專利名稱:一種安全計算機的用戶數(shù)據(jù)保護方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,尤其涉及一種安全計算機的用戶數(shù)據(jù)保護方>法。
背景技術(shù):
目前,計算機技術(shù)不斷發(fā)展,隨之而來的信息安全問題已經(jīng)引起人們越來 越廣泛的關(guān)注。作為信息的載體,計算機面臨的信息安全問題多種多樣,例如,
有來自網(wǎng)絡的黑客攻擊、病毒入侵、拒絕服務等等帶來信息安全威脅;也有來 自計算機管理上的漏洞和計算機使用權(quán)限控制的強度不夠造成的信息丟失;還 有高機密信息的存儲設(shè)備的管理所帶來的安全隱患。
隨著可信計算技術(shù)的日趨成熟、高強度生物識別技術(shù)的普及、連接底層硬 件設(shè)備、統(tǒng)一可擴展固件接口 (Unified Extensible Firmware Interface, UEFI) 技術(shù)的不斷完善和可信平臺模塊(Trusted Platform Module, TPM)的普及應用, 各個國家都致力于利用高安全的計算機設(shè)備來解決現(xiàn)在面臨的信息安全問題, 越來越多的安全計算機相繼被研發(fā)出來。
然而,在用戶重要數(shù)據(jù)信息存儲空間的管理上,現(xiàn)有技術(shù)仍然存在著如下 問題用戶重要數(shù)據(jù)信息的存儲空間沒有設(shè)置權(quán)限,導致這部分空間的信息很 容易被黑客盜取并破譯,或者,即使對存儲空間設(shè)置了一定的權(quán)限,但是在訪 問這個安全存儲空間和調(diào)用其中的用戶重要數(shù)據(jù)信息時,還是通過正常的指令 去操作完成。因此,很多黑客攔截軟件就有可能攔截這些指令,通過發(fā)送一些 偽指令,從而控制這個存儲空間,獲得其中用戶重要數(shù)據(jù)信息。
發(fā)明內(nèi)容
5本發(fā)明實施例的目的在于提供一種安全計算機的用戶數(shù)據(jù)保護方法,旨在 解決現(xiàn)有技術(shù)中訪問安全存儲空間和調(diào)用其中的用戶邀:據(jù)信息所采用的指令容 易被黑客軟件攔截,從而控制該安全存儲空間,獲得用戶數(shù)據(jù)信息的問題。
本發(fā)明實施例是這樣實現(xiàn)的, 一種安全計算機的用戶數(shù)據(jù)保護方法,所述
方法包括下述步驟
建立安全存儲空間,控制所述安全存儲空間的訪問權(quán)限;
對與所述安全存儲空間相關(guān)的指令加密,并在指令的接收端對指令進行認
證處理和解密。
本發(fā)明實施例的另一目的在于提供一種安全計算機的用戶數(shù)據(jù)保護系統(tǒng), 所述系統(tǒng)包括
硬盤管理系統(tǒng)^t塊,至少包括一個加解密單元,用于創(chuàng)建安全存儲空間, 并對與所述安全存儲空間相關(guān)的指令進行加密和解密。
統(tǒng)一可擴展固件接口模塊,接收用戶輸入的信息,發(fā)送和接收與所述安全 存儲空間相關(guān)的指令,獲取所述安全存儲空間的訪問權(quán)限;
可信平臺模塊,用于對與所述安全存儲空間相關(guān)的指令的密鑰進行加密或 解密,發(fā)送可信授權(quán)證書至硬盤管理系統(tǒng);
本發(fā)明通過對發(fā)送的指令和硬盤安全存儲空間的用戶重要數(shù)據(jù)信息多次加 解密,在指令的發(fā)送和接收方之間通過發(fā)放可信授權(quán)證書進行合法性認證,有 效地避免了黑客攔截軟件攔截所發(fā)送的指令,從而保證用戶重要數(shù)據(jù)信息的安 全。
圖l是本發(fā)明提供的安全計算機的用戶數(shù)據(jù)信息保護方法實現(xiàn)流程; 圖2是本發(fā)明提供的一種數(shù)據(jù)信息加解密方法實現(xiàn)流程; 圖3是本發(fā)明第一實施例提供的一種訪問安全存儲空間的方法實現(xiàn)流程; 圖4是本發(fā)明第二實施例提供的一種調(diào)用安全存儲空間中用戶身份認證信息方法流禾呈;
圖5示出了本發(fā)明第一實施例提供的安全計算機用戶數(shù)據(jù)保護系統(tǒng)的結(jié).
構(gòu);
圖6示出了本發(fā)明第二實施例提供的安全計算機用戶數(shù)據(jù)保護系統(tǒng)的結(jié)構(gòu)。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實 施例,對本發(fā)明進行進一步詳細說明。應當理解,此處所描述的具體實施例^又 僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
本發(fā)明通過對發(fā)送的指令和硬盤安全存儲空間的用戶重要數(shù)據(jù)信息多次加 解密,在指令的發(fā)送和接收方之間通過發(fā)放可信授權(quán)證書進行合法性認證,有 效地避免了黑客攔截軟件攔截所發(fā)送的指令,從而保證用戶重要數(shù)據(jù)信息的安 全。
圖1給出了本發(fā)明實施例提供的安全計算機的用戶重要數(shù)據(jù)信息保護方法
實現(xiàn)流禾呈。詳述如下
在步驟S101中,建立安全存儲空間。
安全計算機中用戶的口令信息、用戶指紋信息、合用戶ID、安全日志和管 理員口令信息等等被稱為用戶重要數(shù)據(jù)信息。用戶重要數(shù)據(jù)信息數(shù)據(jù)量一般較 小,占據(jù)的存儲空間不大,但這部分信息一旦被非法用戶(譬如,黑客)獲取, 會造成巨大的損失,所以這類數(shù)據(jù)信息本身需要加密,而且存儲這些信息的裝 置也應該設(shè)置一定的訪問權(quán)限,建立安全存儲空間,防止非法訪問。
用戶重要數(shù)據(jù)信息中的某些信息(譬如,用戶身份人證信息)可以直接存 放在身份認證設(shè)備中,也可以存放在外部USB存儲設(shè)備,或者直接存入硬盤以 及其他非易失性存儲設(shè)備,但這些設(shè)備要么容量比較小,不能存儲太多的用戶 重要數(shù)據(jù)信息,要么存在安全隱患,容易被黑客軟件攻擊。作為本發(fā)明的一個實施例,硬盤初始化(出廠)的時候,在硬盤中辟出一 '塊空間,創(chuàng)建一個硬盤保護分區(qū),用于存^>上述用戶重要數(shù)據(jù)信息。由于工藝 的成熟,現(xiàn)在的硬盤容量已經(jīng)足夠大,相應地,保護分區(qū)的容量也可以做到充 分大,而且,硬盤保護分區(qū)與硬盤其余空間絕對隔離,現(xiàn)有的硬盤分區(qū)工具、
磁盤管理工具都不能訪問這部分的空間,只能通過底層UEFI才可以對它進行 操作。因此,硬盤保護分區(qū)設(shè)置一定的訪問權(quán)限后成為安全存儲空間,能夠安 全地存儲更多的用戶重要數(shù)據(jù)信息。
在步驟S102中,對訪問指令和調(diào)用指令進行加密,在指令的接收端進行合 法性認證和解密,開;^文安全存儲空間的訪問權(quán)限。
在本發(fā)明的實施例中,安全計算機的硬盤上內(nèi)嵌一個硬盤管理系統(tǒng),該硬 盤管理系統(tǒng)可以視為一個微機系統(tǒng),其CPU、內(nèi)存可以在UEFI架構(gòu)下不依賴 于安全計算機主板上的CPU、內(nèi)存而進行獨立運算。硬盤管理系統(tǒng)負責建立硬 盤用戶分區(qū),隔離各個硬盤用戶分區(qū)中的數(shù)據(jù),并對各個硬盤用戶分區(qū)中的數(shù) 據(jù)或硬盤保護分區(qū)的用戶重要數(shù)據(jù)信息加密。在對硬盤無護分區(qū)訪問時,UEFI 向硬盤管理系統(tǒng)和TPM發(fā)送特殊的訪問指令。在發(fā)送之前,對指令的明文進行 一次加密得到密鑰,同時對所得密鑰再進^"多次加密。
在本發(fā)明實施例中,訪問指令可以由圖2示出的一種數(shù)據(jù)信息加解密方法 進行加密和解密處理。在圖2中,數(shù)據(jù)信息代表但不局限于訪問指令(例如, 可以是本發(fā)明實施例中的調(diào)用指令或關(guān)閉指令)和硬盤保護分區(qū)的用戶重要數(shù) 據(jù)信息,存儲根密鑰(Storage Root Key , SRK)是一對非對稱密鑰,公鑰用于 加密下一級存儲密鑰,私鑰用于解密經(jīng)過7>鑰加密的下一級存儲密鑰,SRK始 終存儲在TPM內(nèi)部,從不泄露于TPM之外。以SRK所在的位置為對稱軸,對 稱軸左邊為數(shù)據(jù)信息的加密過程,右邊為數(shù)據(jù)信息的解密過程。
數(shù)據(jù)信息被加密軟件經(jīng)過第一次加密后,得到一次密鑰; 一次密鑰經(jīng)過第 二次加密,得到二次密鑰。依此類推,數(shù)據(jù)信息經(jīng)過多次加密后,得到的n-l(n 》1)次密鑰是SRK的下一級存儲密鑰。n-l次密鑰經(jīng)過SRK的公鑰加密后,得到n次密鑰。在上述加密過程中,第一次對數(shù)據(jù)信息明文加密時可以在TPM內(nèi) 部進行,也可以在TPM外部進行,而且,可以根據(jù)加密所需要的強度,選取合 適的加密軟件(或硬盤管理系統(tǒng)的加密/解密單元)執(zhí)行加密過程,并不要求一 定用TPM的SRK加密。除第一次加密外,此后的各次加密都由加密軟件或TPM 的SRK在TPM內(nèi)部進行,由此避免了每一次加密后密鑰的明文信息在TPM外 部出現(xiàn)。
解密數(shù)據(jù)信息是數(shù)據(jù)信息加密的逆過程。首先,利用SRK的私鑰對經(jīng)過其 公鑰加密得到的n次密鑰在TPM內(nèi)部進行解密,得到n-l(n〉l)次密鑰,并將 密鑰傳送給下一級解密系統(tǒng)或解密軟件,這樣,數(shù)據(jù)信息的密鑰經(jīng)過逐級傳送 并逐級解密最終得到數(shù)據(jù)信息的明文。除最后一次對一次密鑰解密可以由解密 軟件在TPM外部進行之外,此前的各次解密都由解密軟件或TPM的SRK在 TPM內(nèi)部進行,由此避免了每一次解密后密鑰的明文信息在TPM外部出現(xiàn)。
在數(shù)據(jù)信息的密鑰逐級傳送過程中,同時發(fā)送可信授權(quán)證書作為一種防偽 標簽,以保證密鑰的真實性。
在上述數(shù)據(jù)信息加解密方法中,所有的密鑰和數(shù)據(jù)信息組織成"樹"的結(jié) 構(gòu),樹的根部為SRK。數(shù)據(jù)信息在發(fā)送途中,即使被黑客軟件非法攔截,由于 SRK始終存儲在TPM內(nèi)部并且不對外泄露,攻擊者無法獲得SRK的私鑰,因 此無法破解由SRK加密的下一級存儲密鑰,也無法破解由存儲密鑰加密的下級 密鑰。同時,所有相關(guān)的密鑰加解密操作全部在TPM內(nèi)部完成,避免了密鑰的 明文信息在TPM外部出現(xiàn)。由于SRK的公鑰只負責加密下一級存儲密鑰,而 SRK的私鑰只負責解密經(jīng)過公鑰加密的下一級存儲密鑰,因此,這種方案實現(xiàn) 了對多個密鑰(包括數(shù)據(jù)信息)的管理轉(zhuǎn)化為對一個密鑰的管理,SRK不被 破解,整棵樹就是安全的。
當TPM偵測到非法用戶的物理探測時,則會燒毀相關(guān)電路,損壞用戶的一 般數(shù)據(jù)信息,保全用戶重要數(shù)據(jù)信息,這種防物理探測功能也是一種保護用戶 重要數(shù)據(jù)信息的"硬"方法。作為本發(fā)明提供的實施例,訪問指令經(jīng)過加密軟件或硬盤管理系統(tǒng)的加密 單元在TPM外部< 當然也可能是在內(nèi)部)進行加密后得到訪問指令的 一次密鑰,
該一次密鑰經(jīng)過SRK的公鑰在TPM內(nèi)部進行第二次加密,得到訪問指令的二 次密鑰,并將該二次密鑰存儲于TPM內(nèi)部。
當用戶需要訪問安全存儲空間時,UEFI向硬盤管理系統(tǒng)和TPM發(fā)送訪問 指令。硬盤管理系統(tǒng)接收到該訪問指令后,等待從TPM發(fā)送過來的一次密鑰對 該訪問指令進行解密操作。在TPM內(nèi)部,TPM對UEFI發(fā)送的指令進行完整 性和可信性校驗,以認證指令是一條合法指令,并利用與SRK的公鑰配對的私 鑰對訪問指令的二次密鑰進行解密,得到訪問指令的一次密鑰后,連同可信授 權(quán)證書發(fā)送到硬盤管理系統(tǒng)。硬盤管理系統(tǒng)收到訪問指令的一次密鑰和對應的 可信授權(quán)證書后,利用一次密鑰解密訪問指令,然后執(zhí)行,開放安全存儲空間 的訪問4又限。
安全存儲空間的訪問權(quán)限開放后,UEFI便可以發(fā)送調(diào)用指令調(diào)用其中存儲 的用戶重要數(shù)據(jù)信息。調(diào)用指令的加解密以及認證處理與上述訪問指令完全相 同,不再贅述。
在步驟S103中,發(fā)送關(guān)閉指令,指示關(guān)閉所述安全存儲空間。
調(diào)用安全存儲空間存儲的用戶重要數(shù)據(jù)信息完成之后,UEFI發(fā)送關(guān)閉指 令,將安全存儲空間關(guān)閉,使其重新處于受權(quán)限控制的狀態(tài)。
上述關(guān)閉指令過程與步驟S102發(fā)送訪問指令的過程類似,指令的發(fā)送方和 接收方不變,指令和安全存儲空間中的用戶重要數(shù)據(jù)信息的加解密同樣采用的 是圖2提供的數(shù)據(jù)信息加解密方法,不再贅述。
在圖1所示的安全計算機的用戶重要數(shù)據(jù)信息保護方法中,通過加密的訪 問指令、調(diào)用指令和關(guān)閉指令控制安全存儲空間的訪問權(quán)限。其中,訪問指令、 調(diào)用指令和關(guān)閉指令經(jīng)過圖2所示的數(shù)據(jù)信息加解密方法加密后,由于SRK存 儲在TPM內(nèi)部,即使在傳輸過程中被黑客軟件非法攔截,攻擊者無法獲得SRK 的私鑰,因此無法破解由SRK加密的下一級存儲密鑰,也無法破解由存儲密鑰
10加密的下級密鑰。
圖3是本發(fā)明第一實施例提供的一種訪問安全存儲空間的方法實現(xiàn)流程。
詳述如下
在步驟S301中,確認訪問的分區(qū)為硬盤保護分區(qū)。
作為本發(fā)明一個實施例,硬盤初始化(出廠)的時候,在硬盤中辟出一塊 空間,創(chuàng)建一個硬盤保護分區(qū)和若干用戶分區(qū),硬盤保護分區(qū)用于存儲各用戶 的重要數(shù)據(jù)信息(譬如,用戶的口令信息、用'戶指紋信息、用戶ID、安全日志 和管理員口令信息等等)。硬盤保護分區(qū)的訪問權(quán)限受硬盤管理系統(tǒng)控制,形成 安全存儲空間。
計算機啟動,UEFI初始化程序在系統(tǒng)開機的時候最先得到執(zhí)行,負責最 初的CPU、北橋、南橋及存儲器的初始化工作。當這部分設(shè)備就緒后,UEFI 緊接著載入UEFI驅(qū)動執(zhí)行環(huán)境(Driver execution Environment , DXE )。當 DXE被載入時,系統(tǒng)加載硬件設(shè)備的UEFI驅(qū)動程序。
UEFI完成硬盤的初始化,確認訪問的分區(qū)為硬盤保護分區(qū),這個過程雷要 當前用戶進行操作才能觸發(fā),而不是由硬盤自行判斷。
在步驟S302中,發(fā)送訪問指令。
在本發(fā)明的實施例中,硬盤保護分區(qū)的訪問權(quán)限受硬盤管理系統(tǒng)的控制。 在訪問硬盤保護分區(qū)時,UEFI將經(jīng)過如圖2所示的數(shù)據(jù)信息加密方法加密了的 訪問指令同時發(fā)送給硬盤管理系統(tǒng)和TPM。
在步驟S303中,才企驗訪問指令的完整性與可信性。
TPM在接收到UEFI發(fā)送的訪問指令后,首先檢驗訪問指令的完整性與可 信性,證明接收到的指令不是一條偽造的攻擊型指令,確保TPM的安全。具體 實現(xiàn)的方式指令在解密前,先通過SHA-1算法對指令進行一次哈希運算,生 成一個哈希值。由于初始化機器的時候,在TPM中已經(jīng)存放了一批特殊指令集 的指令的哈希值,所以,只要將生成的哈希值與存放在TPM中對應指令的哈希 值進行對比即可辨別指令的真?zhèn)?。如果兩個哈希值一致,則可以執(zhí)行解密動作,
ii否則,屏蔽該條指令,不執(zhí)行解密動作。
在步驟S304中,將硬盤保護分區(qū)置于保護狀態(tài)。
本步驟是在證明步驟S303中接收到的指令是偽指令后執(zhí)行的動作,即,使 硬盤保護分區(qū)仍然處于關(guān)閉的被保護狀態(tài),
在步驟S305中,解密訪問指令的二次密鑰,發(fā)送訪問指令的一次密鑰和可 信授權(quán)證書。
TPM對訪問指令進行完整性與可信性沖企驗后,如果訪問指令完整可信,則 解密訪問指令的二次密鑰(如果訪問指令經(jīng)過了兩次以上的加密,則TPM解密 的是最后一次加密的密鑰),.解密方法與圖2所示的lt據(jù)信息解密方法一樣,不 再贅述。
TPM對訪問指令的二次密鑰解密完畢,得到訪問指令的一次密鑰,通過 UEFI,連同可信授權(quán)證書發(fā)送至硬盤管理系統(tǒng)??尚攀跈?quán)證書作為一種防偽標 簽,必須與訪問指令的一次密鑰一起發(fā)送,以確保密鑰的真實性。
在步驟S306中,解密訪問指令的一次密鑰,開放硬盤保護分區(qū)的訪問權(quán)限。 硬盤管理系統(tǒng)接收到TPM發(fā)送的訪問指令的一次密鑰和可信授權(quán)證書后, 對訪問指令進行解密,并執(zhí)行指令,開放硬盤保護分區(qū)的訪問權(quán)限。如果訪問 指令經(jīng)過多次加密,硬盤管理系統(tǒng)需要對訪問指令進行多次的解密才能得到訪 問指令的明文信息。訪問指令的解密過程與圖2所示的數(shù)據(jù)信息解密方法一樣, 不再贅述。
在步驟S307中,調(diào)用硬盤保護分區(qū)當前用戶重要數(shù)據(jù)信息。
硬盤保護分區(qū)訪問權(quán)限開放后,UEFI通過發(fā)送調(diào)用指令來調(diào)用硬盤保護分 區(qū)當前用戶重要數(shù)據(jù)信息。對該調(diào)用指令的發(fā)送和解密等相關(guān)操作與步驟S302 至步驟S306中對訪問指令的相關(guān)操作一樣,而當前用戶重要數(shù)據(jù)信息的加密過 程也與圖2所示的數(shù)據(jù)信息加密方法相同,不再贅述。
在步驟S308中,發(fā)送關(guān)閉指令,關(guān)閉硬盤保護分區(qū)。
當前用戶重要數(shù)據(jù)信息調(diào)用完成之后,UEFI發(fā)送關(guān)閉指令,關(guān)閉硬盤保護分區(qū),使其重新回到訪問權(quán)限受硬盤管理系統(tǒng)控制的狀態(tài)并結(jié)束上述過程。對
.該關(guān)閉指令的發(fā)送和解密等相關(guān)操作與步膝S302至步驟S306中對訪問指令的 相關(guān)操作一樣,不再贅述。
上述從確定訪問保護分區(qū)至關(guān)閉硬盤保護分區(qū)之間的每一步驟單獨執(zhí)行或 若干步驟關(guān)聯(lián)執(zhí)行都依賴于硬盤管理系統(tǒng)與TPM的交互。在交互過程中,硬盤 管理系統(tǒng)需要得到TPM的可信授權(quán)證書后才能執(zhí)行相關(guān)操作,最終執(zhí)行指令, 從而保證整個交互過程的相互可信和用戶重要數(shù)據(jù)信息的存儲安全。
圖4是本發(fā)明第二實施例提供的一種調(diào)用安全存儲空間中用戶身份認證信 息方法流程。詳述如下
在步驟S401中,確認訪問的分區(qū)為用戶分區(qū)。
作為本發(fā)明一個實施例,硬盤初始化(出廠)的時候,在硬盤中辟出一塊 空間,創(chuàng)建一個硬盤保護分區(qū)和若干用戶分區(qū),硬盤保護分區(qū)用于存儲各用戶 的重要數(shù)據(jù)信息(譬如,用戶的身份認證信息、用戶分區(qū)列表信息、安全員口 令信息、日志信息和UEFI調(diào)用的重要數(shù)據(jù)庫等等)。硬盤保護分區(qū)的訪問權(quán)限 受硬盤管理系統(tǒng)控制,形成安全存儲空間。
計算機啟動,UEFI初始化程序在系統(tǒng)開機的時候最先得到執(zhí)行,負責最 初的CPU、北橋、南橋及存儲器的初始化工作。當這部分設(shè)備就緒后,UEFI 緊接著載入UEFI驅(qū)動執(zhí)行環(huán)境(Driver execution Environment , DXE )。當 DXE被載入時,系統(tǒng)加載硬件設(shè)備的UEFI驅(qū)動程序。
UEFI完成硬盤的初始化,確認訪問的分區(qū)為用戶分區(qū),這個過程需要當前 用戶進行操作才能觸發(fā),而不是由硬盤自行判斷。
在步驟.S402中,發(fā)送當前用戶身份認證信息至校驗系統(tǒng)。
如果當前用戶訪問的硬盤區(qū)域是硬盤的用戶分區(qū),則需要對當前用戶進行 身份認證(密碼或指紋身份認證等)。系統(tǒng)首先提示用戶輸入用戶的口令或指紋 等身份認證信息。UEFI在接收到這些信息后,將這些信息發(fā)送至校驗系統(tǒng)暫時 存儲并等待,以便與從硬盤保護區(qū)取得的當前用戶身份認證信息比較。在步驟S403中,發(fā)送訪問指令。
在訪問硬盤用戶分區(qū)之前,必須調(diào)用硬盤保護分區(qū)中的當前用戶身份認證 信息進行身份認證。在本發(fā)明的實施例中,硬盤保護分區(qū)權(quán)限受硬盤管理系統(tǒng)
的控制。在訪問硬盤保護分區(qū)時,UEFI將經(jīng)過如圖2所示的數(shù)據(jù)信息加密方法 加密了的訪問指令同時發(fā)送給硬盤管理系統(tǒng)和TPM。 在步驟S404中,4企驗訪問指令的完整性與可信性。
TPM在接收到UEFI發(fā)送的訪問指令后,首先4t驗訪問指令的完整性與可 信性,證明接收到的指令不是一條偽造的攻擊型指令,確保TPM的安全。具體 實現(xiàn)的方式指令在解密前,先通過SHA-1算法對指令進行一次哈希運算,生 成一個哈希值。由于初始化機器的時候,在TPM中已經(jīng)存放了一批特殊指令集 的指令的哈希值,所以,只要將生成的哈希值與存放在TPM中對應指令的哈希 值進行對比即可辨別指令的真?zhèn)巍H绻麅蓚€哈希值一致,則可以執(zhí)行解密動作, 否則,屏蔽該條指令,不執(zhí)行解密動作。
在步驟S405中,將硬盤保護分區(qū)置于保護狀態(tài)。
本步驟是在證明步驟S404中接收到的指令是偽指令后執(zhí)行的動作,即,使 硬盤保護分區(qū)仍然處于關(guān)閉的^皮保護狀態(tài),
在步驟S406中,解密訪問指令的二次密鑰,發(fā)送訪問指令的一次密鑰和可 信授權(quán)證書。
TPM對訪問指令進行完整性與可信性檢驗后,如果訪問指令完整可信,則 解密訪問指令的二次密鑰(如果訪問指令經(jīng)過了兩次以上的加密,則TPM解密 的是最后一次加密的密鑰),解密方法與圖2所示的數(shù)據(jù)信息解密方法一樣,不 再贅述。
TPM對訪問指令的二次密鑰解密完畢,得到訪問指令的一次密鑰,通過 UEFI,連同可信授:權(quán)證書發(fā)送至硬盤管理系統(tǒng)??尚攀跈?quán)證書作為一種防偽標 簽,必須與訪問指令的一次密鑰一起發(fā)送,以確保密鑰的真實性。
在步驟S407中,解密訪問指令的一次密鑰,開放硬盤保護分區(qū)的訪問權(quán)限。硬盤管理系統(tǒng)*接收到TPM發(fā)送的訪問指令的一次密鑰和可信授權(quán)證書后, 對訪問指令進行解密,并執(zhí)行指令,開放硬盤保護分區(qū)的訪問權(quán)限。如果訪問 指令經(jīng)過多次加密,硬盤管理系統(tǒng)需要對訪問指令進行多次的解密才能得到訪 問指令的明文信息。訪問指令的解密過程與圖2所示的凝:據(jù)信息解密方法一樣, 不再贅述。
在步驟S408中,調(diào)用硬盤保護分區(qū)當前用戶身份"i人i正信息。 硬盤保護分區(qū)訪問權(quán)限開放后,UEFI通過發(fā)送調(diào)用指令,調(diào)用硬盤保護分 區(qū)存儲的當前用戶身份認證信息(如密碼或指紋身份認證信息等)。對該調(diào)用 指令的發(fā)送和解密等相關(guān)操作與步驟S403至步驟S407中對訪,指令的相關(guān)操 作一樣,不再贅述。
在步驟S409中,發(fā)送關(guān)閉指令,關(guān)閉硬盤保護分區(qū)。
調(diào)用硬盤保護分區(qū)存儲的當前用戶身份認證信息完成,UEFI發(fā)送關(guān)閉指 令,關(guān)閉硬盤保護分區(qū),使其重新回到訪問權(quán)限受硬盤管理系統(tǒng)控制的狀態(tài)。 對該關(guān)閉指令的發(fā)送和解密等相關(guān)操作與步驟S403至步驟S407中對訪問指令 的相關(guān)操作一樣,不再贅述。
在步驟S410中,解密當前用戶認證信息,發(fā)送至校驗系統(tǒng)。
在本發(fā)明的實施例中,所有用戶重要數(shù)據(jù)信息都經(jīng)過加密(加密方法與圖 2所示的數(shù)據(jù)信息加密方法相同)處理。因此,需要對步驟S408中從硬盤保護 分區(qū)調(diào)用出來的當前用戶身份認證信息解密,具體解密過程與圖2所示的數(shù)據(jù) 信息解密方法相同。解密完畢后,硬盤管理系統(tǒng)將當前用戶的身份認證信息明 文發(fā)送至校驗'系統(tǒng)。
在步驟S411中,對當前用戶的身份進行認證。
校驗系統(tǒng)接收到硬盤管理系統(tǒng)發(fā)送的當前用戶的身份認證信息明文后,與 當前用戶輸入的身份認證信息對比。如果兩者一致,則轉(zhuǎn)入步驟S413處理;否 則,進入步驟S412。
在步驟S412,當前用戶i人證失敗,系統(tǒng)4是示重新輸入。
15如果硬盤管理系統(tǒng)發(fā)送的當前用戶的身^f分認證信息明文與當前用戶輸入的 身份認證信息不一致,校驗系統(tǒng)判定認證失敗,系統(tǒng)提示重新輸入當前用戶的 身份認證信息。
在用戶的身份認證過程中,由于TPM的防字典攻擊功能,當TPM偵測到 非法用戶輸入的錯誤身份認證信息達到一定的次數(shù)后,會對TPM鎖定一段時間 (每次鎖定的時間為前一次的2倍),直到輸入正確的身份認證信息或鎖定的 時間結(jié)束之后,TPM才可以繼續(xù)使用。因此,合法用戶可以事先設(shè)置其身份認 證信息認證的錯誤次數(shù),這樣,非法用戶的嘗試受到限制,破解難度大大增加。
在步驟S413中,開放硬盤用戶分區(qū)訪問權(quán)限,正常訪問用戶分區(qū)。
如果當前用戶身份認證信息認證通過,硬盤管理系統(tǒng)開放當前用戶的硬盤 用戶分區(qū)訪問權(quán)限給UEFI, UEFI便可以通過正常的高級技術(shù)附件(Advanced Technology Attachment, ATA)指令完成對硬盤的操作。
上述用戶身份認證信息調(diào)用方法的每一步驟單獨執(zhí)行或若干步驟關(guān)聯(lián)執(zhí)行 都依賴于硬盤管理系統(tǒng)與TPM的交互。在交互過程中,硬盤管理系統(tǒng)需要得到 TPM的可信授權(quán)證書后才能執(zhí)行相關(guān)操作,最終執(zhí)行指令,從而保證整個交互 過程的相互可信和用戶重要數(shù)據(jù)信息的存儲安全。
圖5是本發(fā)明第一實施例提供的安全計算機用戶數(shù)據(jù)保護系統(tǒng)的結(jié)構(gòu),為 了便于說明,僅示出了與本發(fā)明相關(guān)的部分。
統(tǒng)一可擴展固件接口模塊502連接上層操作系統(tǒng)和計算才;u更件,負責系統(tǒng) 的初始化。當用戶需要硬盤保護分區(qū)5042時,統(tǒng)一可擴展固件接口模塊502 發(fā)送訪問指令至可信平臺模塊501和硬盤管理系統(tǒng)模塊503??尚牌脚_模塊501 對訪問指令的密鑰進行解密,并將解密所得密鑰連同密鑰對應的授權(quán)證書發(fā)送 至硬盤管理系統(tǒng)模塊503。
硬盤管理系統(tǒng)才莫塊503至少包含一個加解密單元/才交驗單元,該單元可以對 整個硬盤的數(shù)據(jù)或保護分區(qū)存儲的用戶重要數(shù)據(jù)進行加密和解密以及對身份認 證信息校驗。硬盤管理系統(tǒng)模塊503荻得授權(quán),則利用可信平臺模塊501發(fā)送的密鑰對訪問指令進行解密。
訪問指令解密后,硬盤管理系,統(tǒng)模塊503執(zhí)行訪問指令,開放硬盤保護分.
區(qū)5041的訪問權(quán)限給統(tǒng)一可擴展固件接口模塊502。如果統(tǒng)一可擴展固件接口 模塊502調(diào)用的用戶重要數(shù)據(jù)信息并非用戶的身份認證信息,則調(diào)用成功后, 將調(diào)用的用戶重要數(shù)據(jù)信息返回至才乘作系統(tǒng),供當前用戶使用。
調(diào)用硬盤保護分區(qū)5041存儲的用戶重要數(shù)據(jù)信息工作完成之后,統(tǒng)一可擴 展固件接口模塊502發(fā)送關(guān)閉指令給硬盤管理系統(tǒng)模塊503,指示硬盤管理系 統(tǒng)模塊503關(guān)閉硬盤保護分區(qū)5041,硬盤保護分區(qū)5041重新回到被保護的狀 態(tài)。
上述指令和硬盤保護分區(qū)存儲的用戶重要數(shù)據(jù)信息經(jīng)過加密處理,在接收 指令的目標模塊經(jīng)過解密處理,加密和解密的具體過程已經(jīng)在前文詳細敘述, 不再贅述。
圖6是本發(fā)明第二實施例提供的安全計算機用戶數(shù)據(jù)保護系統(tǒng)的結(jié)構(gòu),為 了便于說明,僅示出了與本發(fā)明相關(guān)的部分。
統(tǒng)一可擴展固件接口模塊601連接上層操作系統(tǒng)和計算機硬件,除負責系 統(tǒng)的初始化工作之外,還接收當前用戶輸入的身份iU正信息并發(fā)送至校驗系統(tǒng) 模塊605暫存。當用戶需要訪問硬盤用戶分區(qū)6042或硬盤保護分區(qū)6041時, 統(tǒng)一可擴展固件接口模塊602發(fā)送訪問指令至可信平臺模塊601和硬盤管理系 統(tǒng)模塊603??尚牌脚_模塊601對訪問指令的密鑰進行解密,并將解密所得密 鑰連同密鑰對應的授權(quán)證書發(fā)送至硬盤管理系統(tǒng)模塊603。
硬盤管理系統(tǒng)模塊603至少包含一個加解密單元,該單元可以對整個硬盤 的數(shù)據(jù)或保護分區(qū)存儲的用戶重要數(shù)據(jù)進行加密和解密。硬盤管理系統(tǒng)模塊 603獲得授權(quán),則利用可信平臺模塊601發(fā)送的密鑰對訪問指令進行解密。
訪問指令解密后,硬盤管理系統(tǒng)模塊603執(zhí)行訪問指令,開放硬盤保護分 區(qū)6041的訪問權(quán)限給統(tǒng)一可擴展固件接口模塊602。統(tǒng)一可擴展固件接口模塊 602調(diào)用硬盤保護分區(qū)6041存儲的當前用戶身份認證信息。當前用戶的身份認
17證信息被成功調(diào)用之后,統(tǒng)一可擴展固件接口模塊602將該身份認證信息發(fā)送
至校驗系統(tǒng)模塊605。校驗系統(tǒng)模塊605將收到的身份認證信息與當前用戶輸
入并暫存其中的身份認證信息對比,如果兩者一致,則硬盤管理系統(tǒng)模塊603
將硬盤當前用戶分區(qū)6042 (用戶分區(qū)一或用戶分區(qū)二等等)的訪問權(quán)限開放給
統(tǒng)一可擴展固件接口模塊602,統(tǒng)一可擴展固件接口才莫塊602便可通過正常的
ATA指令完成對硬盤604的操作。
調(diào)用硬盤保護分區(qū)6041存儲的用戶重要數(shù)據(jù)信息工作完成之后,統(tǒng)一可擴
展固件接口模塊602發(fā)送關(guān)閉指令給硬盤管理系統(tǒng)模塊603,指示硬盤管理系
統(tǒng)模塊603關(guān)閉硬盤保護分區(qū)6041,硬盤保護分區(qū)6041重新回到被保護的狀 太
'C o
上述指令和用戶重要數(shù)據(jù)信息經(jīng)過加密處理,在接收指令的目標模塊經(jīng)過 解密處理,加解密的具體過程已經(jīng)在前文詳細敘述,不再贅述。
本發(fā)明通過對用戶重要數(shù)據(jù)信息和與訪問安全存儲空間相關(guān)的指令多次加
密,并利用SRK的私鑰對多次加密后的指令的密鑰再次加密,提高了指令加密 的加密強度。在指令的發(fā)送和接收方之間通過發(fā)放可信授權(quán)證書進行合法性認 證,有效地避免了黑客攔截軟件攔截所發(fā)送的指令并獲取安全存儲空間的用戶 重要數(shù)據(jù)信息。將SRK始終存放在可信平臺模塊內(nèi)部以及可信平臺模塊自身的 防字典攻擊和防物理探測功能,也保證了以SRK為根的整棵密鑰"樹"的安全。 以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā) 明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應包含在本發(fā)明 的保護范圍之內(nèi)。
權(quán)利要求
1、一種安全計算機的用戶數(shù)據(jù)保護方法,其特征在于,所述方法包括下述步驟建立安全存儲空間,控制所述安全存儲空間的訪問權(quán)限;對與所述安全存儲空間相關(guān)的指令加密,并在指令的接收端對指令進行認證處理和解密。
2、 如權(quán)利要求l所述的方法,其特征在于,所述與所述安全存儲空間相關(guān) 的指令包括訪問指令、調(diào)用指令和關(guān)閉指令。
3、 如權(quán)利要求l所述的方法,其特征在于,所述訪問指令、調(diào)用指令或關(guān) 閉指令的加密以及解密具體包括對所述指令進行多次加密,得到指令的n-l次密鑰;使用非對稱密鑰的公鑰對所述指令的n-l次密鑰進行再次加密,得到n次 密鑰;以及使用非對稱密鑰的私鑰對所述n次密鑰進行一次解密,得到所述指令的n-l 次密鑰;對所述指令的n-l次密鑰進行多次解密,得到指令的明文信息。
4、 如權(quán)利要求3所述的方法,其特征在于,所述訪問指令用于開放所述安 全存儲空間的訪問權(quán)限,所述調(diào)用指令用于調(diào)用所述安全存儲空間中的用戶數(shù) 據(jù)信息,所述關(guān)閉指令用于關(guān)閉所述安全存儲空間的訪問權(quán)限。
5、 如權(quán)利要求4所述的方法,其特征在于,所述開放所述安全存儲空間的 訪問權(quán)限具體包括發(fā)送已經(jīng)被加密的訪問指令;檢驗所述訪問指令的完整性及可信性,若所述訪問指令不完整或不可信, 則安全存儲空間仍處于保護狀態(tài);否則,解密訪問指令的n次密鑰,發(fā)送指令的一次密鑰和可信授權(quán)證書; 解密指令的一次密鑰;執(zhí)行指令,開放安全存儲空間的訪問權(quán)限。
6、如權(quán)利要求4所述的方法,其特征在于,所述調(diào)用所述安全存儲空間中的用戶數(shù)據(jù)信息包括調(diào)用所述安全存儲空間中的用戶身份認證信息。
7、 如權(quán)利要求6所述的方法,其特征在于,所述調(diào)用所述安全存儲空間中 的用戶身份認證信息具體包括發(fā)送當前用戶i人證信息至校驗系統(tǒng); 發(fā)送已經(jīng)被加密的訪問指令;檢驗所述訪問指令的完整性及可信性,若所述訪問指令不完整或不可信, 則安全存儲空間仍處于保護狀態(tài);否則,解密訪問指令的n次密鑰,發(fā)送指令的一次密鑰和可信授權(quán)證書; 解密指令的一次密鑰;開放安全存儲空間權(quán)限,并調(diào)用所述安全存儲空間中的用戶身份認證信息。
8、 如權(quán)利要求l所述的方法,其特征在于,所述在指令的接收端對指令進 行認證處理具體包括檢測所述指令,確認指令的完整與可信。
9、 如權(quán)利要求4所述的方法,其特征在于,所述用戶數(shù)據(jù)信息經(jīng)it^口密, 加密過程具體包括對所述用戶數(shù)據(jù)信息進行多次加密,得到用戶數(shù)據(jù)信息的n-l次密鑰; 使用非對稱密鑰的公鑰對所述用戶數(shù)據(jù)信息的n-l次密鑰再次加密。
10、 一種安全計算機的用戶教據(jù)保護系統(tǒng),其特征在于,所述系統(tǒng)包括 硬盤管理系統(tǒng)模塊,至少包括一個加解密單元,用于創(chuàng)建安全存儲空間,并對與所述安全存儲空間相關(guān)的指令進行加密和解密。統(tǒng)一可擴展固件接口模塊,接收用戶輸入的信息,發(fā)送和接收與所述安全 存儲空間相關(guān)的指令,獲取所述安全存儲空間的訪問權(quán)限;可信平臺模塊,用于對與所述安全存儲空間相關(guān)的指令的密鑰進行加密或 解密,發(fā)送可信授權(quán)證書至硬盤管理系統(tǒng);
11、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括 校驗系統(tǒng)模塊,用于對所述用戶輸入的身份認證信息與安全存儲空間存儲的合法用戶身份認證信息進行對比,認證當前用戶的身份是否合法。
12、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述與所述安全存儲空間相 關(guān)的指令包括訪問指令、調(diào)用指令或關(guān)閉指令。
13、 如權(quán)利要求12所述的系統(tǒng),其特征在于,所述訪問指令用于開放所述 安全存儲空間的訪問權(quán)限,所述調(diào)用指令用于調(diào)用所述安全存儲空間存儲的用 戶重要數(shù)據(jù)信息,所述關(guān)閉指令用于關(guān)閉所述安全存儲空間的訪問權(quán)限。
14、 如權(quán)利要求13所述的系統(tǒng),其特征在于,所述安全存儲空間存儲的用 戶重要數(shù)據(jù)信息包括用戶身份認證信息和其他數(shù)據(jù)信息。
15、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述與所述安全存儲空間相 關(guān)的指令的密鑰使用非對稱密鑰算法再次進行加密。
16、 如權(quán)利要求IO所述的系統(tǒng),其特征在于,所述與所述安全存儲空間相 關(guān)的指令的密鑰經(jīng)解密后,連同可信授權(quán)證書一起發(fā)送至硬盤管理系統(tǒng)模塊。
全文摘要
本發(fā)明適用于信息安全領(lǐng)域,提供了一種安全計算機的用戶數(shù)據(jù)保護方法,所述方法包括下述步驟建立安全存儲空間,控制所述安全存儲空間的訪問權(quán)限;對與所述安全存儲空間相關(guān)的指令加密,并在指令的接收端對指令進行認證處理和解密。本發(fā)明通過對安全存儲空間的用戶數(shù)據(jù)信息和發(fā)送的指令多次加解密,在指令的發(fā)送和接收方之間通過發(fā)放可信授權(quán)證書進行合法性認證,有效地避免了黑客攔截軟件攔截所發(fā)送的指令,從而保證用戶數(shù)據(jù)信息的安全。
文檔編號G06F21/00GK101452514SQ20071012493
公開日2009年6月10日 申請日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者姚文澤, 靖 宋, 張擁軍, 林詩達, 明 石, 兵 賈 申請人:中國長城計算機深圳股份有限公司