服務熱線:
13342898875
要使DCRMS可信度得到增強,需從DCRMS各層次入手,采取綜合措施提高DCRMS可信度,并對其可信度進行評價。按照DCRMS可信度目標,DCRMS多維度可信增強方案分別從用戶身份認證、系統監控實體軟硬件完整性驗證及系統數據保護三方面設計部署可信增強模塊。
(1)DCRMS完整性功能。DCRMS完整性驗證包括感知層監控設備完整性(保障監控設備硬件不被非法替換)、監控服務器數據接口完整性(保證監控接口軟件組件及監控數據來源真實可靠)兩方面。監控設備完整性驗證功能包括:感知層監控設備表征模塊接收完整性驗證模塊驗證請求信息,對監控設備的不變特征信息融合后取其散列值,其結果發送至可信功能服務器完整性驗證模塊;完整性顯示模塊完成監控設備完整性驗證結果及歷史信息反饋,方便DCRMS用戶獲取監控設備完整性的實時、歷史信息。完整性驗證模塊發起軟件組件完整性驗證,將完整性驗證挑戰信息發送至服務器數據接口;服務器數據接口完整性表征模塊接收挑戰信息,并回發相應響應至服務器數據接口;完整性顯示模塊完成服務器數據接口完整性驗證結果及歷史信息的反饋,方使DCRMS用戶獲取服務器數據接口完整性的實時、歷史信息。
(2)DCRMS身份認證功能。它包括可信功能服務器對監控用戶身份認證、感知層監控設備對可信功能服務器身份認證。采用用戶數字指紋、非對稱密鑰加密相結合方法實現用戶身份注冊及認證,在用戶登錄DCRMS前,通過數字指紋采集儀、指紋模板信息和身份口令信息進行身份注冊,并采用特定加密算法對上述信息進行融合計算,其結果提供給可信功能服務器。根據該融合信息計算用戶身份證據標識,并對其進行數字簽名,分別發送至用戶 USBKey、認證服務器進行安全存儲。用戶登錄DCRMS時,提供用戶口令、USBKey中存儲身份證據標識,由認證服務器對其身份合法性進行驗證,并根據其身份信息向用戶提供相應權限,以實現訪問控制。由于用戶并未直接提供自己的口令及指紋信息,使其個人隱私得到更好的保護,提高 DCRMS身份認證安全性。
(3)DCRMS訪問控制功能。它包括可信功能服務器機房對監控命令的授權管理、監控命令執行過程中的訪問控制。其中,可信功能服務器對監控命令授權是指應用層的操作終端根據監測情況發出命令請求,由訪問控制模塊查閱訪問控制權限數據庫,進行權限審查,僅允許授權命令請求被執行。
(4)DCRMS數據保護功能。主要針對系統實時監控數據、歷史監控數據和用戶信息等敏感數據。由于DCRMS資源受限、數據量大,結合DCRMS身份認證系統,采用DES對稱加密算法。加密密鑰以XML形式存儲在USBKey中,且不可被導出,以保障其安全性。敏感數據以密文形式在DCRMS網絡中傳輸,存儲在監控服務器數據庫或本地。
DCRMS可信模塊各部分均涉及數據保護方法,如身份認證中用戶口令與數字指紋模板的加密處理、完整性驗證中監控數據完整性等。以上基于數字指紋隨機密值IBC身份認證框架、關鍵技術和性能評估,系統研究DCRMS完整性驗證技術。
13342898875