CN114006695B - 硬盘数据保护方法、装置、可信平台芯片及电子设备 - Google Patents
硬盘数据保护方法、装置、可信平台芯片及电子设备 Download PDFInfo
- Publication number
- CN114006695B CN114006695B CN202111263154.6A CN202111263154A CN114006695B CN 114006695 B CN114006695 B CN 114006695B CN 202111263154 A CN202111263154 A CN 202111263154A CN 114006695 B CN114006695 B CN 114006695B
- Authority
- CN
- China
- Prior art keywords
- key
- hard disk
- new
- storage
- electronic device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 150000003839 salts Chemical class 0.000 claims description 11
- 230000008520 organization Effects 0.000 claims description 5
- 238000009795 derivation Methods 0.000 claims description 3
- 230000005012 migration Effects 0.000 claims description 3
- 238000013508 migration Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000005192 partition Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Abstract
本申请实施例提供了硬盘数据保护方法、装置、可信平台芯片及电子设备,获取安装有第一硬盘的第一电子设备的设备信息;根据第一电子设备的设备信息,生成第三密钥;在第三密钥与第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从第二存储位置关联的第一存储位置中读取第一密钥;向第一硬盘发送第一密钥,以使第一硬盘按照第一密钥进行加密及解密。在硬盘安装在指定电子设备外的其他电子设备上时,无法得到第一密钥,无法实现对硬盘数据的读写,硬盘只有指定电子设备上进行操作时才能获取到硬盘的第一密钥,从而实现了对硬盘数据的保护。
Description
技术领域
本申请涉及数据存储技术领域,特别是涉及硬盘数据保护方法、装置、可信平台芯片及电子设备。
背景技术
通用数据保护规则已产生并生效,存储数据的安全保护是数据存储领域的必然趋势;在数据安全的流行趋势下,数据保护得到越来越广泛的关注,其中,硬盘数据保护已成为重中之重。硬盘数据保护可以直观的理解为信息安全,即防止未经授权的访问、使用、披露、破坏、修改、检查、记录或销毁数据的做法。如何对硬盘数据进行保护,已成为亟待解决的技术问题。
发明内容
本申请实施例的目的在于提供一种硬盘数据保护方法、装置、可信平台芯片及电子设备,以实现对硬盘数据进行保护。具体技术方案如下:
第一方面,本申请实施例提供了一种硬盘数据保护方法,所述方法包括:
获取安装有第一硬盘的第一电子设备的设备信息;
根据所述第一电子设备的设备信息,生成第三密钥;
在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;
向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
在一种可能的实施方式中,所述方法还包括:
当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥;
在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中;
根据所述第一电子设备的设备信息,生成第二密钥;
在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中;
建立所述第一存储位置与所述第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储区域属于所述第一电子设备的可信平台模块的非易失性存储区域;所述第二存储区域属于所述第一电子设备的可信平台模块的平台配置寄存器区域。
在一种可能的实施方式中,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;
所述根据所述第一电子设备的设备信息,生成第三密钥,包括:
根据所述第一电子设备的用户名、密码及盐值生成账户属性值;
根据所述账户属性值及预设初始密钥,生成第三密钥。
在一种可能的实施方式中,所述根据所述账户属性值及预设初始密钥,生成第三密钥,包括:
根据所述账户属性值及预设初始密钥,采用基于可信计算组织TCG标准的扩展计算散列值的方式,生成第三密钥。
在一种可能的实施方式中,所述方法还包括:
获取用户输入的第一加密口令信息;
利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文;
将所述第一硬盘的第一密钥密文导出到外部存储介质中。
在一种可能的实施方式中,所述方法还包括:
在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文;
利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥;
在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据;
生成针对所述第一硬盘的新的第一密钥;
在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中;
根据所述第一电子设备的设备信息,生成新的第二密钥;
在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;所述方法还包括:
在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文;
利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥;
将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密;
生成针对所述第一硬盘的新的第一密钥;
将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密;
在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中;
根据所述第一电子设备的设备信息,生成新的第二密钥;
在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述方法还包括:
在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的;
获取用户在所述第一电子设备中输入的所述第二加密口令信息;
利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥;
将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
第二方面,本申请实施例提供了一种硬盘数据保护装置,所述装置包括:
设备信息获取模块,用于获取安装有第一硬盘的第一电子设备的设备信息;
第三密钥生成模块,用于根据所述第一电子设备的设备信息,生成第三密钥;
第一密钥获取模块,用于在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;
第一密钥发送模块,用于向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
在一种可能的实施方式中,所述装置还包括:
第一密钥生成模块,用于当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥;
第一密钥存储模块,用于在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中;
第二密钥生成模块,用于当根据所述第一电子设备的设备信息,生成第二密钥;
第二密钥存储模块,用于在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中;
关联关系建立模块,用于建立所述第一存储位置与所述第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储区域属于所述第一电子设备的可信平台模块的非易失性存储区域;所述第二存储区域属于所述第一电子设备的可信平台模块的平台配置寄存器区域。
在一种可能的实施方式中,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;所述第三密钥生成模块,具体用于:根据所述第一电子设备的用户名、密码及盐值生成账户属性值;根据所述账户属性值及预设初始密钥,生成第三密钥。
在一种可能的实施方式中,所述第三密钥生成模块,具体用于:根据所述账户属性值及预设初始密钥,采用基于可信计算组织TCG标准的扩展计算散列值的方式,生成第三密钥。
在一种可能的实施方式中,所述装置还包括:第一密钥导出模块,用于获取用户输入的第一加密口令信息;利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文;将所述第一硬盘的第一密钥密文导出到外部存储介质中。
在一种可能的实施方式中,所述装置还包括:
第一密钥更新模块,用于在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文;利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥;在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;所述装置还包括:
可信平台更换模块,用于在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文;利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥;将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密;在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述装置还包括:
硬盘移植模块,用于在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的;获取用户在所述第一电子设备中输入的所述第二加密口令信息;利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥;将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
第三方面,本申请实施例提供了一种可信平台芯片,所述可信平台芯片中存储有硬盘的第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系,当安装有所述可信平台芯片的电子设备在运行时,基于所述可信平台芯片中存储的硬盘的第二密钥、第一密钥及所述关联关系,实现本申请中任一所述的硬盘数据保护方法。
在一种可能的实施方式中,所述第一存储区域属于所述可信平台芯片的非易失性存储区域;所述第二存储区域属于所述可信平台芯片的平台配置寄存器区域。
第四方面,本申请实施例提供了一种电子设备,包括:
处理器、可信平台芯片及硬盘;
所述可信平台芯片,用于存储第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系;
所述处理器,用于在运行时实现本申请中任一所述的硬盘数据保护方法。
在一种可能的实施方式中,所述第一存储区域属于所述可信平台芯片的非易失性存储区域;所述第二存储区域属于所述可信平台芯片的平台配置寄存器区域。
第五方面,本申请实施例提供了一种计算机程序产品,当所述计算机程序产品在电子设备上运行时,使得所述电子设备执行第一方面及其实施方式的任一方法。
本申请实施例有益效果:
本申请实施例提供的硬盘数据保护方法、装置、可信平台芯片及电子设备,获取安装有第一硬盘的第一电子设备的设备信息;根据第一电子设备的设备信息,生成第三密钥;在第三密钥与第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从第二存储位置关联的第一存储位置中读取第一密钥,其中,第二密钥为根据指定电子设备的设备信息生成的密钥,第二密钥的生成算法与第三密钥的生成算法相同;向第一硬盘发送第一密钥,以使第一硬盘按照第一密钥进行加密及解密。在硬盘安装在指定电子设备外的其他电子设备上时,无法得到第一密钥,无法实现对硬盘数据的读写,硬盘只有指定电子设备上进行操作时才能获取到硬盘的第一密钥,从而实现了对硬盘数据的保护。当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本申请实施例的硬盘数据保护方法的第一种示意图;
图2为本申请实施例的硬盘数据保护方法的第二种示意图;
图3为本申请实施例的硬盘数据保护方法的第三种示意图;
图4为本申请实施例的硬盘数据保护方法的第四种示意图;
图5为本申请实施例的硬盘数据保护方法的第五种示意图;
图6为本申请实施例的硬盘数据保护方法的第六种示意图;
图7为本申请实施例的硬盘数据保护装置的一种示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
为了实现硬盘数据的保护,本申请实施例提供了一种硬盘数据保护方法,包括:获取安装有第一硬盘的电子设备的设备信息;根据所述电子设备的设备信息,生成第三密钥;在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。通过本申请实施例的硬盘数据保护方法,实现了对硬盘数据进行保护。
以下进行具体说明,首先对第一密钥及第二密钥的生成过程进行说明,参见图1,包括:
S101,当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥。
本申请实施例的硬盘数据保护方法可以通过第一电子设备实现,第一电子设备可以为任意的安装有硬盘的设备,例如,第一电子设备可以为摄像机、NVR(Network VideoRecorder,网络视频录像机)或DVR(Digital Video Recorder,硬盘录像机)等。第一硬盘为任意需要进行数据保护的硬盘。第一硬盘的第一密钥用于对第一硬盘进行加密及解密,即利用第一硬盘的第一密钥对第一硬盘中的数据进行加密后保存,以及进行解密后读取。第一硬盘的第一密钥的生成方式可以参见相关技术中的硬盘密钥生成方式,本申请中不做具体限定。
S102,在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中。
第一电子设备的第一存储区域为预先设置的用于存储第一密钥的存储区域,在第一存储区域中选取第一存储位置的方式可以根据实际情况自定义设置,例如可以随机选取或按照存储地址顺序选取等,均在本申请的保护范围内。
在一种可能的实施方式中,第一电子设备中安装有TPM(Trusted PlatformModule,可信平台模块),所述第一存储区域属于所述第一电子设备的可信平台模块的非易失性存储区域。
S103,根据所述第一电子设备的设备信息,生成第二密钥。
第一电子设备的设备信息可以为第一电子设备本身的标识信息,例如第一电子设备的设备编号或处理器编号等;第一电子设备的设备信息也可以为第一电子设备的账号信息,例如第一电子设备的登录账号的用户名及密码等,均在本申请的保护范围内。基于第一电子设备的设备信息生成第二密钥的方式可以基于实际情况自定义设置,例如可以直接将第一电子设备的设备信息作为第二密钥,或者可以通过哈希计算等密钥生成算法对第一电子设备的设备信息进行计算来生成第二密钥,或者对第一电子设备的设备信息进行加权求和来生成第二密钥等。
一个例子中,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;根据所述第一电子设备的设备信息,生成第二密钥,包括:
步骤一,根据所述第一电子设备的用户名、密码及盐值生成账户属性值。
盐值是用来和用户名及密码进行组合而生成的随机数值也称为salt值,简单来说盐值就是一个随机值。账户属性值与第一电子设备的用户名及密码有关,可以将用户名、密码及盐值进行组合来生成账户属性值,一个例子中,new value=用户名+盐值+密码,其中,new value表示账户属性值。
步骤二,根据所述账户属性值及预设初始密钥,生成第二密钥。
在得到账户属性值后,基于账户属性值及预设初始密钥生成第二密钥,例如,可以对账户属性值及预设初始密钥进行加权求和来得到第二密钥,例如,可以对账户属性值及预设初始密钥进行哈希计算来得到第二密钥等。
一个例子中,所述根据所述账户属性值及预设初始密钥,生成第二密钥,包括:根据所述账户属性值及预设初始密钥,采用基于TCG(Trusted computing group,可信计算组织)标准的扩展计算散列值的方式,生成第二密钥。
第一电子设备可以在启动阶段采用符合TCG标准的TSS(TCG Software Stack,TCG协议栈)来计算第二密钥,具体的,可以采用基于TCG标准的扩展计算散列值的方式,将预设初始密钥与账户属性值相关联并计算散列值,从而得到第二密钥。一个例子中,New PCRi=hash(old PCRi||new value),其中,old PCRi表示预设初始密钥,new value表示账户属性值,New PCRi表示第三密钥,hash()表示散列函数。
预设初始密钥可以为原第二密钥,即当前使用的第二密钥的上一个第二密钥。在首次计算第二密钥时,即不存在上一个第二密钥的请下,可以令预设初始密钥为一个预设值,例如0等。
S104,在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中。
第一电子设备的第二存储区域为预先设置的用于存储第二密钥的存储区域,在第二存储区域中选取第二存储位置的方式可以根据实际情况自定义设置,例如可以随机选取或按照存储地址顺序选取等,均在本申请的保护范围内。
第一电子设备的第一存储区域及第二存储区域可以为第一硬盘中的任意存储区域。例如,第一存储区域及第二存储区域为第一电子设备中除第一硬盘外的其他硬盘中的存储区域,例如,第一存储区域及第二存储区域为第一电子设备中的Flash存储区域,例如,可以通过硬盘分区的方式在第一硬盘中划分出一个分区,将该分区中选取第一存储区域及第二存储区域,且该分区中的数据并不通过第一密钥进行加密。在一种可能的实施方式中,为了提高数据的安全性,第一存储区域及第二存储区域为第一电子设备的中的可信平台模块中的存储区域。
在一种可能的实施方式中,第一电子设备中安装有可信平台模块,所述第二存储区域属于所述第一电子设备的可信平台模块的PCR(Paltform Configuration Register,平台配置寄存器)区域。可信平台模块为基于TPM协议工作的模块,因此会对写入到自身中的数据进行加密,一个例子中,将所述第二密钥存储到所述第二存储位置中,包括:将所述第二密钥发送给可信平台模块,可信平台模块利用自身加密算法对所述第二密钥进行加密,得到加密后的密文,并将加密后的密文存储到自身PCR区域的第二存储位置中。可信平台模块对写入到自身的数据加密的具体过程可以参见相关技术,本申请中不做具体限定。
一个例子中,在PCR区域中随机选取一个存储位置作为第二存储位置。在本申请实施例中,在PCR区域中随机选取一个存储位置作为第二存储位置,即使非可信用户破解了第二密钥的计算方式,得到了第二密钥,但是因为无法获知第二存储位置,因此无法实现将第二密钥配置给第二存储位置,也即无法获取第一密钥。
一个例子中,本申请实施例中的硬盘数据保护方法可通过第一电子设备中的处理执行,可信平台模块作为第二密钥及第一密钥的存储器来实现第二密钥及第一密钥的加密存储。
S105,建立所述第一存储位置与所述第二存储位置的关联关系。
建立第一存储位置与第二存储位置的关联关系,例如,可以在关联关系表中记录第一存储位置与第二存储位置的关联关系。一个例子中,关联关系表可以存储在可信平台模块的非易失性存储介质中。
将第一硬盘的第一密钥发送给第一硬盘,以使第一硬盘利用第一密钥对自身中的数据进行加密及解码。在第一硬盘每次重新启动后,均需要重新获取第一密钥,以保证第一硬盘中数据的安全。
参见图2,图2为本申请实施例硬盘数据保护方法的一种流程示意图,包括:
S201,获取安装有第一硬盘的第一电子设备的设备信息。
本申请实施例的硬盘数据保护方法可以通过第一电子设备实现,第一电子设备可以为任意的安装有硬盘的设备,例如,第一电子设备可以为摄像机、NVR或DVR等。第一电子设备的设备信息可以为第一电子设备本身的标识信息,也可以为第一电子设备登陆账号的信息等,均在本申请的保护范围内。
S202,根据所述第一电子设备的设备信息,生成第三密钥。
第三密钥(也称为度量值)的生成方式与第二密钥的生成方式相同,具体可以参见第二密钥的生成方式,此处不再赘述。
在一种可能的实施方式中,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;所述根据所述第一电子设备的设备信息,生成第三密钥,包括:
步骤一,根据所述第一电子设备的用户名、密码及盐值生成账户属性值。
步骤二,根据所述账户属性值及预设初始密钥,生成第三密钥。
S203,在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同。
按照预先存储的第一硬盘与第二存储位置的对应关系,确定第二存储位置。在第三密钥与第二存储位置中的密钥相同的情况下,认为第一硬盘安全认证通过。一个例子中,可以将第三密钥配置给第二存储位置,在第二存储位置的配置值(即第三密钥)与第二存储位置的存储值(即第二密钥)相同的情况下,认为第一硬盘安全认证通过,按照预先建立的关联关系,从第二存储位置关联的第一存储位置中读取第一密钥。
此处的指定电子设备是指最后一次生成第一硬盘的第一密钥时,安装有第一硬盘的电子设备。例如,当第一硬盘首次在应用本申请实施例的硬盘数据保护方法的电子设备上使用时,该电子设备生成第一硬盘的第一密钥,则该电子设备即为指定电子设备;例如,当第一硬盘在电子设备上进行第一密钥更新时,该电子设备即为指定电子设备。
可以理解的是,当第二存储区域为可信平台模块的平台配置寄存器区域时,第二存储区域中实际存储的为第二密钥加密后的密文,而第三密钥与第二存储位置中存储的第二密钥相同是指:第三密钥与第二存储位置中存储的密文解密后得到的第二密钥相同。
第一硬盘与第二存储位置的对应关系可以为在所述第一电子设备的第二存储区域中选取第二存储位置后记录的,一个例子中,在第二存储区域中随机选取一个存储位置作为第二存储位置,此种情况下,即使非可信用户破解了第二密钥的计算方式,得到了第二密钥,但是因为无法获知第二存储位置,因此无法实现将第二密钥配置给第二存储位置,也即无法获取第一密钥。
S204,向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
在本申请实施例中,实现了对硬盘数据进行保护,在硬盘安装在指定电子设备外的其他电子设备上时,无法得到第一密钥,无法实现对硬盘数据的读写;硬盘只有指定电子设备上进行操作时才能获取到硬盘的第一密钥,从而实现了对硬盘数据的保护。
由于第一硬盘的第一秘钥存储在第一电子设备的第一存储区域中,如果第一电子设备出问题,会导致第一硬盘无法读取的情况,一个例子中,可以将第一硬盘的第一秘钥保存在安全外部介质中,作为备份保存。在一种可能的实施方式中,参见图3,所述方法还包括:
S301,获取用户输入的第一加密口令信息。
S302,利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文。
S303,将所述第一硬盘的第一密钥密文导出到外部存储介质中。
一个例子中,可以从第一电子设备的可信平台模块的读写接口中读取第一硬盘的第一密钥,获取用户在第一电子设备中输入的第一加密口令信息,利用第一加密口令信息对第一硬盘的第一密钥进行对称加密,得到所述第一硬盘的第一密钥密文,并将第一硬盘的第一密钥密文导出到外部存储介质中。
在本申请实施例中,将第一硬盘的第一密钥加密后导出到外部存储介质中,从而可以在第一电子设备故障时从外部存储介质中恢复第一硬盘的第一密钥。
当第一电子设备中的可信平台模块损坏后,需要对第一电子设备中的可信平台模块进行更换。在一种可能的实施方式中,所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;参见图4,所述方法还包括:
S401,在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文。
S402,利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥。
若用户输入的加密口令信息与第一加密口令信息不同,则造成第一硬盘的第一密钥密文解密失败,便无法得到第一硬盘的第一密钥。
S403,将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密。
S404,生成针对所述第一硬盘的新的第一密钥。
S405,将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密。
S406,在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中。
S407,根据所述第一电子设备的设备信息,生成新的第二密钥。
S408,在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中。
S409,建立新的第一存储位置与新的第二存储位置的关联关系。
在更换第一电子设备的可信平台模块后,第一硬盘的第一密钥丢失,因此需要从外部存储介质中恢复第一硬盘的第一密钥。从外部存储介质中导入第一硬盘的第一密钥密文,利用用户输入的第一加密口令信息对第一密钥密文进行解密,从而得到第一硬盘的第一密钥。然后第一硬盘的第一密钥对第一硬盘进行解密,解密完成后,生成第一硬盘的新的第二密钥及新的第一密钥,存储到更换后的可信平台模块中,并利用新的第一密钥对第一硬盘进行加密,从而实现可信平台模块的更换。
在一些场景中,会存在将其他电子设备的硬盘移植到第一电子设备中的情况,在一种可能的实施方式中,参见图5,所述方法还包括:
S501,在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的。
S502,获取用户在所述第一电子设备中输入的所述第二加密口令信息。
S503,利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥。
若用户输入的加密口令信息与第二加密口令信息不同,则会造成第二硬盘的第一密钥密文解密失败,便无法得到第二硬盘的第一密钥。
S504,将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
在第二硬盘解密完成中,可以视为第二硬盘首次在第一电子设备上使用,可以按照第一硬盘首次在第一电子设备上使用时的处置方法,对第二硬盘进行处置。
在本申请实施例中,可以利用外部存储介质实现硬盘在不同电子设备中的移植,能够满足多种用户需求。
当用户想要更新第一硬盘的第一密钥时,可以利用外部存储介质中第一硬盘的第一密钥密文实现第一硬盘的第一密钥的更新。在一种可能的实施方式中,参见图6,所述方法还包括:
S601,在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文。
S602,利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥。
S603,在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据。
针对用户输入的加密口令信息与第一加密口令信息不同的情况,以及外部存储介质中存储的不是第一硬盘的第一密钥密文的情况,均会导致第四密钥与第一硬盘的第一密钥不同。
S604,生成针对所述第一硬盘的新的第一密钥。
S605,在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中。
S606,根据所述第一电子设备的设备信息,生成新的第二密钥。
S607,在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中。
S608,建立新的第一存储位置与新的第二存储位置的关联关系。
在本申请实施例中,可以利用外部存储介质实现硬盘第一密钥的更新,能够满足多种用户需求。
本申请实施例提供了一种硬盘数据保护装置,参见图7,所述装置包括:
设备信息获取模块71,用于获取安装有第一硬盘的第一电子设备的设备信息;
第三密钥生成模块72,用于根据所述第一电子设备的设备信息,生成第三密钥;
第一密钥获取模块73,用于在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;
第一密钥发送模块74,用于向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
在一种可能的实施方式中,所述装置还包括:
第一密钥生成模块,用于当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥;
第一密钥存储模块,用于在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中;
第二密钥生成模块,用于当根据所述第一电子设备的设备信息,生成第二密钥;
第二密钥存储模块,用于在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中;
关联关系建立模块,用于建立所述第一存储位置与所述第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储区域属于所述第一电子设备的可信平台模块的非易失性存储区域;所述第二存储区域属于所述第一电子设备的可信平台模块的平台配置寄存器区域。
在一种可能的实施方式中,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;所述第三密钥生成模块,具体用于:根据所述第一电子设备的用户名、密码及盐值生成账户属性值;根据所述账户属性值及预设初始密钥,生成第三密钥。
在一种可能的实施方式中,所述第三密钥生成模块,具体用于:根据所述账户属性值及预设初始密钥,采用基于可信计算组织TCG标准的扩展计算散列值的方式,生成第三密钥。
在一种可能的实施方式中,所述装置还包括:第一密钥导出模块,用于获取用户输入的第一加密口令信息;利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文;将所述第一硬盘的第一密钥密文导出到外部存储介质中。
在一种可能的实施方式中,所述装置还包括:
第一密钥更新模块,用于在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文;利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥;在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;所述装置还包括:
可信平台更换模块,用于在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文;利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥;将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密;在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系。
在一种可能的实施方式中,所述装置还包括:
硬盘移植模块,用于在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的;获取用户在所述第一电子设备中输入的所述第二加密口令信息;利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥;将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
本申请实施例还提供了一种可信平台芯片,所述可信平台芯片中存储有硬盘的第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系,当安装有所述可信平台芯片的电子设备在运行时,基于所述可信平台芯片中存储的硬盘的第二密钥、第一密钥及所述关联关系,实现本申请中任一所述的硬盘数据保护方法。
本申请实施例还提供了一种电子设备,包括:处理器、可信平台芯片及硬盘所述可信平台芯片,用于存储所述硬盘的第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系;所述处理器,用于在运行时实现本申请中任一所述的硬盘数据保护方法。
处理器在运行计算机程序时,能够实现本申请中任一所述的硬盘数据保护方法。该计算机程序可以存储在区域于所述硬盘的存储介质中;该计算机程序也可以存储在所述硬盘的某个分析中、且此种情况下存储有该计算机程序的分区并不通过第一密钥进行加密。
在一种可能的实施方式中,本申请实施例的电子设备还包括通信接口和通信总线,其中,处理器、通信接口、可信平台芯片、硬盘通过通信总线完成相互间的通信。
上述电子设备提到的通信总线可以是PCI(Peripheral ComponentInterconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
上述的处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时实现本申请中任一硬盘数据保护方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本申请中任一硬盘数据保护方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (13)
1.一种硬盘数据保护方法,其特征在于,所述方法包括:
获取安装有第一硬盘的第一电子设备的设备信息;
根据所述第一电子设备的设备信息,生成第三密钥;
在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;
向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥;
在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中;
根据所述第一电子设备的设备信息,生成第二密钥;
在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中;
建立所述第一存储位置与所述第二存储位置的关联关系。
3.根据权利要求2所述的方法,其特征在于,所述第一存储区域属于所述第一电子设备的可信平台模块的非易失性存储区域;所述第二存储区域属于所述第一电子设备的可信平台模块的平台配置寄存器区域。
4.根据权利要求1或2所述的方法,其特征在于,所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;
所述根据所述第一电子设备的设备信息,生成第三密钥,包括:
根据所述第一电子设备的用户名、密码及盐值生成账户属性值;
根据所述账户属性值及预设初始密钥,生成第三密钥。
5.根据权利要求4所述的方法,其特征在于,所述根据所述账户属性值及预设初始密钥,生成第三密钥,包括:
根据所述账户属性值及预设初始密钥,采用基于可信计算组织TCG标准的扩展计算散列值的方式,生成第三密钥。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取用户输入的第一加密口令信息;
利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文;
将所述第一硬盘的第一密钥密文导出到外部存储介质中。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文;
利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥;
在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据;
生成针对所述第一硬盘的新的第一密钥;
在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中;
根据所述第一电子设备的设备信息,生成新的第二密钥;
在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
建立新的第一存储位置与新的第二存储位置的关联关系。
8.根据权利要求6所述的方法,其特征在于,所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;所述方法还包括:
在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文;
利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥;
将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密;
生成针对所述第一硬盘的新的第一密钥;
将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密;
在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中;
根据所述第一电子设备的设备信息,生成新的第二密钥;
在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
建立新的第一存储位置与新的第二存储位置的关联关系。
9.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的;
获取用户在所述第一电子设备中输入的所述第二加密口令信息;
利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥;
将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
10.一种硬盘数据保护装置,其特征在于,所述装置包括:
设备信息获取模块,用于获取安装有第一硬盘的第一电子设备的设备信息;
第三密钥生成模块,用于根据所述第一电子设备的设备信息,生成第三密钥;
第一密钥获取模块,用于在所述第三密钥与所述第一硬盘对应的第二存储位置中存储的第二密钥相同的情况下,按照预先建立的存储第一密钥的存储位置与存储第二密钥的存储位置的关联关系,从所述第二存储位置关联的第一存储位置中读取第一密钥,其中,所述第二密钥为根据指定电子设备的设备信息生成的密钥,所述第二密钥的生成算法与所述第三密钥的生成算法相同;
第一密钥发送模块,用于向所述第一硬盘发送第一密钥,以使所述第一硬盘按照第一密钥进行加密及解密。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第一密钥生成模块,用于当第一硬盘首次在第一电子设备上使用时,生成针对所述第一硬盘的第一密钥;
第一密钥存储模块,用于在所述第一电子设备的第一存储区域中选取第一存储位置,将所述第一密钥存储到所述第一存储位置中;
第二密钥生成模块,用于当根据所述第一电子设备的设备信息,生成第二密钥;
第二密钥存储模块,用于在所述第一电子设备的第二存储区域中选取第二存储位置,将所述第二密钥存储到所述第二存储位置中;
关联关系建立模块,用于建立所述第一存储位置与所述第二存储位置的关联关系;
所述第一电子设备的设备信息包括所述第一电子设备的用户名及密码;所述第三密钥生成模块,具体用于:根据所述第一电子设备的用户名、密码及盐值生成账户属性值;根据所述账户属性值及预设初始密钥,生成第三密钥;
所述第三密钥生成模块,具体用于:根据所述账户属性值及预设初始密钥,采用基于可信计算组织TCG标准的扩展计算散列值的方式,生成第三密钥;
所述装置还包括:第一密钥导出模块,用于获取用户输入的第一加密口令信息;利用所述第一加密口令信息对所述第一硬盘的第一密钥进行加密,得到所述第一硬盘的第一密钥密文;将所述第一硬盘的第一密钥密文导出到外部存储介质中;
所述装置还包括:
第一密钥更新模块,用于在获取到针对所述第一硬盘的第一密钥的更新指令后,从所述第一电子设备连接的外部存储介质中导入密钥密文;利用用户输入的加密口令信息对导入的密钥密文进行解密,得到第四密钥;在所述第四密钥与所述第一硬盘的第一密钥相同的情况下,清除第一存储位置及第二存储位置中的数据;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于在第一存储区域中选取新的第一存储位置,并将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在第二存储区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系;
所述第一存储位置属于第一电子设备的可信平台模块的非易失性存储区域中的存储位置;所述第二存储位置属于所述第一电子设备的可信平台模块的平台配置寄存器区域中的存储位置;所述装置还包括:
可信平台更换模块,用于在更换所述第一电子设备的可信平台模块后,从所述外部存储介质中导入所述第一硬盘的第一密钥密文;利用用户输入的所述第一加密口令信息对所述第一硬盘的第一密钥密文进行解密,得到所述第一硬盘的第一密钥;将所述第一硬盘的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行解密;
第一密钥生成模块,用于生成针对所述第一硬盘的新的第一密钥;
第一密钥存储模块,用于将所述第一硬盘的新的第一密钥发送给所述第一硬盘,以使所述第一硬盘进行加密;在更换后的可信平台模块的非易失性存储区域中选取新的第一存储位置,将新的第一密钥存储到新的第一存储位置中;
第二密钥生成模块,用于根据所述第一电子设备的设备信息,生成新的第二密钥;
第二密钥存储模块,用于在更换后的可信平台模块的平台配置寄存器区域中选取新的第二存储位置,将新的第二密钥存储到新的第二存储位置中;
关联关系建立模块,用于建立新的第一存储位置与新的第二存储位置的关联关系;
所述装置还包括:硬盘移植模块,用于在将第二电子设备的第二硬盘移植到所述第一电子设备后,从保存有所述第二硬盘的第一密钥密文的外部存储介质中向所述第一电子设备导入所述第二硬盘的第一密钥密文,其中,所述第二硬盘的第一密钥密文是利用第二加密口令信息对所述第二硬盘的第一密钥加密得到的;获取用户在所述第一电子设备中输入的所述第二加密口令信息;利用所述第二加密口令信息对所述第二硬盘的第一密钥密文进行解密,得到所述第二硬盘的第一密钥;将所述第二硬盘的第一密钥发送给所述第二硬盘,以使所述第二硬盘进行解密。
12.一种可信平台芯片,其特征在于,所述可信平台芯片中存储有硬盘的第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系,当安装有所述可信平台芯片的电子设备在运行时,基于所述可信平台芯片中存储的硬盘的第二密钥、第一密钥及所述关联关系,实现权利要求1-9任一所述的硬盘数据保护方法。
13.一种电子设备,其特征在于,包括:
处理器、可信平台芯片及硬盘;
所述可信平台芯片,用于存储所述硬盘的第二密钥、第一密钥、存储所述第二密钥的第二存储位置与存储所述第一密钥的第一存储位置的关联关系;
所述处理器,用于在运行时实现权利要求1-9任一所述的硬盘数据保护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263154.6A CN114006695B (zh) | 2021-10-28 | 2021-10-28 | 硬盘数据保护方法、装置、可信平台芯片及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263154.6A CN114006695B (zh) | 2021-10-28 | 2021-10-28 | 硬盘数据保护方法、装置、可信平台芯片及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006695A CN114006695A (zh) | 2022-02-01 |
CN114006695B true CN114006695B (zh) | 2024-02-02 |
Family
ID=79924551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111263154.6A Active CN114006695B (zh) | 2021-10-28 | 2021-10-28 | 硬盘数据保护方法、装置、可信平台芯片及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006695B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6012146A (en) * | 1995-10-27 | 2000-01-04 | Ncr Corporation | Password protection for removable hard drive |
CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密系统 |
CN102346716A (zh) * | 2011-09-20 | 2012-02-08 | 记忆科技(深圳)有限公司 | 硬盘存储设备的加密方法和解密方法及其加解密系统 |
CN106203142A (zh) * | 2016-07-20 | 2016-12-07 | 杭州华澜微电子股份有限公司 | 一种保护计算机的主硬盘数据的方法及装置 |
CN107908574A (zh) * | 2017-11-22 | 2018-04-13 | 深圳华中科技大学研究院 | 固态盘数据存储的安全保护方法 |
CN109063518A (zh) * | 2014-12-31 | 2018-12-21 | 群联电子股份有限公司 | 数据存取方法与系统及存储器存储装置 |
WO2019029393A1 (zh) * | 2017-08-08 | 2019-02-14 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
CN112035826A (zh) * | 2020-08-24 | 2020-12-04 | 深圳市欢太科技有限公司 | 密码管理方法、装置、存储介质及电子设备 |
WO2021018306A1 (zh) * | 2019-07-31 | 2021-02-04 | 华为技术有限公司 | 一种认证凭据保护方法和系统 |
CN112632593A (zh) * | 2021-03-09 | 2021-04-09 | 冷杉云(北京)科技股份有限公司 | 数据存储方法、数据处理方法、设备以及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8687814B2 (en) * | 2011-05-20 | 2014-04-01 | Citrix Systems, Inc. | Securing encrypted virtual hard disks |
US10389693B2 (en) * | 2016-08-23 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Keys for encrypted disk partitions |
US11868995B2 (en) * | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
-
2021
- 2021-10-28 CN CN202111263154.6A patent/CN114006695B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6012146A (en) * | 1995-10-27 | 2000-01-04 | Ncr Corporation | Password protection for removable hard drive |
CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密系统 |
CN102346716A (zh) * | 2011-09-20 | 2012-02-08 | 记忆科技(深圳)有限公司 | 硬盘存储设备的加密方法和解密方法及其加解密系统 |
CN109063518A (zh) * | 2014-12-31 | 2018-12-21 | 群联电子股份有限公司 | 数据存取方法与系统及存储器存储装置 |
CN106203142A (zh) * | 2016-07-20 | 2016-12-07 | 杭州华澜微电子股份有限公司 | 一种保护计算机的主硬盘数据的方法及装置 |
WO2019029393A1 (zh) * | 2017-08-08 | 2019-02-14 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
CN107908574A (zh) * | 2017-11-22 | 2018-04-13 | 深圳华中科技大学研究院 | 固态盘数据存储的安全保护方法 |
WO2021018306A1 (zh) * | 2019-07-31 | 2021-02-04 | 华为技术有限公司 | 一种认证凭据保护方法和系统 |
CN112035826A (zh) * | 2020-08-24 | 2020-12-04 | 深圳市欢太科技有限公司 | 密码管理方法、装置、存储介质及电子设备 |
CN112632593A (zh) * | 2021-03-09 | 2021-04-09 | 冷杉云(北京)科技股份有限公司 | 数据存储方法、数据处理方法、设备以及存储介质 |
Non-Patent Citations (2)
Title |
---|
一种加密硬盘的身份鉴别和密钥保护方案;谷双双;夏鲁宁;贾世杰;;密码学报(02);全文 * |
基于安全终端的U盘加密方法探究;范文旭;;无线互联科技(11);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114006695A (zh) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111539813B (zh) | 业务行为的回溯处理方法、装置、设备及系统 | |
US10615967B2 (en) | Rapid data protection for storage devices | |
CN101971186B (zh) | 信息泄露防止装置和方法及其程序 | |
CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
US8423789B1 (en) | Key generation techniques | |
US8886964B1 (en) | Protecting remote asset against data exploits utilizing an embedded key generator | |
CN102855452B (zh) | 基于加密组块的快速数据加密策略遵从 | |
US20120096257A1 (en) | Apparatus and Method for Protecting Storage Data of a Computing Apparatus in an Enterprise Network System | |
US8181028B1 (en) | Method for secure system shutdown | |
US20150078550A1 (en) | Security processing unit with configurable access control | |
US9824231B2 (en) | Retention management in a facility with multiple trust zones and encryption based secure deletion | |
US11755499B2 (en) | Locally-stored remote block data integrity | |
CN103931137A (zh) | 用于保护内容的方法和存储设备 | |
KR20180010482A (ko) | 사물인터넷 디바이스의 보안 방법 및 장치 | |
CN114942729A (zh) | 一种计算机系统的数据安全存储与读取方法 | |
US7975141B2 (en) | Method of sharing bus key and apparatus therefor | |
US10397205B2 (en) | Recording data and using the recorded data | |
CN112088376A (zh) | 一种文件存储方法、装置及存储介质 | |
JP7077872B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
US20230021749A1 (en) | Wrapped Keys with Access Control Predicates | |
CN114006695B (zh) | 硬盘数据保护方法、装置、可信平台芯片及电子设备 | |
US9270649B1 (en) | Secure software authenticator data transfer between processing devices | |
CN110764797A (zh) | 一种芯片中文件的升级方法、装置、系统及服务器 | |
CN110932853A (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |