一种分布式架构的可信安全管理平台制造技术

本发明专利技术公开了一种分布式架构的可信安全管理平台，可信安全管理平台用于通过分布式架构同时对多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向多个可信计算平台下发信息。本发明专利技术所提供的可信安全管理平台，采用分布式架构，能够实现同时对多个可信计算平台进行度量策略、度量日志、可信报告、身份认证等内容的集中管理，实现分布式协调服务，极大地提高了可信管理的效率；利用可信安全管理平台同时向多个可信计算平台下发信息，使得多个可信计算平台无需建立彼此之间的可信连接，就能实现多个可信计算平台的信息同步。

A trusted security management platform based on distributed architecture

【技术实现步骤摘要】
一种分布式架构的可信安全管理平台
本专利技术涉及可信计算领域，具体涉及一种分布式架构的可信安全管理平台。
技术介绍
在可信计算领域，可信终端通常是在本地管理可信策略、记录度量日志和可信状态等，但是，针对如云环境下存在很多个可信终端的情形，在可信终端本地进行可信管理将会造成管理效率较低，且可信终端之间信息同步也需要先建立终端之间的可信连接之后才可以进行，容易造成信息同步延迟。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种分布式架构的可信安全管理平台，可以提高可信管理的效率，并实现多个可信计算平台的信息同步。为实现上述目的，本专利技术采用的技术方案如下：一种分布式架构的可信安全管理平台，应用于可信计算系统，所述可信计算系统包括所述可信安全管理平台和与所述可信安全管理平台连接的多个可信计算平台，所述可信计算平台包括并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于对所述计算子系统进行可信度量和控制，所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；所述可信安全管理平台用于通过分布式架构同时对所述多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向所述多个可信计算平台下发信息。进一步，如上所述的一种分布式架构的可信安全管理平台，所述可信安全管理平台包括基础服务层、功能模块层和策略驱动层；所述基础服务层用于向所述可信安全管理平台提供数据库、通信、密码、日志、状态评估、策略配置、设备管理和审计的基础服务；所述功能模块层用于基于所述基础服务层提供的基础服务，对软件、用户身份和外设进行管理，向所述可信安全管理平台提供保密存储、访问控制、静态度量、动态度量、信任链和接入控制的功能；所述策略驱动层用于向所述可信安全管理平台提供策略学习、策略管理、态势感知和响应控制的功能，形成学习、管理、感知、控制的联动机制。进一步，如上所述的一种分布式架构的可信安全管理平台，所述基础服务层包括以下至少之一的基础模块：数据库服务模块、通信服务模块、密码服务模块、日志服务模块、状态评估模块、策略配置模块、设备模块和审计模块；所述数据库服务模块用于提供数据库系统的操作接口；所述通信服务模块用于提供加密数据及文件的传输；所述密码服务模块用于支撑国密证书及密码服务；所述日志服务模块用于对所述多个可信计算平台上传的日志信息进行采集、存储和分析；所述状态评估模块用于对所述多个可信计算平台当前的可信状态及安全状态进行评估，得到状态评估结果；所述策略配置模块用于提供不同形式的策略分发机制；所述设备模块用于对所述多个可信计算平台的可信设备进行管理；所述审计模块用于对所述可信安全管理平台以及所述多个可信计算平台的行为进行全面监控。进一步，如上所述的一种分布式架构的可信安全管理平台，所述基础服务层的各基础模块为独立部署且均独立运行。进一步，如上所述的一种分布式架构的可信安全管理平台，所述功能模块层包括以下至少之一：软件管理模块、身份管理模块、外设管理模块、保密存储模块、访问控制模块、静态度量模块、动态度量模块、信任链模块和接入控制模块；所述软件管理模块用于对软件的注册分发和信息采集进行管理；所述身份管理模块用于对用户进行统一身份认证管理；所述外设管理模块用于对需要接入所述可信计算系统的外设进行管理；所述保密存储模块用于向所述可信计算系统提供关键数据和文件加密保护；所述访问控制模块用于基于强制和自主访问控制制定访问控制策略；所述静态度量模块用于对所述可信计算系统中的执行程序进行可信度量和控制；所述动态度量模块用于实时监视所述可信计算系统内的所有关键数据，对进程的资源和行为进行实时度量和控制；所述信任链模块用于构建所述可信计算系统启动过程中的完整信任链，并生成可信报告；所述接入控制模块用于对所述可信计算系统的接入设备进行接入控制。进一步，如上所述的一种分布式架构的可信安全管理平台，所述保密存储模块具体用于通过标准国密算法向所述可信计算系统提供关键数据和文件加密保护。进一步，如上所述的一种分布式架构的可信安全管理平台，其特征在于，所述访问控制模块具体用于基于强制和自主访问控制对所述可信计算系统中的关键元素设置安全标记，并基于所述关键元素中的主体和客体的安全标记制定访问控制策略。进一步，如上所述的一种分布式架构的可信安全管理平台，所述策略驱动层包括以下至少之一：策略学习模块、策略管理模块、态势感知模块和响应控制模块；所述策略学习模块用于根据所述多个可信计算平台预定时间段内的运行数据，自动学习用户的行为轨迹并将所述行为轨迹转换成策略语言描述的策略；所述策略管理模块用于管理策略，并将所述策略学习模块生成的策略配置到所述多个可信计算平台；所述态势感知模块用于对所述策略学习模块的学习结果进行分析评估；所述响应控制模块用于根据所述态势感知模块的评估结果进行风险控制。进一步，如上所述的一种分布式架构的可信安全管理平台，所述可信安全管理平台还包括：统一认证与授权模块，用于对接入所述可信计算系统内的设备、人员和业务提供认证和授权服务，所述认证和授权服务用于基于密码服务提供公钥管理并支持认证、加密、完整性和可追究性服务。进一步，如上所述的一种分布式架构的可信安全管理平台，所述可信安全管理平台还包括：可视化展示模块，用于展示包括以下至少之一的内容：用户身份信息、策略、度量日志和状态评估结果。本专利技术的有益效果在于：本专利技术所提供的可信安全管理平台，采用分布式架构，能够实现同时对多个可信计算平台进行度量策略、度量日志、可信报告、身份认证等内容的集中管理，实现分布式协调服务，极大地提高了可信管理的效率；利用可信安全管理平台同时向多个可信计算平台下发信息，使得多个可信计算平台无需建立彼此之间的可信连接，就能实现多个可信计算平台的信息同步。附图说明图1为本专利技术实施例中提供的一种分布式架构的可信安全管理平台的结构示意图。具体实施方式下面结合说明书附图与具体实施方式对本专利技术做进一步的详细说明。在可信计算领域，可信终端通常是在本地管理可信策略、记录度量日志和可信状态等，但是，针对如云环境下存在很多个可信终端的情形，在可信终端本地进行可信管理将会造成管理效率较低，且可信终端之间信息同步也需要先建立终端之间的可信连接之后才可以进行，造成信息同步延迟。针对现有技术的缺陷，本专利技术设计了可信安全管理平台，该可信安全管理平台采用分布式架构，能够实现同时对多个可信终端进行度量策略、度量日志、可信报告、身份认证等内容的集中管理，极大地提高了可信管理的效率。本专利技术可以利用可信安全管理平台同时向多个可信终端下发信息，使得多个可信终端无需建立彼此之间的可信连接，就能本文档来自技高网...

【技术保护点】
1.一种分布式架构的可信安全管理平台，应用于可信计算系统，所述可信计算系统包括所述可信安全管理平台和与所述可信安全管理平台连接的多个可信计算平台，所述可信计算平台包括并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于对所述计算子系统进行可信度量和控制，所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互，其特征在于：/n所述可信安全管理平台用于通过分布式架构同时对所述多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向所述多个可信计算平台下发信息。/n

【技术特征摘要】
1.一种分布式架构的可信安全管理平台，应用于可信计算系统，所述可信计算系统包括所述可信安全管理平台和与所述可信安全管理平台连接的多个可信计算平台，所述可信计算平台包括并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于对所述计算子系统进行可信度量和控制，所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互，其特征在于：
所述可信安全管理平台用于通过分布式架构同时对所述多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向所述多个可信计算平台下发信息。


2.根据权利要求1所述的一种分布式架构的可信安全管理平台，其特征在于，所述可信安全管理平台包括基础服务层、功能模块层和策略驱动层；
所述基础服务层用于向所述可信安全管理平台提供数据库、通信、密码、日志、状态评估、策略配置、设备管理和审计的基础服务；
所述功能模块层用于基于所述基础服务层提供的基础服务，对软件、用户身份和外设进行管理，向所述可信安全管理平台提供保密存储、访问控制、静态度量、动态度量、信任链和接入控制的功能；
所述策略驱动层用于向所述可信安全管理平台提供策略学习、策略管理、态势感知和响应控制的功能，形成学习、管理、感知、控制的联动机制。


3.根据权利要求2所述的一种分布式架构的可信安全管理平台，其特征在于，所述基础服务层包括以下至少之一的基础模块：数据库服务模块、通信服务模块、密码服务模块、日志服务模块、状态评估模块、策略配置模块、设备模块和审计模块；
所述数据库服务模块用于提供数据库系统的操作接口；
所述通信服务模块用于提供加密数据及文件的传输；
所述密码服务模块用于支撑国密证书及密码服务；
所述日志服务模块用于对所述多个可信计算平台上传的日志信息进行采集、存储和分析；
所述状态评估模块用于对所述多个可信计算平台当前的可信状态及安全状态进行评估，得到状态评估结果；
所述策略配置模块用于提供不同形式的策略分发机制；
所述设备模块用于对所述多个可信计算平台的可信设备进行管理；
所述审计模块用于对所述可信安全管理平台以及所述多个可信计算平台的行为进行全面监控。


4.根据权利要求3所述的一种分布式架构的可信安全管理平台，其特征在于，所述基础服务层的各基础模块为独立部署且均独立运行。


5.根据权利要求2所述的一种分布式架构的可信安全管理平台，其特征在于，所述功能模块层包括以下至少之一：软件管理模块、身份管理模块、外设管理模块、保密存...

【专利技术属性】
技术研发人员：孙瑜，夏攀，杨成刚，何成成，
申请(专利权)人：北京可信华泰信息技术有限公司，
类型：发明
国别省市：北京;11