备可以是路由器、交换机、服务器等。
基于相同构思,本申请实施例还提供了一种计算机可读存储介质,存储介质中存储有至少一条指令,指令由处理器加载并执行以实现本申请实施例提供的上述任一种采集数据的方法。
本申请实施例还提供了一种芯片,包括处理器,处理器用于从存储器中调用并运行存储器中存储的指令,使得安装有芯片的通信设备执行上述任一种的采集数据的方法。
本申请实施例还提供了一种芯片,包括:输入接口、输出接口、处理器和存储器,输入接口、输出接口、处理器以及存储器之间通过内部连接通路相连,处理器用于执行存储器中的代码,当代码被执行时,处理器用于执行上述任一种的采集数据的方法。
应理解的是,上述处理器可以是中央处理器(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者是任何常规的处理器等。值得说明的是,处理器可以是支持进阶精简指令集机器(advanced RISC machines,ARM)架构的处理器。
进一步地,在一种可选的实施例中,上述处理器为一个或多个,存储器为一个或多个。可选地,存储器可以与处理器集成在一起,或者存储器与处理器分离设置。上述存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。
该存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用。例如,静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic random access memory,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data dateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。
本申请提供了一种计算机程序,当计算机程序被计算机执行时,可以使得处理器或计算机执行上述方法实施例中对应的各个步骤和/或流程。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid StateDisk)等。
以上所述仅为本申请的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (39)
1.一种数据采集方法,其特征在于,所述方法应用于远程证明的过程中,所述方法包括:
远程证明服务器向网络设备下发订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;
所述远程证明服务器接收所述网络设备基于所述订阅配置反馈的订阅信息。
2.根据权利要求1所述的方法,其特征在于,所述订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。
3.根据权利要求2所述的方法,其特征在于,若所述订阅配置包括数据流的订阅配置,则所述订阅信息包括以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
4.根据权利要求2所述的方法,其特征在于,若所述订阅配置包括事件的订阅配置,则所述订阅信息包括设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发的相关信息。
5.根据权利要求1-4任一所述的方法,其特征在于,所述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合。
6.根据权利要求5所述的方法,其特征在于,不同类型的信息对应不同的订阅模式。
7.根据权利要求1-6任一所述的方法,其特征在于,所述订阅配置还包括过滤器的配置,所述订阅信息包括基于所述过滤器的配置进行过滤之后得到的信息。
8.根据权利要求1-7任一所述的方法,其特征在于,所述方法还包括:向所述网络设备下发数据处理参数,所述订阅信息包括基于所述数据处理参数处理之后得到的信息。
9.根据权利要求1-8任一所述的方法,其特征在于,所述向网络设备下发订阅配置,包括:
与所述网络设备建立网络配置协议会话,基于所述网络配置协议会话向所述网络设备下发订阅配置。
10.一种数据采集方法,其特征在于,所述方法应用于远程证明的过程中,所述方法包括:
网络设备接收远程证明服务器下发的订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;
所述网络设备基于所述订阅配置向所述远程证明服务器反馈订阅信息。
11.根据权利要求10所述的方法,其特征在于,所述订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。
12.根据权利要求10或11所述的方法,其特征在于,若所述订阅配置包括数据流的订阅配置,所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:
基于所述数据流的订阅配置向所述远程服务器反馈以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
13.根据权利要求11或12所述的方法,其特征在于,若所述订阅配置包括事件的订阅配置,所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:
基于所述事件的订阅配置向所述远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。
14.根据权利要求10-13任一所述的方法,其特征在于,所述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合;
所述基于所述订阅配置向所述远程证明服务器反馈订阅信息,包括:
基于所述订阅配置中包括的订阅模式,向所述远程证明服务器反馈订阅信息。
15.根据权利要求14所述的方法,其特征在于,不同类型的信息对应不同的订阅模式。
16.根据权利要求10-15任一所述的方法,其特征在于,所述订阅配置还包括过滤器的配置,所述订阅信息包括基于所述过滤器的配置进行过滤之后得到的信息。
17.根据权利要求10-16任一所述的方法,其特征在于,所述方法还包括:接收所述远程证明服务器下发的数据处理参数,所述订阅信息包括基于所述数据处理参数处理之后得到的信息。
18.根据权利要求10-17任一所述的方法,其特征在于,所述接收远程证明服务器下发的订阅配置,包括:
与所述远程证明服务器建立网络配置协议会话,基于所述网络配置协议会话接收所述远程证明服务器下发的订阅配置。
19.一种数据采集装置,其特征在于,所述装置应用于远程证明的过程中,所述装置包括:
发送模块,用于向网络设备下发订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;
接收模块,用于接收所述网络设备基于所述订阅配置反馈的订阅信息。
20.根据权利要求19所述的装置,其特征在于,所述订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。
21.根据权利要求20所述的装置,其特征在于,若所述订阅配置包括数据流的订阅配置,则所述订阅信息包括以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
22.根据权利要求20所述的装置,其特征在于,若所述订阅配置包括事件的订阅配置,则所述订阅信息包括设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发的相关信息。
23.根据权利要求19-22任一所述的装置,其特征在于,所述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合。
24.根据权利要求23所述的装置,其特征在于,不同类型的信息对应不同的订阅模式。
25.根据权利要求19-24任一所述的装置,其特征在于,所述订阅配置还包括过滤器的配置,所述订阅信息包括基于所述过滤器的配置进行过滤之后得到的信息。
26.根据权利要求19-25任一所述的装置,其特征在于,所述发送模块,还用于向所述网络设备下发数据处理参数,所述订阅信息包括基于所述数据处理参数处理之后得到的信息。
27.根据权利要求19-26任一所述的装置,其特征在于,所述发送模块,用于与所述网络设备建立网络配置协议会话,基于所述网络配置协议会话向所述网络设备下发订阅配置。
28.一种数据采集装置,其特征在于,所述装置应用于远程证明的过程中,所述装置包括:
接收模块,用于接收远程证明服务器下发的订阅配置,所述订阅配置用于订阅所述网络设备进行远程证明的相关信息;
发送模块,用于基于所述订阅配置向所述远程证明服务器反馈订阅信息。
29.根据权利要求28所述的装置,其特征在于,所述订阅配置包括数据流的订阅配置和事件的订阅配置中的一种或多种。
30.根据权利要求28或29所述的装置,其特征在于,若所述订阅配置包括数据流的订阅配置,所述发送模块,用于基于所述数据流的订阅配置向所述远程服务器反馈以下信息中的一种或多种:
所述网络设备启动时记录的信任链的各层的软件的完整性信息,
所述网络设备运行时记录的操作系统动态完整性信息,
所述网络设备运行时记录的软件的动态完整性信息,
所述网络设备相关的身份证书,和
所述网络设备相关的远程证明证书。
31.根据权利要求29或30所述的装置,其特征在于,若所述订阅配置包括事件的订阅配置,所述发送模块,用于基于所述事件的订阅配置向所述远程服务器反馈设备启动、设备升级、特定模式攻击事件、主备切换、单板插拔/切换、证书生命周期事件中的一种或多种事件触发后的相关信息。
32.根据权利要求28-31任一所述的装置,其特征在于,所述订阅配置还包括订阅模式,所述订阅模式用于指示反馈订阅信息的方式,所述订阅模式包括周期性反馈和事件触发反馈中的一种或组合;
所述发送模块,用于基于所述订阅配置中包括的订阅模式,向所述远程证明服务器反馈订阅信息。
33.根据权利要求32所述的装置,其特征在于,不同类型的信息对应不同的订阅模式。
34.根据权利要求28-33任一所述的装置,其特征在于,所述订阅配置还包括过滤器的配置,所述订阅信息包括基于所述过滤器的配置进行过滤之后得到的信息。
35.根据权利要求28-34任一所述的装置,其特征在于,所述接收模块,还用于接收所述远程证明服务器下发的数据处理参数,所述发送模块反馈的订阅信息包括基于所述数据处理参数处理之后得到的信息。
36.根据权利要求28-35任一所述的装置,其特征在于,所述接收模块,用于与所述远程证明服务器建立网络配置协议会话,基于所述网络配置协议会话接收所述远程证明服务器下发的订阅配置。
37.一种数据采集设备,其特征在于,所述设备包括存储器及处理器;所述存储器中存储有至少一条指令,所述至少一条指令由所述处理器加载并执行,以实现权利要求1-9中任一所述的数据采集方法,或者实现权利要求10-18中任一所述的数据采集方法。
38.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现权利要求1-9中任一所述的数据采集方法,或者实现权利要求10-18中任一所述的数据采集方法。
39.一种计算机程序产品,其特征在于,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被计算机运行时,使得所述计算机执行权利要求1-9中任一所述的数据采集方法,或者执行权利要求10-18中任一所述的数据采集方法。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910357610.XA CN111866044A (zh) | 2019-04-29 | 2019-04-29 | 数据采集方法、装置、设备及计算机可读存储介质 |
| KR1020217015357A KR102558266B1 (ko) | 2019-04-29 | 2020-04-05 | 데이터 수집 방법, 장치, 디바이스 및 컴퓨터가 판독 가능한 저장 매체 |
| BR112021009069A BR112021009069A2 (pt) | 2019-04-29 | 2020-04-05 | Método de aquisição de dados, aparelho, dispositivo, e mídia de armazenamento legível por computador |
| EP20799560.6A EP3905641A4 (en) | 2019-04-29 | 2020-04-05 | DATA ACQUISITION METHOD, APPARATUS, DEVICE AND COMPUTER READABLE INFORMATION MEDIA |
| PCT/CN2020/083396 WO2020220938A1 (zh) | 2019-04-29 | 2020-04-05 | 数据采集方法、装置、设备及计算机可读存储介质 |
| JP2021522392A JP7279899B2 (ja) | 2019-04-29 | 2020-04-05 | データ収集方法、データ収集装置、データ収集デバイスおよびコンピュータ可読記憶媒体 |
| US17/513,841 US20220052919A1 (en) | 2019-04-29 | 2021-10-28 | Data collection method and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910357610.XA CN111866044A (zh) | 2019-04-29 | 2019-04-29 | 数据采集方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111866044A true CN111866044A (zh) | 2020-10-30 |
Family
ID=72965462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910357610.XA Pending CN111866044A (zh) | 2019-04-29 | 2019-04-29 | 数据采集方法、装置、设备及计算机可读存储介质 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20220052919A1 (zh) |
| EP (1) | EP3905641A4 (zh) |
| JP (1) | JP7279899B2 (zh) |
| KR (1) | KR102558266B1 (zh) |
| CN (1) | CN111866044A (zh) |
| BR (1) | BR112021009069A2 (zh) |
| WO (1) | WO2020220938A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11526613B2 (en) * | 2019-07-03 | 2022-12-13 | Microsoft Technology Licensing, Llc | Execution environment and gatekeeper arrangement |
| CN113708955B (zh) * | 2021-07-29 | 2023-12-05 | 杭州迪普科技股份有限公司 | 设备配置方法、装置及系统 |
| CN114221884B (zh) * | 2021-11-18 | 2023-12-26 | 新华三技术有限公司合肥分公司 | 心跳报文的订阅方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070118642A1 (en) * | 2005-11-23 | 2007-05-24 | Microsoft Corporation | Event forwarding |
| US20120216244A1 (en) * | 2011-02-17 | 2012-08-23 | Taasera, Inc. | System and method for application attestation |
| CN103460215A (zh) * | 2011-03-08 | 2013-12-18 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
| US9088509B1 (en) * | 2014-09-22 | 2015-07-21 | Level 3 Communications, Llc | Adaptive network function chaining |
| WO2017178811A1 (en) * | 2016-04-11 | 2017-10-19 | 100 Percent It Ltd | Remote attestation of cloud infrastructure |
| CN108306740A (zh) * | 2018-01-22 | 2018-07-20 | 华中科技大学 | 一种Intel SGX状态一致保护方法和系统 |
| WO2018136087A1 (en) * | 2017-01-20 | 2018-07-26 | Nokia Technologies Oy | Multiple remote attestation service for cloud-based systems |
| WO2018140628A1 (en) * | 2017-01-25 | 2018-08-02 | Cable Television Laboratories, Inc. | Systems and methods for authenticating platform trust in a network function virtualization environment |
| CN109691154A (zh) * | 2016-09-16 | 2019-04-26 | 高通股份有限公司 | 基于密钥刷新的按需网络功能重新认证 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006072682A (ja) | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | 中継装置及び通信システム及び通信方法及びプログラム |
| JP5038396B2 (ja) | 2006-04-21 | 2012-10-03 | インターデイジタル テクノロジー コーポレーション | トラステッドコンピューティングの完全性測定の通知を実行する装置および方法 |
| US8397299B2 (en) | 2006-09-14 | 2013-03-12 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| CN101110822B (zh) | 2007-07-06 | 2011-11-02 | 华为技术有限公司 | 基于网络配置协议的事件通知发送方法、系统及设备 |
| US9444823B2 (en) * | 2008-12-24 | 2016-09-13 | Qualcomm Incorporated | Method and apparatus for providing network communication association information to applications and services |
| US8615788B2 (en) * | 2009-08-12 | 2013-12-24 | International Business Machines Corporation | Method and apparatus for scalable integrity attestation in virtualization environments |
| JP6409616B2 (ja) | 2015-02-25 | 2018-10-24 | 富士通株式会社 | 管理プログラム、管理方法、及び管理装置 |
| US11290324B2 (en) | 2016-12-30 | 2022-03-29 | Intel Corporation | Blockchains for securing IoT devices |
| US10382592B2 (en) * | 2017-07-12 | 2019-08-13 | Juniper Networks, Inc. | Segment routing label switched path for non-segment routing enabled routers |
-
2019
- 2019-04-29 CN CN201910357610.XA patent/CN111866044A/zh active Pending
-
2020
- 2020-04-05 KR KR1020217015357A patent/KR102558266B1/ko active IP Right Grant
- 2020-04-05 EP EP20799560.6A patent/EP3905641A4/en active Pending
- 2020-04-05 WO PCT/CN2020/083396 patent/WO2020220938A1/zh unknown
- 2020-04-05 BR BR112021009069A patent/BR112021009069A2/pt unknown
- 2020-04-05 JP JP2021522392A patent/JP7279899B2/ja active Active
-
2021
- 2021-10-28 US US17/513,841 patent/US20220052919A1/en active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070118642A1 (en) * | 2005-11-23 | 2007-05-24 | Microsoft Corporation | Event forwarding |
| US20120216244A1 (en) * | 2011-02-17 | 2012-08-23 | Taasera, Inc. | System and method for application attestation |
| CN103460215A (zh) * | 2011-03-08 | 2013-12-18 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
| US9088509B1 (en) * | 2014-09-22 | 2015-07-21 | Level 3 Communications, Llc | Adaptive network function chaining |
| WO2017178811A1 (en) * | 2016-04-11 | 2017-10-19 | 100 Percent It Ltd | Remote attestation of cloud infrastructure |
| CN109691154A (zh) * | 2016-09-16 | 2019-04-26 | 高通股份有限公司 | 基于密钥刷新的按需网络功能重新认证 |
| WO2018136087A1 (en) * | 2017-01-20 | 2018-07-26 | Nokia Technologies Oy | Multiple remote attestation service for cloud-based systems |
| WO2018140628A1 (en) * | 2017-01-25 | 2018-08-02 | Cable Television Laboratories, Inc. | Systems and methods for authenticating platform trust in a network function virtualization environment |
| CN108306740A (zh) * | 2018-01-22 | 2018-07-20 | 华中科技大学 | 一种Intel SGX状态一致保护方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022531040A (ja) | 2022-07-06 |
| JP7279899B2 (ja) | 2023-05-23 |
| KR20210079352A (ko) | 2021-06-29 |
| WO2020220938A1 (zh) | 2020-11-05 |
| EP3905641A1 (en) | 2021-11-03 |
| BR112021009069A2 (pt) | 2021-11-23 |
| US20220052919A1 (en) | 2022-02-17 |
| EP3905641A4 (en) | 2022-03-09 |
| KR102558266B1 (ko) | 2023-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9306945B2 (en) | Client authentication during network boot | |
| KR101353725B1 (ko) | 무선 네트워크내의 보안 키 관리 방법 및 시스템 | |
| US11847500B2 (en) | Systems and methods for providing management of machine learning components | |
| US20220052919A1 (en) | Data collection method and device | |
| CN112688907B (zh) | 组合式设备远程证明模式协商方法及相关设备,存储介质 | |
| EP2965192B1 (en) | Configuration and verification by trusted provider | |
| CN110597918B (zh) | 一种账户管理方法、装置及计算机可读存储介质 | |
| JP2022529689A (ja) | ブロックチェーンを用いたバージョン履歴管理 | |
| US10148621B2 (en) | Provisioning proxy for provisioning data on hardware resources | |
| JP2024505692A (ja) | ブロックチェーンネットワークに基づくデータ処理方法、装置及びコンピュータ機器 | |
| US11444785B2 (en) | Establishment of trusted communication with container-based services | |
| EP3598333B1 (en) | Electronic device update management | |
| US11695650B2 (en) | Secure count in cloud computing networks | |
| CN108289074B (zh) | 用户账号登录方法及装置 | |
| US20230244797A1 (en) | Data processing method and apparatus, electronic device, and medium | |
| Celesti et al. | Secure registration and remote attestation of IoT devices joining the cloud: The Stack4Things case of study | |
| CN115695529B (zh) | 智能化远程运维方法、装置、计算机设备及存储介质 | |
| US20230224292A1 (en) | Onboarding for cloud-based management | |
| US20240070329A1 (en) | Applying trusted backup configuration to a node | |
| Zhang | Secure and Practical Splitting of IoT Device Functionalities | |
| Lin et al. | Embedded approach for device inventory collection utilizing OS programmability | |
| WO2022238382A1 (en) | Timeliness in remote attestation procedures | |
| CN117811812A (zh) | 基于边缘自治网络的物联网设备接入认证方法及装置 | |
| CN115803739A (zh) | 服务的编排 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |