[发明专利]一种分布式架构的可信安全管理平台

说明书

本发明公开了一种分布式架构的可信安全管理平台，可信安全管理平台用于通过分布式架构同时对多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向多个可信计算平台下发信息。本发明所提供的可信安全管理平台，采用分布式架构，能够实现同时对多个可信计算平台进行度量策略、度量日志、可信报告、身份认证等内容的集中管理，实现分布式协调服务，极大地提高了可信管理的效率；利用可信安全管理平台同时向多个可信计算平台下发信息，使得多个可信计算平台无需建立彼此之间的可信连接，就能实现多个可信计算平台的信息同步。

技术领域

本发明涉及可信计算领域，具体涉及一种分布式架构的可信安全管理平台。

背景技术

在可信计算领域，可信终端通常是在本地管理可信策略、记录度量日志和可信状态等，但是，针对如云环境下存在很多个可信终端的情形，在可信终端本地进行可信管理将会造成管理效率较低，且可信终端之间信息同步也需要先建立终端之间的可信连接之后才可以进行，容易造成信息同步延迟。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种分布式架构的可信安全管理平台，可以提高可信管理的效率，并实现多个可信计算平台的信息同步。

为实现上述目的，本发明采用的技术方案如下：

一种分布式架构的可信安全管理平台，应用于可信计算系统，所述可信计算系统包括所述可信安全管理平台和与所述可信安全管理平台连接的多个可信计算平台，所述可信计算平台包括并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于对所述计算子系统进行可信度量和控制，所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；

所述可信安全管理平台用于通过分布式架构同时对所述多个可信计算平台的包括以下至少之一的内容进行集中管理：度量策略、度量日志、可信报告和身份认证，以及同时向所述多个可信计算平台下发信息。

进一步，如上所述的一种分布式架构的可信安全管理平台，所述可信安全管理平台包括基础服务层、功能模块层和策略驱动层；

所述基础服务层用于向所述可信安全管理平台提供数据库、通信、密码、日志、状态评估、策略配置、设备管理和审计的基础服务；

所述功能模块层用于基于所述基础服务层提供的基础服务，对软件、用户身份和外设进行管理，向所述可信安全管理平台提供保密存储、访问控制、静态度量、动态度量、信任链和接入控制的功能；

所述策略驱动层用于向所述可信安全管理平台提供策略学习、策略管理、态势感知和响应控制的功能，形成学习、管理、感知、控制的联动机制。

进一步，如上所述的一种分布式架构的可信安全管理平台，所述基础服务层包括以下至少之一的基础模块：数据库服务模块、通信服务模块、密码服务模块、日志服务模块、状态评估模块、策略配置模块、设备模块和审计模块；

所述数据库服务模块用于提供数据库系统的操作接口；

所述通信服务模块用于提供加密数据及文件的传输；

所述密码服务模块用于支撑国密证书及密码服务；

所述日志服务模块用于对所述多个可信计算平台上传的日志信息进行采集、存储和分析；

所述状态评估模块用于对所述多个可信计算平台当前的可信状态及安全状态进行评估，得到状态评估结果；

所述策略配置模块用于提供不同形式的策略分发机制；

所述设备模块用于对所述多个可信计算平台的可信设备进行管理；

所述审计模块用于对所述可信安全管理平台以及所述多个可信计算平台的行为进行全面监控。