CN112738121B - 密码安全态势感知方法、装置、设备和可读存储介质 - Google Patents
密码安全态势感知方法、装置、设备和可读存储介质 Download PDFInfo
- Publication number
- CN112738121B CN112738121B CN202011644609.4A CN202011644609A CN112738121B CN 112738121 B CN112738121 B CN 112738121B CN 202011644609 A CN202011644609 A CN 202011644609A CN 112738121 B CN112738121 B CN 112738121B
- Authority
- CN
- China
- Prior art keywords
- security
- password
- communication data
- network
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本公开提供一种密码安全态势感知方法、装置、设备和可读存储介质。该方法包括:获取在网络安全系统中包括的多个网络设备之间进行通信的通信数据,通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据,对通信数据进行密码安全性检测,得到通信数据对应的安全性检测结果,根据通信数据和通信数据对应的安全性检测结果,生成通信数据对应的密码事件信息,根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标。本公开的方法,实现了对网络安全系统的通信数据的采集、密码安全性检测和安全性评估实现了网络安全系统的密码安全态势感知。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种密码安全态势感知方法、装置、设备和可读存储介质。
背景技术
网络安全态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测的一个过程。
目前的网络安全态势感知系统所监控的范围仅限于网络系统的网络入侵、蠕虫病毒、邮件钓鱼、恶意链接等网络安全防范技术。
然而,目前还没有针对密码通信等相关领域的密码安全态势感知的方法。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种密码安全态势感知方法、装置、设备和可读存储介质。
第一方面,本公开提供了一种密码安全态势感知方法,应用于网络安全系统,所述网络安全系统包括多个网络设备,所述多个网络设备之间通信连接,所述方法包括:
获取所述多个网络设备之间进行通信的通信数据,所述通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据;
对所述通信数据进行密码安全性检测,得到所述通信数据对应的安全性检测结果;
根据所述通信数据和所述通信数据对应的安全性检测结果,生成所述通信数据对应的密码事件信息;
根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标。
可选的,所述方法还包括:
获取每个所述网络中设备的随机数发生器产生的随机数;
对所述每个网络设备的随机数发生器产生的随机数进行所述密码安全性检测,确定每个所述网络设备的随机数发生器产生的随机数对应的安全性结果;
所述根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标,包括:
根据预设时间段内的通信数据对应的密码事件信息、每个所述网络设备的密码运行状态日志和所述每个网络设备的随机数发生器产生的随机数对应的安全性结果,评估所述预设时间段内的所述网络安全系统的安全性指标。
可选的,所述密码安全性检测包括以下一种或多种安全性检测方法:
检测所述传输数据使用的密码通信协议;
检测所述传输数据使用的密码算法;
对所述传输数据中包含的数字签名进行验签;
检测所述传输数据中包含的数字证书;
检测公钥的漏洞,其中,所述公钥用于加密得到所述传输数据;
检测所述每个网络设备的随机数发生器产生的随机数的随机性。
可选的,所述通信数据对应的安全性检测结果包括以下一种或多种安全性检测结果:
确定所述密码通信协议是否含有漏洞;
确定所述密码算法是否正确;
确定所述数字签名对应的数据是否被修改;
确定生成所述数字签名的公钥密码算法和密码杂凑算法是否正确;
确定所述数字证书的证书链的签名是否正确;
确定所述数字证书是否符合第一标准;
确定所述数字证书是否有效且安全;
确定所述公钥是否存在漏洞;
确定所述每个网络设备的随机数发生器产生的随机数的随机性是否符合第二标准。
可选的,所述方法还包括:
若所述通信数据对应的安全性检测结果为存在安全性问题,则输出告警信息;
所述安全性问题包括以下一种或多种:
所述密码通信协议含有漏洞;
所述密码算法不正确;
所述数字签名对应的数据已被修改;
生成数字签名的公钥密码算法,和/或,密码杂凑算法不正确;
所述数字证书的证书链的签名不正确;
所述数字证书不符合第一标准;
所述数字证书无效;
所述每个网络设备的随机数发生器的随机性不符合第二标准。
可选的,所述方法还包括:显示所述通信数据对应的密码事件信息。
可选的,所述方法还包括:
存储所述通信数据对应的密码事件信息。
第二方面,本公开提供一种密码安全态势感知装置,应用于网络安全系统,所述网络安全系统包括多个网络设备,所述多个网络设备之间通信连接,所述装置包括:
获取模块,用于获取所述多个网络设备之间进行通信的通信数据,所述通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据;
密码检测模块,用于对所述通信数据进行密码安全性检测,得到所述通信数据对应的安全性检测结果;
密码事件生成模块,用于根据所述通信数据和所述通信数据对应的安全性检测结果,生成所述通信数据对应的密码事件信息;
密码安全评估模块,用于根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标。
可选的,所述获取模块还用于:获取每个所述网络设备的随机数发生器产生的随机数;
所述密码检测模块还用于:对所述每个网络设备的随机数发生器产生的随机数进行所述密码安全性检测,确定每个所述网络设备的随机数发生器产生的随机数对应的安全性结果;
所述密码安全评估模块具体用于:根据预设时间段内的通信数据对应的密码事件信息、每个所述网络设备的密码运行状态日志和所述每个网络设备的随机数发生器产生的随机数对应的安全性结果,评估所述预设时间段内的所述网络安全系统的安全性指标。
可选的,所述密码安全性检测包括以下一种或多种安全性检测方法:
检测所述传输数据使用的密码通信协议;
检测所述传输数据使用的密码算法;
对所述传输数据中包含的数字签名进行验签;
检测所述传输数据中包含的数字证书;
检测公钥的漏洞,其中,所述公钥用于加密得到所述传输数据;
检测所述每个网络设备的随机数发生器产生的随机数的随机性。
可选的,所述通信数据对应的安全性检测结果包括以下一种或多种安全性检测结果:
确定所述密码通信协议是否含有漏洞;
确定所述密码算法是否正确;
确定所述数字签名对应的数据是否被修改;
确定生成所述数字签名的公钥密码算法和密码杂凑算法是否正确;
确定所述数字证书的证书链的签名是否正确;
确定所述数字证书是否符合第一标准;
确定所述数字证书是否有效且安全;
确定所述公钥是否存在漏洞;
确定所述每个网络设备的随机数发生器的随机性是否符合第二标准。
可选的,所述装置还包括:
告警模块,用于若所述通信数据对应的安全性检测结果为存在安全性问题,则输出告警信息;
所述安全性问题包括以下一种或多种:
所述密码通信协议含有漏洞;
所述密码算法不正确;
所述数字签名对应的数据已被修改;
生成数字签名的公钥密码算法,和/或,密码杂凑算法不正确;
所述数字证书的证书链的签名不正确;
所述数字证书不符合第一标准;
所述数字证书无效;
所述每个网络设备的随机数发生器的随机性不符合第二标准。
可选的,所述装置还包括:
显示模块,用于显示所述通信数据对应的密码事件信息。
可选的,所述装置还包括:
存储模块,用于存储所述通信数据对应的密码事件信息。
第三方面,本公开提供一种密码安全态势感知设备,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述第一方面所述的方法。
第四方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如上述第一方面所述的密码安全态势感知方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
通过获取在网络安全系统中包括的多个网络设备之间进行通信的通信数据,通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据,从而实现对密码通信相关的数据采集,对通信数据进行密码安全性检测,得到通信数据对应的安全性检测结果,从而确定通信数据中的与密码相关的要素的安全性,根据通信数据和通信数据对应的安全性检测结果,生成通信数据对应的密码事件信息,根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标,实现对网络安全系统中关于密码的安全性的评价,从而实现了对网络安全系统的通信数据的采集、密码安全性检测和安全性评估实现了网络安全系统的密码安全态势感知。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开提供的一种公共安全视频监控信息安全系统的互联信息结构示意图;
图2为本公开提供的一种密码安全态势感知系统的结构示意图;
图3为本公开实施例提供的一种密码安全态势感知方法的流程示意图;
图4为本公开实施例提供的另一种密码安全态势感知方法的流程示意图;
图5为本公开实施例提供的再一种密码安全态势感知方法的流程示意图;
图6为本公开实施例提供的又一种密码安全态势感知方法的流程示意图;
图7为本公开实施例提供的一种密码安全态势感知装置的结构示意图;
图8为本公开实施例提供的一种密码安全态势感知设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
首先对本发明所涉及的名词进行解释:
安全态势感知,是指一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。
数字签名(又称公钥数字签名),是指只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。
数字证书,是指在网络通信中表示网络设备身份信息的一个数字认证,可以在网上用其来识别网络设备的身份。
本公开的密码安全态势感知方法可以应用于网络安全系统,该网络安全系统中包括多个网络设备,多个网络设备之间通信连接,多个网络设备之间的通信均采用密码通信的方式,该网络安全系统可以为公共安全视频监控信息安全系统,物联网信息安全系统等,对此本公开不做限定。
下面以该网络安全系统为公共安全视频监控信息安全系统为例进行说明。
图1为本公开提供的一种公共安全视频监控信息安全系统的互联信息结构示意图,如图1所示,公共安全视频监控信息安全系统1包括:一个或多个具有安全功能的前端设备(以下简称前端设备)、一个或多个具有安全功能的用户终端(以下简称用户终端)、视频安全密钥服务系统(以下简称视频密钥系统)、视频监控安全管理平台(以下简称管理平台),其中,管理平台包括:具有安全功能的中心信令控制服务器(以下简称中心服务器)、信令安全路由网关和具有安全功能的媒体服务器。各个网络设备以传输网络为基础,通过会话通道协议、媒体流通道协议和证书通道协议进行通信。
上述前端设备可以采集图像或视频,将采集到的图像或视频发送给信令控制服务器,例如,前端设备可以为摄像头。
上述用户终端可以访问管理平台,从而获得管理平台上的数据,用户终端可以为计算机,手机,平板设备等。
多个相对独立的公共安全视频监控信息安全系统可以互相连接,其中,如图1中所示,公共安全视频监控信息安全系统1和公共安全视频监控信息安全系统2可以以信令安全路由网关、具有安全功能的媒体服务器为核心,通过IP传输网络,实现系统间控制信息和媒体信息的传输、交换、控制。视频密钥系统间以传输网络为基础,实现证书信息的查询和交换。
下面说明在网络安全系统中涉及到的密码通信的方式。在网络安全系统中,由视频安全密钥服务系统或者其他密钥分发系统,例如,公钥基础设施(Public KeyInfrastructure,简称PKI)系统,给每个网络设备分发公钥和私钥,其中私钥为网络设备所有,其他网络设备并不知道,公钥为网络安全系统中的其他网络设备可以获知的。另外,每个网络设备可以自己产生密钥,用于数据传输时对数据进行加密。
密码通信可以包括但不限于以下一种或多种:身份认证通信、密钥协商通信、数据密码通信。
其中,身份认证通信为网络设备之间确认网络设备的身份的通信过程。在网络安全系统中,以第一网络设备和第二网络设备进行身份认证通信为例,第一网络设备需要与第二网络设备建立连接,首先需要进行身份认证通信,第一网络设备将自身的数字证书发送给第二网络设备,第二网络设备通过验证该数字证书,从而确定第一网络设备的身份。例如,用户终端需要与中心服务器建立连接,首先需要进行身份认证通信,用户终端将自身的数字证书发送给中心服务器,中心服务器通过对该数字证书的验证,从而确定用户终端的身份,也就是确定用户终端的身份对应的访问权限。再例如,前端设备需要与中心服务器建立连接,前端设备需要将自身的数字证书发送给中心服务器,中心服务器也需要将自身的数字证书发送给前端设备,双方设备分别验证对方设备身份信息以后,建立连接。
密钥协商通信为网络设备之间传输密钥的通信过程。在网络安全系统中,以第一网络设备和第二网络设备进行密钥协商通信为例,第一网络设备向第二网络设备发送数据前,第一网络设备产生密钥,将该密钥使用第二网络设备的公钥进行加密,得到加密后的密钥,第一网络设备向第二网络设备发送该加密后的密钥,第二网络设备使用其私钥对加密后的密钥进行解密,得到该密钥。例如,第一网络设备可以为前端设备,第二网络设备可以为中心服务器。
数据密码通信为网络设备之间传输数据时,对数据进行加密的通信过程。在网络安全系统中,以第一网络设备和第二网络设备进行数据密码通信为例,第一网络设备使用第二网络设备的密钥对待发送数据进行加密,得到加密后的待发送数据,可以对待发送的数据获取摘要,并使用第一网络设备的私钥对摘要进行加密,得到数字签名,向第二网络设备发送加密后的待发送数据和数字签名,第二网络设备使用第一网络设备的公钥对数字签名进行验签,并使用密钥对加密后的待发送数据进行解密,从而得到待发送数据。
可以理解,上述网络安全系统中涉及到的密码通信的方式只是一种示例,密码通信的方式并不局限于上述说明的方式,也可以为其他方式,对此本公开不做限定。
本公开提供的密码安全态势感知方法应用于上述网络安全系统,可以对上述网络安全系统中涉及到的密码通信的通信数据进行密码安全性检测,得到安全性检测结果,根据安全性检测结果和通信数据生成密码事件信息,评估网络完全系统的安全性指标。从而实现对网络安全系统的密码通信进行态势感知。
图2为本公开提供的一种密码安全态势感知系统的结构示意图,如图2所示,密码安全态势感知系统包括:服务器21和多种探针22,服务器21与多种探针22分别连接,服务器21中部署密码安全态势感知软件系统。其中,探针可以包括但不限于以下一种或多种探针:前端设备探针,路由网关探针,服务器探针,仿真终端探针,第三方上报数据探针等,探针设置于网络安全系统中,用于获取数据源,采集网络安全系统中的通信数据和网络设备中与密码相关的数据。密码安全态势感知软件系统可以采用分层结构,其中每一层有清晰的角色和分工,密码安全态势感知软件系统由下至上可以包括数据采集层,密码检测层,数据存储层,密码应用安全评估分析层以及密码安全展示和告警层。数据采集层用于获取网络安全系统运行过程中与密码相关的数据,例如,数据采集层可以采集包括随机数,身份认证,密钥协商,数字证书,加密数据,日志采集等数据。密码检测层用于对通信数据进行密码安全性检测,并输出安全性检测结果,例如,密码检测层可以对数据采集层的数据进行密码安全性检测,密码安全性检测可以包括随机数测试,密码协议识别,算法验证,数字签名检测,密钥安全性,数字证书检测等。数据存储层用于存储密码相关数据以及安全性检测结果,例如,数据存储层可以存储的数据包括:密码资产(网络设备信息),数字证书,通联关系(网络设备之间的连接关系,及通信过程中的发送设备信息和接收设备信息),认证数据,密码事件,检测结果(安全性检测结果)等。密码应用安全评估分析层用于进行安全性评估,例如,密码应用安全评估分析层可以包括密码应用安全评估,密码应用安全量化分析,密码对象(网络设备)行为分析。密码安全展示和告警层用于对密码安全态势感知进行展示和输出告警信息,例如,密码安全展示和告警层可以包括密码安全态势感知展示,数据查询(对密码安全态势感知相关数据进行查询),统计报表(密码安全相关数据信息进行统计,输出结果表格),安全警告(即告警信息)。
可选的,密码安全态势感知软件系统还可以包括自身安全层和/或安全管理层,其中自身安全层用于检测密码安全态势感知软件系统的安全安全管理层用于管理密码安全态势感知软件系统。自身安全层可以包括:系统内部通信加密,日志完整性保护,角色管理,认证授权,访问控制,系统报警,远程管理等。安全管理层可以包括:资产管理,安全审计,报告管理,密钥管理,设备异常管理,多级部署,密码参数,开放接口等。
可选的,可以获取外部应急处理及安全决策的数据。
可选的,可以人工辅助进行密码安全态势感知。
下面以具体的实施例说明本公开的技术方案。
图3为本公开实施例提供的一种密码安全态势感知方法的流程示意图,如图3所示,本实施例的方法应用于上述网络安全系统,网络安全系统包括多个网络设备,多个网络设备之间通信连接,本实施例由服务器或终端设备执行,在此本公开不做限制,本实施例的方法如下:
S301、获取多个网络设备之间进行通信的通信数据。
其中,通信数据包含但不限于:接收设备的信息、发送设备的信息、通信时间和传输数据。
上述传输数据即为多个网络设备之间进行通信的通信链路上传输的数据,可以理解,传输数据为已经加密的数据,例如,第一网络设备与第二网络设备进行通信时,第一网络设备将待发送的原始数据转换成传输数据。
本实施例中,获取多个网络设备之间进行通信的通信数据(流量),可以在网络安全系统中设置多个探针,用于采集所有的密码通信的通信数据,多个探针与密码安全态势感知系统连接,可以将采集的通信数据发送给密码安全态势感知系统。
可选的,也可以获取多个网络设备中每个网络设备产生的密钥。
其中,网络设备的密钥可以为一个字符串。
进一步地,可以获取多个网络设备中每个网络设备的随机数发生器生成的随机数。在网络设备进行密钥协商通信时,使用自身的随机数发生器生成一个随机数作为数据加密通信的密钥,这样可以增加密钥的安全性。
可选的,可以每隔预设时间,获取每个网络设备的随机数发生器生成的随机数。
本实施例中,每隔预设时间,对每个网络设备的随机数发生器生成的随机数进行采样,采样时可以根据采样时间点获取当前时间点之前的时间阈值区间内随机数,或者获取预设阈值数量的随机数。
本实施例中,可以通过在多个网络设备中的每个网络设备中设置探针,获取每个网络设备生成的密钥。
S303、对通信数据进行密码安全性检测,得到通信数据对应的安全性检测结果。
本实施例中,密码安全性检测用于检测涉及到的密码通信的通信数据中的密码要素的安全性,得到通信数据对应的安全性检测结果,从而确定通信数据是否具有安全性,其中,密码要素可以包括但不限于数字证书、随机数密码通信协议、密码算法、数字签名、公钥等与密码相关的要素,对此本公开不做限定。相应的,安全性检测结果用于指示通信数据对应的密码安全性检测项目的检测结果。则可以从正确性、一致性、有效性等方面确定密码通信的安全性。
可选的,可以对所有采集到的通信数据进行筛选,筛选出其中的密码通信,然后对密码通信的通信数据进行密码安全性检测,也可以对采集到的所有通信数据提取其中的密码要素,然后对密码要素进行安全性检测。
可选的,本实施例提供的方法还包括:对每个网络设备生成的密钥进行密码安全性检测,确定每个网络设备生成的密钥对应的安全性结果。
S305、根据通信数据和通信数据对应的安全性检测结果,生成通信数据对应的密码事件信息。
其中,密码事件信息可以包括但不限于:接收设备的信息、发送设备的信息、通信时间、传输数据和安全性检测结果。
本实施例中,对于获取到的通信数据,每次的密码通信可以看做一个密码事件,例如,一次的身份认证通信可以看做一个密码时间,一次密码协商通信可以看做一个密码事件,一次密码协商通信和数据加密通信也可以看做一个密码事件。则对于一个密码事件,得到对应的安全性检测结果以后,此次密码事件的安全性检测结果、接收设备的信息、发送设备的信息、通信时间和传输数据可以生成一个密码时间信息。
S307、根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标。
其中,预设时间段可以为网络安全系统启动运行时刻到当前时刻的时间段,也可以为预先设置的一个时间段,例如,可以为一个月,或者一个季度,或者一年,对此本公开不做限定。
密码运行状态日志用于指示网络设备与密码相关的运行状态的数据,例如,可以为密钥生成接口的状态数据。密码运行状态日志可以为每个网络设备自身生成的,密码安全态势感知装置通过在每个网络设备中设置的探针采集相应的该网络设备的密码运行状态日志。
本实施例中,根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标,其中,安全性指标用于指示网络安全系统的安全性。
可选的,若获取了每个网络设备生成的密钥,则相应的,S307包括:根据预设时间段内的通信数据对应的密码事件信息、每个网络设备的密码运行状态日志和每个网络设备的随机数发生器产生的随机数对应的安全性结果,评估预设时间段内的网络安全系统的安全性指标。
可选的,可以用安全性分值来量化表征网络安全系统的安全性。可以根据密码事件信息中每一类安全性结果计算相应的第一分值,并根据每个网络设备的密码运行状态日志计算相应的第二分值,根据每个网络设备生成的密钥对应的安全性结果计算相应的第三分值,根据第一分值、第二分值和第三分值,确定预设时间段内的网络安全系统的安全性分值。例如,设置安全性总分为100分,在预设时间段内出现密码算法不正确的次数大于3次,则在总分100分的基础上减去5分,若某一个网络设备的密码运行状态日志存在问题,则在总分中减去3分,以此类推,设定相应的分值计算方式,则可以得到在预设时间段内网络安全系统的安全性分值。
可选的,可以根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,通过机器学习和算法,对其自动学习,并确定正常密码通信行为以及正常密码通信行为的特征,由此对重要的网络设备进行检测其密码通信是否正常。
本实施例,通过获取在网络安全系统中包括的多个网络设备之间进行通信的通信数据,通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据,从而实现对密码通信相关的数据采集,对通信数据进行密码安全性检测,得到通信数据对应的安全性检测结果,从而确定通信数据中的与密码相关的要素的安全性,根据通信数据和通信数据对应的安全性检测结果,生成通信数据对应的密码事件信息,根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标,实现对网络安全系统中关于密码的安全性的评价,从而实现了对网络安全系统的通信数据的采集、密码安全性检测和安全性评估实现了网络安全系统的密码安全态势感知。
在上述实施例的基础上,进一步地,密码安全性检测包括但不限于以下一种或多种安全性检测方法:
方法一:检测传输数据使用的密码通信协议。
方法二:检测传输数据使用的密码算法。
方法三:对传输数据中包含的数字签名进行验签。
方法四:检测传输数据中包含的数字证书。
方法五:检测公钥的漏洞,其中,公钥用于加密得到传输数据。
方法六:检测每个网络设备的随机数发生器产生的随机数的随机性。
相应的,通信数据对应的安全性检测结果包括但不限于以下一种或多种安全性检测结果:
确定密码通信协议是否含有漏洞。
确定密码算法是否正确。
确定数字签名对应的数据是否被修改。
确定生成数字签名的公钥密码算法和密码杂凑算法是否正确。
确定数字证书的证书链的签名是否正确。
确定数字证书是否符合第一标准。
确定数字证书是否有效且安全。
确定公钥是否存在漏洞。
确定每个网络设备的随机数发生器产生的随机数的随机性是否符合第二标准。
下面针对上述列举的安全性检测方法,说明其对应的安全性检测结果的情况。
方法一中,检测传输数据使用的密码通信协议,根据已经确定的多种密码通信协议对应的漏洞,得到安全性检测结果为当前的传输数据使用的密码通信协议是否含有漏洞,如果含有漏洞,确定相应的漏洞。
方法二中,检测传输数据使用的密码算法,对密码算法的正确性进行验证,得到安全性检测结果为当前的传输数据使用的密码算法是否正确。例如,可以把椭圆曲线公钥带入曲线方程进行验证。
方法三中,对传输数据中包含的数字签名进行验签,得到的安全性检测结果可以为数字签名对应的数据是否被修改。数字签名为使用密码杂凑算法获取待传输数据的摘要,使用公钥密码算法对该摘要进行加密得到的,因此,安全性检测结果还可以为公钥密码算法和/或密码杂凑算法是否正确
方法四中,对传输数据中包含的数字证书进行检测,其中,数字证书可能包含有证书链(certificate chain),得到的安全性检测结果可以为数字证书的证书链的签名是否正确,也可以对数字证书检测其是否符合第一标准,还可以检验数字证书是否有效且安全。
方法五中,检测公钥的漏洞,可以分别获取多个网络设备的公钥,对公钥检测器密码漏洞,确定公钥的安全性。
方法六中,对每个网络设备的随机数发生器产生的用于作为密钥的随机数进行随机性测试,确定安全性检测结果为该密钥的随机性是否符合第二标准。
本实施例中,通过对传输数据进行具体的密码安全性检测,例如使用的密码通信协议、传输数据使用的密码算法、传输数据中包含的数字签名进行验签、传输数据中包含的数字证书、公钥的漏洞,其中,公钥用于加密得到传输数据、检测密钥等,可以对通信过程中的通信信息中与密码相关的要素进行有针对性的检测,从而得到的密码安全性检测结果更加全面。
图4为本公开实施例提供的另一种密码安全态势感知方法的流程示意图,图4是在图3所示实施例的基础上,进一步地,如图4所示,本实施例的密码安全态势感知方法还包括:
S304A、若通信数据对应的安全性检测结果为存在安全性问题,则输出告警信息。
安全性问题包括以下一种或多种:
密码通信协议含有漏洞;
密码算法不正确;
数字签名对应的数据已被修改;
生成数字签名的公钥密码算法,和/或,密码杂凑算法不正确;
数字证书的证书链的签名不正确;
数字证书不符合第一标准;
数字证书无效;
确定所述每个网络设备的随机数发生器产生的随机数的随机性是否符合第二标准。
本实施例中,若通信数据对应的安全性检测结果为存在安全性问题,则可以输出告警信息,告警信息用于指示目前的安全性检测结果为存在安全性问题。告警信息的输出形式可以为显示界面弹出对话框的形式,或者在显示界面的预设位置显示告警标志,例如,叹号标志,或者向预留手机号发送告警短信的形式,对于输出的告警信息的形式本公开不做限定。
本实施例,通过检测到通信数据对应的安全性检测结果为存在安全性问题,输出告警信息,则可以提醒用户及时对安全性问题进行处理,从而预防类似的安全性问题的出现,增加了网络安全系统的安全性。
在上述实施例的基础上,进一步地,本实施例提供的方法还包括:若网络设备的密码运行状态日志存在安全性问题,输出日志告警信息。
图5为本公开实施例提供的再一种密码安全态势感知方法的流程示意图,图5是在图3或图4所示实施例的基础上,进一步地,如图5所示,本实施例的密码安全态势感知方法还包括:
S309、显示通信数据对应的密码事件信息。
可以通过显示屏等显示设备对通信数据对应的密码事件信息进行显示,其中可以分类进行显示,例如,可以根据密码时间信息中安全性检测结果为存在安全性问题和不存在安全性问题进行分类显示,也可以根据密码要素进行显示,还可以根据通信时间的顺序进行显示等,可以对不同维度的密码安全态势信息进行同时显示,对此本公开不做限定。显示密码事件信息的实际数据,或者显示其指标变化情况,例如,可以显示指标变化的动态图等。
可选的,本实施例提供的方法还包括:显示每个网络设备的密码运行状态日志。
可选的,本实施例提供的方法还包括:显示输出的告警信息。
本实施例,通过对通信数据对应密码事件信息进行显示,从而使得用户可以清晰了解网络安全系统的密码相关通信的情况,了解目前存在的安全性问题,可以帮助用户进行相关决策,从而协助用户实现了“看见业务、看懂威胁、看透风险、辅助决策”。
图6为本公开实施例提供的又一种密码安全态势感知方法的流程示意图,图6是在图3-图5所示实施例的基础上,进一步地,如图6所示,本实施例的密码安全态势感知方法还包括:
S304B、存储通信数据对应的密码事件信息。
本实施例中,可以将通信数据对应的密码时间信息存储在数据库中,在S307中进行安全性评估所需的数据(通信数据对应的密码事件信息和每个网络设备的密码运行状态日志)可以通过在该数据库中获取到,其中可以每隔一段时间从数据库中获取安全性评估所需的数据。
本实施例,通过存储通信数据对应的密码事件信息,便于对通信数据对应的密码事件信息的追溯。
在上述实施例的基础上,进一步的,本实施例的方法还包括:接收网络设备的设备信息。用户可以在对应的设备信息设置界面,设置目前网络安全系统中包含的网络设备的设备信息,其中,设备信息包括但不限于于网络设备的IP地址,网络设备的标识等。进一步地,可以对网络设备的设备信息进行显示,从而更加直观的使客户了解到目前网络安全系统的网络设备的情况。
图7为本公开实施例提供的一种密码安全态势感知装置的结构示意图,本实施例的装置应用于网络安全系统,网络安全系统包括多个网络设备,多个网络设备之间通信连接,如图7所示,本实施例的装置包括:
获取模块701,用于获取多个网络设备之间进行通信的通信数据,通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据;
密码检测模块702,用于对通信数据进行密码安全性检测,得到通信数据对应的安全性检测结果;
密码事件生成模块703,用于根据通信数据和通信数据对应的安全性检测结果,生成通信数据对应的密码事件信息;
密码安全评估模块704,用于根据预设时间段内的通信数据对应的密码事件信息和每个网络设备的密码运行状态日志,评估预设时间段内的网络安全系统的安全性指标。
可选的,获取模块701还用于:获取每个所述网络中设备的随机数发生器产生的随机数;
密码检测模块702还用于:对每个网络设备的随机数发生器产生的随机数进行密码安全性检测,确定每个网络设备的随机数发生器产生的随机数对应的安全性结果;
密码安全评估模块704具体用于:根据预设时间段内的通信数据对应的密码事件信息、每个网络设备的密码运行状态日志和每个网络设备的随机数发生器产生的随机数对应的安全性结果,评估预设时间段内的网络安全系统的安全性指标。
可选的,密码安全性检测包括以下一种或多种安全性检测方法:
检测传输数据使用的密码通信协议;
检测传输数据使用的密码算法;
对传输数据中包含的数字签名进行验签;
检测传输数据中包含的数字证书;
检测公钥的漏洞,其中,公钥用于加密得到传输数据;
检测每个网络设备的随机数发生器产生的随机数的随机性。
可选的,通信数据对应的安全性检测结果包括以下一种或多种安全性检测结果:
确定密码通信协议是否含有漏洞;
确定密码算法是否正确;
确定数字签名对应的数据是否被修改;
确定生成数字签名的公钥密码算法和密码杂凑算法是否正确;
确定数字证书的证书链的签名是否正确;
确定数字证书是否符合第一标准;
确定数字证书是否有效且安全;
确定公钥是否存在漏洞;
确定每个网络设备的随机数发生器产生的随机数的随机性是否符合第二标准。
可选的,装置还包括:
告警模块,用于若通信数据对应的安全性检测结果为存在安全性问题,则输出告警信息;
安全性问题包括以下一种或多种:
密码通信协议含有漏洞;
密码算法不正确;
数字签名对应的数据已被修改;
生成数字签名的公钥密码算法,和/或,密码杂凑算法不正确;
数字证书的证书链的签名不正确;
数字证书不符合第一标准;
数字证书无效;
每个网络设备的随机数发生器的随机性不符合第二标准。
可选的,装置还包括:
显示模块,用于显示通信数据对应的密码事件信息。
可选的,装置还包括:
存储模块,用于存储通信数据对应的密码事件信息。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本公开实施例提供的一种密码安全态势感知设备的结构示意图,如图8所示,本实施例的设备包括:
存储器801,用于存储处理器可执行指令的存储器;
处理器802,用于在计算机程序被执行时,实现如上述图3-图6任一所示的方法。
上述实施例的设备,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本公开实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述图3-图6任一所示的密码安全态势感知方法。
上述实施例的计算机可读存储介质,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种密码安全态势感知方法,其特征在于,应用于网络安全系统,所述网络安全系统包括多个网络设备,所述多个网络设备之间通信连接,所述方法包括:
获取所述多个网络设备之间进行通信的通信数据,所述通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据;
对所述通信数据进行密码安全性检测,得到所述通信数据对应的安全性检测结果;
根据所述通信数据和所述通信数据对应的安全性检测结果,生成所述通信数据对应的密码事件信息;
根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取每个所述网络设备的随机数发生器产生的随机数;
对所述每个所述 网络设备的随机数发生器产生的随机数进行所述密码安全性检测,确定每个所述网络设备的随机数发生器产生的随机数对应的安全性结果;
所述根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标,包括:
根据预设时间段内的通信数据对应的密码事件信息、每个所述网络设备的密码运行状态日志和所述每个网络设备的随机数发生器产生的随机数对应的安全性结果,评估所述预设时间段内的所述网络安全系统的安全性指标。
3.根据权利要求2所述的方法,其特征在于,所述密码安全性检测包括以下一种或多种安全性检测方法:
检测所述传输数据使用的密码通信协议;
检测所述传输数据使用的密码算法;
对所述传输数据中包含的数字签名进行验签;
检测所述传输数据中包含的数字证书;
检测公钥的漏洞,其中,所述公钥用于加密得到所述传输数据;
检测所述每个网络设备的随机数发生器产生的随机数的随机性。
4.根据权利要求3所述的方法,其特征在于,所述通信数据对应的安全性检测结果包括以下一种或多种安全性检测结果:
确定所述密码通信协议是否含有漏洞;
确定所述密码算法是否正确;
确定所述数字签名对应的数据是否被修改;
确定生成所述数字签名的公钥密码算法和密码杂凑算法是否正确;
确定所述数字证书的证书链的签名是否正确;
确定所述数字证书是否符合第一标准;
确定所述数字证书是否有效且安全;
确定所述公钥是否存在漏洞;
确定所述每个网络设备的随机数发生器产生的随机数的随机性是否符合第二标准。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若所述通信数据对应的安全性检测结果为存在安全性问题,则输出告警信息;
所述安全性问题包括以下一种或多种:
所述密码通信协议含有漏洞;
所述密码算法不正确;
所述数字签名对应的数据已被修改;
生成数字签名的公钥密码算法,和/或,密码杂凑算法不正确;
所述数字证书的证书链的签名不正确;
所述数字证书不符合第一标准;
所述数字证书无效;
所述每个网络设备的随机数发生器的随机性不符合第二标准。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:显示所述通信数据对应的密码事件信息。
7.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
存储所述通信数据对应的密码事件信息。
8.一种密码安全态势感知装置,其特征在于,应用于网络安全系统,所述网络安全系统包括多个网络设备,所述多个网络设备之间通信连接,所述装置包括:
获取模块,用于获取所述多个网络设备之间进行通信的通信数据,所述通信数据包含:接收设备的信息、发送设备的信息、通信时间和传输数据;
密码检测模块,用于对所述通信数据进行密码安全性检测,得到所述通信数据对应的安全性检测结果;
密码事件生成模块,用于根据所述通信数据和所述通信数据对应的安全性检测结果,生成所述通信数据对应的密码事件信息;
密码安全评估模块,用于根据预设时间段内的通信数据对应的密码事件信息和每个所述网络设备的密码运行状态日志,评估所述预设时间段内的所述网络安全系统的安全性指标。
9.一种密码安全态势感知设备,其特征在于,包括:
存储器,用于存储处理器可执行指令的存储器;
处理器,用于在计算机程序被执行时,实现如上述权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至7任一项所述的密码安全态势感知方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011644609.4A CN112738121B (zh) | 2020-12-30 | 2020-12-30 | 密码安全态势感知方法、装置、设备和可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011644609.4A CN112738121B (zh) | 2020-12-30 | 2020-12-30 | 密码安全态势感知方法、装置、设备和可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738121A CN112738121A (zh) | 2021-04-30 |
CN112738121B true CN112738121B (zh) | 2022-11-08 |
Family
ID=75609399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011644609.4A Active CN112738121B (zh) | 2020-12-30 | 2020-12-30 | 密码安全态势感知方法、装置、设备和可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738121B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113810364A (zh) * | 2021-07-29 | 2021-12-17 | 北京中交国通智能交通系统技术有限公司 | 一种信息展示方法、装置、设备及存储介质 |
CN114362995A (zh) * | 2021-11-30 | 2022-04-15 | 河南金盾信安检测评估中心有限公司 | 一种省域密码应用安全态势系统 |
CN115630355B (zh) * | 2022-10-31 | 2023-08-22 | 鼎铉商用密码测评技术(深圳)有限公司 | 密码模块的安全评测方法、安全评测设备以及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120068611A (ko) * | 2010-12-17 | 2012-06-27 | 한국전자통신연구원 | 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법 |
CN108200045A (zh) * | 2017-12-28 | 2018-06-22 | 山东渔翁信息技术股份有限公司 | 安全态势感知系统和方法 |
CN110445807A (zh) * | 2019-08-23 | 2019-11-12 | 瑞森网安(福建)信息科技有限公司 | 网络安全态势感知系统及方法 |
-
2020
- 2020-12-30 CN CN202011644609.4A patent/CN112738121B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112738121A (zh) | 2021-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738121B (zh) | 密码安全态势感知方法、装置、设备和可读存储介质 | |
KR101421329B1 (ko) | 3 개의 피어 인증(tepa)에 기반한 신뢰할만한 플랫폼을 인증하는 방법 | |
CN104620225B (zh) | 用于服务器安全验证的方法和系统 | |
Patil et al. | Network forensic investigation protocol to identify true origin of cyber crime | |
Palmieri et al. | Automatic security assessment for next generation wireless mobile networks | |
CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
CN106302550A (zh) | 一种用于智能变电站自动化的信息安全方法及系统 | |
CA2762706A1 (en) | Method and system for securing communication sessions | |
CN108701308B (zh) | 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法 | |
JP2014086822A (ja) | 不正アクセス検出方法、ネットワーク監視装置及びプログラム | |
CN113079140B (zh) | 一种基于区块链的协作频谱感知位置隐私保护方法 | |
WO2024002160A1 (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN109067768B (zh) | 一种域名查询安全性的检测方法、系统、设备和介质 | |
CN107306251B (zh) | 一种信息认证方法及网关设备 | |
CN115694932A (zh) | 一种基于区块链技术实现社区敏感数据保护的方法及设备 | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN107888548A (zh) | 一种信息验证方法及装置 | |
Yang et al. | Misdis: An efficent misbehavior discovering method based on accountability and state machine in vanet | |
Feng et al. | Autonomous Vehicles' Forensics in Smart Cities | |
CN113938314B (zh) | 一种加密流量的检测方法及装置、存储介质 | |
CN116170143A (zh) | 一种基于国密算法的智慧社区数据安全传输、存储及融合使用系统 | |
CN116132989A (zh) | 一种工业互联网安全态势感知系统及方法 | |
KR20170096780A (ko) | 침해사고 정보 연동 시스템 및 방법 | |
Mengjun et al. | Privacy-preserving distributed location proof generating system | |
CN114422266A (zh) | 一种基于双重验证机制的IDaaS系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |