CN114615070B - 基于可信执行环境的网络安全事件捕获方法和装置 - Google Patents
基于可信执行环境的网络安全事件捕获方法和装置 Download PDFInfo
- Publication number
- CN114615070B CN114615070B CN202210278056.8A CN202210278056A CN114615070B CN 114615070 B CN114615070 B CN 114615070B CN 202210278056 A CN202210278056 A CN 202210278056A CN 114615070 B CN114615070 B CN 114615070B
- Authority
- CN
- China
- Prior art keywords
- trusted
- region
- information
- log
- zone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000007789 sealing Methods 0.000 claims abstract description 45
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000003860 storage Methods 0.000 claims abstract description 21
- 239000000523 sample Substances 0.000 claims description 34
- 238000012795 verification Methods 0.000 claims description 29
- 238000012360 testing method Methods 0.000 claims description 26
- 230000006399 behavior Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 7
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 6
- 238000012549 training Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008485 antagonism Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013456 study Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种基于可信执行环境的网络安全事件捕获方法和装置。通过将通过安全通信通道接收的采集节点发送的日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息,基于预设的数据密封策略将日志和流量信息密封后存储在存储中心的非可信区中,通过将数据安全地保存在非可信区,实现了主机数据本地存储的机密性,可以根据输入的键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封信息进行解封,将关键词与解封的信息进行匹配,输出目标可信事件信息。在本发明中通过引入可信区提供了高可靠性、抗攻击的事件捕获能力,能够更加适应数据多源采集需求。
Description
技术领域
本申请涉及网络空间安全技术领域,特别是涉及一种基于可信执行环境的网络安全事件捕获方法和装置。
背景技术
当前,网络安全威胁层出不穷,各领域对网络安全人才培养需求缺口大,安全人员需要可用于实操、学习、训练的非真实生产环境。借助网络安全测试床、云计算平台等可以对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现,能够支持相关人员开展网络安全试验训练,以及开展相关领域的学习、研究、竞赛、考核等工作,已经成为网络安全试验、教学、考核的重要基础平台。
在开展网络安全试验的过程中,针对安全事件或攻防事件采集捕获是进行行为监控、评估的重要基础。网络安全事件捕获系统所捕获的数据必须公平、真实、可靠,才能客观反映试验中攻防双方的真实水平。由于网络安全试验中存在大量对抗行为,而对抗行为的破坏性和边界不可控等特点,导致传统的基于普通主机探针的事件捕获方法容易遭受包括采集探针崩溃、篡改,甚至捕获结果被伪造等风险,甚至影响事件分析与试验结果评判。
发明内容
基于此,有必要针对上述技术问题,对网络安全试验中事件的可靠捕获、可靠存储及安全加固等展开研究,提供一种利用可信执行环境技术进行安全增强的网络安全事件捕获方法和装置,有效避免在网络安全试验中由于恶意或外部攻击而导致捕获探针崩溃、数据被篡改等影响试验结果评判的情况,保证试验训练环境中数据来源的真实性和机密性。
一种基于可信执行环境的网络安全事件捕获方法,所述方法包括:
通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
在其中一个实施例中,所述方法还包括:根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息。
在其中一个实施例中,在所述通过探针采集网络安全试验中虚拟机的主机行为之前,包括:
通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对所述代理程序进行完整性检查。
在其中一个实施例中,所述可信认证包括本地认证或者远程认证。
在其中一个实施例中,所述方法还包括:
对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
所述本地认证的步骤包括:
通过接收所述证明可信区发送的认证请求,获取所述证明可信区的可信区标识;
使用所述证明可信区标识创建目的地为证明可信区的第一报告结构,将所述第一报告结构发送给所述证明可信区;所述第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码;
通过所述证明可信区的报告密钥计算第三消息验证码,当所述第三消息验证码与所述第一消息验证码的值相同时,验证所述第一可信区标识和所述第一签名者标识,完成所述证明可信区对目标可信区的本地认证。
在其中一个实施例中,所述方法还包括:
对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
所述远程认证的步骤包括:
通过接收证明可信区发送的认证请求和引用可信区的身份信息,在目标可信区中生成清单和所述清单的摘要;所述清单包括临时密钥和所述认证请求的应答;
根据所述清单创建第三报告结构,将所述第三报告结构发送给所述引用可信区,通过所述引用可信区对所述目标可信区进行的本地认证,通过所述引用可信区创建的签名密钥的签名替换所述第三报告结构中的消息验证码,生成引用结构并发送给所述证明可信区;
通过引用密钥的公钥证书或者IAS对所述引用结构进行签名验证,并且验证所述清单的完整性,完成所述证明可信区对目标可信区的远程认证。
在其中一个实施例中,所述预设的数据密封策略包括可信区标识或者签名者标识。
一种基于可信执行环境的网络安全事件捕获装置,所述装置包括:
接收模块,通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
索引存储模块,用于将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
密封模块,用于基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
匹配模块,用于根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;
将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
上述基于可信执行环境的网络安全事件捕获方法和装置,通过第二可信区与第一可信区之间的可信认证建立的安全通信通道,接收采集节点的第一可信区中存储的日志和流量信息,将日志和流量信息发送至存储中心,并且选择部分日志和流量信息存储在第二可信区中作为待索引信息,基于预设的数据密封策略将日志和流量信息进行密封后存储在存储中心的非可信区中,通过将数据信息安全地保存在非可信区,实现了主机日志和流量数据本地存储的机密性,最后根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封日志和流量信息进行解封,将关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。在本发明中通过在数据采集、数据流转中引入可信区提供了全周期的高可靠性事件捕获能力,能够更加适应网络攻防对抗训练中的数据多源采集需求。
附图说明
图1为一个实施例中基于可信执行环境的网络安全事件捕获方法的流程示意图;
图2为一个实施例中基于可信执行环境的网络安全事件捕获方法的顶层数据流的示意图;
图3为一个实施例中本地认证的流程示意图;
图4为一个实施例中基于可信执行环境的事件捕获的整体架构示意图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种基于可信执行环境的网络安全事件捕获方法,包括以下步骤:
步骤102,通过安全通信通道接收采集节点发送的日志和流量信息。
日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且日志和流量信息存储在采集节点的第一可信区中,保证了采集信息结果的安全存储,其中采集通道按照总线设计,也保证了大规模多数据并发时仍有高效的数据采集和传输能力。
安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的,通过建立安全通信通道实现可信区之间高效、顺畅和安全的数据交互,保证数据在网络中安全地流转传输和采集结果在网络传输中的机密性,防止了事件捕获结果被伪造。
所述探针采用基于SGX技术进行了优化,在实现传统探针日志、流量等数据采集功能的同时,利用CPU固有的硬件特性对其安全性进行了增强加固,使其具有安全可信的部署环境、启动环境和运行环境,实现对探针工作全流程完整性保护,同时提供数据的机密性保障,有效避免了在网络安全试验中,传统探针容易被攻击破坏而导致进程崩溃、篡改、结果伪造等问题,有效保证实验结果评判的公平、可信、可靠。
可信区是指SGX创建的可信执行环境,SGX以硬件安全为强制性保障,不需要依赖固件和软件的安全状态,可以增强软件的安全性。
步骤104,将日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息。
当程序正常运行即第二可信区被实例化时,所述日志和流量信息被维护在安全区边界内,有硬件为其提供机密性和完整性保护。
选择保留最新日志和流量信息存储在第二可信区中作为待索引信息,一方面减小了与用户直接交互的可信区的存储压力,一方面若待索引信息中包含目标事件信息,也可以直接输出,无需后续进行数据解封的操作,大大缩短用户获取目标信息所需时间。
步骤106,基于预设的数据密封策略将日志和流量信息进行密封后存储在存储中心的非可信区中。
考虑到进程退出时,可信区将被破坏,并且安全区内受保护的数据将丢失,为了持久化安全存储数据,存储中心提供将大量机密数据安全地保存在可信区之外的功能,实现主机日志数据本地存储的机密性。本质上,为了将机密数据保存到不可信的介质中并保证数据的隐私性,底层是基于Intel SGX的数据密封功能的,值得说明的是,存储中心采用集群架构,多节点部署,保证了大规模数据并发时高效的数据存储和传输能力。
步骤108,根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封日志和流量信息进行解封,将关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
上述基于可信执行环境的网络安全事件捕获方法中,通过第二可信区与第一可信区之间的可信认证建立的安全通信通道,接收采集节点的第一可信区中存储的日志和流量信息,将日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息,基于预设的数据密封策略将日志和流量信息进行密封后存储在存储中心的非可信区中,通过将数据信息安全地保存在非可信区,实现了主机日志和流量数据本地存储的机密性,最后根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封日志和流量信息进行解封,将关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。在本方法中通过在数据采集、数据流转中引入可信区,提供了全周期的高可靠性、抗攻击的事件捕获能力,能够更加适应网络安全试验训练中的数据多源采集需求。
在一个实施例中,基于可信执行环境的网络安全事件捕获方法还包括:
根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息,无需解封操作。
在一个实施例中,在通过探针采集网络安全试验中虚拟机的主机行为之前,包括:
通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对代理程序进行完整性检查,确保探针进程安全可靠地可信运行,避免被劫持或攻击。
探针代理程序在内存中创建一个可信执行环境即本实施例中的第三可信区,用于运行探针进程,通过可信区硬件层面的安全防护,确保探针程序不被篡改和替换,保护探针进程运行中安全可靠。
经过探针采集后,虚拟机的主机日志和流量信息数据已经存储在第一可信区内,由于可信区与外部运行的软件的物理隔离,第二可信区为了安全地与第一可信区进行数据交互,必须让第一可信区与第二可信区证明其身份及运行平台可信,实现两个可信区之间的相互认证,以此来建立安全通信通道,其中认证是指一个可信区向其他可信区证明其完整性和真实性的过程,intel SGX认证即一个在SGX平台运行的证明者希望向验证者证明其身份(MRENCALVE)和确实是在真实的SGX处理器上正确地隔离执行。
在一个实施例中,可信认证包括本地认证或者远程认证。
本地认证是指同一SGX平台上内部可信区之间的认证,远程认证是指不同SGX平台间可信区之间的认证。
在一个实施例中,本方法还包括:
对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息,身份信息包括:证明可信区和目标可信区。
本地认证的步骤包括:通过接收证明可信区发送的认证请求,获取证明可信区的可信区标识,使用证明可信区标识创建目的地为证明可信区的第一报告结构,将第一报告结构发送给证明可信区,第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码,通过证明可信区的报告密钥计算第三消息验证码,当第三消息验证码与第一消息验证码的值相同时,验证第一可信区标识和第一签名者标识,完成证明可信区对目标可信区的本地认证。
若由第一可信区先向第二可信区发起认证请求,则第一可信区为证明可信区,第二可信区为目标可信区,完成第一可信区对第二可信区的本地认证,此时本地认证尚未完成,还需进行第二可信区对第一可信区的本地认证,此时,证明可信区为第二可信区,目标可信区为第一可信区,反之亦然。具体由哪个可信区先发起认证请求可以根据需要进行设置。
本地认证利用SGX架构提供的EREPORT指令实现,基于对称密钥Report Key,其密钥仅对双方依赖的可信区(Enclave)硬件本身可知。
在此假设先由第一可信区对第二可信区进行认证,具体流程如下:
1、第一可信区向第二可信区发起认证请求,第二可信区收到请求后通过第一可信区与第二可信区之间的通道获取第一可信区的MRENCLAVE(可信区标识)值,其中MRCALVE是在可信区创建过程中计算的SHA256哈希(HASH)值,代表可信区的身份。
值得说明的是,SGX为每一个可信区提供了两个度量值,分别为MRENCLAVE和MRSINGER,SHA256的内容包括从可信区构建开始到初始化完成之间的活动记录日志,该日志中包含的内容的任一更改都会导致HASH值结果产生差异,即MRENCLAVE不同,不同可信区的MRENCLAVE不同。
2、第二可信区调用EREPORT指令使用获取的第一可信区的MRENCLAVE生成一个REPORT Key签名的REPORT结构和该REPORT结构的MAC(消息验证码),并发送给第一可信区。只有负责验证的可信区可以通过EREPORT指令恢复REPORT Key。
3、第一可信区收到来自第二可信区的REPORT后,调用EGETKEY指令获得REPORT来计算MAC,与收到的MAC进行比较,若值相同,则第一可信区认为第二可信区是与其运行在同一平台上的可信区,并进一步对第二可信区发来的REPORT结构的内容(MRENCLAVE和MRSIGNER)完成验证。
4、第二可信区对第一可信区进行S1~S3的同理操作,即反向验证,此时第二可信区作为证明可信区向作为目标可信区的第一可信区发送认证请求,最终完成相互验证。
在一个实施例中,本方法还包括:对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息,身份信息包括:证明可信区和目标可信区。
远程认证的步骤包括:通过接收证明可信区发送的认证请求和引用可信区的身份信息,在目标可信区中生成清单和清单的摘要;清单包括临时密钥和认证请求的应答,根据清单创建第三报告结构,将第三报告结构发送给引用可信区,通过引用可信区对目标可信区进行的本地认证,通过引用可信区创建的签名密钥的签名替换第三报告结构中的消息验证码,生成引用结构并发送给证明可信区,通过引用密钥的公钥证书或者IAS对引用结构进行签名验证,并且验证清单的完整性,完成证明可信区对目标可信区的远程认证。
远程认证采用的是非对称密钥机制,需要引入一个特殊的引用Enclave(QE),QE创建平台认证的签名密钥EPID,该密钥仅有QE能访问,对EPID签名的验证依赖于EPID公钥证书或Intel提供的认证服务(IAS)。
在此假设先由第一可信区对第二可信区进行认证,具体流程如下:
1、第二可信区接收第一可信区发起的身份认证请求和QE的身份后,由第二可信区生成一个清单,该清单包括请求的应答和一个用于通信的临时密钥,并生成清单的摘要(Hash),调用EREPORT指令生成与清单相关的REPORT结构。
2、将该REPORT结构发送给QE,QE首先对第二可信区进行本地认证,认证成功则用EPID私钥签名替换REPORT结构中的MAC,生成QUOTE(引用)结构并发送给第一可信区。
3、第一可信区通过EPID公钥证书或IAS对QUOTE结构进行签名验证,同时验证清单的完整性。
4、第二可信区对第一可信区进行S1~S3的同理操作,最终完成相互验证。
在一个实施例中,预设的数据密封策略包括可信区标识或者签名者标识。
目前基于SGX的数据密封有两种密钥策略:
1、基于可信区的独有密钥,也就是基于MRENCLAVE(可信区标识/身份)的密封,使用EGETKEY指令将当前Enclave(可信区)MRENCLAVE绑定到密封密钥,两个不同的Enclave有不同的密钥,同一个Enclave的两个版本有不同的密钥,只有具有相同MRENCLAVE的Enclave才能生成解封数据的密钥,如果Enclave相关的任何属性已更改,则MRENCLAVE也将更改,密封的数据则无法解密。因此任何影响到Enclave度量的变化都会产生不同的密钥,阻止数据的本地迁移,也就是说只有同一台电脑的同一个Enclave才可以解封数据。
2、基于可信区的授权密钥:也可理解为基于MRSIGNER(签名者身份/标识)进行密封,使用EGETKEY指令将Enclave标识(初始化时存储在MRSIGNER)绑定到由根密钥派生的密封密钥中,Enclave的产品ID也绑定到派生的密封密钥,因此,只有具有相同MRSIGNER测量和相同产品ID的Enclave才能检索密封密钥并解密数据,但MRSIGNER允许旧版本应用程序密封的数据被新版本应用程序或者其他版本的应用程序解封读取,因此允许密封数据在不同Enclave间进行迁移,两个不同的应用程序的两个不同的Enclave亦可共享数据。
在此,如图2所示,提供基于可信执行环境的时间捕获方法的顶层数据流的示意图,顶层数据流图将顶层数据流图中的系统细分为四个“子加工”,包括1可信采集、2可信数据待索引、3可信数据密封和4密封数据解封,数据存储部分包括可信区数据、密封区数据。日志和流量数据经过可信采集输出为可信数据存储到可信区并流向可信数据待索引区,可信区数据待索引区仅保留少量数据,经过可信数据密封后加工为密封数据存储在密封区内。当可信数据待索引区流入检索关键词后,如果在可信数据区检索到匹配事件信息,即刻返回可信事件信息并由可信数据待索引区流出;如果在可信数据区未能检索到匹配事件信息,密封区数据将流入密封数据解封区加工后流入可信数据区,返回匹配可信事件信息经由可信数据待索引区流出。
应该理解的是,虽然图1~2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1~2中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,一种基于可信执行环境的网络安全事件捕获装置,包括:接收模块、索引存储模块、密封模块和匹配模块,其中:
接收模块,用于通过安全通信通道接收采集节点发送的日志和流量信息。
日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且日志和流量信息存储在采集节点的第一可信区中。
安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的
索引存储模块,用于将日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息。
密封模块,用于基于预设的数据密封策略将日志和流量信息进行密封后存储在存储中心的非可信区中。
匹配模块,用于根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中未检索到匹配事件信息时,将非可信区中的密封日志和流量信息进行解封,将关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
在一个实施例中,匹配模块还用于根据输入的关键词在第二可信区的待索引信息中检索,当在待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息。
在一个实施例中,提供了一种基于可信执行环境的网络安全事件捕获装置,该装置还包括:
部署模块,用于在通过探针采集网络安全试验中虚拟机的主机行为之前,通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对代理程序进行完整性检查。
认证模块,用于通过第二可信区与第一可信区之间的可信认证,建立第一可信区与第二可信区之间的安全通信通道,通过安全通信通道接收采集节点的第一可信区中的日志和流量信息。
假设先由第一可信区向第二可信区发送认证请求,如图3所示,提供了本地认证的流程示意图。
如图4所示,提供了基于可信执行环境的事件捕获的整体架构示意图。整体的架构具有轻量级的采集工具、高效顺畅的传输通道、安全防篡改的安全存储处理模块、简便优良的拓展性能,采取分布式架构,数据存储中心采用集群架构,多节点部署,采集通道按照总线设计,保证大规模多数据并发时仍有高效的数据传输能力。
关于基于可信执行环境的网络安全事件捕获装置的具体限定可以参见上文中对于基于可信执行环境的网络安全事件捕获方法的限定,在此不再赘述。上述基于可信执行环境的网络安全事件捕获装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于可信执行环境的网络安全测试床事件捕获方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现上述实施例中方法的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述实施例中方法的步骤。
本领普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synch link)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (7)
1.一种基于可信执行环境的网络安全事件捕获方法,其特征在于,所述方法包括:
通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;所述可信认证包括本地认证或者远程认证;
对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
所述本地认证的步骤包括:通过接收所述证明可信区发送的认证请求,获取所述证明可信区的可信区标识;使用所述证明可信区标识创建目的地为证明可信区的第一报告结构,将所述第一报告结构发送给所述证明可信区;所述第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码;通过所述证明可信区的报告密钥计算第三消息验证码,当所述第三消息验证码与所述第一消息验证码的值相同时,验证所述第一可信区标识和所述第一签名者标识,完成所述证明可信区对目标可信区的本地认证;
所述远程认证的步骤包括:通过接收证明可信区发送的认证请求和引用可信区的身份信息,在目标可信区中生成清单和所述清单的摘要;所述清单包括临时密钥和所述认证请求的应答;根据所述清单创建第三报告结构,将所述第三报告结构发送给所述引用可信区,通过所述引用可信区对所述目标可信区进行的本地认证,通过所述引用可信区创建的签名密钥的签名替换所述第三报告结构中的消息验证码,生成引用结构并发送给所述证明可信区;通过引用密钥的公钥证书或者IAS对所述引用结构进行签名验证,并且验证所述清单的完整性,完成所述证明可信区对目标可信区的远程认证;将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中检索到匹配事件信息时,直接输出目标可信事件信息。
3.根据权利要求2所述的方法,其特征在于,在所述通过探针采集网络安全试验中虚拟机的主机行为之前,包括:
通过预编的可信函数在创建的第三可信区中对探针的监测指标进行配置以及对探针的代理程序进行可信部署,并且对所述代理程序进行完整性检查。
4.根据权利要求1所述的方法,其特征在于,所述预设的数据密封策略包括可信区标识或者签名者标识。
5.一种基于可信执行环境的网络安全事件捕获装置,其特征在于,所述装置包括:
接收模块,用于通过安全通信通道接收采集节点发送的日志和流量信息;所述日志和流量信息是采集节点通过探针采集网络安全试验中虚拟机的主机行为得到的,并且所述日志和流量信息存储在采集节点的第一可信区中;所述安全通信通道是通过第二可信区与第一可信区之间的可信认证建立的;所述可信认证包括本地认证或者远程认证;
对第一可信区和第二可信区进行双向本地认证,根据本地认证中认证请求的流向,确定第一可信区和第二可信区的身份信息;所述身份信息包括:证明可信区和目标可信区;
所述本地认证的步骤包括:通过接收所述证明可信区发送的认证请求,获取所述证明可信区的可信区标识;使用所述证明可信区标识创建目的地为证明可信区的第一报告结构,将所述第一报告结构发送给所述证明可信区;所述第一报告结构中包括第一可信区标识、第一签名者标识和第一消息验证码;通过所述证明可信区的报告密钥计算第三消息验证码,当所述第三消息验证码与所述第一消息验证码的值相同时,验证所述第一可信区标识和所述第一签名者标识,完成所述证明可信区对目标可信区的本地认证;
所述远程认证的步骤包括:通过接收证明可信区发送的认证请求和引用可信区的身份信息,在目标可信区中生成清单和所述清单的摘要;所述清单包括临时密钥和所述认证请求的应答;根据所述清单创建第三报告结构,将所述第三报告结构发送给所述引用可信区,通过所述引用可信区对所述目标可信区进行的本地认证,通过所述引用可信区创建的签名密钥的签名替换所述第三报告结构中的消息验证码,生成引用结构并发送给所述证明可信区;通过引用密钥的公钥证书或者IAS对所述引用结构进行签名验证,并且验证所述清单的完整性,完成所述证明可信区对目标可信区的远程认证;
索引存储模块,用于将所述日志和流量信息发送至存储中心,并且保留最新日志和流量信息存储在第二可信区中作为待索引信息;
密封模块,用于基于预设的数据密封策略将所述日志和流量信息进行密封后存储在所述存储中心的非可信区中;
匹配模块,用于根据输入的关键词在所述第二可信区的待索引信息中检索,当在所述待索引信息中未检索到匹配事件信息时,将所述非可信区中的密封日志和流量信息进行解封,将所述关键词与解封的日志和流量信息进行匹配,输出目标可信事件信息。
6.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4中任一项所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278056.8A CN114615070B (zh) | 2022-03-21 | 2022-03-21 | 基于可信执行环境的网络安全事件捕获方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210278056.8A CN114615070B (zh) | 2022-03-21 | 2022-03-21 | 基于可信执行环境的网络安全事件捕获方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114615070A CN114615070A (zh) | 2022-06-10 |
| CN114615070B true CN114615070B (zh) | 2024-04-19 |
Family
ID=81864619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210278056.8A Active CN114615070B (zh) | 2022-03-21 | 2022-03-21 | 基于可信执行环境的网络安全事件捕获方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615070B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108009426A (zh) * | 2017-11-07 | 2018-05-08 | 深圳天珑无线科技有限公司 | 可信区域日志信息的获取方法、装置、介质及电子设备 |
| CN111095899A (zh) * | 2019-04-26 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 针对可信执行环境的分布式密钥管理 |
| CN111628966A (zh) * | 2020-04-17 | 2020-09-04 | 支付宝(杭州)信息技术有限公司 | 数据传输、处理、授权方法及其系统 |
| CN111931251A (zh) * | 2020-07-01 | 2020-11-13 | 陈子祺 | 一种基于区块链的可信计算芯片 |
| CN112948824A (zh) * | 2021-03-31 | 2021-06-11 | 支付宝(杭州)信息技术有限公司 | 一种基于隐私保护的程序通信方法、装置及设备 |
| CN113449293A (zh) * | 2021-07-14 | 2021-09-28 | 上海交通大学 | 基于可信执行环境的密文搜索系统与方法 |
-
2022
- 2022-03-21 CN CN202210278056.8A patent/CN114615070B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108009426A (zh) * | 2017-11-07 | 2018-05-08 | 深圳天珑无线科技有限公司 | 可信区域日志信息的获取方法、装置、介质及电子设备 |
| CN111095899A (zh) * | 2019-04-26 | 2020-05-01 | 阿里巴巴集团控股有限公司 | 针对可信执行环境的分布式密钥管理 |
| CN111628966A (zh) * | 2020-04-17 | 2020-09-04 | 支付宝(杭州)信息技术有限公司 | 数据传输、处理、授权方法及其系统 |
| CN111931251A (zh) * | 2020-07-01 | 2020-11-13 | 陈子祺 | 一种基于区块链的可信计算芯片 |
| CN112948824A (zh) * | 2021-03-31 | 2021-06-11 | 支付宝(杭州)信息技术有限公司 | 一种基于隐私保护的程序通信方法、装置及设备 |
| CN113449293A (zh) * | 2021-07-14 | 2021-09-28 | 上海交通大学 | 基于可信执行环境的密文搜索系统与方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于混合人工免疫算法的流程挖掘事件日志融合方法;徐杨;袁峰;林琪;汤德佑;李东;;软件学报;20170324(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114615070A (zh) | 2022-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI720727B (zh) | 電腦實現的用於管理儲存在區塊鏈網路中的敏感資料元素的方法、用於管理儲存在區塊鏈網路中的敏感資料元素的裝置及系統 | |
| US11550935B2 (en) | Method, apparatus, and electronic device for blockchain-based recordkeeping | |
| AU2020414467B2 (en) | Partially-ordered blockchain | |
| Radhappa et al. | Practical overview of security issues in wireless sensor network applications | |
| US11303626B2 (en) | Secure token passing via hash chains | |
| CN109792386B (zh) | 用于可信计算的方法和装置 | |
| Alblooshi et al. | Blockchain-based ownership management for medical IoT (MIoT) devices | |
| Lee et al. | Modifiable public blockchains using truncated hashing and sidechains | |
| CN108964924A (zh) | 数字证书校验方法、装置、计算机设备和存储介质 | |
| CN110598446A (zh) | 基于区块链的测试方法、装置、存储介质和计算机设备 | |
| CN111383021A (zh) | 基于区块链网络的节点管理方法、装置、设备及介质 | |
| CN113032814B (zh) | 物联网数据管理方法和系统 | |
| Tate et al. | Multi-user dynamic proofs of data possession using trusted hardware | |
| US8661519B2 (en) | Redirection using token and value | |
| US11997210B2 (en) | Protection of online applications and webpages using a blockchain | |
| CN110502889B (zh) | 登录方法、装置、计算机可读存储介质和计算机设备 | |
| CN110597541A (zh) | 基于区块链的接口更新处理方法、装置、设备及存储介质 | |
| CN115580413B (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| Liu et al. | A data preservation method based on blockchain and multidimensional hash for digital forensics | |
| CN111597537A (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
| CN111988313B (zh) | 用于区块链的数据处理方法、装置、系统和介质 | |
| Feng et al. | Autonomous vehicles' forensics in smart cities | |
| CN114615070B (zh) | 基于可信执行环境的网络安全事件捕获方法和装置 | |
| Kruthik et al. | Security model for Internet of Things based on blockchain | |
| Adlam et al. | Applying Blockchain Technology to Security-Related Aspects of Electronic Healthcare Record Infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |