信任共识模型构建方法、信任计算平台架构及网络安全防护方法和系统技术方案

本发明专利技术涉及网络安全技术领域，特别涉及一种信任共识模型构建方法、信任计算平台架构及网络安全防护方法和系统，通过收集各网络实体合法行为描述作为各网络实体的已定义行为；获取网络运行环境中各网络实体对自身安全性的自证及目标网络实体与其他网络实体交互过程中其他网络实体对目标网络实体安全性的判定；基于网络实体自身安全性的自证及其他网络实体对其安全性的判定，利用共识算法对网络实体可信程度进行信任共识。本发明专利技术能够从计算环境可信、网络连接与数据通信安全、隐私计算的角度进行信任判定与响应，提供更加全面的安全支撑，在多个维度采用信任共识技术依托已定义行为对被证实体进行持续、动态的信任判定，准确度更稳定，可以探查已知威胁情报库之外的安全风险。风险。风险。

【技术实现步骤摘要】
信任共识模型构建方法、信任计算平台架构及网络安全防护方法和系统


[0001]本专利技术涉及网络安全
，特别涉及一种信任共识模型构建方法、基于信任共识模型的可信计算方法、网络攻击免疫方法、数据隐私保护方法和信任计算平台架构，并基于信任计算平台架构来实现网络安全防护方法和系统。

技术介绍

[0002]国际组织TCG提出的可信计算平台架构核心目标是保证平台(固件、操作系统、应用)的完整性。实现的技术手段主要是可信度量和可信验证，可信度量以可信根为起点依次对平台引导过程中的组件进行完整性度量，可信验证对度量结果进行验证。TPM(Trusted Platform Module)是该架构的核心组件，负责为密钥、证书、度量结果提供安全存储，以及为可信验证、密钥与证书生成等功能提供基础密码算法支持。国内学者及可信计算产业联盟提出的主动免疫可信计算3.0平台架构是采用可信平台控制模块(Trusted Platform Control Module，TPCM)作为可信根，使用国家标准密码保护机制，将可信计算技术与访问控制相融合，能及时识别“自己”和“非己”成份，禁止未授权行为，阻止已知的和未知的病毒攻击，进一步保证了计算环境的可信安全性。TPM和TPCM都以密码为基础，基于可信链构建技术，使攻击者无法利用系统存在的缺陷和漏洞对系统进行非法操作，使平台计算环境达成对病毒攻击的主动免疫能力。
[0003]在日趋复杂的网络计算环境中，以上两种架构仍然存在诸多缺点与不足：TPM与TPCM目前着重解决了平台安全的完整性和平台信任的单方面证明问题。然而，实际网络环境下的计算过程是多方参与的，信任的需求是多维度、多方面的，需要综合考虑各参与方的不同安全要求和信任满足，包括平台自身的安全性证明、计算过程中的安全监管、网络连接和数据通信过程中的安全保证以及数据计算过程中的隐私保护。上述两种架构没有针对以上问题提出具体解决方案。对安全的信任是一个比平台可信链复杂的多的判定计算过程，通常需要判定者依据多方提供的证据进行信任计算和判定。上述两种架构仅仅依据平台单方面的签名和完整性证明，对于实际复杂网络场景仍是不够的。

技术实现思路

[0004]为此，本专利技术提供一种信任共识模型构建方法、信任计算平台架构及网络安全防护方法和系统，针对实际网络环境下计算平台安全与信任问题，从平台计算环境可信、网络连接与数据安全、数据隐私计算等多维度，兼顾平台、网络、数据、应用、监管等不同参与方的安全关注和信任需求，更全面地保证平台的安全、可信性。
[0005]按照本专利技术所提供的设计方案，提供一种信任共识模型构建方法，包含：
[0006]收集各网络实体合法行为描述作为各网络实体的已定义行为；
[0007]获取网络运行环境中各网络实体对自身安全性的自证及目标网络实体与其他网络实体交互过程中其他网络实体对目标网络实体安全性的判定；
[0008]基于网络实体自身安全性的自证及其他网络实体对其安全性的判定，利用共识算法对网络实体可信程度进行信任共识。
[0009]作为本专利技术中信任共识模型构建方法，进一步地，其他网络实体对目标网络实体安全性的判定过程中，在交互过程中利用其它网络实体观察当前目标网络实体的网络行为，并依据网络实体已定义行为来对当前网络实体的行为是否合规进行安全性判定。
[0010]作为本专利技术中信任共识模型构建方法，进一步地，还包含：依据信任共识结果对不可信网络实体对应的已定义行为进行更新，并限制该不可信网络实体与其他网络实体之间的交互行为。
[0011]进一步地，本专利技术还提供一种基于信任共识模型的可信计算方法，包含如下内容：
[0012]将计算节点完整性摘要基准作为该计算节点已定义行为，利用上述的信任共识模型构建方法构建用于计算节点可信度判定的信任共识模型；
[0013]基于构建的信任共识模型对计算平台中各计算节点的可信度进行判定，并依据判定结果来更新计算平台中用于实际环境运行的可信计算节点。
[0014]作为本专利技术中基于信任共识模型的可信计算方法，进一步地，基于信任共识模型对计算平台中各计算节点的可信度进行判定，包含：在信任共识模型中，利用计算节点计算引导过程的完整性自证报告及交互过程中其他计算节点根据已定义行为对该计算节点行为是否合规的完整性他证报告来对计算节点的可信度进行判定，其中，完整性自证报告包括身份信息校验数据及计算节点完整性摘要是否一致数据，完整性他证报告包括该计算节点身份信息数据、交互过程中其他计算节点身份信息数据、该计算节点已已定义行为数据及行为是否合规数据。
[0015]进一步地，本专利技术还提供一种基于信任共识模型的网络攻击免疫方法，包含如下内容：
[0016]将网络实体合法网络行为作为该网络实体已定义行为，利用上述的信任共识模型构建方法构建用于判定网络实体行为可信度的信任共识模型；
[0017]通过收集网络实体日志，并利用信任共识模型对网络实体可信度进行判定，并根据判定结果阻止非可信网络实体行为。
[0018]进一步地，本专利技术还提供一种基于信任共识模型的数据隐私保护方法，包含：
[0019]将参与方拥有隐私计算等级对应的技术措施和交互业务流程规定的计算行为作为已定义行为，利用上述的信任共识模型构建方法构建服务平台参与交互的多方行为可信度的信任共识模型；
[0020]通过收集各参与方的业务日志，并利用信任共识模型对各方主体行为可信度进行判定，并依据判定结果阻止非可信主体对数据的访问。
[0021]进一步地，本专利技术还提供一种信任计算平台架构，包含：通过上述的信任共识模型构建方法构建的信任共识模型对实体可信程度进行判断的可信计算模块、网络攻击免疫模块和隐私计算模块，其中，
[0022]可信计算模块，基于信任共识模型对计算环境中计算节点可信状态进行判定，并依据判定结果阻止不可信计算节点交互行为；
[0023]网络攻击免疫模块，基于信任共识模型对网络连接实体的可信度进行判定，并依据判定结果来阻止不可信实体行为；
[0024]隐私计算模块，基于信任共识模型对数据隐私计算平台参与方主体可信度进行判定，并依据判定结果阻止不可信主体对数据的使用。
[0025]进一步地，本专利技术还提供一种基于信任计算平台架构的网络安全防护方法，基于上述的信任计算平台架构实现，该实现过程包含：
[0026]通过网络日志及各网络实体行为监测来收集各网络实体自身完整性的自证数据及其他网络实体对其交互行为异常判定的他证数据；
[0027]针对自证数据和他证数据，利用信任共识模型对网络实体行为进行信任判定，并依据信任判定结果来限制或阻止不可信网络实体行为。
[0028]进一步地，本专利技术还提供一种基于信任计算平台架构的网络安全防护系统，基于上述的信任计算平台架构实现，包含：数据收集单元和信任判定单元，其中，
[0029]数据收集单元，用于通过网络日志及各网络实体行为监测来收集各网络实体自身完整性的自证数据及其他网络实体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种信任共识模型构建方法，其特征在于，包含：收集各网络实体合法行为描述作为各网络实体的已定义行为；获取网络运行环境中各网络实体对自身安全性的自证及目标网络实体与其他网络实体交互过程中其他网络实体对目标网络实体安全性的判定；基于网络实体自身安全性的自证及其他网络实体对其安全性的判定，利用共识算法对网络实体可信程度进行信任共识。2.根据权利要求1所述的信任共识模型构建方法，其特征在于，其他网络实体对目标网络实体安全性的判定过程中，在交互过程中利用其它网络实体观察当前目标网络实体的网络行为，并依据网络实体已定义行为来对当前网络实体的行为是否合规进行安全性判定。3.根据权利要求1所述的信任共识模型构建方法，其特征在于，还包含：依据信任共识结果对不可信网络实体对应的已定义行为进行更新，并限制该不可信网络实体与其他网络实体之间的交互行为。4.一种基于信任共识模型的可信计算方法，其特征在于，包含如下内容：将计算节点完整性摘要基准作为该计算节点已定义行为，利用权利要求1所述的信任共识模型构建方法构建用于计算节点可信度判定的信任共识模型；基于构建的信任共识模型对计算平台中各计算节点的可信度进行判定，并依据判定结果来更新计算平台中用于实际环境运行的可信计算节点。5.根据权利要求4所述的基于信任共识模型的可信计算方法，其特征在于，基于信任共识模型对计算平台中各计算节点的可信度进行判定，包含：在信任共识模型中，利用计算节点计算引导过程的完整性自证报告及交互过程中其他计算节点根据已定义行为对该计算节点行为是否合规的完整性他证报告来对计算节点的可信度进行判定，其中，完整性自证报告包括身份信息校验数据及计算节点完整性摘要是否一致数据，完整性他证报告包括该计算节点身份信息数据、交互过程中其他计算节点身份信息数据、该计算节点已已定义行为数据及行为是否合规数据。6.一种基于信任共识模型的网络攻击免疫方法，其特征在于，包含如下内容：将网络实体合法网络行为作为该网络实体已定义行为，利用权利要求1所述的信任共识模型构建方法构建用于判定网络实体行为可信度的信任共识模型；...

【专利技术属性】
技术研发人员：周伟，夏扬波，刘延林，唐慧林，
申请(专利权)人：郑州信大云谷科技有限公司，
类型：发明
国别省市：