基于TPM的數據防泄漏方法技術

本發明專利技術涉及一種基于TPM的數據防泄漏方法，屬于信息數據安全領域。通過引入TPM技術，確保接入通信的全局策略管理服務器端(TPM_M)、全局內容服務器端(TPM_CT)、數據庫服務器端(TPM_S_D)、文件服務器端(TPM_S_F)和訪問終端(TPM_C)等的真實性和可靠性；支持特定模式下各TPM模塊之間的安全通信，遵守相應的密鑰遷移策略；提供密鑰管理及存儲保護服務。由“全局內容服務器端TPM_CT”負責調度信任鏈上的各功能節點協作完成策略的執行。因而，TPM_M是策略的制定者；TPM_CT是策略的執行調度者；TPM_C/TPM_S_D/TPM_S_F等為信息的收集者、策略的執行者；所有含TPM的終端都完成行為的監控、審計和記錄。

【技術實現步驟摘要】

本專利技術涉及一種基于TPM的數據防泄漏方法，屬于信息數據安全領域。
技術介紹
針對企業信息安全的需求，目前存在兩種截然不同的數據泄露防護解決方案 (DataLoss Prevention)。一種是 McAfee 數據保護解決方案，由 McAfee Network Data LossPrevention(DLP)>McAfee Network Forensics>McAfee Host Data Loss Prevention、 McAfee Endpoint Encryption、McAfee Encrypted USB、McAfee Device Control 禾口 McAfeeePolicy Orchestrator等組成，通過發現和確認，評估風險，制定策略，應用控制，監 控、報告和審計五個步驟為企業提供可重復、持續且自動的保護。另一種則是美國易安信 (EMC)公司旗下的RSA防數據丟失解決方案，由RSA DLP Patacenter, RSA DLP Network, RSA DLPEndpoint三個模塊構成，分別針對靜態數據，移動態數據以及使用態數據的數據泄 漏防護。McAfee和RSA DLP解決方案以信息分類為基礎，結合外設及網絡協議控制、信息過 濾等技術來防止敏感數據泄露。通過這些技術的應用，企事業單位在數據泄漏防護方面有了較大的改善，McAfee 和RSA雖然都提供了全面、集成的端到端的解決方案但數據泄漏問題仍然屢見不鮮。
技術實現思路
本專利技術的目的旨在通過綜合運用可信計算技術、身份認證、訪問控制和數據加密 等技術構造可信中間件組件服務群，制定合理的職責分離策略，進行策略的可信分發，細粒 度的數據加密保護等措施，實現從數據存儲、傳輸到使用各環節的完整性、安全性和機密性 保護，最終實現用戶數據防泄漏。本專利技術解決上述技術問題的技術方案如下該基于TPM的數據防泄漏方法，包括以下步驟第一步通過TSS協議棧的工作模式對客戶端TPM_C五個TPM中間件進行初始化， 并建立信任鏈；第二步由安全策略管理員通過全局策略管理服務器端TPM_M完成策略的建立、 敏感數據識別訓練及參數建立，并簽名后下發給全局數據內容服務器端TPM_CT ；第三步全局數據內容服務器端TPM_CT接收策略并下發至其它TPM端，在條件激 活的情況下調度掃描，接受反饋信息，通過審計結果更新策略，采用雙重簽名其命令和新 策略的方式，防止偽造或篡改；第四步客戶端TPM_C、數據庫服務器端TPM_S_D、全局文件服務器端TPM_S_F啟動 后檢測、驗證和下載新策略，完成策略和工作模式參數更新；若為初次啟動，TPM_S_F需在 TPM_CT調度下完成文件及敏感度量信息統計、虛擬目錄和訪問控制方案，并提交TPM_CT審 計后認可，最終形成文件防泄漏策略；第五步客戶端動后完成用戶角色和TPM_C&綁定，進入用戶使用態系統操作前利用密級密鑰生成方法或在全局數據內容服務器端TPM_CT參與下與數據庫服務器 端TPM_S_D之間構建隨機或特定生命期的密級密鑰，用于保護TPM_C與TPM_S_D之間的通 信；第六步源于TPM_C的客戶端數據需要經TPM_C的全局一致的策略和角色約束下 完成敏感識別處理，并進行相應的密級封裝，送至TPM_S_D ；第七步TPM_S_D端接收并解封請求，提取并使用與數據庫服務器之間的對應密 鑰，加密數據以無影響數據庫工作的方式存入或檢索。上述的全局策略管理服務器端用基于SVM改進的自適應文本分類器進行 文本識別，對識別結論符合要求的文本進行算法與參數差異分析，將分析結果反饋到策略 庫進行策略更新，對識別結論不符合要求的文本的數據敏感級識別算法、參數及詞庫進行 修正。上述的全局數據內容服務器端TPM_CT接收TPM_M下發的策略并快速分類，進行策 略更新，調度其他TPM_C/TPM_S/TPM_S_F等接收形成各自規則，分配TPM_C登入身份，接受 來自于TPM_C的登陸請求，識別訪問者身份，賦予其相應的訪問角色和權限，分配敏感級密 鑰或者協助完成TPM密鑰遷移，并調度TPM_S_F完成對文件型數據的掃描和敏感信息的規 則統計工作，驗證和接收反饋信息，形成對文件的敏感級劃分和訪問策略。上述的數據庫服務器端TPM_S_D對接入的身份與TPM_D/TPM_CT/TPM_M相互認證， 接收/下載并緩存策略一敏感模式，等待數據包的封裝；啟動全程行為審計對全程行為進 行監控與審計，存儲審計記錄并對審計報告和記錄統計分析處理。上述的數據庫服務器端TPM_S_D確定密級和需保護的區域對象，根據敏感度識別 信息，使用相應的密鑰進行加/解密處理，提交給DBMS進行存儲。上述的全局文件服務端TPM_S_F掃描包括四個步驟步驟一解封TPM_M分發的掃描命令和策略差量，提取密鑰，驗證TPM_M授權與 TPM_CT之間的策略完整性證明；步驟二 判斷策略雙向證明是否通過，如果沒有得到證明則形成審計報告，報告至 全程累積性審計進行審計報告記錄的封裝，否則，策略分發至策略庫，執行策略包括對文件 進行分類，識別其機密等級，調用指定的加解密算法，利用對應的機密等級密鑰，對文件進 行加密保護，若無某項或某類文件規則，則請求TPM_CT識別并發回新規則；步驟三文件數據流出前，做規則檢查，若無法判決則提交TPM_CT解決；文件更新 必須在策略規則下進行，由TPM_S_F將各類統計信息提交到TPM_CT判決后反饋形成策略， 自身只做信息收集，不形成策略，提供各類文件的存儲保護；步驟四由TPM_S_F是執行TPM_CT端下發的判定規則，并接受TPM_CT的調度掃描 工作，向它提交各類掃描統計、規則匹配等信息，根據審計策略向TPM_CT端反饋全程累計 性審計信息。本專利技術的有益效果是通過引入TPM技術，確保接入通信的全局策略管理服務器端(TPM_M)、全局內容服 務器端(TPM_CT)、數據庫服務器端(TPM_S_D)、文件服務器端(TPM_S_F)和訪問終端(TPM_ C)等的真實性和可靠性；支持特定模式下各TPM模塊之間的安全通信，遵守相應的密鑰遷 移策略；提供密鑰管理及存儲保護服務。并采用兩種密鑰模式。一種是中間件之間建立安全通信后傳輸信息的密鑰生成和加密保護，另一種是中間件至數據服務器端的密鑰生成和 加密保護。采用基于職責分離的管理模式或邏輯通信區域隔離的方式，實現策略管理與策略 執行的嚴格分離。由安全策略管理員通過“全局策略管理服務器端TPM_M”完成策略的管 理。由“全局內容服務器端TPM_CT”負責調度信任鏈上的各功能節點協作完成策略的執行。 因而，策略的制定者；TPM_CT是策略的執行調度者；TPM_C/TPM_S_D/TPM_S_F等為 信息的收集者、策略的執行者；所有含TPM的終端都完成行為的監控、審計和記錄。遠程普 通客戶端不屬于TPM中間件，是針對特定局域網或者是子網的客戶端，能夠訪問對其公開 的部分文件信息。附圖說明圖1是本專利技術基于TPM的數據防泄漏方法流程圖；圖2是本專利技術全局策略管理服務器端TPM_M工作流程圖；圖3是本專利技術全局數據內容服務器端TPM_CT工作流程圖；圖4是本專利技術數據庫服務器端TPM_S_D工作本文檔來自技高網...

【技術保護點】
１．基于ＴＰＭ的數據防泄漏方法，其特征在于：包括以下步驟：第一步：通過ＴＳＳ協議棧的工作模式對客戶端ＴＰＭ＿Ｃ五個ＴＰＭ中間件進行初始化，并建立信任鏈；第二步：由安全策略管理員通過全局策略管理服務器端ＴＰＭ＿Ｍ完成策略的建立、敏感數據識別訓練及參數建立，并簽名后下發給全局數據內容服務器端ＴＰＭ＿ＣＴ；第三步：全局數據內容服務器端ＴＰＭ＿ＣＴ接收策略并下發至其它ＴＰＭ端，在條件激活的情況下調度掃描，接受反饋信息，通過審計結果更新策略，采用雙重簽名其命令和新策略的方式，防止偽造或篡改；第四步：客戶端ＴＰＭ＿Ｃ、數據庫服務器端ＴＰＭ＿Ｓ＿Ｄ、全局文件服務器端ＴＰＭ＿Ｓ＿Ｆ啟動后檢測、驗證和下載新策略，完成策略和工作模式參數更新；若為初次啟動，ＴＰＭ＿Ｓ＿Ｆ需在ＴＰＭ＿ＣＴ調度下完成文件及敏感度量信息統計、虛擬目錄和訪問控制方案，并提交ＴＰＭ＿ＣＴ審計后認可，最終形成文件防泄漏策略；第五步：客戶端ＴＰＭ＿Ｃ啟動后完成用戶角色和ＴＰＭ＿Ｃ的綁定，進入用戶使用態系統操作前利用密級密鑰生成方法或在全局數據內容服務器端ＴＰＭ＿ＣＴ參與下與數據庫服務器端ＴＰＭ＿Ｓ＿Ｄ之間構建隨機或特定生命期的密級密鑰，用于保護ＴＰＭ＿Ｃ與ＴＰＭ＿Ｓ＿Ｄ之間的通信；第六步：源于ＴＰＭ＿Ｃ的客戶端數據需要經ＴＰＭ＿Ｃ的全局一致的策略和角色約束下完成敏感識別處理，并進行相應的密級封裝，送至ＴＰＭ＿Ｓ＿Ｄ；第七步：ＴＰＭ＿Ｓ＿Ｄ端接收并解封請求，提取并使用與數據庫服務器之間的對應密鑰，加密數據以無影響數據庫工作的方式存入或檢索。...

【技術特征摘要】

【專利技術屬性】
技術研發人員：周亞建，彭維平，平源，程麗，李正，
申請(專利權)人：北京郵電大學，
類型：發明
國別省市：11