本发明专利技术公开了一种基于拟态防御针对关键数据进行保护的架构,包括异构冗余执行体、分发器、裁决器、拟态变换器;从所示分发器输入激励,进而进入异构冗余执行体,所述拟态变换器与分发器、裁决器、拟态变换器均连接,并通过动态调度和负反馈控制进行拟态变换;所述异构冗余执行体将分发器的输入激励经处理后输出至裁决器,并由所述裁决器输出响应;本发明专利技术的技术方案通过运用该架构进行数据保护能够极大地提升对被保护数据进行窃取、篡改的难度,以对关键数据进行更好的保护。
Architecture of protection for key data based on pseudo defense
【技术实现步骤摘要】
基于拟态防御针对关键数据进行保护的架构
本专利技术属于关键数据的保护
,具体是涉及一种基于拟态防御针对关键数据进行保护的架构。
技术介绍
当今网络与信息系统已成为人类社会运转的基础设施。然而随着网络和信息技术的高速发展,信息安全问题也变得愈发严峻。因此,信息安全问题也越来越受到世界各个国家的高度重视。针对信息安全问题,传统的防御技术和手段大都采用亡羊补牢式防御,需要依赖于攻击技术作为先验知识来进行有针对性的“点”式防御。而漏洞和后门是攻击者成功进行攻击行为的重要入口,但作为防御方却没有能力掌握所有的漏洞和后门,传统防御技术采用对被曝光的漏洞后门进行精准封堵或查杀,显然对未知漏洞后门束手无策。拟态防御作为近几年来国内首创的“改变游戏规则”的革命性防御技术,目前理论和相关技术发展迅速。拟态防御基于相对正确公理,以结构决定安全为核心思想,通过动态、异构、冗余架构(DynamicHeterogeneousRedundancy,DHR),使得运用拟态防御技术的系统能够应对未知的安全威胁,具有内生的高安全性和高可靠性。拟态防御是新型的主动防御技术,它允许完成业务功能的执行体“有毒、带菌”,能够同时有效的应对已知和未知的漏洞后门所带来的安全威胁,是“面”式防御。拟态防御通过动态调度机制和负反馈控制机制保证拟态防御系统的动态性、变化性,通过多模裁决机制保证系统的鲁棒性和对攻击行为的主动认知,可借助附图一进行理解。信息技术作为人类社会先进的生产力,给人类带来的财富的物质形态就是数据。文件、图像、影音、应用程序等皆属于数据,因此,对数据的保护是至关重要的。重要数据的泄露、篡改、丢失等事件时有发生,数据保护的技术手段五花八门,但较为有效的方法还是通过对数据进行加密以达到“一夫当关”的效果。然而对数据进行加密的安全性强弱依赖于加密算法和密钥的复杂度,且由于数据加密的复杂性增加额外开销的同时其还是静态的、单一的防护手段,依然存在被破解的可能。
技术实现思路
针对现有技术不足,本专利技术提供一种基于拟态防御技术针对关键数据进行保护的架构,通过运用该架构进行数据保护能够极大地提升对被保护数据进行窃取、篡改的难度。为了解决上述技术问题,本专利技术提供的具体技术方案如下:一种基于拟态防御技术针对关键数据进行保护的架构,其包括异构冗余执行体、分发器、裁决器、拟态变换器;从所示分发器输入激励,进而进入异构冗余执行体,所述拟态变换器与分发器、裁决器、拟态变换器均连接,并通过动态调度和负反馈控制进行拟态变换;所述异构冗余执行体将分发器的输入激励经处理后输出至裁决器,并由所述裁决器输出相应。优选的,所述拟态变换器中包括动态调度器,以执行动态调度机制。优选的,所述拟态变换器中设置有控制参数;所述拟态变换器与功能等价异构体池连接。优选的,所述异构冗余执行体包括多个异构执行体,以构成执行体池,这些异构执行体的业务功能为对数据的加解密功能。优选的,所述分发器包含两种分发器,即加密分发器和解密分发器。优选的,所述裁决器根据裁决参数进行多模裁决,根据裁决结果产生正确输出与抛出问题输入。优选的,所述动态调度器根据策略对异构冗余执行体进行动态调度。优选的,本专利技术还公开了一种基于拟态防御技术针对关键数据进行保护架构的保护方法,该保护方法包括以下步骤:第一步:加密过程:明文ACL经由加密分发器进行复制,复制份数与“上线”执行体数目一致,冗余明文ACL与“上线”执行体进行无区分标记配对。第二步:解密过程:冗余密文ACL经由解密分发器,根据执行体区分标记与“上线”执行体进行配对。第三步:裁决过程:裁决策略为基于数据的Hash指纹对比,这一过程被封装在裁决器内。冗余明文ACL经过相同Hash运算后,得到冗余指纹矢量,然后进行多模裁决。第四步:动态调度过程:采用一定的动态调度策略,对异构加解密执行体进行动态调度,确定“上线”执行体。优选的,在所述第一步中,进行无区分标记配对后,经过各“上线”执行体加密后成为冗余密文ACL,并打上执行体区分标记优选的,在所述第二步中,在进行配对后,经过各“上线”执行体解密后成为冗余明文ACL。优选的,在所述第三步中,如果冗余指纹矢量存在不一致,说明存在被篡改的ACL,此时将抛出问题ACL并根据其他设计进行处理,同时裁决器屏蔽掉篡改带来的影响,输出正确的明文ACL。优选的,本专利技术还公开了一种基于拟态防御技术针对关键数据进行保护架构的运行激励方法,该运行激励方法包括以下步骤:第一步:初始化激励:发生在MDADA宿主系统初始化过程中,在其激励下MDADA将经过的过程是d→a。第二步:访问控制查询激励:发生在访问请求被拦截,且需要与ACL进行对比时,在其激励下MDADA将经过的过程是b→c→ACL的查询对比。第三步:访问控制修改激励:发生在对ACL的合法修改更新操作时,在其激励下MDADA将经过的过程是b→c→ACL的修改更新→a。第四步:动态调度激励:发生在根据策略对异构冗余执行体进行动态调度时,在其激励下MDADA将经过的过程是b→c,d→a(c和d可同时进行)。优选的,所述的加解密异构化维度有三个:①加解密算法异构化;②加解密密钥异构化;③实现方式异构化(如编程语言、编码风格等)。优选的,所述保护的架构通过加强相应算法、密钥、过程等的复杂度可以提升安全性,优化相应算法、过程等提高性能。优选的,所述冗余密文ACL的散列存储及隐藏可以结合一些加密技术,比如将其放入“软件加密狗”。优选的,所述加解密算法及辅助的密钥生成算法等都可以通过FPGA(Field-ProgrammableGateArray)方式进行实现。与现有技术相比,本专利技术的有益效果是:1、本专利技术的基于拟态防御技术针对关键数据进行保护的架构,通过动态性调度加解密执行体使得数据的攻击表面处在动态变化当中,解决了传统静态加密数据的可无限期分析逻辑的缺陷,有效防止数据泄露。2、本专利技术的基于拟态防御技术针对关键数据进行保护的架构,通过异构冗余的数据加密加上多模裁决的限制使得解密并篡改数据的难度较之传统静态加密的单一性破解难度有超出倍数级的提升。3、本专利技术的基于拟态防御技术针对关键数据进行保护的架构,通过利用冗余思想并结合必要的数据散列存储及隐藏技术,能有效抗击关键数据被删除的毁灭性打击。4、本专利技术的基于拟态防御技术针对关键数据进行保护的架构,在鲁棒性方面,通过多模裁决的保障使得即使少数冗余密文出现成功的篡改攻击也能够保证关键数据的正常输出以及关键数据的正确性。附图说明图1为本专利技术的拟态防御动态、异构、冗余架构(DHR)。图2为本专利技术的防数据攻击的拟态防御架构(MDADA)。图3为本专利技术的异构化维度示意图。图4为本专利技术的逻辑原理方框图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行本文档来自技高网...
【技术保护点】
1.一种基于拟态防御针对关键数据进行保护的架构,其特征在于,包括异构冗余执行体、分发器、裁决器、拟态变换器;从所示分发器输入激励,进而进入异构冗余执行体,所述拟态变换器与分发器、裁决器、拟态变换器均连接,并通过动态调度和负反馈控制进行拟态变换;所述异构冗余执行体将分发器的输入激励经处理后输出至裁决器,并由所述裁决器输出响应。/n
【技术特征摘要】
1.一种基于拟态防御针对关键数据进行保护的架构,其特征在于,包括异构冗余执行体、分发器、裁决器、拟态变换器;从所示分发器输入激励,进而进入异构冗余执行体,所述拟态变换器与分发器、裁决器、拟态变换器均连接,并通过动态调度和负反馈控制进行拟态变换;所述异构冗余执行体将分发器的输入激励经处理后输出至裁决器,并由所述裁决器输出响应。
2.根据权利要求1所述的一种基于拟态防御针对关键数据进行保护的架构,其特征在于:所述拟态变换器中包括动态调度器,以执行动态调度机制。
3.根据权利要求1或2所述的一种基于拟态防御针对关键数据进行保护的架构,其特征在于:所述拟态变换器中设置有控制参数;所述拟态变换器与功能等价异构体池连接。
4.根据权利要求1-3任一项所述的一种基于拟态防御针对关键数据进行保护的架构,其特征在于:所述异构冗余执行体包括多个异构执行体,以构成执行体池,这些异构执行体的业务功能为对数据的加解密功能。
5.根据权利要求1所述的一种基于拟态防御针对关键数据进行保护的架构,其特征在于:所述分发器包含两种分发器,即加密分发...
【专利技术属性】
技术研发人员:申智灵,周清雷,邓淼磊,张少华,刘晶波,王凡,冯峰,李斌,董召,薛正元,
申请(专利权)人:创元网络技术股份有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。