【技術實現步驟摘要】
本專利技術涉及信息安全,具體涉及一種基于可信計算環境的防篡改數據庫方法及其系統。
技術介紹
1、隨著信息技術的迅猛發展,數據安全性和完整性已成為各行各業面臨的重要挑戰。數據篡改和非授權訪問事件頻發,嚴重影響了企業和用戶的信任及安全。雖然傳統的安全措施如加密和訪問控制在一定程度上提供了保護,但這些措施往往難以防范內部攻擊者或具有高級權限的用戶進行的數據篡改。因此,亟需一種更為全面和高效的技術方案來提升數據的安全性和可信度。
2、傳統的數據保護技術主要依賴于軟件層面的措施,如數據加密、訪問控制和防火墻等。這些技術在一定程度上能夠防止數據被非法訪問和篡改,但它們通常無法完全抵御內部攻擊者或高級權限用戶的威脅。例如,加密密鑰被內部人員竊取,訪問控制機制被繞過。此外,傳統的數據存儲技術缺乏對數據完整性的持續驗證機制,一旦數據被篡改,難以及時發現和恢復。這些局限性使得傳統技術在面對日益復雜的網絡安全威脅時顯得力不從心。
3、現有的技術方案雖然在某些方面有所改進,但仍然存在諸多不足。例如,一些系統采用了硬件輔助的安全措施,如可信平臺模塊(tpm),來增強數據的安全性。然而,這些技術往往只能提供有限的保護,無法完全防止數據在存儲和傳輸過程中的安全威脅。此外,現有的防篡改數據庫技術雖然能夠記錄不可更改的數據日志,但其依賴于軟件層面的措施,難以解決硬件層面的安全漏洞。這些技術在面對復雜的網絡攻擊時,仍然存在被攻破的風險。
4、因此,本技術方案通過結合可信計算技術和防篡改數據庫技術,提供了一個全方位的數據保護解決方
技術實現思路
1、本專利技術基于可信計算環境的防篡改數據庫方法,包括以下步驟:
2、s1、采用安全協議通信tls接收傳入內部的數據,進行數據的初步驗證和清洗,通過可信計算模塊tpm生成驗證密鑰,存儲在可信計算模塊的安全存儲區域;
3、s2、將驗證后的數據載入可行計算環境tee中生成加密密鑰,加密密鑰存儲在可行計算環境tee內部存儲區域;
4、s3、對可行計算環境tee中加密的數據進行完整性校驗;
5、s4、將檢驗的數據通過安全協議通信tls離開可行計算環境tee,傳輸到防篡改數據庫進行存儲。
6、優選的,所述s1中可信計算模塊tpm生成驗證密鑰通過在硬件級別進行比對實際數據的哈希值與預期的哈希值來驗證數據的完整性,驗證密鑰啟動和運行軟件中的數據是否被篡改。
7、優選的,所述tee采用英特爾軟件保護擴展sgx生成加密密鑰,具體包括以下步驟:
8、s2.1、在sgx中創建一個安全飛地enclave,將數據加載到enclave中;
9、s2.2、在enclave內部通過硬件隨機數生成器rng生成一個隨機的初始化向量;
10、s2.3、通過gcm加密模式在enclave內使用強加密算法aes-256進行加密,生成加密密鑰,存儲在enclave中。
11、優選的,所述s3中的完整性校驗包括以下步驟;
12、s3.1、通過哈希算法對數據生成一個哈希值,并將哈希值存儲或附加于數據本身;
13、s3.2、數據被訪問或傳輸前,重新計算當前數據的哈希值,并與原始哈希值比較,以確保數據未被修改;
14、s3.3、采用數字簽名驗證數據的來源和完整性,數據客戶端通過私鑰對數據或哈希值進行簽名,并通過發送者的公鑰來驗證簽名,表明數據自簽名后未被篡改。
15、優選的,所述s4中防篡改數據庫對數據進行存儲,包括以下步驟:
16、s4.1、防篡改數據庫使用對稱加密算法加密數據,通過硬件安全模塊hsm來生成存儲密鑰,使用生成的存儲密鑰對數據進行加密;
17、s4.2、計算數據哈希值,通過k-v對存儲模型將每個數據生成包含有唯一的鍵key和值value;
18、s4.3、將數據的哈希值鏈接到前一個數據的哈希值上,將每個數據與每個數據計算的哈希值一起存儲,形成哈希鏈;
19、s4.4、通過哈希鏈,加密后的數據存儲在防篡改數據庫。
20、基于可信計算環境的防篡改數據庫系統,包括可信計算層、數據處理層、數據存儲層和系統交互層;
21、所述可信計算層包括tpm和sgx;所述tpm通過數據生成驗證密鑰,并存儲驗證密鑰到安全存儲區域,對數據實現管理訪問控制,根據驗證密鑰識別授權的應用程序和用戶進行解密數據和訪問敏感數據,并記錄操作日志;
22、所述sgx通過創建安全飛地enclave,通過enclave的數據隔離執行環境生成加密密鑰,并進行處理和存儲敏感數據和加密密鑰;
23、所述數據處理層包括數據的初步驗證模塊、數據清洗模塊和數據完整性驗證模塊;
24、所述初步驗證模塊包括數據類型和結構驗證、數據大小和值域驗證、惡意內容和防止重放攻擊檢測;
25、所述數據清洗模塊包括識別重復記錄和統一數據格式、字段拆分合并與邏輯錯誤糾正、異常值檢測與處理、有效性和一致性檢查;
26、所述數據完整性驗證模塊通過哈希算法對數據生成唯一的哈希值進行驗證數據完整性;
27、所述數據存儲層包括數據存儲模塊和數據查詢模塊;
28、所述數據存儲模塊通過k-v對存儲模型,將數據存儲至防篡改數據庫中;
29、所述數據查詢模塊通過查詢api獲取存儲在防篡改數據庫中的數據;
30、所述系統交互層包括內部api、外部api、安全調用模塊;
31、所述內部api用于不同結構層之間的數據交換,允許內部各模塊通過api調用特定功能;
32、所述外部api為外部用戶提供訪問和操作數據庫內部數據的接口,通過api對調用者進行認證,識別授權訪問;
33、所述安全調用模塊從外部調用sgx的enclave接口,啟動enclave內部的特定安全任務,進行數據的加密、解密。
34、優選的,所述tpm還包括tpm遠程證明模塊和運行保護模塊,所述tpm遠程證明模塊通過服務器向遠程客戶端或第三方服務證明數據完整性,客戶通過驗證服務器的安全狀態,確信數據處理和存儲環境符合預期的安全標準;所述運行保護模塊從啟動到執行過程中,通過tpm保護軟件和硬件環境都未被篡改。
35、優選的,所述sgx還包括sgx遠程證明功能,允許數據庫證明自己的身份和完整性給遠程用戶或應用,通過對安全飛地enclave進行加密簽名,驗證方確認安全飛地enclave的數據是安全且未被篡改;
36、所述安全飛地enclave包括安全飛地外部和安全飛地內部,數據在安全飛地外部存儲時自動加密,在安全飛地內部進行解密。
37、優選的,所述數據查詢模塊還還包括數據驗證機制,用戶在查詢時防篡改數據庫會驗證查詢參數的哈希值,確保查詢的合法性,通過查詢獲取存儲在防篡改數據庫中的數據,若查詢參數的哈希值與存儲在防篡改中的哈希值本文檔來自技高網...
【技術保護點】
1.基于可信計算環境的防篡改數據庫方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述S1中可信計算模塊TPM生成驗證密鑰通過在硬件級別進行比對實際數據的哈希值與預期的哈希值來驗證數據的完整性,驗證密鑰啟動和運行軟件中的數據是否被篡改。
3.根據權利要求2所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述TEE采用英特爾軟件保護擴展SGX生成加密密鑰,具體包括以下步驟:
4.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述S3中的完整性校驗包括以下步驟;
5.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述S4中防篡改數據庫對數據進行存儲,包括以下步驟:
6.基于可信計算環境的防篡改數據庫系統,其特征在于,包括可信計算層、數據處理層、數據存儲層和系統交互層;
7.根據權利要求6所述的基于可信計算環境的防篡改數據庫系統,其特征在于,所述TPM還包括TPM遠程證明模塊和運行保護模塊,所述TPM遠程證明
8.根據權利要求6所述的基于可信計算環境的防篡改數據庫系統,其特征在于,所述SGX還包括SGX遠程證明功能,允許數據庫證明自己的身份和完整性給遠程用戶或應用,通過對安全飛地Enclave進行加密簽名,驗證方確認安全飛地Enclave的數據是安全且未被篡改;
9.根據權利要求6所述的基于可信計算環境的防篡改數據庫系統,其特征在于,所述數據查詢模塊還還包括數據驗證機制,用戶在查詢時防篡改數據庫會驗證查詢參數的哈希值,確保查詢的合法性,通過查詢獲取存儲在防篡改數據庫中的數據,若查詢參數的哈希值與存儲在防篡改中的哈希值匹配,則允許查詢操作;若不匹配,則拒絕查詢,并記錄下查詢嘗試的時間和操作者信息。
10.根據權利要求6所述的基于可信計算環境的防篡改數據庫系統,其特征在于,所述系統交互層采用雙向TLS保護機制,傳輸的數據通過TLS加密,建立加密的通信通道,通過驗證的客戶端可以提交數據處理或數據檢索;所述雙向TLS保護機制通過日志記錄所有API調用的信息,并對頻繁請求的數據設置緩存。
...【技術特征摘要】
1.基于可信計算環境的防篡改數據庫方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述s1中可信計算模塊tpm生成驗證密鑰通過在硬件級別進行比對實際數據的哈希值與預期的哈希值來驗證數據的完整性,驗證密鑰啟動和運行軟件中的數據是否被篡改。
3.根據權利要求2所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述tee采用英特爾軟件保護擴展sgx生成加密密鑰,具體包括以下步驟:
4.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述s3中的完整性校驗包括以下步驟;
5.根據權利要求1所述的基于可信計算環境的防篡改數據庫方法,其特征在于,所述s4中防篡改數據庫對數據進行存儲,包括以下步驟:
6.基于可信計算環境的防篡改數據庫系統,其特征在于,包括可信計算層、數據處理層、數據存儲層和系統交互層;
7.根據權利要求6所述的基于可信計算環境的防篡改數據庫系統,其特征在于,所述tpm還包括tpm遠程證明模塊和運行保護模塊,所述tpm遠程證明模塊通過服務器向遠程客戶端或第三方服務證明數據完整性,客戶通過驗證...
【專利技術屬性】
技術研發人員:劉凡,荊志軍,安琪,王鵬宇,張仁湖,劉錫明,
申請(專利權)人:南京原跡科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。