[发明专利]一种基于国产化可信计算平台的数据安全代理系统及方法

说明书

本发明提出了一种基于国产化可信计算平台的数据安全代理系统及方法，涉及数据安全领域。一种基于国产化可信计算平台的数据安全代理系统包括：数据安全代理模块及可信安全管理平台模块；其通过应用可信计算技术，来保障数据库访问行为的可预测性，防范非法数据访问，从而保证了数据库中存储的数据不发生泄露和非法使用。此外本发明还提出了一种基于国产化可信计算平台的数据安全代理方法，包括：接收应用系统访问数据库的请求数据包，对数据请求进行协议解析及识别；根据预设访问控制策略进行过滤，根据计算节点可信状态信息，验证访问请求是否来自处于可信状态的计算节点。

技术领域

本发明涉及数据安全领域，具体而言，涉及一种基于国产化可信计算平台的数据安全代理系统及方法。

背景技术

通过访问控制列表和访问协议解析来识别访问数据库数据的行为，该访问控制列表通常基于访问端主机IP地址或用户账号等特征来判断权限，进而根据预设的策略进行访问控制。就目前数据泄露的路径和方法来看，这种技术存在以下不足：

第一，当访问数据库的主机系统被攻击者注入恶意代码时，访问控制不能识别这种异常，依然可能发生数据被泄露和非法使用的情况。

第二，现有绝大多数访问数据库的应用系统采用B/S架构设计实现，数据访问结果会通过应用系统与浏览器的交互发送到使用者的浏览器上。当用户访问终端系统、浏览器软件等安全防护不足时，仍有较大风险发生数据泄露。而现有的数据安全代理技术，无法对这种泄露风险进行有效应对。

第三，数据安全代理软件自身、运行数据安全代理软件的主机，也存在着被渗透、攻击和劫持的风险。在这种情况下，数据安全代理也难以保障数据访问的安全性。

发明内容

本发明的目的在于提供一种基于国产化可信计算平台的数据安全代理系统，其能够通过应用可信计算技术，来保障数据库访问行为的可预测性，防范非法数据访问，从而保证了数据库中存储的数据不发生泄露和非法使用。

本发明的另一目的在于提供一种基于国产化可信计算平台的数据安全代理方法，其能够实现一种基于国产化可信计算平台的数据安全代理系统。

本发明的实施例是这样实现的：

第一方面，本申请实施例提供一种基于国产化可信计算平台的数据安全代理系统，其包括数据安全代理模块及可信安全管理平台模块；数据安全代理模块，用于接收应用系统访问数据库的请求数据包，对数据请求进行协议解析及识别，根据预设访问控制策略进行过滤，根据计算节点可信状态信息，验证访问请求是否来自处于可信状态的计算节点；可信安全管理平台模块，用于对接入网络内的各计算节点进行可信识别和可信策略管理，并将各可信计算节点的可信状态向数据安全代理模块进行同步。

在本发明的一些实施例中，上述数据安全代理模块还包括：可信硬件系统子模块，用于监控和管理本计算节点硬件部件、BIOS、操作系统以及数据安全代理模块的工作状态，验证各部分的运行是否处于可预测区间，与可信安全管理平台注册并同步自身可信状态、接收和执行可信根发出的可信策略动作。

在本发明的一些实施例中，上述数据安全代理模块还包括：实时流处理子模块，用于通过从硬件子系统网络I/O进行数据收发，实现网络和连接层的代理功能。

在本发明的一些实施例中，上述数据安全代理模块还包括：协议解析和访问控制子模块，用于解析来自实时流处理子模块的数据库访问请求报文，识别关键信息并将关键信息附着在访问请求报文尾部，然后将信息与访问控制策略进行匹配。

在本发明的一些实施例中，上述数据安全代理模块还包括：可信状态同步子模块，用于通过实时接收可信安全管理平台模块发布的可信节点状态信息，构建可信计算节点列表。

在本发明的一些实施例中，上述可信安全管理平台模块包括：可信节点集中管理子模块，用于完成对信息系统中各可信节点的注册、注销、资源检测、节点身份证书管理、节点操作审计、节点可信状态发布功能。