一種可信的數(shù)據(jù)庫機密性保護(hù)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種可信的數(shù)據(jù)庫機密性保護(hù)方法及系統(tǒng)��,屬于數(shù)據(jù)庫安全技術(shù)領(lǐng)域。
【背景技術(shù)】
[0002]由于工業(yè)生產(chǎn)對工控系統(tǒng)(或稱工業(yè)控制系統(tǒng))可用性的嚴(yán)格要求��,工控系統(tǒng)在部署完成后通常不會及時地進(jìn)行升級���、打補丁或殺毒軟件病毒庫的更新等安全操作����,所以這些安全措施不太適用于工控系統(tǒng)�����。因此相比于傳統(tǒng)信息系統(tǒng)�����,工控系統(tǒng)在安全防護(hù)方面存在一定的滯后性�����。而隨著信息化和工業(yè)化的融合�,許多工業(yè)生產(chǎn)領(lǐng)域的企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)開始逐漸地互聯(lián)互通�����,以實現(xiàn)管理與控制一體化���。這就使工控系統(tǒng)面臨著更加嚴(yán)重的來自互聯(lián)網(wǎng)外部的病毒��、木馬�、黑客攻擊等威脅,同時也使得內(nèi)部人員的惡意行為能夠?qū)ο到y(tǒng)產(chǎn)生更嚴(yán)重的影響�。與傳統(tǒng)信息系統(tǒng)相似,工業(yè)控制系統(tǒng)的數(shù)據(jù)庫中也存在大量的敏感數(shù)據(jù)���,例如生產(chǎn)計劃或工藝配方等數(shù)據(jù)���。相比于工控系統(tǒng)的實時業(yè)務(wù)數(shù)據(jù),這些數(shù)據(jù)一旦泄漏將會對工業(yè)生產(chǎn)造成更嚴(yán)重的影響���。因此為了應(yīng)對工控系統(tǒng)自身安全防護(hù)措施的滯后性和兩化融合帶來的數(shù)據(jù)安全威脅�����,有必要對工控系統(tǒng)的數(shù)據(jù)庫中存放的敏感數(shù)據(jù)進(jìn)行機???性保護(hù)����。
[0003]為了確保數(shù)據(jù)庫中的敏感數(shù)據(jù)的機密性���,通常會采用數(shù)據(jù)庫加密技術(shù)�����。它是指以密碼技術(shù)為基礎(chǔ)對數(shù)據(jù)庫管理系統(tǒng)中的數(shù)據(jù)庫��、表����、屬性列、元組提供加解密服務(wù)�����,以阻止非授權(quán)用戶或外部攻擊者查看數(shù)據(jù)的明文�����。也就是說����,它能按照用戶預(yù)先定義的策略將輸入的需要加密的明文加密存放在數(shù)據(jù)庫表中����,并在合法訪問時解密出明文供用戶查詢。然而現(xiàn)有數(shù)據(jù)庫加密技術(shù)存在以下兩個顯著缺陷無法確保工控系統(tǒng)中敏感數(shù)據(jù)的機密性:
[0004]其一,數(shù)據(jù)的機密性與環(huán)境安全性沒有綁定�����。傳統(tǒng)安全數(shù)據(jù)庫系統(tǒng)的機密性保護(hù)措施通常建立在環(huán)境相對安全的前提下����,例如操作系統(tǒng)中不存在病毒、木馬等�。而這種假設(shè)對于安全防護(hù)措施相對滯后的工業(yè)控制系統(tǒng)來說難以成立。在系統(tǒng)環(huán)境已被破壞的情況下�,安全數(shù)據(jù)庫即使對敏感數(shù)據(jù)進(jìn)行了加密也無法保證其機密性。這是由于數(shù)據(jù)在解密時缺少對系統(tǒng)環(huán)境安全性的檢測����,導(dǎo)致密文在非安全環(huán)境下被解密出來。
[0005]其二��,數(shù)據(jù)的機密性沒有建立在硬件基礎(chǔ)上��。傳統(tǒng)安全數(shù)據(jù)庫的機密性通常建立在軟件方式實現(xiàn)的系統(tǒng)可信計算基TCB的安全性基礎(chǔ)上�。而對于工控系統(tǒng)來說,這種軟件方式實現(xiàn)的TCB并不能完全阻止攻擊者對敏感數(shù)據(jù)的竊取�����。例如,工控系統(tǒng)在維護(hù)時����,通常會臨時接上工程師的筆記本。攻擊者可以通過對該筆記本的攻擊�����,來進(jìn)一步侵入和破壞工控系統(tǒng)�����。更為嚴(yán)重的是�,能夠物理接觸工控系統(tǒng)的內(nèi)部人員一旦是惡意的,那么他們能夠?qū)⒋娣艛?shù)據(jù)庫的磁盤直接移動或復(fù)制到其他計算機上進(jìn)行破解����,進(jìn)而獲取敏感數(shù)據(jù)。這是缺少硬件支持的安全數(shù)據(jù)庫方案無法解決的問題����。
[0006]總之����,目前在工控環(huán)境中尚缺乏一種能夠安全存儲敏感數(shù)據(jù)���,并將其機密性與系統(tǒng)環(huán)境、底層硬件安全性綁定的數(shù)據(jù)庫加密技術(shù)�����。
【發(fā)明內(nèi)容】
[0007]針對上述技術(shù)問題���,本發(fā)明的目的是提供一種可信的數(shù)據(jù)庫機密性保護(hù)方法及系統(tǒng)�,能夠?qū)Υ娣旁跀?shù)據(jù)庫中的敏感數(shù)據(jù)進(jìn)行加密����,并將其機密性與系統(tǒng)環(huán)境及底層硬件相綁定,從而阻止遠(yuǎn)程攻擊者通過在系統(tǒng)環(huán)境中植入惡意代碼或內(nèi)部人員從系統(tǒng)底層繞過數(shù)據(jù)庫安全機制來竊取敏感數(shù)據(jù)��。該技術(shù)尤其適用于防護(hù)措施相對滯后的工業(yè)控制環(huán)境的數(shù)據(jù)機密性保護(hù)��。
[0008]該技術(shù)的基本原理為:利用安全芯片的存儲根密鑰對數(shù)據(jù)庫的加密密鑰進(jìn)行加密保護(hù)����,并指定該加密密鑰被解密時的系統(tǒng)環(huán)境的安全狀態(tài)。
[0009]為了實現(xiàn)上述技術(shù)目的����,本發(fā)明采用以下技術(shù)方案:
[0010]一種可信的數(shù)據(jù)庫機密性保護(hù)方法�,通過安全芯片以及在現(xiàn)有的數(shù)據(jù)庫管理系統(tǒng)上增加擴展函數(shù)和觸發(fā)器來實現(xiàn)�����,包括以下步驟:
[0011]I)利用安全芯片產(chǎn)生存儲根密鑰和簽名密鑰�����;
[0012]2)安全管理員預(yù)先設(shè)定數(shù)據(jù)庫中待加密的敏感數(shù)據(jù)的加密相關(guān)信息���,利用存儲根密鑰對敏感數(shù)據(jù)的加密密鑰進(jìn)行加密保護(hù)��,利用簽名密鑰對加密相關(guān)信息進(jìn)行簽名保護(hù)�����,并存入元數(shù)據(jù)庫���;
[0013]3)數(shù)據(jù)庫用戶訪問敏感數(shù)據(jù)時,觸發(fā)觸發(fā)器�����,并調(diào)用擴展函數(shù)對敏感數(shù)據(jù)進(jìn)行加解密��;
[0014]4)在對敏感數(shù)據(jù)進(jìn)行加解密之前����,從元數(shù)據(jù)庫查詢加密密鑰信息,并利用存儲根密鑰進(jìn)行解密��,接著檢查加密相關(guān)信息的簽名是否正確以及數(shù)據(jù)庫用戶是否被授權(quán)�����,然后檢查當(dāng)前的系統(tǒng)環(huán)境是否可信���,若上述檢查結(jié)果正確可信���,則將加密密鑰和加解密算法傳輸給擴展函數(shù),實現(xiàn)敏感數(shù)據(jù)的加解密�����。
[0015]進(jìn)一步地�����,所述安全芯片包括TCM芯片或TPM芯片�����。
[0016]進(jìn)一步地,所述安全芯片的存儲根密鑰是指由安全芯片產(chǎn)生并保護(hù)的用于加解密的公私鑰對��;所述簽名密鑰是指由安全芯片產(chǎn)生并保護(hù)的用于簽名的公私鑰對�。
[0017]進(jìn)一步地,所述加密相關(guān)信息包括:待加密對象的ID����、加解密算法、加密密鑰����、加密密鑰的預(yù)期使用環(huán)境及其授權(quán)用戶列表。
[0018]進(jìn)一步地���,所述待加密對象是指存儲敏感數(shù)據(jù)的表或列����。
[0019]進(jìn)一步地�,通過將當(dāng)前系統(tǒng)環(huán)境的度量值與安全管理員預(yù)先設(shè)定的加密密鑰預(yù)期的使用環(huán)境進(jìn)行比較來判斷當(dāng)前的系統(tǒng)環(huán)境是否可信。
[0020]一種可信的數(shù)據(jù)庫機密性保護(hù)系統(tǒng)���,包括安全芯片���、可信度量模塊��、密鑰管理模塊、元數(shù)據(jù)庫���、敏感數(shù)據(jù)管理模塊��,以及在現(xiàn)有的數(shù)據(jù)庫管理系統(tǒng)上增加的觸發(fā)器和擴展函數(shù)���,其中:
[0021]所述安全芯片是構(gòu)建信任鏈的基礎(chǔ),同時它還負(fù)責(zé)產(chǎn)生存儲根密鑰和簽名密鑰���;
[0022]所述可信度量模塊負(fù)責(zé)在系統(tǒng)啟動時構(gòu)建的信任鏈基礎(chǔ)上對系統(tǒng)環(huán)境進(jìn)行可信度量�����;
[0023]所述密鑰管理模塊負(fù)責(zé)接收并處理敏感數(shù)據(jù)加密密鑰的請求�;
[0024]所述敏感數(shù)據(jù)管理模塊則主要負(fù)責(zé)與安全管理員交互���,接收安全管理員傳輸?shù)募用芟嚓P(guān)信息;
[0025]所述元數(shù)據(jù)庫則負(fù)責(zé)存儲經(jīng)過安全芯片存儲根密鑰加密過的敏感數(shù)據(jù)加密密鑰,及經(jīng)過安全芯片簽名密鑰簽名保護(hù)的加密相關(guān)信息����;
[0026]所述觸發(fā)器則負(fù)責(zé)在數(shù)據(jù)庫用戶請求敏感數(shù)據(jù)時去調(diào)用擴展函數(shù)��;
[0027]所述擴展函數(shù)負(fù)責(zé)在獲取敏感數(shù)據(jù)加密密鑰后完成對敏感數(shù)據(jù)的加解密。
[0028]進(jìn)一步地�����,所述信任鏈中包括可信度量模塊��、密鑰管理模塊和敏感數(shù)據(jù)管理模塊��。
[0029]進(jìn)一步地��,所述擴展函數(shù)根據(jù)敏感數(shù)據(jù)表或列的ID及數(shù)據(jù)庫用戶名向密鑰管理模塊請求加密密鑰及加解密算法����,然后對敏感數(shù)據(jù)實施加解密���。
[0030]進(jìn)一步地����,所述密鑰管理模塊對外的服務(wù)接口的形式如下:
[0031]I)加密密鑰請求接口
[0032]輸入:存儲敏感數(shù)據(jù)的表或列ID�����,數(shù)據(jù)庫用戶名���;
[0033]輸出:對應(yīng)的加密密鑰,加密算法�����;
[0034]2)加密相關(guān)信息請求接口
[0035]輸入:存儲敏感數(shù)據(jù)的表或列ID����,加密算法�����,加密密鑰�����,加密密鑰的使用環(huán)境,授權(quán)用戶列表�����;
[0036]輸出:加密設(shè)置操作的結(jié)果����。
[0037]本發(fā)明的有益效果如下:
[0038](一 )當(dāng)敏感數(shù)據(jù)需要解密時����,本發(fā)明會通過可信度量模塊來檢查當(dāng)前系統(tǒng)環(huán)境是否與敏感數(shù)據(jù)解密需要的環(huán)境相符,以確保敏感數(shù)據(jù)明文只出現(xiàn)在可信環(huán)境中�。
[0039]( 二)敏感數(shù)據(jù)的加密密鑰受到硬件安全芯片的加密保護(hù)�����,因此實現(xiàn)了基于硬件的安全�����。
[0040](三)存儲敏感數(shù)據(jù)的表或列的ID�����、加密密鑰���、加密算法���、加密密鑰的預(yù)期使用環(huán)境等配置信息也采用了硬件安全芯片產(chǎn)生的簽名密鑰進(jìn)行了完整性保護(hù)��,確保這些配置信息及它們之間的關(guān)聯(lián)不會被篡改��。
[0041](四)將數(shù)據(jù)庫中敏感數(shù)據(jù)的機密性建立在系統(tǒng)環(huán)境可信及硬件安全的基礎(chǔ)上�,阻止敵手通過破壞系統(tǒng)環(huán)境來獲取敏感數(shù)據(jù)�。當(dāng)將其應(yīng)用到工控系統(tǒng)中時�����,可以為工控環(huán)境建立一個基于安全芯片的存儲敏感數(shù)據(jù)的安全數(shù)據(jù)庫系統(tǒng)�����,提高了其中的敏感數(shù)據(jù)機密性保護(hù)強度�,確保生產(chǎn)計劃��、工藝流程等敏感數(shù)據(jù)不會泄漏�。
【附圖說明】
[0042]圖1是可信的數(shù)據(jù)庫機密性保護(hù)方法的技術(shù)架構(gòu)示意圖��。
【具體實施方式】
[0043]下面將對
【發(fā)明內(nèi)容】
中所描述的關(guān)鍵技術(shù)模塊的具體實施做示例性解釋����,但不以這種解釋限制發(fā)明的范圍。
[0044]本發(fā)明可信的數(shù)據(jù)庫機密性保護(hù)方法的技術(shù)架構(gòu)如圖1所示�����。
[0045]首先介紹一下安全芯片�、可信度量模塊這兩個基礎(chǔ)性模塊�����,本發(fā)明需要利用其提供的部分功能,然而模塊自身的實現(xiàn)方式則不在本發(fā)明考慮范圍內(nèi)���。下面將對本發(fā)明涉及到的其功能進(jìn)行解釋�。
[0046]1.安全芯片
[0047]本發(fā)明中需要安全芯片提供的功能或機制主要是度量信任根、密鑰保護(hù)功能�����。度量信任根是受安全芯片保護(hù)的系統(tǒng)信任鏈構(gòu)建的基礎(chǔ)�����。而從該信任根到可信度量模塊之間的信任鏈的構(gòu)建方式有許多,例如靜態(tài)度量等���。而密鑰保護(hù)功能則是安全芯片為其產(chǎn)生的密鑰提供的安全保護(hù)���。通常,安全芯片具有一個存儲根密鑰SRK(Storage Root Key)��,它在芯片初始化時被建立���,并一直保存在芯片中�,以防止攻擊者獲得。SRK能夠作為父密鑰創(chuàng)建非對稱密鑰對��,并聲明此密鑰對中私鑰的使用環(huán)境(通過指定安全芯片中存放的環(huán)境度量值實現(xiàn)),并對私鑰進(jìn)行加密���,存放在安全芯片外部。在使用這個私鑰進(jìn)行簽名或解密時��,該私鑰必須被載入安全芯片內(nèi)部使用�,即在安全芯片內(nèi)部由SRK對其解密��。從而實現(xiàn)兩個目的:第一����,密鑰的安全性建立在硬件芯片基礎(chǔ)上�;第二���,密鑰的使用環(huán)境必須符合預(yù)期����。最后�����,本發(fā)明中提到的安全芯片可以是國產(chǎn)的TCM芯片���,也可以是TPM芯片或其他提供了上述功能的軟硬件����。而本
【發(fā)明內(nèi)容】
中提到的安全芯片的存儲根密鑰是指由安全芯片產(chǎn)生并保護(hù)的用于加解密的公私鑰對�,并不一定特指SRK。同樣����,前面提到的簽名密鑰也是指由安全芯片產(chǎn)生并保護(hù)的用于簽名的公私鑰對����。
[0048]2.可信度量模塊
[0049]可信度量模塊位于操作系統(tǒng)內(nèi)核層����,在系統(tǒng)