本发明专利技术提供了一种基于可信验证的分布式安全监管引擎系统,包括可信安全管理中心以及监管系统;可信安全管理中心包括可信认证模块,安全管理模块,以及可信评估模块;监管系统包括控制传感器,以及用于动态监管控制传感器且根据可信安全管理中心下发策略对控制传感器实施操作的监管引擎。本发明专利技术创新性提出控制传感器,以标准接口方式采集相关可信状态数据,根据外部威胁影响经评估后实施传感器协同联动,实现协防协同;在网络环境下,基于可信计算节点可信机制,对程序、进程、文件、网络、资源等控制点为控制+传感,在实现控制功能的基础上增加传感器功能,解决现有系统只用控制功能的弱点,通过传感器,实现对网络中节点可信状态的实时监管。态的实时监管。态的实时监管。
【技术实现步骤摘要】
一种基于可信验证的分布式安全监管引擎系统
[0001]本专利技术涉及到信息安全
,尤其涉及到一种基于可信验证的分布式安全监管引擎系统。
技术介绍
[0002]1983年,美国国防部率先制定了世界上第一个可信计算的准则,即《可信计算机系统评价准则》(Trusted Computer System Evaluation Criteria,TCSEC),TCSEC率先提出了可信计算机(Trusted Computer)以及可信计算机TCB(Trusted Computing Base)的基本内涵与相关的理论基础。并且,其将TCB理论作为衡量与构建系统安全的重要标准与基础。在此之后,伴随着可信网络解释TNI(Trusted Network Interpretation)以及可信数据库解释TDI(Trusted Database Interpretation)两个概念的相继推出,TCSEC将计算机系统的安全性分为四个等级(A、B、C、D)八个级别,主要是通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全,从而达到系统可信的目的。
[0003]2003年起,可信计算组织(TCG)开始研究制定可信计算的工业标准,己经制定了可信PC、可信平台模块(TPM)、可信服务器、可信软件栈(TSS)、可信网络连接(TNC)等一系列的可信计算技术规范,旨在推动从可信部件到计算机、网络的可信计算技术应用与发展。
[0004]国内可信计算TPCM技术路线,核心为主动免疫双体系架构,基于密码体制在系统设备硬件层通过植入TPCM可信控制模块作为可信根,内置TCM模块具备可信控制功能,将密码与控制相结合,构建计算与防护并行的可信计算节点,由信任根实现对可信计算平台的主动控制;在设备软件层通过部署可信软件基软件,实现宿主机操作系统和可信软件基的双重系统核心,实现对系统的执行环境及进程行为的主动可信度量。在系统网络层,通过可信连接技术实现对接入网络源、目标平台的可信验证和控制,确保网络连接的可信性,将可信由单点拓展至整个网络。
[0005]现有可信系统完成了基于标准的基础安全机制和功能,以及相应的管理。但是存在各安全机制独立运行,而一个外部网络威胁都是会对系统资源实施综合影响,一般都会施加到网络协议、服务、程序、进程、文件等,为加强安全防护能力,有必要对基础安全机制进行协同。
[0006]现有系统安全机制注重于实现单点访问控制,粗粒度,日志信息单一,在实施访问控制时未采集相关资源信息,安全机制的控制参数基本内置,难以以标准化方式开放给外部进行感知和管理。
[0007]即现有可信技术及产品主要解决计算节点基础系统和应用环境安全防护问题。网络上主要解决可信互联。但面向网络中已知和未知威胁攻击下的系统可信评估尚需要发展。主要存在的问题:
[0008]现有的可信报告基于完整性度量日志,欠缺资源使用等感知能力,难以多种机制协同;主动防疫欠缺量化评估指标,难以直观展现防护能力。
技术实现思路
[0009]本专利技术的目的在于提供一种基于可信验证的分布式安全监管引擎系统,以解决上述
技术介绍
中提出的问题。
[0010]本专利技术是通过以下技术方案实现:
[0011]本专利技术提供了一种基于可信验证的分布式安全监管引擎系统,该基于可信验证的分布式安全监管引擎系统包括可信安全管理中心以及监管系统;其中,
[0012]所述可信安全管理中心包括用于对可信计算节点进行可信认证的可信认证模块,基于策略安全管理的安全管理模块,以及用于对可信计算节点进行可信评估的可信评估模块;
[0013]所述监管系统包括在任意可信计算节点中运行的控制传感器,以及在任意可信计算节点中运行并用于动态监管所述控制传感器且根据所述可信安全管理中心下发策略对所述控制传感器实施操作的监管引擎。
[0014]优选的,所述控制传感器包括但不限于资源控制传感器、文件控制传感器、程序控制传感器、进程控制传感器、网络控制传感器。
[0015]优选的,所述控制传感器执行的参数包括但不限于编号、名称、管控对象、管控指令、管控上下文的参数。
[0016]优选的,所述监管引擎采集所述控制传感器可信状态信息数据并报告所述可信安全管理中心,且根据所述可信安全管理中心下发策略对所述控制传感器实施包括但不限于阻断、访问权限限制的操作。
[0017]优选的,所述可信安全管理中心按照评估模型评估可信计算节点的可信状态,所述评估模型的评估计算公式如下:
[0018][0019]与现有技术相比,本专利技术的有益效果是:本专利技术创新性提出控制传感器,以标准接口方式采集相关可信状态数据,根据外部威胁影响经评估后实施传感器协同联动,实现协防协同。本专利技术在网络环境下,基于可信计算节点可信机制,对程序、进程、文件、网络、资源等控制点为控制+传感,在实现控制功能的基础上增加传感器功能,解决现有系统只用控制功能的弱点,通过传感器,实现对网络中节点可信状态的实时监管。
附图说明
[0020]图1是本专利技术实施例提供的基于可信验证的分布式安全监管引擎系统的架构图。
具体实施方式
[0021]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0022]请参阅图1,图1是本专利技术实施例提供的基于可信验证的分布式安全监管引擎系统的架构图。
[0023]本专利技术实施例提供了一种基于可信验证的分布式安全监管引擎系统,如图1所示,该基于可信验证的分布式安全监管引擎系统包括可信安全管理中心1以及监管系统2。其中,可信安全管理中心1包括用于对可信计算节点进行可信认证的可信认证模块11,基于策略安全管理的安全管理模块12,以及用于对可信计算节点进行可信评估的可信评估模块13。监管系统2包括在任意可信计算节点中运行的控制传感器21,以及在任意可信计算节点中运行并用于动态监管控制传感器21且根据可信安全管理中心1下发策略对控制传感器21实施操作的监管引擎22。
[0024]在本专利技术实施方案中,可信安全管理中心1可对可信计算节点进行策略管理、配置管理、数据管理、状态管理和可信评估,在可信评估完成后根据受到的攻击状况对计算节点进行策略协同。可信计算节点基于可信安全机制,部署有监管引擎22,监管引擎22运行时常驻计算节点系统内存中,监管引擎22用于采集控制传感器21可信状态信息数据并报告可信安全管理中心1,并且根据可信安全管理中心1下发策略对控制传感器21实施包括但不限于阻断、访问权限限制的操作。
[0025]具体来说,可信计算节点基于可信安全机制,部署有监管引擎22,监管引擎22常驻计算节点系统内存中,接受并执行可信安全管理中心1下发的策略。可信计算节点基于可信安全机制,部署控制传感器21,控制传感器21包括但不限于资源控本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于可信验证的分布式安全监管引擎系统,其特征在于,包括:可信安全管理中心以及监管系统;其中,所述可信安全管理中心包括用于对可信计算节点进行可信认证的可信认证模块,基于策略安全管理的安全管理模块,以及用于对可信计算节点进行可信评估的可信评估模块;所述监管系统包括在任意可信计算节点中运行的控制传感器,以及在任意可信计算节点中运行并用于动态监管所述控制传感器且根据所述可信安全管理中心下发策略对所述控制传感器实施操作的监管引擎。2.根据权利要求1所述的基于可信验证的分布式安全监管引擎系统,其特征在于,所述控制传感器包括但不限于资源控制传感器、文件控制传感器、程序控制传感器、进程控制传感器、网络控制传感器。3.根...
【专利技术属性】
技术研发人员:韩勇桥,李文华,马帅,姚尧,邵帆,
申请(专利权)人:北京旋极安辰计算科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。