检测后门的方法和装置制造方法及图纸

本申请提供了一种检测后门的方法和装置。第一终端可以通过至少两个第一转发节点与第二终端进行通信，即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由，该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据，或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说，第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备，从而提高了安全通信的可信度。从而提高了安全通信的可信度。从而提高了安全通信的可信度。

【技术实现步骤摘要】
检测后门的方法和装置


[0001]本申请涉及安全通信领域，更具体地涉及一种检测后门的方法和装置。

技术介绍

[0002]网络在现今生活中的重要性逐步增长，每秒有亿万条信息在网络中穿梭，无数信息存储于网络中。得益于信息系统开源和开发流程的标准化，信息系统的漏洞和后门问题得到极大的缓解。另一方面，网络设备的后门问题近期凸显出来，并也越来越引起全球社会的高度重视。网络设备作为计算设备的一种，当它部署在运营商网络中时，天然具有网络可达的特性，因此容易遭受到黑客攻击而产生被动后门，对流经的网络流量进行非法篡改，或者非法复制流量并转发到黑客的影子服务器，从而达到窃取信息的目的。与此同时，设备的生成厂商可能会因为某些特殊的原因而主动留下后门，例如，可以在用户不知情的情况下，快速为已售设备进行软件升级，消除漏洞等。但是，主动后门也有可能被恶意利用从而对流经的网络流量进行恶意操作，造成信息的泄露和用户权利的损害。
[0003]传统方案中，利用可信平台模块(trusted platform module，TPM)作为可信根向第三方证明该设备在启动过程中加载的软件中没有被非法篡改或非预期的软件。然而，此方案需设备本身生成自身的完整性信息，陷入自身生成证据证明自身清白的悖论。其次，此方案设备在初始化阶段被验证为可信后长期保持可信的状态，缺少有效的长期监控。因此，亟待一种动态监控网络设备中是否有后门的方案。

技术实现思路

[0004]本申请提供一种检测后门的方法和装置，能够准确的确定出具有后门的设备，从而提高了安全通信的可信度。
[0005]第一方面，提供了一种检测后门的方法，该方法应用于包括第一终端、第二终端、至少两个第一转发节点和第三方证据链核验平台的系统中，其中，该第一终端通过该至少两个第一转发节点与该第二终端进行通信，该方法包括：该第三方证据链核验平台从该至少两个第一转发节点中的部分或全部第一转发节点接收该部分或全部第一转发节点的完整性证据，该至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的，且该每个第一转发节点包括对应的第一转发节点的标识；该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据，确定目标第一转发节点，该目标第一转发节点为具有后门的转发节点。
[0006]第一终端可以通过至少两个第一转发节点与第二终端进行通信，即该第一终端、该至少两个第一转发节点和该第二终端形成一条路由，该路由中的每个第一转发节点都可以向第三方证据链核验平台发送完整性证据，或者该路由中的部分第一转发节点可以向第三方证据链核验平台发送完整性证据。第三方证据链核验平台可以根据该路由中的部分或全部第一转发节点的完整性证据确定具有后门的转发节点(即目标第一转发节点)。也就是说，第三方证据链核验平台可以根据数据流流经设备的上下游关系确定具有后门的设备，
从而提高了安全通信的可信度。
[0007]在一些可能的实现方式中，该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据，确定完整性证据发生跳变的至少两个候选第一转发节点，该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流；该第三方证据链核验平台根据该至少两个候选第一转发节点的输入和/或输出端口，确定该目标第一转发节点。
[0008]报文流经的每个转发节点根据该报文生成完整性证据，并将完整性证据发送给第三方证据链核验平台，这样第三方证据链核验平台可以根据多个转发节点的完整性证据相互证明，并定位出具有后门的转发节点，从而提高了安全通信的安全性能。此外，由于该第三方证据链核验平台是基于数据流的证据链来验证的，因此第三方证据链核验平台可以对每条数据流都进行验证，也就是说，本申请实施例可以实现长期的监控后门。
[0009]在一些可能的实现方式中，该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：该第三方证据链核验平台根据该至少两个第一转发节点中的部分第一转发节点的完整性证据，确定该完整性证据的来源转发节点；该第三方证据链核验平台在该来源转发节点为该至少两个第一转发节点中的任意一个转发节点的情况下，确定来源转发节点为该目标第一转发节点。
[0010]在网络中出现非预期的承载数据流的报文时，可以根据传输该报文的转发节点生成的完整性证据，确定具有后门的转发节点。本实施例可以应用于以下场景中，某一个转发节点为了躲避监控，将经过的报文进行存储，并等待一段时间后再进行复制传输，若该报文后续的相邻的至少两个转发节点将根据该报文生成的完整性证据分别发送给第三方证据链核验平台，第三方证据链核验平台根据接收到的完整性证据形成的完整性证据链确定报文的源头，进而将该源头确定为具有后门的节点，从而提高了安全通信的安全性能。
[0011]在一些可能的实现方式中，该第三方证据链核验平台根据该部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：该第三方证据链校验平台根据该至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据，确定该目标第一转发节点，该至少一个第二转发节点的完整性证据是根据该第一报文生成的，该第一报文用于承载从该第一终端通过该至少两个第一转发节点到达该第二终端的数据流。
[0012]第三方证据链核验平台除了接收到至少两个第一转发节点中的每个第一转发节点发送的完整性证据，还接收到至少一个第二转发节点中的每个第二转发节点发送的完整性证据，且第二转发节点发送的完整性证据也是根据第一报文生成的。第三方证据链核验平台可以结合该至少两个第一转发节点发送的完整性证据和该至少一个第二转发节点发送的完整性证据来确定该目标第一转发节点，即第三方证据链核验平台可以根据更多的转发节点的完整性证据相互证明，并定位出具有后门的转发节点，从而更近一步提高了安全通信的安全性能。
[0013]在一些可能的实现方式中，该第三方证据链校验平台根据该第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据，确定该目标第一转发节点包括：该第三方证据链路校验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据，确定形成的证据链的分叉节点；
该第三方证据链校验平台确定该分叉节点的下级节点的来源转发节点；该第三方证据链校验平台在该来源转发节点为该分叉节点的情况下，将该分叉节点确定为该目标第一转发节点。
[0014]第三方证据链核验平台根据该至少两个第一转发节点的完整性证据和该至少一个第二转发节点的完整性证据形成证据链。第三方证据链核验平台根据证据链确定分叉节点。为了避免具有后门的转发节点进行隐藏，本申请实施例再该分叉节点的下级节点的来源转发节点，若该来源转发节点为该分叉节点，则将该分叉节点确定为该目标第一转发节点。也就是说，具有后门的转发节点进行隐藏后，本实施例依然能够检测到，从而更近一步提高了安全通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测后门的方法，其特征在于，所述方法应用于包括第一终端、第二终端、至少两个第一转发节点和第三方证据链核验平台的系统中，其中，所述第一终端通过所述至少两个第一转发节点与所述第二终端进行通信，所述方法包括：所述第三方证据链核验平台从所述至少两个第一转发节点中的部分或全部第一转发节点接收所述部分或全部第一转发节点的完整性证据，所述至少两个第一转发节点中的每个第一转发节点的完整性证据是由对应的第一转发节点根据第一报文生成的，且所述每个第一转发节点包括对应的第一转发节点的标识；所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据，确定目标第一转发节点，所述目标第一转发节点为具有后门的转发节点。2.根据权利要求1所述的方法，其特征在于，所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：所述第三方证据链核验平台根据所述至少两个第一转发节点的完整性证据，确定完整性证据发生跳变的至少两个候选第一转发节点，所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流；所述第三方证据链核验平台根据所述至少两个候选第一转发节点的输入和/或输出端口，确定所述目标第一转发节点。3.根据权利要求1所述的方法，其特征在于，所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：所述第三方证据链核验平台根据所述至少两个第一转发节点中的部分第一转发节点的完整性证据，确定所述完整性证据的来源转发节点；所述第三方证据链核验平台在所述来源转发节点为所述至少两个第一转发节点中的任意一个转发节点的情况下，确定来源转发节点为所述目标第一转发节点。4.根据权利要求1所述的方法，其特征在于所述第三方证据链核验平台根据所述部分或全部第一转发节点的完整性证据，确定目标第一转发节点包括：所述第三方证据链校验平台根据所述至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据，确定所述目标第一转发节点，所述至少一个第二转发节点的完整性证据是根据所述第一报文生成的，所述第一报文用于承载从所述第一终端通过所述至少两个第一转发节点到达所述第二终端的数据流。5.根据权利要求4所述的方法，其特征在于，所述第三方证据链校验平台根据所述第三方证据链核验平台根据所述至少两个第一转发节点的完整性证据和至少一个第二转发节点的完整性证据，确定所述目标第一转发节点包括：所述第三方证据链路校验平台根据所述至少两个第一转发节点的完整性证据和所述至少一个第二转发节点的完整性证据，确定形成的证据链的分叉节点；所述第三方证据链校验平台确定所述分叉节点的下级节点的来源转发节点；所述第三方证据链校验平台在所述来源转发节点为所述分叉节点的情况下，将所述分叉节点确定为所述目标第一转发节点。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述完整性证据包括数据流的上级转发节点标识ID、下级转发节点ID、承载数据流的报文的报文头哈希统计值和报文负载哈希统计值、转发节点对证据的签名和证据编号中的至少一项。
7.一种检测后门的方法，其特征在于，所述方法应用于包括第一终端、第二终端、至少两个转发节点和第三方证据链核验平台的系统中，其中，所述第一终端通过所述至少两个转发节点与所述第二终端进行通信，所述方法包括：所述至少两个转发节点中的第一转发节点对第一报文进行完整性记录；所述第一转发节点根据所述完整记录生成完整性证据，所述完整性证据包括所述第一转发节点的标识；所述第一转发节点向所述第三方证据链核验平台发送所述完整性证据。8.根据权利要求7所述的方法，其特征在于，所述第一报文用于承载从所述第一终端通过所述至少两个转发节点到达所述第二终端的数据流。9.根据权利要求7或8所述的方法，其特征在于，所述方法还包括：所述第一转发节点根据异常类型报文，确定所述异常类型报文所属的数据流，所述异常类型报文为所述第一转发节点中的上级转发节点在所述第一报文出现异常的情况下生成的；其中，所述至少两个转发节点中的第一转发节点对第一报文进行完整性记录包括：所述第一转发节点根据所述异常类型报文所属的数...

【专利技术属性】
技术研发人员：苏涛，李晋，魏含宇，韩磊，李峰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：