[发明专利]一种多级互联支撑平台的TCB扩展方法

说明书

技术领域

本发明涉及安全管道、TCB扩展以及可信计算领域，尤其涉及多级互联支撑平台的TCB扩展方法。

背景技术

信息系统安全主要由应用安全与操作系统安全组成，两者都拥有各自独立的安全策略，缺乏协调一致性；TCB是计算机内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。实际实施中，随着网络应用的扩大，信息系统的安全风险也更加严重和复杂，在一些企业的管理网络与工业控制网络之间构建多级安全互联平台，如申请人2011-8-29申请的发明专利申请（申请号为：201110250370.7、201110250372.6、201110250375.X、201110250369.4、201110250349.7）。需采取积极防御全面防护的思想，以应用系统的安全防护为目标，通过扩展构建与应用安全需求一致的系统TCB，由安全管道将各层安全机制连接成一个有机的整体，实现不同安全机制之间的统一，从而保证安全实体的可信和安全机制间的安全交互，实现信息化平台安全互联的目的，进一步提高整个信息系统的安全防范能力，保障安全生产。

发明内容

本发明要解决的技术问题：多级互联支撑平台中，在不同的安全机制实体间扩展构建与应用安全需求一致的系统TCB，实现不同安全机制间的协调一致，为应用提供细粒度的安全支撑，避免TCB内部安全机制的重叠以及减少其间的相互冲突。

为了实现上述的目的，本发明是通过下述技术方案解决上述技术问题的：

多级互联支撑平台的TCB扩展方法，该方法由各TCB组件来实现，TCB组件包括：

用于对重要应用程序和服务进行完整性验证的可信增强子系统；

用于提供多级互联应用的通用交换接口和进行Web访问验证、传输数据标记的L/H端数据交换前置子系统；

用于对数据进行协议转换的L/H端互联系统模块；

用于对需跨级访问的系统进行强制访问控制和对数据进行可信验证的互联仲裁系统；

用于对跨级互联的服务端和终端提供可信授权与验证，以及对L/H端数据交换前置和安全隔离、信息交换设定关键参数和制定安全策略的多级互联安全管理中心。

其中，可信增强子系统为应用访问终端、数据交换中间件和数据交换平台提供应用程序和服务的完整性验证，与L端数据交换前置相连接；L端和H端数据交换前置分别与L端互联系统、H端互联系统连接；L/H端互联系统与互联仲裁系统连接并进行交互；多级互联安全管理中心与互联仲裁系统相连接。

当数据交换平台及应用终端首次访问数据交换前置时，首先通过多级互联安全管理中心进行注册，同时提供自身的可信验证信息，通过授权后，得到管理中心下发的安全策略，进行跨级访问时，根据策略先进行可信互连验证，确保安全可信接入；客户端的操作系统增强模块利用信任链传递技术，对操作系统内核装载的重要应用程序和服务进行完整性验证，当可执行代码启动时，操作系统增强模块截获请求，计算要启动的可执行代码文件的摘要值，查询预期值文件白名单，判断该可执行代码的摘要值是否与预期值文件中存储的一致，若一致，则允许程序启动，否则，则拒绝启动该程序。

数据交换平台进行跨级访问时，只能访问L端数据交换前置，将需要交换的数据提交至L端前置的数据接口（SOAP、JDBC、FILE等），由L端数据交换前置进行数据解析、还原，并进行数据可信标记，转发至安全互联部件；客户端的Web应用进行跨级访问时，也只能访问L端数据交换前置，通过web应用防护过滤后，转发至安全互联部件。如果既不是相应的协议包又不是web连接，则丢弃并关闭连接。

需跨级访问的系统要进行基于可信验证标记的强制访问控制机制，首先互联仲裁系统接受L端互联部件发来的数据包，如果能成功提取标记属性，则提取数据，计算消息的摘要，否则，将数据包丢弃，中断连接；然后，判断标记属性是否符合消息摘要；最后，如果符合，则确认为合法，对H端互联部件发起连接，否则，中断连接，丢弃数据包。

L端互联系统接收到来自L端数据交换前置的TCP/IP连接数据后，将数据包剥离成应用层数据，通过专用安全协议进行封装，通过专用数据链路和传输硬件发送至互联仲裁系统，互联仲裁系统对进出边界的数据信息的标记进行验证，将可信的数据运用专用安全协议封装，通过专用数据链路和传输硬件发送至H端互联系统，H端互联系统将可信数据重新打包成TCP/IP协议数据包，发送至H端数据交换前置，再连接到H端相应的数据服务器、中间件。