[发明专利]一种基于国产化可信计算平台的数据安全代理系统及方法

权利要求书

1.一种基于国产化可信计算平台的数据安全代理系统，其特征在于，包括：数据安全代理模块及可信安全管理平台模块；

数据安全代理模块，用于接收应用系统访问数据库的请求数据包，对数据请求进行协议解析及识别，根据预设访问控制策略进行过滤，根据计算节点可信状态信息，验证访问请求是否来自处于可信状态的计算节点；

可信安全管理平台模块，用于对接入网络内的各计算节点进行可信识别和可信策略管理，并将各可信计算节点的可信状态向数据安全代理模块进行同步。

2.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述数据安全代理模块还包括：

可信硬件系统子模块，用于监控和管理本计算节点硬件部件、BIOS、操作系统以及数据安全代理模块的工作状态，验证各部分的运行是否处于可预测区间，与可信安全管理平台注册并同步自身可信状态、接收和执行可信根发出的可信策略动作。

3.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述数据安全代理模块还包括：

实时流处理子模块，用于通过从硬件子系统网络I/O进行数据收发，实现网络和连接层的代理功能。

4.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述数据安全代理模块还包括：

协议解析和访问控制子模块，用于解析来自实时流处理子模块的数据库访问请求报文，识别关键信息并将关键信息附着在访问请求报文尾部，然后将信息与访问控制策略进行匹配。

5.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述数据安全代理模块还包括：

可信状态同步子模块，用于通过实时接收可信安全管理平台模块发布的可信节点状态信息，构建可信计算节点列表。

6.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述可信安全管理平台模块包括：

可信节点集中管理子模块，用于完成对信息系统中各可信节点的注册、注销、资源检测、节点身份证书管理、节点操作审计、节点可信状态发布功能。

7.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述可信安全管理平台模块包括：

可信安全策略管理子模块，用于对可信安全节点进行策略的增加、删除、修改、查询和下发，包括静态度量策略、动态度量策略、自主访问控制策略、强制访问控制策略、外设控制。

8.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，所述可信安全管理平台模块包括：

平台管理子模块，用于对平台系统资源管理、用户账号和权限管理、平台操作日志管理。

9.如权利要求1所述的一种基于国产化可信计算平台的数据安全代理系统，其特征在于，包括：

用于存储计算机指令的至少一个存储器；

与所述存储器通讯的至少一个处理器，其中当所述至少一个处理器执行所述计算机指令时，所述至少一个处理器使所述系统执行：数据安全代理模块及可信安全管理平台模块。

10.一种基于国产化可信计算平台的数据安全代理方法，其特征在于，包括：

接收应用系统访问数据库的请求数据包，对数据请求进行协议解析及识别；

根据预设访问控制策略进行过滤，根据计算节点可信状态信息，验证访问请求是否来自处于可信状态的计算节点；

对接入网络内的各计算节点进行可信识别和可信策略管理，并将各可信计算节点的可信状态向数据安全代理模块进行同步。