【技術實現步驟摘要】
本申請涉及網絡安全,更具體地說,尤其涉及一種基于可信管控計算的結構化保護系統。此外,本申請還涉及一種基于可信管控計算的結構化保護方法。
技術介紹
1、網絡空間已經成為繼陸、海、空、天之后的第五大主權領域空間。網絡安全是國際戰略在軍事領域的演進,傳統安全管理中心平臺側重于安全運維管理,主要呈現網絡管理、性能管理、故障管理和安全管理,其分析方法和處理能力,已無法滿足復雜異構的大規模網絡環境,以及海量數據環境下的信息安全分析和管理的需求。
2、因此,如何提供一種基于可信管控計算的結構化保護系統,其能夠在兼顧網絡安全運維管理的同時,優化安全管控的分析方法和提高處理能力,以滿足復雜異構的大規模網絡環境的安全需求,是本領域技術人員亟待解決的技術問題。
技術實現思路
1、為解決上述技術問題,本申請提供一種基于可信管控計算的結構化保護系統,其能夠在兼顧網絡安全運維管理的同時,優化安全管控的分析方法和提高處理能力,以滿足復雜異構的大規模網絡環境的安全需求。
2、本申請提供的一種技術方案如下:
3、本申請提供一種基于可信管控計算的結構化保護系統,該系統包括:可信網絡連接體系架構;所述可信網絡連接體系架構包括三種實體角色,分別是訪問請求者ar、策略執行者pep、策略決策者pdp;所述訪問請求者ar用于發出訪問請求,建立網絡連接,將收集的平臺完整性信息發送給所述策略決策者pdp;所述策略決策者pdp用于依據所述訪問請求者ar的身份信息與完整性信息,并根據目標安全策略對所
4、進一步地,在本專利技術一種優選的方式中,所述訪問請求者ar包括:網絡訪問請求者nar、可信網絡連接客戶端tncc、完整性度量收集器imc三個組件;所述策略決策者pdp包括:網絡訪問授權naa、可信網絡連接服務器tncs、完整性度量驗證器imv三個組件;基于所述可信網絡連接體系架構,設置有網絡訪問層、完整性評估層、完整性度量層;其中,所述網絡訪問請求者nar、所述策略執行者pep、所述網絡訪問授權naa屬于網絡訪問層;所述可信網絡連接客戶端tncc和所述可信網絡連接服務器tncs屬于完整性評估層;所述完整性度量收集器imc和所述完整性度量驗證器imv屬于完整性度量層。
5、進一步地,在本專利技術一種優選的方式中,所述網絡訪問請求者nar用于發出網絡訪問請求,負責建立網絡連接;所述完整性度量收集器imc用于收集所述訪問請求者ar中各個終端的平臺完整性信息;所述可信網絡連接客戶端tncc用于匯總所述完整性度量收集器imc提供的平臺完整性信息,通過完整性校驗握手將收集到的平臺完整性信息形成推薦結果傳遞給所述可信網絡連接服務器tncs進行驗證;所述完整性度量驗證器imv用于對所述完整性度量收集器imc提供的平臺完整性信息進行鑒別;所述可信網絡連接服務器tncs用于管控完整性度量收集器imc與所述完整性度量驗證器imv之間的信息流,用于結合所述可信網絡連接客戶端tncc的推薦結果形成最終推薦建議信息;所述網絡訪問授權naa用于對所述可信網絡連接服務器tncs的推薦建議信息進行管控授權。
6、進一步地,在本專利技術一種優選的方式中,所述策略決策者pdp用于根據所述網絡訪問授權naa管控授權結果,控制所述網絡訪問請求者nar的網絡訪問請求是否能夠授權連接。
7、進一步地,在本專利技術一種優選的方式中,該系統還包括:元數據訪問點map,所述元數據訪問點map用于為所述網絡訪問授權naa、所述可信網絡連接服務器tncs、所述完整性度量驗證器imv提供狀態查詢及數據。
8、進一步地,在本專利技術一種優選的方式中,該系統還包括:用于監控可信網絡連接體系架構中網絡活動,并發布網絡動態信息給所述元數據訪問點map的傳感器。
9、進一步地,在本專利技術一種優選的方式中,該系統還包括:用于監控可信網絡連接體系架構中網絡活動,并根據所述元數據訪問點map的信息做出并執行決策的流量控制器。
10、本申請還提供一種基于可信管控計算的結構化保護方法的技術方案,該方法包括:
11、流程l:當網絡連接請求被觸發后,網絡訪問請求者nar組件向策略執行者pep發送連接請求;
12、流程2:當收到網絡訪問請求者nar的連接請求后,策略執行者pep發送網絡訪問決策請求給網絡訪問授權naa,若網絡訪問授權naa已經被設置為可以接受用戶授權,進行平臺授權和完整性檢查;
13、流程3:若訪問請求者ar和網絡訪問授權naa之間的用戶授權成功,則網絡訪問授權naa把連接請求發送給可信網絡連接服務器tncs;
14、流程4:可信網絡連接服務器tncs和可信網絡連接客戶端tncc進行相互的平臺授權;
15、流程5:若平臺授權成功,則可信網絡連接服務器tncs通知完整性度量驗證器imv有一個新的連接請求,需要進行完整性檢查握手;同時,可信網絡連接客戶端tncc通知完整性度量收集器imc,有一個新的連接請求,需要進行完整性檢查握手;
16、流程6a:可信網絡連接服務器tncs和可信網絡連接客戶端tncc開始交換關于完整性檢查的消息,以實現完整性檢查握手;這些消息會通過網絡訪問請求者nar、策略執行者pep和網絡訪問授權naa中轉,當可信網絡連接服務器tncs確認了訪問請求者ar的完整性之后,才會停止傳送;
17、流程6b:可信網絡連接服務器tncs通過if-imv發送完整性度量收集器imc消息給對應的一個或多個完整性度量驗證器imv,每個完整性度量驗證器imv都會分析完整性度量收集器imc消息;如果一個完整性度量驗證器imv需要和完整性度量收集器imc交換更多消息,則通過if-imv發送給可信網絡連接服務器tncs;如果完整性度量驗證器imv已經確定推薦結果,則完整性度量驗證器imv把結果發送給可信網絡連接服務器tncs;
18、流程6c:與可信網絡連接服務器tncs類似,可信網絡連接客戶端tncc也會轉發從可信網絡連接服務器tncs接收到的消息給對應的完整性度量收集器imc,并發送完整性度量收集器imc消息給可信網絡連接服務器tncs;
19、流程7:當可信網絡連接服務器tncs已經完成了和可信網絡連接客戶端tncc之間的完整性檢查握手,它發送可信網絡連接服務器tncs行為建議給網絡訪問授權naa;
20、流程8:然后網絡訪問授權naa發送網絡訪問決策給策略執行者pep,讓其執行;網絡訪問授權naa必須向可信網絡連接服務器tncs指明最后的決策,以發送給可信網絡連接客戶端tncc。
21、進一步地,在本專利技術一種優選的方式中,該方法還包括:流程0:啟動網絡連接,嘗試進行完整性檢查握手,可信網絡連接客戶端tncc使用平臺制定的綁定方式找到并打開相關的完整性度量收集器imc組件;可信網絡連接本文檔來自技高網...
【技術保護點】
1.一種基于可信管控計算的結構化保護系統,其特征在于,該系統包括:可信網絡連接體系架構;
2.根據權利要求1所述的基于可信管控計算的結構化保護系統,其特征在于,
3.根據權利要求2所述的基于可信管控計算的結構化保護系統,其特征在于,
4.根據權利要求3所述的基于可信管控計算的結構化保護系統,其特征在于,
5.根據權利要求2至4中任意一項所述的基于可信管控計算的結構化保護系統,其特征在于,該系統還包括:
6.根據權利要求5所述的基于可信管控計算的結構化保護系統,其特征在于,該系統還包括:
7.根據權利要求5所述的基于可信管控計算的結構化保護系統,其特征在于,該系統還包括:
8.一種基于可信管控計算的結構化保護方法,其特征在于,該方法包括:
9.根據權利要求8所述的方法,其特征在于,該方法還包括:
10.根據權利要求9所述的方法,其特征在于,
【技術特征摘要】
1.一種基于可信管控計算的結構化保護系統,其特征在于,該系統包括:可信網絡連接體系架構;
2.根據權利要求1所述的基于可信管控計算的結構化保護系統,其特征在于,
3.根據權利要求2所述的基于可信管控計算的結構化保護系統,其特征在于,
4.根據權利要求3所述的基于可信管控計算的結構化保護系統,其特征在于,
5.根據權利要求2至4中任意一項所述的基于可信管控計算的結構化保護系統,其...
【專利技術屬性】
技術研發人員:戚建淮,徐國前,崔宸,唐娟,胡金華,
申請(專利權)人:深圳市永達電子信息股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。