CN117411714A - 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质 - Google Patents

拟态防御网络设备的授权认证方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN117411714A
CN117411714A CN202311524481.1A CN202311524481A CN117411714A CN 117411714 A CN117411714 A CN 117411714A CN 202311524481 A CN202311524481 A CN 202311524481A CN 117411714 A CN117411714 A CN 117411714A
Authority
CN
China
Prior art keywords
authorization
authorization information
hardware platform
virtual system
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311524481.1A
Other languages
English (en)
Inventor
姚磊
张健
苗申
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202311524481.1A priority Critical patent/CN117411714A/zh
Publication of CN117411714A publication Critical patent/CN117411714A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Stored Programmes (AREA)

Abstract

本申请提供一种拟态防御网络设备的授权认证方法、装置、电子设备和存储介质,其中,拟态防御网络设备的授权认证方法包括:获取所述硬件平台的单片机唯一标识和授权信息,基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果;基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限;当所述硬件平台具备所述异构冗余单元运行权限时,获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识等步骤。本申请基于硬件绑定信息实现拟态防御网络设备的授权认证,从而提高设备授权的可靠性和安全性。

Description

拟态防御网络设备的授权认证方法、装置、电子设备和存储 介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种拟态防御网络设备的授权认证方法、装置、电子设备和存储介质。
背景技术
随着信息技术的快速发展和智能设备的普及,网络安全受到越来越多人的关注。针对网络空间环境中层出不穷的安全问题,拟态防御设备在网络安全领域的应用也越来越广泛。拟态防御设备是一种通过模拟其他设备或系统的行为来混淆攻击者,保护网络安全的技术。然而,随着拟态防御设备的使用增多,对其授权认证方法的需求也变得越来越迫切。
目前,拟态防御设备的授权管理通常是通过软件实现,其中,由于其未结合硬件绑定信息,这种方法往往容易受到篡改和仿冒,导致设备授权的不可靠性和安全性问题。
发明内容
本申请实施例的目的在于提供一种拟态防御网络设备的授权认证方法、装置、电子设备和存储介质,用以基于硬件绑定信息实现拟态防御网络设备的授权认证,从而提高设备授权的可靠性和安全性。
第一方面,本发明提供一种拟态防御网络设备的授权认证方法,所述方法应用于网络设备的异构冗余单元,所述网络设备还包括硬件平台,所述方法包括:
获取所述硬件平台的单片机唯一标识和授权信息,基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果;
基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限;
当所述硬件平台具备所述异构冗余单元运行权限时,获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,并基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权;
当所述虚拟系统被授权时,获取拟态功能模块的授权文件,并判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系;
当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,确定所述拟态功能模块授权通过。
本申请的方法通过获取所述硬件平台的单片机唯一标识和授权信息,进而能够基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限,另一方面,当所述硬件平台具备所述异构冗余单元运行权限时,通过获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,能够基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权,再一方面,在所述虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系,进而当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,可确定所述拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
在可选的实施方式中,在所述确定所述拟态功能模块授权通过之前,所述方法还包括:
基于当前系统时间判断所述授权信息、所述子授权信息和所述授权文件是否过期,如果所述授权信息、所述子授权信息和所述授权文件没有过期,则触发执行所述确定所述拟态功能模块授权通过。
本可选的实施方式能够基于当前系统时间判断所述授权信息、所述子授权信息和所述授权文件是否过期,进而如果所述授权信息、所述子授权信息和所述授权文件没有过期,则能够触发执行所述确定所述拟态功能模块授权通过,这样一来,可防止基于过期的授权信息、子授权信息和授权文件完成授权认证。
在可选的实施方式中,在所述基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限之前,所述方法还包括:
判断所述授权信息、所述子授权信息和所述授权文件是否被修改,如果所述授权信息、所述子授权信息和所述授权文件中的任一对象被修改,则停止执行所述基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限。
本可选的实施方式通过判断所述授权信息、所述子授权信息和所述授权文件是否被修改,进而能够在授权信息、子授权信息和授权文件是否被修改时,停止执行所述基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限,这样一来,能够防止基于被篡改的授权信息、子授权信息和授权文件对设备进行授权认证。
在可选的实施方式中,所述方法包括:
当检测到所述授权文件作为当前版本授权文件被升级时,获取升级版本授权文件;
获取所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息;
对比所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息,如果所述升级版本授权文件携带的硬件框架信息与所述当前版本授权文件携带的硬件框架信息一致,则将所述升级版本授权文件同步至所述拟态功能模块。
本可选的实施方式能够在检测到所述授权文件作为当前版本授权文件被升级时,获取升级版本授权文件、获取所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息,进而能够对比所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息,如果所述升级版本授权文件携带的硬件框架信息与所述当前版本授权文件携带的硬件框架信息一致,则将所述升级版本授权文件同步至所述拟态功能模块,这样一来,可将与当前硬件框架信息的升级版本授权文件自动同步至拟态功能模块。
在可选的实施方式中,在所述获取所述硬件平台的单片机唯一标识和授权信息之前,所述方法还包括:
获取所述硬件平台的单片机唯一标识和所述异构冗余单元的唯一标识;
基于所述硬件平台的单片机唯一标识确定所述硬件平台的授权号,其中,所述硬件平台的单片机唯一标识与所述硬件平台的授权号绑定;
基于所述异构冗余单元的唯一标识确定所述异构冗余单元的授权号,其中,所述异构冗余单元的唯一标识与所述异构冗余单元的授权号绑定;
将所述硬件平台的授权号作为密钥,以对所述异构冗余单元的授权号进行加密并得到所述授权信息。
本可选的实施方式通过获取所述硬件平台的单片机唯一标识和所述异构冗余单元的唯一标识,进而能够基于所述硬件平台的单片机唯一标识确定所述硬件平台的授权号,其中,所述硬件平台的单片机唯一标识与所述硬件平台的授权号绑定,另一方面,能够基于所述异构冗余单元的唯一标识确定所述异构冗余单元的授权号,其中,所述异构冗余单元的唯一标识与所述异构冗余单元的授权号绑定,从而能够将所述硬件平台的授权号作为密钥,以对所述异构冗余单元的授权号进行加密并得到所述授权信息,最终生成基于硬件平台的单片机唯一标识生成授权信息。
在可选的实施方式中,所述基于所述子授权信息和所述虚拟系统的唯一标识确定所述虚拟系统是否被授权,包括:
判断所述子授权信息是否包含所述虚拟系统的唯一标识;
当所述子授权信息包含所述虚拟系统的唯一标识时,确定所述虚拟系统是被授权。
本可选的实施方式通过判断所述子授权信息是否包含所述虚拟系统的唯一标识,进而能够在所述子授权信息包含所述虚拟系统的唯一标识时,确定所述虚拟系统是被授权。
在可选的实施方式中,所述方法还包括:判断所述虚拟系统是否过期,如果所述虚拟系统过期,则下线所述虚拟系统;
当所述虚拟系统过期时,判断所述拟态功能模块是否过期,如果所述拟态功能模块过期,则下线所述拟态功能模块。
本可选的实施方式可判断所述虚拟系统是否过期,进而如果所述虚拟系统过期,则下线所述虚拟系统,另一方面,当所述虚拟系统过期时,能够判断所述拟态功能模块是否过期,如果所述拟态功能模块过期,则下线所述拟态功能模块,这样一来,可以防止授权的虚拟系统在过期后依然被使用,和防止授权的拟态功能模块在过期后依然被使用。
第二方面,本发明提供一种拟态防御网络设备的授权认证装置,所述装置应用于网络设备的异构冗余单元,所述网络设备还包括硬件平台,所述装置包括:
第一获取模块,用于获取所述硬件平台的单片机唯一标识和授权信息,基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果;
第一确定模块,用于基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限;
第二获取模块,用于在所述硬件平台具备所述异构冗余单元运行权限时,获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,并基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权;
第三获取模块,用于在所述虚拟系统被授权时,获取拟态功能模块的授权文件,并判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系;
第二确定模块,用于在所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,确定所述拟态功能模块授权通过。
本申请的装置通过获取所述硬件平台的单片机唯一标识和授权信息,进而能够基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限,另一方面,当所述硬件平台具备所述异构冗余单元运行权限时,通过获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,能够基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权,再一方面,在所述虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系,进而当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,可确定所述拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
第三方面,本发明提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的拟态防御网络设备的授权认证方法。
本申请的电子设备通过执行拟态防御网络设备的授权认证方法,能够获取所述硬件平台的单片机唯一标识和授权信息,进而能够基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限,另一方面,当所述硬件平台具备所述异构冗余单元运行权限时,通过获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,能够基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权,再一方面,在所述虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系,进而当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,可确定所述拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
第四方面,本发明提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的拟态防御网络设备的授权认证方法。
本申请的存储介质通过执行拟态防御网络设备的授权认证方法,能够获取所述硬件平台的单片机唯一标识和授权信息,进而能够基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限,另一方面,当所述硬件平台具备所述异构冗余单元运行权限时,通过获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,能够基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权,再一方面,在所述虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系,进而当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,可确定所述拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种拟态防御网络设备的授权认证方法的流程示意图;
图2是本申请实施例公开的一种授权层次图;
图3是本申请实施例公开的一种拟态防御网络设备的结构示意图;
图4是本申请实施例公开的一种拟态防御网络设备的授权认证装置的结构示意图;
图5是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种拟态防御网络设备的授权认证方法的流程示意图,该方法应用于网络设备的异构冗余单元,网络设备还包括硬件平台,如图1所示,本申请实施例的方法包括以下步骤:
101、获取硬件平台的单片机唯一标识和授权信息,基于硬件平台的单片机唯一标识进行加密计算,得到运算结果;
102、基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限;
103、当硬件平台具备异构冗余单元运行权限时,获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,并基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权;
104、当虚拟系统被授权时,获取拟态功能模块的授权文件,并判断授权文件是否具有与授权信息、子授权信息的绑定关系;
105、当授权文件具有与授权信息、子授权信息的绑定关系时,确定拟态功能模块授权通过。
本申请实施例的方法通过获取硬件平台的单片机唯一标识和授权信息,进而能够基于硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限,另一方面,当硬件平台具备异构冗余单元运行权限时,通过获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,能够基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权,再一方面,在虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断授权文件是否具有与授权信息、子授权信息的绑定关系,进而当授权文件具有与授权信息、子授权信息的绑定关系时,可确定拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
在本申请实施例中,作为一种示例,请参阅图2,图2是本申请实施例公开的一种授权层次图。如图2所示,通过三个层次的授权认证,可提高授权认证的可靠性和安全性,而现有技术仅在软件层次进行授权认证。
在一些场景中,出于安全考虑,需要限定异构冗余单元与硬件平台绑定,例如,异构冗余单元A只能由硬件平台A执行、异构冗余单元B只能由硬件平台B执行,以防止在硬件平台执行非授权认证的异构冗余单元,例如,当异构冗余单元更新后,更新后的异构冗余单元视为一个新的且未与原硬件平台绑定的异构冗余单元,因此,在原硬件平台中无法执行异构冗余单元,从而避免异构冗余单元更新引入的安全风险。
在本申请实施例中,具体地,请参阅图3,图3是本申请实施例公开的一种拟态防御网络设备的结构示意图。如图3所示,拟态防御网络设备可以包括异构冗余单元1、异构冗余单元2等多个异构冗余单元,其中,在一些场景中,当硬件平台通过授权认证后,需要判断当前用户可执行的异构冗余单元,例如,用户A和用户B同时使用相同的硬件平台,但是,用户A只能使用异构冗余单元1,而用户B只能使用异构冗余单元2,这样一来,就需要判断用户对应的授权认证异构冗余单元,从而避免用户B执行异构冗余单元1,避免用户A执行异构冗余单元2。
进一步地,如图3所示,每个异构冗余单元包括多个拟态虚拟系统(即虚拟系统),其中,需要对拟态虚拟系统进行授权认证,以避免使用相同异构冗余单元的用户执行非授权认证的虚拟系统,例如,当用户A可执行异构冗余单元1中的拟态虚拟系统1,而不可执行异构冗余单元1中的拟态虚拟系统2,此时,通过对虚拟系统进行授权认证,可防止用户A执行异构冗余单元1中的拟态虚拟系统2。
进一步地,每个虚拟系统包括多个拟态功能模块,相应地,通过对拟态功能模块进行授权认证,可防止用户A执行非授权认证的拟态功能模块。
在本申请实施例中,具体地,硬件平台是由拟态防御网络设备的硬件环境,例如,由拟态防御网络设备的单片机(CPU)、存储设备构成的硬件环境。进一步地,拟态防御网络设备是指采用拟态防御技术的网络设备,其中,关于拟态防御技术的详细说明,请参阅现有技术,本申请实施例对此不作赘述。进一步地,网络设备可以是指路由网关等设备。进一步地,异构冗余单元通常由不同类型的硬件或软件组成,例如使用不同类型的处理器、存储器或传感器等。这些不同的冗余单元可以一起工作,以提供更高的可靠性和容错能力,需要说明的是,关于异构冗余单元的其他详细说明,请参阅现有技术,本申请实施例对此不作赘述。
在本申请实施例中,针对步骤101,硬件平台的单片机唯一标识具有全球唯一性,因此可作为硬件平台的身份标识。进一步地,获取硬件平台的单片机唯一标识的一种具体方式可以是:从单片机标识表中获取硬件平台的单片机唯一标识,其中,单片机标识表由单片机生产商提供。
在本申请实施例中,针对步骤101,授权信息为预先生成并存储在指定空间。进一步地,基于硬件平台的单片机唯一标识进行加密计算,得到运算结果与授权信息的生成过程相同,其中,基于硬件平台的单片机唯一标识进行加密计算,得到运算结果的一种具体方式为:
基于硬件平台的单片机唯一标识获取硬件平台的授权号;
将硬件平台的授权号作为密钥对异构冗余单元的授权号进行加密处理,得到一个序列信息,并将该序列信息作为运算结果。
进一步地,关于将硬件平台的授权号作为密钥对异构冗余单元的授权号进行加密处理这一步骤所采用的加密算法,可以是HASH算法。
在本申请实施例中,针对步骤102,授权信息携带了序列信息,而运算结果也为序列信息,因此通过将授权信息携带的序列信息与运算结果进行比对,如果授权信息携带的序列信息与运算结果一致,则可确定硬件平台具备异构冗余单元运行权限,如果授权信息携带的序列信息与运算结果不一致,则确定硬件平台不具备异构冗余单元运行权限。
在本申请实施例中,针对步骤103,子授权信息为预先生成并存储在指定的存储空间,其中,子授权信息限定了异构冗余单元可执行的虚拟系统,即子授权信息包括了异构冗余单元与虚拟系统的唯一标识之间的绑定关系,因此,在获取到当前运行的虚拟系统的唯一标识后,可将在子授权信息中查询当前运行的虚拟系统的唯一标识,如果子授权信息不包含当前运行的虚拟系统的唯一标识,则确定当前运行的虚拟系统没有被授权,如果子授权信息包含当前运行的虚拟系统的唯一标识,则确定当前运行的虚拟系统有被授权。进一步地,在当前运行的虚拟系统没有被授权,需使当前运行的虚拟系统下线。
在本申请实施例中,针对步骤104,可预先生成绑定关系表,其中,在表中,授权信息的ID与子授权信息的ID、授权文件的ID绑定。进一步地,在获取授权文件后,可以授权文件的ID为查询条件,在绑定关系表中查询相关内容并生成查询结果,进而将查询结果与当前授权信息的ID、子授权信息的ID比较,如果两者一致,则确定权文件具有与授权信息、子授权信息的绑定关系。
在本申请实施例中,针对步骤105,拟态功能模块可以包括拟态系统中的输入分发模块、虚拟系统响应汇总模块、输出裁决模块、反馈控制模块。进一步地,在确定拟态功能模块授权通过后,可基于授权文件执行拟态功能模块,例如,授权文件可指示控制反馈控制模块是否使用,输出裁决模块是否使用等,进而当输出裁决模块。可使用时,启动输出裁决模块。
在本申请实施例中,作为一种可选的实施方式中,在步骤:确定拟态功能模块授权通过之前,本申请实施例的方法还包括以下步骤:
基于当前系统时间判断授权信息、子授权信息和授权文件是否过期,如果授权信息、子授权信息和授权文件没有过期,则触发执行确定拟态功能模块授权通过。
本可选的实施方式能够基于当前系统时间判断授权信息、子授权信息和授权文件是否过期,进而如果授权信息、子授权信息和授权文件没有过期,则能够触发执行确定拟态功能模块授权通过,这样一来,可防止基于过期的授权信息、子授权信息和授权文件完成授权认证。
针对上述可选的实施方式,具体地,如果授权信息、子授权信息和授权文件过期,则下线虚拟系统或转为非拟态模式,其中,关于非拟态模式,请参阅现有技术,本申请实施例对此不作赘述。
在本申请实施例中,作为一种可选的实施方式,在步骤:基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限之前,本申请实施例的方法还包括以下步骤:
判断授权信息、子授权信息和授权文件是否被修改,如果授权信息、子授权信息和授权文件中的任一对象被修改,则停止执行基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限。
本可选的实施方式通过判断授权信息、子授权信息和授权文件是否被修改,进而能够在授权信息、子授权信息和授权文件是否被修改时,停止执行基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限,这样一来,能够防止基于被篡改的授权信息、子授权信息和授权文件对设备进行授权认证。进一步地,在授权信息、子授权信息和授权文件中的任一对象被修改时,还可以将修改的对象进行备份和阻断,从而防止修改后的对象被传播和使用。
在本申请实施例中,作为一种可选的实施方式中,本申请实施例的方法包括以下步骤:
当检测到授权文件作为当前版本授权文件被升级时,获取升级版本授权文件;
获取当前版本授权文件携带的硬件框架信息和升级版本授权文件携带的硬件框架信息;
对比当前版本授权文件携带的硬件框架信息和升级版本授权文件携带的硬件框架信息,如果升级版本授权文件携带的硬件框架信息与当前版本授权文件携带的硬件框架信息一致,则将升级版本授权文件同步至拟态功能模块。
本可选的实施方式能够在检测到授权文件作为当前版本授权文件被升级时,获取升级版本授权文件、获取当前版本授权文件携带的硬件框架信息和升级版本授权文件携带的硬件框架信息,进而能够对比当前版本授权文件携带的硬件框架信息和升级版本授权文件携带的硬件框架信息,如果升级版本授权文件携带的硬件框架信息与当前版本授权文件携带的硬件框架信息一致,则将升级版本授权文件同步至拟态功能模块,这样一来,可将与当前硬件框架信息的升级版本授权文件自动同步至拟态功能模块。
在本申请实施例中,作为一种可选的实施方式中,在步骤:获取硬件平台的单片机唯一标识和授权信息之前,本申请实施例的方法还包括以下步骤:
获取硬件平台的单片机唯一标识和异构冗余单元的唯一标识;
基于硬件平台的单片机唯一标识确定硬件平台的授权号,其中,硬件平台的单片机唯一标识与硬件平台的授权号绑定;
基于异构冗余单元的唯一标识确定异构冗余单元的授权号,其中,异构冗余单元的唯一标识与异构冗余单元的授权号绑定;
将硬件平台的授权号作为密钥,以对异构冗余单元的授权号进行加密并得到授权信息。
本可选的实施方式通过获取硬件平台的单片机唯一标识和异构冗余单元的唯一标识,进而能够基于硬件平台的单片机唯一标识确定硬件平台的授权号,其中,硬件平台的单片机唯一标识与硬件平台的授权号绑定,另一方面,能够基于异构冗余单元的唯一标识确定异构冗余单元的授权号,其中,异构冗余单元的唯一标识与异构冗余单元的授权号绑定,从而能够将硬件平台的授权号作为密钥,以对异构冗余单元的授权号进行加密并得到授权信息,最终生成基于硬件平台的单片机唯一标识生成授权信息。
在本申请实施例中,作为一种可选的实施方式,步骤:基于子授权信息和虚拟系统的唯一标识确定虚拟系统是否被授权,包括以下步骤:
判断子授权信息是否包含虚拟系统的唯一标识;
当子授权信息包含虚拟系统的唯一标识时,确定虚拟系统是被授权。
本可选的实施方式通过判断子授权信息是否包含虚拟系统的唯一标识,进而能够在子授权信息包含虚拟系统的唯一标识时,确定虚拟系统是被授权。
在本申请实施例中,作为一种可选的实施方式,本申请实施例的方法还包括以下步骤:
判断虚拟系统是否过期,如果虚拟系统过期,则下线虚拟系统;
当虚拟系统过期时,判断拟态功能模块是否过期,如果拟态功能模块过期,则下线拟态功能模块。
本可选的实施方式可判断虚拟系统是否过期,进而如果虚拟系统过期,则下线虚拟系统,另一方面,当虚拟系统过期时,能够判断拟态功能模块是否过期,如果拟态功能模块过期,则下线拟态功能模块,这样一来,可以防止授权的虚拟系统在过期后依然被使用,和防止授权的拟态功能模块在过期后依然被使用。
实施例二
请参阅图4,图4是本申请实施例公开的一种拟态防御网络设备的授权认证装置的结构示意图,其中,该装置应用于网络设备的异构冗余单元,网络设备还包括硬件平台。如图4所示,本申请实施例的装置包括以下功能模块:
第一获取模块201,用于获取硬件平台的单片机唯一标识和授权信息,基于硬件平台的单片机唯一标识进行加密计算,得到运算结果;
第一确定模块202,用于基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限;
第二获取模块203,用于在硬件平台具备异构冗余单元运行权限时,获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,并基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权;
第三获取模块204,用于在虚拟系统被授权时,获取拟态功能模块的授权文件,并判断授权文件是否具有与授权信息、子授权信息的绑定关系;
第二确定模块205,用于在授权文件具有与授权信息、子授权信息的绑定关系时,确定拟态功能模块授权通过。
本申请实施例的装置通过获取硬件平台的单片机唯一标识和授权信息,进而能够基于硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限,另一方面,当硬件平台具备异构冗余单元运行权限时,通过获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,能够基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权,再一方面,在虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断授权文件是否具有与授权信息、子授权信息的绑定关系,进而当授权文件具有与授权信息、子授权信息的绑定关系时,可确定拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
实施例三
请参阅图5,图5是本申请实施例公开的一种电子设备的结构示意图,如图5所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行如前述实施方式任一项的拟态防御网络设备的授权认证方法。
本申请实施例的电子设备通过执行拟态防御网络设备的授权认证方法,能够获取硬件平台的单片机唯一标识和授权信息,进而能够基于硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限,另一方面,当硬件平台具备异构冗余单元运行权限时,通过获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,能够基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权,再一方面,在虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断授权文件是否具有与授权信息、子授权信息的绑定关系,进而当授权文件具有与授权信息、子授权信息的绑定关系时,可确定拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
实施例四
本申请实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的拟态防御网络设备的授权认证方法。
本申请实施例的存储介质通过执行拟态防御网络设备的授权认证方法,能够获取硬件平台的单片机唯一标识和授权信息,进而能够基于硬件平台的单片机唯一标识进行加密计算,得到运算结果,进而能够基于运算结果和授权信息确定硬件平台是否具备异构冗余单元运行权限,另一方面,当硬件平台具备异构冗余单元运行权限时,通过获取子授权信息和异构冗余单元当前运行的虚拟系统的唯一标识,能够基于子授权信息和虚拟系统的唯一标识判断虚拟系统是否被授权,再一方面,在虚拟系统被授权时,通过获取拟态功能模块的授权文件,能够判断授权文件是否具有与授权信息、子授权信息的绑定关系,进而当授权文件具有与授权信息、子授权信息的绑定关系时,可确定拟态功能模块授权通过,最终完成设备的授权认证。与现有技术相比,本申请能够执行三层授权校验,即先基于网络设备的单片机唯一标识判断当前网络设备是否被授权,然后进一步判断网络设备是否具有运行虚拟系统的权限,最终判断虚拟系统是否具有运行拟态功能模块的权限,这样一来,就能够防止非授权网络设备运行虚拟系统、防止网络设备运行非授权虚拟系统、防止网络设备运行非授权拟态功能模块,最终结合硬件绑定信息实现拟态防御网络设备的授权认证,从而避免采用更新后的硬件平台、更新后的异构冗余单元这类非授权设备运行拟态功能模块导致的安全风险,最终提高设备授权的可靠性和安全性。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种拟态防御网络设备的授权认证方法,其特征在于,所述方法应用于网络设备的异构冗余单元,所述网络设备还包括硬件平台,所述方法包括:
获取所述硬件平台的单片机唯一标识和授权信息,基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果;
基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限;
当所述硬件平台具备所述异构冗余单元运行权限时,获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,并基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权;
当所述虚拟系统被授权时,获取拟态功能模块的授权文件,并判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系;
当所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,确定所述拟态功能模块授权通过。
2.如权利要求1所述的方法,其特征在于,在所述确定所述拟态功能模块授权通过之前,所述方法还包括:
基于当前系统时间判断所述授权信息、所述子授权信息和所述授权文件是否过期,如果所述授权信息、所述子授权信息和所述授权文件没有过期,则触发执行所述确定所述拟态功能模块授权通过。
3.如权利要求2所述的方法,其特征在于,在所述基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限之前,所述方法还包括:
判断所述授权信息、所述子授权信息和所述授权文件是否被修改,如果所述授权信息、所述子授权信息和所述授权文件中的任一对象被修改,则停止执行所述基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限。
4.如权利要求3所述的方法,其特征在于,所述方法包括:
当检测到所述授权文件作为当前版本授权文件被升级时,获取升级版本授权文件;
获取所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息;
对比所述当前版本授权文件携带的硬件框架信息和所述升级版本授权文件携带的硬件框架信息,如果所述升级版本授权文件携带的硬件框架信息与所述当前版本授权文件携带的硬件框架信息一致,则将所述升级版本授权文件同步至所述拟态功能模块。
5.如权利要求1所述的方法,其特征在于,在所述获取所述硬件平台的单片机唯一标识和授权信息之前,所述方法还包括:
获取所述硬件平台的单片机唯一标识和所述异构冗余单元的唯一标识;
基于所述硬件平台的单片机唯一标识确定所述硬件平台的授权号,其中,所述硬件平台的单片机唯一标识与所述硬件平台的授权号绑定;
基于所述异构冗余单元的唯一标识确定所述异构冗余单元的授权号,其中,所述异构冗余单元的唯一标识与所述异构冗余单元的授权号绑定;
将所述硬件平台的授权号作为密钥,以对所述异构冗余单元的授权号进行加密并得到所述授权信息。
6.如权利要求1所述的方法,其特征在于,所述基于所述子授权信息和所述虚拟系统的唯一标识确定所述虚拟系统是否被授权,包括:
判断所述子授权信息是否包含所述虚拟系统的唯一标识;
当所述子授权信息包含所述虚拟系统的唯一标识时,确定所述虚拟系统是被授权。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:判断所述虚拟系统是否过期,如果所述虚拟系统过期,则下线所述虚拟系统;
当所述虚拟系统过期时,判断所述拟态功能模块是否过期,如果所述拟态功能模块过期,则下线所述拟态功能模块。
8.一种拟态防御网络设备的授权认证装置,其特征在于,所述装置应用于网络设备的异构冗余单元,所述网络设备还包括硬件平台,所述装置包括:
第一获取模块,用于获取所述硬件平台的单片机唯一标识和授权信息,基于所述硬件平台的单片机唯一标识进行加密计算,得到运算结果;
第一确定模块,用于基于所述运算结果和所述授权信息确定所述硬件平台是否具备异构冗余单元运行权限;
第二获取模块,用于在所述硬件平台具备所述异构冗余单元运行权限时,获取子授权信息和所述异构冗余单元当前运行的虚拟系统的唯一标识,并基于所述子授权信息和所述虚拟系统的唯一标识判断所述虚拟系统是否被授权;
第三获取模块,用于在所述虚拟系统被授权时,获取拟态功能模块的授权文件,并判断所述授权文件是否具有与所述授权信息、所述子授权信息的绑定关系;
第二确定模块,用于在所述授权文件具有与所述授权信息、所述子授权信息的绑定关系时,确定所述拟态功能模块授权通过。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-7任一项所述的拟态防御网络设备的授权认证方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-7任一项所述的拟态防御网络设备的授权认证方法。
CN202311524481.1A 2023-11-15 2023-11-15 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质 Pending CN117411714A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311524481.1A CN117411714A (zh) 2023-11-15 2023-11-15 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311524481.1A CN117411714A (zh) 2023-11-15 2023-11-15 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质

Publications (1)

Publication Number Publication Date
CN117411714A true CN117411714A (zh) 2024-01-16

Family

ID=89497994

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311524481.1A Pending CN117411714A (zh) 2023-11-15 2023-11-15 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN117411714A (zh)

Similar Documents

Publication Publication Date Title
CN108322461B (zh) 应用程序自动登录的方法、系统、装置、设备和介质
EP1407339B1 (en) Firmware validation
US8533492B2 (en) Electronic device, key generation program, recording medium, and key generation method
JP4664398B2 (ja) インクリメンタルなコード署名の方法及び装置
JP4912879B2 (ja) プロセッサの保護された資源へのアクセスに対するセキュリティ保護方法
CN111723383B (zh) 数据存储、验证方法及装置
US20040255119A1 (en) Memory device and passcode generator
JPH10171648A (ja) アプリケーションを認証する装置
CN101473335A (zh) 信息处理终端与状态通知方法
JP6387908B2 (ja) 認証システム
CN104794394A (zh) 一种虚拟机启动校验的方法及装置
CN106850232B (zh) 状态保持的授权管理方法和系统
US10158623B2 (en) Data theft deterrence
JP2020150318A (ja) 情報処理装置、情報処理方法及びプログラム
CN109889334A (zh) 嵌入式固件加密方法、装置、wifi设备及存储介质
CN112861137A (zh) 安全固件
KR102466866B1 (ko) 데이터의 검증 방법
EP1811460B1 (en) Secure software system and method for a printer
CN117411714A (zh) 拟态防御网络设备的授权认证方法、装置、电子设备和存储介质
CN113127141B (zh) 一种容器系统管理方法、装置、终端设备及存储介质
KR101906484B1 (ko) 어플리케이션 보안 방법 및 이를 수행하기 위한 시스템
EP3123384A1 (en) Protecting an item of software
CN114816549B (zh) 一种保护bootloader及其环境变量的方法及系统
CN109951319B (zh) 备份加密机管理员锁的方法和加密机设备
CN116992403A (zh) 一种防止授权数据回退的方法、装置设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination