服務(wù)熱線:
13342898875
要使DCRMS可信度得到增強(qiáng),需從DCRMS各層次入手,采取綜合措施提高DCRMS可信度,并對(duì)其可信度進(jìn)行評(píng)價(jià)。按照DCRMS可信度目標(biāo),DCRMS多維度可信增強(qiáng)方案分別從用戶身份認(rèn)證、系統(tǒng)監(jiān)控實(shí)體軟硬件完整性驗(yàn)證及系統(tǒng)數(shù)據(jù)保護(hù)三方面設(shè)計(jì)部署可信增強(qiáng)模塊。
(1)DCRMS完整性功能。DCRMS完整性驗(yàn)證包括感知層監(jiān)控設(shè)備完整性(保障監(jiān)控設(shè)備硬件不被非法替換)、監(jiān)控服務(wù)器數(shù)據(jù)接口完整性(保證監(jiān)控接口軟件組件及監(jiān)控?cái)?shù)據(jù)來(lái)源真實(shí)可靠)兩方面。監(jiān)控設(shè)備完整性驗(yàn)證功能包括:感知層監(jiān)控設(shè)備表征模塊接收完整性驗(yàn)證模塊驗(yàn)證請(qǐng)求信息,對(duì)監(jiān)控設(shè)備的不變特征信息融合后取其散列值,其結(jié)果發(fā)送至可信功能服務(wù)器完整性驗(yàn)證模塊;完整性顯示模塊完成監(jiān)控設(shè)備完整性驗(yàn)證結(jié)果及歷史信息反饋,方便DCRMS用戶獲取監(jiān)控設(shè)備完整性的實(shí)時(shí)、歷史信息。完整性驗(yàn)證模塊發(fā)起軟件組件完整性驗(yàn)證,將完整性驗(yàn)證挑戰(zhàn)信息發(fā)送至服務(wù)器數(shù)據(jù)接口;服務(wù)器數(shù)據(jù)接口完整性表征模塊接收挑戰(zhàn)信息,并回發(fā)相應(yīng)響應(yīng)至服務(wù)器數(shù)據(jù)接口;完整性顯示模塊完成服務(wù)器數(shù)據(jù)接口完整性驗(yàn)證結(jié)果及歷史信息的反饋,方使DCRMS用戶獲取服務(wù)器數(shù)據(jù)接口完整性的實(shí)時(shí)、歷史信息。
(2)DCRMS身份認(rèn)證功能。它包括可信功能服務(wù)器對(duì)監(jiān)控用戶身份認(rèn)證、感知層監(jiān)控設(shè)備對(duì)可信功能服務(wù)器身份認(rèn)證。采用用戶數(shù)字指紋、非對(duì)稱密鑰加密相結(jié)合方法實(shí)現(xiàn)用戶身份注冊(cè)及認(rèn)證,在用戶登錄DCRMS前,通過(guò)數(shù)字指紋采集儀、指紋模板信息和身份口令信息進(jìn)行身份注冊(cè),并采用特定加密算法對(duì)上述信息進(jìn)行融合計(jì)算,其結(jié)果提供給可信功能服務(wù)器。根據(jù)該融合信息計(jì)算用戶身份證據(jù)標(biāo)識(shí),并對(duì)其進(jìn)行數(shù)字簽名,分別發(fā)送至用戶 USBKey、認(rèn)證服務(wù)器進(jìn)行安全存儲(chǔ)。用戶登錄DCRMS時(shí),提供用戶口令、USBKey中存儲(chǔ)身份證據(jù)標(biāo)識(shí),由認(rèn)證服務(wù)器對(duì)其身份合法性進(jìn)行驗(yàn)證,并根據(jù)其身份信息向用戶提供相應(yīng)權(quán)限,以實(shí)現(xiàn)訪問(wèn)控制。由于用戶并未直接提供自己的口令及指紋信息,使其個(gè)人隱私得到更好的保護(hù),提高 DCRMS身份認(rèn)證安全性。
(3)DCRMS訪問(wèn)控制功能。它包括可信功能服務(wù)器機(jī)房對(duì)監(jiān)控命令的授權(quán)管理、監(jiān)控命令執(zhí)行過(guò)程中的訪問(wèn)控制。其中,可信功能服務(wù)器對(duì)監(jiān)控命令授權(quán)是指應(yīng)用層的操作終端根據(jù)監(jiān)測(cè)情況發(fā)出命令請(qǐng)求,由訪問(wèn)控制模塊查閱訪問(wèn)控制權(quán)限數(shù)據(jù)庫(kù),進(jìn)行權(quán)限審查,僅允許授權(quán)命令請(qǐng)求被執(zhí)行。
(4)DCRMS數(shù)據(jù)保護(hù)功能。主要針對(duì)系統(tǒng)實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)、歷史監(jiān)控?cái)?shù)據(jù)和用戶信息等敏感數(shù)據(jù)。由于DCRMS資源受限、數(shù)據(jù)量大,結(jié)合DCRMS身份認(rèn)證系統(tǒng),采用DES對(duì)稱加密算法。加密密鑰以XML形式存儲(chǔ)在USBKey中,且不可被導(dǎo)出,以保障其安全性。敏感數(shù)據(jù)以密文形式在DCRMS網(wǎng)絡(luò)中傳輸,存儲(chǔ)在監(jiān)控服務(wù)器數(shù)據(jù)庫(kù)或本地。
DCRMS可信模塊各部分均涉及數(shù)據(jù)保護(hù)方法,如身份認(rèn)證中用戶口令與數(shù)字指紋模板的加密處理、完整性驗(yàn)證中監(jiān)控?cái)?shù)據(jù)完整性等。以上基于數(shù)字指紋隨機(jī)密值IBC身份認(rèn)證框架、關(guān)鍵技術(shù)和性能評(píng)估,系統(tǒng)研究DCRMS完整性驗(yàn)證技術(shù)。
13342898875