一种基于可信根的安全域隔离方法、系统及装置
技术领域
本发明涉及安全域隔离技术领域,尤其是一种基于可信根的安全域隔离方法、系统及装置。
背景技术
众多企业中存在大量的计算设备,出于安全的考虑,这些设备根据使用场景常常划分到不同的域中,同一域内的设备具有相同的安全保护需求且相互信任。比如,企业中的外网办公设备之间可以相互访问,但外网办公设备无法与内网研发设备相互通信。
目前,设备间的隔离主要是通过网络层隔离实现的,比如使用交换机划分不同的子网,或者使用防火墙进行IP隔离。或则采用强制访问控制实现,比如为企业内的每一员工分配数字证书或者令牌,不同身份的员工能访问不同的资源。
使用网络层面的隔离技术可以实现不同域的隔离,但无法管控设备网络环境的变更,比如,将办公设备接入研发网,办公设备就能跨过网络隔离与研发网中的设备通信,这会对研发网中的设备带来安全隐患。
发明内容
本发明提供了一种基于可信根的安全域隔离方法、系统及装置,用于解决现有网络层面的域隔离手段存在安全隐患的问题。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了一种基于可信根的安全域隔离方法,所述方法包括以下步骤:
根据应用场景划分域,并通过企业CA为域颁发证书来构建域;
设备入域时,通过可信根创建密钥,向域CA申请身份证书,并在设备本地创建域内设备信息缓存;
域内设备通信时,进行域内设备的身份验证及消息的可信验证。
进一步地,对所述域的管理包括域注册和域注销。
进一步地,所述域注册的过程为:
域内随机创建一非对称密钥,作为域CA的根密钥;
利用所述非对称密钥中的私钥对公钥签名生成证书请求文件;
企业CA提取所述证书请求文件中的公钥验证所述证书请求的签名有效性,利用企业CA私钥对所述公钥签名,生成证书颁发给域CA;
在域CA中创建域内设备信息缓存,其中存储域内所有的设备信息。
进一步地,所述域注销的过程为:
吊销域CA的证书,并删除域内设备;
删除域内设备创建的身份密钥及对应的身份证书;
删除当前域CA中的域内设备信息缓存。
进一步地,所述设备入域时,进行设备注册,其具体过程为:
通过可信根创建设备密钥,并生成设备证书申请文件;
域CA基于设备证书申请,使用域CA的根密钥颁发证书,并将该证书记录到域内设备信息缓存中;
设备通过自身密钥解密域CA下发的消息,得到设备身份证书;
创建本地域内设备缓存信息,该缓存信息中存储域内其他设备信息。
进一步地,所述方法还包括设备注销,其具体过程为:
域CA吊销设备身份证书;
删除可信根内的设备身份密钥和设备身份证书;
删除设备本地域内设备信息缓存。
进一步地,所述域内设备通信的过程为:
发送设备查询本地域内设备信息缓存,获取目的设备身份;
向域CA发送目的设备身份的请求,域CA验证该请求,查询并加密目的设备证书给发送设备;
发送设备通过自身设备密钥对待发送消息签名,用目的设备证书加密消息和签名,发送给目的设备;
目的设备通过自身设备密钥解密获取消息;
目的设备向域CA请求发送设备的身份验证,获取发送设备证书,利用发送设备证书解密消息。
本发明第二方面提供了一种基于可信根的安全域隔离系统,所述系统包括:
域创建单元;根据应用场景划分域,并通过企业CA为域颁发证书来构建域;
设备入域处理单元,设备入域时,通过可信根创建密钥,并向域CA申请身份证书,并在设备本地创建域内设备信息缓存;
域内设备通信单元,域内设备通信时,进行域内设备的身份验证及消息的可信验证。
本发明第三方面提供了一种基于可信根的安全隔离装置,所述装置包括企业CA、域CA、若干设备和安全域隔离系统;所述装置通过所述安全域隔离系统对企业CA、域CA和若干设备进行管理。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明基于可信根进行安全域隔离,使得同一域内的设备可以相互通信,而不同域内的设备或未注册设备无法相互通信,且域内设备信息无法被域外设备获取。域内设备通信时需要通过域CA进行身份及消息的多方验证,保证了通信的安全性。在域内设备出现变动时,对设备本地的域内设备信息缓存进行及时更新,保证域内设备信息缓存内信息的准确性,进一步保证了通信的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明所述方法的流程示意图;
图2是本发明所述方法对应的架构示意图;
图3是本发明域注册的时序图;
图4是本发明域注销的时序图;
图5是本发明设备注册的时序图;
图6是本发明设备注销的时序图;
图7是本发明设备通信的时序图;
图8是本发明所述系统的结构示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
如图1、2所示,本发明基于可信根的安全域隔离方法,包括以下步骤:
S1,根据应用场景划分域,并通过企业CA为域颁发证书来构建域;
S2,设备入域时,通过可信根创建密钥,向域CA申请身份证书,并在设备本地创建域内设备信息缓存;
S3,域内设备通信时,进行域内设备的身份验证及消息的可信验证。
步骤S1中,企业根据应用场景划分出不同的域,使用企业CA为每一个域颁发证书用于构建域CA。每个域有独立的CA,负责为向该域注册的主机签发身份证书,每次新建域时,向企业CA申请域的数字证书,并创建域内设备信息缓存。
对域的管理包括域注册和域注销。
每新增一个域时都要注册完成域CA的颁发及域内设备信息缓存的创建,如图3所示,域注册的过程为:
S101,创建根密钥:域内随机创建一非对称密钥,作为域CA的根密钥,用来为后续新增的设备颁发身份证书;
S102,创建证书请求文件:使用步骤S101中的私钥对S101中的公钥签名生成证书请求文件;
S103,企业CA颁发域CA证书:企业CA获取证书请求后,提取其中的公钥验证整个请求的签名有效性,然后使用企业CA私钥对步骤S101的公钥签名,生成证书并颁发给域CA;
S104,创建域内设备信息缓存:域CA接收到证书后,创建域内设备信息缓存,该缓存用于记录本域的设备身份信息。该缓存一直保存本域内已注册且未注销的主机信息。该缓存被域CA使用根密钥加密保护,防止域内设备身份信息泄露。
当域不再使用时,需注销该域,且所有注册到该域内的设备都要清除与本域相关的身份。
如图4所示,域注销的过程为:
S111,吊销域CA证书:域CA向企业CA发起请求,将本域的证书吊销,防止该证书继续被使用;
S112,删除域内设备:域CA证书吊销后,域CA向所有已注册的设备下发删除的命令,清除与本域相关的设备身份;
S113,删除设备身份:域内设备接收到删除指令后,删除已创建的身份密钥及对应的身份证书,防止该身份继续使用;
S114,删除域内设备信息缓存:待域内所有设备删除身份后,删除域CA中的域内设备信息缓存,防止这些信息再被使用。
如图5所示,设备入域时,进行设备注册,其具体过程为:
S201,创建身份密钥:设备使用可信根创建密钥。在TPM2.0芯片中,可使用TPM2_CreatePrimary指令创建芯片内的密钥,通过TPM2_ReadPublic获取该密钥的公钥,并使用TPM2_Sign指令对公钥签名,生成证书申请文件;
S202,签发证书:域CA收到请求后,提取公钥验证申请信息的有效性,然后使用域CA的根密钥签发证书,并将该证书记录到域内设备信息缓存中。发送时,使用设备证书内的公钥签名生成密钥发送给设备;
S203,获取设备证书:设备获取域CA下发的消息后,使用身份密钥解密得到设备的身份证书并保存。在TPM2.0芯片中,可以使用TPM2_RsaDecrypt身份密钥解密得到明文,并使用TPM2_NvWrite将设备证书存入TPM2.0芯片中;
S204,创建本地设备信息缓存:该缓存中存放了域内其他设备身份信息,当该设备需要与其他设备通信时,需要从该缓存中获取目的设备的身份信息。为安全考虑,本地设备信息并不是持久的存放其他设备信息,而是需要定期删除其中的信息,当本地设备信息缓存中没有目的设备信息时,需要向域CA发送请求,从域CA的域内设备信息缓存获取。本地设备信息缓存被设备使用身份密钥加密保护,防止身份信息泄露。
域CA基于设备证书申请,使用域CA的根密钥颁发证书,并将该证书记录到域内设备信息缓存中;
设备通过自身密钥解密域CA下发的消息,得到设备身份证书;
创建本地域内设备缓存信息,该缓存信息中存储域内其他设备信息。
如图6所示,设备注销的具体过程为:
S211,域CA吊销设备身份证书:域CA将域内设备信息缓存中对应的设备身份证书删除,防止其他设备再与该设备通信;
S212,删除设备身份:删除设备可信根内的身份密钥和身份证书,防止该身份被继续使用。TPM2.0芯片中,可以使用TPM2_FlushContext清除密钥,使用TPM2_NvUndefineSpace指令可以删除芯片内存放的证书数据;
S213,删除本地设备信息缓存:删除该设备内的本地设备信息缓存,防止其他设备信息被获取。
如图7所示,步骤S3中域内设备通信的过程为:为方便描述,以发送设备为A,目的设备为B进行说明。
S31,获取目的设备身份:设备A查询本地设备信息缓存,查询设备B的设备信息,如本地缓存中不存在B的信息,则执行步骤S32,如查询到设备B的身份,则执行步骤S33;
S32,申请目的设备身份:设备A向域CA发起请求,并使用设备A身份密钥对该请求签名,将该请求发送给域CA;域CA得到请求后,先从域设备信息缓存中获取A的证书验证该请求(如果查询不到A的证书,说明设备A未注册到本域中,停止处理)。然后查询设备B的身份证书(如查询不到B的证书,说明设备B未注册到本域中,停止处理)。使用A证书加密设备B的证书,下发到设备A的本地设备信息缓存中。设备A解密该信息获取设备B的证书;
S33,消息签名及加密:设备A使用自己的身份密钥对待发送的消息签名,并使用设备B的证书加密消息和签名,发送给设备B;
S34,消息解密:设备B使用自己的身份密钥解密获取的消息(如果解密失败,说明得的消息为非法消息,停止处理);
S35,获取源设备身份:设备B获取设备A的身份证书来验证消息的有效性,首先设备B查询本地设备信息缓存,查询设备A的设备信息,若本地缓存中不选在A的信息,则向域CA发起请求,并使用设备B身份密钥对该请求进行签名,将该请求发送给域CA,域CA得到请求后,先从域设备信息缓存中获取B的证书验证该请求(如果查询不到B的证书,说明设备B未注册到本域中,停止处理)。然后查询设备A的身份证书。验证通过后,处理该消息即可(如验证失败,说明该消息被篡改,或发送方伪造有效的设备A,停止处理);
S36,返回消息:设备B处理完毕后,将返回信息发送给设备A,设备B使用自己的身份密钥对待发送的消息签名,并使用设备A的证书加密消息和签名,发送给设备A。
如图8所示,本发明一种基于可信根的安全域隔离系统,包括域创建单元1、设备入域处理单元2和域内设备通信单元3。
域创建单元1根据应用场景划分域,并通过企业CA为域颁发证书来构建域;设备入域处理单元2在设备入域时,通过可信根创建密钥,并向域CA申请身份证书,并在设备本地创建域内设备信息缓存;域内设备通信单元3在域内设备通信时,进行域内设备的身份验证及消息的可信验证。
本发明还提供了一种基于可信根的安全隔离装置,该装置包括企业CA、域CA、若干设备和安全域隔离系统;装置通过安全域隔离系统对企业CA、域CA和若干设备进行管理。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
