本發明專利技術涉及一種密鑰管理系統的防篡改方法,包括:利用掛載于密鑰管理系統的主動防御系統的監聽服務程序,確定各待檢測文件中的當前運行文件;獲取當前運行文件的校驗值;查詢主動防御系統的數據庫,獲取數據庫中存儲的基準校驗值;判斷當前運行文件的校驗值與對應基準校驗值是否一致;若否,則關閉密鑰管理系統。監聽服務程序掛載于密鑰管理系統,隨密鑰管理系統的啟動而啟動,可以滿足linux系統C/S架構的防護需求,適配性高;而且不會因為受到人為攻擊而關閉主動防御系統,防篡改效率高。
【技術實現步驟摘要】
本專利技術涉及系統安全
,特別是涉及一種密鑰管理系統的防篡改方法及系統。
技術介紹
密鑰管理系統主要用于密鑰生成、傳遞、分散、備份、恢復等密鑰操作管理。為保證系統文件的安全運行,通常需要對密鑰管理系統進行安全防護。傳統的防御技術一般包括防火墻、入侵檢測系統和主動防御系統。防火墻是位于內部網絡與外部網絡之間的網絡安全系統;入侵檢測系統是對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備;主動防御系統通過設立一個額外監聽服務程序以定時查詢系統文件編碼來實現防篡改。在實際應用和設計中,密鑰管理系統大部分處于內聯網/高安局域網,受到篡改攻擊時主要由主動防御系統發揮作用進行防御保護。然而,傳統的主動防御系統一般部署在windows系統B/S (Brower/Server瀏覽器/服務器)架構的網頁上,無法滿足linux系統C/S (Client/Server客戶/服務器)架構的防護需求,適配性低;而且傳統的主動防御系統需要額外建立監聽服務程序,容易受到攻擊而關閉,無法有效防御篡改事件,防篡改效率低。
技術實現思路
基于此,有必要針對上述問題,提供一種提高適配性和防篡改效率的密鑰管理系統的防篡改方法及系統。—種密鑰管理系統的防篡改方法,包括以下步驟:利用掛載于密鑰管理系統的主動防御系統的監聽服務程序,確定各待檢測文件中的當前運行文件;獲取所述當前運行文件的校驗值;查詢所述主動防御系統的數據庫,獲取所述數據庫中存儲的基準校驗值,其中,所述基準校驗值為各待檢測文件正常狀態下的校驗值;判斷所述當前運行文件的校驗值與對應基準校驗值是否一致; 若否,則關閉所述密鑰管理系統。一種密鑰管理系統的防篡改系統,包括:文件檢測模塊,包括掛載于密鑰管理系統的主動防御系統的監聽服務程序,用于確定各待檢測文件中的當前運行文件;運行校驗模塊,用于獲取所述當前運行文件的校驗值;基準查詢模塊,用于查詢所述主動防御系統的數據庫,并獲取所述數據庫中存儲的基準校驗值,其中,所述基準校驗值為各待檢測文件正常狀態下的校驗值;比對處理模塊,用于判斷所述當前運行文件的校驗值與對應基準校驗值是否一致;關閉系統模塊,用于在所述當前運行文件的校驗值與對應基準校驗值不一致時,關閉所述密鑰管理系統。上述密鑰管理系統的防篡改方法及系統,利用監聽服務程序確定各待檢測文件中的當前運行文件,獲取當前運行文件的校驗值,查詢主動防御系統的數據庫,獲取數據庫中存儲的基準校驗值,通過判斷當前運行文件的校驗值與對應基準校驗值是否一致,若否,則說明當前運行文件可能被篡改,關閉密鑰管理系統以保證安全。監聽服務程序掛載于密鑰管理系統,隨密鑰管理系統的啟動而啟動,可以滿足linux系統C/S架構的防護需求,適配性高;而且不會因為受到人為攻擊而關閉主動防御系統,防篡改效率高。【附圖說明】圖1為本專利技術一實施例中密鑰管理系統的防篡改方法的流程圖;圖2為另一實施例中密鑰管理系統的防篡改方法的流程圖;圖3為另一實施例中密鑰管理系統的防篡改方法的流程圖;圖4為一應用例中密鑰管理系統的防篡改方法的流程圖;圖5為本專利技術一實施例中密鑰管理系統的防篡改系統的模塊圖;圖6為另一實施例中密鑰管理系統的防篡改系統的模塊圖。【具體實施方式】參考圖1,本專利技術一實施例中的密鑰管理系統的防篡改方法,包括步驟S110至步驟 S190。S110:利用掛載于密鑰管理系統的主動防御系統的監聽服務程序,確定各待檢測文件中的當前運行文件。待檢測文件即指密鑰管理系統中需要監測的文件。主動防御系統的監聽服務程序掛載于密鑰管理系統,因此監聽服務程序隨密鑰管理系統的啟動而啟動,無法通過其他手段關閉,可以避免人為攻擊關閉主動防御系統從而篡改文件的情況,同時可以滿足linux系統C/S架構的防護需求,適配性高。在其中一個實施例中,參考圖2或圖3,步驟S110之前還包括步驟S100:獲取主動防御系統中接收的白名單,將密鑰管理系統中白名單外的文件作為待檢測文件。白名單為密鑰管理系統中不需要監測的文件名單。本實施例中,白名單由用戶在配置文件中預先配置。通過預設白名單,可以剔除不需要監測的文件,減少待檢測文件的數量,提高效率。S130:獲取當前運行文件的校驗值。在其中一個實施例中,當前運行文件的校驗值可以根據密碼機的操作并運用校驗算法計算獲得。本實施例中,具體可以根據密碼機的操作獲取相關信息,通過對獲取的相關信息采用密鑰管理系統的分組算法獲取當前運行文件的校驗值。相比于普通的校驗算法,結合硬件與密鑰管理系統采用分組算法獲取當前運行文件的校驗值,可以避免校驗值被人為攻擊的風險,提高系統的安全性。在其中一個實施例中,步驟S110之后,步驟S130之前,還包括步驟11_步驟12。步驟11:利用主動防御系統的監聽服務程序劫持密鑰管理系統的調用函數,根據調用函數確定密鑰管理系統當前執行的密鑰操作。步驟12:判斷密鑰操作是否有效。若是,則執行步驟S130。密鑰管理系統在進行密鑰的生成、傳遞、分散、備份、恢復等密鑰操作時,會與密碼機進行交互,調用特有的密碼機函數執行相對應的密鑰操作。由于監聽服務程序劫持了密鑰管理系統的調用函數,因此監聽服務程序可以知道密鑰管理系統進行了何種密鑰操作。密鑰管理系統在進行密鑰的生成、傳遞、分散、備份、恢復等密鑰操作時,可以即時觸發對當前運行文件的校驗值的檢測,在判斷密鑰操作有效時,執行步驟S130。S150:查詢主動防御系統的數據庫,獲取數據庫中存儲的基準校驗值。其中,基準校驗值為各待檢測文件正常狀態下的校驗值。S170:判斷當前運行文件的校驗值與對應基準校驗值是否一致。若否,則執行步驟S190oS190:關閉密鑰管理系統。通過比對當前運行文件的校驗值與對應基準校驗值,可以及時發現被篡改的文件并及時關閉密鑰管理系統,提高系統的安全性。在其中一個實施例中,參考圖2或圖3,步驟S190之后,還包括步驟S200:根據當前運行文件的校驗值與對應基準校驗值不一致的比對結果生成記錄日志,并發出報警信息。因此,可以實現當密鑰管理系統中的當前運行文件出現異常時,及時通知用戶,同時,生成記錄日志可以方便用戶隨時查看,了解事故情況。在其中一個實施例中,參考圖2,步驟S170之后,還包括步驟S210和步驟S211。S210:在當前運行文件的校驗值與對應基準校驗值一致時,啟動計時。S211:判斷計時時刻是否達到預設時刻。若是,則返回步驟S110。通過根據預設的時刻進行計時,可以實現對密鑰管理系統的定時檢測,進一步增強密鑰管理系統的主動防御強度。可以理解,在其他實施例中,在計時時刻達到預設時刻時,也可以返回步驟S100,重新獲取一次白名單。在其中一個實施例中,參考圖3,步驟S170之后,還包括步驟S220和步驟S221。S220:在當前運行文件的校驗值與對應基準校驗值一致時,判斷待檢測文件中是否有發生變更的文件。若是,則執行步驟S221。S221:將發生變更的文件更新為當前運行文件,并返回步驟S130。通過判斷是否有發生變更的文件,當密鑰管理系統中有發生變更的文件時,將發生變更的文件更新為當前運行文件,可以隨時觸發執行對當前運行文件的校驗值與基準校驗值的比對操作,同樣可以增強密鑰管理系統的主動防御強度。參考圖4,本文檔來自技高網...
【技術保護點】
一種密鑰管理系統的防篡改方法,其特征在于,包括以下步驟:利用掛載于密鑰管理系統的主動防御系統的監聽服務程序,確定各待檢測文件中的當前運行文件;獲取所述當前運行文件的校驗值;查詢所述主動防御系統的數據庫,獲取所述數據庫中存儲的基準校驗值,其中,所述基準校驗值為各待檢測文件正常狀態下的校驗值;判斷所述當前運行文件的校驗值與對應基準校驗值是否一致;若否,則關閉所述密鑰管理系統。
【技術特征摘要】
【專利技術屬性】
技術研發人員:趙云,肖勇,張明明,楊祎巍,賴宇陽,林偉斌,
申請(專利權)人:中國南方電網有限責任公司電網技術研究中心,南方電網科學研究院有限責任公司,
類型:發明
國別省市:廣東;44
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。