用于安全访问的自主系统和方法与流程

相关申请的交叉引用

本发明要求在2014年11月11日递交的名称为“autonomoussystemforsecureelectronicsystemaccess”的美国临时申请no.62/078,137的优先权，该美国临时申请的全部内容通过引用并入在本文中。本发明还将在2014年10月24日递交的美国专利申请no.14/523,577和在2015年2月27日递交的美国专利申请no.14/634,562的全部内容通过引用并入在本文中。

附图说明

图1为根据本发明的实施方式的受保护系统、自主控制系统和输入设备。

图2为根据本发明的实施方式的串联连接的自主控制系统。

图3为示出根据本发明的实施方式的控制方法的流程图。

图4为根据本发明的实施方式的串联连接的自主控制系统。

图5为示出根据本发明的实施方式的串联连接的自主控制系统的操作的示意图。

图6为根据本发明的实施方式的串联连接的自主控制系统。

图7为根据本发明的实施方式的并联连接的自主控制系统。

图8为根据本发明的实施方式的并联连接的自主控制系统。

图9为示出根据本发明的实施方式的并联连接的自主控制系统的操作的示意图。

图10为根据本发明的实施方式的串联和并联连接的自主控制系统。

图11为根据本发明的实施方式的包括通信总线的自主控制系统。

图12为根据本发明的实施方式的包括半导体多芯片模块的自主控制系统。

图13为根据本发明的实施方式的在外部安装在插入式pcb上的自主控制系统。

图14为示出根据本发明的实施方式的自主控制系统的防篡改特征的流程图。

图15示出根据本发明的实施方式的使用自主控制系统作为对用于安全共同处理的主机cpu的系统服务的工序流程。

图16为根据本发明的实施方式的安全模块。

图17为根据本发明的实施方式的安全分数推导。

图18为根据本发明的实施方式的资产分解。

图19为根据本发明的实施方式的资产评估。

图20至图23为根据本发明的实施方式的资产细分。

图24为根据本发明的实施方式的基础安全分数证书。

图25为根据本发明的实施方式的基础安全分数证书。

图26为根据本发明的实施方式的安全分数降级。

图27为根据本发明的实施方式的安全要求证书。

图28为根据本发明的实施方式的示例性基础安全分数证书。

图29为根据实施方式的示例性基础安全要求证书。

图30为根据本发明的实施方式的归一化安全分数比较。

图31为根据本发明的实施方式的归一化安全分数比较。

图32为根据本发明的实施方式的安全验证。

图33为根据本发明的实施方式的安全比较。

图34为根据本发明的实施方式的网络访问验证。

图35为根据本发明的实施方式的互相安全验证。

图36为根据本发明的实施方式的具有再评估的网络访问验证。

图37为根据本发明的实施方式的具有回退网络访问的网络访问验证。

图38为根据本发明的实施方式的客户端网络访问验证。

图39为根据本发明的实施方式的外围设备验证。

具体实施方式

电子系统、机械系统、化学系统和生物系统可以具有可导致严重故障的状态或状态序列。这类致命状态可以从内部的自然力量、外部的不可抗力、或外部的故意敌对力量发生。在工业系统中，在远程控制和监控下的驱动设备或系统可以具有已知的不利状态，控制系统可以允许这些不利状态作为故障、用户失误、或恶意或敌对行为的结果。驱动设备可以接受并执行这类命令或出界信号，导致整个相关系统从这类诱发状态受损害、降级或自毁。例如，诱发的不利系统状态可以为过快或过慢的处理速度、打开得过远或关闭得过紧的阀门、或过高或过低的压力或温度。许多设备可能缺乏其自身的用以在物理上或电力上防止这些出界操作的内部保护措施。

本文中所描述的系统和方法可以提供自主控制，该自主控制可以根据商业规则和/或安全规则来监控并修改或阻断输入信号和/或输出信号，从而保护系统关键部件。信号修改和/或阻断可以确保多个设备或系统之间及其内部的出界连接状态不发生或仅在无关紧要的时间量发生，以最小化或防止不期望的系统效应。(连接状态可以为在物理层级、在特定时刻的两个或更多个设备或系统之间的任何受监控的信号级或命令。例如，物理层可以为设备或系统的传送原始信号的最低硬件层。)当检测到违反规则的信号时，自主控制系统(例如电路)可以通过在内部截断违反信号而阻断违反信号。该电路反而可以不向受保护系统发送信号或向受保护系统发送失效保护信号，该受保护系统可以为受自主控制系统保护的任何设备或系统(dup)。该电路可以被配置成与遗留系统一起使用，例如通过被设计到系统升级中或被改装到系统。

在一些实施方式中，自主控制可以基于量子安全模型(qsm)。qsm为安全测量和比较方法。qsm可以提供分解系统且以一致的方式评估原始部件的归一化方法，这可以允许相互依赖性被更准确地理解和测量。qsm可以提供将原始部件的产生的评估归一化为可量化的分数的方法。qsm可以允许资源拥有者指定他们识别和接受什么评估(签名)权限。qsm方法可以用于评估系统或设备的当前安全状态和概率性的未来安全状态。qsm可以允许个体资源拥有者在授予访问权之前指定并验证资产的安全分数。qsm可以使具有计算能力的资产在分享资源或服务之前互相认证彼此。

在qsm中，可以通过在设备、系统、或实体(“资产”)上执行评估过程来实现公共测量，其中期望商定的、可复制的、独立可验证的安全等级确定。符号化为(“qs”)且发音为(“qsec”)的量子安全单元可以为基于qsm测量系统的安全性的标准单元。qsec可以为类似于量子力学中的粒子的位置的瞬时值，从而它可以仅在由观察者进行测量的时刻被最好地评估且最好地获知。在测量之后，可以随着时间推移以降级的精度仅概率性地确定粒子的位置。作为量子测量的qsec可以分享该特性。可以假定系统可以从安全视角被看成波浪式系统，以及可以应用量子力学的原理。系统的安全性为该系统的性质。时间推移连同系统的常规功能和操作及其环境全部可以影响系统的安全性。因此，系统的安全性可以为动态的且安全性的已知状态自然可以为瞬时的。因此，系统可以被表示为波浪式系统且系统安全性可以被表示为量子性质。类似于粒子的位置，可以使用量子力学原理来量化地限定系统的安全性以供测量。测量结果可以提供在量子安全单元中表示的安全测量值，其中，0值表示系统中完全缺乏任何安全性，以及增大值指示较高的安全性。

在系统安全性测量过程期间，可以从待评估的标准导出1qsec表示的值。各个标准可以具有关于其对安全性的影响的公共值范围。而且，各个标准可以具有产生该范围内的结果的相关联的评估过程。标准加权方法可以应用于各个标准，以及公共值范围可以变为安全值尺度，量子安全测量值代表该安全值尺度(如以qsec表示)。例如，qsec值可以表示矩阵力学中的特征值。处于不同时间段的不同观察者可以根据其视角在理论上不同地解释这个值，且可以期望将其自身的概率性过滤器应用到qsec值或执行其自身的测量过程以确定系统的qsec值。因此，可以预先确定该值，从而当分类系统安全性时以有意义的方式利用qsec测量。该预先确定可以自动地来完成，可以由用户来设置、和/或可以在系统初始化时或系统初始化之前来设置。

在本文中所描述的系统和方法可以包括一个或多个计算机，该计算机也可以被称为处理器。计算机可以为能够执行算术操作和/或逻辑操作的任何一个或多个可编程机器。在一些实施方式中，计算机可以包括处理器、存储器、数据存储设备、和/或其它公知的或新型的部件。可以在物理上或者通过网络或无线链路连接这些部件。计算机还可以包括可指导前文提及的部件的操作的软件。计算机可以被称为由相关领域中的普通技术人员常用的术语，诸如服务器、pc、移动设备、路由器、交换机、数据中心、分布式计算机和其它术语。计算机可以促进多个用户和/或其它计算机之间的通信、可以提供数据库、可以执行数据的分析和/或转换、和/或执行其它功能。将由普通技术人员所理解，在本文中所使用的那些术语为可互换的，以及可以使用能够执行所描述功能的任何计算机。计算机可以借助一个或多个网络而彼此链接。网络可以为任何多个完全或部分互连的计算机，其中，一些或全部计算机能够彼此通信。将由普通技术人员所理解，计算机之间的连接在一些情况下可以为有线的(例如，借助以太网连接、同轴连接、光学连接、或其它有线连接)或可以为无线的(例如，借助wi-fi、wimax、4g、或其它无线连接)。计算机之间的连接可以使用任何协议，包括面向连接协议(诸如tcp)或无连接协议(诸如udp)。至少两个计算机可以交换数据所通过的任何连接可以为网络的基础。

在一些实施方式中，在所描述的系统和方法中使用的计算机可以为专门配置用于自主安全的专用计算机。例如，服务器可以装配有专用处理器、存储器、通信部件等，这些专用处理器、存储器、通信部件等被配置成一起工作以执行与自主安全电子系统相关的功能，如在下文更详细地描述。

自主控制系统和方法

图1示出受保护系统2100。受保护系统2100可以与输入设备2102通信。输入设备2102可以将信号发送到受保护系统2100和/或从受保护系统2100接收信号。输入设备例如可以为模拟或数字信号端口、控制旋钮、触摸显示器、键盘、鼠标、和/或一些其它外围设备。输入设备2102还可以为用于受保护系统2100的主机设备或网络上的设备。自主控制系统2104(其可以被称为专用监控和动作设备(dmad))可以被放置成串联在输入设备2102和受保护系统2100之间和/或与输入设备2102和受保护系统2100并联。如下文更详细地描述，自主控制系统2104的各种实施方式可以包括配置成执行软件的电子电路、处理器和存储器或其组合。自主控制系统2104可以为内在安全的(例如包括加密和防篡改能力)。自主控制系统2104还可以被显示为与输入设备/主机2102和受保护系统2100之间在数据流的两个方向上的数据连接串联或并联，从而自主控制系统2104可以监控去往受保护系统2100的输入信号和来自受保护系统2100的输出信号。

在一些实施方式中，自主控制系统2104可以创建实施规则的决定性行进条件。决定性行进条件可以为在输入的信号和即将到来的信号之间故意诱发的行进条件，从而具有仅输入的信号将影响输出的高的确定性水平。当违反规则的信号出现在去往或来自受保护系统2100的数据总线上时，自主控制系统2104可以全速行进以检测违规，以及可以在内部切断信号且代替失效保护信号(如果串联连接)或可以试图修改该信号(如果并联连接)。输入的信号和/或输出的信号可以被缓存以提供更多检测时间以及确保仅仅通过验证的信号被自主控制系统2104传输到受保护系统2100，反之亦然。

在一些实施方式中，自主控制系统2104可以在物理上被显示在受保护系统2100中或者在物理上以各种方式连接到受保护系统2100或控制设备，上述各种方式诸如硅芯片叠加、集成电路封装叠加、模块化系统模块叠加、光纤、射频、导线、印制电路板线、量子纠缠、或者分子连接、热连接、原子连接或化学连接。

在一些实施方式中，自主控制系统2104可以包括物理接口，该物理接口串联、并联、或串联和并联连接在一个或多个设备或系统(例如输入设备2102和受保护系统2100)之间。对于给定应用和系统类型(诸如有机、电子、或射频)，每种物理连接类型可以具有不同组的设计考虑和权衡。例如，在电子系统中，可以评估电压接口级别、信号集成度、驱动强度、防篡改、和/或诱导的传播延迟，以确定连接方法。

在一些实施方式中，自主控制系统2104可以为具有加密的记忆存储器和防篡改特征的计算机系统，该计算机系统可以被设计、被编程、和被放置成自主地对主机系统或设备实施特定的安全和商业规则。自主控制系统2104可以包括多个部件，诸如处理逻辑、记忆存储器、输入/输出缓冲器、通信端口、和/或重编程端口。自主控制系统2104可以不断地实时分析任何数量的设备或系统之间的连接状态以及可以实施预定的商业和安全规则。当检测到出界状态时，自主控制系统2104可以阻断、推翻禁止的连接状态，或将禁止的连接状态改变为已知的良好状态。例如，类似方法可以应用于电系统、光学系统、机电系统、电磁系统、热系统、生物系统、化学系统、分子系统、重力系统、原子系统、或量子力学系统。

在一些实施方式中，自主控制系统2104可以包括可编程设备，该可编程设备可以被编程为自主地响应于刺激而确定性地运转。例如，自主控制系统2104可以包括现场可编程门阵列(fpga)、微控制器(mcu)、微处理器(mpu)、软件定义无线电、电光设备、量子计算设备、有机化合物、可编程物质、或可编程生物病毒。自主控制系统2104可以直接连接到受保护系统2100或连接到运行在受保护系统2100上的一个或多个控制设备。自主控制系统2104可以在物理上被连接，诸如通过硅芯片叠加、集成电路封装叠加、模块化系统模块叠加、光纤、射频、导线、印制电路板线、量子纠缠、分子方式、热方式、原子方式、或化学方式。

在一些实施方式中，自主控制系统2104可以与受保护系统2100存储器分离而安全地存储数据(诸如加密证书或系统日志)，从而仅可以利用更强大的认证方法和访问控制(相比于受保护系统2100所提供的)来访问或修改该数据。例如，自主控制系统2104可以被计算机系统用来实施安全评分方法(例如，自主控制系统2104可以被用于存储安全证书和需求信息)。此外，安全评分方法可以利用自主控制系统2104基于安全分数信息对外部资源进行确认/验证、认证和授权。例如，所存储的数据可以用于验证与其它系统结合的安全集成度。

在一些实施方式中，自主控制系统2104可以用于实现电子系统的内部的电子加密的公钥基础设施(pki)以确保内部系统部件、数据和/或外部连接设备的集成度和真实性。此外，这些证书可以被用于安全通信，确保消息的机密性、完整性、和/或真实性。例如，实现和实施电子加密pki的自主控制系统2104可以包括只读存储器(rom)分区，该只读存储器(rom)分区包含在系统的初始制造期间可编程的公钥或全局唯一标识符(guid)。然后可以在自主控制系统2104首次启动时通过自主控制系统2104例如使用行业标准加密方法(诸如rsa和x.509证书)在内部生成私钥。然后可以使用该私钥来生成证书请求，该证书请求可以由制造商的证书认证机构(ca)或批准的第三方ca来签名。然后可以将签名的证书安全地存储在自主控制系统2104的rom上。然后可以使用该证书来实现数据的数字签名和加密/解密。实现电子加密pki的自主控制系统2104可以被改装到未实现电子加密pki的受保护系统2100中，从而添加这类能力。这可以具有如下益处：使私钥存储在受保护系统2100不可访问的位置上用以增加安全性。

在一些实施方式中，自主控制系统2104可以与电子加密pki一起使用以确认内部受保护系统2100的部件为真实的，以及其它(内部受保护系统2100和/或外部输入设备2102)的部件也能够实现pki，从而可以交换、存储和认证公钥。如果利用伪造版本篡改和替换实现pki的受保护系统2100或输入设备2102的部件，则自主控制系统2104可以能够检测伪造品，这是因为伪造设备的签名可能是不存在的或与原始的设备签名不同的。

在一些实施方式中，自主控制系统2104可以利用加密方法(诸如pki)来确保受保护系统2100和其它(例如外部输入设备2102)系统部件内的数据完整性。自主控制系统还可以实现确保尚未以任何方式改变数据的加密方法。此外，可以保证数据的真实性，因为数据的发起者可以被证明或确认。例如，自主控制系统2104可以使用外围设备的公钥来加密意图用于外围设备的消息并核实从外围设备接收的消息。

在一些实施方式中，自主控制系统2104可以实现电子加密pki，以及还可以通过生成虚拟系统(或其部件)的加密签名的散列值并存储那些散列值来保证虚拟机和/或管理程序(通常被称为“虚拟系统”)的完整性和真实性。然后自主控制系统2104可以通过重新计算散列值并将其与存储值相比较来证实虚拟系统的真实性和完整性。此外，自主控制系统2104可以一直、在预定的或随机的时间段、和/或在预定的或随机的持续时间内仿真受保护系统2100，使得所接收的任何命令不到达受保护系统2100，从而防止对受保护系统2100的影响。该操作模式可以用于测试或用于向攻击者给出在实际上从未在受保护系统2100处驱动恶意企图时的攻击成功的印象。自主控制系统2104可以包括进攻性措施，该进攻性措施可以在检测到禁止的连接状态、命令和/或命令序列时抵消威胁。例如，如果在usb端口上检测到未授权的连接，则自主控制系统2104可以将信号输入到usb外围输入设备2102中以破坏或抵消该未授权的连接。

在一些实施方式中，自主控制系统2104可以为集成电路芯片上的电子电路设计，该集成电路芯片可以以如下这类方式串联连接到控制设备中的第二集成电路芯片的物理接口：其对系统性能和功能具有微不足道的影响。同时，第一集成电路芯片可以能够禁止与第二集成电路芯片的某些连接状态。该连接状态可以为给定时刻的两个设备之间的每个连接点上的信号级，诸如每个数字i/o连接上的电压级。可替选地，电子设备可以被插入在或添加到信号接口上，该信号接口可以包括对一个或多个电子设备或系统之间的一些或全部信号级或状态的外部恒定监控、以及确保设备或系统之间的出界信号状态不发生或仅在无关紧要的时间量内发生的动作，从而不期望的系统效应将不发生。实现该方法的电子设备可以串联、并联、或串联和并联连接在一个或多个设备或系统之间，以及可以独立地或与外部监控和控制(包括利用计算机实现的安全评分方法)一起运行。

在一些实施方式中，自主控制系统2104可以作为基于硬件的串联“中间人”(mitm)操作。受保护系统2100和输入设备2102(例如外围设备)之间的通信可以正常地继续，直到自主控制系统2104的监控逻辑在信号总线上检测到预先编程的禁止的信号模式、数据封装或访问尝试。当检测到禁止的信号时，自主控制系统2104可以通过选择替选的信号总线(或中断总线)来完全禁用主信号总线。该替选的信号总线可以用于记录外围设备、中断外围设备、或与外围设备的全部断开。可以选择替选的信号总线，同时保持与受保护系统2100的通信，例如以通知受保护系统2100其受到攻击。例如，自主控制系统2104可以通过使用内部参数化多路复用器例示来保持该通信，该内部参数化多路复用器例示的通道选择线由专用的监控和动作逻辑控制，该专用的监控和动作逻辑被编程到受保护系统2100中。

图2示出包括处理器2200和存储器2202的自主控制系统2104的实施方式，该自主控制系统2104与输入设备2102(未示出)和受保护系统2100(未示出)串联布置。处理器2200可以在节点2204上接收输入信号，该节点2204可以连接到输入设备2102。处理器可以在节点2206上生成输出信号，该节点2206可以被路由到受保护系统2100。存储器2202可以存储禁止的输入信号状态。处理器2200可以将输入信号与禁止的输入信号状态相比较且可以产生匹配信号或不匹配信号。响应于不匹配信号，可以将输入信号供应给受保护系统2100。响应于匹配信号，可以将替代的输入信号供应给受保护系统2100。该代替的输入信号可以为不引起对受保护系统2100的损害的信号。例如，指导受保护系统2100的电机以其最高速度操作的去往受保护系统2100的输入可能不利于特定处理操作且不应当被允许。如果这类命令为来自输入设备2102的输入，则自主控制系统2104可以截获该信号并采取紧急动作以防止未授权的状态。在本示例中，自主控制系统2104可以完全地控制速度选择并向受保护系统2100发送保持先前授权的速度选择的合适信号。此外，自主控制系统2104可以创建日志条目或发送尝试未授权的连接状态的警报。自主控制系统2104的响应可以取决于应用且可以被预先编程。例如，自主控制系统2104还可以被编程为停止物理过程而非保持当前速度。

图3为示出根据本发明的实施方式的控制方法的流程图。该图呈现了用于上文所讨论的串联的自主控制系统2104的实施方式的示例性流程图。该示例性流程图还可以应用于下文所讨论的附加的串联的和/或并联的自主控制系统2104的实施方式，这些实施方式可以包括或不包括图2的处理器2200和存储器2202。自主控制系统2104可以监控受保护系统2100和输入设备2102之间的连接状态3405。可以检查状态以确定该状态是否出界3410(例如，来自上文图2的示例的最大速度命令)。如果允许该状态，则监控可以正常地继续3405。如果该状态出界，则自主控制系统2104可以采取抵抗该状态的动作3415(例如，通过将速度设置为比所命令速度低的速度或通过指示受保护系统2100保持其当前速度)。自主控制系统2104可以确定其介入是否将受保护系统2100设置或还原到可接受状态3420。例如，自主控制系统2104可以确定电机是否实际上已恢复到较低速度而无损害。如果受保护系统2100是好的，则监控可以正常地继续3405。然而，在一些情况下，可能无法将受保护系统2100恢复到可接受状态。例如，如果受保护系统2100为一把锁，且在自主控制系统2104可以介入之前，该受保护系统2100接收到开锁命令(例如，在并联布置(诸如下文关于图7所描述的并联布置)中)，受该锁控制的门可以已打开。再次锁上该锁将不符合该条件。在该情况下，可以使受保护系统2100与进一步外部输入隔离，以及可以产生警报3425。

图4为根据本发明的实施方式的与在受保护系统2100和输入设备2102之间的串联接口连接的自主控制系统2104的框图。该实施方式可以类似于上文所讨论的图2的实施方式起作用，但是在自主控制系统2104内可以具有除了处理器2200和存储器2202以外和/或代替处理器2200和存储器2202的其它元件。在本示例中，自主控制系统2104可以包括可编程逻辑器件(pld)或提供监控逻辑2140的其它设备(例如电路、处理器等)。监控逻辑2140通常可以通过双向多路复用器(mux)2160而在受保护系统2100和外围设备2102之间传递所有信号。相同的信号也可以被送入提供控制逻辑2150的监控和动作电路，该监控和动作电路可以为提供监控逻辑2140的pld、电路、或处理器的一部分，或者可以与监控逻辑2140分离(例如单独的pld、电路、处理器等)。在本图中绘制的实施方式为自主控制系统2104的基于硬件的串联“中间人”(mitm)实现方式。在本实施方式中，受保护系统2100和外围设备2102之间的通信可以正常地继续，直到监控逻辑2140在信号线上检测到预先编程的禁止的信号模式、数据包或访问尝试。当检测到禁止的信号时，自主控制系统2104中的控制逻辑2150可以通过选择替代的内部i/o总线(或中断总线)来记录外围设备2102、中断外围设备2102、或与外围设备2102全部断开而完全禁用主要外围设备i/o总线。可以在自主控制系统2104中实现该方法，同时保持与受保护系统2100的通信以通知受保护系统2100其受到攻击。自主控制系统2104可以通过使用内部参数化多路复用器2160例示来保持该通信，该内部参数化多路复用器2160例示的通道选择线由专用的监控和动作逻辑控制，该专用的监控和动作逻辑被编程到受保护系统2100中。

图4的自主控制系统2104可以在物理层串联在受保护系统2100的cpu和所连接外围设备2102之间，该所连接外围设备2102可以在受保护系统2100的内部或外部。通信总线可以穿过包括监控逻辑2140和mux2160的自主控制系统2104，该自主控制系统2104被编程为检测违反对于给定应用的规则的信号。当检测到这类信号时，自主控制系统2104可以阻止这些信号到达受保护系统2100或至少阻止这些信号在受保护系统2100处坚持达一定时长，该时长对于过程为不期望的。在图4的示例中，总线a通常可以穿过受保护系统2100的cpu和外围设备2102之间的自主控制系统2104，并携带去往受保护系统2100的cpu的信号和来自受保护系统2100的cpu的信号。在如此做时，总线a可以穿过自主控制系统2104的输出多路复用器2160。是总线a还是总线b到达受保护系统2100可以由多路复用器2160的s0控制端口来确定。当s0端口为逻辑0时，总线a可以穿过。当s0端口为逻辑1时，总线b可以穿过。总线b的每条线的值可以受自主控制系统2104的状态机控制逻辑2150控制，该状态机控制逻辑2150可以被配置成实施规则。在本示例中，当总线a的所有线为高时，s0可以坚持为逻辑1。作为响应，4输入与(and)门可以拨动s0以切换到总线b。与门可以为硬件门，以及通过硬件与门的传播时间可以为纳秒级，因此可以执行接近即时的切换。也可以借助供给s0的2输入或门、直接通过自主控制系统2104的状态机控制逻辑2150控制s0。自主控制系统2104的多个实例可以被插入受保护系统2100和输入设备2102的各个输入和/或输出之间以对各种接口实施各种规则。

在图4中还示出了可以存储和加密数据的安全存储器2151。该存储器可以被用作自主控制系统2104对主机cpu的系统服务和/或可以包含与主机cpu隔离的数据，诸如可从安全应用或外围设备读出的规则违反事件的日志。

在图4的示例中绘制的自主控制系统2104可以以串联接口来布置，该串联接口使用具有如下特征的可编程逻辑器件：对于受监控线的通过自主控制系统2104的引起的信号传播延迟对于系统时序要求是可忽略的。自主控制系统2104中的pld可以包括常规“穿过”模式，该模式增加少量的传播延迟，例如大约二十纳秒的延迟。所增加的延迟对于许多系统可以是无关紧要的，因此可以不影响正常的系统操作。

在图4的示例中绘制的自主控制系统2104的串联接口可以能够部分地或完全地使受保护系统2100与外围设备2102断开连接，以作为防篡改措施在电气上隔离受保护系统2100。然后自主控制系统2104可以将任何攻击性信号、防御性信号、或诊断/修复信号输出到攻击或故障的外围设备2102，或仅仅保持状态。

图5为示出根据本发明的实施方式的具有串联接口的电子自主控制系统2104的防止未授权的连接状态的操作的示意图。自主控制系统2104可以被放置在速度选择输入设备(外围设备2102)和驱动设备(受保护系统2100)之间，该驱动设备接受二进制编码的速度以应用于物理过程。自主控制系统2104可以包括监控逻辑2140，该监控逻辑2140监控输入并将输入传递到多路复用器(mux)或开关2160。如果输入被允许，则这些输入可以从mux2160前进到受保护系统2100。如果输入不被允许，则状态机监控和控制动作逻辑2150反而可以介入并引起mux2160将由状态机监控和控制动作逻辑2150生成的输出传递到受保护系统2100。在本示例中，最高速度(用二进制“1111”表示)不利于特定处理操作且不应当被允许。图5中绘制的设备可以被调整为监控大量连接状态并对其起作用，这些连接状态编码多种多样的不同功能。例如，本示例中的自主控制系统2104还可以被编程为防止未授权的速度选择序列，诸如从最低允许速度立即跳到最高允许速度。自主控制系统2104的逻辑可以为专用的，因此尽管“1111”在本示例中为禁止输入，但是在其它实施方式中可以禁止其它输入。去往自主控制系统2104的输入受限于本示例的4位实施方式。

在图5.1中，速度选择总线连续地使信号穿过自主控制系统2104以及借助自主控制系统2104的“总线开关”到达驱动设备。自主控制系统2104可以针对可编程的未授权速度(连接状态)监控速度选择总线并采取预编程的动作，在该示例中为控制总线开关。在图5.1中，所选速度为授权速度，因此自主控制系统2104允许该选择传递到驱动设备。

图5.2绘制了非故意地或恶意地通过输入设备2102传输到自主控制系统2104的针对速度的未授权的信号“1111”。自主控制系统2104可以拦截该信号并采取紧急动作来防止该未授权的状态。在本示例中，自主控制系统2104可以包括用于拨动总线开关的预编程动作逻辑，从而自主控制系统2104完全控制速度选择并向受保护系统2100发送保持先前授权的速度选择的合适信号。此外，自主控制系统2104可以创建日志条目或发送尝试未授权的连接状态的警报。自主控制系统2104的响应可以取决于应用且可以预先被编程。例如，自主控制系统2104还可以被编程为停止物理过程而非保持当前速度。

图5.3示出了，当输入设备2102被用户或控制系统重新调整为选择授权速度时，自主控制系统2104逻辑可以通过将总线开关拨回到默认的稳态位置而将控制切换回输入设备2102。

图6示出了类似于图5的实施方式的自主控制系统2104的实施方式，但是处理器2200和存储器2202代替硬件逻辑。在本实施方式中，可以借助链路2300将节点2204上的输入信号路由到处理器2200。处理器2200可以将输入信号与存储在存储器2202中的禁止的输入信号状态相比较且产生匹配信号或不匹配信号。处理器2200可以在线路2302上产生选择信号，该选择信号可以控制mux2304。在不匹配信号的情况下，选择信号可以允许线路2204上的信号穿过多路复用器2304以借助线路2206到达受保护系统2100(未示出)。在匹配信号的情况下，可以将替代的输入信号施加到线路2306，以及线路2302上的选择信号可以使该替代的输入信号穿过mux2304。

图7为根据本发明的实施方式的利用并联接口连接到受保护系统2100的、包括可编程逻辑器件(pld)2140/2150的自主控制系统2104的框图。可以借助自主控制系统2104中的pld的输入或借助嵌入在自主控制系统2104中的处理器来监控受保护系统2100的输入和/或输出。在图7中所示的实施方式中，自主控制系统2104可以利用并联接口连接到受保护系统2100以及可以包括至少一个双向信号驱动器，该至少一个双向信号驱动器可以监控输入、内在地将状态改变为输出、以及引起中断而无需额外连接。驱动器可以联接到监控逻辑2140，以监控借助驱动器的开关2160所接收的输入。如果输入被允许，则驱动器保持其状态。如果输入不被允许，则动作逻辑2150可以将开关2160投掷到动作总线输出，该动作总线输出可以为例如地端或高信号。和在上文描述的串联接口示例中一样，受保护系统2100和外围设备2102之间的通信可以正常地进行，直到监控逻辑检测到未授权的信号模式、数据包、或访问尝试。在并联配置中，控制逻辑无法通过在替代的i/o路径中切换而在内部重新路由或断开i/o总线，该替代的i/o路径用于记录外围设备2102、中断外围设备2102、或与外围设备2102全部断开。而是，通过开关2160将去往受保护设备2100的信号接地或设置为高。然而，并联方法可以对通信速度和信号速度中不可以容许传播延迟的的非常高速的系统(例如操作在ghz范围内的系统)有用。此外，并联的自主控制系统2104可以需要比串联接口更少的总体i/o连接，这是因为该并联的自主控制系统2104不必须使信号穿过其自身(对于每个输入需要匹配输出)。

图8为利用并联接口连接到受保护系统2100的自主控制系统2104的实施方式的框图，该自主控制系统2104包括连接到来自自主控制系统2104的外围设备总线的至少一个三态输出端2160(代替图7的开关)，该至少一个三态输出端2160在被命令努力引起i/o中断时可以拨到逻辑高或逻辑低。该三态输出端可以用于不具有双向i/o接口的自主控制系统2104。

图9为示出根据本发明的实施方式的具有并联接口的电子自主控制系统2104的操作的示意图。自主控制系统2104可以包括并联接口，其中，输入设备2102和受保护设备2100之间的信号不直接穿过自主控制系统2104。而是，自主控制系统2104可以分接具有电力高阻抗输入的每条线路，以监控输入信号，如图9.1所示。当进行未授权的输入尝试时，并联的自主控制系统2104可以通过将总线开关拨到输出总线而中断未授权的输入，该输出总线具有适合于覆盖主机总线的驱动强度(电流陷落和供应)。在图9.2的示例中，在内部使速度_选择_3线路接地可以防止其达到逻辑高状态，该逻辑高状态反过来选择最高处理速度。在图9.2中，自主控制系统2104可以周期性地将总线开关拨回到位置3以监控来自输入设备2102的输入，而没有来自自主控制系统2104的动作总线输出的干扰。当自主控制系统2104检测到选择授权的速度时，自主控制系统2104可以移回到稳态，如图9.3所示。具有并联接口的自主控制系统2104可以不同时监控信号，不像具有串联接口的自主控制系统2104那样。

图10为自主控制系统2104利用串联接口和并联接口二者连接到受保护系统2100的实施方式的框图。串联接口包括监控逻辑2140a、动作逻辑2150a、和开关2160a。并联接口包括监控逻辑2140b、动作逻辑2150b、和开关2160b。在本实施方式中，当特定通信路径过快而不能在不降级正常系统操作的情况下串联通过时，可以通过并联接口处理那些路径。可以通过串联接口处理较慢的路径。

图11为自主控制系统2104(不管接口如何)包括在自主控制系统2104和受保护系统2100之间的通信总线2170的实施方式的框图。通信总线2170可以包括如下功能：如果检测到恶意的或未授权的意图，则可选地标记受保护系统2100。通信总线还可以包括用于记录、警报、或禁用至少一个外围设备2102的功能。此外，通信总线2170可以自主地记录事件并将这类事件上报给计算机实现的安全评分系统。

图12为自主控制系统2104包括半导体多芯片模块的实施方式的图，该半导体多芯片模块可以包括在功能上以层叠体或平面阵列连接的至少两个互连的处理器方块。该模块还可以包括插入板和/或粘合在单一半导体封装内部的直接导线，该单一半导体封装直接安装到印制电路板(pcb)。该布置的一个优势可以使得难以在视觉上检测自主控制系统2104，这可以提供抵抗恶意篡改的保护。

图13为将自主控制系统2104在外部安装在插入式pcb上的实施方式的图，该插入式pcb可以包括在功能上以层叠体形式布置在受保护系统2100的上方或下方的自定义插口组件。在本实施方式中，自主控制系统2104可以用于保护现有的cpu并使用为cpu制造的现有的主板和插口。该实现方式可以被称为封装叠加实现方式，这是因为其涉及连接两个单独封装的部件以形成单一模块。

在一些实施方式中，自主控制系统2104可以包括电子电路，该电子电路可以表面安装在可包括受保护系统2100的印制电路板(pcb)上。自主控制系统2104可以使用例如一个或多个pcb印制线、悬空引线、同轴电缆、或光纤而操作性地连接到受保护系统2100。

在一些实施方式中，自主控制系统2104可以包括可操作性地安装在受保护系统2100上的模块化可堆叠的单板-计算平台。例如，该平台可以为pc104、epic、ebx、raspberrypi、parallella、或类似的模块化计算平台。在本实施方式中，自主控制系统2104可以包括模块化承载体，该模块化承载体可以附接到模块化计算堆叠头且执行上文所描述的保卫功能。这可以被称为模块叠加实现方式。

图14为示出根据本发明的实施方式的自主控制系统2104的防篡改特征的流程图。如上所述，可以存储数据以实现自主控制系统2104的加密防篡改检查。周期性地或基于用户请求，可以发起防篡改检查3305。自主控制系统2104可以利用私钥为去往与自主控制系统2104通信的系统(即执行自主控制系统2104的检查的系统)的消息3310签名。执行检查的系统可以尝试验证签名3315。如果签名为无效的，则可以生成指示自主控制系统2104可能已被篡改的警报3320。如果签名为有效的，则执行检查的系统可以利用私钥为消息3325签名。自主控制系统2104可以尝试验证签名3330。如果签名为无效的，则可以生成指示执行检查的系统可能已被篡改的警报3335。如果签名为有效的，则篡改检查可以被宣布全部安全(即，检查系统和自主控制系统2104二者均可以免于篡改)3340。因此，自主控制系统2104可以检查另一系统且被该系统检查以提供互相安全性。

图15示出根据本发明的实施方式的使用自主控制系统2104作为对于用于安全协同处理的主机cpu的系统服务的工序流程。上述针对自主控制系统2104所描述的架构还可以实现安全处理作为对主机cpu的系统服务，这是因为自主控制系统2104的处理器可以具有自主控制系统的多种例示。在本实施方式中，自主控制系统2104可以接收指令3505。自主控制系统2104可以将如简化的所接收指令(例如来自输入设备2102)与编译器的机器语言或操作码相比较3510以找到与存在于存储器中的预编程操作码的匹配，该存储器与自主控制系统2104存储器子系统相关联。如果存在匹配，则自主控制系统2104可以执行操作码的预编程功能3515，以及受保护系统2100可以不接收该操作码。自主控制系统2104可以访问安全存储器3520并返回结果3525。可替选地，如果不存在与在自主控制系统2104的预编程存储器内的所接收的操作码的匹配，则可以将操作码传递到受保护系统2100用以执行3530，以及受保护系统2100可以返回结果3535。在输入设备2102上执行的专门设计成与自主控制系统2104一起工作的软件应用程序可以被要求包含自主控制系统2104的专用操作码或指令集以访问自主控制系统2104的安全协同处理能力。例如，如果这类自主控制系统2104的专用的操作码或一系列操作码将要请求数据集上的加密签名，则处理器2200可以通过首先对数据集执行加密散列而进行响应。然后处理器2200可以使用其私钥(存储在安全存储器2202中)以数字方式为散列数据集签名，以及然后借助输入设备2102将签名的数据集返回到自主控制系统2104专用应用程序，该专用应用程序已生成了讨论中的操作码。

采用qsm的自主控制系统和方法

图16为根据本发明的实施方式的安全模块2100。安全模块2100可以包括处理器2110和物理存储器2115，例如规则数据库2122和/或证书数据库2124。因此，处理器2110以及模块2132、模块2134和模块2136可以联接到自主控制系统2104的处理器2200、作为该处理器2200的一部分、或为与该处理器2200相同的元件。同样地，规则数据库2122和/或证书数据库2124和/或存储器2115可以被存储在自主控制系统2104的安全存储器2202内。

规则数据库2122可以存储各种访问控制规则，如在下文更详细地描述。证书数据库2124可以存储针对设备、文件、用户等的各种证书，如在下文更详细地描述。安全模块2100还可以包括子模块，诸如可以导出和/或更新安全分数的评分模块2132、可以确定是否满足安全规则的验证模块2134、和/或可以自动地或手动地限定安全规则和/或访问许可的许可模块2136。注意，本文中描述成执行安全验证或描述成qsm启用设备或qsm设备的任何设备可以包括安全模块2100，且可以使用安全模块2100执行如所描述的关于qsm的验证和/或其它过程。

图17为根据本发明的实施方式的安全分数推导2200。可以对资产执行评估过程以确定其安全等级。为了实现该结果，可以在评估的结尾生成表示资产的安全等级的归一化安全分数。可以通过如下过程使分数归一化：该过程针对通过出于评定目的而预定义分组(“安全类别”)2220所分离的资产的主要功能(其做什么、其目的)，应用预定的一组安全标准(“安全目标”)2210。对于每个安全目标2210，可以对资产的安全类别中的每一安全类别进行评定，以及可以产生落在分配给安全目标的范围内的安全分数(“安全目标分数，sos”)。对于每个分数的重要度可以随着资产变化或甚至情况变化而变化。当已经产生了所有的目标分数时，可以使用预定义的目标分数聚合方法(例如加权平均)组合上述所有目标分数，形成归一化的安全分数(“nss”)2230。

图18为根据本发明的实施方式的资产(及其分解)2230，示出了可用在一些实施方式中的安全类别2220和安全目标2210的具体示例。例如，资产2230可以具有存储、处理和传输安全类别2220，这可以对应于由资产2230执行的主要功能(例如数据存储、数据处理、和数据传输)。各个安全类别2220可以具有授权(az)安全目标2210、机密性(c)安全目标2210、完整性(i)安全目标2210、可用性(av)安全目标2210、不可否认性(nr)安全目标2210、和认证(ai)安全目标2210。基于与安全类别2220相关联的各个功能类别多好地对安全目标2210评分，用于资产2230的nss可以提供资产2230总体上多好地满足安全目标2210的指示。

图19为根据本发明的实施方式的资产评估2300的流程图。一些资产可以为复杂的(例如由许多子部件组成)。对于这些复杂的资产，可以独立地对每个子部件执行测量技术(诸如图19的技术2300)以导出针对每个子部件的nss值。可以组合这些子部件的值以产生最高阶资产的nss。可以选择资产用于评估，以及评估可以开始2305。一个或多个安全类别2220可以被识别，以及每个安全类别2220可以被评估2310。每个安全类别2220可以包括一个或多个安全目标2210，以及每个安全目标2210可以被评估2315。安全模块2100可以确定是否可以针对安全目标2210计算安全目标分数2320。如果可以，则安全目标分数计算可以开始2325，以及可以产生其安全目标分数2330。在下文更详细地讨论安全目标分数计算的示例。当已经计算分数2335时，下一个安全目标2210可以被选择2315。如果无法针对安全目标2210计算安全目标分数2320，则安全模块2100可以确定是否应当细分资产2340。一些资产可能太复杂而无法直接导出安全目标分数，或可以包括先前已评估的多个部件、设备和/或系统。为了适应这些情况，可以细分资产。

图20至图23为根据本发明的实施方式的资产细分示例3200和示例3250。图20使用笔记本电脑作为示例示出这个原理，其中，该笔记本电脑被划分为cpu、操作系统、和gpu部件。图21示出净水装置作为另一示例，其中，该装置被划分为水收集系统、净化系统、和饮用水系统部件。如所示，一些子资产可以仅促成单一安全类别分数，而其它子资产可以促成多个安全类别。图22示出了可以如何将来自图20的笔记本电脑子资产进一步分解为具体驱动器(在驱动器子资产下)和具体应用程序(在应用程序子资产下)。在图示中，将应用程序子资产的虚拟机(virtualmachine，vm)子资产进一步分解为在vm下运转的应用程序。可以按需重复该过程，直到可以准确地评估每个子资产。图23示出了来自图21的预净化子资产的净水子资产的进一步分解，证明了qsm可以适用于需要评估的任何关键的基础设施部件或资产，无论资产的类型如何。在资产所属的领域中的技术人员可以遵循该方法论且递归地将任何复杂系统分解为进一步的子资产，直到系统由基元(可以或已经对其执行评估的子资产)组成。在水装置示例中，这些可以为比如护栏、防护装置和锁的子资产，其对物理安全性的影响可以很好地被存档记录且可以被量化。

返回参照图19，如果细分不可行，则可以分配默认的安全目标分数2345，以及评估2300可以移到下一个安全目标2315。如果将要完成细分2340，则安全模块2100可以限定子资产2350和子资产加权方程2355。如上所述，子资产自身可以进一步被划分，在该情况下，可以对进一步划分的子资产执行分析。对于每个子资产2360，可以执行资产评估2365以及可以产生安全目标分数2370。可以评估所有的安全目标分数2375，以及可以评估安全类别分数2380。如果具有更多待评估的安全类别2220，则下一安全类别2220可以被选择2310，以及可以对该下一安全类别2220的安全目标2210执行上文所描述的评估。当已经评估了所有的安全类别2220时，资产评估可以结束2385。对于图18的资产2230，其具有三个安全类别2220，每个安全类别2220具有六个安全目标2210，总共可以执行十八次评估。

利用nss、目标分数集、和导出的安全规则连同加密技术(诸如公钥-私钥证书)，数字资产可以安全地将其安全等级连同执行资产评估的时间一起存储在基础安全分数证书(basesecurityscorecertificate，bssc)中。图24为根据本发明的实施方式的bssc2700。bssc2700可以包括对于各个安全目标2210和类别2220的分数。对于图18的示例性资产2230，bssc700可以为三元组的安全类别2220分数(scs)，每个scs反过来可以为六元组安全目标2210分数。图25为用于图18的资产2230的示例性bssc2700。该示例性bssc2700可以具有基础安全分数(bss)，其表达成bss＝((传输scs),(存储scs),(处理scs))或bss＝((tc,ti,taz,tai,tav,tnr),(sc,si,saz,sai,sav,snr),(pc,pi,paz,pai,pav,pnr))，其中，c＝机密性,i＝完整性,az＝授权,ai＝认证,av＝可用性,以及nr＝不可否认性。例如，bssc2700可以由个人、企业、管理机构或政府机构来签订。bssc2700可以包括签发证书的日期/时间和证书将到期的日期/时间。bssc2700还可以包括用于nss的衰减率，这在下文更详细地描述。

为了将安全的瞬时性(意味着安全可以具有使随后的测量降级的高概率)考虑在内，安全衰减率(rateofdecay，rod)算法可以用于将自从进行了在bssc中记录的最后nss评估而已发生的概率性安全降级考虑在内。考虑到自从最初签发bssc起经过的时间，可以使用rod为系统确定现实的安全分数。用于计算rod的算法可以取决于为了对系统评分所选择的度量标准。通过使用nss和目标分数集作为输入，连同最后评估的时间(以及可选地，其它安全规则或记录的资产使用历史)，可以计算新的nss分数并将其用于更准确的公共安全比较。

安全目标分数可以提供通过计算安全度量标准所确定的基于概率性的评估，上述安全度量标准可以描述受损的概率。这个概率性方程可以被表达成sos＝p(受损|安全测量≠威胁)。sos为由于实施的安全测量不防范威胁而造成的资产受损的概率性似然度，其中，威胁为具有给定动机的行动者可利用漏洞的随时间变化的概率性表达。威胁＝p(时间|行动者|动机|漏洞)。

时间可以被拉出且被携带在bssc中，表示为rod，以允许sos为一组值。rod可以指示sos对时间曝光有多敏感。相比于较低的rod，较高的rod可以指示对资产的威胁随着时间增大更多。

例如，nss可以具有0到10的范围，其中0为不安全且10为完全安全。如果给定资产具有770天的保质期(或直到需要修补或更新的时间)且没有其它因素促成缩短或延长该保质期，则计算rod的一种方式可以为通过采用最大nss值10并将其除以770天。rod＝10(最大nss值)/(直到受损的100％可能性的天数)＝10/770＝0.013/天。通过将所计算的nss减少rod乘以时间(天)变化，无论系统的安全与否，在770天结束时，分数将会为零。换言之，在不采取一些行动的情况下，系统可以被视为不安全。实际上，可以具有大于零的某最小值，在该最小值，系统可以被视为不安全，以及该值可以被表示为src中的最小nss。

另一示例可以涉及处于军事基地的弹药库。弹药库上的保险库门可以促成一个安全部件(“s1”)。使保险库额定为6小时的穿透级别，以及使供应商测试指示对于访问不受限制的熟练攻击者而言，在6小时时间段之后，有60％穿透率，之后穿透率以每小时5％增加。因此，s1为0.95，其中rod步长在6小时达到0.6以及此后每小时稳定的0.05衰减。随着这种在保险室的bss中清楚地说明，指挥者可以命令守卫每3小时漫步经过该库(本质上为门重新设置rod)。这两个因素可以一起促成用于门的一致的0.95的s1。

图26为根据本发明的实施方式的安全分数下降900。线910示出系统在无随着时间变化保持恒定的rod值的情况下的安全性。然而，系统运转越长久，对于该系统来说越可能变得受损。通过线920示出了这种安全性降低，其示出了每时间单位0.01的线性rod。线930和线940示出了在将可负面影响系统的安全性的事件考虑在内时系统随着时间变化的安全性。线930表示四个安全事件，这四个安全事件降低系统的安全性但不引起rod的变化。线940描绘了相同的四个事件，但呈现为这些事件中的每一事件还改变rod值。在图26中描绘的事件可以为例如将usb设备连接到系统、将系统连接到不可信网络、浏览恶意网站、或安装下载的应用程序的结果。

为了允许资产保留重要事件的历史，qsm可以支持证书链或安全分数链(securityscorechain，ssc)的概念。bssc可以在任何ssc中提供基础证书。资产可以修改分数并利用bssc为新证书签名，从而创建ssc。当创建ssc时，资产可以包括为何进行修改的记录。在图26中，在线930或线940上的每个事件之后，可以进行对ssc的更新，反映对rod的改变以及将引起这些改变的事件存档记录。如果向bssc给出rod，则新安全分数可以针对任何衰减(例如，如线940所示)而调整，这是因为链中的新证书将具有新的签发日期/时间。到期日期/时间不可以被延长超出bssc的期满时间，但是可以被缩短(如果合适)。另外，如果合适，则可以修改rod以反映新的风险和威胁。

图27为根据本发明的实施方式的安全要求证书(src)3400。src(比如bssc)可以为加密保护的签名文件，其包含用于各个安全目标2210分数(sos)的安全要求权重(srw)、用于各个安全目标2210的安全权重、授权的bssc和ssc签名、和/或最小归一化安全分数(nss)。

当评估寻求获得资源的访问权的资产的bssc时，src可以指定由该资源识别和接受哪些签名者。这可以保护资源抵抗通过生成由未授权的签名者所签名的bssc来伪造安全分数的企图。另外，指定受信任的签名者的能力可以允许所使用的安全度量标准和对于nss的评估尺度的变化。例如，安全度量标准可以基于桑迪亚ram系列评估以及这类规范可以允许在从0到100的范围中从桑迪亚ram系列评估到nss的转换。同样地，另一实施方式可以使用卡弗(carver)方法论或某种成对比较评估以及可以使用qsm0-10规格。类似地，一实施方式可以利用所有权度量标准和0.00到1.00的规格。上述组合中的任一者或全部可以被用在复杂系统的评估中，nss和qsm方法论可以允许其内含物。由于度量标准的不确定性，qsm可以通过增大衰减率且减小nss将方法论中的已知缺点考虑在内。因此，可以在短期内使现存系统和评估平衡，直到可以执行有效的qsm评估。

资产之间加强的认证和授权过程可以利用上文所描述的公共安全测量和比较方法。这可以通过如下来完成：迫使实时评估推导出资产的nss和目标分数集或者利用存储在bssc中的来自过去的评估的信息以及可选地使用资产的衰减率算法。附加的安全规则(诸如存储在bssc中的安全规则)也可以被用作认证或授权安全标准。可以单向地针对参与认证或授权过程的资产之一进行安全等级验证，如上文所描述的示例性安全验证中所示。在一些实施方式中，可以执行双向验证(或者当两个或更多个资产正尝试彼此认证或授权时，所有方向的验证)，其中，各个资产验证它者的安全等级。

nss可以为qsm中的最高等级分数以及可以通过将安全要求证书中的安全要求权重应用于基础安全分数中的安全目标分数来计算。在数学上，srw可以类似于bssc(例如，3元组的安全类别权重(scw)(这可以为各个类别促成nss的百分比权重)，每个scw为安全目标权重(sow)的6元组值(这为归于各个sos值的百分比权重)。例如，对于图18和图25的示例，srw可以被表示为：srw＝(传输scw(传输sow),存储scw(存储sow),处理scw(处理sow))或srw＝(scw(tc,ti,taz,tai,tav,tnr),scw(sc,si,saz,sai,sav,snr),scw(pc,pi,paz,pai,pav,pnr))。

nss可以提供可用于评估给定资产随时间(δt)的安全态势的度量标准。该分数可以用于例如认证资产、授权访问、比较资产的安全效用、或确定应当在何处对给定资产进行改进。nss可以如下来计算：nss＝(bss*srw)-(rod*δt)。因此，用于图3和图7的示例的nss可以为nss＝(scwt*(tc*twc+ti*twi+taz*twaz+tai*twai+tav*twav+tnr*twnr)+scws*(sc*swc+si*swi+saz*swaz+sai*swai+sav*swav+snr*swnr)+scwp*(pc*pwc+pi*pwi+paz*pwaz+pai*pwai+pav*pwav+pnr*pwnr))–(rod*(t当前–t签发))。

图28为根据本发明的实施方式的基础安全分数证书3500。在本示例中，bss＝((6.05,3.47,3.83,4.89,5.42,3.46),(6.52,4.45,5.78,5.09,6.43,4.80),(4.52,4.89,2.69,3.68,6.79,2.64))。rod为0.013/天，以及在2014年2月22日签发证书且期满时间为2014年8月24日。

图29为根据本发明的实施方式的安全要求证书3600。在本示例中，srw＝(0％(0％,0％,0％,0％,0％,0％),65％(25％,40％,5％,5％,25％,0％),35％(17％,17％,17％,16％,17％,16％))。在传输安全目标权重中的0.0权重示出该特定资产拥有者不关心或不利用传输活动。对于独立机器或智能卡，这类场景可以存在，该独立机器或智能卡可以不具有传输数据的任何部件但具有存储和处理能力。在src中列出的最小所需nss为5.0且签发日期或t当前＝2014年3月22日。下文为存储部分的详细计算；其它详细计算被省略：

存储部分＝0.65*(0.25*6.05+0.4*3.47+0.05*3.83+0.05*4.89+0.25*5.42+0.0*3.46)＝3.05。

nss＝(0+3.05+1.93)-(0.013*(2014年3月23日-2014年2月22日)＝(4.98-(0.013*29))＝4.6。

可以将这个计算的nss与存储的最小nss值相比较，如果这个计算的nss大于最小nss值，则可以被批准。在上文示例中，由于为4.6的计算nss小于src许可(5.0)，因此该设备将会被拒绝。

可以比较和对比nss值，允许安全等级指标被应用到资产的安全性。图30为根据本发明的实施方式的nss比较2400。可以将nss值2410与nss指标2420相比较以确定用于资产的nss是否指示该资产具有最小所需安全等级。例如，nss指标2420可以指示具有5.5或更大的分数的资产具有可接受的安全等级，以及具有小于5.5的分数的资产不具有可接受的安全等级。在图30的示例中，资产具有6.8的nss且因此超出5.5的要求。另外，可以比较两个或更多个资产以确定它们是否具有相同的或差异大的安全等级，或确定哪些资产更安全。图31为根据本发明的实施方式的nss比较2500。在本示例中，资产1具有为6.8的nss值2510，且资产2具有为7.2的nss值2520，因此资产2可以被视为比资产1更安全。基于商定的预定安全目标和类别连同预定分数聚合过程和公共安全测量方法，传递性可以暗示安全比较是商定的、可复制的、可独立验证的安全比较。

利用nss和目标分数集，可以进行扩展的安全比较，该扩展的安全比较通常可以测量资产的更具体的安全属性。图32为根据本发明的实施方式的安全验证2600。资产2610(例如usb设备)可以具有计算的nss(例如6.8)。qsm启用系统2620可以在与资产交互之前证实资产安全2600。例如借助用户输入，可以要求系统2620执行使用资产的操作(例如，到usb设备的写操作)2630。资产2610可以将其nss2640发送到系统2620。系统2620可以评估nss(例如通过执行如图30所示的比较)。如果nss评估指示足够安全，则操作可以继续进行。否则，可以阻止操作。

在图33的示例中，为根据本发明的实施方式的安全比较2100，其中比较两个不同的系统。系统#1具有比系统#2低的nss分数，但系统#1具有比系统#2高的用于存储机密性的类别分数。诸如这些的比较可以用于确定购买哪个产品(例如，哪个产品最满足用户的安全需求)、或确定应当首先升级哪些系统、或通知关于系统安全性的其它决定。

图34为根据本发明的实施方式的安全验证2800，其中，资产(笔记本电脑2810)的bssc可以用于与企业网络2820交互。资产2810可以尝试加入网络2820且可以提供bssc2830。网络2820可以评估bssc并决定资产2810是否安全2840。在本示例中，资产2810在其bssc中具有低于网络2820所需的阈值的nss，因此网络2820拒绝访问资产2810。

图35为根据本发明的实施方式的互相安全验证3000。在本示例中，笔记本电脑3010可以确认企业网络3020的bssc，且企业网络3020可以确认笔记本电脑3010的bssc，以及每个资产可以单独地决定另一资产是否具有高到足以允许交互的安全性。

在一些实施方式中，在验证过程期间的安全规则实施可以促进参与认证或授权的资产中的一者或多者的重新评估。

图36为根据本发明的实施方式的安全验证3100。资产(笔记本电脑3110)的bssc可以用于与企业网络3120交互。资产3110可以尝试加入网络3120且可以提供其bssc3130。网络3120可以评估bssc且决定资产3110不安全3140。在本示例中，资产3110在其bssc中具有低于网络3120所需的阈值的nss，因此网络3120拒绝访问资产3110。作为响应，可以通过安全模块2100对资产3110重新评估3150。如上所述，nss值可以随着时间下降。此外，可以随着时间在资产上实现新的安全特征。因此，重新评估3150可以生成用于更新的bssc的新nss值。在本示例中，新值指示资产3110安全到足以与网络3120交互。资产3110可以进行加入网络3120的第二次尝试且可以提供其更新的bssc3160。网络3120可以评估bssc且决定资产3110是安全的3170。

可以自动地执行具有内置的处理能力的设备(诸如服务器、pc、和路由器)的qsm评估。这可以通过运行qsm过程来完成，该qsm过程利用后端数据库、计算机上的配置信息的扫描、和/或自动渗透测试工具的组合来生成nss。这可以允许服务供应商或网络至少需要针对希望连接到其服务的设备的最小安全态势，上述设备可能还未经历全面qsm评估。

该自动操作可以被视为继先发制人地保护qsm设备之后的步骤。如果识别到新的漏洞或其它威胁，则后端数据库可以搜索易受影响的且采取先发制人动作的注册设备。该动作可以降低其nss、撤回其必然发生的事、和/或建议资产拥有者他们应当例如禁用特定服务或安装补丁或更新或建议系统管理员有威胁。在一些实施方式中，由于许多计算机网络的性质，因此这些先发制人的服务可能需要设备和后端服务之间的周期性通信。

自动评估和证书生成还可以允许针对访问系统执行实时评估，该系统可以具有特别高的安全要求，其中例如甚至已发几天的证书可以是不可接受的。这些高安全性系统可以要求当前(例如那天、那周等)的证书。在一些实施方式中，这可以自动地来处理。在一些实施方式中，在每次请求利用系统资源时，自动qsm评估过程可以允许系统要求重新评估和换发新证。

如下附加的示例说明了可以将qsm用于认证和/或授权的场景。出于本章节的目的，可以假设qsm内的设备具有ssc。具有其自身计算资源的设备或系统也可以被假设具有src。可以不具有src的设备的示例为usb记忆棒。由于许多usb记忆棒不具有其自身的计算资源，因此它们可能无法将其src与其接收的ssc相比较，所以对于它们来说可以不存在具有src的理由。此外，用于自身无计算资源的设备的ssc可以仅为bssc，这是因为该设备无法从bssc更新ssc。

使用qsm的设备可以利用ssc以便执行设备认证和授权网络访问。该认证和授权可以是互相的，允许各实体认证和授权它者，如上所述。利用自动化的qsm评估工具，该互相认证可以被扩展到外部设备，该外部设备可以要求对网络资源的临时或偶然的访问，诸如在公司办公室加入wi-fi访问点、访问在线商户等。资源拥有者可能无法要求可需要偶尔访问其资源的每个设备的物理评定，其中要求qsm评估工具的下载或访问作为登记或注册过程的一部分可以为切实可行的。然后qsm工具可以基于自动扫描生成自动化的bssc，如上文所讨论，以及然后设备可以在被授予对网络资源的访问之前参与互相认证交换。

图37为根据本发明的实施方式的安全验证3800。在连接到网络时，设备可以将其ssc提供给网络3810。由于ssc为加密签名的证书，因此ssc对于设备来说可以是独特的。因此，可以利用ssc来向网络认证设备(而非用户)。该网络可以出于记录目的而利用ssc来识别可能以恶意或可疑方式活动的任何设备。在一些实施方式中，网络管理员可以利用ssc来基于设备的当前安全等级决定是否允许该设备加入网络。可以允许满足要求的设备加入网络3820。除了简单地授予或不授予访问外，还可以利用ssc来确定设备被授权访问哪些网段。例如，不满足企业的安全要求的设备可以被放在访客网络上，允许该设备访问因特网同时阻止访问企业资源3830。

图38为根据本发明的实施方式的安全验证3900。设备还可以利用ssc以便认证和授权网络本身。由于网络本身可以具有加密签名的ssc，因此设备可以有能力识别其正试图加入的网络。该方法可以消除网络伪造的可能性，无论有线的、无线的、还是蜂窝式。用户和/或系统管理员可以利用ssc以便限制设备将使用哪些网络。例如，企业管理员可以配置笔记本电脑，使得笔记本电脑仅能够连接到企业网络、雇员家里的指定远程路由器、和指定的蜂窝网络。雇员可能无法将其设备连接到任何其它网络。在本示例中，笔记本电脑可以将其ssc发送到网络3910。如果不针对nss依从性评估网络，则该网络可以忽略ssc3920。在该情况下，笔记本电脑可以拒绝连接到网络，因为不满足src3930。

此外，由于可以不定期更新ssc，因此系统管理员可以允许设备加入不太安全的网络。设备的ssc可以被更新以指示其已加入了哪个不安全网络。由于导致的ssc降低，企业网络可以在允许设备再次加入网络之前迫使该设备被重新评估。例如，当雇员带着其笔记本电脑旅行时，这类技术可以是有用的。另外，用户或系统管理员可以利用网络的ssc来授权可允许网络访问哪些设备资源。例如，设备的防火墙可以防止不满足特定安全等级的网络被允许访问设备上运行的文件共享或网络服务器。

图39为根据本发明的实施方式的安全验证4000。除了认证和授权网络外，计算机还可以基于设备的ssc认证和授权设备。例如，usb存储设备可以包含ssc并在连接到计算机时将ssc发送到计算机4010。如果ssc不满足特定标准(例如，不充分地加密静止的数据)，则主机可以阻止用户将信息复制到usb棒4020。另外，如果主机可以检测正被复制的数据的性质，则关于是否允许复制发生的决定4020可以基于数据本身和目标设备的ssc的组合。对于许多其它类型的设备，类似的示例可以存在。在一些实施方式中，可以修改设备之间的握手以便确保一直传输ssc。例如，作为usb握手协议的一部分，主机和从设备二者可以共享其ssc。这可以允许设备执行互相认证和授权。

设备还可以利用ssc来允许对设备自身上的敏感信息的访问。例如，如果ssc满足特定标准，则具有受信任的计算空间的设备可以配置成仅授予对设备上的加密信息的访问。受信任的计算处理器可以检测访问加密卷的尝试，然后确定当前ssc是否满足对于该加密卷的标准。即使用户知道解密密钥，设备也可以阻止其解密信息，这是因为该设备(其可能已受损)不再受信任。这可以启动专门设计的计算设备，该计算设备使用用于敏感存储的分离部件，这可以要求ssc遵守src。本质上，敏感存储部件可以被系统看成分离的设备。

硬件产品和软件产品可以利用用户提供的src和期望的ssc(在可用范围内)来自动地配置用于建立sos的参数和设置以确保依从性。将重担从用户移除以确定在产品配置中可用参数的什么组合可以提供功能和安全。同样地，资源拥有者可以要求特定服务或设备在访问其资源时被禁用或停止。使用自动配置过程和qsm自动评估过程二者可以允许这种类型的动态配置匹配安全要求。

ssc可以提供产品采购信息。产品制造商可以提供用于产品上线的ssc，允许顾客在其特定安全环境中执行产品之间的直接比较。类似地，网站可以允许潜在顾客提交src以便获知什么产品满足其安全要求。这可以允许顾客在进行购买之前判断哪个产品产生期望的安全增强或性能。甚至可能开发系统以运转系统的模拟，从而获知实施新产品或配置可以如何影响整体安全。制造商可以有能力量化他们可以提供给用户的安全性的量，以及示出他们针对给定安全src在其竞争者之上增加多少安全性。

尽管上文已描述了各种实施方式，但是应当理解，通过示例而非限制的方式呈现了这些实施方式。对于相关领域中的技术人员将显而易见的是，在不脱离精神和范围的情况下可以进行各种形式和细节改变。事实上，在阅读上文描述之后，对于相关领域中的技术人员将显而易见的是如何实现替选实施方式。

此外，应当理解，仅出于示例目的呈现了突出功能和优势的任何附图。所公开的方法和系统均足够灵活且可配置使得可以以所示出的方式以外的方式来利用这些方法和系统。

尽管术语“至少一个”可以经常被用在说明书、权利要求和附图中，但是术语“一”、“一个”、“该”、“所述”等在说明书、权利要求和附图中也表示“至少一个”或“该至少一个”。

最后，申请人的意图是仅包括明确语言“用于...的部件”或“用于...的步骤”的权利要求根据35u.s.c.112(f)来理解。不明确包括短语“用于...的部件”或“用于...的步骤”的权利要求不根据35u.s.c.112(f)来理解。