本发明专利技术公开了基于可信计算的多级安全互联平台及其处理流程,该平台包括以下的系统:L端和H端数据交换前置子系统、三系统安全互联部件子系统、可信增强子系统、多级互联安全管理中心子系统。有益效果在于:本发明专利技术通过可信增强的多级安全互联平台的构建以及互联应用协议解析与控制、互联协议阻断、互联节点身份鉴别、互联系统增强、统一的互联安全管理的实现,满足两个区域的安全互联需求。
【技术实现步骤摘要】
基于可信计算的多级安全互联平台及其处理流程
本专利技术涉及到等级保护以及可信计算领域,尤其涉及基于可信计算的多级安全互联平台及其处理流程。
技术介绍
在信息时代高速发展的同时,信息安全问题也成为备受关注的焦点。如何彻底解决终端和网络的安全问题已迫在盾睫。传统的信息安全解决方案只注重被动防御,忽略了问题产生的根本原因,使得安全问题始终无法得到合理解决。然而,可信计算技术的产生改变了这一现状,它通过在硬件平台中引入安全芯片架构,并利用安全芯片和软件服务相结合的方式来提高终端的安全性。这种采取主动防御的机制将直接作用于终端,让安全问题的解决途径更加合理可行。信任链传递是可信计算平台中最重要的保护机制,它通过对系统进行逐级可信验证,以保证计算平台始终处于可信环境中。但是,信任链传递机制在提高系统安全性的同时,也给用户使用计算机带来了诸多限制,如用户使用的所有程序都必须经过严格的硬件级验证才能运行,这就可能阻止用户使用未授权的程序,也可能影响自由软件市场的发展。
技术实现思路
本专利技术的目的就在于为了解决上述问题而提供基于可信计算的多级安全互联平台及其处理流程。本专利技术通过以下技术方案来实现上述目的:基于可信计算的多级安全互联平台及其处理流程,该平台包括以下的系统:L端和H端数据交换前置子系统、三系统安全互联部件子系统、可信增强子系统、多级互联安全管理中心子系统。进一步的,所述的L端和H端数据交换前置子系统包括包括网络服务接口(1)、应用协议解析子模块(2)、数据标记子模块(3)、应用访问过滤子模块(4)、管理代理Agent子模块(5),实现数据交换与标记功能,应用防护功能。进一步的,所述的三系统安全互联部件子系统包括L端互联系统(6)、互联仲裁系统(7)、H端互联系统(8),实现网络安全隔离功能、互联数据验证功能、互联审计功能。进一步的,所述的可信增强子系统包括终端节点代理模块(9)、以及可信互联模块(10)与操作系统增强模块(11),实现节点身份标识功能、可执行程度白名单功能。进一步的,所述的多级互联安全管理中心子系统包括Bowser模块(12)、MySQL模块(13)、WebAgent模块(14),实现系统管理、安全管理、审计管理功能。进一步的,在L端和H端数据交换前置子系统中:1)所述的网络服务接口(1)来提供通用的数据交换接口,接收跨级互联数据的请求,与三系统安全互联部件子系统连接,传输已安全标记的数据、经过访问验证过的Web应用服务;2)应用协议解析子模块(2)根据不同协议,解析、分析交换协议,还原传输数据;3)数据标记子模块(3)通过XML签名技术,提供数据标记与强制访问控制的功能,同时基于检查结果,评估数据的可信性,以此为依据,生成其标记,为多级互联部件的访问控制提供支撑;4)应用访问过滤子模块(4)提供对Web应用服务器端的访问验证机制,通过应用级攻击特征库,比对访问数据的安全验证规则,过滤L端访问数据包,从而避免H端应用服务端遭受应用级访问攻击;5)管理代理Agent子模块(5)与多级互联安全管理中心子系统通信,获取数据交换协议规则、数据过滤规则、可信标记规则配置信息,并向多级互联安全管理中心子系统提供审计管理所需的数据过滤记录。进一步的,在三系统安全互联部件子系统中:1)L端互联系统(6)和H端互联系统(8),分别是管理区和生产区网络协议的终点,对所有过往的数据进行协议转换,通过剥离网络协议相关的信息还原为应用层原始信息,再将这些信息通过专用硬件和专用通信协议发送给中间互联仲裁系统(7),从而可有效阻断基于TCP/IP协议的攻击行为;2)互联仲裁系统(7),为需要跨级访问的系统提供基于可信验证标记的强制访问控制机制,对进出边界的数据信息进行验证,阻止非授权数据交换。进一步的,在可信增强子系统中:1)终端节点代理模块(9)用于向多级互联安全管理中心子系统的WebAgent模块(14)提交注册、登录和审计信息,并接收WebAgent模块(14)所下发的策略,进行相应的策略更新;2)可信互联模块用于节点间可信互联验证并相互保持可信状态,每次有对方的数据包到达时,更新“最近到达时间”,如果“最近到达时间”与当前时间差超过一定时限,必须重新进行认证;3)操作系统增强模块(11)利用信任链传递技术,对操作系统内核装载的重要应用程序和服务进行完整性验证;阻止不在预期值文件中的二进制代码或脚本运行。进一步的,在多级互联安全管理中心子系统中:1)Bowser模块(12)用于向管理员用户提供UI交互界面;2)MySQL模块(13)用于提供管理中心后台数据支持;3)WebAgent模块用于与节点、L端和H端数据交换前置子系统、三系统安全互联部件子系统的管理数据交互。本专利技术的有益效果在于:本专利技术通过可信增强的多级安全互联平台的构建以及互联应用协议解析与控制、互联协议阻断、互联节点身份鉴别、互联系统增强、统一的互联安全管理的实现,满足两个区域的安全互联需求。附图说明图1为本专利技术所述的基于可信计算的多级安全互联平台及其处理流程的方案示意图。具体实施方式下边来详细说明本专利技术基于区块链的可信计算落地方案有以下三点注意点:1)从区块链技术出发来讲,其实就是确权,让资产所有权、使用权以及利益分配权互相分离;2)关键在于激励机制,通过身份管理和非对称加密,管理各参与方,确保贡献数据的价值越大,回报越大,并不是单纯的发币;3)依赖区块链本身的4个特性来解决。基于区块链的可信计算落地方案如下:在联盟链里,大家会将数据都贡献出来联合建模,来达到技术和产品层面的可用不可见,或者是用完销毁,过程是可审计的、不可篡改的,最后实现融合计算。主要通过非对称加密确定参与者身份;规定数据指定授权才能被使用;使所有权可绑定收益分配权,但使用权可租出来;在封闭环境中使用数据,阅后即焚;保证明文数据不留存,数据操作记录可审计;通过合约访问数据实现可用;将密钥管理体系完全放到客户结点一侧,这意味着,客户可以在自己的电脑上对即将入列的数据做加密;使用者将数据从链上取下来时,确权之后,会以点对点的方式再做一次身份验证,当然这会有一定的时间消耗。确认完成后,数据用完寄回、阅后即焚;数据的使用记录、使用方式、输出位置都是可监控、可审计的;最终目标是让所有参与者都无法看到加密的数据或计算过程,但整个计算过程又是安全、可信、可审计的,即便作为平台开发者和运营者,我们也无法看到相关数据或计算过程。以上所述仅为本专利技术的较佳实施例而已,并不用以限制本专利技术,凡在本专利技术的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本专利技术的保护范围之内。本文档来自技高网...
【技术保护点】
1.基于可信计算的多级安全互联平台及其处理流程,其特征在于:该平台包括以下的系统:L端和H端数据交换前置子系统、三系统安全互联部件子系统、可信增强子系统、多级互联安全管理中心子系统。/n
【技术特征摘要】
1.基于可信计算的多级安全互联平台及其处理流程,其特征在于:该平台包括以下的系统:L端和H端数据交换前置子系统、三系统安全互联部件子系统、可信增强子系统、多级互联安全管理中心子系统。
2.根据权利要求1所述的基于可信计算的多级安全互联平台及其处理流程,其特征在于:所述的L端和H端数据交换前置子系统包括包括网络服务接口(1)、应用协议解析子模块(2)、数据标记子模块(3)、应用访问过滤子模块(4)、管理代理Agent子模块(5),实现数据交换与标记功能,应用防护功能。
3.根据权利要求1所述的基于可信计算的多级安全互联平台及其处理流程,其特征在于:所述的三系统安全互联部件子系统包括L端互联系统(6)、互联仲裁系统(7)、H端互联系统(8),实现网络安全隔离功能、互联数据验证功能、互联审计功能。
4.根据权利要求1所述的基于可信计算的多级安全互联平台及其处理流程,其特征在于:所述的可信增强子系统包括终端节点代理模块(9)、以及可信互联模块(10)与操作系统增强模块(11),实现节点身份标识功能、可执行程度白名单功能。
5.根据权利要求1所述的基于可信计算的多级安全互联平台及其处理流程,其特征在于:所述的多级互联安全管理中心子系统包括Bowser模块(12)、MySQL模块(13)、WebAgent模块(14),实现系统管理、安全管理、审计管理功能。
6.根据权利要求2所述的基于可信计算的多级安全互联平台及其处理流程,其特征在于:在L端和H端数据交换前置子系统中:1)所述的网络服务接口(1)来提供通用的数据交换接口,接收跨级互联数据的请求,与三系统安全互联部件子系统连接,传输已安全标记的数据、经过访问验证过的Web应用服务;2)应用协议解析子模块(2)根据不同协议,解析、分析交换协议,还原传输数据;3)数据标记子模块(3)通过XML签名技术,提供数据标记与强制访问控制的功能,同时基于检查结果,评估数据的可信性,以此为依据,生成其标记,为多级互联部件的访问控制提供支撑;4)应用访问过滤子模块(4)提供对Web应用...
【专利技术属性】
技术研发人员:陈维威,陈旭明,尹金坤,
申请(专利权)人:浙江智联阀门科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。