亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于tpm的數(shù)據(jù)防泄漏方法

文檔序號:6353104閱讀:741來源:國知局
專利名稱:基于tpm的數(shù)據(jù)防泄漏方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種基于TPM的數(shù)據(jù)防泄漏方法,屬于信息數(shù)據(jù)安全領(lǐng)域。
背景技術(shù)
針對企業(yè)信息安全的需求,目前存在兩種截然不同的數(shù)據(jù)泄露防護(hù)解決方案 (DataLoss Prevention)。一種是 McAfee 數(shù)據(jù)保護(hù)解決方案,由 McAfee Network Data LossPrevention(DLP)>McAfee Network Forensics>McAfee Host Data Loss Prevention、 McAfee Endpoint Encryption、McAfee Encrypted USB、McAfee Device Control 禾口 McAfeeePolicy Orchestrator等組成,通過發(fā)現(xiàn)和確認(rèn),評估風(fēng)險,制定策略,應(yīng)用控制,監(jiān) 控、報告和審計五個步驟為企業(yè)提供可重復(fù)、持續(xù)且自動的保護(hù)。另一種則是美國易安信 (EMC)公司旗下的RSA防數(shù)據(jù)丟失解決方案,由RSA DLP Patacenter, RSA DLP Network, RSA DLPEndpoint三個模塊構(gòu)成,分別針對靜態(tài)數(shù)據(jù),移動態(tài)數(shù)據(jù)以及使用態(tài)數(shù)據(jù)的數(shù)據(jù)泄 漏防護(hù)。McAfee和RSA DLP解決方案以信息分類為基礎(chǔ),結(jié)合外設(shè)及網(wǎng)絡(luò)協(xié)議控制、信息過 濾等技術(shù)來防止敏感數(shù)據(jù)泄露。通過這些技術(shù)的應(yīng)用,企事業(yè)單位在數(shù)據(jù)泄漏防護(hù)方面有了較大的改善,McAfee 和RSA雖然都提供了全面、集成的端到端的解決方案但數(shù)據(jù)泄漏問題仍然屢見不鮮。

發(fā)明內(nèi)容
本發(fā)明的目的旨在通過綜合運(yùn)用可信計算技術(shù)、身份認(rèn)證、訪問控制和數(shù)據(jù)加密 等技術(shù)構(gòu)造可信中間件組件服務(wù)群,制定合理的職責(zé)分離策略,進(jìn)行策略的可信分發(fā),細(xì)粒 度的數(shù)據(jù)加密保護(hù)等措施,實(shí)現(xiàn)從數(shù)據(jù)存儲、傳輸?shù)绞褂酶鳝h(huán)節(jié)的完整性、安全性和機(jī)密性 保護(hù),最終實(shí)現(xiàn)用戶數(shù)據(jù)防泄漏。本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下該基于TPM的數(shù)據(jù)防泄漏方法,包括以下步驟第一步通過TSS協(xié)議棧的工作模式對客戶端TPM_C五個TPM中間件進(jìn)行初始化, 并建立信任鏈;第二步由安全策略管理員通過全局策略管理服務(wù)器端TPM_M完成策略的建立、 敏感數(shù)據(jù)識別訓(xùn)練及參數(shù)建立,并簽名后下發(fā)給全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT ;第三步全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT接收策略并下發(fā)至其它TPM端,在條件激 活的情況下調(diào)度掃描,接受反饋信息,通過審計結(jié)果更新策略,采用雙重簽名其命令和新 策略的方式,防止偽造或篡改;第四步客戶端TPM_C、數(shù)據(jù)庫服務(wù)器端TPM_S_D、全局文件服務(wù)器端TPM_S_F啟動 后檢測、驗(yàn)證和下載新策略,完成策略和工作模式參數(shù)更新;若為初次啟動,TPM_S_F需在 TPM_CT調(diào)度下完成文件及敏感度量信息統(tǒng)計、虛擬目錄和訪問控制方案,并提交TPM_CT審 計后認(rèn)可,最終形成文件防泄漏策略;第五步客戶端動后完成用戶角色和TPM_C&綁定,進(jìn)入用戶使用態(tài)系統(tǒng)操作前利用密級密鑰生成方法或在全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT參與下與數(shù)據(jù)庫服務(wù)器 端TPM_S_D之間構(gòu)建隨機(jī)或特定生命期的密級密鑰,用于保護(hù)TPM_C與TPM_S_D之間的通 信;
第六步源于TPM_C的客戶端數(shù)據(jù)需要經(jīng)TPM_C的全局一致的策略和角色約束下 完成敏感識別處理,并進(jìn)行相應(yīng)的密級封裝,送至TPM_S_D ;第七步TPM_S_D端接收并解封請求,提取并使用與數(shù)據(jù)庫服務(wù)器之間的對應(yīng)密 鑰,加密數(shù)據(jù)以無影響數(shù)據(jù)庫工作的方式存入或檢索。上述的全局策略管理服務(wù)器端用基于SVM改進(jìn)的自適應(yīng)文本分類器進(jìn)行 文本識別,對識別結(jié)論符合要求的文本進(jìn)行算法與參數(shù)差異分析,將分析結(jié)果反饋到策略 庫進(jìn)行策略更新,對識別結(jié)論不符合要求的文本的數(shù)據(jù)敏感級識別算法、參數(shù)及詞庫進(jìn)行 修正。上述的全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT接收TPM_M下發(fā)的策略并快速分類,進(jìn)行策 略更新,調(diào)度其他TPM_C/TPM_S/TPM_S_F等接收形成各自規(guī)則,分配TPM_C登入身份,接受 來自于TPM_C的登陸請求,識別訪問者身份,賦予其相應(yīng)的訪問角色和權(quán)限,分配敏感級密 鑰或者協(xié)助完成TPM密鑰遷移,并調(diào)度TPM_S_F完成對文件型數(shù)據(jù)的掃描和敏感信息的規(guī) 則統(tǒng)計工作,驗(yàn)證和接收反饋信息,形成對文件的敏感級劃分和訪問策略。上述的數(shù)據(jù)庫服務(wù)器端TPM_S_D對接入的身份與TPM_D/TPM_CT/TPM_M相互認(rèn)證, 接收/下載并緩存策略一敏感模式,等待數(shù)據(jù)包的封裝;啟動全程行為審計對全程行為進(jìn) 行監(jiān)控與審計,存儲審計記錄并對審計報告和記錄統(tǒng)計分析處理。上述的數(shù)據(jù)庫服務(wù)器端TPM_S_D確定密級和需保護(hù)的區(qū)域?qū)ο?,根?jù)敏感度識別 信息,使用相應(yīng)的密鑰進(jìn)行加/解密處理,提交給DBMS進(jìn)行存儲。上述的全局文件服務(wù)端TPM_S_F掃描包括四個步驟步驟一解封TPM_M分發(fā)的掃描命令和策略差量,提取密鑰,驗(yàn)證TPM_M授權(quán)與 TPM_CT之間的策略完整性證明;步驟二 判斷策略雙向證明是否通過,如果沒有得到證明則形成審計報告,報告至 全程累積性審計進(jìn)行審計報告記錄的封裝,否則,策略分發(fā)至策略庫,執(zhí)行策略包括對文件 進(jìn)行分類,識別其機(jī)密等級,調(diào)用指定的加解密算法,利用對應(yīng)的機(jī)密等級密鑰,對文件進(jìn) 行加密保護(hù),若無某項(xiàng)或某類文件規(guī)則,則請求TPM_CT識別并發(fā)回新規(guī)則;步驟三文件數(shù)據(jù)流出前,做規(guī)則檢查,若無法判決則提交TPM_CT解決;文件更新 必須在策略規(guī)則下進(jìn)行,由TPM_S_F將各類統(tǒng)計信息提交到TPM_CT判決后反饋形成策略, 自身只做信息收集,不形成策略,提供各類文件的存儲保護(hù);步驟四由TPM_S_F是執(zhí)行TPM_CT端下發(fā)的判定規(guī)則,并接受TPM_CT的調(diào)度掃描 工作,向它提交各類掃描統(tǒng)計、規(guī)則匹配等信息,根據(jù)審計策略向TPM_CT端反饋全程累計 性審計信息。本發(fā)明的有益效果是通過引入TPM技術(shù),確保接入通信的全局策略管理服務(wù)器端(TPM_M)、全局內(nèi)容服 務(wù)器端(TPM_CT)、數(shù)據(jù)庫服務(wù)器端(TPM_S_D)、文件服務(wù)器端(TPM_S_F)和訪問終端(TPM_ C)等的真實(shí)性和可靠性;支持特定模式下各TPM模塊之間的安全通信,遵守相應(yīng)的密鑰遷 移策略;提供密鑰管理及存儲保護(hù)服務(wù)。并采用兩種密鑰模式。一種是中間件之間建立安全通信后傳輸信息的密鑰生成和加密保護(hù),另一種是中間件至數(shù)據(jù)服務(wù)器端的密鑰生成和 加密保護(hù)。采用基于職責(zé)分離的管理模式或邏輯通信區(qū)域隔離的方式,實(shí)現(xiàn)策略管理與策略 執(zhí)行的嚴(yán)格分離。由安全策略管理員通過“全局策略管理服務(wù)器端TPM_M”完成策略的管 理。由“全局內(nèi)容服務(wù)器端TPM_CT”負(fù)責(zé)調(diào)度信任鏈上的各功能節(jié)點(diǎn)協(xié)作完成策略的執(zhí)行。 因而,策略的制定者;TPM_CT是策略的執(zhí)行調(diào)度者;TPM_C/TPM_S_D/TPM_S_F等為 信息的收集者、策略的執(zhí)行者;所有含TPM的終端都完成行為的監(jiān)控、審計和記錄。遠(yuǎn)程普 通客戶端不屬于TPM中間件,是針對特定局域網(wǎng)或者是子網(wǎng)的客戶端,能夠訪問對其公開 的部分文件信息。


圖1是本發(fā)明基于TPM的數(shù)據(jù)防泄漏方法流程圖;圖2是本發(fā)明全局策略管理服務(wù)器端TPM_M工作流程圖;圖3是本發(fā)明全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT工作流程圖;圖4是本發(fā)明數(shù)據(jù)庫服務(wù)器端TPM_S_D工作流程圖;圖5是本發(fā)明全局文件服務(wù)端TPM_S_F工作流程圖;
圖6是本發(fā)明客戶端TPM_C工作流程圖。
具體實(shí)施例方式以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述。1、全局策略管理服務(wù)器端TPM_M1)系統(tǒng)啟動后,初始化功能域。TPM_M僅參與全局系統(tǒng)平臺的初始化,除非整個模 型需要重新部署或更新(有新加入客戶/服務(wù)器),其只在第一次全局初始化時為所有客 戶端/帶TPM的服務(wù)所共知,可通過公開參數(shù)獲取或可手動配置。對接入的身份與TPM_D/ TPM_CT/TPM_M相互認(rèn)證,核對執(zhí)行端的簽名證書,產(chǎn)生核對數(shù)據(jù),等待數(shù)據(jù)包的封裝;啟動 全程行為審計程序,對全程行為進(jìn)行監(jiān)控與審計,存儲審計記錄并對審計報告和記錄統(tǒng)計 分析處理。2)啟用判定或預(yù)處理程序,執(zhí)行條件激活調(diào)度,檢查策略庫是否需要更新及是否 已更新。3)自主完成敏感數(shù)據(jù)識別和分級的訓(xùn)練,建立和完善文本信息分類的特征庫,借 助數(shù)據(jù)模式提取技術(shù)設(shè)定數(shù)據(jù)庫安全加密方案,完成最終的策略和模式制定的準(zhǔn)備工作。 采用基于SVM改進(jìn)的自適應(yīng)文本分類器進(jìn)行文本識別,對識別結(jié)論符合要求的文本進(jìn)行算 法與參數(shù)差異分析,將分析結(jié)果反饋到策略庫進(jìn)行策略更新,對識別結(jié)論不符合要求的文 本的數(shù)據(jù)敏感級識別算法、參數(shù)及詞庫進(jìn)行修正。

4)制定策略,但不執(zhí)行策略,也不對TPM_CT以外的服務(wù)器提供訪問。及時對修正 策略進(jìn)行變更,創(chuàng)建新加入節(jié)點(diǎn)的策略,完成策略庫的建立與完善。策略包含敏感度的等 級信息、分級規(guī)則;信息分類的算法、參數(shù),權(quán)重設(shè)定;數(shù)據(jù)加密算法,密鑰的管理、遷移方 法;角色定義、權(quán)限分配與認(rèn)證方案;req_Sql封裝模式等。5)將身份認(rèn)證及簽名證書核對數(shù)據(jù)、更新策略及新建策略數(shù)據(jù)、全程行為審計報告記錄數(shù)據(jù)封 裝發(fā)至TPM_CT端,亦可接收來自TPM_CT端的封裝數(shù)據(jù)包。2、全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT 1)系統(tǒng)啟動后,參與統(tǒng)一模型的初始化,對接入的身份與TPM_D/TPM_CT/TPM_M相 互認(rèn)證,建立調(diào)度域,等待數(shù)據(jù)包的封裝;啟動全程行為審計程序,對全程行為進(jìn)行監(jiān)控與 審計,存儲審計記錄并對審計報告和記錄統(tǒng)計分析處理。2)接收TPM_M下發(fā)的策略并快速分類,進(jìn)行策略更新,調(diào)度其他TPM_C/TPM_S/ TPM_S_F等接收形成各自規(guī)則,分配TPM_C登入身份,接受來自于TPM_C的登陸請求,識別 訪問者身份,賦予其相應(yīng)的訪問角色和權(quán)限,分配敏感級密鑰或者協(xié)助完成TPM密鑰遷移, 并調(diào)度TPM_S_F完成對文件型數(shù)據(jù)的掃描和敏感信息的規(guī)則統(tǒng)計工作,驗(yàn)證和接收反饋信 息,形成對文件的敏感級劃分和訪問策略。3、數(shù)據(jù)庫服務(wù)器端TPM_S_D 1)系統(tǒng)啟動后,初始化化構(gòu)建信任鏈,協(xié)商或初始化會話密級密鑰(用于保密 req_sql)。區(qū)別于DBMS中用于行、列細(xì)粒度保密密鑰。對接入的身份與TPM_D/TPM_CT/TPM_ M相互認(rèn)證,接收/下載并緩存策略_敏感模式等,等待數(shù)據(jù)包的封裝;啟動全程行為審計 程序,對全程行為進(jìn)行監(jiān)控與審計,存儲審計記錄并對審計報告和記錄統(tǒng)計分析處理。2)啟用預(yù)判定程序,驗(yàn)證發(fā)送的req_Sql請求的合法性,不合法的丟棄。3)確定“密級”和需保護(hù)的“區(qū)域?qū)ο蟆?,根?jù)敏感度識別信息,使用相應(yīng)的密鑰進(jìn) 行加/解密處理,提交給DBMS進(jìn)行存儲。4)封裝數(shù)據(jù)包發(fā)送至目的地。4、全局文件服務(wù)端TPM_S_F 1)首先,系統(tǒng)啟動,通過TSS協(xié)議棧的工作模式對五類TPM中間件進(jìn)行集中的初始 化功能域;2)建立信任鏈,首先中間件角色與各個中間件相互認(rèn)證;其次,通過初始化啟動 個中間件的功能或者是預(yù)判定,將不合格的、過期的信息,日志等等丟棄;最后,啟動全程審 計模塊進(jìn)行全程的監(jiān)視審計;同時各個中間件接收/下載并緩存策略等形成策略完整性保 護(hù);3)掃描階段是整個TPM_S_F的關(guān)鍵階段,包括四個步驟步驟一解封TPM_M分發(fā)的掃描命令和策略差量,提取密鑰,驗(yàn)證TPM_M授權(quán)與 TPM_CT之間的策略完整性證明;步驟二 判斷策略雙向證明是否通過,如果沒有得到證明則形成審計報告,報告至 全程累積性審計進(jìn)行審計報告記錄的封裝,否則,策略分發(fā)至策略庫,執(zhí)行策略包括對文件 進(jìn)行分類,識別其機(jī)密等級,調(diào)用指定的加解密算法,利用對應(yīng)的機(jī)密等級密鑰,對文件進(jìn) 行加密保護(hù)等,若無某項(xiàng)或某類文件規(guī)則,則請求TPM_CT識別并發(fā)回新規(guī)則;步驟三文件數(shù)據(jù)流出前,做規(guī)則檢查,若無法判決則提交TPM_CT解決;文件更新 必須在策略規(guī)則下進(jìn)行,由TPM_S_F將各類統(tǒng)計信息提交到TPM_CT判決后反饋形成策略, 自身只做信息收集,不形成策略。提供各類文件的存儲保護(hù);步驟四由TPM_S_F是執(zhí)行TPM_CT端下發(fā)的判定規(guī)則,并接受TPM_CT的調(diào)度掃描 工作,向它提交各類掃描統(tǒng)計、規(guī)則匹配等信息,)根據(jù)審計策略向TPM_CT端反饋全程累計 性審計信息;
4)將掃描結(jié) 果及全程性審計結(jié)果分別反饋封裝,經(jīng)TPM_S_F蓋身份證明,發(fā)送到 目的地;5、客戶端 TPM_C:1)系統(tǒng)啟動,接入網(wǎng)絡(luò),提供身份標(biāo)識、驗(yàn)證服務(wù)器TPM_S/M,初始化構(gòu)建信任鏈, 協(xié)商或初始化用于保密SQL語法格式的數(shù)據(jù)庫請求(req_Sql)的會話級密鑰;將用戶角色 與TPM_C綁定,由TPM_CT認(rèn)證和賦予;接收/下載并緩存策略_敏感模式等,等待數(shù)據(jù)包的 封裝;啟動全程行為審計程序,對全程行為進(jìn)行監(jiān)控與審計,存儲審計記錄并對審計報告和 記錄統(tǒng)計分析處理。2)根據(jù)TPM_CT下發(fā)的策略及規(guī)則,啟用判定和預(yù)處理程序,對數(shù)據(jù)進(jìn)行敏感識別 預(yù)處理,初步處理而未決,轉(zhuǎn)入內(nèi)容敏感匹配檢測,如果累積敏感因子超出閾值,就調(diào)動加 密引擎。3)req_sql處理,完成req_Sql合法性分析,用戶傳出數(shù)據(jù)的敏感級分析,確定閾 值范圍、映射密級和密級保護(hù)區(qū)域,重新封裝req_Sql,以使其反映用戶、角色、建議會話角 色、密級標(biāo)簽、敏感區(qū)域加密替換或操作標(biāo)識替換等req_Sql重新表達(dá)工作。4)封裝數(shù)據(jù)包發(fā)送至目的地。
權(quán)利要求
1.基于TPM的數(shù)據(jù)防泄漏方法,其特征在于包括以下步驟第一步通過TSS協(xié)議棧的工作模式對客戶端TPM_C五個TPM中間件進(jìn)行初始化,并建 立信任鏈;第二步由安全策略管理員通過全局策略管理服務(wù)器端TPM_M完成策略的建立、敏感 數(shù)據(jù)識別訓(xùn)練及參數(shù)建立,并簽名后下發(fā)給全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT ;第三步全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT接收策略并下發(fā)至其它TPM端,在條件激活的 情況下調(diào)度掃描,接受反饋信息,通過審計結(jié)果更新策略,采用雙重簽名其命令和新策略的 方式,防止偽造或篡改;第四步客戶端TPM_C、數(shù)據(jù)庫服務(wù)器端TPM_S_D、全局文件服務(wù)器端TPM_S_F啟動后檢 測、驗(yàn)證和下載新策略,完成策略和工作模式參數(shù)更新;若為初次啟動,TPM_S_F需在TPM_ CT調(diào)度下完成文件及敏感度量信息統(tǒng)計、虛擬目錄和訪問控制方案,并提交TPM_CT審計后 認(rèn)可,最終形成文件防泄漏策略;第五步客戶端TPM_C啟動后完成用戶角色和TPM_C的綁定,進(jìn)入用戶使用態(tài)系統(tǒng)操 作前利用密級密鑰生成方法或在全局?jǐn)?shù)據(jù)內(nèi)容服務(wù)器端TPM_CT參與下與數(shù)據(jù)庫服務(wù)器端 TPM_S_D之間構(gòu)建隨機(jī)或特定生命期的密級密鑰,用于保護(hù)TPM_C與TPM_S_D之間的通信;第六步源于TPM_C的客戶端數(shù)據(jù)需要經(jīng)TPM_C的全局一致的策略和角色約束下完成 敏感識別處理,并進(jìn)行相應(yīng)的密級封裝,送至TPM_S_D ;第七步TPM_S_D端接收并解封請求,提取并使用與數(shù)據(jù)庫服務(wù)器之間的對應(yīng)密鑰,加 密數(shù)據(jù)以無影響數(shù)據(jù)庫工作的方式存入或檢索。
2.如權(quán)利要求1所述的基于TPM的數(shù)據(jù)防泄漏方法,其特征在于上述的全局策略管 理服務(wù)器端用基于SVM改進(jìn)的自適應(yīng)文本分類器進(jìn)行文本識別,對識別結(jié)論符合 要求的文本進(jìn)行算法與參數(shù)差異分析,將分析結(jié)果反饋到策略庫進(jìn)行策略更新,對識別結(jié) 論不符合要求的文本的數(shù)據(jù)敏感級識別算法、參數(shù)及詞庫進(jìn)行修正。
3.如權(quán)利要求2所述的基于TPM的數(shù)據(jù)防泄漏方法,其特征在于上述的全局?jǐn)?shù)據(jù)內(nèi) 容服務(wù)器端TPM_CT接收TPM_M下發(fā)的策略并快速分類,進(jìn)行策略更新,調(diào)度其他TPM_C/ TPM_S/TPM_S_F等接收形成各自規(guī)則,分配TPM_C登入身份,接受來自于TPM_C的登陸請求, 識別訪問者身份,賦予其相應(yīng)的訪問角色和權(quán)限,分配敏感級密鑰或者協(xié)助完成TPM密鑰 遷移,并調(diào)度TPM_S_F完成對文件型數(shù)據(jù)的掃描和敏感信息的規(guī)則統(tǒng)計工作,驗(yàn)證和接收 反饋信息,形成對文件的敏感級劃分和訪問策略。
4.如權(quán)利要求3所述的基于TPM的數(shù)據(jù)防泄漏方法,其特征在于上述的數(shù)據(jù)庫服務(wù) 器端TPM_S_D對接入的身份與TPM_D/TPM_CT/TPM_M相互認(rèn)證,接收/下載并緩存策略_敏 感模式,等待數(shù)據(jù)包的封裝;啟動全程行為審計對全程行為進(jìn)行監(jiān)控與審計,存儲審計記錄 并對審計報告和記錄統(tǒng)計分析處理。
5.如權(quán)利要求4所述的基于TPM的數(shù)據(jù)防泄漏方法,其特征在于上述的數(shù)據(jù)庫服務(wù) 器端TPM_S_D確定密級和需保護(hù)的區(qū)域?qū)ο螅鶕?jù)敏感度識別信息,使用相應(yīng)的密鑰進(jìn)行 加/解密處理,提交給DBMS進(jìn)行存儲。
6.如權(quán)利要求5所述的基于TPM的數(shù)據(jù)防泄漏方法,其特征在于上述的全局文件服 務(wù)端TPM_S_F掃描包括四個步驟步驟一解封TPM_M分發(fā)的掃描命令和策略差量,提取密鑰,驗(yàn)證TPM_M授權(quán)與TPM_CT之間的策略完整性證明;步驟二 判斷策略雙向證明是否通過,如果沒有得到證明則形成審計報告,報告至全程 累積性審計進(jìn)行審計報告記錄的封裝,否則,策略分發(fā)至策略庫,執(zhí)行策略包括對文件進(jìn)行 分類,識別其機(jī)密等級,調(diào)用指定的加解密算法,利用對應(yīng)的機(jī)密等級密鑰,對文件進(jìn)行加 密保護(hù),若無某項(xiàng)或某類文件規(guī)則,則請求TPM_CT識別并發(fā)回新規(guī)則;步驟三文件數(shù)據(jù)流出前,做規(guī)則檢查,若無法判決則提交TPM_CT解決;文件更新必須 在策略規(guī)則下進(jìn)行,由TPM_S_F將各類統(tǒng)計信息提交到TPM_CT判決后反饋形成策略,自身 只做信息收集,不形成策略,提供各類文件的存儲保護(hù);步驟四由TPM_S_F是執(zhí)行TPM_CT端下發(fā)的判定規(guī)則,并接受TPM_CT的調(diào)度掃描工 作,向它提交各類掃描統(tǒng)計、規(guī)則匹配等信息,根據(jù)審計策略向TPM_CT端反饋全程累計性 審計信息。
全文摘要
本發(fā)明涉及一種基于TPM的數(shù)據(jù)防泄漏方法,屬于信息數(shù)據(jù)安全領(lǐng)域。通過引入TPM技術(shù),確保接入通信的全局策略管理服務(wù)器端(TPM_M)、全局內(nèi)容服務(wù)器端(TPM_CT)、數(shù)據(jù)庫服務(wù)器端(TPM_S_D)、文件服務(wù)器端(TPM_S_F)和訪問終端(TPM_C)等的真實(shí)性和可靠性;支持特定模式下各TPM模塊之間的安全通信,遵守相應(yīng)的密鑰遷移策略;提供密鑰管理及存儲保護(hù)服務(wù)。由“全局內(nèi)容服務(wù)器端TPM_CT”負(fù)責(zé)調(diào)度信任鏈上的各功能節(jié)點(diǎn)協(xié)作完成策略的執(zhí)行。因而,TPM_M是策略的制定者;TPM_CT是策略的執(zhí)行調(diào)度者;TPM_C/TPM_S_D/TPM_S_F等為信息的收集者、策略的執(zhí)行者;所有含TPM的終端都完成行為的監(jiān)控、審計和記錄。
文檔編號G06F21/00GK102143158SQ201110006540
公開日2011年8月3日 申請日期2011年1月13日 優(yōu)先權(quán)日2011年1月13日
發(fā)明者周亞建, 平源, 彭維平, 李正, 程麗 申請人:北京郵電大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1