专利名称:基于tpm的数据防泄漏方法
技术领域:
本发明涉及一种基于TPM的数据防泄漏方法,属于信息数据安全领域。
背景技术:
针对企业信息安全的需求,目前存在两种截然不同的数据泄露防护解决方案 (DataLoss Prevention)。一种是 McAfee 数据保护解决方案,由 McAfee Network Data LossPrevention(DLP)>McAfee Network Forensics>McAfee Host Data Loss Prevention、 McAfee Endpoint Encryption、McAfee Encrypted USB、McAfee Device Control 禾口 McAfeeePolicy Orchestrator等组成,通过发现和确认,评估风险,制定策略,应用控制,监 控、报告和审计五个步骤为企业提供可重复、持续且自动的保护。另一种则是美国易安信 (EMC)公司旗下的RSA防数据丢失解决方案,由RSA DLP Patacenter, RSA DLP Network, RSA DLPEndpoint三个模块构成,分别针对静态数据,移动态数据以及使用态数据的数据泄 漏防护。McAfee和RSA DLP解决方案以信息分类为基础,结合外设及网络协议控制、信息过 滤等技术来防止敏感数据泄露。通过这些技术的应用,企事业单位在数据泄漏防护方面有了较大的改善,McAfee 和RSA虽然都提供了全面、集成的端到端的解决方案但数据泄漏问题仍然屡见不鲜。
发明内容
本发明的目的旨在通过综合运用可信计算技术、身份认证、访问控制和数据加密 等技术构造可信中间件组件服务群,制定合理的职责分离策略,进行策略的可信分发,细粒 度的数据加密保护等措施,实现从数据存储、传输到使用各环节的完整性、安全性和机密性 保护,最终实现用户数据防泄漏。本发明解决上述技术问题的技术方案如下该基于TPM的数据防泄漏方法,包括以下步骤第一步通过TSS协议栈的工作模式对客户端TPM_C五个TPM中间件进行初始化, 并建立信任链;第二步由安全策略管理员通过全局策略管理服务器端TPM_M完成策略的建立、 敏感数据识别训练及参数建立,并签名后下发给全局数据内容服务器端TPM_CT ;第三步全局数据内容服务器端TPM_CT接收策略并下发至其它TPM端,在条件激 活的情况下调度扫描,接受反馈信息,通过审计结果更新策略,采用双重签名其命令和新 策略的方式,防止伪造或篡改;第四步客户端TPM_C、数据库服务器端TPM_S_D、全局文件服务器端TPM_S_F启动 后检测、验证和下载新策略,完成策略和工作模式参数更新;若为初次启动,TPM_S_F需在 TPM_CT调度下完成文件及敏感度量信息统计、虚拟目录和访问控制方案,并提交TPM_CT审 计后认可,最终形成文件防泄漏策略;第五步客户端动后完成用户角色和TPM_C&绑定,进入用户使用态系统操作前利用密级密钥生成方法或在全局数据内容服务器端TPM_CT参与下与数据库服务器 端TPM_S_D之间构建随机或特定生命期的密级密钥,用于保护TPM_C与TPM_S_D之间的通 信;
第六步源于TPM_C的客户端数据需要经TPM_C的全局一致的策略和角色约束下 完成敏感识别处理,并进行相应的密级封装,送至TPM_S_D ;第七步TPM_S_D端接收并解封请求,提取并使用与数据库服务器之间的对应密 钥,加密数据以无影响数据库工作的方式存入或检索。上述的全局策略管理服务器端用基于SVM改进的自适应文本分类器进行 文本识别,对识别结论符合要求的文本进行算法与参数差异分析,将分析结果反馈到策略 库进行策略更新,对识别结论不符合要求的文本的数据敏感级识别算法、参数及词库进行 修正。上述的全局数据内容服务器端TPM_CT接收TPM_M下发的策略并快速分类,进行策 略更新,调度其他TPM_C/TPM_S/TPM_S_F等接收形成各自规则,分配TPM_C登入身份,接受 来自于TPM_C的登陆请求,识别访问者身份,赋予其相应的访问角色和权限,分配敏感级密 钥或者协助完成TPM密钥迁移,并调度TPM_S_F完成对文件型数据的扫描和敏感信息的规 则统计工作,验证和接收反馈信息,形成对文件的敏感级划分和访问策略。上述的数据库服务器端TPM_S_D对接入的身份与TPM_D/TPM_CT/TPM_M相互认证, 接收/下载并缓存策略一敏感模式,等待数据包的封装;启动全程行为审计对全程行为进 行监控与审计,存储审计记录并对审计报告和记录统计分析处理。上述的数据库服务器端TPM_S_D确定密级和需保护的区域对象,根据敏感度识别 信息,使用相应的密钥进行加/解密处理,提交给DBMS进行存储。上述的全局文件服务端TPM_S_F扫描包括四个步骤步骤一解封TPM_M分发的扫描命令和策略差量,提取密钥,验证TPM_M授权与 TPM_CT之间的策略完整性证明;步骤二 判断策略双向证明是否通过,如果没有得到证明则形成审计报告,报告至 全程累积性审计进行审计报告记录的封装,否则,策略分发至策略库,执行策略包括对文件 进行分类,识别其机密等级,调用指定的加解密算法,利用对应的机密等级密钥,对文件进 行加密保护,若无某项或某类文件规则,则请求TPM_CT识别并发回新规则;步骤三文件数据流出前,做规则检查,若无法判决则提交TPM_CT解决;文件更新 必须在策略规则下进行,由TPM_S_F将各类统计信息提交到TPM_CT判决后反馈形成策略, 自身只做信息收集,不形成策略,提供各类文件的存储保护;步骤四由TPM_S_F是执行TPM_CT端下发的判定规则,并接受TPM_CT的调度扫描 工作,向它提交各类扫描统计、规则匹配等信息,根据审计策略向TPM_CT端反馈全程累计 性审计信息。本发明的有益效果是通过引入TPM技术,确保接入通信的全局策略管理服务器端(TPM_M)、全局内容服 务器端(TPM_CT)、数据库服务器端(TPM_S_D)、文件服务器端(TPM_S_F)和访问终端(TPM_ C)等的真实性和可靠性;支持特定模式下各TPM模块之间的安全通信,遵守相应的密钥迁 移策略;提供密钥管理及存储保护服务。并采用两种密钥模式。一种是中间件之间建立安全通信后传输信息的密钥生成和加密保护,另一种是中间件至数据服务器端的密钥生成和 加密保护。采用基于职责分离的管理模式或逻辑通信区域隔离的方式,实现策略管理与策略 执行的严格分离。由安全策略管理员通过“全局策略管理服务器端TPM_M”完成策略的管 理。由“全局内容服务器端TPM_CT”负责调度信任链上的各功能节点协作完成策略的执行。 因而,策略的制定者;TPM_CT是策略的执行调度者;TPM_C/TPM_S_D/TPM_S_F等为 信息的收集者、策略的执行者;所有含TPM的终端都完成行为的监控、审计和记录。远程普 通客户端不属于TPM中间件,是针对特定局域网或者是子网的客户端,能够访问对其公开 的部分文件信息。
图1是本发明基于TPM的数据防泄漏方法流程图;图2是本发明全局策略管理服务器端TPM_M工作流程图;图3是本发明全局数据内容服务器端TPM_CT工作流程图;图4是本发明数据库服务器端TPM_S_D工作流程图;图5是本发明全局文件服务端TPM_S_F工作流程图;
图6是本发明客户端TPM_C工作流程图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述。1、全局策略管理服务器端TPM_M1)系统启动后,初始化功能域。TPM_M仅参与全局系统平台的初始化,除非整个模 型需要重新部署或更新(有新加入客户/服务器),其只在第一次全局初始化时为所有客 户端/带TPM的服务所共知,可通过公开参数获取或可手动配置。对接入的身份与TPM_D/ TPM_CT/TPM_M相互认证,核对执行端的签名证书,产生核对数据,等待数据包的封装;启动 全程行为审计程序,对全程行为进行监控与审计,存储审计记录并对审计报告和记录统计 分析处理。2)启用判定或预处理程序,执行条件激活调度,检查策略库是否需要更新及是否 已更新。3)自主完成敏感数据识别和分级的训练,建立和完善文本信息分类的特征库,借 助数据模式提取技术设定数据库安全加密方案,完成最终的策略和模式制定的准备工作。 采用基于SVM改进的自适应文本分类器进行文本识别,对识别结论符合要求的文本进行算 法与参数差异分析,将分析结果反馈到策略库进行策略更新,对识别结论不符合要求的文 本的数据敏感级识别算法、参数及词库进行修正。
4)制定策略,但不执行策略,也不对TPM_CT以外的服务器提供访问。及时对修正 策略进行变更,创建新加入节点的策略,完成策略库的建立与完善。策略包含敏感度的等 级信息、分级规则;信息分类的算法、参数,权重设定;数据加密算法,密钥的管理、迁移方 法;角色定义、权限分配与认证方案;req_Sql封装模式等。5)将身份认证及签名证书核对数据、更新策略及新建策略数据、全程行为审计报告记录数据封 装发至TPM_CT端,亦可接收来自TPM_CT端的封装数据包。2、全局数据内容服务器端TPM_CT 1)系统启动后,参与统一模型的初始化,对接入的身份与TPM_D/TPM_CT/TPM_M相 互认证,建立调度域,等待数据包的封装;启动全程行为审计程序,对全程行为进行监控与 审计,存储审计记录并对审计报告和记录统计分析处理。2)接收TPM_M下发的策略并快速分类,进行策略更新,调度其他TPM_C/TPM_S/ TPM_S_F等接收形成各自规则,分配TPM_C登入身份,接受来自于TPM_C的登陆请求,识别 访问者身份,赋予其相应的访问角色和权限,分配敏感级密钥或者协助完成TPM密钥迁移, 并调度TPM_S_F完成对文件型数据的扫描和敏感信息的规则统计工作,验证和接收反馈信 息,形成对文件的敏感级划分和访问策略。3、数据库服务器端TPM_S_D 1)系统启动后,初始化化构建信任链,协商或初始化会话密级密钥(用于保密 req_sql)。区别于DBMS中用于行、列细粒度保密密钥。对接入的身份与TPM_D/TPM_CT/TPM_ M相互认证,接收/下载并缓存策略_敏感模式等,等待数据包的封装;启动全程行为审计 程序,对全程行为进行监控与审计,存储审计记录并对审计报告和记录统计分析处理。2)启用预判定程序,验证发送的req_Sql请求的合法性,不合法的丢弃。3)确定“密级”和需保护的“区域对象”,根据敏感度识别信息,使用相应的密钥进 行加/解密处理,提交给DBMS进行存储。4)封装数据包发送至目的地。4、全局文件服务端TPM_S_F 1)首先,系统启动,通过TSS协议栈的工作模式对五类TPM中间件进行集中的初始 化功能域;2)建立信任链,首先中间件角色与各个中间件相互认证;其次,通过初始化启动 个中间件的功能或者是预判定,将不合格的、过期的信息,日志等等丢弃;最后,启动全程审 计模块进行全程的监视审计;同时各个中间件接收/下载并缓存策略等形成策略完整性保 护;3)扫描阶段是整个TPM_S_F的关键阶段,包括四个步骤步骤一解封TPM_M分发的扫描命令和策略差量,提取密钥,验证TPM_M授权与 TPM_CT之间的策略完整性证明;步骤二 判断策略双向证明是否通过,如果没有得到证明则形成审计报告,报告至 全程累积性审计进行审计报告记录的封装,否则,策略分发至策略库,执行策略包括对文件 进行分类,识别其机密等级,调用指定的加解密算法,利用对应的机密等级密钥,对文件进 行加密保护等,若无某项或某类文件规则,则请求TPM_CT识别并发回新规则;步骤三文件数据流出前,做规则检查,若无法判决则提交TPM_CT解决;文件更新 必须在策略规则下进行,由TPM_S_F将各类统计信息提交到TPM_CT判决后反馈形成策略, 自身只做信息收集,不形成策略。提供各类文件的存储保护;步骤四由TPM_S_F是执行TPM_CT端下发的判定规则,并接受TPM_CT的调度扫描 工作,向它提交各类扫描统计、规则匹配等信息,)根据审计策略向TPM_CT端反馈全程累计 性审计信息;
4)将扫描结 果及全程性审计结果分别反馈封装,经TPM_S_F盖身份证明,发送到 目的地;5、客户端 TPM_C:1)系统启动,接入网络,提供身份标识、验证服务器TPM_S/M,初始化构建信任链, 协商或初始化用于保密SQL语法格式的数据库请求(req_Sql)的会话级密钥;将用户角色 与TPM_C绑定,由TPM_CT认证和赋予;接收/下载并缓存策略_敏感模式等,等待数据包的 封装;启动全程行为审计程序,对全程行为进行监控与审计,存储审计记录并对审计报告和 记录统计分析处理。2)根据TPM_CT下发的策略及规则,启用判定和预处理程序,对数据进行敏感识别 预处理,初步处理而未决,转入内容敏感匹配检测,如果累积敏感因子超出阈值,就调动加 密引擎。3)req_sql处理,完成req_Sql合法性分析,用户传出数据的敏感级分析,确定阈 值范围、映射密级和密级保护区域,重新封装req_Sql,以使其反映用户、角色、建议会话角 色、密级标签、敏感区域加密替换或操作标识替换等req_Sql重新表达工作。4)封装数据包发送至目的地。
权利要求
1.基于TPM的数据防泄漏方法,其特征在于包括以下步骤第一步通过TSS协议栈的工作模式对客户端TPM_C五个TPM中间件进行初始化,并建 立信任链;第二步由安全策略管理员通过全局策略管理服务器端TPM_M完成策略的建立、敏感 数据识别训练及参数建立,并签名后下发给全局数据内容服务器端TPM_CT ;第三步全局数据内容服务器端TPM_CT接收策略并下发至其它TPM端,在条件激活的 情况下调度扫描,接受反馈信息,通过审计结果更新策略,采用双重签名其命令和新策略的 方式,防止伪造或篡改;第四步客户端TPM_C、数据库服务器端TPM_S_D、全局文件服务器端TPM_S_F启动后检 测、验证和下载新策略,完成策略和工作模式参数更新;若为初次启动,TPM_S_F需在TPM_ CT调度下完成文件及敏感度量信息统计、虚拟目录和访问控制方案,并提交TPM_CT审计后 认可,最终形成文件防泄漏策略;第五步客户端TPM_C启动后完成用户角色和TPM_C的绑定,进入用户使用态系统操 作前利用密级密钥生成方法或在全局数据内容服务器端TPM_CT参与下与数据库服务器端 TPM_S_D之间构建随机或特定生命期的密级密钥,用于保护TPM_C与TPM_S_D之间的通信;第六步源于TPM_C的客户端数据需要经TPM_C的全局一致的策略和角色约束下完成 敏感识别处理,并进行相应的密级封装,送至TPM_S_D ;第七步TPM_S_D端接收并解封请求,提取并使用与数据库服务器之间的对应密钥,加 密数据以无影响数据库工作的方式存入或检索。
2.如权利要求1所述的基于TPM的数据防泄漏方法,其特征在于上述的全局策略管 理服务器端用基于SVM改进的自适应文本分类器进行文本识别,对识别结论符合 要求的文本进行算法与参数差异分析,将分析结果反馈到策略库进行策略更新,对识别结 论不符合要求的文本的数据敏感级识别算法、参数及词库进行修正。
3.如权利要求2所述的基于TPM的数据防泄漏方法,其特征在于上述的全局数据内 容服务器端TPM_CT接收TPM_M下发的策略并快速分类,进行策略更新,调度其他TPM_C/ TPM_S/TPM_S_F等接收形成各自规则,分配TPM_C登入身份,接受来自于TPM_C的登陆请求, 识别访问者身份,赋予其相应的访问角色和权限,分配敏感级密钥或者协助完成TPM密钥 迁移,并调度TPM_S_F完成对文件型数据的扫描和敏感信息的规则统计工作,验证和接收 反馈信息,形成对文件的敏感级划分和访问策略。
4.如权利要求3所述的基于TPM的数据防泄漏方法,其特征在于上述的数据库服务 器端TPM_S_D对接入的身份与TPM_D/TPM_CT/TPM_M相互认证,接收/下载并缓存策略_敏 感模式,等待数据包的封装;启动全程行为审计对全程行为进行监控与审计,存储审计记录 并对审计报告和记录统计分析处理。
5.如权利要求4所述的基于TPM的数据防泄漏方法,其特征在于上述的数据库服务 器端TPM_S_D确定密级和需保护的区域对象,根据敏感度识别信息,使用相应的密钥进行 加/解密处理,提交给DBMS进行存储。
6.如权利要求5所述的基于TPM的数据防泄漏方法,其特征在于上述的全局文件服 务端TPM_S_F扫描包括四个步骤步骤一解封TPM_M分发的扫描命令和策略差量,提取密钥,验证TPM_M授权与TPM_CT之间的策略完整性证明;步骤二 判断策略双向证明是否通过,如果没有得到证明则形成审计报告,报告至全程 累积性审计进行审计报告记录的封装,否则,策略分发至策略库,执行策略包括对文件进行 分类,识别其机密等级,调用指定的加解密算法,利用对应的机密等级密钥,对文件进行加 密保护,若无某项或某类文件规则,则请求TPM_CT识别并发回新规则;步骤三文件数据流出前,做规则检查,若无法判决则提交TPM_CT解决;文件更新必须 在策略规则下进行,由TPM_S_F将各类统计信息提交到TPM_CT判决后反馈形成策略,自身 只做信息收集,不形成策略,提供各类文件的存储保护;步骤四由TPM_S_F是执行TPM_CT端下发的判定规则,并接受TPM_CT的调度扫描工 作,向它提交各类扫描统计、规则匹配等信息,根据审计策略向TPM_CT端反馈全程累计性 审计信息。
全文摘要
本发明涉及一种基于TPM的数据防泄漏方法,属于信息数据安全领域。通过引入TPM技术,确保接入通信的全局策略管理服务器端(TPM_M)、全局内容服务器端(TPM_CT)、数据库服务器端(TPM_S_D)、文件服务器端(TPM_S_F)和访问终端(TPM_C)等的真实性和可靠性;支持特定模式下各TPM模块之间的安全通信,遵守相应的密钥迁移策略;提供密钥管理及存储保护服务。由“全局内容服务器端TPM_CT”负责调度信任链上的各功能节点协作完成策略的执行。因而,TPM_M是策略的制定者;TPM_CT是策略的执行调度者;TPM_C/TPM_S_D/TPM_S_F等为信息的收集者、策略的执行者;所有含TPM的终端都完成行为的监控、审计和记录。
文档编号G06F21/00GK102143158SQ201110006540
公开日2011年8月3日 申请日期2011年1月13日 优先权日2011年1月13日
发明者周亚建, 平源, 彭维平, 李正, 程丽 申请人:北京邮电大学