[发明专利]用于保证对不安全数据存储设备的查询的结果的新鲜度的方法

说明书

技术领域

公开的本发明广义上涉及数据安全领域，并且更具体地，涉及从不可信数据存储设备(store)对数据的可靠检索。

背景技术

信息技术(IT)系统依赖于可靠的数据存储设备，并且这些数据存储设备通常位于IT系统的安全计算环境之外，并且因此易于受到攻击。可以使用安全计算环境保护其内部应用程序免受物理和逻辑攻击，但是这些应用程序可能仍然依赖不能部署在安全计算环境内的外部数据存储设备。见Trapp等人的“Method and Apparatus for SecureProcessing of Sensitive Data，”申请序号10/065,802，通过引用将其结合在此。

可以使用标准的密码技术加密和认证数据存储设备的内容，并且从而可以保护数据不受窥探和未授权的修改，但是它们不足以保证对数据存储设备的查询总是返回最准确和最新近的数据。对数据存储设备查询的回放(replay)攻击是这样的一种攻击：攻击者以曾经存储在数据存储设备内、但是不再是当前的数据对查询进行回答。进入数据存储设备的攻击者可以用过时的数据响应应用程序作出的查询，假装这些是数据存储设备的实际内容。这种攻击通常称为回放攻击，因为攻击者“回放”以前在系统中有效的数据。在当今依赖来自数据存储设备的信息的许多应用程序中，这是一个严重的问题。如果考虑查询银行账户内的数目或罪犯监视列表内的条目的应用程序，可以明了该问题的严重性。

虽然有针对计算机网络上的安全通信通道的回放攻击的已知对策，这些技术不能适用于确保对位于安全计算环境之外的数据存储设备(即，不安全的数据存储设备)的数据库查询不受回放攻击。当前大多数大型系统运行在安全计算环境之外，因此，需要一种克服现有技术的缺点的方法。

发明内容

根据本发明，一种方法允许在安全计算环境内运行的应用程序在查询不安全的数据存储设备(例如数据库或文件系统)的过程中检测和防止回放攻击。简单地说，根据本发明的方法扩展了写操作以包括步骤：接收用于将被写到分层树结构内的应用数据的写指令；响应接收到该写指令递增计时器，将时间戳设置为该计时器的值；基于接收到的应用数据计算消息认证码，将控制信息附加到应用数据，所述控制信息包括所述时间戳和所述消息认证码；将带有附加控制信息的应用数据作为主项目写到不安全的数据存储设备；并且通过跟随链接，沿着从主项目到根的路径，更新与所述主项目相关联的每个检查项目的控制信息。

根据本发明的方法扩展了从不安全的数据存储设备读取应用数据的读操作以包括步骤：接收对于应用数据的读指令；为应用数据确定在不安全的数据存储设备内的位置；验证包含在该位置处的消息认证码；将来自该位置的数据解析为应用数据和控制信息；认证控制信息；以及将应用数据传送到调用应用程序。

根据本发明的实施例，本发明还提供了一种系统，用于使得在安全计算环境内运行的应用程序在查询不安全的数据存储设备(例如数据库或文件系统)的过程中检测和防止回放攻击。所述系统扩展了写操作以包括：接收用于将被写到分层树结构内的应用数据的写指令的装置；响应接收到该写指令递增计时器，将时间戳设置为该计时器的值的装置；基于接收到的应用数据计算消息认证码，将控制信息附加到应用数据的装置，所述控制信息包括所述时间戳和所述消息认证码；将带有附加控制信息的应用数据作为主项目写到不安全的数据存储设备的装置；以及通过跟随链接，沿着从主项目到根的路径，更新与所述主项目相关联的每个检查项目的控制信息的装置。

根据另一个实施例，一种计算机程序产品包括用于执行上述方法的指令。

附图说明

图1示出了安全计算环境和数据存储设备的高层结构。

图2示出了保护不受回放攻击的抽象视图。

图3示出了项目和检查树的详细结构。

图4示出了作为统一建模语言(UML)中的类图的项目和链接的数据结构。

图5示出了将主项目写到数据存储设备内以及更新检查树内的控制信息的详细流程。

图6示出了从数据存储设备内读取主项目和检查检查树内的控制信息的详细流程。

图7示出了用于保持安全计算环境内的某些项目的图1的另一种替代。

图8示出了带有忽略的安全计算环境内的检查条目的图7的另一种替代。

图9示出了用于根据要求计算到检查条目的链接的等式。

图10示出了来自多个安全计算环境的对单个数据存储设备或多个数据存储设备的共享使用。