【技术实现步骤摘要】
基于安全芯片硬件算法模块的可信网络通信方法及装置
本专利技术涉及数字信息传输术领域,尤其涉及到一种基于安全芯片硬件算法模块的可信网络通信方法及装置。
技术介绍
可信计算是指计算机运算的同时进行安全防护,使操作和过程行为在任意条件下的结果总是与预期一样,计算全程可测可控,不被干扰,是一种运算和防护并存,自我免疫的新计算模式。当前,解决网络通信可信性问题的技术,国内外较为通用的为可信计算组织(TrustedComputingGroup,TCG)提出的可信计算机制与网络接入控制技术相结合可信网络连接(TrustedNetworkConnection,TNC),该技术由2004年5月TCG组织成立的可信网络连接分组(TNCSubGroup,TNCSG)提出,旨在将终端的可信状态延续到网络中,使信任链从终端扩展到网络,在传统的基于身份认证网络接入控制技术基础上,增加基于平台硬件模块的平台身份认证与完整性验证,有独创性的优势,符合解决通信可信性的需求。但其面向主机提供通用平台环境下三元对等的鉴别、针对终端进行单向可信认证等机制导致其面向工业控制等特定行业、产业环境的应用有一定的局限性。现有技术中,公开号为CN104573516B的中国专利文献公开了一种基于安全芯片的工控系统可信环境管控方法,由工控终端和管理服务器实现,工控终端采用度量技术对在终端待运行的程序进行度量标识,管理方在管理服务器对度量信息进行审核并制定白名单,终端依据白名单进行管控,为工控终端提供唯一身份标识,提高工业控制系统的安全防御能力。但是,上述专利文献中的技术方案,仅对在终端待运行的程序进行了度量标 ...
【技术保护点】
1.一种基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,包括如下步骤:当前系统启动时,构建所述当前系统自上电开始的信任链;当所述当前系统的应用程序向所述当前系统的对端系统发起业务连接时,基于白名单机制对所述应用程序进行第一完整性度量,并根据所述第一完整性度量结果判断是否允许建立所述业务连接;在所述业务连接保持过程中,根据预定指令的触发对所述应用程序进行第二完整性度量,并根据所述第二完整性度量结果判断所述业务连接是否继续保持。
【技术特征摘要】
1.一种基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,包括如下步骤:当前系统启动时,构建所述当前系统自上电开始的信任链;当所述当前系统的应用程序向所述当前系统的对端系统发起业务连接时,基于白名单机制对所述应用程序进行第一完整性度量,并根据所述第一完整性度量结果判断是否允许建立所述业务连接;在所述业务连接保持过程中,根据预定指令的触发对所述应用程序进行第二完整性度量,并根据所述第二完整性度量结果判断所述业务连接是否继续保持。2.根据权利要求1所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,所述当所述当前系统的应用程序向所述当前系统的对端系统发起业务连接时,基于白名单机制对所述应用程序进行第一完整性度量,并根据所述第一完整性度量结果判断是否允许建立所述业务连接,包括如下步骤:控制所述应用程序向所述对端系统发起业务连接请求;控制所述安全芯片硬件算法模块计算所述当前系统的计算环境以及所述应用程序的第一度量值;将所述第一度量值与度量基准库中的第一预期度量值进行比较;当所述第一度量值不等于所述第一预期度量值时,拒绝所述业务连接请求;当所述第一度量值等于所述第一预期度量值时,向所述对端系统发送状态可信信息;控制所述对端系统对所述状态可信信息进行校验,当所述校验通过时,允许建立所述业务连接。3.根据权利要求2所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,当所述当前系统为终端系统时,所述对端系统为主站系统;当所述当前系统为主站系统时,所述对端系统为终端系统。4.根据权利要求1所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,所述在所述业务连接保持过程中,根据预定指令的触发对所述应用程序进行第二完整性度量,并根据所述第二完整性度量结果判断所述业务连接是否继续保持,包括如下步骤:当所述当前系统接收到所述预定指令时,控制所述安全芯片硬件算法模块计算所述应用程序的第二度量值;将所述第二度量值与度量基准库中的第二预期度量值进行比较;当所述第二度量值不等于所述第二预期度量值时,终止所述业务连接;当所述第二度量值等于所述第二预期度量值时,继续保持所述业务连接。5.根据权利要求4所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,所述第二度量值的度量对象包括:所述应用程序的内核代码段、制度数据段和关键跳转表。6.根据权利要求2-5任一项所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,所述当所述当前系统的应用程序向所述当前系统的对端系统发起业务连接时,基于白名单机制对所述应用程序进行第一完整性度量,并根据所述第一完整性度量结果判断是否允许建立所述业务连接之前,还包括:所述当前系统的应用程序向所述对端系统发起业务连接时,通过数字证书对所述当前系统和所述对端系统进行第一身份认证。7.根据权利要求6所述的基于安全芯片硬件算法模块的可信网络通信方法,其特征在于,所述当所述当前系统的应用程序向所述当前系统的对端系统发起业务连接时,基于白名单机制对所述应用程序进行第一完整性度量,并根据所述第一完整性度量结果...
【专利技术属性】
技术研发人员:王志皓,王树才,赵保华,王博龙,刘效禹,张鹏,李小娟,
申请(专利权)人:全球能源互联网研究院有限公司,国家电网有限公司,国网辽宁省电力有限公司信息通信分公司,北京智芯微电子科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。