一種可信的數(shù)據(jù)庫(kù)完整性保護(hù)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種可信的數(shù)據(jù)庫(kù)完整性保護(hù)方法及系統(tǒng)，屬于數(shù)據(jù)庫(kù)安全領(lǐng)域。
【背景技術(shù)】
[0002]由于工業(yè)生產(chǎn)對(duì)工控系統(tǒng)可用性的嚴(yán)格要求，工控系統(tǒng)在部署完成后通常不會(huì)及時(shí)地進(jìn)行升級(jí)、打補(bǔ)丁或殺毒軟件病毒庫(kù)的更新等安全操作。因此相比于傳統(tǒng)信息系統(tǒng)，工控系統(tǒng)的安全防護(hù)措施存在一定的滯后性。而隨著信息化和工業(yè)化的融合，許多工業(yè)生產(chǎn)領(lǐng)域的企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)開(kāi)始逐漸地互聯(lián)互通，以實(shí)現(xiàn)管理與控制一體化。這就使工控系統(tǒng)面臨著更加嚴(yán)重的來(lái)自外部的病毒、木馬、黑客攻擊等威脅，同時(shí)也使得內(nèi)部人員的惡意行為能夠?qū)ο到y(tǒng)產(chǎn)生更嚴(yán)重的影響。與傳統(tǒng)信息系統(tǒng)相似，工業(yè)控制系統(tǒng)的數(shù)據(jù)庫(kù)中也存在大量的敏感數(shù)據(jù)，例如生產(chǎn)計(jì)劃或工藝配方等數(shù)據(jù)。相比于工控系統(tǒng)的實(shí)時(shí)業(yè)務(wù)數(shù)據(jù)，這些數(shù)據(jù)一旦被篡改將會(huì)對(duì)工業(yè)生產(chǎn)造成更嚴(yán)重的影響。因此為了應(yīng)對(duì)工控系統(tǒng)自身安全防護(hù)措施的滯后性和兩化融合帶來(lái)的數(shù)據(jù)安全威脅，有必要對(duì)工控系統(tǒng)的數(shù)據(jù)庫(kù)中存放的敏感數(shù)據(jù)進(jìn)行完整性保護(hù)。
[0003]為了確保數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)的完整性，通常會(huì)采用數(shù)據(jù)庫(kù)完整性保護(hù)技術(shù)。它是指以密碼學(xué)技術(shù)為基礎(chǔ)對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)中的敏感數(shù)據(jù):數(shù)據(jù)庫(kù)、表、屬性列、元組提供完整性度量和驗(yàn)證服務(wù)，以保證信息或數(shù)據(jù)不被未授權(quán)的篡改或在篡改后能夠被迅速發(fā)現(xiàn)。然而現(xiàn)有數(shù)據(jù)庫(kù)完整性保護(hù)技術(shù)存在以下兩個(gè)顯著缺陷無(wú)法確保工控系統(tǒng)中敏感數(shù)據(jù)的完整性:
[0004]其一，數(shù)據(jù)的完整性與環(huán)境安全性沒(méi)有綁定。傳統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)的完整性保護(hù)措施通常建立在環(huán)境相對(duì)安全的前提下，例如操作系統(tǒng)中不存在病毒、木馬等。而這種假設(shè)對(duì)于安全防護(hù)措施相對(duì)滯后的工業(yè)控制系統(tǒng)來(lái)說(shuō)難以成立。在系統(tǒng)環(huán)境已被破壞的情況下，安全數(shù)據(jù)庫(kù)即使對(duì)敏感數(shù)據(jù)進(jìn)行了完整性保護(hù)也無(wú)法保證其完整性。這是由于數(shù)據(jù)在進(jìn)行完整性度量時(shí)缺少對(duì)系統(tǒng)環(huán)境安全性的檢測(cè)，導(dǎo)致在非安全環(huán)境下敏感數(shù)據(jù)產(chǎn)生的完整性度量值自身就是不可信的，而基于該值進(jìn)行完整性檢驗(yàn)就更加不可信了。而且在缺少對(duì)系統(tǒng)環(huán)境安全性的檢測(cè)的情況下，完整性度量值的驗(yàn)證結(jié)果也可以被篡改，也是不可信的。
[0005]其二，數(shù)據(jù)的完整性沒(méi)有建立在硬件基礎(chǔ)上。傳統(tǒng)安全數(shù)據(jù)庫(kù)的完整性通常建立在軟件方式實(shí)現(xiàn)的系統(tǒng)可信計(jì)算基TCB的安全性基礎(chǔ)上。而對(duì)于工控系統(tǒng)來(lái)說(shuō)，這種軟件方式實(shí)現(xiàn)的TCB并不能完全阻止攻擊者對(duì)敏感數(shù)據(jù)的篡改。例如，工控系統(tǒng)在維護(hù)時(shí)，通常會(huì)臨時(shí)接上工程師的筆記本。攻擊者可以通過(guò)對(duì)該筆記本的攻擊，來(lái)進(jìn)一步侵入和破壞工控系統(tǒng)。更為嚴(yán)重的是，能夠物理接觸工控系統(tǒng)的內(nèi)部人員一旦是惡意的，那么他們能夠篡改敏感數(shù)據(jù)而不被輕易發(fā)覺(jué)，造成嚴(yán)重的損失。這是缺少硬件支持的安全數(shù)據(jù)庫(kù)方案無(wú)法解決的問(wèn)題。
[0006]總之，目前在工控環(huán)境中尚缺乏一種能夠安全存儲(chǔ)敏感數(shù)據(jù)，并將其完整性與系統(tǒng)環(huán)境、底層硬件安全性綁定的數(shù)據(jù)庫(kù)完整性驗(yàn)證技術(shù)成果。

【發(fā)明內(nèi)容】

[0007]本發(fā)明的目的在于提供一種可信的數(shù)據(jù)庫(kù)完整性保護(hù)方法及系統(tǒng)，能夠?qū)Υ娣旁跀?shù)據(jù)庫(kù)中的敏感數(shù)據(jù)進(jìn)行完整性保護(hù)，并將其完整性與系統(tǒng)環(huán)境及底層硬件相綁定，從而能夠有效發(fā)現(xiàn)遠(yuǎn)程攻擊者或內(nèi)部人員對(duì)敏感數(shù)據(jù)的篡改，尤其適用于工業(yè)控制系統(tǒng)。
[0008]為了實(shí)現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案:
[0009]一種可信的數(shù)據(jù)庫(kù)完整性保護(hù)方法，包括以下步驟:
[0010]I)使用了本方法的系統(tǒng)基于安全芯片實(shí)施安全啟動(dòng)，并構(gòu)建信任鏈，同時(shí)利用安全芯片產(chǎn)生簽名密鑰，并通過(guò)可信度量技術(shù)在形成的信任鏈基礎(chǔ)上對(duì)當(dāng)前系統(tǒng)環(huán)境進(jìn)行度量，確保當(dāng)前系統(tǒng)環(huán)境安全可信。
[0011]2)安全管理員設(shè)置敏感數(shù)據(jù)的完整性相關(guān)信息，該完整性相關(guān)信息包括:待保護(hù)的數(shù)據(jù)表或列，以及其授權(quán)用戶列表。
[0012]3)利用安全芯片產(chǎn)生的簽名密鑰，將待保護(hù)的數(shù)據(jù)表或列，待保護(hù)的數(shù)據(jù)表或列的當(dāng)前完整性值，及其授權(quán)用戶列表一起進(jìn)行簽名，并存入元數(shù)據(jù)庫(kù)中。同時(shí)，在這些待保護(hù)的數(shù)據(jù)表或列上添加一個(gè)屬性列用于存儲(chǔ)每條記錄或其某個(gè)屬性的完整性簽名值。此外，利用訪問(wèn)控制機(jī)制對(duì)待保護(hù)的數(shù)據(jù)表或列實(shí)施訪問(wèn)控制。
[0013]4)數(shù)據(jù)庫(kù)用戶通過(guò)中間件提供的接口向數(shù)據(jù)庫(kù)發(fā)出敏感數(shù)據(jù)查詢或?qū)懭胝?qǐng)求。
[0014]5)通過(guò)可信度量技術(shù)對(duì)當(dāng)前系統(tǒng)環(huán)境進(jìn)行度量，確保當(dāng)前系統(tǒng)環(huán)境安全可信后，根據(jù)元數(shù)據(jù)庫(kù)中存儲(chǔ)的完整性元數(shù)據(jù)檢驗(yàn)用戶查詢或?qū)懭胝?qǐng)求中的簽名是否正確，以及用戶是否為授權(quán)用戶，檢驗(yàn)都通過(guò)后，將執(zhí)行結(jié)果返回給用戶。
[0015]進(jìn)一步地，步驟2)中，所述完整性相關(guān)信息還包括:HMAC的算法，密鑰，密鑰使用環(huán)境。
[0016]進(jìn)一步地，步驟3)中，利用數(shù)據(jù)庫(kù)的強(qiáng)制訪問(wèn)控制機(jī)制或基于角色的訪問(wèn)控制機(jī)制為待保護(hù)的數(shù)據(jù)表或列以及授權(quán)用戶分配特殊的安全標(biāo)記或角色，使待保護(hù)的數(shù)據(jù)表或列僅能被上述授權(quán)用戶訪問(wèn)，從而防止其他用戶非故意地篡改這些敏感數(shù)據(jù)的完整性。
[0017]進(jìn)一步地，步驟5)中，對(duì)于數(shù)據(jù)庫(kù)用戶發(fā)出的敏感數(shù)據(jù)寫(xiě)入請(qǐng)求，在檢驗(yàn)都通過(guò)后，查詢數(shù)據(jù)庫(kù)中是否已經(jīng)存在該敏感數(shù)據(jù)，如果已經(jīng)有對(duì)應(yīng)的敏感數(shù)據(jù)，則檢查已有的敏感數(shù)據(jù)的簽名是否正確，并計(jì)算該已有的敏感數(shù)據(jù)的當(dāng)前完整性值，然后與元數(shù)據(jù)庫(kù)中的簽名的完整性值進(jìn)行比較，如果一致，則接著計(jì)算要寫(xiě)入的敏感數(shù)據(jù)的完整性值，并用安全芯片簽名密鑰進(jìn)行簽名保護(hù)，然后將該敏感數(shù)據(jù)及其完整性簽名值寫(xiě)入數(shù)據(jù)庫(kù)。若數(shù)據(jù)庫(kù)中還沒(méi)有該敏感數(shù)據(jù)，則直接計(jì)算該敏感數(shù)據(jù)的完整性值，并用安全芯片簽名密鑰進(jìn)行簽名保護(hù)，然后將敏感數(shù)據(jù)及其完整性簽名值寫(xiě)入數(shù)據(jù)庫(kù)，并返回執(zhí)行結(jié)果。
[0018]進(jìn)一步地，步驟5)中，對(duì)于數(shù)據(jù)庫(kù)用戶發(fā)出的敏感數(shù)據(jù)查詢請(qǐng)求，在檢驗(yàn)都通過(guò)后，查詢數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)及其完整性簽名值，驗(yàn)證簽名是否正確。若簽名正確，則接著計(jì)算敏感數(shù)據(jù)的完整性值，并與元數(shù)據(jù)庫(kù)中簽名保護(hù)的完整性值進(jìn)行對(duì)比，如果一致，則將敏感數(shù)據(jù)及完整性驗(yàn)證通過(guò)的結(jié)果同時(shí)返回。若上述驗(yàn)證中任何一個(gè)沒(méi)有通過(guò)，則返回完整性驗(yàn)證失敗的結(jié)果。
[0019]一種可信的數(shù)據(jù)庫(kù)完整性保護(hù)系統(tǒng)，包括:安全芯片、可信度量模塊、完整性保護(hù)模塊、元數(shù)據(jù)庫(kù)、完整性配置模塊、訪問(wèn)接口模塊及數(shù)據(jù)庫(kù)操作模塊。其中，安全芯片負(fù)責(zé)構(gòu)建信任鏈并生成簽名密鑰；可信度量模塊負(fù)責(zé)在形成的信任鏈基礎(chǔ)上對(duì)系統(tǒng)環(huán)境中啟動(dòng)的任意進(jìn)程或文件進(jìn)行可信度量；完整性保護(hù)模塊負(fù)責(zé)接收完整性配置模塊發(fā)送的完整性相關(guān)信息并處理數(shù)據(jù)查詢/寫(xiě)入請(qǐng)求；元數(shù)據(jù)庫(kù)則負(fù)責(zé)完整性相關(guān)信息的存儲(chǔ)；訪問(wèn)接口模塊負(fù)責(zé)接收并處理數(shù)據(jù)庫(kù)用戶的SQL命令；數(shù)據(jù)庫(kù)操作模塊則負(fù)責(zé)連接數(shù)據(jù)庫(kù)并執(zhí)行數(shù)據(jù)庫(kù)用戶的SQL命令；最后，完整性配置模塊則負(fù)責(zé)與安全管理員進(jìn)行交互，接收完整性相關(guān)信息并將其發(fā)送給完整性保護(hù)模塊。
[0020]進(jìn)一步地，所述信任鏈中包括可信度量模塊、完整性保護(hù)模塊、完整性配置模塊、訪問(wèn)接口模塊和數(shù)據(jù)庫(kù)操作模塊。
[0021]進(jìn)一步地，所述完整性相關(guān)信息包括:待保護(hù)的數(shù)據(jù)表或列和授權(quán)用戶列表；或待保護(hù)的數(shù)據(jù)表或列，授權(quán)用戶列表，HMAC的算法，密鑰和密鑰使用環(huán)境。
[0022]該技術(shù)的基本原理為:利用安全芯片產(chǎn)生的簽名密鑰對(duì)敏感數(shù)據(jù)的完整性度量值行簽名保護(hù)，并指定使用該簽名密鑰的安全系統(tǒng)環(huán)境。利用可信度量模塊在簽名和驗(yàn)證簽名階段度量系統(tǒng)環(huán)境是否是指定的安全系統(tǒng)環(huán)境。由于簽名驗(yàn)證會(huì)對(duì)系統(tǒng)的效率造成較大影響，因此該完整性保護(hù)技術(shù)只能采用中間件方式實(shí)現(xiàn)，同時(shí)不會(huì)采用觸發(fā)器方式來(lái)自動(dòng)進(jìn)行完整性驗(yàn)證，以達(dá)到不影響工控系統(tǒng)正常運(yùn)行的目的。也就是說(shuō)，在應(yīng)用了本發(fā)明的可信數(shù)據(jù)完整性保護(hù)技術(shù)后