[发明专利]一种终端信任管理与可信接入系统及方法

说明书

本发明公开了一种终端信任管理与可信接入系统，涉及网络安全技术领域，包括终端、设备信息库、漏洞数据库、漏洞评估模块、审计数据库、设备扫描模块、协议转换模块、可信度量模块、信任数据库、自适应加密模块；本发明公开了一种终端信任管理与可信接入方法，包括以下步骤：S100、扫描终端信息；S200、查询漏洞信息；S300、计算风险因子；S400、计算初始信任度；S500、接入网络；S600、实时度量；S700、自适应加密传输。本发明在云计算中心验证设备，在网络边缘处理和计算数据，兼顾安全性和时延，解决了对安全要求较高的场景下的信任初值问题。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种终端信任管理与可信接入系统及方法。

背景技术

移动互联网、物联网、分布式计算、区块链等技术的发展与大规模的应用，不仅改变了人们的生活方式，企业的工作模式也受到了巨大的影响，其具体表现在参与到网络中的用户和设备数量剧增，以至网络的规模爆炸式增长。到目前为止，已有数以亿计的设备接入到了互联网当中，同时互联网承载的业务和应用也随之不断增长壮大，资源的共享方式、运行方式、安全管理和网络的应用模式都因此而发生了根本性的转化。

以工业互联网为例，在协同、开放的趋势下，设备通过网络互连成为物理世界与信息世界的桥梁。制造资源和能力数字化，支持位置分布与功能异构的设备按需动态共享与协同的服务模式是智能制造的发展趋势。

设备上云是工业互联网发展的必然趋势，但是这也意味着将原来封闭的设备与数据充分暴露在互联网之下。而这些异构设备的计算和存储资源差异较大，不同厂商的设备使用的通信协议也各异，增加了整个网络网络系统的复杂性；同时，多种设备处于网络边缘，物理安全及通信安全都非常薄弱，极易受到克隆、伪造、冒充、拦截、窃听等攻击，存在着极大的安全隐患。

设备端的缺陷使其成为了黑客首要的攻击目标。近两年，随着边缘设备安全事件爆发，即使厂商已经逐渐意识到信息安全的重要性，但终端本身资源、技术等的限制依旧制约着安全防护能力的提升，至今为止，边缘接入设备依旧是系统信息安全的薄弱环节。然而目前网络信息系统的主流防护方式是加强网络边界防护，如防火墙、入侵检测等技术，面对黑客日益复杂的攻击行为和高超的攻击技巧，这种手段已经不足以保障网络空间安全。

因此，本领域的技术人员致力于开发一种终端信任管理与可信接入系统及方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是基于云边协同的架构下，保障终端的可信接入。

发明人分析了基于信任管理和可信度量的方法，信任管理模型采用统一的方法描述和校验安全凭证，构建信任关系，并基于系统的安全策略完成关键性操作的授权；可信度量技术是信任管理模型中的关键，是系统内节点是否可信的重要判据。可信度量的基本步骤为：(1)信任的初始化；(2)信任属性的选择与定义；(3)信任属性的融合计算。发明人发现现有技术提出的算法大多聚焦于步骤(2)和(3)，然而信任的初始化是准确计算信任值的先决条件。如果赋值较高，节点将具有较高的权限，使系统容易受到新加入节点的攻击；赋值较低又会限制接入设备的交互能力，会导致整个系统的性能不高。尤其对于安全要求比较高的场景，例如工业物联网。因此初始值的设置就显得尤为重要。发明人基于云边协同的架构，提出了一种终端信任管理与可信接入系统及方法。

本发明的一个实施例中，提供了一种终端信任管理与可信接入系统，包括：

终端，数据采集、信号传输和控制执行；

设备信息库，存储终端信息；

漏洞数据库，存储终端已被挖掘的漏洞信息集合；

漏洞评估模块，基于已被挖掘的漏洞信息集合计算终端风险因子；

审计数据库，存储网络节点的数据和网络的运行状况；

设备扫描模块，扫描终端的固件信息和通信报文；