[发明专利]一种基于可信计算技术的数据库安全保护方法

说明书

技术领域

本发明基于可信计算技术提出一种数据库安全保护方法，属于数据库安全领域。

背景技术

随着信息化的发展，越来越多的数据被存储在了数据库中，无论是外部的病毒、木马、黑客攻击等威胁，还是内部人员的恶意行为都能够对数据库系统产生严重的影响。为了应对这些威胁，安全数据库使用了各种安全机制如认证、访问控制，审计等。然而，安全数据库对于这些机制的实施的依据并没有提供足够的保护。这些数据库安全相关数据一旦被篡改将会对数据库系统造成极其严重的影响。因此为了应对数据库系统安全机制自身安全防护措施的滞后性带来的数据安全威胁，有必要对数据库中存放的数据库安全相关数据进行安全保护。

然而现有数据库安全技术存在以下两个显著缺陷无法确保这些安全相关数据的安全：其一，安全相关数据的保护没有和环境安全性绑定。传统的数据库安全相关数据的完整性保护措施通常建立在环境相对安全的前提下，例如操作系统中不存在病毒、木马等，而这种假设很难成立。在系统环境已被破坏的情况下，安全数据库即使对安全相关数据进行了完整性保护也无法保证其完整性。这是由于在对安全相关数据在进行完整性度量时缺少对系统环境安全性的检测，导致在非安全环境下安全相关数据产生的完整性度量值自身就是不可信的，而基于该值进行完整性检验就更加不可信了。而且在缺少对系统环境安全性的检测的情况下，完整性度量值的验证结果也可以被篡改，也是不可信的。

其二，安全相关数据的保护没有建立在硬件基础上。传统的数据库安全相关数据的完整性保护通常建立在软件方式实现的系统可信计算基(Trusted Computer Base,TCB)的安全性基础上。这种软件方式实现的TCB并不能完全阻止攻击者对安全相关数据的篡改，例如能够接触数据库系统的内部人员一旦是恶意的，那么他们能够篡改安全相关数据数据而不被轻易发觉，造成严重的损失。这是缺少硬件支持的安全数据库方案无法解决的问题。

总之，目前的安全数据库中尚缺乏一种能够安全存储数据库安全相关数据，并将其安全机制的实施与系统环境、底层硬件安全性绑定的数据库安全保护方法。

发明内容

针对上述问题，本发明提供了一种基于可信计算技术的数据库安全保护方法，能够确保数据库安全机制实施的依据是可信的，即对身份信息、访问控制授权信息、审计配置信息及审计日志进行完整性保护，并将其完整性与系统环境及底层硬件相绑定，从而能够有效发现远程攻击者或内部人员对这些数据库安全相关数据的篡改。

该技术的基本原理为：利用安全芯片TCM/TPM产生的签名密钥对数据库中存储身份信息、授权信息、审计配置信息及审计日志等安全相关数据的表的完整性度量值进行签名保护，指定使用该签名密钥的安全系统环境。由于该签名密钥受到安全芯片的硬件保护，攻击者无法直接获得该密钥，所以无法伪造签名。同时，由于该签名密钥的使用环境为数据库的安全状态，所以攻击者也无法通过篡改数据库管理系统TCB来使用该签名密钥对篡改后的数据进行签名。

为了实现上述目的，本发明采用以下技术方案：

一种基于可信计算技术的数据库安全保护方法，在数据库管理系统TCB的基础上，通过安全芯片及可信度量模块实现对数据库的安全保护，该方法具体包括：

1)采用该方法的系统基于安全芯片实施安全启动，并构建信任链，所述信任链中包括可信度量模块及数据库管理系统TCB；同时，所述安全芯片产生一个签名密钥，该签名密钥的使用环境指定为此信任链环境；

2)在通过安全机制向数据库中写入安全相关数据时，首先通过可信度量模块对当前数据库管理系统TCB的安全状态进行可信度量；若当前数据库管理系统TCB处于安全状态，则利用签名密钥对所述安全相关数据的完整性度量值进行签名，并将该安全相关数据及签名值一起存入数据库中；

3)在通过安全机制从数据库中读取所述安全相关数据时，首先通过可信度量模块对当前数据库管理系统TCB的安全状态进行可信度量；若当前数据库管理系统TCB处于安全状态，则对所读取的签名值及安全相关数据的完整性进行验证(即将当前得到的完整性值和步骤2)中的得到的完整性值进行比较，如果一样就证明是安全的)。

进一步地，所述安全机制包括：认证机制、访问控制机制及审计机制，所述安全相关数据包括：身份信息、授权信息、审计配置信息及审计日志；所述认证机制负责根据数据库中存储的身份信息进行身份确认；访问控制机制负责根据数据库中存储的授权信息进行访问控制；审计机制负责根据数据库中存储的审计配置信息进行审计。

进一步地，所述身份信息的写入流程包括以下步骤：