查看原文
其他

信创方案 | 基于鲲鹏iTrustee的数据安全解决方案

点击 新型基础设施建设 并设为星标⭐️ 及时获取最新资讯

编者按:方案基于鲲鹏iTrustee研发了基于TEE的数据加密保护方案,将密钥和加密引擎内置于TEE中,实现密钥不出安全域、无明文暴露,为数据提供硬件隔离级保护,从密钥安全性、数据保密性两个层面大幅度提升系统数据的安全性,创新解决数据库“脱库”难题。详情点击查看。



编辑|新型基础设施建设公众号(ID:morlight20)出品 | 安东工作室作者|合肥安永信息科技有限公司转载|请注明出处

扫码加入“新数创”知识星球社群,获取更多信创+数字化相关资料


数字经济是继农业经济、工业经济之后的主要经济形态,事关国家发展大局,数据安全作为促进数据开发利用和产业发展的基础支撑,是推动以数据为关键要素的数字经济高质量发展的基石。

实践中,随着以获利为目的的外部威胁与对抗不断升级,新兴技术演进带来不可预知的安全风险,数据安全防护滞后于攻击手段,以“数据”为中心的主动式防护,是实现数据安全最直接有效的手段。

保护数据安全的核心要素是密钥。因此,保护密钥的安全是数据安全的前提。以数据为主要对象、以密钥为抓手的数据安全策略,是未来数据安全领域的主要方向,也是需求的出发点。



01

信创解决方案概述


方案面向数字经济发展的安全需求,应对当前数据保护实践中密钥本身不安全、内部人攻击防不住、加密索引难的痛点问题,基于鲲鹏iTrustee研发了基于TEE的数据加密保护方案,将密钥和加密引擎内置于TEE中,实现密钥不出安全域、无明文暴露,为数据提供硬件隔离级保护,从密钥安全性、数据保密性两个层面大幅度提升系统数据的安全性,创新解决数据库“脱库”难题。能满足各类主体的数据加密需求,可广泛应用于政务、金融、医疗、教育等行业场景,有效提升用户数据安全防护能力。


02

信创解决方案架构


方案主要包含两部分,一是鲲鹏iTrustee,二是合肥安永信息科技有限公司自主研发的安永数据库加密系统。


01

鲲鹏iTrustee


鲲鹏iTrustee基于TrustZone技术实现整套安全解决方案,包含正常模式的客户端应用(Client Application,CA)、安全模式的可信应用(Trusted Application,TA)、安全模式下的可信操作系统。


02

安永数据库加密系统


系统以数据库前置代理形式,置于数据库服务器与业务服务器之间,主要包括数据库连接模块、数据加密模块及其他辅助模块。

数据库连接模块负责响应业务服务器的数据库查询请求,并在解析处理之后将请求转发给数据库。

加密模块负责对数据进行加密、解密,例如数据字段的加密、可搜索加密等、使用信创加密算法,包括SM3、SM4,以及基于SM3的HMAC算法。


03

信创解决方案实施效果

01

高安全


  • 密钥安全性:提供芯片级密钥安全防护,密钥限定在TEE内部,不出安全域、无明文暴露;

  • 数据保密性:为隐私数据提供硬件隔离级安全保护,确保隐私数据安全。

02

高可用


  • 可搜索加密:支持模糊检索,达到安全性与可用性平衡;


  • 性能影响可控:通过TEE自带加速引擎提升性能;

  • 可扩展性:方案适配主流数据库国产数据库、操作系统,对应用透明,扩展性强

03

经济性


本方案底层利用服务器自带TEE模块,对于常规应用,无需单独增加硬件。

04

防护效果


既能防外部攻击拖库,也能防内部人非法导出。


04

信创解决方案应用案例


项目已在政务、金融、医疗、教育等多个场景落地应用,与合肥市征信有限公司合作,在其运营平台上,对该系统底层相关的政务、企业、居民、金融、财务等相关敏感数据,进行加密保护,应用成效良好,得到相关部门的认可及业主单位的好评,该项目已获得2023年信创大比武金融赛道优秀科技创新奖,并入围工信部2023“星河”数据安全优秀案例


05

信创解决方案联系人

田宝同 13965147580


福利

  定位:这是本人精心创建的知识社群,方向主要包含信创、数字化、新基建以及新一代信息技术等领域,希望将该知识星球打造为一个大家频繁沟通、咨询与探讨行业问题的平台!与行业精英为伴。

  同时,会提供大量高价值的直播培训及培训视频回放,并免费给大家提供一些解决方案/行业报告/PPT模板/电子书等干货素材【目前1000+,并实时更新】敏捷的服务,并供大家交流、学习以及自我提升。

欢迎加入新数创知识社群扫下方二维码



END


点击图片查看完整内容:


个人观点,仅供参考
继续滑动看下一个
新型基础设施建设
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存