專利名稱:可信計算平臺安全管理系統(tǒng)及安全管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域��,尤其涉及一種為可信計算平臺提供安全策略集中管理的方法�,并且該方法保證安全策略的存儲和分發(fā)過程的安全性。
背景技術(shù):
可信計算組織(Trusted Computing Group, TCG)提出的PC實施規(guī)范中規(guī)定了在系統(tǒng)引導(dǎo)階段信任鏈傳遞過程中每段可執(zhí)行代碼的完整性雜湊值存放在平臺配置寄存器 (PCR)中��,度量日志存放在ACPI中����。PCR和度量日志用于向第三方報告系統(tǒng)的完整性狀態(tài)�����。 TCG沒有涉及對可信計算平臺自身安全策略的管理內(nèi)容。通常對信息系統(tǒng)的安全策略管理模式主要分為自主管理�、集中管理或者自主與集中管理相結(jié)合的模式。自主管理由用戶自身通過安全管理工具進(jìn)行安全策略的配置��,安全性較弱�����。集中管理由管理人員通過安全管理中心對系統(tǒng)安全策略進(jìn)行集中配置�,安全性較好。由于安全策略集中存放在安全管理中心��,安全管理中心自身的安全防護(hù)非常重要�����。通常采取的防護(hù)方法是在安全管理中心前加裝防火墻或采取主機(jī)安全性增強����,但由于目前安全管理中心和防火墻等都是運行在PC之上的應(yīng)用系統(tǒng),由于PC軟硬件結(jié)構(gòu)簡化�����,導(dǎo)致惡意攻擊者可以直接從系統(tǒng)層面繞過安全防護(hù)系統(tǒng)的防護(hù),攻擊和破壞安全管理中心���, 直接篡改安全策略��。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于可信密碼模塊的可信計算平臺安全管理系統(tǒng)及基于可信計算平臺的集中安全管理方法����,保證了安全策略存儲��、分發(fā)過程的安全性����。為達(dá)到上述目的,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種可信計算平臺管理系統(tǒng)�����,包括第一可信密碼模塊����、第二可信密碼模塊、安全管理中心����、安全管理代理(包括安全策略管理協(xié)議)。第一可信密碼模塊為安全管理中心提供服務(wù)����,用于實現(xiàn)簽名和簽名驗證、對稱加解密和雜湊運算��。所述安全管理中心模塊���,用于實現(xiàn)安全策略的生成�、存儲和刪除���;通過安全策略管理協(xié)議實現(xiàn)安全策略的分發(fā)�。所述安全管理代理模塊�����,用于將安全管理中心發(fā)送的管理協(xié)議數(shù)據(jù)流轉(zhuǎn)發(fā)給第二可信密碼模塊�����。所述第二可信密碼模塊位于可信計算平臺����,用于實現(xiàn)安全策略管理協(xié)議的解析;實現(xiàn)安全策略的存儲。所述安全策略管理協(xié)議模塊���,用于實現(xiàn)安全管理中心和可信密碼模塊間安全策略信息的傳遞����。安全管理中心和第二可信密碼模塊間的安全策略管理協(xié)議基于第一和第二可信密碼模塊實現(xiàn)��,保證了安全管理策略傳輸?shù)陌踩?����。安全管理中心?cè)的安全策略基于第一可信密碼模塊實現(xiàn)存儲安全保護(hù)�,可信計算平臺側(cè)的安全策略存放在第二可信密碼模塊內(nèi),受到第二可信密碼模塊自身的安全防護(hù)���,保證了安全管理策略存儲的安全性����。安全策略管理協(xié)議流程如下��。
1)安全管理中心生成制定可信計算平臺安全策略�。安全管理中心調(diào)用第一可信密碼模塊雜湊運算服務(wù),計算安全策略數(shù)據(jù)的雜湊運算值�。2)安全管理中心調(diào)用第一可信密碼模塊簽名運算服務(wù)�����,對雜湊運算值進(jìn)行簽名。3)安全管理中心將(安全策略數(shù)據(jù)�����、安全策略數(shù)據(jù)雜湊值���、安全策略數(shù)據(jù)雜湊值簽名)發(fā)送給安全管理代理�����。4)安全代理接收(安全策略數(shù)據(jù)����、安全策略數(shù)據(jù)雜湊值���、安全策略數(shù)據(jù)雜湊值簽名)�����,并將其轉(zhuǎn)發(fā)給第二可信密碼模塊���。5)第二可信密碼模塊調(diào)用自身的運算引擎首先對安全策略雜湊值簽名進(jìn)行簽名驗證��。如果驗證通過進(jìn)入6)�,如果驗證失敗��,丟棄該報文��。6)第二可信密碼模塊調(diào)用自身的運算引擎計算安全策略數(shù)據(jù)的雜湊值���,與發(fā)送過來的安全策略數(shù)據(jù)雜湊值進(jìn)行比較�,如果相等��,將安全策略數(shù)據(jù)存儲在可信密碼模塊內(nèi)����,如果不相等,丟棄該報文����。安全管理中心產(chǎn)生新的安全策略的流程如下。1)調(diào)用第一可信密碼模塊的雜湊運算服務(wù)���,計算安全策略的雜湊值��。2)調(diào)用第一可信密碼模塊加解密運算服務(wù)�����,加密安全策略和相應(yīng)的雜湊值����。3)將加密后的安全策略和雜湊值存放在安全管理中心�。安全管理中心提取指定安全策略的流程如下。1)調(diào)用第一可信密碼模塊加解密運算服務(wù)���,解密安全策略和相應(yīng)的雜湊值�����。2)調(diào)用第一可信密碼模塊的雜湊運算服務(wù)�,計算安全策略的雜湊值��。3)將新計算的安全策略雜湊值與存儲的雜湊值比較���,如果相等����,安全策略有效。如果不相等�,丟棄該安全策略。安全管理中心刪除指定安全策略的流程如下��。1)直接刪除該安全策略����。本發(fā)明與現(xiàn)有技術(shù)相比,具有以下明顯的優(yōu)勢和有益效果本發(fā)明安全策略管理協(xié)議基于安全管理中心側(cè)第一可信密碼模塊和可信計算平臺側(cè)第二可信密碼模塊實現(xiàn)�。通過對安全管理中心傳遞給可信計算平臺的安全策略管理數(shù)據(jù)進(jìn)行雜湊、簽名��、簽名驗證和雜湊值比對運算��,防止攻擊者假冒安全管理中心向可信計算平臺發(fā)送安全策略����,防止攻擊者篡改傳遞的安全策略數(shù)據(jù),保證了安全策略在安全管理中心和可信計算平臺間傳輸?shù)恼鎸嵭院屯暾?���。本發(fā)明的安全策略在安全管理中心側(cè)基于第一可信密碼模塊實現(xiàn)了對安全策略數(shù)據(jù)加密和完整性驗證保護(hù),保證了安全策略在安全管理中心側(cè)存儲的保密性和完整性�, 防止安全策略數(shù)據(jù)的泄露以及攻擊者對安全策略數(shù)據(jù)的非法篡改。安全策略在可信計算平臺側(cè)直接存儲在第二可信密碼模塊內(nèi)�,可信密碼模塊獨立的的軟硬件安全防護(hù)措施保證了安全策略不被非授權(quán)泄露和篡改���。
圖1 安全策略管理系統(tǒng)結(jié)構(gòu)示意圖;圖2 第一可信密碼模塊和第二可信密碼模塊硬件組成圖����;圖3 安全策略管理報文格式示意4
圖4 安全管理中心處理安全策略管理報文示意圖;圖5 安全管理中心存儲安全策略流程圖��;圖6 可信計算平臺處理安全策略管理報文示意圖���;圖7 可信計算平臺存儲安全策略流程圖。
具體實施例方式以下結(jié)合說明書附圖�����,對本發(fā)明的具體實施例加以說明請參閱圖1所示�����,為本發(fā)明安全策略管理系統(tǒng)結(jié)構(gòu)示意圖���。從圖中可以看出�����,安全策略管理系統(tǒng)結(jié)構(gòu)由安全管理中心�、第一可信密碼模塊、第二可信密碼模塊�、安全管理代理組成。第一可信密碼模塊為安全管理中心提供簽名和簽名驗證��、對稱加解密和雜湊運算服務(wù)�����。安全管理中心調(diào)用第一可信密碼模塊服務(wù)實現(xiàn)安全策略的生成��、存儲和刪除���;調(diào)用第一可信密碼模塊服務(wù)實現(xiàn)安全策略管理協(xié)議數(shù)據(jù)的組裝����,并發(fā)送給安全管理代理�����。第二可信密碼模塊為可信計算平臺提供簽名和簽名驗證�����、對稱加解密和雜湊運算服務(wù);接收安全管理代理轉(zhuǎn)發(fā)的安全策略管理數(shù)據(jù)����,實現(xiàn)安全策略管理協(xié)議的解析并對安全策略進(jìn)行本地存儲。安全管理代理將安全管理中心發(fā)送的管理策略協(xié)議數(shù)據(jù)流轉(zhuǎn)發(fā)給第二可信密碼模塊����。安全策略管理協(xié)議實現(xiàn)安全管理中心和可信計算平臺間安全策略信息的傳遞。協(xié)議的具體組合和解析由安全管理中心和第二可信密碼模塊兩者完成�。安全策略管理協(xié)議安全管理中心處理安全策略管理協(xié)議流程如下。見附圖4�。1)安全管理中心生成制定可信計算平臺安全策略。安全管理中心調(diào)用第一可信密碼模塊雜湊運算服務(wù)�,計算安全策略數(shù)據(jù)的雜湊運算值。2)安全管理中心調(diào)用第一可信密碼模塊簽名運算服務(wù)�,對雜湊運算值進(jìn)行簽名�。3)安全管理中心按安全管理報文格式(見附圖幻生成安全管理報文發(fā)送給可信計算平臺?����?尚庞嬎闫脚_側(cè)處理安全策略管理協(xié)議流程如下�����。見附圖6。1)安全管理代理接收安全管理報文��,并將其轉(zhuǎn)發(fā)給第二可信密碼模塊���。2)第二可信密碼模塊調(diào)用自身的運算引擎首先對安全策略雜湊值簽名進(jìn)行簽名驗證����。如果驗證通過進(jìn)入幻�����,如果驗證失敗����,丟棄該報文。3)第二可信密碼模塊調(diào)用自身的運算引擎計算安全策略數(shù)據(jù)的雜湊值�,與發(fā)送過來的安全策略數(shù)據(jù)雜湊值進(jìn)行比較,如果相等��,將安全策略數(shù)據(jù)存儲在第二可信密碼模塊內(nèi)��,如果不相等����,丟棄該報文���。安全策略存儲保護(hù)安全策略在安全管理中心側(cè)和可信計算平臺側(cè)的存儲保護(hù)方法如下。安全管理中心側(cè)的存儲保護(hù)方法如下����。對安全策略保護(hù)的密鑰在系統(tǒng)安裝階段存儲放置在第二可信密碼模塊內(nèi)。安全管理員身份認(rèn)證通過后�,可使用該密鑰。安全策略存放的流程如下����。示意圖見附圖5。1)調(diào)用第一可信密碼模塊的雜湊運算服務(wù)�,計算安全策略的雜湊值。2)調(diào)用第一可信密碼模塊加解密運算服務(wù)�����,加密安全策略和相應(yīng)的雜湊值��。3)將加密后的安全策略和雜湊值存放在安全管理中心的硬盤上�����。提取安全策略的流程如下�。1)調(diào)用第一可信密碼模塊加解密運算服務(wù),解密安全策略和相應(yīng)的雜湊值���。2)調(diào)用第一可信密碼模塊的雜湊運算服務(wù)����,計算安全策略的雜湊值����。3)將新計算的安全策略雜湊值與存儲的雜湊值比較,如果相等���,安全策略有效����。如果不相等�����,丟棄該安全策略��?����?尚庞嬎闫脚_側(cè)的存儲保護(hù)方法如下。第二可信密碼模塊解析安全管理協(xié)議接收安全管理中心發(fā)送的安全策略后�,對安全策略進(jìn)行相應(yīng)的保護(hù)。保護(hù)使用的密鑰在系統(tǒng)安裝階段存儲在可信密碼模塊內(nèi)��?�?尚庞嬎闫脚_用戶身份認(rèn)證通過后�,可使用該密鑰。安全策略存放的流程如下�����。見附圖7�����。1)使用雜湊運算服務(wù)���,計算安全策略的雜湊值�����。2)使用加解密運算服務(wù)���,加密安全策略和相應(yīng)的雜湊值。3)將加密后的安全策略和雜湊值存放在第二可信密碼模塊的非易失存儲介質(zhì)上���。
提取安全策略的流程如下���。1)接收可信計算平臺主機(jī)側(cè)發(fā)送的安全策略調(diào)用命令。2)使用加解密運算服務(wù)�,解密安全策略和相應(yīng)的雜湊值。3)使用雜湊運算服務(wù)����,計算安全策略的雜湊值。4)將新計算的安全策略雜湊值與存儲的雜湊值比較��,如果相等���,將安全策略返回����。 如果不相等�����,丟棄該安全策略。
權(quán)利要求
1.一種可信計算平臺安全管理系統(tǒng)��,包括第一可信密碼模塊���、第二可信密碼模塊����、安全管理中心模塊�����、安全管理代理模塊和安全策略管理協(xié)議模塊��;第一可信密碼模塊為安全管理中心提供服務(wù)�����,用于實現(xiàn)簽名和簽名驗證���、對稱加解密和雜湊運算��;所述安全管理中心模塊����,用于實現(xiàn)安全策略的生成、存儲和刪除�;通過安全策略管理協(xié)議實現(xiàn)安全策略的分發(fā); 所述安全管理代理模塊�,用于將安全管理中心發(fā)送的管理協(xié)議數(shù)據(jù)流轉(zhuǎn)發(fā)給第二可信密碼模塊����;所述第二可信密碼模塊位于可信計算平臺,用于實現(xiàn)安全策略管理協(xié)議的解析��;實現(xiàn)安全策略的存儲�����;所述安全策略管理協(xié)議模塊�����,用于實現(xiàn)安全管理中心和可信密碼模塊間安全策略信息的傳遞����;其特征在于安全管理中心和第二可信密碼模塊間的安全策略管理協(xié)議基于第一和第二可信密碼模塊實現(xiàn);安全管理中心側(cè)的安全策略基于第一可信密碼模塊實現(xiàn)存儲安全保護(hù)���,可信計算平臺側(cè)的安全策略存放在第二可信密碼模塊內(nèi)��,受到第二可信密碼模塊自身的安全防護(hù)�����。
2.一種可信計算平臺的安全管理方法���,其特征在于包括生成安全策略管理協(xié)議流程以及安全管理中心產(chǎn)生����、提取�����、刪除新的安全策略的流程�����;其中����,安全策略管理協(xié)議流程包括以下步驟·1.1、安全管理中心生成制定可信計算平臺安全策略���;安全管理中心調(diào)用可信密碼模塊雜湊運算服務(wù)�����,計算安全策略數(shù)據(jù)的雜湊運算值�����;·1. 2����、安全管理中心調(diào)用可信密碼模塊簽名運算服務(wù)��,對雜湊運算值進(jìn)行簽名�����; 1. 3安全管理中心將安全策略數(shù)據(jù)��、安全策略數(shù)據(jù)雜湊值��、安全策略數(shù)據(jù)雜湊值簽名信息發(fā)送給可信計算平臺����;·1.4、可信計算平臺安全代理接收安全策略數(shù)據(jù)、安全策略數(shù)據(jù)雜湊值��、安全策略數(shù)據(jù)雜湊值簽名信息�����,并將其轉(zhuǎn)發(fā)給可信密碼模塊��;·1.5���、可信密碼模塊調(diào)用自身的運算引擎首先對安全策略雜湊值簽名進(jìn)行簽名驗證����;如果驗證通過進(jìn)入步驟1. 6�,如果驗證失敗,丟棄該報文����;·1.6、可信密碼模塊調(diào)用自身的運算引擎計算安全策略數(shù)據(jù)的雜湊值�,與發(fā)送過來的安全策略數(shù)據(jù)雜湊值進(jìn)行比較,如果相等���,將安全策略數(shù)據(jù)存儲在可信密碼模塊內(nèi)����,如果不相等,丟棄該報文���;所述的安全管理中心產(chǎn)生新的安全策略的流程如下·2.1���、調(diào)用可信密碼模塊的雜湊運算服務(wù),計算安全策略的雜湊值����;·2. 2、調(diào)用可信密碼模塊加解密運算服務(wù)���,加密安全策略和相應(yīng)的雜湊值;·2.3��、將加密后的安全策略和雜湊值存放在安全管理中心�; 所述的安全管理中心提取指定新的安全策略的流程如下·3.1、調(diào)用可信密碼模塊加解密運算服務(wù)���,解密安全策略和相應(yīng)的雜湊值��; 3. 2�����、調(diào)用可信密碼模塊的雜湊運算服務(wù)����,計算安全策略的雜湊值;·3. 3���、將新計算的安全策略雜湊值與存儲的雜湊值比較�����,如果相等����,安全策略有效�;如果不相等,丟棄該安全策略���;所述安全管理中心刪除指定新的安全策略的流程如下 4.1�、直接刪除該安全策略��。
全文摘要
一種可信計算平臺安全管理系統(tǒng)及安全管理方法����,包括可信密碼模塊����、安全管理中心模塊�、安全管理代理模塊和安全策略管理協(xié)議模塊;安全管理中心模塊和可信密碼模塊間的安全策略管理協(xié)議模塊基于可信密碼模塊實現(xiàn)�����,保證安全管理策略傳輸?shù)陌踩?����;安全管理中心?cè)的安全策略基于可信密碼模塊實現(xiàn)安全保護(hù)�,可信計算平臺側(cè)的安全策略存放在可信密碼模塊內(nèi),受到可信密碼模塊自身的安全防護(hù)�����,保證安全管理策略存儲的安全性�����?;诳尚庞嬎闫脚_的安全管理方法,包括生成安全策略管理協(xié)議流程以及安全管理中心產(chǎn)生�、提取、刪除新的安全策略的流程�;實現(xiàn)了對安全策略數(shù)據(jù)加密和完整性驗證保護(hù),防止數(shù)據(jù)泄露以及攻擊者對安全策略數(shù)據(jù)的非法篡改�。
文檔編號H04L9/32GK102340500SQ20111019617
公開日2012年2月1日 申請日期2011年7月13日 優(yōu)先權(quán)日2011年7月13日
發(fā)明者傅子奇, 劉毅, 汪曉睿, 沈昌祥, 涂航, 蔡誼, 鄭志蓉, 金剛, 黃強 申請人:中國人民解放軍海軍計算技術(shù)研究所