CN112448921A - 检测后门的方法和装置 - Google Patents
检测后门的方法和装置 Download PDFInfo
- Publication number
- CN112448921A CN112448921A CN201910815014.1A CN201910815014A CN112448921A CN 112448921 A CN112448921 A CN 112448921A CN 201910815014 A CN201910815014 A CN 201910815014A CN 112448921 A CN112448921 A CN 112448921A
- Authority
- CN
- China
- Prior art keywords
- evidence
- forwarding
- forwarding node
- integrity
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本申请提供了一种检测后门的方法和装置。第一终端可以通过至少两个第一转发节点与第二终端进行通信,即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
Description
技术领域
本申请涉及安全通信领域,更具体地涉及一种检测后门的方法和装置。
背景技术
网络在现今生活中的重要性逐步增长,每秒有亿万条信息在网络中穿梭,无数信息存储于网络中。得益于信息系统开源和开发流程的标准化,信息系统的漏洞和后门问题得到极大的缓解。另一方面,网络设备的后门问题近期凸显出来,并也越来越引起全球社会的高度重视。网络设备作为计算设备的一种,当它部署在运营商网络中时,天然具有网络可达的特性,因此容易遭受到黑客攻击而产生被动后门,对流经的网络流量进行非法篡改,或者非法复制流量并转发到黑客的影子服务器,从而达到窃取信息的目的。与此同时,设备的生成厂商可能会因为某些特殊的原因而主动留下后门,例如,可以在用户不知情的情况下,快速为已售设备进行软件升级,消除漏洞等。但是,主动后门也有可能被恶意利用从而对流经的网络流量进行恶意操作,造成信息的泄露和用户权利的损害。
传统方案中,利用可信平台模块(trusted platform module,TPM)作为可信根向第三方证明该设备在启动过程中加载的软件中没有被非法篡改或非预期的软件。然而,此方案需设备本身生成自身的完整性信息,陷入自身生成证据证明自身清白的悖论。其次,此方案设备在初始化阶段被验证为可信后长期保持可信的状态,缺少有效的长期监控。因此,亟待一种动态监控网络设备中是否有后门的方案。
发明内容
本申请提供一种检测后门的方法和装置,能够准确的确定出具有后门的设备,从而提高了安全通信的可信度。
第一方面,提供了一种检测后门的方法,该方法应用于包括第一终端、第二终端、至少两个第一转发节点和第三方证据链核验平台的系统中,其中,该第一终端通过该至少两个第一转发节点与该第二终端进行通信,该方法包括:该第三方证据链核验平台从该至少两个第一转发节点中的部分或全部第一转发节点接收该部分或全部第一转发节点的完整性证据,该至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的,且该每个第一转发节点包括对应的第一转发节点的标识;该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点,该目标第一转发节点为具有后门的转发节点。
第一终端可以通过至少两个第一转发节点与第二终端进行通信,即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
在一些可能的实现方式中,该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据,确定完整性证据发生跳变的至少两个候选第一转发节点,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流;该第三方证据链核验平台根据该至少两个候选第一转发节点的输入和/或输出端口,确定该目标第一转发节点。
报文流经的每个转发节点根据该报文生成完整性证据,并将完整性证据发送给第三方证据链核验平台,这样第三方证据链核验平台可以根据多个转发节点的完整性证据相互证明,并定位出具有后门的转发节点,从而提高了安全通信的安全性能。此外,由于该第三方证据链核验平台是基于数据流的证据链来验证的,因此第三方证据链核验平台可以对每条数据流都进行验证,也就是说,本申请实施例可以实现长期的监控后门。
在一些可能的实现方式中,该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:该第三方证据链核验平台根据该至少两个第一转发节点中的部分第一转发节点的完整性证据,确定该完整性证据的来源转发节点;该第三方证据链核验平台在该来源转发节点为该至少两个第一转发节点中的任意一个转发节点的情况下,确定来源转发节点为该目标第一转发节点。
在网络中出现非预期的承载数据流的报文时,可以根据传输该报文的转发节点生成的完整性证据,确定具有后门的转发节点。本实施例可以应用于以下场景中,某一个转发节点为了躲避监控,将经过的报文进行存储,并等待一段时间后再进行复制传输,若该报文后续的相邻的至少两个转发节点将根据该报文生成的完整性证据分别发送给第三方证据链核验平台,第三方证据链核验平台根据接收到的完整性证据形成的完整性证据链确定报文的源头,进而将该源头确定为具有后门的节点,从而提高了安全通信的安全性能。
在一些可能的实现方式中,该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:该第三方证据链校验平台根据该至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据,确定该目标第一转发节点,该至少一个第二转发节点的完整性证据是根据该第一报文生成的,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流。
第三方证据链核验平台除了接收到至少两个第一转发节点中的每个第一转发节点发送的完整性证据,还接收到至少一个第二转发节点中的每个第二转发节点发送的完整性证据,且第二转发节点发送的完整性证据也是根据第一报文生成的。第三方证据链核验平台可以结合该至少两个第一转发节点发送的完整性证据和该至少一个第二转发节点发送的完整性证据来确定该目标第一转发节点,即第三方证据链核验平台可以根据更多的转发节点的完整性证据相互证明,并定位出具有后门的转发节点,从而更近一步提高了安全通信的安全性能。
在一些可能的实现方式中,该第三方证据链校验平台根据该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据,确定该目标第一转发节点包括:该第三方证据链路校验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据,确定形成的证据链的分叉节点;该第三方证据链校验平台确定该分叉节点的下级节点的来源转发节点;该第三方证据链校验平台在该来源转发节点为该分叉节点的情况下,将该分叉节点确定为该目标第一转发节点。
第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据形成证据链。第三方证据链核验平台根据证据链确定分叉节点。为了避免具有后门的转发节点进行隐藏,本申请实施例再该分叉节点的下级节点的来源转发节点,若该来源转发节点为该分叉节点,则将该分叉节点确定为该目标第一转发节点。也就是说,具有后门的转发节点进行隐藏后,本实施例依然能够检测到,从而更近一步提高了安全通行的安全性能。
在一些可能的实现方式中,该完整性证据包括数据流的上级转发节点标识ID、下级转发节点ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
第二方面,提供了一种检测后门的方法,该方法应用于包括第一终端、第二终端、至少两个转发节点和第三方证据链核验平台的系统中,其中,该第一终端通过该至少两个转发节点与该第二终端进行通信,该方法包括:该至少两个转发节点中的第一转发节点对第一报文进行完整性记录;该第一转发节点根据该完整记录生成完整性证据,该完整性证据包括该第一转发节点的标识;该第一转发节点向该第三方证据链核验平台发送该完整性证据。
第一终端可以通过至少两个第一转发节点与第二终端进行通信,即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
在一些可能的实现方式中,该第一报文用于承载从该第一终端通过该至少两个转发节点到达该第二终端的数据流。
报文流经的每个转发节点根据该报文生成完整性证据,并将完整性证据发送给第三方证据链核验平台,使得第三方证据链核验平台可以根据多个转发节点的完整性证据相互证明,并定位出具有后门的转发节点,从而提高了安全通信的安全性能。此外,由于该第三方证据链核验平台是基于数据流的证据链来验证的,因此第三方证据链核验平台可以对每条数据流都进行验证,也就是说,本申请实施例可以实现长期的监控后门。
在一些可能的实现方式中,该方法还包括:该第一转发节点根据异常类型报文,确定该异常类型报文所属的数据流,该异常类型报文为该第一转发节点中的上级转发节点在该第一报文出现异常的情况下生成的;其中,该至少两个转发节点中的第一转发节点对第一报文进行完整性记录包括:该第一转发节点根据该异常类型报文所属的数据流,对该异常类型报文进行完整性记录,并生成该完整性证据。
第一转发节点的上级节点在第一报文出现异常时可以生成异常类型报文,该异常类型报文相对于第一报文而言,丢弃了该第一报文承载的数据流的信息,以及丢弃了报文头哈希统计值和报文负载哈希统计值。该第一转发节点从上级节点接收到该异常类型报文,并根据该异常类型报文判断该异常类型报文属于哪条数据流,并更新对应的数据流的报文头哈希统计值和报文负载哈希统计值。
在一些可能的实现方式中,该完整性证据包括该第一转发节点的上级转发节点的标识ID、该第一转发节点的ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
第三方面,提供了一种检测后门的装置,该装置可以是第三方证据链核验平台,也可以是第三方证据链核验平台内的芯片。该装置具有实现上述第一方面,及各种可能的实现方式的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的设计中,该装置包括:收发模块和处理模块,所述收发模块例如可以是收发器、接收器、发射器中的至少一种,该接收模块和发送模块可以包括射频电路或天线。该处理模块可以是处理器。可选地,所述装置还包括存储模块,该存储模块例如可以是存储器。当包括存储模块时,该存储模块用于存储指令。该处理模块与该存储模块连接,该处理模块可以执行该存储模块存储的指令或源自其他的指令,以使该装置执行上述第一方面,及各种可能的实现方式的通信方法。在本设计中,该装置可以为第三方法证据链核验平台。
在另一种可能的设计中,当该装置为芯片时,该芯片包括:收发模块和处理模块,接收模块和发送模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令,以使该终端内的芯片执行上述第一方面,以及任意可能的实现的通信方法。可选地,该处理模块可以执行存储模块中的指令,该存储模块可以为芯片内的存储模块,如寄存器、缓存等。该存储模块还可以是位于通信设备内,但位于芯片外部,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。
第四方面,提供了一种检测后门的装置,该装置可以是网络设备,也可以是网络设备内的芯片。该装置具有实现上述第二方面,及各种可能的实现方式的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的设计中,该装置包括:收发模块和处理模块。所述接收模块和发送模块例如可以是收发器、接收器、发射器中的至少一种,该收发模块可以包括射频电路或天线。该处理模块可以是处理器。
可选地,所述装置还包括存储模块,该存储模块例如可以是存储器。当包括存储模块时,该存储模块用于存储指令。该处理模块与该存储模块连接,该处理模块可以执行该存储模块存储的指令或源自其他的指令,以使该装置执行上述第二方面,或其任意一项的方法。
在另一种可能的设计中,当该装置为芯片时,该芯片包括:收发模块和处理模块。接收模块和发送模块例如可以是该芯片上的输入/输出接口、管脚或电路等。处理模块例如可以是处理器。该处理模块可执行指令,以使该网络设备内的芯片执行上述第二方面,以及任意可能的实现的通信方法。
可选地,该处理模块可以执行存储模块中的指令,该存储模块可以为芯片内的存储模块,如寄存器、缓存等。该存储模块还可以是位于通信设备内,但位于芯片外部,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用中央处理器(CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制上述各方面通信方法的程序执行的集成电路。
第五方面,提供了一种计算机存储介质,该计算机存储介质中存储有程序代码,该程序代码用于指示执行上述第一方面,及其任意可能的实现方式中的方法的指令。
第六方面,提供了一种计算机存储介质,该计算机存储介质中存储有程序代码,该程序代码用于指示执行上述第二方面,及其任意可能的实现方式中的方法的指令。
第七方面,提供了一种包含指令的计算机程序产品,其在计算机上运行时,使得计算机执行上述第一方面,或其任意可能的实现方式中的方法。
第八方面,提供了一种包含指令的计算机程序产品,其在计算机上运行时,使得计算机执行上述第二方面,或其任意可能的实现方式中的方法。
第九方面,提供了一种通信系统,该通信系统包括具有实现上述第一方面的各方法及各种可能设计的功能的装置和上述具有实现上述第二方面的各方法及各种可能设计的功能的装置。
第十方面,提供了一种处理器,用于与存储器耦合,用于执行上述第一方面或其任意可能的实现方式中的方法。
第十一方面,提供了一种芯片,芯片包括处理器和通信接口,该通信接口用于与外部器件或内部器件进行通信,该处理器用于实现上述第一方面中任一方面或其任意可能的实现方式中的方法。
可选地,该芯片还可以包括存储器,该存储器中存储有指令,处理器用于执行存储器中存储的指令或源于其他的指令。当该指令被执行时,处理器用于实现上述第一方面,或其任意可能的实现方式中的方法。
可选地,该芯片可以集成在第三方法证据链核验平台上。
第十二方面,提供了一种芯片,芯片包括处理器和通信接口,该通信接口用于与外部器件或内部器件进行通信,该处理器用于实现上述第二方面或其任意可能的实现方式中的方法。
可选地,该芯片还可以包括存储器,该存储器中存储有指令,处理器用于执行存储器中存储的指令或源于其他的指令。当该指令被执行时,处理器用于实现上述第二方面,或其任意可能的实现方式中的方法。
可选地,该芯片可以集成在网络设备上。
基于上述技术方案,第一终端可以通过至少两个第一转发节点与第二终端进行通信,即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
附图说明
图1是本申请实施例的系统架构的示意图;
图2是本申请实施例的证据结构的示意图;
图3是本申请一个实施例的检测后门的方法的示意性流程图;
图4是本申请一个实施例的检测后门的方法的示意图;
图5是本申请另一个实施例的检测后门的方法的示意图;
图6是本申请又一个实施例的检测后门的方法的示意图;
图7是本申请实施例的检测后门的装置的示意性框图;
图8是本申请实施例提供的检测后门的装置的示意性结构图;
图9是本申请实施例的检测后门的装置的示意性框图;
图10是本申请实施例提供的检测后门的装置的示意性结构图;
图11是本申请又一个具体实施例提供的检测后门的装置的示意性结构图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、第五代(5th generation,5G)系统或新无线(new radio,NR)以及未来的移动通信系统等。
本申请实施例中的终端可以指一种具有无线收发功能的设备,可以称为终端(terminal)、用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)、车载终端、远方站、远程终端等。终端具体的形态可以是手机(mobile phone)、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、可穿戴设备平板电脑(pad)、台式机、笔记本电脑、一体机、车载终端、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)等。终端可以应用于如下场景:虚拟现实(virtual reality,VR)、增强现实(augmentedreality,AR)、工业控制(industrial control)、无人驾驶(self driving)、远程手术(remote medical surgery)、智能电网(smart grid)、运输安全(transportationsafety)、智慧城市(smart city)、智慧家庭(smart home)等。终端可以是固定的或者移动的。需要说明的是,终端可以支持至少一种无线通信技术,例如LTE、NR、宽带码分多址(wideband code division multiple access,WCDMA)等。
图1示出了本申请实施例的系统架构。如图1所示,该系统架构包括终端S1和终端R1、边缘设备N1和边缘设备N4、转发节点N2、N3、N5和N6,以及第三方证据链核验平台。其中,该系统架构包括的终端、边缘设备、转发节点的数目分别可以是一个,也可以是多个,本申请对此不进行限定。
具体地,在运营商网络中上,第三方证据链核验平台可以由运营商进行部署。在企业园区网络上,第三方证据链核验平台可以由企业自身进行部署。
转发节点和边缘设备具体用于:
1、负责对流经的报文进行所属流的判断;
2、负责对流经的报文进行记录,基于报文所属流的信息,根据预先设定的算法更新所属流的报文完整性记录;
具体地,该报文完整性记录的一种可能方式可以表示为:
报文头哈希统计值n=HASH(报文头哈希统计值n-1‖HASH(报文头n))
报文负载哈希统计值n=HASH(报文负载哈希统计值n-1‖HASH(报文负载n))
其中,报文头哈希统计值可以是指特定数据流的报文头的完整性信息。报文负载哈希统计值是指特定数据流的负载的完整性信息。
也就是说,对于特定数据流,第n个报文到达时新产生的报文头哈希统计值等于第n-1个报文到达后所产生的报文头哈希统计值(即第n个报文到达前原报文头哈希统计值)和第n个报文头的哈希值串联后,通过安全哈希算法算出来的数值。因此,通过该方法产生的哈希链中,只要有1bit的数据篡改,所得的报文头哈希统计值或报文负载哈希统计值会完全不一样(由安全哈希算法的特性保证)。
3、在满足特定条件下,负责利用自身存储的秘钥对数据流的完整性记录进行签名,并生成证据,进而将证据发往第三方法核验平台;
具体地,该证据的可能结构可以如图2所示,该证据的可能结构可以包括上一跳设备标识(identity,ID)、证据所属流信息、证据产生者ID、证据编号、报文头哈希统计值和报文负载哈希统计值和下一跳设备ID。其中,上一跳设备ID、下一跳设备ID、证据产生者ID可以由网络设备的拥有者(如运营商)分配为管理面ID。证据所属流信息指明此证据所证明的所属流的完整性,此信息可以定位数据流的五元组(例如,源互联网协议(internetprotocol,IP)地址、源端口、目的IP地址、目的端口和传输层协议)。证据编号指明此证据是对应所属流的第几个证据。报文头哈希统计值和报文负载哈希统计值为此证据中反应的所属流的完整性信息。
4、当链路出现主动丢包时,丢包的转发设备生成异常类型报文,传递必要信息给下游设备,保证上下游网络设备存储的特定数据流的完整性记录的一致。
需要说明的是,本申请实施例的哈希算法可以是任何符合安全哈希特定的哈希算法,下述描述中可以以SHA256为例进行说明,但本申请并不限于此。
第三方证据链核验平台具体用于:
1、负责对接收到的边缘设备和转发节点的证据和对应签名进行验证,验证证据来源于合法的网络设备,且证据的完整性没有受到破坏。
2、负责对接收到的边缘设备和转发节点的证据进行梳理,形成流量的证据链。例如,如图1所示,N1设备产生的证据中的下一跳设备ID部分为N2,N2设备产生的证据中的上一跳设备ID为N1,如此,N1设备产生的证据和N2设备产生的证据形成证据链中的一环,并且确认N1是N2的直接上游,N2是N1的之间下游,这样可以形成数据流从边缘设备到边缘设备的完整性证据链。
3、负责利用形成的证据链对网络中是否有非法篡改或者非法流量复制进行判断,查找非法操作源头,定位设备后门。
需要说明的是,当数据流中没有报文被篡改,且被复制和转发,则整个证据链中所有的证据中的报文头哈希统计值和报文负载哈希统计值都是一样,且整网只有一条对应的证据链(没有复制转发)。
传统方案中,利用TPM作为可信根向第三方证明该设备在启动过程中加载的软件中没有被非法篡改或非预期的软件。然而,此方案需设备本身生成自身的完整性信息,陷入自身生成证据证明自身清白的悖论。其次,此方案设备在初始化阶段被验证为可信后长期保持可信的状态,缺少有效的长期监控。因此,亟待一种动态监控网络设备中是否有后门的方案。
图3示出了本申请实施例的检测后门的方法的示意性流程图。
需要说明的是,本申请实施例可以应用于包括第一终端、至少两个第一转发节点、第二终端和第三方证据链核验平台的系统中。其中,该第一终端可以通过该至少两个第一转发节点与该第二终端进行通信。例如,如图3所示,第一终端可以依次通过第一转发节点1、第一转发节点2和第一转发节点3与第二终端进行通信。
需要说明的是,本申请实施例的转发节点可以是网络设备。
应理解,本申请实施例的第一转发节点可以是图1所示的转发节点,也可以图1所示的边缘设备,本申请对此不进行限定。
301,该至少两个第一转发节点中的某一个第一转发节点对第一报文进行完整性记录。
具体地,该至少两个第一转发节点中的任意一个第一转发节点都可以对流经该第一转发节点的报文进行完整性记录。也就是说,该至少两个第一转发节点中的全部或部分第一转发节点都可以对报文进行完整性记录。
应理解,为了方便描述,下述实施例以该至少两个第一转发节点的任意一个第一转发节点为例进行说明,其他第一转发节点也可以具有类似的功能。
可选地,第一转发节点对第一报文进行完整性记录具体可以是记录报文的报文头哈希统计值和报文负载哈希统计值。
具体地,报文的报文头哈希统计值和报文负载哈希统计值可以具体实现可以如前述的描述。
可选地,若第一转发节点接收到异常类型报文,则确定该异常类型报文所属的数据流,并对该异常类型报文进行完整性记录。
具体地,第一转发节点的上级节点在第一报文出现异常时可以生成异常类型报文,该异常类型报文相对于第一报文而言,丢弃了该第一报文承载的数据流的信息,以及丢弃了报文头哈希统计值和报文负载哈希统计值。该第一转发节点从上级节点接收到该异常类型报文,并根据该异常类型报文判断该异常类型报文属于哪条数据流,并更新对应的数据流的报文头哈希统计值和报文负载哈希统计值。
需要说明的是,本申请实施例中的“数据流”也可以称为“流量流”。
302,步骤301中的该某一个第一转发节点根据该完整性记录生成完整性证据,该完整性证据包括该某一个第一转发节点的标识。
具体地,第一转发节点可以根据完整性记录生成完整性证据,且该完整性证据包括该第一转发节点的标识。例如,该完整性证据的结构可以如图2所示。其中,该第一转发节点的标识可以为该第一转发节点的签名,即图2中的证据产生者ID。
需要说明的是,不同第一转发节点针对同一个报文产生的完整性证据可以是相同,也可以不同,本申请对此不进行限定。
还需要说明的是,若第一转发节点根据异常类型报文进行了完整性记录之后,也可以生成完整性证据。
可选地,该第一转发节点的标识还可以是该第一转发节点的密钥。
303,该第三方证据链核验平台从该至少两个第一转发节点中的部分或全部第一转发节点接收该部分或全部第一转发节点的完整性证据。相应地,部分或全部第一转发节点中的每个第一转发节点向该第三方证据链核验平台发送完整性证据。
具体地,第一终端可以通过该至少两个第一转发节点与第二终端进行通信,即第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。其中,每个第一转发节点发送自己的完整性证据。
304,该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点,该目标第一转发节点为具有后门的转发节点。
具体地,第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
应理解,本申请实施例中的后门可以是主动后门,也可以是被动后门,本申请对此不进行限定。
可选地,该完整性证据可以包括该第一转发节点的上级转发节点的标识ID、该第一转发节点的ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
具体地,该完整性证据的结构可以如图2所示。
在一个实施例中,步骤304具体地可以是第三方证据链平台根据该至少两个第一转发节点的完整性证据,确定完整性证据发生跳变的至少两个候选第一转发节点,该至少两个第一转发节点的完整性证据是根据第一报文生成的,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流。该第三方证据链平台再根据该至少两个候选第一转发节点的输入或输出端口,确定出目标第一转发节点。
具体地,承载数据流的第一报文从第一终端通过该至少两个候选第一转发节点到达第二终端。在该第一报文流经该至少两个候选第一转发节点中的每个第一转发节点时,每个第一转发节点都会对该第一报文进行处理得到完整性证据,并将生成的完整性证据发送给第三方证据链平台。该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据,形成证据链,并确定完整性证据发生跳变的至少两个候选第一转发节点。即确定某一个第一转发节点与其上级相邻的第一转发节点根据第一报文生成的完整性证据发生跳变。例如,如图4所示,在N2节点和N3节点的完整性证据发生跳变,即N2节点的报文头哈希统计值和N3节点的报文头哈希统计值不同,和/或者N2节点的报文负载哈希统计值和N3节点的报文负载哈希统计值不同。
其中,N2节点和N3节点产生的完整性证据发生跳变的原因可能是由两种情况造成的,(1)N2节点对报文进行了篡改,然后发送给了N3节点,但是为了隐瞒自己对报文篡改的非法操作,生成报文未被篡改时的证据,以欺骗第三方证据链核验平台。(2)N3节点对报文进行了篡改,并且没有对自己篡改报文内容的事实做隐瞒,直接根据篡改后的报文生成完整性证据,并发送给第三方证据链核验平台。因此,第三方证据链核验平台可以再根据N2节点的输出接口和N3节点的输入接口定位对真正对报文进行篡改的目标第一转发节点。也就是说,报文流经的每个转发节点根据该报文生成完整性证据,并将完整性证据发送给第三方证据链核验平台,这样第三方证据链核验平台可以根据多个转发节点的完整性证据相互证明,并定位出具有后门的转发节点,从而提高了安全通信的安全性能。此外,由于该第三方证据链核验平台是基于数据流的证据链来验证的,因此第三方证据链核验平台可以对每条数据流都进行验证,也就是说,本申请实施例可以实现长期的监控后门。
需要说明的是,在发生跳变的两个节点中确定真正篡改报文的目标第一转发节点可以是由第三方证据链核验平台执行,也可以是人工手动执行,例如,网络维护人员可以确定该目标第一转发节点。
在另一个实施例中,步骤304具体地可以是第三方证据链核验平台根据该至少两个第一转发节点中的部分第一转发节点的完整性证据,确定该完整性证据的来源转发节点。若该来源转发节点为该至少两个第一转发节点中的任意一个转发节点,则将该来源转发节点确定为目标第一转发节点。
具体地,该至少两个第一转发节点中的部分第一转发节点可以是该至少两个第一转发节点中的任意一个或多个第一转发节点,或者可以是该至少两个第一转发节点中的相邻的两个第一转发节点。也就是说,在网络中出现非预期的承载数据流的报文时,可以根据传输该报文的转发节点生成的完整性证据,确定具有后门的转发节点。本实施例可以应用于以下场景中,某一个转发节点为了躲避监控,将经过的报文进行存储,并等待一段时间后再进行复制传输,若该报文后续的相邻的至少两个转发节点将根据该报文生成的完整性证据分别发送给第三方证据链核验平台,第三方证据链核验平台根据接收到的完整性证据形成的完整性证据链确定报文的源头,进而将该源头确定为具有后门的节点,从而提高了安全通信的安全性能。
例如,如图5所示,相邻的N3节点和N4节点各自将根据第一报文生成的完整性证据发送给第三方证据链核验平台,第三方证据链核验平台根据从N3节点和N4节点接收到的完整性证据生成完整性证据链,由该完整性证据链可以获知该第一报文的源头为N2节点,考虑到转发节点主要用于管理和控制流量,并不能作为数据面数据流的源头,从而可以确定N2节点为具有后门的节点。
在又一个实施例中,步骤304具体地可以是该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据,确定该目标第一转发节点,该至少一个第二转发节点的完整性证据是根据该第一报文生成的,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流。
具体地,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达第二终端的数据流。也就是说,第一转发节点为该数据流的路由节点。第三方证据链核验平台除了接收到至少两个第一转发节点中的每个第一转发节点发送的完整性证据,还接收到至少一个第二转发节点中的每个第二转发节点发送的完整性证据,且第二转发节点发送的完整性证据也是根据第一报文生成的。第三方证据链核验平台可以结合该至少两个第一转发节点发送的完整性证据和该至少一个第二转发节点发送的完整性证据来确定该目标第一转发节点,即第三方证据链核验平台可以根据更多的转发节点的完整性证据相互证明,并定位出具有后门的转发节点,从而更近一步提高了安全通信的安全性能。
可选地,该第三方证据链核验平台可以根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据确定形成证据链的分叉节点,并将该分叉节点确定为目标第一转发节点。
具体地,第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据形成证据链。例如,如图6所示,该第一报文可以由终端S1通过N1、N2、N3、N4到达R1,也就是说,N1、N2、N3、N4可以看作上述的至少两个第一转发节点。该通信系统中还可以包括至少一个第二转发节点,该至少一个第二转发节点可以是N5、N6、N7。第三方证据链核验平台可以接收到N1、N2、N3、N4、N6、N7这些节点发送的完整性证据,并形成完整性证据链。如图6所示,该证据链在N2节点的完整性证据出进行了分叉(即同一条流量出现两个证据链),即该N2节点为分叉节点。因此,第三方证据链核验平台将该N2节点确定为具有后门的转发节点,从而提高了安全通行的安全性能。
可选地,该第三方证据链核验平台确定该分叉节点的下级节点的来源转发节点,若该来源转发节点为该分叉节点,则将该分叉节点确定为该目标第一转发节点。
具体地,N2在具备后门的情况下,为避免第三方证据链核验平台的验证,该N2节点可以对非法复制或转发第一报文不作记录。因此,第三方证据链核验平台还可以再确定该分叉节点的下级节点N3节点和N6节点的来源转发节点,其中,N3的来源转发节点为终端S1,N6节点的来源转发节点为N2节点,第三方证据链核验平台将该N2节点确定为具有后门的转发节点。也就是说,具有后门的转发节点进行隐藏后,本实施例依然能够检测到,从而更近一步提高了安全通行的安全性能。
因此,本申请实施例的检测后的方法,第一终端可以通过至少两个第一转发节点与第二终端进行通信,即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由,该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据,或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说,第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备,从而提高了安全通信的可信度。
本文中描述的各个实施例可以为独立的方案,也可以根据内在逻辑进行组合,这些方案都落入本申请的保护范围中。
可以理解的是,上述各个方法实施例中,由第三方证据链核验平台实现的方法和操作,也可以由可用于第三方证据链核验平台的部件(例如芯片或者电路)实现,由转发节点实现的方法和操作,也可以由可用于转发节点的部件(例如芯片或者电路)实现。此外,上述各个方法实施例是从各个网元交互的角度进行的描述,从这些描述,可以直接毫无疑义的获得单个网元所执行的方法步骤,以及相关的描述,为了简洁,在此不予赘述。
上述主要从各个交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,各个网元,例如发射端设备或者接收端设备,为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对发射端设备或者接收端设备进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以使用硬件的形式实现,也可以使用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以使用对应各个功能划分各个功能模块为例进行说明。
应理解,本申请实施例中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例,而非限制本申请实施例的范围。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
以上,结合图3至图6详细说明了本申请实施例提供的方法。以下,结合图7至图11详细说明本申请实施例提供的装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。图7示出了本申请实施例的检测后门的装置700的示意性框图。
应理解,该装置700可以对应于图3至图6中所示的实施例中的第三方证据链核验平台,可以具有方法中的第三方证据链核验平台的任意功能。该装置700,包括收发模块710和处理模块720。
该收发模块710,用于从该至少两个第一转发节点中的部分或全部第一转发节点接收该部分或全部第一转发节点的完整性证据,该至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的,且该每个第一转发节点包括对应的第一转发节点的标识;
该处理模块720,用于根据该部分或全部第一转发节点的完整性证据,确定目标第一转发节点,该目标第一转发节点为具有后门的转发节点。
可选地,该处理模块720具体用于:根据该至少两个第一转发节点的完整性证据,确定完整性证据发生跳变的至少两个候选第一转发节点,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流;根据该至少两个候选第一转发节点的输入和/或输出端口,确定该目标第一转发节点。
可选地,该处理模块720具体用于:根据该至少两个第一转发节点中的部分第一转发节点的完整性证据,确定该完整性证据的来源转发节点;在该来源转发节点为该至少两个第一转发节点中的任意一个转发节点的情况下,确定来源转发节点为该目标第一转发节点。
可选地,该处理模块720具体用于:根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据,确定该目标第一转发节点,该至少一个第二转发节点的完整性证据是根据该第一报文生成的,该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流。
可选地,该处理模块720具体用于:根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据,确定形成的证据链的分叉节点;确定该分叉节点的下级节点的来源转发节点;在该来源转发节点为该分叉节点的情况下,将该分叉节点确定为该目标第一转发节点。
可选地,该完整性证据包括数据流的上级转发节点标识ID、下级转发节点ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
图8示出了本申请实施例提供的检测后门的装置800,该装置800可以为图3至图6中所述的第三方证据链核验平台。该装置可以采用如图8所示的硬件架构。该装置可以包括处理器810和收发器830,可选地,该装置还可以包括存储器840,该处理器810、收发器830和存储器840通过内部连接通路互相通信。图7中的处理模块720所实现的相关功能可以由处理器810来实现,收发模块710所实现的相关功能可以由处理器810控制收发器830来实现。
可选地,处理器810可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),专用处理器,或一个或多个用于执行本申请实施例技术方案的集成电路。或者,处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对检测后门的装置(如,基站、终端、或芯片等)进行控制,执行软件程序,处理软件程序的数据。
可选地,该处理器810可以包括是一个或多个处理器,例如包括一个或多个中央处理单元(central processing unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该收发器830用于发送和接收数据和/或信号,以及接收数据和/或信号。该收发器可以包括发射器和接收器,发射器用于发送数据和/或信号,接收器用于接收数据和/或信号。
该存储器840包括但不限于是随机存取存储器(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程存储器(erasable programmable readonly memory,EPROM)、只读光盘(compact disc read-only memory,CD-ROM),该存储器840用于存储相关指令及数据。
存储器840用于存储终端的程序代码和数据,可以为单独的器件或集成在处理器810中。
具体地,所述处理器810用于控制收发器与终端进行信息传输。具体可参见方法实施例中的描述,在此不再赘述。
在具体实现中,作为一种实施例,装置800还可以包括输出设备和输入设备。输出设备和处理器810通信,可以以多种方式来显示信息。例如,输出设备可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备和处理器通信,可以以多种方式接收用户的输入。例如,输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。
可以理解的是,图8仅仅示出了检测后门的装置的简化设计。在实际应用中,该装置还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本申请的终端都在本申请的保护范围之内。
在一种可能的设计中,该装置800可以是芯片,例如可以为可用于终端中的通信芯片,用于实现终端中处理器810的相关功能。该芯片可以为实现相关功能的现场可编程门阵列,专用集成芯片,系统芯片,中央处理器,网络处理器,数字信号处理电路,微控制器,还可以采用可编程控制器或其他集成芯片。该芯片中,可选的可以包括一个或多个存储器,用于存储程序代码,当所述代码被执行时,使得处理器实现相应的功能。
本申请实施例还提供一种装置,该装置可以是终端也可以是电路。该装置可以用于执行上述方法实施例中由终端所执行的动作。
图9示出了本申请实施例的检测后门的装置900的示意性框图。
应理解,该装置900可以对应于图3至图5所示的实施例中的转发节点,可以具有方法中的第一转发节点或第二转发节点的任意功能。该装置900,包括处理模块910和收发模块920。
该处理模块910,用于对第一报文进行完整性记录;
该处理模块910,还用于根据该完整记录生成完整性证据,该完整性证据包括该第一转发节点的标识;
该收发模块920,用于向该第三方证据链核验平台发送该完整性证据。
可选地,该第一报文用于承载从该第一终端通过该至少两个转发节点到达该第二终端的数据流。
可选地,该处理模块910,还用于根据异常类型报文,确定该异常类型报文所属的数据流,该异常类型报文为该第一转发节点中的上级转发节点在该第一报文出现异常的情况下生成的;其中,该处理模块910具体用于:根据该异常类型报文所属的数据流,对该异常类型报文进行完整性记录,并生成该完整性证据。
可选地,该完整性证据包括该第一转发节点的上级转发节点的标识ID、该第一转发节点的ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
图10示出了本申请实施例提供的检测后门的装置1000,该装置1000可以为图3至图6中所述的转发节点,例如,可以是第一转发节点也可以是第二转发节点。该装置可以采用如图10所示的硬件架构。该装置可以包括处理器1010和收发器1020,可选地,该装置还可以包括存储器1030,该处理器1010、收发器1020和存储器1030通过内部连接通路互相通信。图9中的处理模块910所实现的相关功能可以由处理器1010来实现,收发模块920所实现的相关功能可以由处理器1010控制收发器1020来实现。
可选地,处理器1010可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),专用处理器,或一个或多个用于执行本申请实施例技术方案的集成电路。或者,处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。例如可以是基带处理器、或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对检测后门的装置(如,基站、终端、或芯片等)进行控制,执行软件程序,处理软件程序的数据。
可选地,该处理器1010可以包括是一个或多个处理器,例如包括一个或多个中央处理单元(central processing unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该收发器1020用于发送和接收数据和/或信号,以及接收数据和/或信号。该收发器可以包括发射器和接收器,发射器用于发送数据和/或信号,接收器用于接收数据和/或信号。
该存储器1030包括但不限于是随机存取存储器(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程存储器(erasable programmable readonly memory,EPROM)、只读光盘(compact disc read-only memory,CD-ROM),该存储器1030用于存储相关指令及数据。
存储器1030用于存储终端的程序代码和数据,可以为单独的器件或集成在处理器1010中。
具体地,所述处理器1010用于控制收发器与终端进行信息传输。具体可参见方法实施例中的描述,在此不再赘述。
在具体实现中,作为一种实施例,装置1000还可以包括输出设备和输入设备。输出设备和处理器1010通信,可以以多种方式来显示信息。例如,输出设备可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备和处理器1010通信,可以以多种方式接收用户的输入。例如,输入设备可以是鼠标、键盘、触摸屏设备或传感设备等。
可以理解的是,图10仅仅示出了检测后门的装置的简化设计。在实际应用中,该装置还可以分别包含必要的其他元件,包含但不限于任意数量的收发器、处理器、控制器、存储器等,而所有可以实现本申请的终端都在本申请的保护范围之内。
在一种可能的设计中,该装置1000可以是芯片,例如可以为可用于终端中的通信芯片,用于实现终端中处理器1010的相关功能。该芯片可以为实现相关功能的现场可编程门阵列,专用集成芯片,系统芯片,中央处理器,网络处理器,数字信号处理电路,微控制器,还可以采用可编程控制器或其他集成芯片。该芯片中,可选的可以包括一个或多个存储器,用于存储程序代码,当所述代码被执行时,使得处理器实现相应的功能。
本申请实施例还提供一种装置,该装置可以是终端也可以是电路。该装置可以用于执行上述方法实施例中由终端所执行的动作。
本实施例中的装置为网络设备(即转发节点为网络设备)时,该网络设备可以如图11所示,例如,该装置110为基站。该基站可应用于如图1所示的系统中,执行上述方法实施例中转发节点的功能。基站110可包括一个或多个DU 1101和一个或多个CU 1102。CU1102可以与下一代核心网(NG core,NC)通信。所述DU 1101可以包括至少一个天线11011,至少一个射频单元11012,至少一个处理器11013和至少一个存储器11011。所述DU 1101部分主要用于射频信号的收发以及射频信号与基带信号的转换,以及部分基带处理。CU1102可以包括至少一个处理器11022和至少一个存储器11021。CU1102和DU1101之间可以通过接口进行通信,其中,控制面(control plane)接口可以为Fs-C,比如F1-C,用户面(user plane)接口可以为Fs-U,比如F1-U。
所述CU 1102部分主要用于进行基带处理,对基站进行控制等。所述DU 1101与CU1102可以是物理上设置在一起,也可以物理上分离设置的,即分布式基站。所述CU 1102为基站的控制中心,也可以称为处理单元,主要用于完成基带处理功能。例如所述CU 1102可以用于控制基站执行上述方法实施例中关于网络设备的操作流程。
具体的,CU和DU上的基带处理可以根据无线网络的协议层划分,例如分组数据汇聚层协议(packet data convergence protocol,PDCP)层及以上协议层的功能设置在CU,PDCP以下的协议层,例如无线链路控制(radio link control,RLC)层和介质接入控制(medium access control,MAC)层等的功能设置在DU。又例如,CU实现无线资源控制(radioresource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能,DU实现无线链路控制(radio link control,RLC)、MAC和物理(physical,PHY)层的功能。
此外,可选的,基站110可以包括一个或多个射频单元(RU),一个或多个DU和一个或多个CU。其中,DU可以包括至少一个处理器11013和至少一个存储器11011,RU可以包括至少一个天线11011和至少一个射频单元11012,CU可以包括至少一个处理器11022和至少一个存储器11021。
在一个实例中,所述CU1102可以由一个或多个单板构成,多个单板可以共同支持单一接入指示的无线接入网(如5G网),也可以分别支持不同接入制式的无线接入网(如LTE网,5G网或其他网)。所述存储器11021和处理器11022可以服务于一个或多个单板。也就是说,可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路。所述DU1101可以由一个或多个单板构成,多个单板可以共同支持单一接入指示的无线接入网(如5G网),也可以分别支持不同接入制式的无线接入网(如LTE网,5G网或其他网)。所述存储器11011和处理器11013可以服务于一个或多个单板。也就是说,可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
应理解,处理器可以是集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchronous link DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于,在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序和/或计算机。通过图示,在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程和/或执行线程中,部件可位于一个计算机上和/或分布在2个或更多个计算机之间。此外,这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统和/或网络间的另一部件交互的二个部件的数据,例如通过信号与其它系统交互的互联网)的信号通过本地和/或远程进程来通信。
还应理解,本文中涉及的第一、第二以及各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。其中,单独存在A或B,并不限定A或B的数量。以单独存在A为例,可以理解为具有一个或多个A。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (20)
1.一种检测后门的方法,其特征在于,所述方法应用于包括第一终端、第二终端、至少两个第一转发节点和第三方证据链核验平台的系统中,其中,所述第一终端通过所述至少两个第一转发节点与所述第二终端进行通信,所述方法包括:
所述第三方证据链核验平台从所述至少两个第一转发节点中的部分或全部第一转发节点接收所述部分或全部第一转发节点的完整性证据,所述至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的,且所述每个第一转发节点包括对应的第一转发节点的标识;
所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据,确定目标第一转发节点,所述目标第一转发节点为具有后门的转发节点。
2.根据权利要求1所述的方法,其特征在于,所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:
所述第三方证据链核验平台根据所述至少两个第一转发节点的完整性证据,确定完整性证据发生跳变的至少两个候选第一转发节点,所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流;
所述第三方证据链核验平台根据所述至少两个候选第一转发节点的输入和/或输出端口,确定所述目标第一转发节点。
3.根据权利要求1所述的方法,其特征在于,所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:
所述第三方证据链核验平台根据所述至少两个第一转发节点中的部分第一转发节点的完整性证据,确定所述完整性证据的来源转发节点;
所述第三方证据链核验平台在所述来源转发节点为所述至少两个第一转发节点中的任意一个转发节点的情况下,确定来源转发节点为所述目标第一转发节点。
4.根据权利要求1所述的方法,其特征在于所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据,确定目标第一转发节点包括:
所述第三方证据链校验平台根据所述至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据,确定所述目标第一转发节点,所述至少一个第二转发节点的完整性证据是根据所述第一报文生成的,所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流。
5.根据权利要求4所述的方法,其特征在于,所述第三方证据链校验平台根据所述第三方证据链核验平台根据所述至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据,确定所述目标第一转发节点包括:
所述第三方证据链路校验平台根据所述至少两个第一转发节点的完整性证据和所述至少一个第二转发节点的完整性证据,确定形成的证据链的分叉节点;
所述第三方证据链校验平台确定所述分叉节点的下级节点的来源转发节点;
所述第三方证据链校验平台在所述来源转发节点为所述分叉节点的情况下,将所述分叉节点确定为所述目标第一转发节点。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述完整性证据包括数据流的上级转发节点标识ID、下级转发节点ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
7.一种检测后门的方法,其特征在于,所述方法应用于包括第一终端、第二终端、至少两个转发节点和第三方证据链核验平台的系统中,其中,所述第一终端通过所述至少两个转发节点与所述第二终端进行通信,所述方法包括:
所述至少两个转发节点中的第一转发节点对第一报文进行完整性记录;
所述第一转发节点根据所述完整记录生成完整性证据,所述完整性证据包括所述第一转发节点的标识;
所述第一转发节点向所述第三方证据链核验平台发送所述完整性证据。
8.根据权利要求7所述的方法,其特征在于,所述第一报文用于承载从所述第一终端通过所述至少两个转发节点到达所述第二终端的数据流。
9.根据权利要求7或8所述的方法,其特征在于,所述方法还包括:
所述第一转发节点根据异常类型报文,确定所述异常类型报文所属的数据流,所述异常类型报文为所述第一转发节点中的上级转发节点在所述第一报文出现异常的情况下生成的;
其中,所述至少两个转发节点中的第一转发节点对第一报文进行完整性记录包括:
所述第一转发节点根据所述异常类型报文所属的数据流,对所述异常类型报文进行完整性记录,并生成所述完整性证据。
10.根据权利要求7至9中任一项所述的方法,其特征在于,所述完整性证据包括所述第一转发节点的上级转发节点的标识ID、所述第一转发节点的ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
11.一种检测后门的装置,其特征在于,所述装置应用于包括第一终端、第二终端、至少两个第一转发节点和第三方证据链核验平台的系统中,其中,所述第一终端通过所述至少两个第一转发节点与所述第二终端进行通信,所述装置包括:
收发模块,用于从所述至少两个第一转发节点中的部分或全部第一转发节点接收所述部分或全部第一转发节点的完整性证据,所述至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的,且所述每个第一转发节点包括对应的第一转发节点的标识;
处理模块,用于根据所述部分或全部第一转发节点的完整性证据,确定目标第一转发节点,所述目标第一转发节点为具有后门的转发节点。
12.根据权利要求11所述的装置,其特征在于,所述处理模块具体用于:
根据所述至少两个第一转发节点的完整性证据,确定完整性证据发生跳变的至少两个候选第一转发节点,所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流;
根据所述至少两个候选第一转发节点的输入和/或输出端口,确定所述目标第一转发节点。
13.根据权利要求11所述的装置,其特征在于,所述处理模块具体用于:
根据所述至少两个第一转发节点中的部分第一转发节点的完整性证据,确定所述完整性证据的来源转发节点;
在所述来源转发节点为所述至少两个第一转发节点中的任意一个转发节点的情况下,确定来源转发节点为所述目标第一转发节点。
14.根据权利要求11所述的装置,其特征在于,所述处理模块具体用于:
根据所述至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据,确定所述目标第一转发节点,所述至少一个第二转发节点的完整性证据是根据所述第一报文生成的,所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流。
15.根据权利要求14所述的装置,其特征在于,所述处理模块具体用于:
根据所述至少两个第一转发节点的完整性证据和所述至少一个第二转发节点的完整性证据,确定形成的证据链的分叉节点;
确定所述分叉节点的下级节点的来源转发节点;
在所述来源转发节点为所述分叉节点的情况下,将所述分叉节点确定为所述目标第一转发节点。
16.根据权利要求11至15中任一项所述的装置,其特征在于,所述完整性证据包括数据流的上级转发节点标识ID、下级转发节点ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
17.一种检测后门的装置,其特征在于,所述方法应用于包括第一终端、第二终端、至少两个转发节点和第三方证据链核验平台的系统中,其中,所述第一终端通过所述至少两个转发节点与所述第二终端进行通信,所述装置包括:
处理模块,用于对第一报文进行完整性记录;
所述处理模块,还用于根据所述完整记录生成完整性证据,所述完整性证据包括所述第一转发节点的标识;
收发模块,用于向所述第三方证据链核验平台发送所述完整性证据。
18.根据权利要求17所述的装置,其特征在于,所述第一报文用于承载从所述第一终端通过所述至少两个转发节点到达所述第二终端的数据流。
19.根据权利要求17或18所述的装置,其特征在于,所述处理模块,还用于根据异常类型报文,确定所述异常类型报文所属的数据流,所述异常类型报文为所述第一转发节点中的上级转发节点在所述第一报文出现异常的情况下生成的;
其中,所述处理模块具体用于:
根据所述异常类型报文所属的数据流,对所述异常类型报文进行完整性记录,并生成所述完整性证据。
20.根据权利要求17至19中任一项所述的装置,其特征在于,所述完整性证据包括所述第一转发节点的上级转发节点的标识ID、所述第一转发节点的ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910815014.1A CN112448921A (zh) | 2019-08-30 | 2019-08-30 | 检测后门的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910815014.1A CN112448921A (zh) | 2019-08-30 | 2019-08-30 | 检测后门的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112448921A true CN112448921A (zh) | 2021-03-05 |
Family
ID=74734520
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910815014.1A Pending CN112448921A (zh) | 2019-08-30 | 2019-08-30 | 检测后门的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112448921A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448697A (zh) * | 2022-01-27 | 2022-05-06 | 上海交通大学 | 基于路由证据的路由节点恶意行为检测方法与系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050051223A (ko) * | 2003-11-27 | 2005-06-01 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
US20150186645A1 (en) * | 2013-12-26 | 2015-07-02 | Fireeye, Inc. | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits |
CN106101070A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的数据完整性的检查方法 |
CN106302332A (zh) * | 2015-05-22 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 用户数据的访问控制方法、装置及系统 |
CN107888420A (zh) * | 2017-11-23 | 2018-04-06 | 北京安博通科技股份有限公司 | 一种局域网转发设备的管理系统 |
CN108234223A (zh) * | 2018-04-19 | 2018-06-29 | 郑州云海信息技术有限公司 | 一种数据中心综合管理系统的安全服务设计方法 |
CN109005116A (zh) * | 2017-06-07 | 2018-12-14 | 华为技术有限公司 | 一种报文转发方法及装置 |
US20190132350A1 (en) * | 2017-10-30 | 2019-05-02 | Pricewaterhousecoopers Llp | System and method for validation of distributed data storage systems |
CN109787869A (zh) * | 2019-03-29 | 2019-05-21 | 新华三技术有限公司 | 一种路径故障检测方法及设备 |
-
2019
- 2019-08-30 CN CN201910815014.1A patent/CN112448921A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050051223A (ko) * | 2003-11-27 | 2005-06-01 | 한국전자통신연구원 | 네트워크 보안성을 강화한 무결성 관리 시스템, 이를구비한 무결성 네트워크 시스템 및 그 방법 |
CN102025734A (zh) * | 2010-12-07 | 2011-04-20 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗的方法、系统及交换机 |
US20150186645A1 (en) * | 2013-12-26 | 2015-07-02 | Fireeye, Inc. | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits |
CN106302332A (zh) * | 2015-05-22 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 用户数据的访问控制方法、装置及系统 |
CN106101070A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的数据完整性的检查方法 |
CN109005116A (zh) * | 2017-06-07 | 2018-12-14 | 华为技术有限公司 | 一种报文转发方法及装置 |
US20190132350A1 (en) * | 2017-10-30 | 2019-05-02 | Pricewaterhousecoopers Llp | System and method for validation of distributed data storage systems |
CN107888420A (zh) * | 2017-11-23 | 2018-04-06 | 北京安博通科技股份有限公司 | 一种局域网转发设备的管理系统 |
CN108234223A (zh) * | 2018-04-19 | 2018-06-29 | 郑州云海信息技术有限公司 | 一种数据中心综合管理系统的安全服务设计方法 |
CN109787869A (zh) * | 2019-03-29 | 2019-05-21 | 新华三技术有限公司 | 一种路径故障检测方法及设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114448697A (zh) * | 2022-01-27 | 2022-05-06 | 上海交通大学 | 基于路由证据的路由节点恶意行为检测方法与系统 |
CN114448697B (zh) * | 2022-01-27 | 2022-10-11 | 上海交通大学 | 基于路由证据的路由节点恶意行为检测方法与系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11921911B2 (en) | Peripheral device | |
US10395012B2 (en) | Media client device authentication using hardware root of trust | |
US9380024B2 (en) | Method and apparatus for providing security to devices | |
TW202009778A (zh) | 韌體升級方法及裝置 | |
US11005760B2 (en) | Ensuring data locality for secure transmission of data | |
US20220124122A1 (en) | Attestation service for enforcing payload security policies in a data center | |
US20210312472A1 (en) | Method and system for prediction of smart contract violation using dynamic state space creation | |
CN111414640B (zh) | 秘钥访问控制方法和装置 | |
US10089494B2 (en) | System and method for securing a network device | |
CN112448921A (zh) | 检测后门的方法和装置 | |
US20090172376A1 (en) | Methods, apparatuses, and computer program products for providing a secure predefined boot sequence | |
Weerasena et al. | Security of Electrical, Optical, and Wireless On-chip Interconnects: A Survey | |
CN115509917A (zh) | 一种验证加解密算法的方法、系统、设备和存储介质 | |
Shahshahani et al. | Enabling Debug in IoT Wireless Development and Deployment with Security Considerations | |
El Jaouhari | Toward a Secure Firmware OTA Updates for constrained IoT devices | |
US20190319949A1 (en) | User terminal apparatus and control method thereof | |
CN111526108B (zh) | 防止网络攻击的方法与装置 | |
US20220131841A1 (en) | Communication method, internet of things terminal, gateway device and internet of things system | |
Kohnhäuser | Advanced Remote Attestation Protocols for Embedded Systems | |
CN115361202A (zh) | 区块链跨链方法、装置、存储介质及电子设备 | |
KR20230146594A (ko) | 읽기 전용 메모리(rom) 보안 | |
Pearson et al. | Secure Deployment of Containerized IoT Systems | |
CN116541894A (zh) | 一种国产加密平台和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |