一种基于嵌入硬件模块的专用设备可信监管方法与流程

本发明涉及一种基于嵌入硬件模块的专用设备可信监管方法。

背景技术：

当前网络设备、网络安全设备、密码设备等专用设备一般具备网络化的管理手段，允许管理人员对设备进行设备配置、状态监控等远程管理操作，但对设备使用运行监管相对欠缺。而设备错误配置等不当使用是导致安全问题的主要原因之一，对设备的配置、使用、运行等进行监管很有必要。同时，现有网络管理依赖于设备本身提供的远程管理功能，而在一些特殊应用领域，迫切需要在不依赖设备的前提下对设备的使用运行进行网络监管。

技术实现要素：

为了克服现有技术的上述缺点，本发明提供了一种基于嵌入硬件模块的专用设备可信监管方法，主要针对网络设备、网络安全设备、密码设备等专用设备的使用与运行监管，引入独立于专用设备厂商的机制实现对设备使用、运行的可信监管。基于独立的嵌入硬件模块的监管，依赖硬件模块为设备使用运行监管提供独立于设备厂商的信任根，并据此构建监管的信任链，确保监管信息的独立与可信。

本发明解决其技术问题所采用的技术方案是：一种基于嵌入硬件模块的专用设备可信监管方法，嵌入在被监管设备端的监管模块通过读取设备软件映像，通过网络流传感器采集监管数据，通过监管接口软件模块提供与设备软件的交互机制，实现对被监管设备的配置信息监管和网络流监管。

与现有技术相比，本发明的积极效果是：本发明基于嵌入硬件模块实现多种机制保证对设备的运行使用监管的可靠可信。主要优点如下：

1.采用嵌入硬件模块为专用设备的使用运行监管提供可信根，并基于可信根构建监管的信任链，从而保证监管信息的可信；

2.所采用的监管机制不依赖于设备厂商设计的专用硬件和软件，保持了监管的独立性；

3.为监管数据的采集提供了标准接口和协作式数据采集扩展；

4.采用可定制的监管设计，可以按监管需求配置设备端监管模块，减少对设备运行的影响。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为基于嵌入硬件模块的设备监管模型；

图2为设备监管的可信机制；

图3为设备监管协议工作示意图。

具体实施方式

本方法通过嵌入设备的硬件模块为设备使用运行监管提供独立于设备的信任根，监管硬件模块唯一地标识该设备，并独立于设备及其软件提供对设备内部与网络通信流的可编程监管，同时通过标准化的api接口提供对设备(软件)内部的运行的协作式监管。该方法为专用设备的合规性监管、配置监控、网络数据流监管提供可信机制、标准化数据采集机制，并通过监管的定制化支持高效的按需监管。本方法主要应用于特定应用领域专用设备的监管，监管方向设备厂商提出要求，由设备厂商将硬件模块集成到专用设备。

一、基于嵌入硬件模块的设备监管模型

如图1所示，本发明在被监管设备端依托嵌入设备的硬件监管模块采集监管信息，进行监管数据的预处理并与监管系统交互实现独立于设备厂商的设备使用运行监管。监管模块中内置可信根，通过迭代式完整性检查，构建覆盖监管数据与处理的信任链，保证监管过程的可信。

监管模块读取设备软件映像并按照专用算法计算其校验值，通过与监管模块内部保存的校验值进行比对，保护设备软件的完整性。

监管模块可采用fpga实现或soc芯片实现，实现必须保证其关键数据的安全。监管模块芯片内置不可直接读取的存储，防止外部读取其关键安全数据，或将关键安全数据加密存储在模块中的存储芯片。监管模块的可信根建立在监管模块内部。

监管模块通过独立的网络传感器等独立传感器从设备采集监管数据。网络传感器(由网络芯片实现)从设备网络数据流中提取需要监管的网络数据。

监管模块同时为设备厂商提供sdk形式的监管接口软件模块，提供与设备软件的交互机制。设备厂商可以在软件中调用sdk，将需要报送的数据提交监管模块。该模式中监管信息由设备自身软件提供，在独立式监管之外提供监管信息采集的扩展机制，能够更好的访问设备的内部信息。

(1)设备配置监管

监管模块可以独立地监管设备的配置信息，前提是设备配置信息可以由监管模块直接从存储器读取并解析。监管模块也可以通过监管接口软件与设备自身软件交互读取设备配置信息。

通过监管模块本地检查或上报监管系统，可以检查设备的配置参数，确认设备在配置上是否符合安全策略，设备使用是否合规等。

(2)网络流监管

网络流的监管基于网络传感器硬件，在监管模块中进行基本的解析，用于识别网络流使用是否采用了安全策略规定的加密协议等。

监管模块通过专门的管理网口和监管系统通信，也可以采用带内管理的方式，利用网络传感器(网络探针)将管理数据流插入设备的网络数据流，通过设备自身的网络接口与监管系统通信。

二、设备监管的可信机制

本方案实施可信设备监管主要包含可信启动、数据保护和实体身份认证三个方面。

可信启动借鉴可信计算思路，基于监管模块内的可信根，对监管模块自身系统和设备软件系统进行校验，确保监管模块自身软件与设备软件的完整性。监管模块引导程序基于事先计算的校验值，与启动时读取监管模块自身软件映像数据实时计算的校验值进行比对，在确保其完整性后加载运行。监管模块启动完成后，读取设备软件映像，计算其校验值，比对确定其完整性后，启动设备软件加载。校验值计算可以采用sha1等算法，也可以根据应用领域采用专用标准算法。

数据保护确保监管信息和监管模块内部运行数据在采集、处理和网络传输中的完整性。存储安全通过物理隔离(保存于芯片内部)和加密存储实现，监管数据网络传输的完整性通过数据加密实现。

实体身份认证确保监管模块与监管系统交互时实体身份真实可信。实体身份认证采用基于密码的协议实现，可以采用基于对称密码的密钥管理方案实现，但单独使用对称密码不能实现不可否认性，最好采用基于公私钥的非对称密码方案如基于pki证书的方案。

三、监管信息采集的扩展

设备监管信息的采集包含独立于设备本身的独立式数据采集和基于与设备软件交互的协作式数据采集两类。

独立式数据采集是指独立于被监管设备自身的处理逻辑，通过特定的传感器，如网络流传感器获取数据。

四、监管协议

设备监管协议包括三个部分：传感器监管协议、监管信息采集协议、监管网络协议。

传感器监管协议处理与网络流传感器等独立于设备自身软件的数据采集传感器的交互。

监管信息采集协议提供与设备软件通过监管接口软件模块交互的标准化机制。

监管网络协议处理与监管系统或其代理节点的网络通信，包含身份认证、数据安全传输等功能。

监管设备与监管系统之间通过双向认证确保信息源与目的的真实性，避免伪冒监管系统引起严重的安全威胁，防止伪冒被管设备导致监管信息失真。认证可以采用对称密码管理的机制，也可以采用基于公钥的证书机制。

监管信息传输通过加密算法确保监管命令与监管数据传输的保密性、完整性等。

监管信息传输支持推拉两种模式，拉模式监管数据传输由监管系统发起，监管系统向被监管设备的嵌入式硬件模块发送监管命令，监管模块对监管系统进行认证后，执行监管命令，并返回监管数据。

推模式监管信息传输由被管设备发起，由被监管设备根据监管配置中的监管策略主动上报监管数据。监管数据必须采用保护机制防止假冒等攻击，如采用加密和消息认证码等。

五、按需监管设计

监管数据的采集、处理、传输必然对监管模块和被监管设备的运行带来相应的开销，因此本方案采用可定制的监管设计。监管模块根据预置的监管配置数据或由设备监管系统动态配置生成的监管配置数据，按需进行监管数据的采集，采集结果经监管模块处理后，上报或存储于监管模块备查。