專利名稱:一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息安全領(lǐng)域技術(shù),具體地說是ー種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法。
背景技術(shù):
隨著信息技術(shù)和網(wǎng)絡(luò)的發(fā)展,數(shù)據(jù)安全問題越來越受重視,特別是政府、企業(yè)的涉密信息系統(tǒng)承載著大量國家秘密和商業(yè)秘密,一般采取數(shù)據(jù)加密技術(shù)進(jìn)行重要數(shù)據(jù)保 護(hù)。虛擬磁盤技術(shù)通過在文件系統(tǒng)中建立容器文件,虛擬ー個(gè)操作系統(tǒng)可識(shí)別的磁盤,對磁盤的讀寫與硬盤操作無異,并通過加密技術(shù)將用戶數(shù)據(jù)密文存儲(chǔ)在容器文件中。虛擬磁盤方法保護(hù)數(shù)據(jù)方便快捷,在信息安全領(lǐng)域已經(jīng)得到了普遍應(yīng)用。對虛擬磁盤內(nèi)數(shù)據(jù)的加密保護(hù)方法有許多專利和實(shí)現(xiàn),然而虛擬磁盤本身的完整性保護(hù)方法未見實(shí)現(xiàn)。虛擬磁盤管理系統(tǒng)一般通過格式化一個(gè)具備boot sector (磁盤弓I導(dǎo)扇區(qū))文件頭結(jié)構(gòu)的容器文件作為虛擬磁盤載體,文件系統(tǒng)通過識(shí)別容器文件的boot sector可以加載虛擬磁盤,使用者將數(shù)據(jù)放入虛擬磁盤中以實(shí)現(xiàn)安全保護(hù)。一旦容器文件boot sector遭到破壞或者植入惡意代碼將會(huì)給虛擬磁盤的安全造成威脅,因此對容器文件boot sector的完整性保護(hù)是關(guān)鍵。傳統(tǒng)程序和數(shù)據(jù)的完整性驗(yàn)證往往通過公鑰密碼算法數(shù)字簽名的形式在軟件層完成完整性驗(yàn)證,這些方法仍具有諸多不足,比如驗(yàn)證過程計(jì)算開銷較大,還有軟件層的保護(hù)容易遭到篡改??尚庞?jì)算技術(shù)通過在計(jì)算平臺(tái)置入一個(gè)可信計(jì)算密碼模塊,可以在硬件層實(shí)現(xiàn)計(jì)算平臺(tái)部件的完整性度量驗(yàn)證。近年來可信技術(shù)得到長足發(fā)展,使用戶擁有安全性、完整性和可靠性全面提高的可信賴計(jì)算環(huán)境成為可能??尚庞?jì)算領(lǐng)域已經(jīng)有諸多方法解決了操作系統(tǒng)加載前的部件完整性度量和驗(yàn)證的問題,然而在操作系統(tǒng)運(yùn)行時(shí),用戶文件存在多樣性,用戶文件的加載存在分散性,不像BIOS啟動(dòng)及POST過程具備嚴(yán)格的直線性,因此,操作系統(tǒng)運(yùn)行時(shí)用戶文件的完整性驗(yàn)證一直是個(gè)難題??尚琶艽a模塊,簡稱TCM (trusted cryptography module),是我國可信計(jì)算標(biāo)準(zhǔn)硬件模塊,具備密碼運(yùn)算器和受保護(hù)的存儲(chǔ)器,內(nèi)嵌國家密碼管理局標(biāo)準(zhǔn)算法。TCM通過唯一的非対稱256位密鑰-密碼模塊密鑰(EK)作為密鑰樹的根密鑰來保護(hù)用戶密鑰和數(shù)據(jù),私鑰不會(huì)外泄,加密過程在硬件內(nèi)部完成??尚琶艽a模塊內(nèi)置雜湊運(yùn)算引擎和平臺(tái)配置寄存器PCR,通過度量控制TCM中的雜湊運(yùn)算和擴(kuò)展PCR可以完成計(jì)算平臺(tái)的完整性驗(yàn)證。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)任務(wù)是針對以上不足之處,提供一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法。采用TCM對虛擬磁盤容器文件進(jìn)行完整性度量和驗(yàn)證,在TCM平臺(tái)配置寄存器實(shí)時(shí)記錄度量值,采用可信外部存儲(chǔ)設(shè)備存儲(chǔ)度量日志,通過完整性驗(yàn)證虛擬磁盤容器文件的boot sector數(shù)據(jù)來判斷虛擬磁盤完整性,保證虛擬磁盤的安全加載和使用。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是
一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng),包括虛擬磁盤管理模塊、虛擬磁盤度量模塊、虛擬磁盤驗(yàn)證模塊、可信密碼模塊、可信存儲(chǔ)設(shè)備;所述虛擬磁盤管理模塊用來產(chǎn)生、識(shí)別虛擬磁盤容器文件,還用來加載虛擬磁盤容器文件為系統(tǒng)能夠識(shí)別的虛擬磁盤;
所述虛擬磁盤管理模塊與虛擬磁盤度量模塊以及虛擬磁盤驗(yàn)證模塊連接,虛擬磁盤管理模塊在需要時(shí)調(diào)用虛擬磁盤度量模塊和虛擬磁盤驗(yàn)證模塊進(jìn)行完整性度量和驗(yàn)證,同時(shí)更新度量值和度量日志; 所述虛擬磁盤度量模塊通過調(diào)用可信密碼模塊的雜湊密碼算法對虛擬磁盤進(jìn)行完整性度里!;
所述虛擬磁盤驗(yàn)證模塊,在加載虛擬磁盤時(shí),調(diào)用虛擬磁盤度量模塊記錄當(dāng)前虛擬磁盤完整性度量值,并與可信存儲(chǔ)設(shè)備中存儲(chǔ)的最新完整性度量值匹配判斷完成完整性驗(yàn)證;
所述可信密碼模塊是ー種提供密碼學(xué)服務(wù)和完整性度量服務(wù)的硬件設(shè)備,內(nèi)置于虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中,提供雜湊密碼算法和其他密碼學(xué)算法進(jìn)行密碼學(xué)服務(wù),還包括平臺(tái)配置寄存器空間可以存儲(chǔ)完整性度量值;
所述可信存儲(chǔ)設(shè)備是連接在虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中的ー個(gè)硬件設(shè)備,可以是具備非易失性存儲(chǔ)空間的USB存儲(chǔ)設(shè)備或者其他安全存儲(chǔ)設(shè)備;所述可信存儲(chǔ)設(shè)備中存儲(chǔ)有一個(gè)可信列表數(shù)據(jù)結(jié)構(gòu),可信列表存儲(chǔ)所有虛擬磁盤的可信度量日志數(shù)據(jù)。一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)方法,包括完成系統(tǒng)所需硬件設(shè)備的初始化過程、建立新的虛擬磁盤并為其建立基準(zhǔn)度量值、完成虛擬磁盤完整性驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果加載或者拒絕加載虛擬磁盤、完成卸載虛擬磁盤時(shí)的度量值更新工作,具體實(shí)現(xiàn)步驟包括
(1)、連接可信密碼模塊和可信存儲(chǔ)設(shè)備到虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái),在可信存儲(chǔ)設(shè)備內(nèi)建立可信列表數(shù)據(jù)結(jié)構(gòu);
(2)、虛擬磁盤管理模塊在建立虛擬磁盤容器文件后調(diào)用虛擬磁盤度量模塊對所建虛擬磁盤進(jìn)行完整性度量,完整性度量方法為虛擬磁盤度量模塊調(diào)用可信密碼模塊雜湊密碼算法對目標(biāo)虛擬磁盤容器文件boot sector數(shù)據(jù)進(jìn)行雜湊計(jì)算,計(jì)算所得雜湊值即為目標(biāo)虛擬磁盤完整性度量值;
所述boot sector數(shù)據(jù)是虛擬磁盤容器文件前512字節(jié)的一段數(shù)據(jù),作為磁盤引導(dǎo)扇區(qū)數(shù)據(jù)在加載虛擬磁盤時(shí)被識(shí)別,所述boot sector數(shù)據(jù)存儲(chǔ)了代表虛擬磁盤的特征數(shù)據(jù)或者密鑰數(shù)據(jù),對boot sector數(shù)據(jù)的完整性度量代表對虛擬磁盤的完整性度量;
虛擬磁盤度量模塊完成度量后在可信密碼模塊平臺(tái)配置寄存器中擴(kuò)展所述目標(biāo)虛擬磁盤完整性度量值,同時(shí)記錄度量日志到可信存儲(chǔ)設(shè)備可信列表中;
(3)、當(dāng)加載虛擬磁盤時(shí),首先虛擬磁盤管理模塊調(diào)用虛擬磁盤驗(yàn)證模塊對加載目標(biāo)虛擬磁盤進(jìn)行完整性驗(yàn)證,完整性驗(yàn)證方法如下虛擬磁盤驗(yàn)證模塊首先進(jìn)行目標(biāo)虛擬磁盤的完整性度量,度量方法如所述步驟2中度量方法一致;同時(shí)虛擬磁盤證模塊將目標(biāo)虛擬磁盤當(dāng)前完整性度量值擴(kuò)展到可信密碼模塊內(nèi)的寄存器;同時(shí)虛擬磁盤驗(yàn)證模塊解析可信存儲(chǔ)設(shè)備中的相應(yīng)可信列表中的度量日志,將日志中存儲(chǔ)的最新完整性度量值與目標(biāo)虛擬磁盤完整性度量值進(jìn)行匹配,如果匹配成功,虛擬磁盤管理模塊加載目標(biāo)虛擬磁盤進(jìn)入可信工作階段,如果匹配失敗,虛擬磁盤管理模塊拒絕加載目標(biāo)虛擬磁盤;
(4)、當(dāng)卸載虛擬磁盤時(shí),虛擬磁盤管理模塊調(diào)用虛擬磁盤度量模塊對目標(biāo)虛擬磁盤進(jìn)行完整性度量,度量方法如所述步驟2中度量方法一致,然后將度量結(jié)果在可信密碼模塊和可信存儲(chǔ)設(shè)備同時(shí)進(jìn)行更新。本發(fā)明的一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法和現(xiàn)有技術(shù)相比,有益效果為
此系統(tǒng)和方法提高了虛擬磁盤使用的安全性,同時(shí),與軟件層實(shí)現(xiàn)數(shù)字簽名驗(yàn)證相比,使用可信密碼模塊和外部可信存儲(chǔ)設(shè)備在硬件層實(shí)現(xiàn)了完整性驗(yàn)證,大大提高了安全強(qiáng)度。由于虛擬磁盤可以自定義存儲(chǔ)多種文件,本發(fā)明對虛擬磁盤的完整性保護(hù)也可實(shí)現(xiàn)對虛擬磁盤承載的文件完整性保護(hù),并動(dòng)態(tài)更新存儲(chǔ)度量值和日志,一定程度上解決了可信計(jì)算領(lǐng)域操作系統(tǒng)運(yùn)行時(shí)多種文件完整性難于驗(yàn)證的問題。
下面結(jié)合附圖對本發(fā)明進(jìn)ー步說明。附圖I為ー種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法的系統(tǒng)模塊結(jié)構(gòu) 附圖2為ー種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法的方法實(shí)現(xiàn)流程圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對本發(fā)明作進(jìn)ー步說明。本發(fā)明實(shí)施例通過編寫的軟件系統(tǒng)和連接的硬件設(shè)備實(shí)現(xiàn),圖I給出了本實(shí)施例系統(tǒng)模塊結(jié)構(gòu)圖,如圖I所示,軟件系統(tǒng)包括虛擬磁盤管理模塊、虛擬磁盤度量模塊和虛擬磁盤驗(yàn)證模塊,硬件設(shè)備包括可信密碼模塊(TCM)和可信存儲(chǔ)設(shè)備(USBKey)。如圖I所示虛擬磁盤管理模塊是管理虛擬磁盤生命周期的控制模塊,通過格式化方法格式化一個(gè)具備boot sector文件頭結(jié)構(gòu)的虛擬磁盤容器文件,通過虛擬磁盤驅(qū)動(dòng)加載虛擬磁盤容器文件為系統(tǒng)能夠識(shí)別的虛擬磁盤。如圖I所示,虛擬磁盤管理模塊與虛擬磁盤度量模塊以及虛擬磁盤驗(yàn)證模塊連接,能夠在需要時(shí)調(diào)用虛擬磁盤度量模塊和虛擬磁盤驗(yàn)證模塊進(jìn)行度量和驗(yàn)證,當(dāng)虛擬磁盤完整性度量值發(fā)生更新是,虛擬磁盤管理模塊還負(fù)責(zé)更硬件設(shè)備中的完整性度量值和度量日志。如圖I所示虛擬磁盤度量模塊通過調(diào)用可信密碼模塊的雜湊密碼算法對虛擬磁盤進(jìn)行完整性度量,完成一次度量可以生成完整性度量值和度量日志。如圖I所示虛擬磁盤驗(yàn)證模塊,在加載虛擬磁盤時(shí)發(fā)生作用,調(diào)用虛擬磁盤度量模塊計(jì)算當(dāng)前虛擬磁盤完整性度量值,并與可信存儲(chǔ)設(shè)備中存儲(chǔ)的最新完整性度量值匹配判斷完成完整性驗(yàn)證。如圖I所示TCM即可信密碼模塊是ー種提供密碼學(xué)服務(wù)和完整性度量服務(wù)的硬件設(shè)備,通過某種接口內(nèi)置于虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中,能夠提供雜湊密碼算法和其他密碼學(xué)算法進(jìn)行密碼學(xué)服務(wù)。TCM還包括平臺(tái)配置寄存器(PCR)用來存儲(chǔ)度量值。作為本發(fā)明的ー個(gè)較佳實(shí)施例,本實(shí)施例采用的可信密碼模塊是國產(chǎn)自主生產(chǎn)的可信密碼模塊,其中雜湊密碼算法采用SM3算法。需要特別說明的是,本發(fā)明還可以采用具備相同可信密碼功能的其他可信密碼模塊以及具備雜湊密碼運(yùn)算功能的其他雜湊密碼算法。如圖I所示USBKey即可信存儲(chǔ)設(shè)備是連接在虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中的ー個(gè)硬件設(shè)備,虛擬磁盤完整性保護(hù)系統(tǒng)在USBKey中預(yù)先建立一個(gè)可信列表數(shù)據(jù)結(jié)構(gòu),可信列表存儲(chǔ)所有虛擬磁盤的可信度量日志數(shù)據(jù)。作為本發(fā)明的ー個(gè)較佳實(shí)施例,本實(shí)施例采用的可信存儲(chǔ)設(shè)備為USBKey,需要特別說明的是,本發(fā)明還可以采用其他具備安全存儲(chǔ)功能的設(shè)備作為可信存儲(chǔ)設(shè)備。圖2給出了基于TCM的虛擬磁盤完整性保護(hù)方法實(shí)現(xiàn)流程圖,參照圖2進(jìn)ー步詳細(xì)說明
步驟I、如圖2所示,步驟I完成系統(tǒng)所需硬件設(shè)備的初始化過程,首先連接可信密碼模塊和可信存儲(chǔ)設(shè)備到虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái),然后在虛擬磁盤管理模塊在可信存儲(chǔ)設(shè)備內(nèi)建立可信列表數(shù)據(jù)結(jié)構(gòu)。步驟2、如圖所示,步驟2為建立新的虛擬磁盤并為其建立基準(zhǔn)度量值,具體實(shí)現(xiàn)方法是首先由虛擬磁盤管理模塊建立ー個(gè)新的虛擬磁盤容器文件,接著虛擬磁盤管理模塊調(diào)用虛擬磁盤度量模塊對所建虛擬磁盤進(jìn)行完整性度量,完整性度量方法為虛擬磁盤度量模塊調(diào)用TCM雜湊密碼算法對目標(biāo)虛擬磁盤容器文件boot sector數(shù)據(jù)進(jìn)行雜湊計(jì)算,計(jì)算所得雜湊值即為目標(biāo)虛擬磁盤完整性度量值。所述boot sector數(shù)據(jù)是虛擬磁盤容器文件前512字節(jié)的一段數(shù)據(jù),作為磁盤引導(dǎo)扇區(qū)數(shù)據(jù)在加載虛擬磁盤時(shí)被識(shí)別,所述boot sector數(shù)據(jù)存儲(chǔ)了代表虛擬磁盤的特征數(shù)據(jù)或者密鑰數(shù)據(jù),對boot sector數(shù)據(jù)的完整性度量代表對虛擬磁盤的完整性度量。虛擬磁盤度量模塊完成度量后在TCM芯片內(nèi)的平臺(tái)配置寄存器(PCR)擴(kuò)展所述目標(biāo)虛擬磁盤完整性度量值,同時(shí)更新度量日志到可信存儲(chǔ)設(shè)備可信列表中。虛擬磁盤管理模塊擴(kuò)展虛擬磁盤完整性度量值時(shí)遵循TCM規(guī)范,在PCR指定合法地址進(jìn)行更新操作;完整性度量日志更新方法是首先虛擬磁盤管理模塊為每個(gè)新建虛擬磁盤在可信存儲(chǔ)設(shè)備中維護(hù)一條可信列表記錄,當(dāng)產(chǎn)生新度量日志時(shí)更新相記錄,當(dāng)刪除虛擬磁盤時(shí)清除相應(yīng)記錄。步驟3、步驟3完成虛擬磁盤完整性驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果加載或者拒絕加載虛擬磁盤,具體實(shí)現(xiàn)方法是當(dāng)加載虛擬磁盤時(shí),首先由虛擬磁盤管理模塊調(diào)用虛擬磁盤驗(yàn)證模塊對加載目標(biāo)虛擬磁盤進(jìn)行完整性驗(yàn)證,完整性驗(yàn)證方法如下
虛擬磁盤驗(yàn)證模塊首先進(jìn)行目標(biāo)虛擬磁盤的完整性度量,度量方法如所述步驟2中度量方法一致;同時(shí)虛擬磁盤驗(yàn)證模塊將目標(biāo)虛擬磁盤當(dāng)前完整性度量值擴(kuò)展到TCM內(nèi)的寄存器;同時(shí)虛擬磁盤驗(yàn)證模塊解析可信存儲(chǔ)設(shè)備中的相應(yīng)可信列表中的度量日志,將日志中存儲(chǔ)的最新完整性度量值與目標(biāo)虛擬磁盤完整性度量值進(jìn)行匹配,如果匹配成功,虛擬磁盤管理模塊加載目標(biāo)虛擬磁盤進(jìn)入可信工作階段,如果匹配失敗,虛擬磁盤管理模塊拒絕加載目標(biāo)虛擬磁盤。步驟4、步驟4完成卸載虛擬磁盤時(shí)的度量值更新工作,具體實(shí)現(xiàn)方法是當(dāng)卸載 虛擬磁盤時(shí),虛擬磁盤管理模塊調(diào)用虛擬磁盤度量模塊對目標(biāo)虛擬磁盤進(jìn)行完整性度量,度量方法如所述步驟2中度量方法一致,然后將度量結(jié)果在TCM和可信存儲(chǔ)設(shè)備同時(shí)進(jìn)行更新。本發(fā)明的一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法,除說明書所 述的技術(shù)特征外,均為本專業(yè)技術(shù)人員的已知技木。
權(quán)利要求
1.一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng),基于可信密碼模塊,其特征在于所述系統(tǒng)包括虛擬磁盤管理模塊、虛擬磁盤度量模塊、虛擬磁盤驗(yàn)證模塊、可信密碼模塊、可信存儲(chǔ)設(shè)備;所述虛擬磁盤管理模塊用來產(chǎn)生、識(shí)別虛擬磁盤容器文件,還用來加載虛擬磁盤容器文件為系統(tǒng)能夠識(shí)別的虛擬磁盤; 所述虛擬磁盤管理模塊與虛擬磁盤度量模塊以及虛擬磁盤驗(yàn)證模塊連接,虛擬磁盤管理模塊在需要時(shí)調(diào)用虛擬磁盤度量模塊和虛擬磁盤驗(yàn)證模塊進(jìn)行完整性度量和驗(yàn)證,同時(shí)更新度量值和度量日志; 所述虛擬磁盤度量模塊通過調(diào)用可信密碼模塊的雜湊密碼算法對虛擬磁盤進(jìn)行完整性度里!; 所述虛擬磁盤驗(yàn)證模塊,在加載虛擬磁盤時(shí),調(diào)用虛擬磁盤度量模塊記錄當(dāng)前虛擬磁盤完整性度量值,并與可信存儲(chǔ)設(shè)備中存儲(chǔ)的最新完整性度量值匹配判斷完成完整性驗(yàn)證; 所述可信密碼模塊是一種提供密碼學(xué)服務(wù)和完整性度量服務(wù)的硬件設(shè)備,內(nèi)置于虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中,提供雜湊密碼算法和其他密碼學(xué)算法進(jìn)行密碼學(xué)服務(wù),還包括平臺(tái)配置寄存器空間可以存儲(chǔ)完整性度量值; 所述可信存儲(chǔ)設(shè)備是連接在虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái)中的一個(gè)硬件設(shè)備,可以是具備非易失性存儲(chǔ)空間的USB存儲(chǔ)設(shè)備或者其他安全存儲(chǔ)設(shè)備;所述可信存儲(chǔ)設(shè)備中存儲(chǔ)有一個(gè)可信列表數(shù)據(jù)結(jié)構(gòu),可信列表存儲(chǔ)所有虛擬磁盤的可信度量日志數(shù)據(jù)。
2.一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)方法,基于可信密碼模塊,其特征在于所述方法包括完成系統(tǒng)所需硬件設(shè)備的初始化過程、建立新的虛擬磁盤并為其建立基準(zhǔn)度量值、完成虛擬磁盤完整性驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果加載或者拒絕加載虛擬磁盤、完成卸載虛擬磁盤時(shí)的度量值更新工作,具體實(shí)現(xiàn)步驟包括 (1)、連接可信密碼模塊和可信存儲(chǔ)設(shè)備到虛擬磁盤完整性保護(hù)系統(tǒng)所在計(jì)算平臺(tái),在可信存儲(chǔ)設(shè)備內(nèi)建立可信列表數(shù)據(jù)結(jié)構(gòu); (2)、虛擬磁盤管理模塊在建立虛擬磁盤容器文件后調(diào)用虛擬磁盤度量模塊對所建虛擬磁盤進(jìn)行完整性度量,完整性度量方法為虛擬磁盤度量模塊調(diào)用可信密碼模塊雜湊密碼算法對目標(biāo)虛擬磁盤容器文件boot sector數(shù)據(jù)進(jìn)行雜湊計(jì)算,計(jì)算所得雜湊值即為目標(biāo)虛擬磁盤完整性度量值; 所述boot sector數(shù)據(jù)是虛擬磁盤容器文件前512字節(jié)的一段數(shù)據(jù),作為磁盤引導(dǎo)扇區(qū)數(shù)據(jù)在加載虛擬磁盤時(shí)被識(shí)別,所述boot sector數(shù)據(jù)存儲(chǔ)了代表虛擬磁盤的特征數(shù)據(jù)或者密鑰數(shù)據(jù),對boot sector數(shù)據(jù)的完整性度量代表對虛擬磁盤的完整性度量; 虛擬磁盤度量模塊完成度量后在可信密碼模塊平臺(tái)配置寄存器中擴(kuò)展所述目標(biāo)虛擬磁盤完整性度量值,同時(shí)記錄度量日志到可信存儲(chǔ)設(shè)備可信列表中; (3)、當(dāng)加載虛擬磁盤時(shí),首先虛擬磁盤管理模塊調(diào)用虛擬磁盤驗(yàn)證模塊對加載目標(biāo)虛擬磁盤進(jìn)行完整性驗(yàn)證,完整性驗(yàn)證方法如下虛擬磁盤驗(yàn)證模塊首先進(jìn)行目標(biāo)虛擬磁盤的完整性度量,度量方法如所述步驟2中度量方法一致;同時(shí)虛擬磁盤證模塊將目標(biāo)虛擬磁盤當(dāng)前完整性度量值擴(kuò)展到可信密碼模塊內(nèi)的寄存器;同時(shí)虛擬磁盤驗(yàn)證模塊解析可信存儲(chǔ)設(shè)備中的相應(yīng)可信列表中的度量日志,將日志中存儲(chǔ)的最新完整性度量值與目標(biāo)虛擬磁盤完整性度量值進(jìn)行匹配,如果匹配成功,虛擬磁盤管理模塊加載目標(biāo)虛擬磁盤進(jìn)入可信工作階段,如果匹配失敗,虛擬磁盤管理模塊拒絕加載目標(biāo)虛擬磁盤; (4)、當(dāng)卸載虛 擬磁盤時(shí),虛擬磁盤管理模塊調(diào)用虛擬磁盤度量模塊對目標(biāo)虛擬磁盤進(jìn)行完整性度量,度量方法如所述步驟2中度量方法一致,然后將度量結(jié)果在可信密碼模塊和可信存儲(chǔ)設(shè)備同時(shí)進(jìn)行更新。
全文摘要
本發(fā)明公開了一種基于可信密碼模塊的虛擬磁盤完整性保護(hù)系統(tǒng)及方法,屬于一種信息安全領(lǐng)域技術(shù),基于可信密碼模塊,所述系統(tǒng)包括虛擬磁盤管理模塊、虛擬磁盤度量模塊、虛擬磁盤驗(yàn)證模塊、可信密碼模塊、可信存儲(chǔ)設(shè)備;所述虛擬磁盤管理模塊用來產(chǎn)生、識(shí)別虛擬磁盤容器文件,還用來加載虛擬磁盤容器文件為系統(tǒng)能夠識(shí)別的虛擬磁盤;所述方法包括完成系統(tǒng)所需硬件設(shè)備的初始化過程、建立新的虛擬磁盤并為其建立基準(zhǔn)度量值、完成虛擬磁盤完整性驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果加載或者拒絕加載虛擬磁盤、完成卸載虛擬磁盤時(shí)的度量值更新工作。本發(fā)明和現(xiàn)有技術(shù)相比,提高了虛擬磁盤使用的安全性,實(shí)現(xiàn)了完整性驗(yàn)證,大大提高了安全強(qiáng)度。
文檔編號(hào)G06F12/14GK102662871SQ201210087648
公開日2012年9月12日 申請日期2012年3月29日 優(yōu)先權(quán)日2012年3月29日
發(fā)明者趙斌 申請人:山東超越數(shù)控電子有限公司