CN117610003A - 一种基于国产桌面终端的可信度量及认证方法 - Google Patents

一种基于国产桌面终端的可信度量及认证方法 Download PDF

Info

Publication number
CN117610003A
CN117610003A CN202311167813.5A CN202311167813A CN117610003A CN 117610003 A CN117610003 A CN 117610003A CN 202311167813 A CN202311167813 A CN 202311167813A CN 117610003 A CN117610003 A CN 117610003A
Authority
CN
China
Prior art keywords
terminal
trust
user
domain
evaluation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311167813.5A
Other languages
English (en)
Inventor
蔡国源
黄宏聪
王芳
蔡学龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Power Grid Group Information Communication Technology Co ltd
Original Assignee
China Southern Power Grid Digital Power Grid Group Information Communication Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Digital Power Grid Group Information Communication Technology Co ltd filed Critical China Southern Power Grid Digital Power Grid Group Information Communication Technology Co ltd
Priority to CN202311167813.5A priority Critical patent/CN117610003A/zh
Publication of CN117610003A publication Critical patent/CN117610003A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及桌面终端可信度量技术领域,且公开了一种基于国产桌面终端的可信度量方法,包括以下步骤:S1、域控终端信任现状研究,(1)域控终端和信任评估现状分析,(2)域控终端存在的安全隐患,(3)域控终端信任评估体系建设,S2、终端信任评估技术分析,(1)域管系统终端信任风险分析,(2)业界趋势分析,(3)零信任技术分析,S3、终端信任评估技术研究,信任评估融合架构研究,通过对控制终端进行安全分析与预防,这样能够避免控制终端出现大量漏洞,从而避免信息被盗取与黑客进行网络攻击从而造成系统崩溃与瘫痪,这样能够提升控制系统安全性能,并且避免了设备出现损坏从而造成较大损失。

Description

一种基于国产桌面终端的可信度量及认证方法
技术领域
本发明涉及桌面终端可信度量技术领域,具体为一种基于国产桌面终端的可信度量及认证方法。
背景技术
传统控制终端在硬件基础上仍然存在较大漏洞,因此容易导致黑客对控制终端造成入侵,这样从而容易导致系统崩溃与瘫痪,本身系统自身存在安全隐患容易将信息泄露出去,从而导致域管平台失去管控能力,还有一方面来自工作人员的安全隐患,人员数量较多时部分人员对终端使用缺少安全防范意识,可能在无意间将重要信息泄露出去,还有一部分人员技术提升不够无法对控制终端进行经常维护,从而导致系统防护功能下降,当设备出现损坏时容易造成较大损失。
发明内容
(一)技术方案
为实现上述基于国产桌面终端的可信度量及认证方法,本发明提供如下技术方案:一种基于国产桌面终端的可信度量方法,包括以下步骤:
S1、域控终端信任现状研究;
(1)域控终端和信任评估现状分析;
(2)域控终端存在的安全隐患;
(3)域控终端信任评估体系建设;
S2、终端信任评估技术分析;
(1)域管系统终端信任风险分析;
(2)业界趋势分析;
(3)零信任技术分析;
S3、终端信任评估技术研究;
(1)信任评估融合架构研究;
(2)自主可控桌面终端研究;
(3)信任评估技术研究;
(4)融合模式研究;
S4、总结归纳。
优选的,所述步骤S1中(1)所描述是由自主可控域控系统对已入域的自主可控桌面终端都是信任的,缺乏足够的安全访问控制,目前只能在发现问题之后,手动禁用自主可控桌面终端,随着自主可控桌面终端数量的增多,难以统一深度管控,对终端的信任,难以做到及时,动态的变化;难以根据实际情况,对自主可控桌面终端进行信任评估,无法及时了解终端的信任情况,从而无法对终端实施有效、及时的访问控制,一旦出现内部威胁,无法及时阻断自主可控桌面终端对内部业务系统的访问,根据(2)不少终端安全意识比较淡薄,导致内部人员对信息安全保密做的不够周全,从而导致黑客有乘机而入的机会,从而导致不少内部人员对软件产品以为一次性防护便可“高枕无忧”从而在科技飞速发展状态下,不久将会淘汰,并且在如今计算机硬件本身存在安全隐患从而存在大量漏洞,容易受到黑客攻击从而导致系统出现崩溃现象甚至瘫痪,外加工作人员工作任务繁重,如基层人员技术不能有效的提高,便不能够对终端进行安全检测,发现安全隐患进行简单防护与维修,一旦设备出现故障将会造成较大损失,根据(3)终端数据是域控终端信任评估体系的数据来源,信任评估需要结合终端访问主体、客体、信任评分、外部风险、时间属性、空间属性、行为属性等因素,终端数据的采集非常重要,采集的数据需要具有实时性、有效性、可用性、覆盖范围广等特征,将需要对数据进行采集,因为信任评估需要实时持续进行评估,从而采集到的数据不具有实时性,会导致有滞后性,从而出现误判漏判情况,这样可能会被非法利用,从而导致合法用户无法正常使用的情况,再通过对采集后的数据进行筛选量化处理。
优选的,所述步骤S2中(1)所述对终端进行风险分析,需要提高防护意识,需要选择正确的计算机操作系统从而对计算机进行操作,这样能够降低对计算机操作不当概率发生,并且需要加强对访问权限的管理,这样能够对安全进行总结从而能够提高账户安全性能,使用终端时需要及时删除浏览记录,以避免不法分子盗取内信息数据,使用时需要对数据进行加密处理,并且关闭多个端口与共享服务,根据(2)所述终端设备是一种架构与嵌入式系统架构相匹配的嵌入式计算机系统设备,相比传统终端更多是数据采集和传输,终端对于特征数据的抓取和数据预处理能力大大提高,随着智能芯片和算法的升级,其自身具备更多提取特征值和压缩的功能,为数据查找和传输降低门槛,终端产品日趋多元化,截至2021年4月,全球已经发布了超过22个大类756款的5G多形态的终端,同时终端的技术产业生态也会从单一的设备独立发展向跨系统、跨平台的多终端共享模式去演进,根据(3)所述零信任是围绕PDP/PEP对资源保护提供的一套原则和概念,尽可能将PDP/PEP设置到距离企业资源更近的位置,目的是更明确地对构成企业的所有用户、设备、应用程序和工作流程进行身份验证和授权控制。
优选的,所述步骤S3中(1)所述研究域信任指标对终端访问主体、客体、行为、时间等因素从而形成对模型策略评估和方法,根据(2)所述自主可控桌面终端加入自主可控操作系统域控平台之后,自主可控桌面终端的用户包括本地用户和域用户,一般情况下不使用本地用户登录终端,只使用域用户登录终端,终端的域用户来源于域控平台,由域控平台统一管理所有终端的域用户,以及域用户可登录终端的分配,域控平台支持对终端用户管理维护,包括用户增删改查、导入导出、用户登录认证和用户可登录终端分配:
用户增删改查:主要对域用户进行新增、修改、删除和查询;
导入导出:对用户进行批量导入和导出;
用户登录认证:对域用户登录终端时进行验证;
用户可登录终端分配:对域用户可以登录的终端进行分配,域用户无法登录未分配的终端,根据(3)所示复杂的现代企业网络基础设施已经不存在单一化,从容导致传统的网络安全架构盒解决方案难以适应现代企业网络基础设施,加权平均法的最终信任值计算公式如下;
y=∑(xi×wi)÷∑(wi)
其中xi标识第i个因素的指标值,wi表示第i个因素的权重;
根据(4)所述持续信任评估模块作为核心组件之一,持续为其提供设备信任评估功能,作为访问控制策略判定依据。
优选的,所述步骤S4通过分析发现,随着自主可控操作系统在电网行业中应用逐渐普及,建立自主可控桌面终端融合信任评估体系趋势势在必行,通过采集自主可控桌面终端评估数据,形成评估指标,在评估时需要考虑终端访问主体、客体、行为、时间等属性因素的影响,采用本地度量、远程度量和组合度量相结合的信任量化评估方法,对目标对象的信任度进行精确的量化评估,从而更好地度量自主可控桌面终端的信任度,为后续终端的动态访问控制提供决策。
一种基于国产桌面终端的认证方法,包括以下步骤:
S1、web通用认证方法;
(2)将网卡设置为自动获取IP;
(2)OAuth2认证和授权的过程。
优选的,所述步骤S1根据(1)将用户使用的计算机IP地址改为自动获取,通过输入正确的代号与密钥,根据(2)用户操作方提供资源,再通过用户登录客户端,向服务提供方请求一个临时token,然后等待服务提供方验证客户端身份后给用户一个零食token,客户端获得临时token之后,将用户引导至服务提供方的授权页面,并请求用户授权,(在这个过程中会将临时token和客户端的回调链接/接发送给服务提供方---很明显服务提供方到时会回来call这个接口在用户认证并授权之后),再通过用户输入用户名密码登录,登录成功之后,可以授权客户端访问服务提供方的资源。
(二)有益效果
与现有技术相比,本发明提供了一种基于国产桌面终端的可信度量及认证方法,具备以下有益效果:
1、该基于国产桌面终端的可信度量及认证方法,通过对控制终端进行安全分析与预防,这样能够避免控制终端出现大量漏洞,从而避免信息被盗取与黑客进行网络攻击从而造成系统崩溃与瘫痪,这样能够提升控制系统安全性能,并且避免了设备出现损坏从而造成较大损失。
2、该基于国产桌面终端的可信度量及认证方法,通过对人员进行安全教育盒技术培训,从而提高对设备终端防护意识,这样避免因为人员操作失误从而导致设备内部重要信息泄露,并且能够在日常对控制终端进行维护,这样能提升设备使用寿命以及安全性能。
附图说明
图1为本发明信任策略构造示意图;
图2为本发明信任流程示意图;
图3为本发明用户增删改查流程示意图;
图4为本发明用户增删改查流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-4,本发明提供一种技术方案:
一种基于国产桌面终端的可信度量方法,包括以下步骤:
S1、域控终端信任现状研究;
(1)域控终端和信任评估现状分析;
(2)域控终端存在的安全隐患;
(3)域控终端信任评估体系建设;
S2、终端信任评估技术分析;
(1)域管系统终端信任风险分析;
(2)业界趋势分析;
(3)零信任技术分析;
S3、终端信任评估技术研究;
(1)信任评估融合架构研究;
(2)自主可控桌面终端研究;
(3)信任评估技术研究;
(4)融合模式研究;
S4、总结归纳。
进一步的,所述步骤S1中(1)所描述是由自主可控域控系统对已入域的自主可控桌面终端都是信任的,缺乏足够的安全访问控制,目前只能在发现问题之后,手动禁用自主可控桌面终端,随着自主可控桌面终端数量的增多,难以统一深度管控,对终端的信任,难以做到及时,动态的变化;难以根据实际情况,对自主可控桌面终端进行信任评估,无法及时了解终端的信任情况,从而无法对终端实施有效、及时的访问控制,一旦出现内部威胁,无法及时阻断自主可控桌面终端对内部业务系统的访问,根据(2)不少终端安全意识比较淡薄,导致内部人员对信息安全保密做的不够周全,从而导致黑客有乘机而入的机会,从而导致不少内部人员对软件产品以为一次性防护便可“高枕无忧”从而在科技飞速发展状态下,不久将会淘汰,并且在如今计算机硬件本身存在安全隐患从而存在大量漏洞,容易受到黑客攻击从而导致系统出现崩溃现象甚至瘫痪,外加工作人员工作任务繁重,如基层人员技术不能有效的提高,便不能够对终端进行安全检测,发现安全隐患进行简单防护与维修,一旦设备出现故障将会造成较大损失,根据(3)终端数据是域控终端信任评估体系的数据来源,信任评估需要结合终端访问主体、客体、信任评分、外部风险、时间属性、空间属性、行为属性等因素,终端数据的采集非常重要,采集的数据需要具有实时性、有效性、可用性、覆盖范围广等特征,将需要对数据进行采集,因为信任评估需要实时持续进行评估,从而采集到的数据不具有实时性,会导致有滞后性,从而出现误判漏判情况,这样可能会被非法利用,从而导致合法用户无法正常使用的情况,再通过对采集后的数据进行筛选量化处理。
进一步的,所述步骤S2中(1)所述对终端进行风险分析,需要提高防护意识,需要选择正确的计算机操作系统从而对计算机进行操作,这样能够降低对计算机操作不当概率发生,并且需要加强对访问权限的管理,这样能够对安全进行总结从而能够提高账户安全性能,使用终端时需要及时删除浏览记录,以避免不法分子盗取内信息数据,使用时需要对数据进行加密处理,并且关闭多个端口与共享服务,根据(2)所述终端设备是一种架构与嵌入式系统架构相匹配的嵌入式计算机系统设备,相比传统终端更多是数据采集和传输,终端对于特征数据的抓取和数据预处理能力大大提高,随着智能芯片和算法的升级,其自身具备更多提取特征值和压缩的功能,为数据查找和传输降低门槛,终端产品日趋多元化,截至2021年4月,全球已经发布了超过22个大类756款的5G多形态的终端,同时终端的技术产业生态也会从单一的设备独立发展向跨系统、跨平台的多终端共享模式去演进,根据(3)所述零信任是围绕PDP/PEP对资源保护提供的一套原则和概念,尽可能将PDP/PEP设置到距离企业资源更近的位置,目的是更明确地对构成企业的所有用户、设备、应用程序和工作流程进行身份验证和授权控制。
进一步的,所述步骤S3中(1)所述研究域信任指标对终端访问主体、客体、行为、时间等因素从而形成对模型策略评估和方法,根据(2)所述自主可控桌面终端加入自主可控操作系统域控平台之后,自主可控桌面终端的用户包括本地用户和域用户,一般情况下不使用本地用户登录终端,只使用域用户登录终端,终端的域用户来源于域控平台,由域控平台统一管理所有终端的域用户,以及域用户可登录终端的分配,域控平台支持对终端用户管理维护,包括用户增删改查、导入导出、用户登录认证和用户可登录终端分配:
用户增删改查:主要对域用户进行新增、修改、删除和查询;
导入导出:对用户进行批量导入和导出;
用户登录认证:对域用户登录终端时进行验证;
用户可登录终端分配:对域用户可以登录的终端进行分配,域用户无法登录未分配的终端,根据(3)所示复杂的现代企业网络基础设施已经不存在单一化,从容导致传统的网络安全架构盒解决方案难以适应现代企业网络基础设施,加权平均法的最终信任值计算公式如下;
y=∑(xi×wi)÷∑(wi)
其中xi标识第i个因素的指标值,wi表示第i个因素的权重;
根据(4)所述持续信任评估模块作为核心组件之一,持续为其提供设备信任评估功能,作为访问控制策略判定依据。
进一步的,所述步骤S4通过分析发现,随着自主可控操作系统在电网行业中应用逐渐普及,建立自主可控桌面终端融合信任评估体系趋势势在必行,通过采集自主可控桌面终端评估数据,形成评估指标,在评估时需要考虑终端访问主体、客体、行为、时间等属性因素的影响,采用本地度量、远程度量和组合度量相结合的信任量化评估方法,对目标对象的信任度进行精确的量化评估,从而更好地度量自主可控桌面终端的信任度,为后续终端的动态访问控制提供决策。
一种基于国产桌面终端的认证方法,包括以下步骤:
S1、web通用认证方法;
(1)将网卡设置为自动获取IP;
(2)OAuth2认证和授权的过程。
进一步的,所述步骤S1根据(1)将用户使用的计算机IP地址改为自动获取,通过输入正确的代号与密钥,根据(2)用户操作方提供资源,再通过用户登录客户端,向服务提供方请求一个临时token,然后等待服务提供方验证客户端身份后给用户一个零食token,客户端获得临时token之后,将用户引导至服务提供方的授权页面,并请求用户授权,(在这个过程中会将临时token和客户端的回调链接/接发送给服务提供方---很明显服务提供方到时会回来call这个接口在用户认证并授权之后),再通过用户输入用户名密码登录,登录成功之后,可以授权客户端访问服务提供方的资源。
该基于国产桌面终端的可信度量及认证方法,通过对控制终端进行安全分析与预防,这样能够避免控制终端出现大量漏洞,从而避免信息被盗取与黑客进行网络攻击从而造成系统崩溃与瘫痪,这样能够提升控制系统安全性能,并且避免了设备出现损坏从而造成较大损失,通过对人员进行安全教育盒技术培训,从而提高对设备终端防护意识,这样避免因为人员操作失误从而导致设备内部重要信息泄露,并且能够在日常对控制终端进行维护,这样能提升设备使用寿命以及安全性能。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (7)

1.一种基于国产桌面终端的可信度量方法,其特征在于,包括以下步骤:
S1、域控终端信任现状研究;
(1)域控终端和信任评估现状分析;
(2)域控终端存在的安全隐患;
(3)域控终端信任评估体系建设;
S2、终端信任评估技术分析;
(1)域管系统终端信任风险分析;
(2)业界趋势分析;
(3)零信任技术分析;
S3、终端信任评估技术研究;
(1)信任评估融合架构研究;
(2)自主可控桌面终端研究;
(3)信任评估技术研究;
(4)融合模式研究;
S4、总结归纳。
2.根据权利要求1所述的一种基于国产桌面终端的可信度量方法,其特征在于,所述步骤S1中(1)所描述是由自主可控域控系统对已入域的自主可控桌面终端都是信任的,缺乏足够的安全访问控制,目前只能在发现问题之后,手动禁用自主可控桌面终端,随着自主可控桌面终端数量的增多,难以统一深度管控,对终端的信任,难以做到及时,动态的变化;难以根据实际情况,对自主可控桌面终端进行信任评估,无法及时了解终端的信任情况,从而无法对终端实施有效、及时的访问控制,一旦出现内部威胁,无法及时阻断自主可控桌面终端对内部业务系统的访问,根据(2)不少终端安全意识比较淡薄,导致内部人员对信息安全保密做的不够周全,从而导致黑客有乘机而入的机会,从而导致不少内部人员对软件产品以为一次性防护便可“高枕无忧”从而在科技飞速发展状态下,不久将会淘汰,并且在如今计算机硬件本身存在安全隐患从而存在大量漏洞,容易受到黑客攻击从而导致系统出现崩溃现象甚至瘫痪,外加工作人员工作任务繁重,如基层人员技术不能有效的提高,便不能够对终端进行安全检测,发现安全隐患进行简单防护与维修,一旦设备出现故障将会造成较大损失,根据(3)终端数据是域控终端信任评估体系的数据来源,信任评估需要结合终端访问主体、客体、信任评分、外部风险、时间属性、空间属性、行为属性等因素,终端数据的采集非常重要,采集的数据需要具有实时性、有效性、可用性、覆盖范围广等特征,将需要对数据进行采集,因为信任评估需要实时持续进行评估,从而采集到的数据不具有实时性,会导致有滞后性,从而出现误判漏判情况,这样可能会被非法利用,从而导致合法用户无法正常使用的情况,再通过对采集后的数据进行筛选量化处理。
3.根据权利要求1所述的一种基于国产桌面终端的可信度量方法,其特征在于,所述步骤S2中(1)所述对终端进行风险分析,需要提高防护意识,需要选择正确的计算机操作系统从而对计算机进行操作,这样能够降低对计算机操作不当概率发生,并且需要加强对访问权限的管理,这样能够对安全进行总结从而能够提高账户安全性能,使用终端时需要及时删除浏览记录,以避免不法分子盗取内信息数据,使用时需要对数据进行加密处理,并且关闭多个端口与共享服务,根据(2)所述终端设备是一种架构与嵌入式系统架构相匹配的嵌入式计算机系统设备,相比传统终端更多是数据采集和传输,终端对于特征数据的抓取和数据预处理能力大大提高,随着智能芯片和算法的升级,其自身具备更多提取特征值和压缩的功能,为数据查找和传输降低门槛,终端产品日趋多元化,截至2021年4月,全球已经发布了超过22个大类756款的5G多形态的终端,同时终端的技术产业生态也会从单一的设备独立发展向跨系统、跨平台的多终端共享模式去演进,根据(3)所述零信任是围绕PDP/PEP对资源保护提供的一套原则和概念,尽可能将PDP/PEP设置到距离企业资源更近的位置,目的是更明确地对构成企业的所有用户、设备、应用程序和工作流程进行身份验证和授权控制。
4.根据权利要求1所述的一种基于国产桌面终端的可信度量方法,其特征在于,所述步骤S3中(1)所述研究域信任指标对终端访问主体、客体、行为、时间等因素从而形成对模型策略评估和方法,根据(2)所述自主可控桌面终端加入自主可控操作系统域控平台之后,自主可控桌面终端的用户包括本地用户和域用户,一般情况下不使用本地用户登录终端,只使用域用户登录终端,终端的域用户来源于域控平台,由域控平台统一管理所有终端的域用户,以及域用户可登录终端的分配,域控平台支持对终端用户管理维护,包括用户增删改查、导入导出、用户登录认证和用户可登录终端分配:
用户增删改查:主要对域用户进行新增、修改、删除和查询;
导入导出:对用户进行批量导入和导出;
用户登录认证:对域用户登录终端时进行验证;
用户可登录终端分配:对域用户可以登录的终端进行分配,域用户无法登录未分配的终端,根据(3)所示复杂的现代企业网络基础设施已经不存在单一化,从容导致传统的网络安全架构盒解决方案难以适应现代企业网络基础设施,加权平均法的最终信任值计算公式如下;
y=∑(xi×wi)÷∑(wi)
其中xi标识第i个因素的指标值,wi表示第i个因素的权重;
根据(4)所述持续信任评估模块作为核心组件之一,持续为其提供设备信任评估功能,作为访问控制策略判定依据。
5.根据权利要求1所述的一种基于国产桌面终端的可信度量方法,其特征在于,所述步骤S4通过分析发现,随着自主可控操作系统在电网行业中应用逐渐普及,建立自主可控桌面终端融合信任评估体系趋势势在必行,通过采集自主可控桌面终端评估数据,形成评估指标,在评估时需要考虑终端访问主体、客体、行为、时间等属性因素的影响,采用本地度量、远程度量和组合度量相结合的信任量化评估方法,对目标对象的信任度进行精确的量化评估,从而更好地度量自主可控桌面终端的信任度,为后续终端的动态访问控制提供决策。
6.一种基于国产桌面终端的认证方法,其特征在于,包括以下步骤:
S1、web通用认证方法;
(1)将网卡设置为自动获取IP;
(2)OAuth2认证和授权的过程。
7.根据权利要求3所述的一种认证方法,其特征在于,所述步骤S1根据(1)将用户使用的计算机IP地址改为自动获取,通过输入正确的代号与密钥,根据(2)用户操作方提供资源,再通过用户登录客户端,向服务提供方请求一个临时token,然后等待服务提供方验证客户端身份后给用户一个零食token,客户端获得临时token之后,将用户引导至服务提供方的授权页面,并请求用户授权,(在这个过程中会将临时token和客户端的回调链接/接发送给服务提供方---很明显服务提供方到时会回来call这个接口在用户认证并授权之后),再通过用户输入用户名密码登录,登录成功之后,可以授权客户端访问服务提供方的资源。
CN202311167813.5A 2023-09-12 2023-09-12 一种基于国产桌面终端的可信度量及认证方法 Pending CN117610003A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311167813.5A CN117610003A (zh) 2023-09-12 2023-09-12 一种基于国产桌面终端的可信度量及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311167813.5A CN117610003A (zh) 2023-09-12 2023-09-12 一种基于国产桌面终端的可信度量及认证方法

Publications (1)

Publication Number Publication Date
CN117610003A true CN117610003A (zh) 2024-02-27

Family

ID=89956714

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311167813.5A Pending CN117610003A (zh) 2023-09-12 2023-09-12 一种基于国产桌面终端的可信度量及认证方法

Country Status (1)

Country Link
CN (1) CN117610003A (zh)

Similar Documents

Publication Publication Date Title
WO2023216641A1 (zh) 一种电力终端安全防护方法及系统
CN107819771B (zh) 一种基于资产依赖关系的信息安全风险评估方法及系统
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
CN116545731A (zh) 一种基于时间窗动态切换的零信任网络访问控制方法及系统
CN111917714B (zh) 一种零信任架构系统及其使用方法
CN109446817A (zh) 一种大数据检测与审计系统
CN104166812A (zh) 一种基于独立授权的数据库安全访问控制方法
CN112926048B (zh) 一种异常信息检测方法和装置
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
KR100745044B1 (ko) 피싱 사이트 접속 방지 장치 및 방법
CN109583056A (zh) 一种基于仿真平台的网络攻防工具效能评估方法及系统
CN114003943A (zh) 一种用于机房托管管理的安全双控管理平台
CN112699357A (zh) 一种大数据安全系统访问操作平台以及数据调阅方法
CN114338105B (zh) 一种基于零信任信创堡垒机系统
CN117150459A (zh) 零信任用户身份安全检测方法和系统
CN116089970A (zh) 基于身份管理的配电运维用户动态访问控制系统与方法
CN118101250A (zh) 一种网络安全检测方法及系统
CN104104745B (zh) 一种电网终端安全准入方法
CN113987508A (zh) 一种漏洞处理方法、装置、设备及介质
CN111131273A (zh) 一种网络工程用互联网接入控制系统
CN110958236A (zh) 基于风险因子洞察的运维审计系统动态授权方法
CN113949578B (zh) 基于流量的越权漏洞自动检测方法、装置及计算机设备
CN117610003A (zh) 一种基于国产桌面终端的可信度量及认证方法
CN115982711A (zh) 一种数据安全风险量化评估方法
Gaur et al. Prevention of Security Attacks in Cloud Computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination