【技术实现步骤摘要】
本申请涉及可信计算,尤其涉及一种基于可信计算接入路由器的方法和装置。
技术介绍
1、在当今数字化时代,路由器作为连接家庭、企业等各类网络环境与互联网的关键枢纽,其重要性不言而喻。随着网络技术的飞速发展以及人们对网络依赖程度的不断加深,路由器所面临的安全形势也日益严峻,遭受着来自各方的多种攻击威胁,主要的攻击方式如下。
2、(1)中间人攻击。
3、伪装接入点攻击:攻击者设置一个伪装的无线接入点,其信号强度和名称可能与合法的路由器相似。当用户设备搜索并尝试连接到这个伪装接入点时,攻击者就可以在用户和真正的路由器之间进行数据拦截和篡改。例如,在公共场所,攻击者将伪装接入点命名为“free-wifi”,吸引用户连接,然后窃取用户在网上输入的银行账号、密码等敏感信息。
4、arp(address resolution protocol,地址解析协议)欺骗攻击:在局域网环境中,攻击者通过发送虚假的arp消息,欺骗用户设备和路由器,使它们将数据发送到攻击者的设备上。这样,攻击者就可以获取用户和路由器之间传输的数据,包括但不限于网页浏览内容、文件传输数据等。
5、(2)恶意软件攻击。
6、感染连接设备攻击:当连接到路由器的设备(如手机、电脑等)感染了恶意软件,这些恶意软件可能会利用设备与路由器的关系,对路由器进行攻击。例如,恶意软件可能会尝试扫描路由器的漏洞,然后通过这些漏洞入侵路由器,获取路由器的控制权,进而篡改网络设置、窃取用户信息等。
7、固件漏洞攻击:路由器固件是管
8、因此,目前的路由器容易遭受各种攻击,无法保证网络安全。
技术实现思路
1、本申请提供了一种基于可信计算接入路由器的方法和装置,以解决网络安全无法保证的问题。
2、第一方面,本申请提供了一种基于可信计算接入路由器的方法,其特征在于,所述方法包括:
3、根据路由器发送方的路由更新信息生成目标报文,其中,所述路由器发送方具有可信第三方依据初始平台配置信息颁发的认证证书,所述初始平台配置信息用于指示所述路由器发送方首次注册网络时的平台配置状态;
4、通过可信根对自身路由器平台的软硬件配置进行完整性度量,得到所述路由器平台的当前平台配置信息,其中,所述当前平台配置信息用于指示当前的平台配置状态;
5、对所述目标报文的头部信息和所述当前平台配置信息进行签名,并将附有签名结果的目标报文发送至路由器接收方,以使所述路由器接收方根据所述初始平台配置信息和所述当前平台配置信息确定所述路由器发送方的行为可信,其中,行为可信指所述路由器发送方未被恶意入侵或未发生自身软硬件错误给网络带来危害。
6、可选地,根据路由器发送方的路由更新信息生成目标报文之前,所述方法还包括:
7、通过可信根对自身路由器平台的软硬件配置进行完整性度量,得到所述路由器平台的初始平台配置信息;
8、获取度量日志,其中,所述度量日志包括所述路由器平台启动和运行期间完整性测量的记录;
9、将所述初始平台配置信息和所述度量日志发送至所述可信第三方,以使所述可信第三方基于所述度量日志验证所述初始平台配置信息,并在验证通过后存储所述初始平台配置信息;
10、获取所述可信第三方基于验证通过的初始平台配置信息颁发的认证证书。
11、可选地,对所述目标报文的头部信息和所述当前平台配置信息进行签名包括:
12、对所述目标报文的头部信息进行哈希计算;
13、将所述头部信息的哈希值和所述当前平台配置信息进行哈希计算,得到签名哈希值;
14、采用自身的私钥对所述签名哈希值进行签名。
15、第二方面,本申请提供了一种基于可信计算接入路由器的方法,应用于路由器接收方,所述方法包括:
16、获取路由器发送方发送的认证证书、当前平台配置信息以及签名后的目标报文;
17、通过所述认证证书确定所述路由器发送方为经过可信第三方验证的合法路由器;
18、通过所述认证证书中的初始平台配置信息和所述当前平台配置信息确定所述路由器发送方的行为可信;
19、通过所述签名后的目标报文确定路由更新信息在传输过程中未被篡改。
20、可选地,通过所述认证证书确定所述路由器发送方为经过可信第三方验证的合法路由器包括:
21、采用预存的所述可信第三方的公钥对所述认证证书进行解密,其中,所述认证证书已采用所述可信第三方的私钥进行加密;
22、若解密成功,则确定所述路由器发送方为经过所述可信第三方验证的合法路由器。
23、可选地,通过所述认证证书中的初始平台配置信息和所述当前平台配置信息确定所述路由器发送方的行为可信包括:
24、从所述认证证书中获取所述路由器发送方的初始平台配置信息;
25、若所述当前平台配置信息与所述初始平台配置信息匹配成功,则确定所述所述路由器发送方的行为可信。
26、可选地,通过所述签名后的目标报文确定路由更新信息在传输过程中未被篡改包括:
27、采用预存的所述路由器发送方的公钥对所述签名后的目标报文进行解密,得到初始签名哈希值,其中,所述公钥是所述路由器发送方在获取认证证书后分发出去的;
28、从所述签名后的目标报文中提取出目标报文的头部信息和当前平台配置信息,并按照与所述路由器发送方相同的哈希算法进行哈希运算,得到新的签名哈希值;
29、若所述初始签名哈希值与所述新的签名哈希值匹配,则确定所述目标报文在传送过程中未被篡改。
30、可选地,采用预存的所述可信第三方的公钥对所述认证证书进行解密之前,所述方法还包括:
31、获取第三方在初始化阶段广播的消息,其中,所述消息包括所述第三方的公钥和非交互证明值;
32、通过所述非交互证明值对所述第三方的公钥进行验证,确定所述第三方为可信第三方。
33、第三方面,本申请提供了一种基于可信计算接入路由器的装置,应用于路由器发送方,所述装置包括:
34、生成模块,用于根据路由器发送方的路由更新信息生成目标报文,其中,所述路由器发送方具有可信第三方依据初始平台配置信息颁发的认证证书,所述初始平台配置信息用于指示所述路由器发送方首次注册网络时的平台配置状态;
35、度量模块,用于通过可信根对自身路由器平台的软硬件配置进行完整性度量,得到所述路由器平台的当前平台配置信息,其中,所述当前平台配置信息用于指示当前的平台配置状态本文档来自技高网...
【技术保护点】
1.一种基于可信计算接入路由器的方法,其特征在于,应用于路由器发送方,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,根据路由器发送方的路由更新信息生成目标报文之前,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,对所述目标报文的头部信息和所述当前平台配置信息进行签名包括:
4.一种基于可信计算接入路由器的方法,其特征在于,应用于路由器接收方,所述方法包括:
5.根据权利要求4所述的方法,其特征在于,通过所述认证证书确定所述路由器发送方为经过可信第三方验证的合法路由器包括:
6.根据权利要求4所述的方法,其特征在于,通过所述认证证书中的初始平台配置信息和所述当前平台配置信息确定所述路由器发送方的行为可信包括:
7.根据权利要求4所述的方法,其特征在于,通过所述签名后的目标报文确定路由更新信息在传输过程中未被篡改包括:
8.根据权利要求5所述的方法,其特征在于,采用预存的所述可信第三方的公钥对所述认证证书进行解密之前,所述方法还包括:
9.一种基于可信计算接入路由器
10.一种基于可信计算接入路由器的装置,其特征在于,应用于路由器接收方,所述装置包括:
...【技术特征摘要】
1.一种基于可信计算接入路由器的方法,其特征在于,应用于路由器发送方,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,根据路由器发送方的路由更新信息生成目标报文之前,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,对所述目标报文的头部信息和所述当前平台配置信息进行签名包括:
4.一种基于可信计算接入路由器的方法,其特征在于,应用于路由器接收方,所述方法包括:
5.根据权利要求4所述的方法,其特征在于,通过所述认证证书确定所述路由器发送方为经过可信第三方验证的合法路由器包括:
6.根据权利...
【专利技术属性】
技术研发人员:段古纳,陈祎,刘丹,齐洪东,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。