CN114329422A - 一种可信安全防护方法、装置、电子设备和存储介质 - Google Patents
一种可信安全防护方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114329422A CN114329422A CN202111542168.1A CN202111542168A CN114329422A CN 114329422 A CN114329422 A CN 114329422A CN 202111542168 A CN202111542168 A CN 202111542168A CN 114329422 A CN114329422 A CN 114329422A
- Authority
- CN
- China
- Prior art keywords
- intranet
- network
- module
- identity information
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及信息安全技术领域,尤其涉及一种可信安全防护方法、装置、电子设备和存储介质,用以保证网闸设备自身的可信安全。其中,方法包括:分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,并通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过外网模块对内网待验证身份信息进行一致性校验,获得内网校验结果,在确定外网校验结果和内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。由于本申请通过在外网模块和内网模块的身份信息都验证通过后,允许外网与内网之间进行数据交换,能够保证网闸设备自身的可信安全。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种可信安全防护方法、装置、电子设备和存储介质。
背景技术
随着信息化发展,出于安全原因,很多重要领域的网络建设需要进行物理隔离建设,以保障核心领域网络安全。
网闸设备作为物理隔离网络边界的核心产品,负责保证不同安全等级网络之间的数据安全高效传输。若网闸产品设备本身遭到外部攻击,尤其是当网闸设备内部的核心器件被私自拆卸和篡改,则会导致网闸物理隔离特性的缺失,造成严重的安全风险,从而无法实现不同等级的安全域网络进行跨域安全交换。
相关技术中,为了防止网闸设备内部的核心器件被私自拆卸和篡改,主要是采用物理方式(塑料胶或腊封等方式)对核心器件(隔离交换器件、内存和硬盘)进行物理固定。但是该方法无法保证核心器件不被拆卸和篡改,并且无法验证网闸设备自身的可信安全。因此,如何验证网闸设备自身的可信安全是目前亟待解决的问题。
发明内容
本申请实施例提供一种可信安全防护方法、装置、电子设备和存储介质,用以保证网闸设备自身的可信安全。
本申请实施例提供了一种可信安全防护方法,包括:
分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,其中,所述外网待验证身份信息用于:校验所述外网模块的可信性,所述内网待验证身份信息用于:校验所述内网模块的可信性,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换;
通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果;
在确定所述外网校验结果和所述内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
可选的,所述分别获取外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,包括:
通过外网模块对自身组成器件对应的外网器件信息进行映射,获得标识所述外网模块的第一外网标识信息,并对所述第一外网标识信息进行加密,获得所述外网待验证身份信息;以及,
通过内网模块对自身组成器件对应的内网器件信息进行映射,获得标识所述内网模块的第一内网标识信息,并对所述第一内网标识信息进行加密,获得所述内网待验证身份信息。
可选的,所述通过所述内网模块对所述外网待验证身份信息进行校验,获得外网校验结果,包括:
通过所述内网模块获取所述外网模块发送的所述外网待验证身份信息,并对所述外网待验证身份信息进行解密,获得第二外网标识信息;
基于所述第二外网标识信息与所述内网模块存储的第一外网身份信息进行一致性校验,获得外网校验结果。
可选的,所述基于所述第二外网标识信息与所述内网模块存储的第一外网身份信息是否一致,确定外网校验结果,包括:
若所述第二外网标识信息与所述第一外网身份信息一致,则所述外网校验结果为所述外网待验证身份信息验证通过;
若所述第二外网标识信息与所述第一外网身份信息不一致,则所述外网校验结果为所述外网待验证身份信息验证不通过。
可选的,在所述通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,还包括:
通过所述内网模块将所述外网校验结果发送给所述外网模块,以使所述外网模块根据所述外网校验结果确定所述外网待验证身份信息验证是否通过。
可选的,所述通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果,包括:
通过所述外网模块获取所述内网模块发送的所述内网待验证身份信息,并对所述内网待验证身份信息进行解密,获得第二内网标识信息;
基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息进行一致性校验,获得内网校验结果。
可选的,所述基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息是否一致,确定所述内网校验结果,包括:
若所述第二内网标识信息与所述第一内网身份信息一致,则所述内网校验结果为所述内网待验证身份信息验证通过;
若所述第二内网标识信息与所述第一内网身份信息不一致,则所述内网校验结果为所述内网待验证身份信息验证不通过。
可选的,在所述基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息是否一致,确定内网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,还包括:
通过所述外网模块将所述内网校验结果发送给所述内网模块,以使所述内网模块根据所述内网校验结果确定所述内网待验证身份信息验证是否通过。
可选的,所述方法还包括:
在确定所述外网校验结果或所述内网校验结果为验证不通过时,触发报警模块进行报警。
可选的,所述方法还包括:
在所述内网模块对所述外网待验证身份信息解密失败,或者所述外网模块对所述内网待验证身份信息解密失败时,触发报警模块进行报警。
可选的,所述外网模块和所述内网模块还包括各自的安全单元;所述安全单元用于对所述第一外网标识信息和所述第一内网标识信息加密,或对所述外网待验证身份信息和所述内网待验证身份信息解密。
本申请实施例提供了一种可信安全防护装置,包括:
获取单元,用于分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,其中,所述外网待验证身份信息用于:校验所述外网模块的可信性,所述内网待验证身份信息用于:校验所述内网模块的可信性,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换;
校验单元,用于通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果;
确定单元,用于在确定所述外网校验结果和所述内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
可选的,所述获取单元具体用于:
通过外网模块对自身组成器件对应的外网器件信息进行映射,获得标识所述外网模块的第一外网标识信息,并对所述第一外网标识信息进行加密,获得所述外网待验证身份信息;以及,
通过内网模块对自身组成器件对应的内网器件信息进行映射,获得标识所述内网模块的第一内网标识信息,并对所述第一内网标识信息进行加密,获得所述内网待验证身份信息。
可选的,所述校验单元具体用于:
通过所述内网模块获取所述外网模块发送的所述外网待验证身份信息,并对所述外网待验证身份信息进行解密,获得第二外网标识信息;
基于所述第二外网标识信息与所述内网模块存储的第一外网身份信息进行一致性校验,获得外网校验结果。
可选的,通过下列方式确定外网校验结果:
若所述第二外网标识信息与所述第一外网身份信息一致,则所述外网校验结果为所述外网待验证身份信息验证通过;
若所述第二外网标识信息与所述第一外网身份信息不一致,则所述外网校验结果为所述外网待验证身份信息验证不通过。
可选的,在所述通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,所述装置还包括第一发送单元,用于:
通过所述内网模块将所述外网校验结果发送给所述外网模块,以使所述外网模块根据所述外网校验结果确定所述外网待验证身份信息验证是否通过。
可选的,所述校验单元具体用于:
通过所述外网模块获取所述内网模块发送的所述内网待验证身份信息,并对所述内网待验证身份信息进行解密,获得第二内网标识信息;
基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息进行一致性校验,获得内网校验结果。
可选的,通过下列方式确定内网校验结果:
若所述第二内网标识信息与所述第一内网身份信息一致,则所述内网校验结果为所述内网待验证身份信息验证通过;
若所述第二内网标识信息与所述第一内网身份信息不一致,则所述内网校验结果为所述内网待验证身份信息验证不通过。
可选的,在所述基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息是否一致,确定内网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,所述装置还包括第二发送单元,用于:
通过所述外网模块将所述内网校验结果发送给所述内网模块,以使所述内网模块根据所述内网校验结果确定所述内网待验证身份信息验证是否通过。
可选的,所述装置还包括第一报警单元,用于:
在确定所述外网校验结果或所述内网校验结果为验证不通过时,触发报警模块进行报警。
可选的,所述装置还包括第二报警单元,用于:
在所述内网模块对所述外网待验证身份信息解密失败,或者所述外网模块对所述内网待验证身份信息解密失败时,触发报警模块进行报警。
可选的,所述外网模块和所述内网模块还包括各自的安全单元;所述安全单元用于对所述第一外网标识信息和所述第一内网标识信息加密,或对所述外网待验证身份信息和所述内网待验证身份信息解密。
本申请实施例提供的一种电子设备,包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行上述任意一种可信安全防护方法的步骤。
本申请实施例提供一种计算机可读存储介质,其包括计算机程序,当所述程序代码在电子设备上运行时,所述计算机程序用于使所述电子设备执行上述任意一种可信安全防护方法的步骤。
本申请实施例提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中;当电子设备的处理器从计算机可读存储介质读取所述计算机程序时,所述处理器执行所述计算机程序,使得所述电子设备执行上述任意一种可信安全防护方法的步骤。
本申请有益效果如下:
本申请实施例提供了一种可信安全防护方法、装置、电子设备和存储介质,在本申请实施例中,分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,并通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过外网模块对内网待验证身份信息进行一致性校验,获得内网校验结果,在确定外网校验结果和内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。通过对外网模块和内网模块进行身份信息校验,并且在外网模块和内网模块的身份信息都验证通过后,允许外网与内网之间进行数据交换,能够保证网闸设备自身的可信安全。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例中的一种网闸设备的结构示意图;
图2为本申请实施例中的一种可信安全防护方法的流程示意图;
图3为本申请实施例中的一种可信安全防护方法的系统架构图;
图4为本申请实施例中的一种可信安全防护方法的交互流程图;
图5为本申请实施例中的一种外网处理单元的流程示意图;
图6为本申请实施例中的一种内网处理单元的流程示意图;
图7为本申请实施例的一种可信安全防护装置的结构示意图;
图8为应用本申请实施例的一种电子设备的一个硬件组成结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
下面对本申请实施例中涉及的部分概念进行介绍。
网闸设备:是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
哈希算法:把任意长度的输入通过散列算法变换成固定长度的输出,可以将一个数据转换为一个标志,这个标志和源数据的每一个字节都有十分紧密的关系,在本申请实施例中,通过哈希算法分别对外网模块和内网模块的器件信息进行映射,能够分别获得外网模块和内网模块的唯一标识信息。
可信平台模块:指符合TPM(Trusted Platform Module,可信赖平台模块)标准的安全芯片,它能有效地保护设备、防止非法用户访问,既是密钥生成器,又是密钥管理器件。本申请实施例中的安全单元即为可信平台模块,用于对外网模块和内网模块之间的交互信息进行加密、解密,并存储外网模块和内网模块的身份信息。
下面对本申请实施例的设计思想进行简要介绍:
随着信息化发展,出于安全原因,很多重要领域的网络建设需要进行物理隔离建设,以保障核心领域网络安全。
网闸设备由外网处理单元、专有隔离交换器件和内网处理单元三部分组成,参阅图1所示,外网处理单元与低安全域网络相连,内网处理单元与高安全域网络相连,内网处理单元和外网处理单元通过隔离交换器件进行跨域信息交换。内、外网处理单元由两套独立的系统组成,通过专有隔离交换器件进行跨域信息交换,两套处理系统无法感知对方存在从而保证物理隔离。网闸设备作为物理隔离网络边界核心产品,负责保证不同安全等级网络之间的数据安全高效传输。若网闸产品设备本身遭到外部攻击,尤其是当网闸设备内部专有隔离交换器件被替换为简单网卡,则会导致网闸物理隔离特性的缺失,造成严重的安全风险,从而使不同安全域网络进行跨域安全交换变成形同虚设;同时网闸设备厂家为了方便对已出货的机器进行维护和授权,不希望网闸设备本身内外网处理单元的核心器件被私自拆卸进行替换或升级。
相关技术中,为了防止网闸设备内部的核心器件被私自拆卸和篡改,主要是采用物理方式(塑料胶或腊封等方式)对核心器件(隔离交换器件、内存和硬盘)进行物理固定。但是该方法无法保证核心器件不被拆卸和篡改,并且无法验证网闸设备自身的可信安全。因此,如何验证网闸设备自身的可信安全是目前亟待解决的问题。
有鉴于此,本申请实施例提供了一种可信安全防护方法、装置、电子设备和存储介质,在本申请实施例中,分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,并通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过外网模块对内网待验证身份信息进行一致性校验,获得内网校验结果,在确定外网校验结果和内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。通过对外网模块和内网模块进行身份信息校验,并且在外网模块和内网模块的身份信息都验证通过后,允许外网与内网之间进行数据交换,能够在确保网闸设备可信安全的情况下,进行数据交换,有效提升了数据交换安全性。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
如图2所示,为本申请实施例提供的一种可信安全防护方法的实施流程图,该方法的具体实施流程如下:
S201:网闸分别获取外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息;
其中,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换,外网模块与内网模块之间通过隔离交换器件进行数据交换;外网待验证身份信息用于:校验外网模块的可信性,内网待验证身份信息用于:校验内网模块的可信性,能够通过外网待验证身份信息和内网待验证身份信息确定外网模块和内网模块是否被非法篡改,从而校验外网模块和内网模块的可信性。
S202:网闸通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过外网模块对内网待验证身份信息进行一致性校验,获得内网校验结果;
S203:网闸在确定外网校验结果和内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
其中,外网校验结果和内网校验结果都为验证通过时,表示网闸设备是可信安全的,可以通过网闸设备在低安全域(外网)与高安全域(内网)之间进行数据交换。
在本申请实施例中,通过对外网模块和内网模块进行身份信息校验,并且在外网模块和内网模块的身份信息都验证通过后,允许外网与内网之间进行数据交换,能够保证网闸设备自身的可信安全,进一步的,有效提升了数据交换安全性。
可选的,通过以下方式获得外网待验证身份信息:
首先,通过外网模块对自身组成器件对应的外网器件信息进行映射,获得标识外网模块的第一外网标识信息,然后通过外网模块的安全单元对第一外网标识信息进行加密,获得外网待验证身份信息。
具体地,在网闸设备启动时,获取外网模块的CPU、内存、网卡、硬盘和专有隔离器件的器件信息,通过哈希算法将器件信息映射为第一外网标识信息,此时获得的标识信息具有唯一性,与器件信息一一对应,不同的器件信息会映射为不同的标识信息,然后对第一外网标识信息,获得外网待验证身份信息。
在本申请实施例中,内网模块和外网模块都包括各自的安全单元,外网模块的安全单元存储有对自身要发送的信息进行加密的私钥,对内网模块发送的信息进行解密的公钥,以及内网模块的身份信息。
可选的,通过以下方式获得内网待验证身份信息:
首先,通过内网模块对自身组成器件对应的内网器件信息进行映射,获得标识内网模块的第一内网标识信息,然后内网模块的安全单元对第一内网标识信息进行加密,获得内网待验证身份信息。
具体地,获取内网待验证身份信息的方式参见上文获取外网待验证身份信息,在此不做赘述。
在本申请实施例中,内网模块的安全单元存储有对自身要发送的信息进行加密的私钥,对外网模块发送的信息进行解密的公钥,以及外网模块的身份信息。
可选的,在获得外网待验证身份信息之后,由内网模块对外网待验证身份信息进行一致性校验:
首先通过内网模块获取外网模块发送的外网待验证身份信息,并通过内网模块的安全单元对外网待验证身份信息进行解密,获得第二外网标识信息;然后基于第二外网标识信息与内网模块的安全单元存储的第一外网身份信息进行一致性校验,获得外网校验结果:若第二外网标识信息与第一外网身份信息一致,则外网校验结果为外网待验证身份信息验证通过;若第二外网标识信息与第一外网身份信息不一致,则外网校验结果为外网待验证身份信息验证不通过。
其中,内网模块的安全单元存储的第一外网身份信息为网闸设备出厂前,根据初始的外网模块的器件信息进行哈希计算获得的,因此将第一外网身份信息与第二外网标识信息进行一致性校验,能够验证外网模块是否被替换或篡改。
需要说明的是,对外网待验证身份信息进行解密,获得的第二外网标识信息与第一外网标识信息本质相同,“第一”和“第二”只是用于区分。
可选的,内网模块在获得外网校验结果之后,还需要将外网校验结果发送给外网模块,以使外网模块根据外网校验结果确定外网待验证身份信息验证是否通过。
可选的,在获得内网待验证身份信息之后,由外网模块对内网待验证身份信息进行一致性校验:
首先通过外网模块获取内网模块发送的内网待验证身份信息,并通过外网模块的安全单元对内网待验证身份信息进行解密,获得第二内网标识信息;然后基于第二内网标识信息与外网模块的安全单元存储的第一内网身份信息进行一致性校验,获得内网校验结果:若第二内网标识信息与第一内网身份信息一致,则内网校验结果为内网待验证身份信息验证通过;若第二内网标识信息与第一内网身份信息不一致,则内网校验结果为内网待验证身份信息验证不通过。
其中,外网模块的安全单元存储的第一内网身份信息为网闸设备出厂前,根据初始的内网模块的器件信息进行哈希计算获得的,因此将第一内网身份信息与第二内网标识信息进行一致性校验,能够验证内网模块是否被替换或篡改。
需要说明的是,对内网待验证身份信息进行解密,获得的第二内网标识信息与第一内网标识信息本质相同,“第一”和“第二”只是用于区分。
可选的,外网模块在获得内网校验结果之后,还需要将内网校验结果发送给内网模块,以使内网模块根据内网校验结果确定内网待验证身份信息验证是否通过。
可选的,在以下情况下触发报警模块进行报警:
情况一:外网校验结果为验证不通过;
情况二:内网校验结果为验证不通过;
情况三:内网模块对外网待验证身份信息解密失败;
情况四:外网模块对内网待验证身份信息解密失败。
参阅图3,其为本申请实施例中的一种可信安全防护方法的系统架构图,应用于网闸,包括以下模块:
外网处理单元(即外网模块)包括:外网可信计算模块TPM(即安全单元)、可信启动度量模块和前隔离卡;
其中,外网TPM内部有非易失性存储空间(Non-Volatile Memory,NV)和平台配置寄存器(Platform Control Register,PCR),NV用于存储外网可信策略部署,PCR用来存储度量结果;
外网可信策略部署主要包括以下策略信息:外网处理单元私钥、内网处理单元公钥和内网身份信息;
内网处理单元(即内网模块)包括:内网可信计算模块TPM(即安全单元)、可信启动度量模块和后隔离卡;
内网TPM内部有NV和PCR,内网NV用来存储内网可信策略,内网可信策略主要包括以下策略信息:内网处理单元私钥、外网处理单元公钥和外网身份信息。
内、外网处理单元中的可信启动度量模块主要负责:获取本单元器件信息;调用对等验证模块从自身TPM模块中的NV中获取可信策略加密后将待验证身份信息发送给对端进行验证,并等待接收对端验证结果,将结果使用NV中的可信策略进行解密,将对等验证模块的度量结果存储在度量存储模块,并写入各自TPM中的PCR中。
内、外网处理单元中各自的可信校验模块在可信启动度量模块完成后,检查TPM中PCR寄存器数值,如果为数值为0表示系统不可信,并触发蜂鸣器;否则,系统正常启动。
下面结合图3,介绍本申请中的可信安全防护方法的一种具体实施例:
在网闸设备出厂前,将内、外网处理单元各自系统核心器件(中央处理器、硬盘、网卡、隔离卡)信息获取后进行哈希计算生成各自系统的身份信息,将各自身份信息和公钥存储到对端单元的可信计算模块的NV中,将内、外单元处理单元各自的私钥信息存储在自身的可信计算模的NV中。
当网闸系统启动时,外网处理单元首先会将自身内部核心器件信息获取后进行哈希计算生成标识信息,将标识信息使用TPM的NV中存储的外网处理单元私钥进行加密,将待验证身份信息发送给内网处理单元;内网处理单元系统接收到外网处理系统的待验证身份信息,使用自身TPM中的外网处理单元公钥进行解密,获取外网系统模块标识信息与自身TPM中的外网身份信息进行对比,将验证结果写入TPM中的PCR寄存器中,如果结果为真表示两端系统可信,如果结果为假表示两端系统被非法篡改,调用蜂鸣器进行报警;同时将内网处理单元系统中核心器件信息进行哈希计算生成标识信息,将内网处理单元标识信息和外网身份信息验证结果使用内网处理单元私钥加密后反馈给外网处理单元;外网处理单元使用自身TPM中的内网处理单元公钥解密,并使用自身TPM中内网身份信息与内网待验证身份信息进行对比,如果结果为真表示两端系统可信,如果结果为假表示两端系统被非法篡改,调用蜂鸣器进行报警;同时将验证结果反馈给内网处理单元,内网处理单元接收到内网验证结果后与TPM中PCR的值进行与操作,结果为真表示两端系统可靠,结果为假表示两端系统被非法篡改。
参阅图4,其为本申请实施例中的一种可信安全防护方法的交互流程图,主要用于介绍外网处理单元和内网处理单元之间的交互逻辑,包括以下步骤:
S401:外网可信策略部署;
S402:内网可信策略部署;
S403:外网处理单元根据自身的器件信息生成外网标识信息,并将加密后获得的外网待验证身份信息并发送给内网处理单元;
S404:内网处理单元将解密获得的外网标识信息与存储的外网身份信息对比,获得外网验证结果,以及将根据自身器件信息生成内网待验证身份信息;
S405:向外网处理单元发送加密后的外网验证结果和内网待验证身份信息;
S406:外网处理单元将解密获得的内网标识信息与存储的内网身份信息进行对比,获得内网验证结果;
S407:向内网处理单元发送加密后内网验证结果;
S408:接收内网验证结果,并将内网验证结果和外网验证结果做与操作,若结果为真,则确定两端可信,允许开始数据交换,结果为假则不可信,不允许开始数据交换;
S409:若内网验证结果和外网验证结果均为真,则确定两端可信,允许开始数据交换,结果为假则不可信,不允许开始数据交换。
下面结合图5、图6,介绍本申请中的可信安全防护方法的另一种实施例,包括以下步骤:
1、网闸设备出厂前,根据网闸设备的外网处理单元和内网处理单元系统中的核心器件(CPU、内存、网卡、硬盘和专有隔离交换器件)信息,进行哈希计算生成唯一内、外网处理单元身份信息:
2、在外网处理单元中的TPM的NV中完成外网可信策略部署,同时在内网处理单元中的TPM的NV中完成内网可信策略部署;
3、外网处理单元启动后,首先基于当前外网处理单元中核心器件(CPU,内存,网卡,硬盘和专有隔离交换器件)的信息生成外网标识信息,标识信息通过以下算法生成,此处使用SM3算法计算生成唯一哈希值,在实际应用中不局限于SM3,可选择SHA-256,SHA-384和SHA-512等算法:
SM3sum(cpu_sn,“#”,harddisk_sn,“#”,memory_sn,“#”,ethernet_id,“#”,isolated_sn);
4、外网处理单元的对等验证模块从外网TPM的NV中获取外网处理单元私钥,使用私钥对待验证身份信息进行加密后,生成待验证身份信息并通过前隔离卡发送给内网处理单元;
5、内网处理单元接收到外网处理单元的待验证身份信息后,使用内网TPM的NV中的外网处理单元公钥进行解密,如果解密失败直接将验证失败结果存入内网TPM中的PCR中,同时跳转步骤7;
6、如果解密成功,将待验证身份信息中的外网标识信息和内网TPM的NV中的外网身份信息,进行对比,将外网验证结果存入内网TPM中的PCR中,如果结果为真则写入1,结果为假写入0;
7、内网处理单元系统获取当前内网处理单元中核心器件(CPU,内存,网卡,硬盘和专有隔离交换器件)器件信息,并通过哈希算法生成内网标识信息,其内网标识信息通过以下算法生成:
SM3sum(cpu_sn,“#”,harddisk_sn,“#”,memory_sn,“#”,ethernet_id,“#”,isolated_sn);
8、内网处理单元对等验证模块从内网TPM中的NV中获取内网处理单元私钥,使用私钥对内网标识信息和外网验证结果进行加密后,通过后隔离卡发送给外网处理单元。
9、外网处理单元接收到内网处理单元响应验证信息后,使用外网TPM的NV中的内网处理单元公钥进行解密,如果解密失败,则直接将验证结果写入外网TPM中的PCR寄存器中,同时跳转到步骤11;
10、如果解密成功,将响应验证报文中的内网标识信息和外网TPM的NV中的内网身份信息进行对比,将内网验证结果写入外网TPM中PCR;
11、外网处理单元对等验证模块将内网验证结果使用外网处理单元私钥加密后发送给内网处理单元;
12、内网处理单元对等验证模块收到外网验证结果响应报文后,使用内网处理单元中TPM中的外网处理单元公钥进行解密,获取外网验证结果与自身TPM中PCR寄存器值进行相与操作,并将结果写入TPM中的PCR;
13、内外网系统单元各自的可信效验模块从各自TPM的PCR中读取数值,如果为1表示两端系统可信,如果为0表示两端系统不可信,触发蜂鸣器。
基于相同的发明构思,本申请实施例还提供一种可信安全防护装置。如图7所示,其为可信安全防护装置700的结构示意图,可以包括:
获取单元701,用于分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,其中,外网待验证身份信息用于:校验外网模块的可信性,内网待验证身份信息用于:校验内网模块的可信性,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换;
校验单元702,用于通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过外网模块对内网待验证身份信息进行一致性校验,获得内网校验结果;
确定单元703,用于在确定外网校验结果和内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
可选的,获取单元701具体用于:
通过外网模块对自身组成器件对应的外网器件信息进行映射,获得标识外网模块的第一外网标识信息,并对第一外网标识信息进行加密,获得外网待验证身份信息;以及,
通过内网模块对自身组成器件对应的内网器件信息进行映射,获得标识内网模块的第一内网标识信息,并对第一内网标识信息进行加密,获得内网待验证身份信息。
可选的,校验单元702具体用于:
通过内网模块获取外网模块发送的外网待验证身份信息,并对外网待验证身份信息进行解密,获得第二外网标识信息;
基于第二外网标识信息与内网模块存储的第一外网身份信息进行一致性校验,获得外网校验结果。
可选的,通过下列方式确定外网校验结果:
若第二外网标识信息与第一外网身份信息一致,则外网校验结果为外网待验证身份信息验证通过;
若第二外网标识信息与第一外网身份信息不一致,则外网校验结果为外网待验证身份信息验证不通过。
可选的,在通过内网模块对外网待验证身份信息进行一致性校验,获得外网校验结果之后,在允许在外网与内网之间进行数据交换之前,装置还包括第一发送单元704,用于:
通过内网模块将外网校验结果发送给外网模块,以使外网模块根据外网校验结果确定外网待验证身份信息验证是否通过。
可选的,校验单元702具体用于:
通过外网模块获取内网模块发送的内网待验证身份信息,并
对内网待验证身份信息进行解密,获得第二内网标识信息;
基于第二内网标识信息与外网模块存储的第一内网身份信息进行一致性校验,获得内网校验结果。
可选的,通过下列方式确定内网校验结果:
若第二内网标识信息与第一内网身份信息一致,则内网校验结果为内网待验证身份信息验证通过;
若第二内网标识信息与第一内网身份信息不一致,则内网校验结果为内网待验证身份信息验证不通过。
可选的,在基于第二内网标识信息与外网模块存储的第一内网身份信息是否一致,确定内网校验结果之后,在允许在外网与内网之间进行数据交换之前,装置还包括第二发送单元705,用于:
通过外网模块将内网校验结果发送给内网模块,以使内网模块根据内网校验结果确定内网待验证身份信息验证是否通过。
可选的,装置还包括第一报警单元706,用于:
在确定外网校验结果或内网校验结果为验证不通过时,触发报警模块进行报警。
可选的,装置还包括第二报警单元707,用于:
在内网模块对外网待验证身份信息解密失败,或者外网模块对内网待验证身份信息解密失败时,触发报警模块进行报警。
可选的,外网模块和内网模块还包括各自的安全单元708;安全单元用于对第一外网标识信息和第一内网标识信息加密,或对外网待验证身份信息和内网待验证身份信息解密。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为系统、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
与上述方法实施例基于同一发明构思,本申请实施例中还提供了一种电子设备。在一种实施例中,该电子设备可以是服务器。在该实施例中,电子设备的结构可以如图8所示,包括存储器801,通讯模块803以及一个或多个处理器802。
存储器801,用于存储处理器802执行的计算机程序。存储器801可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及运行即时通讯功能所需的程序等;存储数据区可存储各种即时通讯信息和操作指令集等。
存储器801可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器801也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);或者存储器801是能够用于携带或存储具有指令或数据结构形式的期望的计算机程序并能够由计算机存取的任何其他介质,但不限于此。存储器801可以是上述存储器的组合。
处理器802,可以包括一个或多个中央处理单元(central processing unit,CPU)或者为数字处理单元等等。处理器802,用于调用存储器801中存储的计算机程序时实现上述可信安全防护方法。
通讯模块803用于与终端设备和其他服务器进行通信。
本申请实施例中不限定上述存储器801、通讯模块803和处理器802之间的具体连接介质。本申请实施例在图8中以存储器801和处理器802之间通过总线804连接,总线804在图8中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线804可以分为地址总线、数据总线、控制总线等。为便于描述,图8中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。
存储器801中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本申请实施例的可信安全防护方法。处理器802用于执行上述的可信安全防护方法,如图2所示。
在一些可能的实施方式中,本申请提供的可信安全防护方法的各个方面还可以实现为一种程序产品的形式,其包括计算机程序,当程序产品在电子设备上运行时,计算机程序用于使电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的可信安全防护方法中的步骤,例如,电子设备可以执行如图2所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括计算机程序,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的计算机程序,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。计算机程序可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中,远程计算装置可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算装置,或者,可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用计算机程序的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序命令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序命令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的命令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序命令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的命令产生包括命令装置的制造品,该命令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序命令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的命令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种可信安全防护方法,其特征在于,应用于网闸,该方法包括:
分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,其中,所述外网待验证身份信息用于:校验所述外网模块的可信性,所述内网待验证身份信息用于:校验所述内网模块的可信性,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换;
通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果;
在确定所述外网校验结果和所述内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
2.如权利要求1所述的方法,其特征在于,所述分别获取外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,包括:
通过外网模块对自身组成器件对应的外网器件信息进行映射,获得标识所述外网模块的第一外网标识信息,并对所述第一外网标识信息进行加密,获得所述外网待验证身份信息;以及,
通过内网模块对自身组成器件对应的内网器件信息进行映射,获得标识所述内网模块的第一内网标识信息,并对所述第一内网标识信息进行加密,获得所述内网待验证身份信息。
3.如权利要求1所述的方法,其特征在于,所述通过所述内网模块对所述外网待验证身份信息进行校验,获得外网校验结果,包括:
通过所述内网模块获取所述外网模块发送的所述外网待验证身份信息,并对所述外网待验证身份信息进行解密,获得第二外网标识信息;
基于所述第二外网标识信息与所述内网模块存储的第一外网身份信息进行一致性校验,获得外网校验结果。
4.如权利要求3所述的方法,其特征在于,所述基于所述第二外网标识信息与所述内网模块存储的第一外网身份信息是否一致,确定外网校验结果,包括:
若所述第二外网标识信息与所述第一外网身份信息一致,则所述外网校验结果为所述外网待验证身份信息验证通过;
若所述第二外网标识信息与所述第一外网身份信息不一致,则所述外网校验结果为所述外网待验证身份信息验证不通过。
5.如权利要求1所述的方法,其特征在于,在所述通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,还包括:
通过所述内网模块将所述外网校验结果发送给所述外网模块,以使所述外网模块根据所述外网校验结果确定所述外网待验证身份信息验证是否通过。
6.如权利要求1所述的方法,其特征在于,所述通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果,包括:
通过所述外网模块获取所述内网模块发送的所述内网待验证身份信息,并对所述内网待验证身份信息进行解密,获得第二内网标识信息;
基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息进行一致性校验,获得内网校验结果。
7.如权利要求6所述的方法,其特征在于,所述基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息是否一致,确定所述内网校验结果,包括:
若所述第二内网标识信息与所述第一内网身份信息一致,则所述内网校验结果为所述内网待验证身份信息验证通过;
若所述第二内网标识信息与所述第一内网身份信息不一致,则所述内网校验结果为所述内网待验证身份信息验证不通过。
8.如权利要求1所述的方法,其特征在于,在所述基于所述第二内网标识信息与所述外网模块存储的第一内网身份信息是否一致,确定内网校验结果之后,在所述允许在外网与内网之间进行数据交换之前,还包括:
通过所述外网模块将所述内网校验结果发送给所述内网模块,以使所述内网模块根据所述内网校验结果确定所述内网待验证身份信息验证是否通过。
9.如权利要求1~8任一项所述的方法,其特征在于,所述方法还包括:
在确定所述外网校验结果或所述内网校验结果为验证不通过时,触发报警模块进行报警。
10.如权利要求3或6所述的方法,其特征在于,所述方法还包括:
在所述内网模块对所述外网待验证身份信息解密失败,或者所述外网模块对所述内网待验证身份信息解密失败时,触发报警模块进行报警。
11.如权利要求2~8任一项所述的方法,其特征在于,所述外网模块和所述内网模块还包括各自的安全单元;所述安全单元用于对所述第一外网标识信息和所述第一内网标识信息加密,或对所述外网待验证身份信息和所述内网待验证身份信息解密,或存储所述第一外网身份信息和所述第一内网身份信息。
12.一种可信安全防护装置,其特征在于,该装置包括:
获取单元,用于分别获取网闸中外网模块的外网待验证身份信息,以及内网模块的内网待验证身份信息,其中,所述外网待验证身份信息用于:校验所述外网模块的可信性,所述内网待验证身份信息用于:校验所述内网模块的可信性,外网模块用于与外网进行数据交换,内网模块用于与内网进行数据交换;
校验单元,用于通过所述内网模块对所述外网待验证身份信息进行一致性校验,获得外网校验结果,以及通过所述外网模块对所述内网待验证身份信息进行一致性校验,获得内网校验结果;
确定单元,用于在确定所述外网校验结果和所述内网校验结果都为验证通过时,允许在外网与内网之间进行数据交换。
13.一种电子设备,其特征在于,其包括处理器和存储器,其中,所述存储器存储有计算机程序,当所述计算机程序被所述处理器执行时,使得所述处理器执行权利要求1~11中任一所述方法的步骤。
14.一种计算机可读存储介质,其特征在于,其包括计算机程序,当所述计算机程序在电子设备上运行时,所述计算机程序用于使所述电子设备执行权利要求1~11中任一所述方法的步骤。
15.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序存储在计算机可读存储介质中;当电子设备的处理器从所述计算机可读存储介质读取所述计算机程序时,所述处理器执行所述计算机程序,使得所述电子设备执行权利要求1~11中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111542168.1A CN114329422A (zh) | 2021-12-16 | 2021-12-16 | 一种可信安全防护方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111542168.1A CN114329422A (zh) | 2021-12-16 | 2021-12-16 | 一种可信安全防护方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114329422A true CN114329422A (zh) | 2022-04-12 |
Family
ID=81052540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111542168.1A Pending CN114329422A (zh) | 2021-12-16 | 2021-12-16 | 一种可信安全防护方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114329422A (zh) |
-
2021
- 2021-12-16 CN CN202111542168.1A patent/CN114329422A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10915633B2 (en) | Method and apparatus for device security verification utilizing a virtual trusted computing base | |
| EP3644181B1 (en) | Embedded program secure boot method, apparatus and device, and storage medium | |
| JP5690412B2 (ja) | ハードウェアデバイスの鍵プロビジョン方法および装置 | |
| US8843764B2 (en) | Secure software and hardware association technique | |
| US9749323B2 (en) | Technologies for secure server access using a trusted license agent | |
| JP6371919B2 (ja) | セキュアなソフトウェアの認証と検証 | |
| US11985247B2 (en) | Network device authentication | |
| US20100037069A1 (en) | Integrated Cryptographic Security Module for a Network Node | |
| US10282549B2 (en) | Modifying service operating system of baseboard management controller | |
| US9893882B1 (en) | Apparatus, system, and method for detecting device tampering | |
| TW201735578A (zh) | 受控的安全碼認證 | |
| CN111177709A (zh) | 一种终端可信组件的执行方法、装置及计算机设备 | |
| WO2022126644A1 (zh) | 模型保护装置及方法、计算装置 | |
| WO2017135942A1 (en) | Heartbeat signal verification | |
| WO2022052665A1 (zh) | 无线终端及无线终端在Uboot模式下的接口访问鉴权方法 | |
| US20230221949A1 (en) | Vehicle secure start method and apparatus, electronic control unit and storage medium | |
| CN115357908B (zh) | 一种网络设备内核可信度量与自动修复方法 | |
| WO2024079438A1 (en) | A device and a method for performing a cryptographic operation | |
| CN114329422A (zh) | 一种可信安全防护方法、装置、电子设备和存储介质 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| EP3525391A1 (en) | Device and method for key provisioning | |
| CN116226872B (zh) | 安全启动方法、装置及相关器件 | |
| US20240037217A1 (en) | Digital content management through on-die cryptography and remote attestation | |
| US20240249029A1 (en) | Utilizing hardware tokens in conjunction with HSM for code signing | |
| CN116743458A (zh) | 认证管理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |