一种多级互联支撑平台的TCB扩展方法

1.一种多级互联支撑平台的可信计算基TCB扩展方法，其特征在于该方法由各可信计算基TCB组件来实现，该可信计算基TCB组件包括：
1）可信增强子系统，为应用访问终端、数据交换中间件和数据交换平台提供应用程序和服务的完整性验证，与L端数据交换前置相连接；
2）L端数据交换前置，提供多级互联应用的通用交换接口和进行Web访问验证，传输数据标记，与可信增强子系统、L端互联系统相连接；
3）L端互联系统，进行协议转换，与L端数据交换前置、互联仲裁系统相连接；
4）互联仲裁系统，为需跨级访问的系统进行强制访问控制和对数据进行可信验证，与L端互联系统、H端互联系统相连接，还与多级互联安全管理中心连接；
5）H端互联系统，进行协议转换，与互联仲裁系统、H端数据交换前置相连接；
6）H端数据交换前置，提供多级互联应用的通用交换接口，与H端互联系统和H端的数据交换平台、数据库和中间件、服务端相连；
7）多级互联安全管理中心，对跨级互联的服务端和终端提供可信授权与验证，对L端数据交换前置和H端数据交换前置和安全隔离、信息交换设定关键参数和制定安全策略，与互联仲裁系统相连接；
上述的可信计算基TCB扩展方法的步骤为：
①当数据交换平台及应用终端首次访问L端数据交换前置和H端数据交换前置时，首先要通过多级互联安全管理中心的注册与授权，得到管理中心下发的安全策略，进行跨级访问时，根据策略先进行可信互连验证，确保安全可信接入，客户端的可信验证利用信任链传递技术，对重要应用程序和服务进行完整性验证，当可执行代码启动时，操作系统增强模块截获请求，计算要启动的可执行代码文件的摘要值，查询预期值文件白名单，判断该可执行代码的摘要值是否与预期值文件中存储的一致，若一致，则允许程序启动，否则，则拒绝启动该程序；
②数据交换平台进行跨级访问时，只能访问L端数据交换前置，将需要交换的数据提交至L端前置的数据接口，由L端数据交换前置进行数据解析、还原，并进行数据可信标记，转发至L端互联系统；客户端的Web应用进行跨级访问时，也只能访问L端数据交换前置，通过web应用防护过滤后，转发至L端互联系统；如果既不是相应的协议包又不是web连接，则丢弃并关闭连接；
③需跨级访问的系统要进行基于可信验证标记的强制访问控制机制，首先互联仲裁系统接受L端互联系统发来的数据包，如果能成功提取标记属性，则提取数据，计算消息的摘要，否则，将数据包丢弃，中断连接，然后，判断标记属性是否符合消息摘要，如果符合，则确认为合法，对H端互联系统发起连接，否则，中断连接，丢弃数据包；
④L端互联系统接收到来自L端数据交换前置的TCP/IP连接数据后，将数据包剥离成应用层数据，通过专用安全协议进行封装，通过专用数据链路和传输硬件发送至互联仲裁系统，互联仲裁系统对进出边界的数据信息的标记进行验证，将可信的数据运用专用安全协议封装，通过专用数据链路和传输硬件发送至H端互联系统，H端互联系统将可信数据重新打包成TCP/IP协议数据包，发送至H端数据交换前置，再连接到H端相应的数据服务器、中间件；
⑤多级互联安全管理中心在系统进行跨级访问过程中，首先，相互协调完成跨级互联的服务端和终端的可信授权与验证、策略的下发功能，其次，负责设定L端数据交换前置、H端数据交换前置和安全隔离与信息交换中的关键参数和制定L端数据交换前置、H端数据交换前置和安全隔离和信息交换相关的安全策略；
⑥节点间可信互连验证通过后，相互保持可信状态，每次有对方的数据包到达时，更新“最近到达时间”，如果“最近到达时间”与当前时间差超过一定时限，则中断该连接，需要L端节点重新进行认证。

一种多级互联支撑平台的TCB扩展方法\n技术领域\n[0001] 本发明涉及安全管道、TCB扩展以及可信计算领域，尤其涉及多级互联支撑平台的TCB扩展方法。\n背景技术\n[0002] 信息系统安全主要由应用安全与操作系统安全组成，两者都拥有各自独立的安全策略，缺乏协调一致性；TCB是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。实际实施中，随着网络应用的扩大，信息系统的安全风险也更加严重和复杂，在一些企业的管理网络与工业控制网络之间构建多级安全互联平台，如申请人2011-8-29申请的发明专利申请（申请号为：201110250370.7、201110250372.6、\n201110250375.X、201110250369.4、201110250349.7）。需采取积极防御全面防护的思想，以应用系统的安全防护为目标，通过扩展构建与应用安全需求一致的系统TCB，由安全管道将各层安全机制连接成一个有机的整体，实现不同安全机制之间的统一，从而保证安全实体的可信和安全机制间的安全交互，实现信息化平台安全互联的目的，进一步提高整个信息系统的安全防范能力，保障安全生产。\n发明内容\n[0003] 本发明要解决的技术问题：多级互联支撑平台中，在不同的安全机制实体间扩展构建与应用安全需求一致的系统TCB，实现不同安全机制间的协调一致，为应用提供细粒度的安全支撑，避免TCB内部安全机制的重叠以及减少其间的相互冲突。\n[0004] 为了实现上述的目的，本发明是通过下述技术方案解决上述技术问题的：\n[0005] 多级互联支撑平台的TCB扩展方法，该方法由各TCB组件来实现，TCB组件包括：\n[0006] 用于对重要应用程序和服务进行完整性验证的可信增强子系统；\n[0007] 用于提供多级互联应用的通用交换接口和进行Web访问验证、传输数据标记的L/H端数据交换前置子系统；\n[0008] 用于对数据进行协议转换的L/H端互联系统模块；\n[0009] 用于对需跨级访问的系统进行强制访问控制和对数据进行可信验证的互联仲裁系统；\n[0010] 用于对跨级互联的服务端和终端提供可信授权与验证，以及对L/H端数据交换前置和安全隔离、信息交换设定关键参数和制定安全策略的多级互联安全管理中心。\n[0011] 其中，可信增强子系统为应用访问终端、数据交换中间件和数据交换平台提供应用程序和服务的完整性验证，与L端数据交换前置相连接；L端和H端数据交换前置分别与L端互联系统、H端互联系统连接；L/H端互联系统与互联仲裁系统连接并进行交互；多级互联安全管理中心与互联仲裁系统相连接。\n[0012] 当数据交换平台及应用终端首次访问数据交换前置时，首先通过多级互联安全管理中心进行注册，同时提供自身的可信验证信息，通过授权后，得到管理中心下发的安全策略，进行跨级访问时，根据策略先进行可信互连验证，确保安全可信接入；客户端的操作系统增强模块利用信任链传递技术，对操作系统内核装载的重要应用程序和服务进行完整性验证，当可执行代码启动时，操作系统增强模块截获请求，计算要启动的可执行代码文件的摘要值，查询预期值文件白名单，判断该可执行代码的摘要值是否与预期值文件中存储的一致，若一致，则允许程序启动，否则，则拒绝启动该程序。\n[0013] 数据交换平台进行跨级访问时，只能访问L端数据交换前置，将需要交换的数据提交至L端前置的数据接口（SOAP、JDBC、FILE等），由L端数据交换前置进行数据解析、还原，并进行数据可信标记，转发至安全互联部件；客户端的Web应用进行跨级访问时，也只能访问L端数据交换前置，通过web应用防护过滤后，转发至安全互联部件。如果既不是相应的协议包又不是web连接，则丢弃并关闭连接。\n[0014] 需跨级访问的系统要进行基于可信验证标记的强制访问控制机制，首先互联仲裁系统接受L端互联部件发来的数据包，如果能成功提取标记属性，则提取数据，计算消息的摘要，否则，将数据包丢弃，中断连接；然后，判断标记属性是否符合消息摘要；最后，如果符合，则确认为合法，对H端互联部件发起连接，否则，中断连接，丢弃数据包。\n[0015] L端互联系统接收到来自L端数据交换前置的TCP/IP连接数据后，将数据包剥离成应用层数据，通过专用安全协议进行封装，通过专用数据链路和传输硬件发送至互联仲裁系统，互联仲裁系统对进出边界的数据信息的标记进行验证，将可信的数据运用专用安全协议封装，通过专用数据链路和传输硬件发送至H端互联系统，H端互联系统将可信数据重新打包成TCP/IP协议数据包，发送至H端数据交换前置，再连接到H端相应的数据服务器、中间件。\n[0016] 在系统进行跨级访问过程中，多级安全互联管理中心起到核心作用，首先，相互协调完成跨级互联的服务端和终端的可信授权与验证、策略的下发等功能；其次，负责设定L/H数据交换前置和安全隔离与信息交换中的关键参数和制定L/H端数据交换前置和安全隔离和信息交换相关的安全策略。\n[0017] 节点间可信互连验证通过后，相互保持可信状态，每次有对方的数据包到达时，更新“最近到达时间”，如果“最近到达时间”与当前时间差超过一定时限，则中断该连接，需要L端节点重新进行认证。\n[0018] 本发明带来的有益效果是：首先，确保受控应用服务器所启动的应用程序都是可信的；其次，加强了具备较低安全防护能力访问发起端的可信验证；最后，将原始数据通过自定义的安全协议透过安全检测与控制单元传递，在实时数据交换的同时，实现安全隔离与访问控制，增强了互联应用访问控制细粒程度。\n附图说明\n[0019] 图1为多级互联支撑平台的TCB扩展示意图。\n具体实施方式\n[0020] 下面结合附图对本发明作进一步详细描述：\n[0021] 在图1所示实施例中：各TCB组件包括：\n[0022] （1）、可信增强子系统7，为应用访问终端、数据交换中间件和数据交换平台提供应用程序和服务的完整性验证，与L端数据交换前置1相连接；\n[0023] （2）、L端数据交换前置1，提供多级互联应用的通用交换接口和进行Web访问验证，传输数据标记，与可信增强子系统7、L端互联系统2相连接；\n[0024] （3）、L端互联系统2，进行协议转换，与L端数据交换前置1、互联仲裁系统3相连接；\n[0025] （4）、互联仲裁系统3，为需跨级访问的系统进行强制访问控制和对数据进行可信验证，与L端互联系统2、H端互联系统4相连接，还与多级互联安全管理中心6连接；\n[0026] （5）、H端互联系统4，进行协议转换，与互联仲裁系统3、H端数据交换前置5相连接；\n[0027] （6）、H端数据交换前置5，提供多级互联应用的通用交换接口，与H端互联系统4和H端的数据交换平台、数据库/中间件、服务端相连；\n[0028] （7）、多级互联安全管理中心6，对跨级互联的服务端和终端提供可信授权与验证，对L/H端数据交换前置和安全隔离、信息交换设定关键参数和制定安全策略，与互联仲裁系统3相连接。\n[0029] 如附图1所示TCB扩展步骤为：\n[0030] （1）、当数据交换平台及应用终端首次访问L端数据交换前置1和H端数据交换前置5时，首先要通过多级互联安全管理中心6的注册与授权，得到管理中心6下发的安全策略，进行跨级访问时，根据策略先进行可信互连验证，确保安全可信接入，客户端的可信验证利用信任链传递技术，对重要应用程序和服务进行完整性验证，当可执行代码启动时，操作系统增强模块截获请求，计算要启动的可执行代码文件的摘要值，查询预期值文件白名单，判断该可执行代码的摘要值是否与预期值文件中存储的一致，若一致，则允许程序启动，否则，则拒绝启动该程序；\n[0031] （2）、数据交换平台进行跨级访问时，只能访问L端数据交换前置1，将需要交换的数据提交至L端前置1的数据接口（SOAP、JDBC、FILE等），由L端数据交换前置1进行数据解析、还原，并进行数据可信标记，转发至L端互联系统2；客户端的Web应用进行跨级访问时，也只能访问L端数据交换前置1，通过web应用防护过滤后，转发至L端互联系统2。如果既不是相应的协议包又不是web连接，则丢弃并关闭连接；\n[0032] （3）、需跨级访问的系统要进行基于可信验证标记的强制访问控制机制，首先互联仲裁系统3接受L端互联部件2发来的数据包，如果能成功提取标记属性，则提取数据，计算消息的摘要，否则，将数据包丢弃，中断连接，然后，判断标记属性是否符合消息摘要，如果符合，则确认为合法，对H端互联系统4发起连接，否则，中断连接，丢弃数据包；\n[0033] （4）、L端互联系统2接收到来自L端数据交换前置1的TCP/IP连接数据后，将数据包剥离成应用层数据，通过专用安全协议进行封装，通过专用数据链路和传输硬件发送至互联仲裁系统3，互联仲裁系统3对进出边界的数据信息的标记进行验证，将可信的数据运用专用安全协议封装，通过专用数据链路和传输硬件发送至H端互联系统4，H端互联系统4将可信数据重新打包成TCP/IP协议数据包，发送至H端数据交换前置5，再连接到H端相应的数据服务器、中间件；\n[0034] （5）、多级安全互联管理中心6在系统进行跨级访问过程中，首先，相互协调完成跨级互联的服务端和终端的可信授权与验证、策略的下发等功能，其次，负责设定L端数据交换前置1、H端数据交换前置5和安全隔离与信息交换中的关键参数和制定L端数据交换前置1、H端数据交换前置5和安全隔离和信息交换相关的安全策略；\n[0035] （6）、节点间可信互连验证通过后，相互保持可信状态，每次有对方的数据包到达时，更新“最近到达时间”，如果“最近到达时间”与当前时间差超过一定时限，则中断该连接，需要L端节点重新进行认证。\n[0036] 以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所作的均等变化与修饰，皆应属本发明专利的涵盖范围。