CN117390656B - 一种加密设备的安全管理方法及*** - Google Patents
一种加密设备的安全管理方法及*** Download PDFInfo
- Publication number
- CN117390656B CN117390656B CN202311657691.8A CN202311657691A CN117390656B CN 117390656 B CN117390656 B CN 117390656B CN 202311657691 A CN202311657691 A CN 202311657691A CN 117390656 B CN117390656 B CN 117390656B
- Authority
- CN
- China
- Prior art keywords
- security
- module
- key
- sub
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 74
- 238000012795 verification Methods 0.000 claims abstract description 54
- 238000012550 audit Methods 0.000 claims abstract description 51
- 238000005516 engineering process Methods 0.000 claims abstract description 51
- 230000004044 response Effects 0.000 claims description 46
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 38
- 230000006399 behavior Effects 0.000 claims description 37
- 238000004458 analytical method Methods 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 21
- 238000010801 machine learning Methods 0.000 claims description 18
- 238000000034 method Methods 0.000 claims description 18
- 230000007246 mechanism Effects 0.000 claims description 15
- 238000011217 control strategy Methods 0.000 claims description 12
- 238000012706 support-vector machine Methods 0.000 claims description 11
- 230000005856 abnormality Effects 0.000 claims description 7
- 238000007621 cluster analysis Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 5
- 238000007619 statistical method Methods 0.000 claims description 5
- 238000012098 association analyses Methods 0.000 claims description 4
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 4
- 238000012800 visualization Methods 0.000 claims description 4
- 238000013527 convolutional neural network Methods 0.000 claims description 3
- 238000013079 data visualisation Methods 0.000 claims description 3
- 230000006872 improvement Effects 0.000 claims description 3
- 238000002347 injection Methods 0.000 claims description 3
- 239000007924 injection Substances 0.000 claims description 3
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及安全管理技术领域,具体为一种加密设备的安全管理方法及***,包括以下步骤:基于用户数据,采用Schnorr零知识证明算法和多因素身份验证技术,进行用户身份验证,并进行角色分配,生成用户身份验证结果。本发明中,通过使用零知识证明和多因素身份,用户的隐私信息得到保护,并提供身份验证安全性,避免单因素身份验证的弱点,采用区块链技术生成和分发密钥,增强密钥安全,减少中间人攻击和密钥泄露风险,区块链的不可篡改和去中心化确保密钥的安全和可信度,通过区块链事件记录子模块,安全事件记录在区块链中,确保不可篡改和可靠,避免传统审计日志容易被篡改或删除的风险,提供更高的安全性和可审计性。
Description
技术领域
本发明涉及安全管理技术领域,尤其涉及一种加密设备的安全管理方法及***。
背景技术
安全管理涵盖了从基本的数据加密和解密技术到复杂的安全策略和协议的开发。安全管理技术的核心目的是确保敏感信息的完整性、保密性和可用性,防止未授权访问和数据泄露。这包括了对加密设备(如硬件安全模块、加密服务器等)的访问控制、用户认证、加密密钥的管理和更新、安全审计以及数据泄露的预防措施。
加密设备的安全管理方法是一种保护信息安全的手段,主要通过加密技术对敏感数据进行保护。这种方法的目的是确保只有授权用户才能访问和处理加密数据,防止数据在存储、传输或处理过程中被窃取或篡改。加密设备的安全管理方法的效果在于提高整个信息***的安全级别,降低由于数据泄露、非法访问或其他形式的网络攻击而带来的风险。为了实现这些目标,加密设备的安全管理通常通过多种手段达成。这包括但不限于使用强加密算法(如AES、RSA等)对数据进行加密,实施严格的用户身份验证和权限控制措施,以及定期更新密钥和安全协议以应对新兴的安全威胁。同时,还包括监控和记录所有对加密设备的访问尝试,以便于在发生安全事件时迅速响应。通过这些综合措施,加密设备的安全管理方法能够有效地保护敏感数据,减少数据泄露和其他安全威胁的可能性。
在现有安全管理***的实际使用过程中,传统身份验证仅依赖于用户名和密码,单因素身份验证的安全性较低,存在隐私信息泄露的安全风险,密钥生成和分发过程存在中间人攻击或密钥泄露的风险。传统的审计日志通常存储在集中式服务器上,在黑客入侵或内部人员攻击的情况下,日志被篡改或删除,从而掩盖潜在的安全事件或破坏审计的可靠性。
发明内容
本发明的目的是解决现有技术中存在的缺点,而提出的一种加密设备的安全管理方法及***。
为了实现上述目的,本发明采用了如下技术方案:一种加密设备的安全管理方法,包括以下步骤:
S1:基于用户数据,采用Schnorr零知识证明算法和多因素身份验证技术,进行用户身份验证,并进行角色分配,生成用户身份验证结果;
S2:基于所述用户身份验证结果,采用基于角色的访问控制模型和XACML访问控制策略,进行权限设置,生成角色分配与权限设置;
S3:基于所述角色分配与权限设置,采用区块链技术和对称加密算法SM4/AES,进行密钥的生成、分发和存储,生成密钥管理数据;
S4:基于所述密钥管理数据,采用区块链技术和k-means聚类分析算法,进行安全事件的审计和分析,生成安全事件审计报告;
S5:基于所述安全事件审计报告,采用基于日志的实时事件检测技术,实施安全策略,生成安全策略执行记录;
S6:基于所述安全策略执行记录,采用漏洞扫描工具和区块链更新分发技术,进行软件更新和安全补丁的管理,生成软件更新与安全补丁记录;
S7:基于所述软件更新与安全补丁记录,采用实时行为分析和支持向量机技术,进行异常行为监测和安全响应,生成异常行为与响应记录。
作为本发明的进一步方案,所述用户身份验证结果包括用户角色、身份验证状态和所用的验证因素,所述角色分配与权限设置包括角色名称、权限级别和访问规则,所述密钥管理数据包括密钥对列表、密钥的存储位置和加密方式,所述安全事件审计报告包括安全事件清单、影响分析和改进建议,所述安全策略执行记录包括执行的策略详情、策略违反事件和处理结果,所述软件更新与安全补丁记录包括更新项目清单、更新状态和补丁应用情况,所述异常行为与响应记录包括识别的异常行为、采取的响应措施和警报记录。
一种加密设备的安全管理***,所述加密设备的安全管理***用于执行上述加密设备的安全管理方法,所述***包括访问控制模块、密钥管理模块、审计与报告模块、安全策略管理模块、更新与升级管理模块、异常检测与响应模块、自主安全决策模块;
所述访问控制模块包括零知识证明验证子模块、多因素身份验证子模块、权限管理子模块、访问控制策略子模块;
所述密钥管理模块包括密钥生成和分发子模块、密钥分发和注销子模块、密钥存储和撤销子模块;
所述审计与报告模块包括安全事件审计子模块、审计日志分析子模块、报告生成子模块;
所述安全策略管理模块包括策略设置子模块、策略执行子模块;
所述更新与升级管理模块包括软件更新子模块、更新分发子模块;
所述异常检测与响应模块包括异常行为监测子模块、安全响应子模块、威胁通知与预警子模块;
所述自主安全决策模块包括机器学习模型子模块、自主安全决策子模块。
作为本发明的进一步方案,所述零知识证明验证子模块使用Schnorr零知识证明算法,实现零知识证明协议,利用椭圆曲线密码学算法,生成证明以验证某些陈述的真实性,而无需泄露实际数据,以验证用户的身份而***露用户的隐私信息;
所述多因素身份验证子模块结合多个身份验证因素,进行多因素身份验证,所述身份验证因素包括硬件令牌和生物识别技术,所述生物识别技术采用支持向量机进行指纹匹配,采用卷积神经网络进行人脸识别;
所述权限管理子模块采用基于角色的访问控制模型,定义不同角色和权限级别,并将用户分配到相应的角色;
所述访问控制策略子模块,采用属性访问控制模型定义和管理基于零信任安全架构的访问控制策略。
作为本发明的进一步方案,所述密钥生成和分发子模块利用区块链技术来安全分发密钥,并确保其安全分发给用户设备,所述密钥对是由公钥和私钥组成,所述公钥用于加密和验证,所述私钥用于解密和签名;
密钥分发和注销子模块,采用公钥加密算法,将生成的密钥分发给用户设备,利用用户设备的公钥加密生成的密钥对,并仅由用户设备的私钥进行解密,密钥注销使用数字签名算法,对注销请求进行签名,通过在密钥管理***中标记密钥状态为注销状态来进行操作;
所述密钥存储和撤销子模块,采用对称加密算法SM4或AES,将密钥以加密形式存储,并提供安全的备份和恢复机制,当包括密钥泄露的安全事件发生时,密钥撤销子模块使用撤销列表CRL机制,撤销受影响的密钥。
作为本发明的进一步方案,所述安全事件审计子模块基于哈希函数和共识算法,使用区块链技术记录***的安全事件,基于区块链的去中心化和可追溯性特性提供更高的安全性和可信度;
所述审计日志分析子模块分析和解读安全事件记录,以检测潜在的安全威胁和异常行为,使用k-means聚类分析算法,并基于规则的推理机制,对审计日志进行分析,及时发现并应对安全问题;
所述报告生成子模块根据审计日志和安全事件记录,利用数据分析和可视化算法,根据审计日志和安全事件记录,自动生成详尽的安全报告,安全报告包括统计分析、关联分析、可视化图表和图形。
作为本发明的进一步方案,所述策略设置子模块定义和配置安全策略,所述安全策略包括强制密码策略、访问控制策略和加密算法策略,所述访问控制策略采用基于规则的访问控制方法,所述基于规则的访问控制方法具体为属性访问控制语言XACML,所述加密算法策略具体为对称加密算法SM4或AES;
所述策略执行子模块根据策略设置子模块定义的安全策略,对用户和设备进行实时的安全策略执行和控制,使用基于日志分析的实时事件检测,监视***的运行状态,检测并应对违反安全策略的行为。
作为本发明的进一步方案,所述软件更新子模块,利用漏洞数据库和安全供应链来获取最新的安全信息,使用漏洞扫描工具、安全公告订阅技术,自动检测安全漏洞,并自动获取相关的安全更新和补丁,确保***的安全性和完整性;
所述更新分发子模块利用区块链技术实现更高安全性的软件更新分发,通过使用区块链,创建分布式、不可篡改的更新分发记录,防止中间人攻击和篡改。
作为本发明的进一步方案,所述异常行为监测子模块利用实时行为分析和威胁情报数据,对设备行为进行实时监测和分析,监视和分析设备的事件日志、网络流量、***调用,并采用支持向量机和行为模式分析技术,训练模型和学习设备正常行为模式,识别出异常行为,提高检测准确性;
所述安全响应子模块根据异常行为监测子模块检测到的异常行为,自动执行相应的安全响应措施,所述安全响应措施包括禁用用户、阻止网络流量、阻止IP地址;
所述威胁通知与预警子模块利用实时的威胁情报数据,配合事件和异常行为监测的结果,发送警报通知。
作为本发明的进一步方案,机器学习模型子模块训练和更新机器学习模型,基于历史数据识别并学习新的安全威胁模式,所述机器学习模型通过分析大量的安全数据提高安全决策的准确性和及时性,所述安全数据包括日志、网络流量、恶意软件和攻击特征;
所述自主安全决策子模块基于机器学习模型,对目标事件或行为进行分类,判断其是否属于安全威胁,并自主采取合适的响应措施。
与现有技术相比,本发明的优点和积极效果在于:
本发明中,通过使用零知识证明验证子模块和多因素身份验证子模块,用户的隐私信息得到更好的保护,并提供更强的身份验证安全性,避免了单因素身份验证的弱点。采用区块链技术生成和分发密钥可以增强密钥生成和分发的安全性,降低了中间人攻击和密钥泄露的风险。区块链的不可篡改性和去中心化特点确保了密钥的安全性和可信度。通过区块链事件记录子模块,所有的安全事件都被记录在区块链中,保证了安全事件的不可篡改性和可靠性,避免了传统审计日志容易被篡改或删除的风险,提供了更高的安全性和可审计性。
附图说明
图1为本发明的工作流程示意图;
图2为本发明的***流程示意图;
图3为本发明的框架示意图;
图4为本发明的访问控制模块***流程图;
图5为本发明的密钥管理模块流程图;
图6为本发明的审计与报告模块流程图;
图7为本发明的安全策略管理模块流程图;
图8为本发明的更新与升级管理模块流程图;
图9为本发明的异常检测与响应模块流程图;
图10为本发明的自主安全决策模块流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明的描述中,需要理解的是,术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
实施例一
请参阅图1,本发明提供一种技术方案:一种加密设备的安全管理方法,包括以下步骤:
S1:基于用户数据,采用Schnorr零知识证明算法和多因素身份验证技术,进行用户身份验证,并进行角色分配,生成用户身份验证结果;
S2:基于用户身份验证结果,采用基于角色的访问控制模型和XACML访问控制策略,进行权限设置,生成角色分配与权限设置;
S3:基于角色分配与权限设置,采用区块链技术和对称加密算法SM4/AES,进行密钥的生成、分发和存储,生成密钥管理数据;
S4:基于密钥管理数据,采用区块链技术和k-means聚类分析算法,进行安全事件的审计和分析,生成安全事件审计报告;
S5:基于安全事件审计报告,采用基于日志的实时事件检测技术,实施安全策略,生成安全策略执行记录;
S6:基于安全策略执行记录,采用漏洞扫描工具和区块链更新分发技术,进行软件更新和安全补丁的管理,生成软件更新与安全补丁记录;
S7:基于软件更新与安全补丁记录,采用实时行为分析和支持向量机技术,进行异常行为监测和安全响应,生成异常行为与响应记录。
用户身份验证结果包括用户角色、身份验证状态和所用的验证因素,角色分配与权限设置包括角色名称、权限级别和访问规则,密钥管理数据包括密钥对列表、密钥的存储位置和加密方式,安全事件审计报告包括安全事件清单、影响分析和改进建议,安全策略执行记录包括执行的策略详情、策略违反事件和处理结果,软件更新与安全补丁记录包括更新项目清单、更新状态和补丁应用情况,异常行为与响应记录包括识别的异常行为、采取的响应措施和警报记录。
通过Schnorr零知识证明算法和多因素身份验证,用户的隐私信息得到了更好的保护,同时避免了单因素身份验证的薄弱点。采用区块链技术生成和分发密钥,增强了密钥生成和分发的安全性,降低了中间人攻击和密钥泄露的风险,确保了密钥的安全性和可信度。通过区块链事件记录子模块,所有安全事件都被不可篡改地记录在区块链中,保证了安全事件的可审计性和可靠性,避免了传统审计日志容易被篡改或删除的风险,提供了更高的安全性和可审计性。基于角色的访问控制和XACML访问控制策略的使用增强了权限设置,确保了只有授权用户才能访问敏感信息。安全事件审计和分析以及实时事件检测技术提供了对安全威胁的及时识别和响应,从而增强了***的实时安全性。软件更新和安全补丁管理以及异常行为监测和安全响应机制进一步提高了***的整体安全性和稳定性。
请参阅图2至图3,一种加密设备的安全管理***,加密设备的安全管理***用于执行上述加密设备的安全管理方法,***包括访问控制模块、密钥管理模块、审计与报告模块、安全策略管理模块、更新与升级管理模块、异常检测与响应模块、自主安全决策模块;
访问控制模块包括零知识证明验证子模块、多因素身份验证子模块、权限管理子模块、访问控制策略子模块;
密钥管理模块包括密钥生成和分发子模块、密钥分发和注销子模块、密钥存储和撤销子模块;
审计与报告模块包括安全事件审计子模块、审计日志分析子模块、报告生成子模块;
安全策略管理模块包括策略设置子模块、策略执行子模块;
更新与升级管理模块包括软件更新子模块、更新分发子模块;
异常检测与响应模块包括异常行为监测子模块、安全响应子模块、威胁通知与预警子模块;
自主安全决策模块包括机器学习模型子模块、自主安全决策子模块。
这综合的加密设备安全管理***融合多个关键模块和子模块,为***的安全性和可管理性提供了全面保障。身份验证、访问控制、密钥管理、审计与报告、安全策略管理、更新与升级、异常检测与响应、自主安全决策等各模块相互协作,带来了多重有益效果。这包括强化用户身份验证和访问控制、提高密钥管理的安全性、实现安全事件审计和分析、有效的安全策略管理、精确的更新与升级管理、实时异常检测和响应、自主安全决策,全面提高了***的整体安全性、可审计性和响应能力,降低了潜在的风险和威胁,为用户提供了更安全的使用环境,维护了加密设备的可信度和稳健性。
请参阅图4,零知识证明验证子模块使用Schnorr零知识证明算法,实现零知识证明协议,利用椭圆曲线密码学算法,生成证明以验证某些陈述的真实性,而无需泄露实际数据,以验证用户的身份而***露用户的隐私信息;
多因素身份验证子模块结合多个身份验证因素,进行多因素身份验证,身份验证因素包括硬件令牌和生物识别技术,生物识别技术采用支持向量机进行指纹匹配,采用卷积神经网络进行人脸识别;
权限管理子模块采用基于角色的访问控制模型,定义不同角色和权限级别,并将用户分配到相应的角色;
访问控制策略子模块,采用属性访问控制模型定义和管理基于零信任安全架构的访问控制策略。
密钥生成和分发子模块主要目标是生成密钥对,包括公钥和私钥,其中公钥用于加密和验证,私钥用于解密和签名。为了确保安全性,密钥生成和分发子模块利用区块链技术来安全分发密钥。生成的密钥信息被记录,并上传到区块链,以确保分发的不可篡改性和可信度。密钥信息通过安全通信渠道或硬件安全模块分发到用户设备,以确保密钥的安全传输和存储。
密钥分发和注销子模块负责将生成的密钥对以安全方式分发给用户设备。密钥分发采用公钥加密算法,只有用户设备的私钥才能解密这些密钥对。用户设备可以发起密钥注销请求,该请求经过数字签名确认,确保其合法性和完整性。如果请求合法,密钥管理***将标记相关密钥的状态为注销状态,使其无效。
密钥存储和撤销子模块使用对称加密算法(例如SM4或AES)将密钥以加密形式存储,并提供安全的备份和恢复机制。在安全事件发生时,例如密钥泄露,密钥撤销子模块使用撤销列表(CRL)机制来撤销受影响的密钥。CRL包含已注销或不再受信任的密钥标识,以确保***的安全性和可恢复性。
请参阅图5,密钥生成和分发子模块利用区块链技术来安全分发密钥,并确保其安全分发给用户设备,密钥对是由公钥和私钥组成,公钥用于加密和验证,私钥用于解密和签名;
密钥分发和注销子模块,采用公钥加密算法,将生成的密钥分发给用户设备,利用用户设备的公钥加密生成的密钥对,并仅由用户设备的私钥进行解密,密钥注销使用数字签名算法,对注销请求进行签名,通过在密钥管理***中标记密钥状态为注销状态来进行操作;
密钥存储和撤销子模块,采用对称加密算法SM4或AES,将密钥以加密形式存储,并提供安全的备份和恢复机制,当包括密钥泄露的安全事件发生时,密钥撤销子模块使用撤销列表CRL机制,撤销受影响的密钥。
密钥生成和分发子模块旨在生成和分发安全的密钥对,其中包括公钥和私钥。公钥用于加密和验证,私钥用于解密和签名。为了确保密钥的安全分发,此子模块借助区块链技术。使用强密码算法生成密钥对,将生成的密钥信息上传到区块链,以确保不可篡改性和可信度。通过安全通信渠道或硬件安全模块将密钥信息安全分发给用户设备。
密钥分发和注销子模块任务是将生成的密钥对安全分发给用户设备,并实现密钥的注销。密钥分发采用公钥加密算法,只有用户设备的私钥才能解密这些密钥对。用户设备可以发起密钥注销请求,该请求经过数字签名确认,以确保合法性和完整性。如果请求合法,密钥管理***会将相关密钥标记为注销状态,使其无效。
密钥存储和撤销子模块负责将密钥以安全的方式存储,并实现密钥的撤销。密钥存储采用对称加密算法(如SM4或AES),以加密形式存储密钥。安全备份和恢复机制确保了密钥的可靠性和可恢复性。在发生安全事件(如密钥泄露)时,密钥撤销子模块使用撤销列表(CRL)机制来撤销受影响的密钥,CRL包含已注销或不再受信任的密钥标识。
请参阅图6,安全事件审计子模块基于哈希函数和共识算法,使用区块链技术记录***的安全事件,基于区块链的去中心化和可追溯性特性提供更高的安全性和可信度;
审计日志分析子模块分析和解读安全事件记录,以检测潜在的安全威胁和异常行为,使用k-means聚类分析算法,并基于规则的推理机制,对审计日志进行分析,及时发现并应对安全问题;
报告生成子模块根据审计日志和安全事件记录,利用数据分析和可视化算法,根据审计日志和安全事件记录,自动生成详尽的安全报告,安全报告包括统计分析、关联分析、可视化图表和图形。
安全事件审计子模块通过结合哈希函数和区块链技术,负责记录***的安全事件,以提供高度的安全性和可信度。当***发生安全事件时,相关信息被记录下来,并通过哈希函数生成唯一的事件标识。这些事件标识与其他相关信息,如时间戳和事件类型,被添加到区块链中。这一过程确保了事件记录的不可篡改性和可追溯性,因为区块链是一个去中心化、可信的分布式账本。
审计日志分析子模块扮演着安全事件的解读和分析角色,以检测潜在的安全威胁和异常行为。收集区块链中的安全事件记录和事件标识,形成审计日志。使用k-means聚类分析算法对审计日志中的事件进行聚类,以识别具有相似特征的事件,这指示潜在的安全问题。审计日志分析还利用基于规则的推理机制,对事件进行规则检查,如违反的安全规则。如果发现与规则不符的事件,***会发出警报,以及时发现并应对潜在的安全问题。
报告生成子模块负责将审计日志和安全事件记录的数据转化为可理解的安全报告。进行数据分析,利用审计日志中的聚类结果和规则推理分析的输出,进行统计分析和关联分析。利用可视化算法,将分析结果呈现为清晰的图形和图表,以提供直观的可视化呈现。报告生成子模块自动生成详尽的安全报告,包括事件的统计分析、关联分析、可视化图表和图形,以及安全问题的详细描述和建议的解决方案。
请参阅图7,策略设置子模块定义和配置安全策略,安全策略包括强制密码策略、访问控制策略和加密算法策略,访问控制策略采用基于规则的访问控制方法,基于规则的访问控制方法具体为属性访问控制语言XACML,加密算法策略具体为对称加密算法SM4或AES;
策略执行子模块根据策略设置子模块定义的安全策略,对用户和设备进行实时的安全策略执行和控制,使用基于日志分析的实时事件检测,监视***的运行状态,检测并应对违反安全策略的行为。
策略设置子模块负责定义和配置***的安全策略,这些策略包括强制密码策略、访问控制策略和加密算法策略。管理员首先定义这些策略,根据安全需求和政策的要求来配置相关参数,如密码复杂度、用户权限、加密算法选择等。特别值得注意的是,访问控制策略采用基于规则的访问控制方法,通常使用属性访问控制语言XACML(Attribute-BasedAccess Control Language),以确保精确控制谁可以访问***资源以及在什么条件下可以访问。管理员还在此子模块中选择适当的加密算法,通常为对称加密算法SM4或AES,以保证数据的机密性。
策略执行子模块负责实时执行和监控这些安全策略。通过不断监视***的运行状态,检查用户和设备的行为是否符合预先定义的安全策略。此子模块使用基于日志分析的实时事件检测技术,将***日志与定义的策略进行比对,以及时发现并应对违反安全策略的行为。一旦发现违规行为,策略执行子模块会采取相应措施,如发出警告、限制或拒绝访问、触发报警或自动应用修复措施,以确保***的持续安全性。
请参阅图8,软件更新子模块,利用漏洞数据库和安全供应链来获取最新的安全信息,使用漏洞扫描工具、安全公告订阅技术,自动检测安全漏洞,并自动获取相关的安全更新和补丁,确保***的安全性和完整性;
更新分发子模块利用区块链技术实现更高安全性的软件更新分发,通过使用区块链,创建分布式、不可篡改的更新分发记录,防止中间人攻击和篡改。
软件更新子模块旨在保持***的持续安全性和完整性。利用漏洞数据库和安全供应链获取最新的安全信息,包括已知的漏洞、威胁情报和安全公告。通过漏洞扫描工具和安全公告订阅技术,自动检测***中的安全漏洞,并获取相关的安全更新和补丁。一旦安全漏洞被发现,子模块会自动获取相应的安全更新和补丁,这些更新和补丁通常由软件供应商或开发者发布,用于修复已知漏洞和增强***的安全性。负责将安全更新和补丁安装到***中,并进行必要的测试,以确保更新不会导致***不稳定或与其他组件冲突。
更新分发子模块利用区块链技术创建分布式、不可篡改的更新分发记录。每个更新都被记录在区块链中,其中包括更新的版本、签名、时间戳和相关元数据。使用区块链记录的信息,将更新分发给***中的相应节点。区块链技术确保了更新的安全传输,防止中间人攻击和数据篡改。接收更新的节点会验证其完整性和真实性,以确保更新没有被篡改。然后,节点应用更新并重新启动相应的软件组件。更新完成后,会持续跟踪每个节点的更新状态,并记录在区块链中,以便管理者了解***的整体更新情况。
请参阅图9,异常行为监测子模块利用实时行为分析和威胁情报数据,对设备行为进行实时监测和分析,监视和分析设备的事件日志、网络流量、***调用,并采用支持向量机和行为模式分析技术,训练模型和学习设备正常行为模式,识别出异常行为,提高检测准确性;
安全响应子模块根据异常行为监测子模块检测到的异常行为,自动执行相应的安全响应措施,安全响应措施包括禁用用户、阻止网络流量、阻止IP地址;
威胁通知与预警子模块利用实时的威胁情报数据,配合事件和异常行为监测的结果,发送警报通知。
异常行为监测子模块负责实时监测设备行为、分析事件日志和网络流量,以识别潜在的安全威胁。利用实时行为分析和威胁情报数据,监视***活动并采用支持向量机和行为模式分析技术。收集事件日志、网络流量和***调用等数据。使用支持向量机等机器学习技术训练模型,学习设备正常行为模式。当设备行为与正常模式不符时,子模块将其标识为异常行为,提高了检测准确性。这有助于及时发现潜在的安全风险。
安全响应子模块负责根据异常行为监测子模块检测到的异常行为,自动执行相应的安全响应措施。这包括禁用用户账户、阻止网络流量和IP地址等。安全响应是实时的,旨在立即应对潜在的威胁,以减轻风险和损害。确保了对安全事件的快速响应,减少了潜在的威胁对***的影响。
威胁通知与预警子模块利用实时威胁情报数据,结合事件监测结果,向相关人员发送警报通知,并提前警示潜在的安全威胁。获取威胁情报数据,包括威胁指标、恶意IP地址等。将这些数据与事件监测和异常行为检测的结果结合,识别潜在的安全威胁。如果发现潜在威胁,发送警报通知给安全团队或管理者,通知需要采取进一步行动。还能提前警示潜在的威胁,即使尚未发生异常行为,也可通过分析威胁情报数据来提前识别风险。
请参阅图10,机器学习模型子模块训练和更新机器学习模型,基于历史数据识别并学习新的安全威胁模式,机器学习模型通过分析大量的安全数据提高安全决策的准确性和及时性,安全数据包括日志、网络流量、恶意软件和攻击特征;
自主安全决策子模块基于机器学习模型,对目标事件或行为进行分类,判断其是否属于安全威胁,并自主采取合适的响应措施。
机器学习模型子模块负责安全数据的收集、特征工程、模型训练、模型评估和模型更新。使用历史安全数据来训练机器学习模型,提高威胁检测的准确性。模型根据特征识别安全模式和异常模式,随着时间的推移不断更新,以适应新的安全威胁。
自主安全决策子模块基于机器学习模型的输出,对观察到的事件或行为进行分类,判断其是否构成安全威胁,并采取相应的响应措施。这包括威胁评估和实时的安全响应,以应对潜在的威胁,例如阻止可疑流量或禁用受感染的用户账户。
以上,仅是本发明的较佳实施例而已,并非对本发明作其他形式的限制,任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例应用于其他领域,但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化与改型,仍属于本发明技术方案的保护范围。
Claims (6)
1.一种加密设备的安全管理***,其特征在于,所述***包括访问控制模块、密钥管理模块、审计与报告模块、安全策略管理模块、更新与升级管理模块、异常检测与响应模块、自主安全决策模块;
所述访问控制模块包括零知识证明验证子模块、多因素身份验证子模块、权限管理子模块、访问控制策略子模块;
所述零知识证明验证子模块使用Schnorr零知识证明算法,实现零知识证明协议,利用椭圆曲线密码学算法,生成证明以验证某些陈述的真实性,而无需泄露实际数据,以验证用户的身份而***露用户的隐私信息;
所述多因素身份验证子模块结合多个身份验证因素,进行多因素身份验证,所述身份验证因素包括硬件令牌和生物识别技术,所述生物识别技术采用支持向量机进行指纹匹配,采用卷积神经网络进行人脸识别;
所述权限管理子模块采用基于角色的访问控制模型,定义不同角色和权限级别,并将用户分配到相应的角色;
所述访问控制策略子模块,采用属性访问控制模型定义和管理基于零信任安全架构的访问控制策略;
所述密钥管理模块包括密钥生成和分发子模块、密钥分发和注销子模块、密钥存储和撤销子模块;
所述审计与报告模块包括安全事件审计子模块、审计日志分析子模块、报告生成子模块;
所述安全事件审计子模块基于哈希函数和共识算法,使用区块链技术记录***的安全事件,基于区块链的去中心化和可追溯性特性提供更高的安全性和可信度;
所述审计日志分析子模块分析和解读安全事件记录,以检测潜在的安全威胁和异常行为,使用k-means聚类分析算法,并基于规则的推理机制,对审计日志进行分析,及时发现并应对安全问题;
所述报告生成子模块根据审计日志和安全事件记录,利用数据分析和可视化算法,根据审计日志和安全事件记录,自动生成详尽的安全报告,安全报告包括统计分析、关联分析、可视化图表和图形;
所述安全策略管理模块包括策略设置子模块、策略执行子模块;
所述更新与升级管理模块包括软件更新子模块、更新分发子模块;
所述异常检测与响应模块包括异常行为监测子模块、安全响应子模块、威胁通知与预警子模块;
所述异常行为监测子模块利用实时行为分析和威胁情报数据,对设备行为进行实时监测和分析,监视和分析设备的事件日志、网络流量、***调用,并采用支持向量机和行为模式分析技术,训练模型和学习设备正常行为模式,识别出异常行为,提高检测准确性;
所述安全响应子模块根据异常行为监测子模块检测到的异常行为,自动执行相应的安全响应措施,所述安全响应措施包括禁用用户、阻止网络流量、阻止IP地址;
所述威胁通知与预警子模块利用实时的威胁情报数据,配合事件和异常行为监测的结果,发送警报通知;
所述自主安全决策模块包括机器学习模型子模块、自主安全决策子模块;
所述机器学习模型子模块训练和更新机器学习模型,基于历史数据识别并学习新的安全威胁模式,所述机器学习模型通过分析大量的安全数据提高安全决策的准确性和及时性,所述安全数据包括日志、网络流量、恶意软件和攻击特征;
所述自主安全决策子模块基于机器学习模型,对目标事件或行为进行分类,判断其是否属于安全威胁,并自主采取合适的响应措施。
2.根据权利要求1所述的加密设备的安全管理***,其特征在于,所述密钥生成和分发子模块利用区块链技术来安全分发密钥,并确保其安全分发给用户设备,密钥对是由公钥和私钥组成,所述公钥用于加密和验证,所述私钥用于解密和签名;
密钥分发和注销子模块,采用公钥加密算法,将生成的密钥分发给用户设备,利用用户设备的公钥加密生成的密钥对,并仅由用户设备的私钥进行解密,密钥注销使用数字签名算法,对注销请求进行签名,通过在密钥管理***中标记密钥状态为注销状态来进行操作;
所述密钥存储和撤销子模块,采用对称加密算法SM4或AES,将密钥以加密形式存储,并提供安全的备份和恢复机制,当包括密钥泄露的安全事件发生时,密钥撤销子模块使用撤销列表CRL机制,撤销受影响的密钥。
3.根据权利要求1所述的加密设备的安全管理***,其特征在于,所述策略设置子模块定义和配置安全策略,所述安全策略包括强制密码策略、访问控制策略和加密算法策略,所述访问控制策略采用基于规则的访问控制方法,所述基于规则的访问控制方法具体为属性访问控制语言XACML,所述加密算法策略具体为对称加密算法SM4或AES;
所述策略执行子模块根据策略设置子模块定义的安全策略,对用户和设备进行实时的安全策略执行和控制,使用基于日志分析的实时事件检测,监视***的运行状态,检测并应对违反安全策略的行为。
4.根据权利要求1所述的加密设备的安全管理***,其特征在于,所述软件更新子模块,利用漏洞数据库和安全供应链来获取最新的安全信息,使用漏洞扫描工具、安全公告订阅技术,自动检测安全漏洞,并自动获取相关的安全更新和补丁,确保***的安全性和完整性;
所述更新分发子模块利用区块链技术实现更高安全性的软件更新分发,通过使用区块链,创建分布式、不可篡改的更新分发记录,防止中间人攻击和篡改。
5.一种加密设备的安全管理方法,应用于权利要求1-4任一项所述的加密设备的安全管理***,其特征在于,包括以下步骤:
基于用户数据,采用Schnorr零知识证明算法和多因素身份验证技术,进行用户身份验证,并进行角色分配,生成用户身份验证结果;
基于所述用户身份验证结果,采用基于角色的访问控制模型和XACML访问控制策略,进行权限设置,生成角色分配与权限设置;
基于所述角色分配与权限设置,采用区块链技术和对称加密算法SM4/AES,进行密钥的生成、分发和存储,生成密钥管理数据;
基于所述密钥管理数据,采用区块链技术和k-means聚类分析算法,进行安全事件的审计和分析,生成安全事件审计报告;
基于所述安全事件审计报告,采用基于日志的实时事件检测技术,实施安全策略,生成安全策略执行记录;
基于所述安全策略执行记录,采用漏洞扫描工具和区块链更新分发技术,进行软件更新和安全补丁的管理,生成软件更新与安全补丁记录;
基于所述软件更新与安全补丁记录,采用实时行为分析和支持向量机技术,进行异常行为监测和安全响应,生成异常行为与响应记录。
6.根据权利要求5所述的加密设备的安全管理方法,其特征在于,所述用户身份验证结果包括用户角色、身份验证状态和所用的验证因素,所述角色分配与权限设置包括角色名称、权限级别和访问规则,所述密钥管理数据包括密钥对列表、密钥的存储位置和加密方式,所述安全事件审计报告包括安全事件清单、影响分析和改进建议,所述安全策略执行记录包括执行的策略详情、策略违反事件和处理结果,所述软件更新与安全补丁记录包括更新项目清单、更新状态和补丁应用情况,所述异常行为与响应记录包括识别的异常行为、采取的响应措施和警报记录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311657691.8A CN117390656B (zh) | 2023-12-06 | 2023-12-06 | 一种加密设备的安全管理方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311657691.8A CN117390656B (zh) | 2023-12-06 | 2023-12-06 | 一种加密设备的安全管理方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117390656A CN117390656A (zh) | 2024-01-12 |
| CN117390656B true CN117390656B (zh) | 2024-06-11 |
Family
ID=89472413
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311657691.8A Active CN117390656B (zh) | 2023-12-06 | 2023-12-06 | 一种加密设备的安全管理方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117390656B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117648362B (zh) * | 2024-01-29 | 2024-06-04 | 北京谷器数据科技有限公司 | 一种第三方数据库的链接方法及*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109347799A (zh) * | 2018-09-13 | 2019-02-15 | 深圳市图灵奇点智能科技有限公司 | 一种基于区块链技术的身份信息管理方法及*** |
| CN113992418A (zh) * | 2021-10-29 | 2022-01-28 | 南京联了么信息技术有限公司 | 一种基于区块链技术的IoT设备管理方法 |
| CN116232704A (zh) * | 2023-02-13 | 2023-06-06 | 广州大学 | 一种基于xacml与智能合约的数据受控访问方法及*** |
| CN117040896A (zh) * | 2023-09-05 | 2023-11-10 | 重庆埃迪加信息技术有限公司 | 一种物联网管理方法及物联网管理平台 |
| US11829486B1 (en) * | 2023-02-08 | 2023-11-28 | BobaGuard LLP | Apparatus and method for enhancing cybersecurity of an entity |
| CN117155678A (zh) * | 2023-09-12 | 2023-12-01 | 辽宁科技大学 | 一种计算机网络工程安全控制*** |
-
2023
- 2023-12-06 CN CN202311657691.8A patent/CN117390656B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109347799A (zh) * | 2018-09-13 | 2019-02-15 | 深圳市图灵奇点智能科技有限公司 | 一种基于区块链技术的身份信息管理方法及*** |
| CN113992418A (zh) * | 2021-10-29 | 2022-01-28 | 南京联了么信息技术有限公司 | 一种基于区块链技术的IoT设备管理方法 |
| US11829486B1 (en) * | 2023-02-08 | 2023-11-28 | BobaGuard LLP | Apparatus and method for enhancing cybersecurity of an entity |
| CN116232704A (zh) * | 2023-02-13 | 2023-06-06 | 广州大学 | 一种基于xacml与智能合约的数据受控访问方法及*** |
| CN117040896A (zh) * | 2023-09-05 | 2023-11-10 | 重庆埃迪加信息技术有限公司 | 一种物联网管理方法及物联网管理平台 |
| CN117155678A (zh) * | 2023-09-12 | 2023-12-01 | 辽宁科技大学 | 一种计算机网络工程安全控制*** |
Non-Patent Citations (1)
| Title |
|---|
| 基于区块链技术的物联网密钥管理方案;很酷cat;https://developer.***.com/article/detail.html?id=404825;20230706;第1-3页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117390656A (zh) | 2024-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN116881981B (zh) | 一种基于证书的数字签名***及方法 | |
| CN117390656B (zh) | 一种加密设备的安全管理方法及*** | |
| CA2849312A1 (en) | Secure integrated cyberspace security and situational awareness system | |
| CN114024704A (zh) | 一种零信任架构中证书分发方法 | |
| CN117040896A (zh) | 一种物联网管理方法及物联网管理平台 | |
| CN115102791B (zh) | 一种基于拟态防御的密码服务监控***及方法 | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| CN117332433A (zh) | 一种基于***集成的数据安全检测方法及*** | |
| Tyagi | Blockchain and Artificial Intelligence for Cyber Security in the Era of Internet of Things and Industrial Internet of Things Applications | |
| CN117319030A (zh) | 一种数据安全传输*** | |
| CN117688529A (zh) | 一种码头船用控制箱*** | |
| Montrieux et al. | Challenges in engineering self-adaptive authorisation infrastructures | |
| CN116723048A (zh) | 一种局域网内的通信***及方法 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警***及方法 | |
| Shrivastava et al. | Preventing data tampering in IoT networks | |
| CN116684875A (zh) | 一种电力5g网络切片的通信安全认证方法 | |
| CN116668166A (zh) | 一种软硬件协同的数据安全监控*** | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及*** | |
| Patra et al. | An automated approach for mitigating server security issues | |
| CN112769784A (zh) | 文本的处理方法和装置、计算机可读存储介质及处理器 | |
| Ismail et al. | Blockchain-Based Zero Trust Supply Chain Security Integrated with Deep Reinforcement Learning | |
| CN115225415B (zh) | 用于新能源集控***的密码应用平台及监测预警方法 | |
| Conte de Leon et al. | Cybersecurity | |
| CN116595592B (zh) | 一种应用区块链技术的工业物联网安全管理方法及*** | |
| Chakraborty | Digital defense: Verification of security intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |