一种用于云平台数据的隐信道安全防御系统

1.本技术涉及云平台信息物理访问控制安全技术领域，具体而言，涉及一种用于云平台数据的隐信道安全防御系统。


背景技术：

2.云平台数据旨在解决安全隔离下的信息可控交换等问题，以实现两个断开网络间的信息摆渡，构建信息可控交换“安全岛”，所以在政府、军队、电力、交通等领域有着广泛的应用。目前，云平台数据可以满足内部网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。
3.在当前的使用环境中，云平台数据往往作为网络安全设备，以网络安全服务的提供者身份参与网络通信活动。但事实上，云平台数据自身即是安全服务提供者，也是网络中一个固定终端节点，与其他网络终端节点一样也可能成为恶意攻击者的目标。甚至由于其特殊地位和作用，攻击者会投入更多精力研究云平台数据的攻击方法。针对这一问题，有部分技术方案提出了集成了安全访问控制功能的云平台数据，具体如下：
4.(1)一种工控隔离云平台数据系统，具体是指一种集成有防病毒模块、入侵检测模块、秘密级标识检查模块的工控隔离云平台数据系统。
5.(2)有限连通的安全隔离云平台数据，具体是指一种集成有防火墙模块、入侵检测模块、防病毒模块、密级标识检查模块和内容检查模块的隔离云平台数据系统。
6.新技术方案可以用于生产安全性更高的云平台数据，但更换云平台数据会带来高额的成本支出，而上述技术方案无法解决现有云平台数据的安全访问控制问题。所以，如何在已使用云平台数据的网络中增强对云平台数据的安全访问控制，仍是本领域技术人员亟待解决的问题。
7.隐信道问题是云平台数据的固有顽疾，针对云平台数据的隐信道进行安全加固和访问控制是云平台数据安全应用的核心问题。
8.在国标《信息安全技术网络和终端设备隔离部件安全技术要求》(gb/t 20279)和《信息安全技术网络和终端设备隔离部件测试评价方法》(gb/t 20277)中，对于云平台数据的功能描述如图1所示，对于云平台数据隐信道的存在没有进行定义并提出相关的处理办法。
9.实际上，由于在云平台数据的内部处理单元、专用隔离硬件、外部处理单元之间分别存在数据缓存部件，为了协调这三个部件之间的数据传输，存在专用隔离硬件到内部处理单元、外部处理单元到专用隔离硬件之间的数据传输协商反馈信道，这些信道构成云平台数据隐信道，如图2所示。
10.由于云平台数据隐信道是云平台数据功能架构中固有的通道，与具体云平台数据的设计与实现无关，是云平台数据的固有顽疾，因此基于云平台数据隐信道对云平台数据进行攻击，其危害和影响是深远的。
11.通过隐信道发起的攻击，其攻击技术和攻击方法多种多样，难以穷举。其中一种经
典的攻击方法和前一段时间针对intel和arm高端处理系统的“幽灵”“熔断”侧信道攻击方法颇为类似，如图3所示。
12.正是由于云平台数据面临着多种通过隐信道发起的攻击，通过修改云平台数据自身的软件和硬件设计均无法有效地抵御这些隐信道攻击，因此设计独立的云平台数据隐信道安全防御系统，通过阻断与云平台数据隐通道相关的反向传输路径来达到隐信道安全防御云平台数据的作用，最终实现云平台数据安全加固与访问控制是非常必要和紧迫的。


技术实现要素：

13.针对云平台数据所面临的隐信道攻击威胁，本发明的目的是设计独立的云平台数据隐信道安全防御系统来阻断与云平台数据隐通道相关的反向传输路径来达到隐信道安全防御云平台数据的作用，最终实现云平台数据安全加固与访问控制。
14.为了实现上述技术目的，本技术提供了一种用于云平台数据的隐信道安全防御系统，包括：
15.第一访问控制子系统，用于隐信道安全防御云平台数据的网络连接与协议；
16.第二访问控制子系统，用于为第一访问控制子系统，提供系统全域扫描式安全访问控制功能和零信任验证式安全访问控制功能，其中，通过第二访问控制子系统进行解密和验签，实现系统全域扫描式安全访问控制功能，以及，通过将第二访问控制子系统与第一访问控制子系统形成运行与状态互锁关系，实现零信任验证式安全访问控制功能。
17.优选地，第一访问控制子系统包括：
18.客户端程序认证模块，用于对通过云平台数据访问外部网络的程序，进行鉴别和认证，允许通过认证的程序使用云平台数据服务；
19.云平台数据服务隐信道安全防御模块，用于在网络中，通过隐藏云平台数据的ip地址及服务端口，阻止未授权的恶意程序连接云平台数据；
20.隐信道干扰和破坏模块，用于通过截取内网工作站发送至云平台数据的第一数据包，以及云平台数据发送至内网工作站的第二数据包，分别对第一数据包和第二数据包的协议格式及内容，进行合规检查，对合规的第一数据包和/或第二数据包的隐蔽信道，施加干扰并引入额外噪声；
21.cpu模块，分别与客户端程序认证模块、云平台数据服务隐信道安全防御模块、隐信道干扰和破坏模块建立连接，用于执行第一访问控制子系统的系统功能。
22.优选地，cpu模块为非intel指令集的risc cpu，操作系统采用linux操作系统。
23.优选地，第二访问控制子系统具有透明访问控制模式和深度访问控制模式，其中，第二访问控制子系统包括第一yuan模组和第二yuan模组，
24.当第一yuan模组，通过采用透明访问控制模式部署在内网工作站和云平台数据之间时，则实现透明访问控制模式；
25.当第二yuan模组，部署在内网工作站，且第一yuan模组部署在内网工作站和云平台数据之间时，则实现深度访问控制模式。
26.优选地，第一yuan模组与cpu模块连接，用于对云平台数据接收的数据包进行反变换，对收发数据包进行合规性检测及隐信道破坏。
27.优选地，第二yuan模组用于实现签名、验签功能，其中，第二yuan模组还用于对通
过签名认证的内网工作站与云平台数据之间的传输ip数据包，进行关键字段的随机变换，实现隐信道安全防御云平台数据服务以及通讯内容的不可否认。
28.优选地，隐信道安全防御系统还用于对于不具备云平台数据访问权限，没有部署yuan模组，以及无法进行认证的工作站，发往云平台数据的通讯内容，进行截留并上报。
29.优选地，第一yuan模组还用于对内容合归的数据包，根据信息隐藏规则和隐信道阻塞规则，嵌入干扰数据，将添加了干扰数据的数据包发送至云平台数据。
30.优选地，第一yuan模组还用于对内容不合规的数据包，植入隐藏信息，以及建立隐通道的协议数据后进行数据包截留，将截留的数据包进行上报。
31.优选地，隐信道安全防御系统还用于通过不设置物理地址、ip地址，以及不与网络中其它设备建立连接关系的方式，实现隐信道安全防御系统的自身访问控制，以及不为网络带来额外负担。
32.本发明公开了以下技术效果：
33.本发明有效地阻断云平台数据隐信道攻击威胁，成功地为云平台数据提供安全加固和访问控制的云平台数据隐信道安全防御系统，具有不可估量的社会效益。
附图说明
34.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
35.图1为本发明所述的云平台数据系统架构框图；
36.图2为本发明所述的云平台数据隐信道示意图；
37.图3为本发明所述的“幽灵”“熔断”侧信道攻击示意图；
38.图4为本发明所述的云平台数据隐信道安全防御系统系统架构示意图；
39.图5为本发明所述的云平台数据隐信道安全防御系统的深度访问控制工作模式示意图；
40.图6为本发明所述的云平台数据隐信道安全防御系统的最简部署模式示意图。
具体实施方式
41.下为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求隐信道安全防御的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术隐信道安全防御的范围。
42.如图1-6所示，本发明提供了本技术提供了一种用于云平台数据的隐信道安全防御系统，包括：
43.第一访问控制子系统，用于隐信道安全防御云平台数据的网络连接与协议；
44.第二访问控制子系统，用于为第一访问控制子系统，提供系统全域扫描式安全访问控制功能和零信任验证式安全访问控制功能，其中，通过第二访问控制子系统进行解密和验签，实现系统全域扫描式安全访问控制功能，以及，通过将第二访问控制子系统与第一访问控制子系统形成运行与状态互锁关系，实现零信任验证式安全访问控制功能。
45.进一步优选地，第一访问控制子系统包括：
46.客户端程序认证模块，用于对通过云平台数据访问外部网络的程序，进行鉴别和认证，允许通过认证的程序使用云平台数据服务；
47.云平台数据服务隐信道安全防御模块，用于在网络中，通过隐藏云平台数据的ip地址及服务端口，阻止未授权的恶意程序连接云平台数据；
48.隐信道干扰和破坏模块，用于通过截取内网工作站发送至云平台数据的第一数据包，以及云平台数据发送至内网工作站的第二数据包，分别对第一数据包和第二数据包的协议格式及内容，进行合规检查，对合规的第一数据包和/或第二数据包的隐蔽信道，施加干扰并引入额外噪声；
49.cpu模块，分别与客户端程序认证模块、云平台数据服务隐信道安全防御模块、隐信道干扰和破坏模块建立连接，用于执行第一访问控制子系统的系统功能。
50.进一步优选地，cpu模块为非intel指令集的risc cpu，操作系统采用linux操作系统。
51.进一步优选地，第二访问控制子系统具有透明访问控制模式和深度访问控制模式，其中，第二访问控制子系统包括第一yuan模组和第二yuan模组，
52.当第一yuan模组，通过采用透明访问控制模式部署在内网工作站和云平台数据之间时，则实现透明访问控制模式；
53.当第二yuan模组，部署在内网工作站，且第一yuan模组部署在内网工作站和云平台数据之间时，则实现深度访问控制模式。
54.进一步优选地，第一yuan模组与cpu模块连接，用于对云平台数据接收的数据包进行反变换，对收发数据包进行合规性检测及隐信道破坏。
55.进一步优选地，第二yuan模组用于实现签名、验签功能，其中，第二yuan模组还用于对通过签名认证的内网工作站与云平台数据之间的传输ip数据包，进行关键字段的随机变换，实现隐信道安全防御云平台数据服务以及通讯内容的不可否认。
56.进一步优选地，隐信道安全防御系统还用于对于不具备云平台数据访问权限，没有部署yuan模组，以及无法进行认证的工作站，发往云平台数据的通讯内容，进行截留并上报。
57.进一步优选地，第一yuan模组还用于对内容合归的数据包，根据信息隐藏规则和隐信道阻塞规则，嵌入干扰数据，将添加了干扰数据的数据包发送至云平台数据。
58.进一步优选地，第一yuan模组还用于对内容不合规的数据包，植入隐藏信息，以及建立隐通道的协议数据后进行数据包截留，将截留的数据包进行上报。
59.进一步优选地，隐信道安全防御系统还用于通过不设置物理地址、ip地址，以及不与网络中其它设备建立连接关系的方式，实现隐信道安全防御系统的自身访问控制，以及不为网络带来额外负担。
60.实施例1:云平台数据隐信道安全防御系统设计中的关键技术包括以下四方面：
61.(1)客户端程序认证(深度访问控制模式使用)
62.对需要使用云平台数据访问外部网络的程序进行鉴别和认证，只允许预设范围内的程序使用云平台数据服务。
63.其实现原理为：首先，对可访问云平台数据的程序进行安全状态检测，在云平台数据隐信道安全防御系统中设置安全芯片模组，模组中的安全检测程序通过目标程序软件勾连的方式，与程序形成运行与状态互锁的关系，并在此基础上检测目标程序软件是否篡改、执行状态是否正常。其次，若目标程序通过检验，则利用安全芯片，将目标程序发送的ip数据包中关键字段进行随机变换，然后再发送至网络。若目标程序无法通过检验，则不允许其访问网络并上报。
64.(2)云平台数据服务隐信道安全防御
65.云平台数据服务隐信道安全防御主要通过在网络中隐藏云平台数据的ip地址及服务端口，阻止未授权的恶意程序连接云平台数据。在上一功能中隐信道安全防御系统将目标程序发送的ip数据包中关键字段进行了随机变换，云平台数据侧的隐信道安全防御系统会将数据包的关键字段进行还原，未经授权程序发送的数据包由于未经安全芯片的随机变换，会还原失败，云平台数据将不会处理该数据包。这样，云平台数据服务的真实ip地址及端口可在网络中实现隐藏，只有授权应用程序才能访问。
66.(3)隐信道干扰和破坏
67.云平台数据隐信道安全防御系统截取内网工作站发送至云平台数据和云平台数据发送至内网工作站的全部网络数据包，并依预设标准对网络数据包协议的格式及内容进行合规检查，若未通过合规检查，则阻断数据包传输并上报事件；若通过合规性检查，则云平台数据隐信道安全防御系统将对数据包中潜在有记忆和无记忆隐蔽信道施加干扰，引入额外噪声，破坏隐蔽信息的提取。
68.(4)隐信道安全防御系统自身访问控制
69.隐信道安全防御系统的所有功能设计都考虑了自身访问控制问题，将攻击面减至最小。其在网络既没有物理地址，也没有ip地址，不与网络中其它任何设备建立连接，对网络中所有设备完全透明，因此既没有因为自身的加入而引入新的攻击面，也不会给网络带来额外负担。
70.3、技术路线(包括采取的技术线路和研究方法)
71.相关技术路线包括云平台数据隐信道安全防御系统系统架构设计和工作模式设计两部分：
72.(1)系统架构设计
73.云平台数据隐信道安全防御系统的系统架构如图4所示，包含网络连接与协议隐信道安全防御和安全模组两大部分。其中网络接口卡nic(百兆/千兆以太网卡)、网络处理硬件加速部件、高性能cpu、以及运行在cpu上的程序认证、服务隐信道安全防御和隐信道破坏，分别对应功能设计的第一、二、三项，共同构成针对云平台数据提供安全访问控制的网络连接与协议隐信道安全防御部分，从云平台数据安全访问控制的角度而言，这部分硬件和软件模块构成云平台数据层次化安全隐信道安全防御的第一层访问控制。
74.yuan模组则对网络连接与协议隐信道安全防御部分提供安全访问控制。从软件访问控制的角度，yuan模组对网络连接与协议隐信道安全防御部分提供系统全域扫描式和零
信任验证式的安全访问控制功能。就系统全域扫描式安全访问控制而言，网络连接与协议隐信道安全防御部分的软件，在运行前均需要通过yuan模组的解密和验签，只有解密和验签成功的代码才能上载运行。解密和验签失败的代码无法上载运行。就零信任验证式安全访问控制而言，yuan模组中的安全检测程序通过软件勾连的方式，与网络连接与协议隐信道安全防御部分的核心软件形成运行与状态互锁的关系，并在此基础上实现安全状态检测。
75.从硬件访问控制的角度，网络连接与协议隐信道安全防御部分的cpu及相关硬件与yuan模组中的两重硬件访问控制机制一起，构成一个三重硬件访问控制体系。
76.在软件系统全域扫描式和零信任验证式访问控制机制，硬件三重访问控制机制的基础上，云平台数据隐信道安全防御系统中的cpu均采用非intel指令集的risc cpu，操作系统采用安全加固的精简linux操作系统，使得云平台数据隐信道安全防御系统自身的访问控制性能得到进一步的提升。
77.(2)工作模式设计
78.云平台数据隐信道安全防御系统在内网的部署，可以分为深度访问控制模式和透明访问控制模式两种方式。
79.a.深度访问控制方式
80.深度访问控制模式如图5所示，具有访问云平台数据权限的内网工作站上会部署yuan模组，这些工作站利用yuan模组提供的签名、验签功能，与隐信道安全防御系统之间进行身份确认。通过密码认证的工作站与云平台数据之间的传输的ip数据包可以基于yuan模组进行关键字段的随机变换，实现云平台数据服务的隐信道安全防御和通讯内容不可否认。云平台数据隐信道安全防御系统中的yuan模组对云平台数据接收的数据包进行反变换，同时云平台数据隐信道安全防御系统对收发数据包进行合规性检测及隐信道破坏。
81.对于不具备云平台数据访问权限，没有部署yuan模组的工作站，与云平台数据隐信道安全防御系统之间无法进行认证，这些工作站将无法寻址和访问云平台数据。这些工作站发往云平台数据的通讯内容，将被云平台数据隐信道安全防御系统截留并上报。
82.b.透明访问控制方式
83.如果在内网工作站上无法部署yuan模组，则云平台数据隐信道安全防御系统可以采用透明访问控制模式部署在内网工作站和云平台数据之间，如图6所示。
84.内网工作站发往云平台数据的通讯内容经过云平台数据隐信道安全防御系统的协议分析及合规性检查，如果内容合归，则云平台数据隐信道安全防御系统将根据预设的信息隐藏规则和隐信道阻塞规则，在对应的数据包中嵌入针对性的干扰数据，然后将添加了干扰数据后的网络数据包发送至云平台数据。如果发现内容不合规，则易于植入隐藏信息和建立隐通道的协议数据，则云平台数据隐信道安全防御系统将截留数据包并上报这一事件。
85.鉴于云平台数据的广泛应用，以及云平台数据在网络安全访问控制中的核心地位，能够有效地阻断云平台数据隐信道攻击威胁，成功地为云平台数据提供安全加固和访问控制的云平台数据隐信道安全防御系统，将具有不可估量的社会效益。