CN116112214A - 跨网路边界的资源访问方法、装置和电子设备 - Google Patents
跨网路边界的资源访问方法、装置和电子设备 Download PDFInfo
- Publication number
- CN116112214A CN116112214A CN202211610336.0A CN202211610336A CN116112214A CN 116112214 A CN116112214 A CN 116112214A CN 202211610336 A CN202211610336 A CN 202211610336A CN 116112214 A CN116112214 A CN 116112214A
- Authority
- CN
- China
- Prior art keywords
- trusted
- security
- module
- proving
- resource access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 230000035945 sensitivity Effects 0.000 claims abstract description 65
- 230000008569 process Effects 0.000 claims abstract description 44
- 238000012795 verification Methods 0.000 claims abstract description 28
- 238000012550 audit Methods 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 11
- 230000007246 mechanism Effects 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 4
- 238000005259 measurement Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000011217 control strategy Methods 0.000 description 2
- 239000003550 marker Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013501 data transformation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种跨网路边界的资源访问方法、装置和电子设备,方法包括:控制第一可信证明模块接收边界设备发送的网络连接请求;控制第一可信证明模块基于网络连接请求进行信息确认,并确定执行网络连接的进程;控制安全标记模块对进程进行本地安全标记,得到安全标记;控制访问控制模块基于安全标记对外部主机和内部主机进行合法性验证;控制安全预测模块基于可信证明信息、信任关系以及安全标记对网络连接请求进行安全状态预测,得到敏感性标记;控制访问控制模块基于安全标记和敏感性标记,确定对网络连接请求的资源访问策略。本发明用以提高跨网络执行资源访问的安全性。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种跨网路边界的资源访问方法、装置和电子设备。
背景技术
伴随着物联网技术的飞速发展,人类社会已经开始逐渐步入万物互联的时代。物联网通过信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网是一个非常强大的分布式网络,其本身具有全面感知、可靠传输、智能处理三大特征。在物联网系统中,分布在各处的资源不是集中管理的,因此,安全问题不可忽视。
由于物联网设备本身特性,攻击者可将自己伪装成合法设备,对数据安全造成威胁;同时,设备可能与用户身份相关联,攻击者从而可以侵犯个人隐私,和隐私安全的相关问题如信息泄露和追踪等将会造成威胁。随着社会数据化转型的不断加速,数据跨节点之间流通变为数据资源共享的常态,这打破了各自资源节点的安全边界,物联网跨节点资源访问成为攻击的重灾区,跨节点访问控制的需求也越来越急迫。因此,亟需一种能够提高跨网络执行资源访问的安全性的方法。
发明内容
本发明提供一种跨网路边界的资源访问方法、装置和电子设备,用以提高跨网络执行资源访问的安全性。
本发明提供一种跨网路边界的资源访问方法,应用于内部主机,所述方法包括:
控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;
控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;
控制安全标记模块对所述进程进行本地安全标记,得到安全标记;
控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;
控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;
控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略。
所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。
本发明还提供一种跨网路边界的资源访问方法,应用于边界设备,所述方法包括:
控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;
控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;
控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;
所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。
本发明还提供一种跨网路边界的资源访问装置,包括:
第一可信证明单元,用于控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;以及控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;
安全标记单元,用于控制安全标记模块对所述进程进行本地安全标记,得到安全标记;
安全状态预测单元,用于控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;
访问控制单元,用于控制所述访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;以及控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;
所述第一可信证明单元、所述安全标记单元、所述安全状态预测单元以及所述访问控制单元分别是基于内部主机的可信密码模块构建的。
本发明还提供一种跨网路边界的资源访问装置,包括:
第二可信证明单元,用于控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;
域控制器单元,用于控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;以及控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;
所述第二可信证明单元以及所述域控制器单元分别是基于边界设备的可信密码模块构建的。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述跨网路边界的资源访问方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述跨网路边界的资源访问方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述跨网路边界的资源访问方法。
本发明提供的跨网路边界的资源访问方法、装置和电子设备,通过在可信密码模块的基础上,在内部主机建立基于边界设备的可信证明信息-边界设备的信任关系-本地进程的安全标记-安全状态预测的过程,在内部主机的访问控制基础上完成边界设备的可信证明与内部主机本地的可信证明之间的协同工作,结合内部主机和边界设备的可信证明过程实现跨网路边界的资源访问,从而提高跨网络执行资源访问的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的跨网路边界的资源访问方法的流程示意图之一;
图2是本发明提供的物联网设备跨网络资源分布示意图;
图3是本发明提供的跨网路边界的资源访问方法的流程示意图之二;
图4是本发明提供的跨网路边界的资源访问方法的流程示意图之三;
图5是本发明提供的跨网路边界的资源访问装置的结构示意图;
图6是本发明提供的跨网路边界的资源访问装置的结构示意图;
图7是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图4描述本发明的一种跨网路边界的资源访问方法。请参照图1,本发明的一种跨网路边界的资源访问方法,应用于内部主机,所述方法包括:
步骤400、控制第一可信证明模块接收边界设备发送的网络连接请求。
需要说明的是,本发明实施例应用于物联网设备跨网络边界的资源访问。请参照图2,在一个网络边界中,边界设备分别与多个内部主机进行通信连接,边界设备主要负责汇集和控制网络边界内部主机。而不同的网络边界之间通过可信管理平台作为通信枢纽进行通信连接。其中可信管理平台表示可信第三方模块,包含可信密码模块和管理平台数据库等模块,其中有平台端对证书的校验签名、完整性报告与证明、数据存储等功能。
内部主机的第一可信证明模块依托可信软件基的协作机制、主动监控机制等机制,在边界设备和内部主机中都会存在。在设备启动过程中,可信密码模块为可信计算平台提供信任支撑等功能;可信软件基为可信证明模块提供了可信性的软件支撑。通过第一可信证明模块可对外部设备进行可信证明,在有外部主机的资源访问请求时会由此模块证明外部主机可信。
请参照图3,内部主机控制第一可信证明模块接收边界设备发送的网络连接请求。其中所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系。其中可信证明信息包括边界设备对外部主机发送的资源访问请求作出的证明外部主机可信的正常信息以及异常信息。正常信息即证明外部主机可信,异常信息即证明外部主机不可信。同样的,信任关系包括边界设备对外部主机发送的资源访问请求作出的可信任或不可信任的信任关系。当可信证明信息包括外部主机可信的正常信息,以及信任关系为可信任时,此时说明外部主机通过了边界设备对外部主机发送的资源访问请求的可信证明。否则,说明边界设备对外部主机发送的资源访问请求的可信证明存疑。等待内部主机进行进一步的可信证明。
步骤500、控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程。
具体的,内部主机首先确认网络连接是否来自边界设备的域控制器模块。确认网络连接请求来自边界设备的域控制器模块后,确认网络连接请求中包括的可信证明信息和信任关系是否完整,即确认可信证明信息和信任关系是否齐全。当网络连接请求中的可信证明信息和信任关系不完整时,要求边界设备重发或者拒绝外部主机的资源访问。在确认网络连接请求中包括的可信证明信息和信任关系完整后,内部主机确定执行网络连接的进程,以实现外部主机对内部主机的资源访问。
步骤600、控制安全标记模块对所述进程进行本地安全标记,得到安全标记。
内部主机控制安全标记模块对所述进程进行本地安全标记,得到安全标记。其中安全标记模块用于本地客体资源的安全标记以及对外部主机的资源访问请求进入内部主机时完成请求进程的安全标记。需要说明的是,安全标记模块可基于可信软件基提供软件功能实现,而可信密码模块的可信链并为可信软件基提供硬件功能服务。其中安全标记包括表示资源访问安全的标记,以及表示资源访问不安全、存在威胁的标记。通过控制安全标记模块对所述进程进行本地安全标记,得到安全标记,便于根据安全标记对网络连接请求进行进一步的访问控制。
步骤700、控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证。
内部主机控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证。需要说明的是,访问控制模块可基于可信软件基模块实现。可信软件基模块完成访问控制、主客体验证与度量等功能。可信软件基模块基于可信密码模块等硬件完成可信密码运算等功能。
访问控制模块是基于安全标记对外部主机、内部主机、操作和环境进行可信验证,验证访问的外部主机和内部主机是否被冒充或者修改,验证资源访问请求的合法性,控制对内部主机的访问。
步骤800、控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记。
内部主机控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记。其中安全预测模块基于可信软件基模块实现。可信软件基模块完成策略判定、白名单、主客体验证与度量等功能。可信软件基模块基于可信密码模块等硬件完成可信密码运算等功能。
通过安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,能够得到表示网络连接请求的不同威胁程度的敏感性标记。例如敏感性标记可包括没有威胁、可能有威胁、已经有威胁以及很危险的几个标记。
在一个实施例中,当可信证明信息包括证明外部主机可信的正常信息,信任关系为边界设备对外部主机发送的资源访问请求作出的可信任的信任关系,以及安全标记表示资源访问安全时,此时敏感性标记为没有威胁的标记。当可信证明信息、信任关系以及安全标记中出现任意一个表示异常的信息时,此时安全预测模块得出的敏感性标记为可能有威胁。当可信证明信息、信任关系以及安全标记中出现任意两个表示异常的信息时,此时安全预测模块得出的敏感性标记为已经有威胁。当可信证明信息、信任关系以及安全标记中出现三个表示异常的信息时,此时安全预测模块得出的敏感性标记为很危险。
步骤900、控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略。
内部主机控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略。例如控制访问控制模块根据没有威胁的标记的安全标记、敏感性标记执行自主访问和强制访问控制机制,完成外部主机对内部主机的访问,以保证内部主机计算环境的安全。
从而本发明实施例通过在可信密码模块的基础上,在内部主机建立基于边界设备的可信证明信息-边界设备的信任关系-本地进程的安全标记-安全状态预测的过程,在内部主机的访问控制基础上完成边界设备的可信证明与内部主机本地的可信证明之间的协同工作,结合内部主机和边界设备的可信证明过程实现跨网路边界的资源访问,从而提高跨网络执行资源访问的安全性。
另外,在各个节点可信密码模块的基础上,可以良好完成各自存储属性模型的建立、网络间存储属性的加密、网络间可信判断、网络间通信。同时,如果网络边界设备受到攻击,能够通过远程系统证明的方式获取到系统的不可信,从而无法建立信任关系,在外部主机访问内部主机前就可以对其进行拦截;如果内部主机受到攻击,通过内部主机的第一可信证明模块、访问控制模块、安全状态预测模块的机制中进行拦截,从而禁止对内部主机资源的访问。
依据可信软件基的协作机制,本发明实施例描述的多个可信模块之间、可信域节点之间,可以完成可信部件的对接,构成了一个有机的整体,形成了分布式的可信子系统。在可信3.0主动免疫可信理念基础上,可以更好的满足物联网跨网络跨节点环境中资源的动态性和分布性,可以对新接入的资源进行及时有效的访问控制管理时,满足多节点跨网络互访常态化,更加容易扩展。
在本发明实施例的其他方面,所述可信证明信息包括所述边界设备对所述外部主机发送的资源访问请求作出的审计信息和可信属性。
步骤800、所述控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记进行安全状态预测,得到敏感性标记,具体包括:控制安全预测模块基于所述审计信息、所述可信属性、所述信任关系以及所述安全标记进行安全状态预测,得到敏感性标记。
具体的,其中审计信息主要是对应等级保护二级要求,包含审计对象,对象的操作,审计记录,以及这些内容是否被篡改等。可信属性是针对资源访问的访问对象(外部主机)来描述的,包含了访问对象的一些信息,例如访问对象的访问策略、访问外部主机和内部主机的安全性等。当审计信息和可信属性均正常,说明边界设备对所述外部主机发送的资源访问请求作出可信证明。内部主机控制安全预测模块基于所述审计信息、所述可信属性、所述信任关系以及所述安全标记的4个信息进行安全状态预测,得到敏感性标记。
例如当可信证明信息包括证明外部主机可信的审计信息和可信属性,信任关系为边界设备对外部主机发送的资源访问请求作出的可信任的信任关系,以及安全标记表示资源访问安全时,此时敏感性标记为没有威胁的标记。当审计信息、可信属性、信任关系以及安全标记中出现任意一个表示异常的信息时,此时安全预测模块得出的敏感性标记为可能有威胁。当审计信息、可信属性、信任关系以及安全标记中出现任意两个表示异常的信息时,此时安全预测模块得出的敏感性标记为已经有威胁。当可信证明信息、信任关系以及安全标记中出现三个或三个以上表示异常的信息时,此时安全预测模块得出的敏感性标记为很危险。
通过基于审计信息、可信属性、信任关系以及安全标记的4个可信证明信息进行安全状态预测,有利于进一步提高对网络连接请求进行安全状态预测的准确性,更好地对外部主机进行资源访问控制,进一步提高跨网络执行资源访问的安全性。
在本发明实施例的其他方面,所述敏感性标记包括正常访问标记;步骤900、所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:控制访问控制模块基于所述安全标记和所述正常访问标记,控制所述进程执行外部主机对内部主机进行资源访问。
当敏感性标记包括正常访问标记时,此时说明审计信息、可信属性、信任关系以及安全标记的全部4种信息都是正常状态,此时控制访问控制模块基于所述安全标记和所述正常访问标记,执行自主访问机制和强制访问控制机制,控制所述进程执行外部主机对内部主机进行资源访问。
在内部主机建立基于边界设备的审计信息和可信属性-边界设备的信任关系-本地进程的安全标记-安全状态预测的过程,在内部主机的访问控制基础上完成边界设备的可信证明与内部主机本地的可信证明之间的协同工作,结合内部主机和边界设备的可信证明过程实现跨网路边界的资源访问,进一步提高跨网络执行资源访问的安全性。
在本发明实施例的其他方面,所述敏感性标记包括一级威胁标记;步骤900、所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:控制访问控制模块基于所述安全标记和所述一级威胁标记,再次执行所述控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证的步骤。
当敏感性标记包括一级威胁标记时,此时说明审计信息、可信属性、信任关系以及安全标记中任意一个信息出现异常,此时说明此时安全预测模块得出的敏感性标记为可能有威胁。此时控制访问控制模块基于所述安全标记和所述一级威胁标记,再次执行步骤700、所述控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证的步骤。从而再次对外部主机和所述内部主机进行合法性验证,确保外部主机对内部主机的资源访问的安全性。
在本发明实施例的其他方面,所述敏感性标记包括二级威胁标记;步骤900、所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:控制访问控制模块基于所述安全标记和所述二级威胁标记,修改访问控制策略以限制所述外部主机对所述内部主机进行资源访问;
当敏感性标记包括二级威胁标记时,此时说明审计信息、可信属性、信任关系以及安全标记中任意两个信息出现异常,此时说明此时安全预测模块得出的敏感性标记为已经有威胁。此时控制访问控制模块基于所述安全标记和所述二级威胁标记,修改访问控制策略以限制所述外部主机对所述内部主机进行资源访问。需要说明的是,还可以生成威胁报告对工作人员进行提醒。通过敏感性标记为已经有威胁(二级威胁标记)时,修改访问控制策略以限制所述外部主机对所述内部主机进行资源访问,从而进一步提高跨网络执行资源访问的安全性。
在本发明实施例的其他方面,所述敏感性标记包括三级威胁标记;步骤900、所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:控制访问控制模块基于所述安全标记和所述三级威胁标记,停止所述外部主机对所述内部主机进行资源访问,并生成威胁报告。
当敏感性标记包括三级威胁标记时,此时说明审计信息、可信属性、信任关系以及安全标记中三个或三个以上的信息出现异常,此时说明此时安全预测模块得出的敏感性标记为很危险。此时控制访问控制模块基于所述安全标记和所述三级威胁标记,停止所述外部主机对所述内部主机进行资源访问,并生成威胁报告,从而拒绝外部主机有危险的资源访问,进一步提高跨网络执行资源访问的安全性。
请参照图4,本发明实施例还提供一种跨网路边界的资源访问方法,应用于边界设备,所述方法包括:
步骤100、控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息。
边界设备的第二可信证明模块依托可信软件基的协作机制、主动监控机制等机制,在边界设备和内部主机中都会存在。在设备启动过程中,可信密码模块为可信计算平台提供信任支撑等功能;可信软件基为可信证明模块提供了可信性的软件支撑。通过第二可信证明模块可对外部设备进行可信证明,在有外部主机的资源访问请求时会由此模块证明外部主机可信。
需要说明的是,请参照图3,外部主机首先向可信管理平台发起跨网络的资源访问请求,通过可信管理平台进入内部设备的网络边界;可信管理平台通过验证外部主机的的相关信息后,将资源访问请求通过网络请求的方式进入边界设备。边界控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息。
其中可信证明信息包括边界设备对外部主机发送的资源访问请求作出的,证明外部主机可信的正常信息以及异常信息。正常信息即证明外部主机可信,异常信息即证明外部主机不可信。
步骤200、控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系。
其中,域控制器模块处于边界设备内,包含了属于这个网络边界的内部主机等信息构成的数据库和控制目录。用于对外部主机的网络请求进入内部网络边界时完成对外部主机的网络请求权限验证,验证通过后建立信任关系并存储到边界设备数据库中。域控制器模块可基于可信软件基模块实现。可信软件基模块完成策略判定、访问控制、白名单、主客体验证与度量等功能。可信软件基模块基于可信密码模块等硬件完成可信密码运算等功能。
边界设备控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系。信任关系包括边界设备对外部主机发送的资源访问请求作出的可信任或不可信任的信任关系。
当可信证明信息包括外部主机可信的正常信息,以及信任关系为可信任时,此时说明外部主机通过了边界设备对外部主机发送的资源访问请求的可信证明。否则,说明边界设备对外部主机发送的资源访问请求的可信证明存疑。等待内部主机进行进一步的可信证明。
步骤300、控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机。
边界设备控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机。从而便于在内部主机建立基于边界设备的可信证明信息-边界设备的信任关系-本地进程的安全标记-安全状态预测的过程,在内部主机的访问控制基础上完成边界设备的可信证明与内部主机本地的可信证明之间的协同工作,结合内部主机和边界设备的可信证明过程实现跨网路边界的资源访问,从而提高跨网络执行资源访问的安全性。
在本发明实施例的其他方面,步骤100、所述控制第二可信证明模块基于所述资源访问请求进行可信证明,得到可信证明信息,包括:所述控制第二可信证明模块基于所述资源访问请求进行可信证明,得到对所述资源访问请求的审计信息和可信属性。
其中,其中审计信息主要是对应等级保护二级要求,包含审计对象,对象的操作,审计记录,以及这些内容是否被篡改等。可信属性是针对资源访问的访问对象(外部主机)来描述的,包含了访问对象的一些信息,例如访问对象的访问策略、访问外部主机和内部主机的安全性等。
通过可信证明得到对所述资源访问请求的审计信息和可信属性,便于内部主机通过基于审计信息、可信属性、信任关系以及安全标记的4个可信证明信息进行安全状态预测,有利于进一步提高对网络连接请求进行安全状态预测的准确性,更好地对外部主机进行资源访问控制,进一步提高跨网络执行资源访问的安全性。
下面对本发明提供的跨网路边界的资源访问装置进行描述,下文描述的跨网路边界的资源访问装置与上文描述的跨网路边界的资源访问方法可相互对应参照。
请参照图5,本发明提供一种跨网路边界的资源访问装置,包括:
第一可信证明单元201,用于控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;以及控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;
安全标记单元202,用于控制安全标记模块对所述进程进行本地安全标记,得到安全标记;
安全状态预测单元203,用于控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;
访问控制单元204,用于基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;以及控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;
所述第一可信证明单元201、所述安全标记单元202、所述安全状态预测单元203以及所述访问控制单元204分别是基于内部主机的可信密码模块构建的。
通过在可信密码模块的基础上,在内部主机建立基于边界设备的可信证明信息-边界设备的信任关系-本地进程的安全标记-安全状态预测的过程,在内部主机的访问控制基础上完成边界设备的可信证明与内部主机本地的可信证明之间的协同工作,结合内部主机和边界设备的可信证明过程实现跨网路边界的资源访问,从而提高跨网络执行资源访问的安全性。
在一个实施例中,所述可信证明信息包括所述边界设备对所述外部主机发送的资源访问请求作出的审计信息和可信属性;
所述安全状态预测单元203具体包括:控制安全预测模块基于所述审计信息、所述可信属性、所述信任关系以及所述安全标记进行安全状态预测,得到敏感性标记。
在一个实施例中,所述敏感性标记包括正常访问标记;所述访问控制单元204包括:控制访问控制模块基于所述安全标记和所述正常访问标记,控制所述进程执行外部主机对内部主机进行资源访问。
在一个实施例中,所述敏感性标记包括一级威胁标记;所述访问控制单元204包括:控制访问控制模块基于所述安全标记和所述一级威胁标记,再次执行所述控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证的步骤;
所述敏感性标记包括二级威胁标记;所述访问控制单元包括:控制访问控制模块基于所述安全标记和所述二级威胁标记,修改访问控制策略以限制所述外部主机对所述内部主机进行资源访问;
所述敏感性标记包括三级威胁标记;所述访问控制单元204包括:控制访问控制模块基于所述安全标记和所述三级威胁标记,停止所述外部主机对所述内部主机进行资源访问,并生成威胁报告。
下面再对本发明提供的跨网路边界的资源访问装置进行描述,下文描述的跨网路边界的资源访问装置与上文描述的跨网路边界的资源访问方法可相互对应参照。
请参照图6,本发明还提供一种跨网路边界的资源访问装置,包括:
第二可信证明单元205,用于控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;
域控制器单元206,用于控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;以及控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;
所述第二可信证明单元以及所述域控制器单元分别是基于边界设备的可信密码模块构建的。
在一个实施例中,所述第二可信证明单元205具体包括:所述控制第二可信证明模块基于所述资源访问请求进行可信证明,得到对所述资源访问请求的审计信息和可信属性。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备可以包括:处理器(processor)710、通信接口(CommunicationsInterface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行跨网路边界的资源访问方法,该方法包括:控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;控制安全标记模块对所述进程进行本地安全标记,得到安全标记;控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。
或者,控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的跨网路边界的资源访问方法,该方法包括:控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;控制安全标记模块对所述进程进行本地安全标记,得到安全标记;控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。
或者,控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的跨网路边界的资源访问方法,该方法包括:控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;控制安全标记模块对所述进程进行本地安全标记,得到安全标记;控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。
或者,控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种跨网路边界的资源访问方法,其特征在于,应用于内部主机,所述方法包括:
控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;
控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;
控制安全标记模块对所述进程进行本地安全标记,得到安全标记;
控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证;
控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;
控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;
所述第一可信证明模块、所述安全标记模块、所述安全预测模块、所述访问控制模块分别是基于可信密码模块构建的。
2.根据权利要求1所述的跨网路边界的资源访问方法,其特征在于,所述可信证明信息包括所述边界设备对所述外部主机发送的资源访问请求作出的审计信息和可信属性;
所述控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记进行安全状态预测,得到敏感性标记,包括:
控制安全预测模块基于所述审计信息、所述可信属性、所述信任关系以及所述安全标记进行安全状态预测,得到敏感性标记。
3.根据权利要求1所述的跨网路边界的资源访问方法,其特征在于,所述敏感性标记包括正常访问标记;所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:
控制访问控制模块基于所述安全标记和所述正常访问标记,控制所述进程执行外部主机对内部主机进行资源访问。
4.根据权利要求1所述的跨网路边界的资源访问方法,其特征在于,所述敏感性标记包括一级威胁标记;所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:
控制访问控制模块基于所述安全标记和所述一级威胁标记,再次执行所述控制访问控制模块基于所述安全标记对所述外部主机和所述内部主机进行合法性验证的步骤;
所述敏感性标记包括二级威胁标记;所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:
控制访问控制模块基于所述安全标记和所述二级威胁标记,修改访问控制策略以限制所述外部主机对所述内部主机进行资源访问;
所述敏感性标记包括三级威胁标记;所述控制访问控制模块基于所述安全标记和所述敏感性标记,确定所述外部主机对内部主机进行资源访问的资源访问策略,包括:
控制访问控制模块基于所述安全标记和所述三级威胁标记,停止所述外部主机对所述内部主机进行资源访问,并生成威胁报告。
5.一种跨网路边界的资源访问方法,其特征在于,应用于边界设备,所述方法包括:
控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;
控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;
控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;
所述第二可信证明模块以及所述域控制器单元分别是基于可信密码模块构建的。
6.根据权利要求5所述的跨网路边界的资源访问方法,其特征在于,所述控制第二可信证明模块基于所述资源访问请求进行可信证明,得到可信证明信息,包括:
所述控制第二可信证明模块基于所述资源访问请求进行可信证明,得到对所述资源访问请求的审计信息和可信属性。
7.一种跨网路边界的资源访问装置,其特征在于,包括:
第一可信证明单元,用于控制第一可信证明模块接收边界设备发送的网络连接请求;所述网络连接请求包括所述边界设备对外部主机发送的资源访问请求作出的可信证明信息和信任关系;以及控制所述第一可信证明模块基于所述网络连接请求进行信息确认,并确定执行网络连接的进程;
安全标记单元,用于控制安全标记模块对所述进程进行本地安全标记,得到安全标记;
安全状态预测单元,用于控制安全预测模块基于所述可信证明信息、所述信任关系以及所述安全标记对所述网络连接请求进行安全状态预测,得到敏感性标记;
访问控制单元,用于控制所述访问控制模块基于所述安全标记对所述外部主机和内部主机进行合法性验证;以及控制所述访问控制模块基于所述安全标记和所述敏感性标记,确定对所述网络连接请求的资源访问策略;
所述第一可信证明单元、所述安全标记单元、所述安全状态预测单元以及所述访问控制单元分别是基于内部主机的可信密码模块构建的。
8.一种跨网路边界的资源访问装置,其特征在于,包括:
第二可信证明单元,用于控制第二可信证明模块接收外部主机发送的资源访问请求,并基于所述资源访问请求进行可信证明,得到可信证明信息;
域控制器单元,用于控制域控制器模块基于所述可信证明信息进行权限验证,得到所述边界设备对所述资源访问请求的信任关系;以及控制域控制器模块基于所述可信证明信息和所述信任关系生成网络连接请求,并将所述网络连接请求发送至内部主机;
所述第二可信证明单元以及所述域控制器单元分别是基于边界设备的可信密码模块构建的。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的跨网路边界的资源访问方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的跨网路边界的资源访问方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211610336.0A CN116112214B (zh) | 2022-12-14 | 2022-12-14 | 跨网路边界的资源访问方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211610336.0A CN116112214B (zh) | 2022-12-14 | 2022-12-14 | 跨网路边界的资源访问方法、装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116112214A true CN116112214A (zh) | 2023-05-12 |
CN116112214B CN116112214B (zh) | 2024-08-23 |
Family
ID=86257175
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211610336.0A Active CN116112214B (zh) | 2022-12-14 | 2022-12-14 | 跨网路边界的资源访问方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116112214B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103780395A (zh) * | 2014-01-24 | 2014-05-07 | 广东电网公司电力科学研究院 | 网络接入证明双向度量的方法和系统 |
US20150365436A1 (en) * | 2014-06-12 | 2015-12-17 | Cisco Technology, Inc. | Techniques for Improved Run Time Trustworthiness |
CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
CN115270157A (zh) * | 2022-08-02 | 2022-11-01 | 北京工业大学 | 一种访问控制方法及系统 |
-
2022
- 2022-12-14 CN CN202211610336.0A patent/CN116112214B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103780395A (zh) * | 2014-01-24 | 2014-05-07 | 广东电网公司电力科学研究院 | 网络接入证明双向度量的方法和系统 |
US20150365436A1 (en) * | 2014-06-12 | 2015-12-17 | Cisco Technology, Inc. | Techniques for Improved Run Time Trustworthiness |
CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
CN115270157A (zh) * | 2022-08-02 | 2022-11-01 | 北京工业大学 | 一种访问控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116112214B (zh) | 2024-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10489597B2 (en) | Blockchain verification of network security service | |
EP3563547B1 (en) | Fabric assisted identity and authentication making use of context | |
US9143509B2 (en) | Granular assessment of device state | |
EP3005641A1 (en) | Certificating authority trust evaluation | |
WO2017019534A1 (en) | Recommendations for security associated with accounts | |
CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
CN102281286A (zh) | 用于分布式混合企业的灵活端点顺从和强认证 | |
EP3552131B1 (en) | Password security | |
CN111639327A (zh) | 一种开放平台的认证方法及装置 | |
CN108027856B (zh) | 使用可信平台模块来建立攻击信息的实时指示器 | |
CA3100647A1 (en) | Identity management for software components through dynamic certificate requested based on a one-time certificate | |
CN113343196A (zh) | 一种物联网安全认证方法 | |
CN110365632A (zh) | 计算机网络系统中的认证 | |
CN111131144B (zh) | IoT设备管理方法、装置、服务器及存储介质 | |
CN111597537A (zh) | 基于区块链网络的证书签发方法、相关设备及介质 | |
CN118300814A (zh) | 一种跨平台登录方法及系统 | |
Feng et al. | Autonomous vehicles' forensics in smart cities | |
CN116112214B (zh) | 跨网路边界的资源访问方法、装置和电子设备 | |
CN109699030A (zh) | 无人机认证方法、装置、设备和计算机可读存储介质 | |
US20230198764A1 (en) | Zero trust based access management of infrastructure within enterprise using micro-segmentation and decentralized identifier network | |
CN104901964A (zh) | 一种用于保护云系统的安全监控方法 | |
CN112104625B (zh) | 一种进程访问的控制方法及装置 | |
CN109033776A (zh) | 一种人员管理方法、系统、设备及计算机可读存储介质 | |
CN111555857A (zh) | 一种边缘网络和网络传输方法 | |
CN114760136B (zh) | 基于微隔离的安全预警系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |