[发明专利]一种基于可信架构的安全消息传递方法

摘要

本发明公开了一种基于可信架构的安全消息传递方法，涉及信息安全领域中安全消息传递问题，由可信总线、组件节点以及安全机制三部分组成，其中组件节点由可信服务节点，安全服务节点，消息发送和接收节点组成。本发明在可信网络环境下，通过可信总线中间件，根据安全组件为信息添加安全消息头和安全属性扩展项，形成安全消息，并根据安全消息的属性，为安全消息添加可信属性扩展项，并让安全消息在可信组件间传递，完成相关可信处理后返回该节点，发送经可信处理的安全消息，以实现对安全消息传递的可信支撑。本发明使用安全消息传递策略，实现可信总线系统中组件之间安全消息传递和分发处理，为可信网络中安全消息传递提供有效支持。

主权项

1.一种基于可信架构的安全消息传递方法，其特征在于，包括：可信总线、节点以及安全机制，其中，节点由节点可信机制、节点安全机制和可信总线单元组成，节点安全机制由安全组件和安全消息接口组成，节点可信机制由可信组件组成；各节点的可信总线单元互联构成连接所有可信节点的可信总线，可信总线是一个分布在云计算环境中各节点的可信服务进程集成而成的分布式云安全服务元件，为系统所有的可信节点提供可信互联服务，构成一个分布式的总线系统，可信总线为数据交互的核心，连接分布在各节点中的组件，与可信总线相连的安全组件和可信组件之间通过可信总线来进行安全消息的交换；所述节点安全机制的安全组件提供安全管理功能的部件，包括：对系统安全策略进行集中管理；对节点计算环境安全提供保障；通过边界可信控制设备实现系统服务区域的边界安全保障；通过网络安全通信机制保障可信终端与边界可信控制设备通信时网络传输数据的安全性；所述节点可信机制的可信组件提供可信功能的调用接口为可信模块提供可信支持的元件，可信功能包括：哈希算法、密钥、签名与认证算法、加密和解密算法；可信支撑的功能包括：为系统中所有节点构建一个从可信根或虚拟可信根到执行程序可信监控机制的完整可信链条；每个节点具有向外界提供对于本地可信链条的可信报告，报告本机可信链状态以及可信监控所使用的可信策略；为不同节点安全机制提供软件定义的可信连接通路；在可信第三方平台上使用可信基准库生成工具生成可信基准库来存放验证对象的摘要值和可信属性；其中，可信第三方是云服务商和云用户都认可的第三方，为可信云架构提供云服务商和用户都认可的证书服务、可信基准值服务、可信验证和可信仲裁可信服务功能；安全消息是由安全组件输出的安全数据经封装后形成的数据包，安全数据从安全组件中输出后，由安全消息接口封装形成安全消息；系统中的一个安全消息由安全消息头、安全消息数据体和消息扩展项组成，安全消息头由固定格式的数据项组成，安全消息数据体为加密的数据内容，消息扩展项由安全扩展项和可信扩展项组成；其中，安全消息头包含消息标识、版本信息、身份标识、数据流向、消息体状态、属性、消息数据类型、消息数据项、扩展项数目以及总长内容；安全扩展项包括：信任级别和身份标识内容；可信扩展项包括：身份标识、公钥标识和签名值内容。