The invention discloses a trusted security network system, in which the client server architecture, based on the network nodes are equipped with trusted hosts trusted chip, each network node trusted startup process based on trusted trusted chip chip; each network node in the preservation of white list, including the application of software metrics and key code allowed the execution of the white list, run the application software, through the white list to verify the integrity of application software; configuration of remote authentication server, the trusted chip contains a reference for authentication information for identity authentication and integrity verification of network nodes; application configuration management server for deployment and management the application of the network nodes. This invention constructs a trusted security network system based on trusted chip, which can improve the security and reliability of the network system.
【技术实现步骤摘要】
可信安全网络系统
本专利技术提供一种可信安全网络系统,属于信息安全
技术介绍
随着计算机与网络技术的快速发展,基于计算机构建的云计算、物联网、大数据等多种网络系统,已经是较为成熟的技术。网络系统安全是网络系统的重要技术保障,其应从硬件、软件、数据等各方面保证系统的安全性。目前的网络系统,主要通过软件手段实现认证、密钥管理等安全管理,而软件代码本身具有漏洞,通过读取、分析即可获取关键的敏感数据,存在安全隐患。
技术实现思路
鉴于上述原因,本专利技术的目的在于提供一种可信安全网络系统,以安装可信芯片的可信主机作为网络节点构建可信安全网络系统,通过度量方式保证网络节点底层平台及上层应用的完整性,通过远程认证保证网络节点的可信性,通过网络节点间的保密通信保证数据安全性,构建一种基于可信芯片实现的可信安全网络系统,提高网络系统的安全可靠性。为实现上述目的,本专利技术采用以下技术方案:一种可信安全网络系统,基于客户端-服务器架构实现,各网络节点均为安装有可信芯片的可信主机,各网络节点基于可信芯片进行可信启动过程;各网络节点的可信芯片中保存白名单列表,该白名单列表包括允许执行的应用软件及其关键代码的度量值,运行应用软件时,通过该白名单列表验证该应用软件的完整性;配置远程认证服务器,其可信芯片中保存有用于对网络节点进行身份认证及完整性验证的基准认证信息;通过远程认证的网络节点之间进行保密通信;配置应用管理服务器,用于对各网络节点进行应用的部署与管理。各网络节点启动过程中,将生成的基准认证信息发送至所述远程认证服务器,网络节点之间建立通信前,先通过所述远程认证服务器以 ...
【技术保护点】
可信安全网络系统,基于客户端‑服务器架构实现,其特征在于,各网络节点均为安装有可信芯片的可信主机,各网络节点基于可信芯片进行可信启动过程;各网络节点的可信芯片中保存白名单列表,该白名单列表包括允许执行的应用软件及其关键代码的度量值,运行应用软件时,通过该白名单列表验证该应用软件的完整性;配置远程认证服务器,其可信芯片中保存有用于对网络节点进行身份认证及完整性验证的基准认证信息;通过远程认证的网络节点之间进行保密通信;配置应用管理服务器,用于对各网络节点进行应用的部署与管理。
【技术特征摘要】
1.可信安全网络系统,基于客户端-服务器架构实现,其特征在于,各网络节点均为安装有可信芯片的可信主机,各网络节点基于可信芯片进行可信启动过程;各网络节点的可信芯片中保存白名单列表,该白名单列表包括允许执行的应用软件及其关键代码的度量值,运行应用软件时,通过该白名单列表验证该应用软件的完整性;配置远程认证服务器,其可信芯片中保存有用于对网络节点进行身份认证及完整性验证的基准认证信息;通过远程认证的网络节点之间进行保密通信;配置应用管理服务器,用于对各网络节点进行应用的部署与管理。2.根据权利要求1所述的可信安全网络系统,其特征在于,各网络节点启动过程中,将生成的基准认证信息发送至所述远程认证服务器,网络节点之间建立通信前,先通过所述远程认证服务器以相应网络节点对应的基准认证信息为基准进行对比验证,验证通过可正常建立通信。3.根据权利要求1所述的可信安全网络系统,其特征在于,所述可信启动过程包括:网络节点在开机启动过程中,依次对CPU、存储模块、电源模块、磁盘,对BIOS、Bootloader、系统内核、用户定义的关键应用文件进行度量。4.根据权利要求1所述的可信安全网络系统,其特征在于,通过所述白名单列表验证应用软件的完整性的过程是:运行应用软件时,从可信芯片中读取所述白名单列表,判断该应用软件是否在所述白名单列表之列,若不在所述白名单列表之列,则该应用软件无法运行,若在白名单列表之列,则计算该应用软件的关键代码的度量值,并将计算结果与所述白名单列表中对应该应用软件的度量值进行比较,若一致,则该应用软件的完整性验证通过,若不一致则该应用软件的完整性被破坏,其无法运行。5.根据权利要求1所述的可信安全网络系统,其特征在于,所述网络节点之间进行保密通信的方法是:接收方基于可信芯片生成公、私钥对,其可信芯片保存私钥,将公钥发送至第三方认证机构;发送方从第三方认证机构获取公钥,并基于可信芯片生成会话密钥和随机数,利用公钥对会话密钥加密生成密文会话密钥,并对密文会话密钥和随机数进行摘要运算,生成摘要值;发送方利用公钥对该摘要值进...
【专利技术属性】
技术研发人员:郑驰,梁思谦,
申请(专利权)人:大唐高鸿信安浙江信息科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。