【技术实现步骤摘要】
本专利技术属于终端安全、设备指纹,涉及一种基于设备指纹的终端安全可信状态监测方法及系统。
技术介绍
1、设备指纹生成技术:与个人身份相似,设备身份在当今正成为一个迫切的问题设备身份识别通常是基于三个方面的:1)设备静态属性信息:设备出厂时自带的身份属性信息。例如生产厂商、规格型号、生产时间等。设备被赋予的唯一的令牌或可用于验证其身份的标识字符信息。例如设备id、序列号等。2)设备动态行为信息:设备启动、运行等过程中进程、系统文件、应用程序的执行和交互方式。例如设备进程调用行为、配置文件更新、各程序之间(主客体交互访问控制)的交互信息。但是,仅凭单方面信息,要想安全地识别设备变得越来越困难了。3)设备静态属性信息和设备静态标识信息,面临着巨大的挑战,例如凭证被盗,数据泄露等问题。基于用户/设备模式的异常检测方法难以适用于电力工控场景。因为,对于工业控制终端,只需要一个命令就可控制其开合。异常发生的同时后果也已产生,通过异常预测模型捕获异常往往为时已晚。因此,电力终端的身份标识不是简单的id,而是需要融合以上二类信息生成可用于唯一标识设备的标识符。
2、电力终端监测技术:近年来,以特定网络对象实时监控为基础,提出基于域值、统计、机器学习、神经网络等的流量异常主动检测方法。使用sniffer软件通过收集电力网络接口上的数据包对流量信息进行统计,主动检测电力网络中的流量异常行为。基于被动监测方式,在电力网络数据采集时通过交换机、路由器等硬件设备提供管理对象数据库,采集不同电力环境、流量的数据,不用部署硬件,也不用对现有电力网
3、可信计算技术:是当前研究热点,其目的是建立起主动防御的信息安全保障体系,也是十分有效的一种保障计算机系统安全的技术。可信计算的核心理念是在计算机系统内部创建一个物理安全的可信根并设为系统信任的起点,以信任起点对系统启动时的关键步骤进行逐层度量,将可信从信任根一级级扩展可信计算正是为了解决计算机和网络结构上的不安全,从根本上提高安全性的技术方法,其通过建立一种特定的完整性度量机制,使计算平台运行时具备分辨可信程序代码与不可信程序代码的能力,从而及时发现不可信的程序代码进而采取有效防治措施。
4、现有技术一将ca证书中的属性内容设置转化为用户标识的属性,建立ca证书与标识的关联关系;在pki体系中,对包括客户和服务器在内的用户分别进行基于标识密钥体系加密的数字证书申请与签发;对生成的用户的数字证书,通过ca进行签署得到对应的ca证书,并将包括标识密钥信息的ca证书信息进行存储,形成标识密钥兼容性的ca证书;在客户侧增加零信任的客户端,在服务器侧增加应用前置代理,利用客户和/或服务器中的标识密钥兼容性的ca证书,进行包括标识密钥和/或数字证书的认证和加密,实现通信双方的身份认证与加密。现有技术一提供了一种标识密钥体系的应用场景的过渡期解决方案。
5、现有技术一用于ibc身份认证体系的标识由ca证书中的属性内容设置转化为用户标识的属性。存在以下缺点:一是需要建立ca证书与标识的关联关系,若ca证书被伪造,此标识的真实性也难以保证。二是此标识没有考虑终端本身的属性和行为特征,以及终端安全可信状态,无法为ca证书的存储和相关认证服务的安全可信的运行环境。三是该技术用到的pki和ibc身份认证方式只关心通信双方是否合法,没有关注通信双方的平台及运行环境的安全。
6、现有技术二通过可信度量主体模块作为可信度量装置的可信根,以完成对可信度量装置的完整性度量,以及增设可信度量接口模块,通过可信度量接口模块提供的多组总线接口和缓存空间,可以实现可信度量装置以一对多方式连接多个服务器,以及借助能够运行与所述可信度量主体模块适配的软件模拟程序的处理器,采用软件方式模拟可信度量主体模块完成对接入该装置的多台服务器的可信身份认证,实现在一对多连接服务器的场景下以较低成本提供可信能力,有效地验证多个服务器的可信度,完成了对多个服务器可信验证的统一管理。
7、现有技术二根据可信度量主体模块提供的可信根,基于信任链传递流程完成对可信度量装置或网络接入设备的完整性度量。存在以下缺点:一是仅实现了对服务器的接入时的静态度量,没有对服务器运行过程中进行动态主动度量,如果服务器在运行过程中产生漏洞,则无法有效识别并抵御恶意代码。
技术实现思路
1、本专利技术的目的在于解决现有技术中没有对服务器运行过程中进行动态主动度量,导致识别有效信息的问题,提供一种基于设备指纹的终端安全可信状态监测方法及系统。
2、为达到上述目的,本专利技术采用以下技术方案予以实现:
3、本专利技术提出的一种基于设备指纹的终端安全可信状态监测方法,包括如下步骤:
4、获取初始设备指纹,采用静态度量和动态度量结合的方式构造可信度量基准值;
5、基于初始设备指纹和可信度量基准值对终端设备进行接入认证,实现终端设备接入认证;
6、接入终端设备后,对终端设备进行动态监测和度量,获取终端设备安全状态,当接入的终端设备安全状态改变或系统升级则进行指纹更新。
7、优选地,所述初始设备指纹通过以下步骤获得:
8、按照设备指纹生成模板,基于获得的终端设备静态属性信息和设备动态行为信息,采用特征选择及哈希算法,通过终端离线指纹生成模块生成初始设备指纹。
9、优选地,所述采用静态度量和动态度量结合的方式构造可信度量基准值的步骤,具体包括:
10、将进行可信验证的对象定义为entity,调用哈希算法sm3对entity计算度量摘要md=sm3(entity),然后使用sm2私钥对md进行签名得到加密后的校验值sig=sm2_sign(md),即为可信度量基准值,最后将entity执行路径、度量摘要与校验值烧录进可信芯片的平台配置寄存器pcr中。
11、优选地,所述基于初始设备指纹和可信度量基准值对终端设备进行接入认证,实现终端设备接入认证的步骤,具体包括:
12、终端设备向边端侧终端发出接入认证请求,基于设备指纹的认证模块,边端侧终端通过指纹管控系统对终端设备进行鉴权,实现终端设备认证;
13、其中,在进行认证时设置用户最大验证次数和锁定时间;鉴权信息包括身份证明信息和运行环境可信凭证。
14、优选地,所述终端设备向边端侧终端发出接入认证请求步骤,具体包括:本文档来自技高网...
【技术保护点】
1.一种基于设备指纹的终端安全可信状态监测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述初始设备指纹通过以下步骤获得:
3.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述采用静态度量和动态度量结合的方式构造可信度量基准值的步骤,具体包括:
4.根据权利要求3所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述基于初始设备指纹和可信度量基准值对终端设备进行接入认证,实现终端设备接入认证的步骤,具体包括:
5.根据权利要求4所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述终端设备向边端侧终端发出接入认证请求步骤,具体包括:
6.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述对终端设备进行动态监测和度量,获取终端设备安全状态,当接入的终端设备安全状态改变或系统升级则进行指纹更新的步骤,具体包括:
7.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征
8.一种基于设备指纹的终端安全可信状态监测系统,其特征在于,包括:
9.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行计算机程序时实现如权利要求1至7中任意一项所述的基于设备指纹的终端安全可信状态监测方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的基于设备指纹的终端安全可信状态监测方法的步骤。
...【技术特征摘要】
1.一种基于设备指纹的终端安全可信状态监测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述初始设备指纹通过以下步骤获得:
3.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述采用静态度量和动态度量结合的方式构造可信度量基准值的步骤,具体包括:
4.根据权利要求3所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述基于初始设备指纹和可信度量基准值对终端设备进行接入认证,实现终端设备接入认证的步骤,具体包括:
5.根据权利要求4所述的基于设备指纹的终端安全可信状态监测方法,其特征在于,所述终端设备向边端侧终端发出接入认证请求步骤,具体包括:
6.根据权利要求1所述的基于设备指纹的终端安全可信状态监测方法,...
【专利技术属性】
技术研发人员:蔺子卿,汪旭,张大华,朱亚运,张晓娟,王海翔,曹靖怡,胡柏吉,姜琳,韩丽芳,应欢,姚爽,李梦琳,
申请(专利权)人:中国电力科学研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。