JP2021185472A - Disk encryption protection method and device, electronic device, computer readable storage medium and computer program - Google Patents

Disk encryption protection method and device, electronic device, computer readable storage medium and computer program Download PDF

Info

Publication number
JP2021185472A
JP2021185472A JP2021053753A JP2021053753A JP2021185472A JP 2021185472 A JP2021185472 A JP 2021185472A JP 2021053753 A JP2021053753 A JP 2021053753A JP 2021053753 A JP2021053753 A JP 2021053753A JP 2021185472 A JP2021185472 A JP 2021185472A
Authority
JP
Japan
Prior art keywords
key
disk
storage slot
target device
security chip
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021053753A
Other languages
Japanese (ja)
Other versions
JP7203880B2 (en
Inventor
珍珍 石
Zhenzhen Shi
亮 曹
Liang Cao
利民 ▲ハオ▼
Limin Hao
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Publication of JP2021185472A publication Critical patent/JP2021185472A/en
Application granted granted Critical
Publication of JP7203880B2 publication Critical patent/JP7203880B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/123Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/0875Registering performance data using magnetic data carriers

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Remote Sensing (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Storage Device Security (AREA)

Abstract

To provide a disk encryption protection method and device, an electronic device, a computer readable storage medium and a computer program which can protect a disk by using a different encryption method, and increase security of an encryption disk, by determining different hardware.SOLUTION: A disk encryption protection method includes: encrypting a disk of a target device to generate a key corresponding to the disk and obtain an encryption disk; detecting whether or not a security chip is prepared in the target device; and determining an encryption method of the key and a storage slot of a key parameter based on a detection result. The encryption disk includes a plurality of storage slots. The key parameter which encrypts the disk is stored based on a fixed password, in a first storage slot.SELECTED DRAWING: Figure 2

Description

本開示の実施例は、コンピュータ技術の分野に関し、具体的には、人工知能技術に関し、ディスク暗号化保護方法及び装置、電子デバイス、コンピュータ可読記憶媒体及びコンピュータプログラムに関する。 The embodiments of the present disclosure relate to the field of computer technology, specifically to artificial intelligence technology, to disk encryption protection methods and devices, electronic devices, computer readable storage media and computer programs.

機密データがオフラインで盗まれるのを防ぐために、ディスクデバイスは一般的にディスク暗号化技術を採用し、従来のLUKS(Linux(登録商標) Unified Key Setup、Linux(登録商標)統一キー設定)ディスク暗号化キーは、簡単なパスワードまたはファイルによって保護される。パスワードによって保護する方式では、手動入力が必要であり、自動運転システムの要求を満たさない。ファイルによる保護の方式は、ファイルを暗号化されていないディスクに格納する必要があり、セキュリティが保証されていない。 To prevent sensitive data from being stolen offline, disk devices generally employ disk encryption technology and traditional Linux (Linux® Unified Key Setup, Linux® unified key setup) disk encryption. The encryption key is protected by a simple password or file. The password-protected method requires manual input and does not meet the requirements of autonomous driving systems. The method of file protection requires that the file be stored on an unencrypted disk, and security is not guaranteed.

本開示では、ディスク暗号化保護方法及び装置、電子デバイス、コンピュータ可読記憶媒体及びコンピュータプログラムを提供する。 The present disclosure provides disk encryption protection methods and devices, electronic devices, computer-readable storage media and computer programs.

第1態様によると、ターゲットデバイスのディスクを暗号化し、ディスクに対応するキー(鍵)を生成し、暗号化ディスクを得ることと、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定し、ここで、暗号化ディスクは、複数の記憶スロットを含み、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶されることと、を含むディスク暗号化保護方法を提供する。 According to the first aspect, the disk of the target device is encrypted, the key corresponding to the disk is generated, the encrypted disk is obtained, and whether or not the target device is provided with a security chip is detected and detected. Based on the result, the encryption method of the key and the storage slot of the key parameter corresponding to the key are determined, where the encrypted disk contains a plurality of storage slots and the first storage slot is a fixed password. Provides disk encryption protection methods, including storing password key parameters that encrypt the disk based on it.

第2態様によると、ターゲットデバイスのディスクを暗号化し、ディスクに対応するキーを生成し、暗号化ディスクを得るように構成される暗号化ユニットと、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定し、ここで、暗号化ディスクは、複数の記憶スロットを含み、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶されるように構成される確定ユニットと、を含むことを特徴とするディスク暗号化保護装置を提供する。 According to the second aspect, an encryption unit configured to encrypt the disk of the target device, generate a key corresponding to the disk, and obtain an encrypted disk, and whether or not the target device is provided with a security chip. Based on the detection and the detection result, the encryption method of the key and the storage slot of the key parameter corresponding to the key are determined, where the encrypted disk contains a plurality of storage slots and the first storage slot contains the storage slot. Provided is a disk encryption protection device comprising:, a definitive unit configured to store password key parameters that encrypt a disk based on a fixed password.

第3態様によると、少なくとも1つのプロセッサと、少なくとも1つのプロセッサに通信接続されたメモリと、を含み、ここで、メモリには、少なくとも1つのプロセッサによって実行可能な指令が記憶され、指令が少なくとも1つのプロセッサによって実行されることにより、上記第1態様のいずれかに記載の方法を少なくとも1つのプロセッサに実行させる電子デバイスを提供する。 According to a third aspect, it includes at least one processor and a memory communicatively connected to at least one processor, wherein the memory stores instructions that can be executed by at least one processor and the instructions are at least. Provided is an electronic device that, by being executed by one processor, causes at least one processor to perform the method according to any one of the first aspects.

第4態様によると、コンピュータ指令が記憶された非一時的コンピュータ可読記憶媒体であって、コンピュータ指令は、第1態様のいずれかに記載の方法をコンピュータに実行させるために使用されることを特徴とする非一時的コンピュータ可読記憶媒体を提供する。 According to a fourth aspect, it is a non-temporary computer-readable storage medium in which computer instructions are stored, wherein the computer instructions are used to cause a computer to perform the method according to any one of the first aspects. Provide a non-temporary computer-readable storage medium.

第5態様によると、コンピュータプログラムであって、当該コンピュータプログラムは、プロセッサにより実行されると、第1態様のいずれかに記載の方法をコンピュータに実行させるコンピュータプログラムを提供する。 According to a fifth aspect, a computer program, which, when executed by a processor, provides a computer program that causes the computer to perform the method according to any one of the first aspects.

本発明の技術によると、セキュリティチップに関する異なるターゲットデバイスの検出結果を判断することにより、異なる暗号化方式を使用してディスクを保護して、暗号化ディスクのセキュリティを高め、また、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶され、その固定パスワード暗号化方式は、従来のLinux(登録商標)システムのインストールに適合することができる。 According to the technique of the present invention, by determining the detection result of different target devices regarding the security chip, the disk is protected by using different encryption methods, the security of the encrypted disk is enhanced, and the first storage is also performed. The slot stores password key parameters that encrypt the disk based on a fixed password, and the fixed password encryption method can be adapted to the installation of a conventional Linux® system.

本明細書で記載された内容は、本開示の実施例のキーとなる特徴または重要な特徴を限定することを意図したものではなく、本開示の範囲を制限するものでもないことを理解すべきである。本開示の他の特徴は、以下の説明によって容易に理解される。 It should be understood that the content described herein is not intended to limit the key or important features of the embodiments of the present disclosure and is not intended to limit the scope of the present disclosure. Is. Other features of the present disclosure are readily understood by the following description.

図面は、本技術案をよりよく理解するために使用され、本発明に対する限定を構成するものではない。
本開示の一実施例が適用可能な例示的なシステムアーキテクチャ図である。 本開示によるディスク暗号化保護方法の一実施例のフローチャートである。 本開示によるディスク暗号化保護方法の一応用シーンを示す概略図である。 本開示によるディスク暗号化保護方法の別の実施例のフローチャートである。 本開示によるディスク暗号化保護装置の一実施例の概略構成図である。 本開示の実施例の電子デバイス/端末装置またはサーバを実現するために適用されるコンピュータシステムの概略構成図である。 The drawings are used to better understand the proposed invention and do not constitute a limitation to the present invention.
It is an exemplary system architecture diagram to which one embodiment of the present disclosure is applicable. It is a flowchart of one Example of the disk encryption protection method by this disclosure. It is a schematic diagram which shows one application scene of the disk encryption protection method by this disclosure. It is a flowchart of another embodiment of the disk encryption protection method by this disclosure. It is a schematic block diagram of the Example of the disk encryption protection device by this disclosure. It is a schematic block diagram of the computer system applied to realize the electronic device / terminal apparatus or server of the embodiment of this disclosure.

以下、図面に関連して本発明の例示的な実施例を説明し、理解を助けるための本発明の実施例の様々な詳細を含み、それらは単なる例示的なものにすぎないとすべきである。したがって、当業者は、本発明の範囲および精神から逸脱しない限り、本明細書に記載された実施例に対して様々な変更および修正を行うことができることを認識すべきである。同様に、明確かつ簡単明瞭にするために、以下の説明では、公知の機能および構造に対する説明が省略する。 Hereinafter, exemplary embodiments of the invention are described in the context of the drawings and include various details of the embodiments of the invention to aid understanding, which should be merely exemplary. be. Accordingly, one of ordinary skill in the art should be aware that various modifications and modifications can be made to the embodiments described herein without departing from the scope and spirit of the invention. Similarly, for clarity and simplicity, the following description omits description of known functions and structures.

図1には、本願に係るディスク暗号化保護方法および装置を応用し得る例示的なシステムアーキテクチャ100が示されている。 FIG. 1 shows an exemplary system architecture 100 to which the disk encryption protection method and apparatus according to the present application can be applied.

図1に示すように、システムアーキテクチャ100は、端末装置101、102、103と、ネットワーク104と、サーバー105とを含むことができる。ネットワーク104は、端末装置101、102、103とサーバー105との間に通信リンクの媒介を提供するために使用される。ネットワーク104は、例えば有線、無線通信リンク、または光ファイバケーブルなどの様々な接続タイプを含むことができる。 As shown in FIG. 1, the system architecture 100 can include terminal devices 101, 102, 103, a network 104, and a server 105. The network 104 is used to provide the mediation of a communication link between the terminal devices 101, 102, 103 and the server 105. The network 104 can include various connection types such as, for example, wired, wireless communication links, or fiber optic cables.

端末装置101、102、103は、ネットワーク接続をサポートすることにより、データのインタラクションとデータ処理を行うハードウェア装置またはソフトウェアであってもよい。端末装置101、102、103がハードウェアである場合、情報のインタラクション、ネットワーク接続、情報処理などの機能をサポートする様々な電子デバイスであってもよく、スマートフォン、タブレットコンピュータ、電子書籍リーダー、ラップトップコンピュータ、デスクトップコンピュータ、車載コンピュータなどが含まれるが、これらに限定されない。端末装置101、102、103がソフトウェアである場合、上述した電子デバイスに取り付けることができる。例えば、分散型サービスを提供するための複数のソフトウェアまたはソフトウェアモジュールとして実装されてもよく、単一のソフトウェアまたはソフトウェアモジュールとして実装されてもよい。ここで具体的な限定はしない。 The terminal devices 101, 102, 103 may be hardware devices or software that interact and process data by supporting network connectivity. When the terminal devices 101, 102, 103 are hardware, they may be various electronic devices that support functions such as information interaction, network connection, and information processing, such as smartphones, tablet computers, e-book readers, and laptops. Includes, but is not limited to, computers, desktop computers, in-vehicle computers, and the like. When the terminal devices 101, 102, and 103 are software, they can be attached to the above-mentioned electronic device. For example, it may be implemented as multiple software or software modules to provide distributed services, or it may be implemented as a single software or software module. There are no specific restrictions here.

サーバー105は、様々なサービスを提供するサーバーであってもよく、例えば、端末装置101、102、103に対してディスク暗号化を行うバックグラウンド処理サーバーである。バックグラウンド処理サーバーは、端末装置に対してディスク暗号化を行い、ターゲットデバイスにセキュリティチップが設けられているかどうかの検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定することができる。例示として、サーバー105はクラウドサーバーであってもよい。 The server 105 may be a server that provides various services, for example, a background processing server that performs disk encryption on the terminal devices 101, 102, and 103. The background processing server performs disk encryption on the terminal device and stores the key encryption method and the key parameter corresponding to the key based on the detection result of whether the target device has a security chip. Can be confirmed. As an example, the server 105 may be a cloud server.

なお、サーバーは、ハードウェアでもよくソフトウェアでもよい。サーバーがハードウェアである場合、複数のサーバーからなる分散型サーバークラスターとして実現されてもよく、単一のサーバーとして実現されてもよい。サーバーがソフトウェアである場合、複数のソフトウェアまたはソフトウェアモジュール(例えば分散型サービスを提供するためのソフトウェアまたはソフトウェアモジュール)として実装されてもよく、単一のソフトウェアまたはソフトウェアモジュールとして実装されてもよい。ここで具体的な限定はしない。 The server may be hardware or software. When the server is hardware, it may be realized as a distributed server cluster consisting of a plurality of servers, or it may be realized as a single server. When the server is software, it may be implemented as multiple software or software modules (eg, software or software modules for providing distributed services), or as a single software or software module. There are no specific restrictions here.

なお、本開示の実施例によるディスク暗号化保護方法は、サーバーによって実行されてもよく、端末装置によって実行されてもよく、サーバーと端末装置によって互いに協力して実行されてもよい。対応して、情報処理装置に含まれる各部分(例えば、各ユニット、サブユニット、モジュール、サブモジュール)は、全てサーバーに設けてもよく、全て端末装置に設けてもよく、それぞれサーバーと端末装置に設けてもよい。 The disk encryption protection method according to the embodiment of the present disclosure may be executed by the server, may be executed by the terminal device, or may be executed by the server and the terminal device in cooperation with each other. Correspondingly, each part (for example, each unit, subunit, module, submodule) included in the information processing device may be provided in the server or in the terminal device, respectively, and the server and the terminal device, respectively. It may be provided in.

図1の端末装置、ネットワーク、およびサーバーの数は単なる例示であることを理解すべきである。必要に応じて、任意の数の端末装置、ネットワーク、およびサーバーを備えることができる。ディスク暗号化保護方法が実行される電子デバイスが他の電子デバイスとのデータ転送を行う必要がない場合、当該システムアーキテクチャは、ディスク暗号化保護方法が実行される電子デバイス(例えば、サーバーまたは端末装置)のみを含むことができる。 It should be understood that the number of terminal devices, networks, and servers in FIG. 1 is merely exemplary. It can be equipped with any number of terminal devices, networks, and servers as needed. If the electronic device on which the disk encryption protection method is performed does not need to transfer data to another electronic device, the system architecture is such that the electronic device on which the disk encryption protection method is performed (eg, a server or terminal device). ) Only can be included.

続けて図2を参照すると、ディスク暗号化保護方法の一実施例のフロー200が示され、以下のステップを含む。 Subsequently referring to FIG. 2, a flow 200 of an embodiment of the disk encryption protection method is shown, including the following steps.

ステップ201において、ターゲットデバイスのディスクを暗号化し、ディスクに対応するキーを生成し、暗号化ディスクを得る。 In step 201, the disk of the target device is encrypted, a key corresponding to the disk is generated, and an encrypted disk is obtained.

本実施例において、ディスク暗号化保護方法の実行主体(例えば図1における端末装置またはサーバー)は、ターゲットデバイスのディスクを暗号化し、ディスクに対応するキーを生成し、暗号化ディスクを得ることができる。 In this embodiment, the execution subject of the disk encryption protection method (for example, the terminal device or the server in FIG. 1) can encrypt the disk of the target device, generate the key corresponding to the disk, and obtain the encrypted disk. ..

例示として、上記実行主体は、LUKS(Linux(登録商標) Unified Key Setup、Linux(登録商標)統一キー設定)技術に基づいて、ターゲットデバイスのディスクを暗号化することができ、AES(Advanced Encryption Standard、高度暗号化基準)暗号化アルゴリズム、Cast暗号化アルゴリズム、Serpent暗号化アルゴリズムを含むが、これらに限定されない。LUKS技術は、Linux(登録商標)ハードディスク暗号化の基準である。基準的なディスクフォーマットを提供することにより、LUKS技術は、バージョン間の互換性を促進するだけでなく、複数のユーザのパスワードに対するセキュリティ上の管理を提供することができる。 As an example, the executing entity can encrypt the disk of the target device based on the LUKS (Linux (registered trademark) Unified Key Set, Linux (registered trademark) unified key setting) technology, and the AES (Advanced Encryption Standard) can be encrypted. , Advanced encryption standard) Includes, but is not limited to, encryption algorithms, Cast encryption algorithms, and Serpent encryption algorithms. Linux Unified Key Setup is the standard for Linux® hard disk encryption. By providing a standard disk format, LUKS technology can not only facilitate compatibility between versions, but also provide security controls for passwords of multiple users.

ターゲットデバイスは、磁気ディスクが設けられた任意の端末装置であってもよく、例示として、ターゲットデバイスは、図1におけるデスクトップコンピュータ、車載コンピュータなどであってもよい。 The target device may be any terminal device provided with a magnetic disk, and by way of example, the target device may be the desktop computer, the in-vehicle computer, or the like in FIG.

なお、本ステップの実行主体は、端末装置であってもよく、サーバーであってもよい。端末装置がディスク暗号化機能を有する場合、本ステップの実行主体はディスク暗号化機能を有する端末装置であってもよい。サーバーがディスク暗号化機能を有する場合、本ステップの実行主体はディスク暗号化機能を有するサーバーであってもよい。 The execution subject of this step may be a terminal device or a server. When the terminal device has a disk encryption function, the execution subject of this step may be a terminal device having a disk encryption function. When the server has a disk encryption function, the execution subject of this step may be a server having a disk encryption function.

ステップ202において、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定する。 In step 202, it is detected whether or not the target device is provided with a security chip, and based on the detection result, the key encryption method and the storage slot of the key parameter corresponding to the key are determined.

本実施例において、上記実行主体は、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定することができる。 In this embodiment, the execution subject detects whether or not the target device is provided with a security chip, and determines the key encryption method and the storage slot of the key parameter corresponding to the key based on the detection result. Can be done.

ここで、暗号化ディスクは複数の記憶スロットを含み、例えば、LUKS技術に基づいて暗号化して得られた暗号化ディスクの内部の暗号化パーティションは、ボリュームヘッダ、暗号化データエリアなどの部分から構成され、ボリュームヘッダにはデフォルトで8つのスロット(key slot)を提供でき、スロットごとに、異なる暗号化方式に基づいて得られたキーのキーパラメータを記憶することができる。キーとその対応するキーパラメータは、暗号化ディスクを復号化キーとみなすことができ、任意のキーを使っても、LUKS技術に基づいて暗号化して得られた暗号化ディスクを開くことができる。 Here, the encrypted disk includes a plurality of storage slots, and for example, the encrypted partition inside the encrypted disk obtained by encrypting based on the LUKS technology is composed of parts such as a volume header and an encrypted data area. The volume header can be provided with eight slots (key slots) by default, and each slot can store the key parameters of the key obtained based on a different encryption method. The key and its corresponding key parameters can consider the encrypted disk as the decryption key, and any key can be used to open the encrypted disk obtained by encryption based on the LUKS technology.

本実施例において、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶され、その固定パスワード暗号化方式は、従来のLinux(登録商標)システムのインストールに適合することができる。例として、従来のLinux(登録商標)システムは、Ubuntuシステムであってもよい。Ubuntuシステムをインストールする場合、Ubuntuシステムをインストールするディスクを暗号化する際に、固定パスワードを手動で入力し、パスワードキーパラメータはデフォルトで第1の記憶スロットに記憶される。 In this embodiment, the first storage slot stores a password key parameter that encrypts a disk based on a fixed password, and the fixed password encryption method is suitable for installation of a conventional Linux® system. can do. As an example, the conventional Linux® system may be an Ubuntu system. When installing the Ubuntu system, when encrypting the disk on which the Ubuntu system is installed, you manually enter a fixed password and the password key parameters are stored in the first storage slot by default.

本実施例において、任意の暗号化方式を使用してキーを暗号化することができる。ホワイトボックス暗号化、ブラックボックス暗号化、キーのシステム状態へのバイディングなどを含むが、これらに限定されない。キーをシステム状態にバイディングする暗号化方式は、BIOS(Basic Input Output System、基本入出力システム)、GRUB(GRand Unified Bootloader、統合ブートローダー)、カーネル又は初期化ミラーリングなどのプリセットシステムの任意の部分の状態が変化した場合、キーを取得できなくなることを示すために使用され、キーのセキュリティがさらに保証される。 In this embodiment, the key can be encrypted using any encryption method. Includes, but is not limited to, white box encryption, black box encryption, binding of keys to system state, and the like. The encryption method that binds the key to the system state is any part of the preset system such as BIOS (Basic Input Output System), GRUB (Grand Unified Bootloader), kernel or initialization mirroring. It is used to indicate that the key cannot be obtained if the state of the key changes, further guaranteeing the security of the key.

例示として、セキュリティチップが設けられたターゲットデバイスに対して、上記実行主体は、キーをシステム状態とバイディングし、キーとプリセットシステムのシステム状態をセキュリティチップに関連付けて記憶することができ、キーパラメータが暗号化ディスクの第2の記憶スロットに記憶される。セキュリティチップがないターゲットデバイスに対して、キーはホワイトボックス保護を採用し、パスワード及び暗号文はLUKS headerに記憶され、キーパラメータは暗号化ディスクの第3の記憶スロットに記憶される。 As an example, for a target device provided with a security chip, the execution subject can bind the key to the system state and store the key and the system state of the preset system in association with the security chip. Is stored in the second storage slot of the encrypted disk. For target devices without a security chip, the key employs white box protection, the password and ciphertext are stored in the LUKS header, and the key parameters are stored in the third storage slot of the encrypted disk.

続けて図3を参照して、図3は、本実施例によるディスク暗号化保護方法の応用シーンを示す概略図である。図3の応用シーンにおいて、ユーザは家庭用自動車301の車載コンピュータ302に自動運転システムをインストールしようとする。車載コンピュータ302は、車載コンピュータ302のディスク303を暗号化し、ディスク303に対応するキーを生成し、暗号化ディスクを得る。次に、車載コンピュータ302は、車載コンピュータにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定し、ここで、暗号化ディスクは複数の記憶スロットを含み、第1の記憶スロットには固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶されている。 Subsequently, with reference to FIG. 3, FIG. 3 is a schematic diagram showing an application scene of the disk encryption protection method according to the present embodiment. In the application scene of FIG. 3, the user tries to install the automatic driving system on the in-vehicle computer 302 of the home-use automobile 301. The in-vehicle computer 302 encrypts the disk 303 of the in-vehicle computer 302, generates a key corresponding to the disk 303, and obtains an encrypted disk. Next, the in-vehicle computer 302 detects whether or not the in-vehicle computer is provided with a security chip, and based on the detection result, determines the key encryption method and the storage slot of the key parameter corresponding to the key, and here. The encrypted disk includes a plurality of storage slots, and the first storage slot stores a password key parameter for encrypting the disk based on a fixed password.

本開示の上記実施例による方法では、異なるハードウェアにセキュリティチップが設けられているかどうかを判断することにより、異なる暗号化方式を使用してディスクを保護して、暗号化ディスクのセキュリティを高め、そして、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶され、その固定パスワード暗号化方式は従来のLinux(登録商標)システムのインストールに適合することができる。 In the method according to the above embodiment of the present disclosure, a different encryption method is used to protect the disk and enhance the security of the encrypted disk by determining whether or not the security chip is provided in different hardware. A password key parameter that encrypts the disk based on a fixed password is stored in the first storage slot, and the fixed password encryption method can be adapted to the installation of a conventional Linux (registered trademark) system. ..

続けて図4を参照すると、本発明によるディスク暗号化保護方法の別の実施例の概略的なフロー400が示され、以下のステップを含む。 Subsequently referring to FIG. 4, a schematic flow 400 of another embodiment of the disk encryption protection method according to the invention is shown, including the following steps.

ステップ401において、ターゲットデバイスにプリセットシステムをインストールする場合、ターゲットデバイスのディスクを暗号化し、前記ディスクに対応するキーを生成し、暗号化ディスクを得る。 In step 401, when installing the preset system on the target device, the disk of the target device is encrypted, the key corresponding to the disk is generated, and the encrypted disk is obtained.

ステップ402において、キーに対してホワイトボックス暗号化を行い、ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、キーパラメータを第2の記憶スロットに記憶し、ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、キーパラメータを第3の記憶スロットに記憶する。 In step 402, white box encryption is performed on the key, and the key parameter is stored in the second storage slot in response to the determination that the target device is provided with the security chip, and the target device is secured. The key parameters are stored in the third storage slot in response to the determination that the chip is not provided.

ステップ403において、プリセットシステムを起動する場合、暗号化ディスクを復号化するときにアクティブ化されたスロットを検出する。 In step 403, when booting the preset system, the slot activated when decrypting the encrypted disk is detected.

ステップ404において、アクティブ化されたスロットが第1の記憶スロットであると確定したことに応答して、固定パスワード及びパスワードキーパラメータによって、暗号化ディスクを復号化することにより、復号化ディスクを得る。 In response to determining that the activated slot is the first storage slot in step 404, the decrypted disk is obtained by decrypting the encrypted disk with a fixed password and password key parameters.

ステップ405において、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、復号化ディスクを再暗号化して得られた第1の更新キーの暗号化方式と第1の更新キーに対応する第1の更新キーパラメータの記憶スロットを確定する。 In step 405, the encryption method and the first update of the first update key obtained by detecting whether or not the target device is provided with the security chip and re-encrypting the decryption disk based on the detection result. Determine the storage slot for the first update key parameter that corresponds to the key.

本実施例において、上記実行主体は、上記ステップ405は以下の具体的方法により実行することができる。 In this embodiment, the execution subject can execute the step 405 by the following specific method.

ステップ4051において、ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、第1の更新キーとプリセットシステムのシステム状態をセキュリティチップに関連付けて記憶する。 In step 4051, in response to the determination that the target device is provided with the security chip, the first update key and the system state of the preset system are stored in association with the security chip.

ステップ4052において、ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、第1の更新キーに対してホワイトボックス暗号化を行う。 In step 4052, white box encryption is performed on the first update key in response to the determination that the target device is not provided with the security chip.

ステップ4053において、固定パスワードを第1の更新キーに置き換え、第1の更新キーパラメータを第3の記憶スロットに記憶する。 In step 4053, the fixed password is replaced with the first update key and the first update key parameter is stored in the third storage slot.

ステップ406において、アクティブ化されたスロットが第2の記憶スロットであると確定したことに応答して、キーが第2の記憶スロットにおけるキーパラメータに合致するかどうかを確定する。 In step 406, in response to determining that the activated slot is the second storage slot, it is determined whether the key matches the key parameters in the second storage slot.

ステップ407において、キーが第2の記憶スロットにおけるキーパラメータに合致したことに応答して、キー及びキーパラメータで暗号化ディスクを復号化することにより、復号化ディスクを得る。 In step 407, a decrypted disc is obtained by decrypting the encrypted disc with the key and the key parameter in response to the key matching the key parameter in the second storage slot.

ステップ408において、復号化ディスクを暗号化し、第2の更新キーと第2の更新キーパラメータを生成し、第2の更新キーとプリセットシステムのシステム状態をセキュリティチップに関連付けて記憶する。 In step 408, the decrypted disk is encrypted, a second update key and a second update key parameter are generated, and the second update key and the system state of the preset system are stored in association with the security chip.

ステップ409において、第2の更新キーパラメータを第3の記憶スロットに記憶する。 In step 409, the second update key parameter is stored in the third storage slot.

ステップ410において、プリセットシステムをアップグレードする前に、暗号化ディスクを復号化し、復号化の時にアクティブ化されたスロットを検出し、且つターゲットデバイスにセキュリティチップが設けられているかどうかを確定する。 In step 410, before upgrading the preset system, the encrypted disk is decrypted, the slot activated at the time of decryption is detected, and it is determined whether the target device is provided with a security chip.

ステップ411において、アクティブ化されたスロットが第3の記憶スロットであると確定したこと、及びターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、第2の更新キー及び第2の更新キーパラメータで暗号化ディスクを復号化することにより、復号化ディスクを得る。 In step 411, in response to the determination that the activated slot is the third storage slot and the determination that the target device is equipped with a security chip, the second update key and the second A decrypted disk is obtained by decrypting the encrypted disk with the update key parameter of.

ステップ412において、復号化ディスクを暗号化し、アップグレードキー及びアップグレードキーパラメータを生成する。 In step 412, the decrypted disk is encrypted and an upgrade key and an upgrade key parameter are generated.

ステップ413において、アップグレードキーに対してホワイトボックス暗号化を行い、アップグレードキーパラメータを第2の記憶スロットに記憶する。 In step 413, white box encryption is performed on the upgrade key, and the upgrade key parameter is stored in the second storage slot.

なお、上記に記載された内容に加えて、本開示の実施例は、図2に対応する実施例と同じまたは同様の特徴、効果を含むことができ、ここでは説明を省略する。 In addition to the contents described above, the embodiments of the present disclosure may include the same or similar features and effects as the embodiments corresponding to FIG. 2, and the description thereof will be omitted here.

図4から分かるように、図2に対応する実施例と比較して、本実施例におけるディスク暗号化保護方法のフロー400では、プリセットシステムのインストール、起動、及びアップグレードプロセスにおけるディスク復号化のフローを強調した。なお、本実施例では、プリセットシステムの完全なインストール、起動、およびアップグレードプロセスを含むが、ディスク暗号化保護方法の実施例では、別個のインストール、起動、またはアップグレードプロセスを含み得ることを理解すべきである。このように、本実施例で説明された態様では、プリセットシステムのインストール、起動、及びアップグレードプロセスにおいて、ディスクの自動復号化を実現し、インテリジェント化の度合いを向上させ、ターゲットデバイスにセキュリティチップが設けられている場合、キーをシステム状態にバイディングし、システムの状態が変化した場合、キーを取得できなくなり、キーのセキュリティがさらに保証され、プリセットシステムの起動およびアップグレードプロセスに対して、キーの移行を行うことにより、プリセットシステムのアップグレードが成功するか否かが次回のシステム起動時のディスク復号化には影響を与えず、インテリジェント化の度合いをさらに向上させた。 As can be seen from FIG. 4, in comparison with the embodiment corresponding to FIG. 2, in the flow 400 of the disk encryption protection method in this embodiment, the flow of disk decryption in the process of installing, starting, and upgrading the preset system is described. Emphasized. It should be noted that while this example includes a complete installation, boot, and upgrade process for the preset system, examples of disk encryption protection methods may include separate installation, boot, or upgrade processes. Is. As described above, in the embodiment described in this embodiment, automatic disk decryption is realized, the degree of intelligentization is improved, and a security chip is provided on the target device in the process of installing, booting, and upgrading the preset system. If so, the key is bound to the system state, and if the system state changes, the key cannot be obtained, the security of the key is further guaranteed, and the key is migrated to the preset system boot and upgrade process. By doing this, whether or not the preset system upgrade was successful did not affect the disk decryption at the next system startup, and the degree of intelligentization was further improved.

さらに図5を参照して、上記の各図に示された方法の実現として、本開示はディスク暗号化保護装置の一実施例を提供し、当該装置の実施例は、図2に示す方法実施例に対応し、以下に記載された特徴に加えて、当該装置の実施例は、図2に示す方法実施例と同じまたは対応する特徴を含み、且つ図2に示す方法実施例と同じまたは対応する効果が生じることができる。当該装置は、具体的に様々な電子デバイスに適用できる。 Further, with reference to FIG. 5, as an embodiment of the method shown in each of the above figures, the present disclosure provides an embodiment of a disk encryption protection device, wherein the embodiment of the device implements the method shown in FIG. Corresponding to the examples, in addition to the features described below, the embodiments of the apparatus include the same or corresponding features as the method embodiments shown in FIG. 2 and the same or corresponding to the method embodiments shown in FIG. Can have an effect. The device can be specifically applied to various electronic devices.

図5に示すように、本実施例のディスク暗号化保護装置500は、ターゲットデバイスのディスクを暗号化し、ディスクに対応するキーを生成し、暗号化ディスクを得るように構成される暗号化ユニット501と、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、キーの暗号化方式とキーに対応するキーパラメータの記憶スロットを確定するように構成され、ここで、暗号化ディスクは、複数の記憶スロットを含み、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパスワードキーパラメータが記憶されるように構成される確定ユニット502と、を含む。 As shown in FIG. 5, the disk encryption protection device 500 of this embodiment encrypts the disk of the target device, generates a key corresponding to the disk, and obtains an encrypted disk. And, it is configured to detect whether the target device has a security chip, and based on the detection result, determine the encryption method of the key and the storage slot of the key parameter corresponding to the key. The encryption disk includes a plurality of storage slots, and the first storage slot includes a confirmation unit 502 configured to store password key parameters that encrypt the disk based on a fixed password.

いくつかの実施例において、確定ユニット502は、さらに、ターゲットデバイスにプリセットシステムをインストールする場合、キーに対してホワイトボックス暗号化を行い、ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、キーパラメータを第2の記憶スロットに記憶するように構成される。 In some embodiments, the determination unit 502 further performs white box encryption on the key when installing the preset system on the target device, determining that the target device is equipped with a security chip. In response, the key parameters are configured to be stored in the second storage slot.

いくつかの実施例において、確定ユニット502は、さらに、ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、キーパラメータを第3の記憶スロットに記憶するように構成される。 In some embodiments, the determination unit 502 is further configured to store key parameters in a third storage slot in response to determining that the target device is not provided with a security chip.

いくつかの実施例において、確定ユニット502は、さらに、プリセットシステムを起動する場合、暗号化ディスクを復号化するときにアクティブ化されたスロットを検出し、アクティブ化されたスロットが第1の記憶スロットであると確定したことに応答して、固定パスワード及びパスワードキーパラメータで暗号化ディスクを復号化することにより、復号化ディスクを得て、ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、復号化ディスクを再暗号化して得られた第1の更新キーの暗号化方式と第1の更新キーに対応する第1の更新キーパラメータの記憶スロットを確定するように構成される。 In some embodiments, the deterministic unit 502 further detects the activated slot when decrypting the encrypted disk when booting the preset system, and the activated slot is the first storage slot. By decrypting the encrypted disk with a fixed password and password key parameters in response to the determination, the decrypted disk is obtained, and it is detected whether the target device is equipped with a security chip. Based on the detection result, the encryption method of the first update key obtained by re-encrypting the decryption disk and the storage slot of the first update key parameter corresponding to the first update key are determined. Will be done.

いくつかの実施例において、確定ユニット502は、さらに、ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、第1の更新キーとプリセットシステムのシステム状態をセキュリティチップに関連付けて記憶し、ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、第1の更新キーに対してホワイトボックス暗号化を行い、固定パスワードを第1の更新キーに置き換え、更新キーパラメータを第3の記憶スロットに記憶するように構成される。 In some embodiments, the confirmation unit 502 further associates the first update key with the system state of the preset system to the security chip in response to determining that the target device is equipped with a security chip. In response to remembering and determining that the target device does not have a security chip, whitebox encryption is performed on the first update key, the fixed password is replaced with the first update key, and the update key. The parameters are configured to be stored in the third storage slot.

いくつかの実施例において、確定ユニット502は、さらに、アクティブ化されたスロットが第2の記憶スロットであると確定したことに応答して、キーが第2の記憶スロットにおけるキーパラメータに合致するかどうかを確定し、キーが第2の記憶スロットにおけるキーパラメータに合致したことに応答して、キー及びキーパラメータで暗号化ディスクを復号化することにより、復号化ディスクを得て、復号化ディスクを暗号化し、第2の更新キーと第2の更新キーパラメータを生成し、第2の更新キーとプリセットシステムのシステム状態をセキュリティチップに関連付けて記憶し、第2の更新キーパラメータを第3の記憶スロットに記憶するように構成される。 In some embodiments, the determination unit 502 further determines whether the key matches the key parameters in the second storage slot in response to determining that the activated slot is the second storage slot. Decoding the disk is obtained by decrypting the encrypted disk with the key and key parameters in response to the key matching the key parameters in the second storage slot. Encrypt, generate a second update key and a second update key parameter, store the second update key and the system state of the preset system in association with the security chip, and store the second update key parameter in the third store. It is configured to be stored in the slot.

いくつかの実施例において、確定ユニット502は、さらに、プリセットシステムをアップグレードする前に、暗号化ディスクを復号化し、復号化の時にアクティブ化されたスロットを検出し、且つターゲットデバイスにセキュリティチップが設けられているかどうかを確定し、アクティブ化されたスロットが第3の記憶スロットであると確定したこと、及びターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、第2の更新キー及び第2の更新キーパラメータで暗号化ディスクを復号化することにより、復号化ディスクを得て、復号化ディスクを暗号化し、アップグレードキーとアップグレードキーパラメータを生成し、アップグレードキーに対してホワイトボックス暗号化を行い、アップグレードキーパラメータを第2の記憶スロットに記憶するように構成される。 In some embodiments, the deterministic unit 502 further decrypts the encrypted disk, detects the slot activated at the time of decryption, and provides a security chip on the target device prior to upgrading the preset system. A second update in response to determining if it is, and determining that the activated slot is the third storage slot, and that the target device has a security chip. Obtain the decrypted disk by decrypting the encrypted disk with the key and the second update key parameter, encrypt the decrypted disk, generate the upgrade key and upgrade key parameters, and white box for the upgrade key. It is configured to perform encryption and store the upgrade key parameters in the second storage slot.

以下、図6を参照して、本発明の実施例によると、本発明は、電子デバイス及び可読記憶媒体をさらに提供する。 Hereinafter, according to an embodiment of the present invention with reference to FIG. 6, the present invention further provides an electronic device and a readable storage medium.

図6に示すように、本発明の実施例のディスク暗号化保護方法による電子デバイス600のブロック図である。電子デバイスは、ラップトップコンピュータ、デスクトップコンピュータ、作業台、パーソナルデジタルアシスタント、サーバー、ブレードサーバ、大型コンピュータ、および他の適切なコンピュータのような様々な形態のデジタルコンピュータを表すことを意図している。電子デバイスは、パーソナルデジタル処理、携帯電話、スマートフォン、ウェアラブルデバイス、および他の類似のコンピューティングデバイスのような様々な形態のモバイルデバイスを表すこともできる。本明細書に示された部品、それらの接続および関係、およびそれらの機能は、単なる例にすぎず、本明細書で説明されおよび/または要求されている本発明の実現を制限することを意図するものではない。 As shown in FIG. 6, it is a block diagram of the electronic device 600 by the disk encryption protection method of the embodiment of this invention. Electronic devices are intended to represent various forms of digital computers such as laptop computers, desktop computers, workbench, personal digital assistants, servers, blade servers, large computers, and other suitable computers. Electronic devices can also represent various forms of mobile devices such as personal digital processing, mobile phones, smartphones, wearable devices, and other similar computing devices. The parts, their connections and relationships, and their functions set forth herein are merely examples and are intended to limit the realization of the invention as described and / or required herein. It's not something to do.

図6に示すように、当該電子デバイスは、少なくとも1つのプロセッサ601と、メモリ602と、高速インターフェースと低速インターフェースを含む各部品を接続するためのインターフェースとを含む。各部品は、異なるバスを利用して互いに接続され、共通マザーボードに取り付けられてもよいし、必要に応じて他の方法で取り付けられてもよい。プロセッサは、GUIのグラフィカル情報を外部入力/出力装置(例えば、インターフェイスにカップリングされた表示装置)に表示するためのメモリ内またはメモリ上に記憶された命令を含む、電子デバイス内で実行された指令を処理することができる。他の実施形態では、必要に応じて、複数のプロセッサおよび/または複数のバスを複数のメモリおよび複数のメモリとともに使用することができる。同様に、複数の電子デバイスを接続してもよく、各機器は、部分的に必要な動作(例えば、サーバアレイ、1組のブレードサーバ、またはマルチプロセッサシステムとして)を提供する。図6では、1つのプロセッサ601を例にとる。 As shown in FIG. 6, the electronic device includes at least one processor 601 and a memory 602, and an interface for connecting each component including a high-speed interface and a low-speed interface. The components may be connected to each other using different buses and mounted on a common motherboard, or may be mounted in other ways as needed. The processor was executed in an electronic device, including in-memory or in-memory instructions for displaying GUI graphical information on an external input / output device (eg, a display device coupled to an interface). The command can be processed. In other embodiments, a plurality of processors and / or a plurality of buses can be used with a plurality of memories and a plurality of memories, if necessary. Similarly, multiple electronic devices may be connected and each device provides partially required operation (eg, as a server array, a set of blade servers, or a multiprocessor system). In FIG. 6, one processor 601 is taken as an example.

メモリ602は、本発明による非一時的コンピュータ可読記憶媒体である。ここで、メモリは、少なくとも1つのプロセッサによって実行され得る指令を記憶することにより、本発明によるディスク暗号化保護方法を少なくとも1つのプロセッサに実行させる。本発明の非一時的コンピュータ可読記憶媒体は、コンピュータ指令を記憶し、当該コンピュータ指令は、本発明によるディスク暗号化保護方法をコンピュータに実行させるために使用される。 The memory 602 is a non-temporary computer-readable storage medium according to the present invention. Here, the memory causes at least one processor to execute the disk encryption protection method according to the present invention by storing a command that can be executed by at least one processor. The non-temporary computer-readable storage medium of the present invention stores computer instructions, which are used to force a computer to perform the disk encryption protection method according to the present invention.

メモリ602は、非一時的コンピュータ可読記憶媒体として、本発明の実施例におけるディスク暗号化保護方法に対応するプログラム指令/モジュール(例えば、図5に示された暗号化ユニット501及び確定ユニット502)のような、非一時的ソフトウェアプログラム、非一時的コンピュータ実行可能プログラム、およびモジュールを記憶するために使用されることができる。プロセッサ601は、メモリ602に記憶された非一時的ソフトウェアプログラム、指令およびモジュールを実行することにより、サーバーの様々な機能アプリケーションおよびデータ処理を実行し、すなわち、上述した方法の実施例におけるディスク暗号化保護方法が実現される。 The memory 602, as a non-temporary computer-readable storage medium, is a program command / module (for example, the encryption unit 501 and the confirmation unit 502 shown in FIG. 5) corresponding to the disk encryption protection method in the embodiment of the present invention. It can be used to store non-temporary software programs, non-temporary computer executable programs, and modules, such as. Processor 601 performs various functional applications and data processing of the server by executing non-temporary software programs, instructions and modules stored in memory 602, i.e., disk encryption in the embodiment of the method described above. The protection method is realized.

メモリ602は、プログラム記憶領域およびデータ記憶領域を含むことができ、ここで、プログラム記憶領域は、オペレーティングシステム、少なくとも1つの機能に必要なアプリケーションプログラムを記憶することができ、データ記憶領域は、ディスク暗号化保護方法による電子デバイスの使用によって作成されたデータなどを記憶することができる。また、メモリ602は、高速ランダムアクセスメモリを含むことができ、例えば少なくとも1つの磁気ディスク記憶装置、フラッシュメモリ装置、または他の非一時的固体記憶装置などの非一時的メモリを含むこともできる。いくつかの実施例では、選択肢の一つとして、メモリ602は、プロセッサ601に対して遠隔的に配置されたメモリを含むことができ、これらの遠隔メモリは、ネットワークを介してディスク暗号化保護方法の電子デバイスに接続されることができる。上記のネットワークの例は、インターネット、企業内ネットワーク、ローカルエリアネットワーク、モバイル通信ネットワークおよびその組み合わせを含むが、これらに限定されない。 The memory 602 can include a program storage area and a data storage area, where the program storage area can store the operating system, an application program required for at least one function, and the data storage area is a disk. It is possible to store data created by using an electronic device according to the encryption protection method. The memory 602 can also include high speed random access memory and can also include non-temporary memory such as, for example, at least one magnetic disk storage device, flash memory device, or other non-temporary solid-state storage device. In some embodiments, as one of the options, the memory 602 may include memory remotely located with respect to the processor 601 and these remote memories may be a disk encryption protection method over the network. Can be connected to electronic devices. Examples of networks above include, but are not limited to, the Internet, corporate networks, local area networks, mobile communication networks and combinations thereof.

ディスク暗号化保護方法の電子デバイスは、入力装置603および出力装置604をさらに含むことができる。プロセッサ601、メモリ602、入力装置603および出力装置604は、バスまたは他の方法で接続されることができ、図6では、バスで接続されることを例にとる。 The electronic device of the disk encryption protection method can further include an input device 603 and an output device 604. The processor 601 and the memory 602, the input device 603 and the output device 604 can be connected by a bus or other methods, and in FIG. 6, the connection by a bus is taken as an example.

入力装置603は、入力された数字または文字メッセージを受信し、ディスク暗号化保護された電子デバイスのユーザ設定および機能制御に関するキー信号入力を生成することができ、例えばタッチスクリーン、キーパッド、マウス、トラックボード、タッチパッド、指示棒、1つ以上のマウスボタン、トラックボール、ジョイスティックなどの入力装置が挙げられる。出力装置604は、表示装置、補助照明装置(例えば、LED)、および触覚フィードバック装置(例えば、振動モータ)などを含むことができる。当該表示装置は、液晶ディスプレイ(LCD)、発光ダイオード(LED)ディスプレイ、およびプラズマディスプレイを含むことができるが、これらに限定されない。いくつかの実施例では、表示装置は、タッチスクリーンであってもよい。 The input device 603 can receive the entered number or letter message and generate a key signal input for user settings and functional control of the disk encrypted protected electronic device, eg, a touch screen, a keypad, a mouse, etc. Input devices such as trackboards, touchpads, indicator bars, one or more mouse buttons, trackballs, joysticks, etc. The output device 604 can include a display device, an auxiliary lighting device (eg, LED), a tactile feedback device (eg, a vibration motor), and the like. The display device can include, but is not limited to, a liquid crystal display (LCD), a light emitting diode (LED) display, and a plasma display. In some embodiments, the display device may be a touch screen.

ここで説明されたシステムおよび技術の様々な実施形態は、デジタル電子回路システム、集積回路システム、専用ASIC(専用集積回路)、コンピュータハードウェア、ファームウェア、ソフトウェア、および/またはこれらの組み合わせにおいて実現されることができる。これらの様々な実施形態は、以下の内容を含むことができ、即ち、1つ以上のコンピュータプログラムに実施され、当該1つ以上のコンピュータプログラムは、少なくとも1つのプログラマブルプロセッサを含むプログラマブルシステム上で実行および/または解釈されることができ、当該プログラマブルプロセッサは、専用または汎用プログラマブルプロセッサであってもよく、記憶システム、少なくとも1つの入力装置、および少なくとも1つの出力装置からデータおよび指令を受信し、且つデータおよび指令を当該記憶システム、当該少なくとも1つの入力装置、および当該少なくとも1つの出力装置に送信することができる。 Various embodiments of the systems and techniques described herein are realized in digital electronic circuit systems, integrated circuit systems, dedicated ASICs (dedicated integrated circuits), computer hardware, firmware, software, and / or combinations thereof. be able to. These various embodiments may include the following content, i.e., implemented in one or more computer programs, the one or more computer programs running on a programmable system including at least one programmable processor. And / or can be interpreted, the programmable processor may be a dedicated or general purpose programmable processor, receiving data and commands from a storage system, at least one input device, and at least one output device, and. Data and commands can be transmitted to the storage system, the at least one input device, and the at least one output device.

これらの計算プログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、またはコードとも呼ばれ)は、プログラマブルプロセッサのマシン指令を含み、高度なプロセスおよび/またはオブジェクトに向けたプログラミング言語、および/またはアセンブリ/マシン言語を利用してこれらの計算プログラムを実行することができる。本明細書で使用されたような用語「機械可読媒体」および「コンピュータ可読媒体」とは、機械指令および/またはデータをプログラマブルプロセッサに提供するための任意のコンピュータプログラム製品、デバイス、および/または装置(例えば、磁気ディスク、光ディスク、メモリ、プログラマブルロジックデバイス(PLD))を指し、機械可読信号である機械指令を受信する機械可読媒体を含む。用語「機械可読信号」とは、機械指令および/またはデータをプログラマブルプロセッサに提供するための任意の信号を指す。 These computational programs (also called programs, software, software applications, or codes) include machine instructions for programmable processors and utilize programming languages for advanced processes and / or objects, and / or assembly / machine languages. And these calculators can be executed. As used herein, the terms "machine readable medium" and "computer readable medium" are any computer program product, device, and / or device for providing machine instructions and / or data to a programmable processor. (For example, a magnetic disk, an optical disk, a memory, a programmable logic device (PLD)), and includes a machine-readable medium that receives a machine command which is a machine-readable signal. The term "machine readable signal" refers to any signal for providing machine commands and / or data to a programmable processor.

ユーザとのインタラクティブを提供するために、ここで説明されたシステムおよび技術をコンピュータ上で実施することができ、当該コンピュータは、ユーザに情報を表示するための表示装置(例えば、CRT(陰極線管)またはLCD(液晶ディスプレイ)モニタ)、キーボードおよびポインティングデバイス(例えば、マウスまたはトラックボール)を備え、ユーザーは、当該キーボードおよび当該ポインティングデバイスを介して入力をコンピュータに提供することができる。他の種類の装置は、ユーザとのインタラクティブを提供するために使用されることもできる。例えば、ユーザに提供されたフィードバックは、任意の形態のセンシングフィードバック(例えば、視覚フィードバック、聴覚フィードバック、または触覚フィードバック)であってもよく、任意の形態(声入力、音声入力、または触覚入力を含む)でユーザからの入力を受信してもよい。 In order to provide interaction with the user, the systems and techniques described herein can be implemented on a computer, which is a display device for displaying information to the user (eg, a CRT). Alternatively, it comprises an LCD (Liquid Crystal Display) monitor), a keyboard and a pointing device (eg, a mouse or trackball), and the user can provide input to the computer via the keyboard and the pointing device. Other types of devices can also be used to provide interactivity with the user. For example, the feedback provided to the user may be any form of sensing feedback (eg, visual feedback, auditory feedback, or tactile feedback), including any form (voice input, voice input, or tactile input). ) May receive input from the user.

ここで説明されたシステムおよび技術を、バックグラウンド部品を含む計算システム(例えば、データサーバー)、またはミドルウエア部品を含む計算システム(例えば、アプリケーションサーバー)、またはフロントエンド部品を含む計算システム(例えば、グラフィカルユーザインタフェースまたはネットワークブラウザを有するユーザコンピュータが挙げられ、ユーザーは、当該グラフィカルユーザインタフェースまたは当該ネットワークブラウザを介してここで説明されたシステムおよび技術の実施形態とインタラクティブすることができ)、またはこのようなバックグラウンド部品、ミドルウエア部品、またはフロントエンド部品の任意の組合せを含む計算システム上で実施することができる。システムの部品は、任意の形態またはメディアのデジタルデータ通信(例えば、通信ネットワーク)によって相互に接続されてもよい。通信ネットワークの例は、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、およびインターネットを含む。 The systems and techniques described herein can be a computing system that includes background components (eg, a data server), or a computing system that includes middleware components (eg, an application server), or a computing system that includes front-end components (eg,). A user computer having a graphical user interface or network browser may be mentioned, and the user may interact with embodiments of the systems and techniques described herein via the graphical user interface or network browser), or as such. It can be implemented on a computing system that includes any combination of background, middleware, or front-end components. The components of the system may be interconnected by any form or media digital data communication (eg, a communication network). Examples of communication networks include local area networks (LANs), wide area networks (WANs), and the Internet.

コンピュータシステムは、クライアントとサーバーとを含むことができる。クライアントとサーバーは、一般に互いに離れ、通常は通信ネットワークを介してインタラクティブする。クライアントとサーバーとの関係は、対応するコンピュータ上で実行され、且つ互いにクライアントーサーバー関係を有するコンピュータプログラムによって生成される。 A computer system can include a client and a server. Clients and servers are generally separated from each other and usually interact over a communication network. The client-server relationship is generated by a computer program that runs on the corresponding computer and has a client-server relationship with each other.

本発明の技術案によると、異なるハードウェアを判断することにより、異なる暗号化方式を使用してディスクを保護して、暗号化ディスクのセキュリティを高め、そして、第1の記憶スロットには、固定パスワードに基づいてディスクを暗号化するパラメータキーが記憶され、その固定パスワード暗号化方式は、従来のLinux(登録商標)システムのインストールに適合することができる。 According to the proposed technology of the present invention, by determining different hardware, a different encryption method is used to protect the disk, increase the security of the encrypted disk, and fix it in the first storage slot. A parameter key that encrypts the disk based on the password is stored, and the fixed password encryption method can be adapted to the installation of a conventional Linux® system.

以上で示された様々な形態のフローを用いて、ステップを並べ替え、追加、または削除できることを理解すべきである。例えば、本発明に記載された各ステップは、並列的に実行されてもよく、順次に実行されてもよく、異なる順序で実行されてもよく、本発明に開示された技術案の所望の結果が達成される限り、本明細書では制限しない。 It should be understood that steps can be sorted, added, or deleted using the various forms of flow shown above. For example, each step described in the present invention may be performed in parallel, sequentially, or in a different order, as desired result of the proposed technique disclosed in the present invention. As long as is achieved, no limitation is made herein.

上記具体的な実施形態は、本発明の保護範囲に対する制限を構成するものではない。当業者は、設計要件とその他の要因に応じて、様々な修正、組み合わせ、サブ組み合わせ、および代替を行うことが可能であることを理解すべきである。本発明の精神及び原則内でなされたいかなる修正、均等置換及び改善等は、いずれも本発明の保護範囲に含まれるべきである。 The specific embodiment does not constitute a limitation on the scope of protection of the present invention. Those skilled in the art should understand that various modifications, combinations, sub-combinations, and alternatives can be made, depending on design requirements and other factors. Any modifications, equal substitutions, improvements, etc. made within the spirit and principles of the invention should be included in the scope of protection of the invention.

Claims (17)

ターゲットデバイスのディスクを暗号化し、暗号化ディスクを得て、前記暗号化ディスクに対応するキーを生成することと、
前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出することと、
検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することであって、前記暗号化ディスクは複数の記憶スロットを含み、第1の記憶スロットには、固定パスワードに基づいて前記ディスクを暗号化するパスワードキーパラメータが記憶されていることと、
を含む、
ことを特徴とするディスク暗号化保護方法。 To encrypt the disk of the target device, obtain the encrypted disk, and generate the key corresponding to the encrypted disk.
Detecting whether the target device has a security chip and
Based on the detection result, the encryption method of the key and the storage slot of the key parameter corresponding to the key are determined. The encrypted disk includes a plurality of storage slots, and the first storage slot contains the first storage slot. , The password key parameter that encrypts the disk based on the fixed password is stored, and
including,
A disk encryption protection method characterized by that. 上述前記ターゲットデバイスにセキュリティチップが設けられるかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することは、
前記ターゲットデバイスにプリセットシステムをインストールする場合、前記キーに対してホワイトボックス暗号化を行うことと、
前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記キーパラメータを第2の記憶スロットに記憶することと、
を含む、
請求項1に記載の方法。 It is possible to detect whether or not a security chip is provided in the target device, and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result.
When installing the preset system on the target device, white box encryption is performed on the key, and
In response to the determination that the target device is provided with the security chip, the key parameters are stored in the second storage slot, and
including,
The method according to claim 1. 上述前記ターゲットデバイスにセキュリティチップが設けられるかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することは、
前記ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、前記キーパラメータを第3の記憶スロットに記憶することをさらに含む、
請求項2に記載の方法。 It is possible to detect whether or not a security chip is provided in the target device, and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result.
Further comprising storing the key parameters in a third storage slot in response to determining that the target device is not provided with a security chip.
The method according to claim 2. 上述前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することは、
前記プリセットシステムを起動する場合、前記暗号化ディスクを復号化するときにアクティブ化されたスロットを検出することと、
アクティブ化されたスロットが第1の記憶スロットであると確定したことに応答して、前記固定パスワード及び前記パスワードキーパラメータによって、前記暗号化ディスクを復号化することにより、復号化ディスクを得ることと、
前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記復号化ディスクを再暗号化して得られた第1の更新キーの暗号化方式と前記第1の更新キーに対応する第1の更新キーパラメータの記憶スロットを確定することと、
をさらに含む、
請求項3に記載の方法。 It is possible to detect whether or not the target device is provided with a security chip, and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result.
When activating the preset system, detecting the slot activated when decrypting the encrypted disk and
Obtaining a decrypted disk by decrypting the encrypted disk with the fixed password and the password key parameter in response to determining that the activated slot is the first storage slot. ,
The encryption method of the first update key obtained by detecting whether or not the target device is provided with the security chip and re-encrypting the decryption disk based on the detection result and the first update key. To determine the storage slot for the first update key parameter that corresponds to
Including,
The method according to claim 3. 上述前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記復号化ディスクを再暗号化して得られた第1の更新キーの暗号化方式と前記第1の更新キーに対応する第1の更新キーパラメータの記憶スロットを確定することは、
前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記第1の更新キーと前記プリセットシステムのシステム状態を前記セキュリティチップに関連付けて記憶することと、
前記ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、前記第1の更新キーに対してホワイトボックス暗号化を行うことと、
前記固定パスワードを前記第1の更新キーに置き換え、前記第1の更新キーパラメータを第3の記憶スロットに記憶することと、
を含む、
請求項4に記載の方法。 The encryption method of the first update key and the first update obtained by detecting whether or not the target device is provided with the security chip and re-encrypting the decryption disk based on the detection result. Determining the storage slot for the first update key parameter that corresponds to the key is
In response to the determination that the target device is provided with the security chip, the first update key and the system state of the preset system are stored in association with the security chip.
In response to the determination that the target device does not have a security chip, white box encryption is performed on the first update key, and
Replacing the fixed password with the first update key and storing the first update key parameter in the third storage slot.
including,
The method according to claim 4. 上述前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することは、
アクティブ化されたスロットが第2の記憶スロットであると確定したことに応答して、前記キーが前記第2の記憶スロットにおけるキーパラメータに合致するかどうかを確定することと、
前記キーが前記第2の記憶スロットにおけるキーパラメータに合致したことに応答して、前記キー及び前記キーパラメータで前記暗号化ディスクを復号化することにより、復号化ディスクを得ることと、
復号化ディスクを暗号化し、第2の更新キーと第2の更新キーパラメータを生成し、前記第2の更新キーとプリセットシステムのシステム状態を前記セキュリティチップに関連付けて記憶することと、
前記第2の更新キーパラメータを第3の記憶スロットに記憶することと、
をさらに含む、
請求項4に記載の方法。 It is possible to detect whether or not the target device is provided with a security chip, and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result.
In response to determining that the activated slot is the second storage slot, determining whether the key matches the key parameters in the second storage slot.
Obtaining a decrypted disk by decrypting the encrypted disk with the key and the key parameter in response to the key matching the key parameter in the second storage slot.
The decryption disk is encrypted, the second update key and the second update key parameter are generated, and the system state of the second update key and the preset system is stored in association with the security chip.
To store the second update key parameter in the third storage slot,
Including,
The method according to claim 4. 上述前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定することは、
前記プリセットシステムをアップグレードする前に、暗号化ディスクを復号化し、復号化の時にアクティブ化されたスロットを検出し、且つ前記ターゲットデバイスにセキュリティチップが設けられているかどうかを確定することと、
アクティブ化されたスロットが第3の記憶スロットであると確定したこと、及び前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記第2の更新キー及び前記第2の更新キーパラメータで前記暗号化ディスクを復号化することにより、復号化ディスクを得ることと、
復号化ディスクを暗号化し、アップグレードキーとアップグレードキーパラメータを生成することと、
前記アップグレードキーに対してホワイトボックス暗号化を行い、前記アップグレードキーパラメータを第2の記憶スロットに記憶することと、
をさらに含む、
請求項1から6のいずれか1項に記載の方法。 It is possible to detect whether or not the target device is provided with a security chip, and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result.
Before upgrading the preset system, decrypt the encrypted disk, detect the slot activated at the time of decryption, and determine if the target device has a security chip.
The second update key and the second update key in response to the determination that the activated slot is the third storage slot and that the target device is provided with a security chip. By decrypting the encrypted disk with the update key parameter, the decrypted disk can be obtained.
Encrypting the decrypted disk and generating the upgrade key and upgrade key parameters,
White box encryption is performed on the upgrade key, and the upgrade key parameter is stored in the second storage slot.
Including,
The method according to any one of claims 1 to 6. ターゲットデバイスのディスクを暗号化し、前記ディスクに対応するキーを生成し、暗号化ディスクを得るように構成される暗号化ユニットと、
前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記キーの暗号化方式と前記キーに対応するキーパラメータの記憶スロットを確定するように構成される確定ユニットであって、前記暗号化ディスクは複数の記憶スロットを含み、第1の記憶スロットには固定パスワードに基づいて前記ディスクを暗号化するキーパラメータが記憶されるように構成される確定ユニットと、
を含む、
ことを特徴とするディスク暗号化保護装置。 An encryption unit configured to encrypt the disk of the target device, generate a key corresponding to the disk, and obtain an encrypted disk.
A confirmation unit configured to detect whether or not a security chip is provided in the target device and to determine the encryption method of the key and the storage slot of the key parameter corresponding to the key based on the detection result. The encrypted disk includes a plurality of storage slots, and the first storage slot has a definite unit configured to store key parameters for encrypting the disk based on a fixed password.
including,
A disk encryption protection device characterized by that. 前記確定ユニットは、さらに、
前記ターゲットデバイスにプリセットシステムをインストールする場合、前記キーに対してホワイトボックス暗号化を行い、前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記キーパラメータを第2の記憶スロットに記憶するように構成される請求項8に記載の装置。 The confirmed unit further
When installing the preset system on the target device, white box encryption is performed on the key, and in response to the determination that the target device is provided with the security chip, the key parameter is set to the second. The device according to claim 8, which is configured to store in a storage slot. 前記確定ユニットは、さらに、
前記ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、前記キーパラメータを第3の記憶スロットに記憶するように構成される、
請求項9に記載の装置。 The confirmed unit further
In response to determining that the target device is not provided with a security chip, the key parameters are configured to be stored in a third storage slot.
The device according to claim 9. 前記確定ユニットは、さらに、
前記プリセットシステムを起動する場合、前記暗号化ディスクを復号化するときにアクティブ化されたスロットを検出し、アクティブ化されたスロットが第1の記憶スロットであると確定したことに応答して、前記固定パスワード及び前記パスワードキーパラメータで、前記暗号化ディスクを復号化することにより、復号化ディスクを得て、前記ターゲットデバイスにセキュリティチップが設けられているかどうかを検出し、検出結果に基づいて、前記復号化ディスクを再暗号化して得られた第1の更新キーの暗号化方式と前記第1の更新キーに対応する第1の更新キーパラメータの記憶スロットを確定するように構成される請求項10に記載の装置。 The confirmed unit further
When the preset system is activated, the activated slot is detected when the encrypted disk is decrypted, and the activated slot is determined to be the first storage slot. By decrypting the encrypted disk with a fixed password and the password key parameter, the decrypted disk is obtained, whether or not the target device is provided with a security chip is detected, and based on the detection result, the above-mentioned 10. Claim 10 configured to determine the encryption method of the first update key obtained by re-encrypting the decryption disk and the storage slot of the first update key parameter corresponding to the first update key. The device described in. 前記確定ユニットは、さらに、
前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記第1の更新キーと前記プリセットシステムのシステム状態を前記セキュリティチップに関連付けて記憶し、前記ターゲットデバイスにセキュリティチップが設けられていないと確定したことに応答して、前記第1の更新キーに対してホワイトボックス暗号化を行い、前記固定パスワードを前記第1の更新キーに置き換え、前記更新キーパラメータを第3の記憶スロットに記憶するように構成される請求項11に記載の装置。 The confirmed unit further
In response to the determination that the target device is provided with the security chip, the first update key and the system state of the preset system are stored in association with the security chip, and the security chip is stored in the target device. In response to the determination that it is not provided, white box encryption is performed on the first update key, the fixed password is replaced with the first update key, and the update key parameter is changed to the third update key. 11. The device of claim 11, configured to store in a storage slot. 前記確定ユニットは、さらに、
アクティブ化されたスロットが第2の記憶スロットであると確定したことに応答して、前記キーが前記第2の記憶スロットにおけるキーパラメータに合致するかどうかを確定し、前記キーが前記第2の記憶スロットにおけるキーパラメータに合致したことに応答して、前記キー及び前記キーパラメータで前記暗号化ディスクを復号化することにより、復号化ディスクを得て、復号化ディスクを暗号化し、第2の更新キーと第2の更新キーパラメータを生成し、前記第2の更新キーとプリセットシステムのシステム状態を前記セキュリティチップに関連付けて記憶し、前記第2の更新キーパラメータを第3の記憶スロットに記憶するように構成される請求項11に記載の装置。 The confirmed unit further
In response to determining that the activated slot is the second storage slot, it is determined whether the key matches the key parameters in the second storage slot, and the key is the second storage slot. By decrypting the encrypted disk with the key and the key parameters in response to matching the key parameters in the storage slot, a decrypted disk is obtained, the decrypted disk is encrypted, and a second update is performed. A key and a second update key parameter are generated, the second update key and the system state of the preset system are stored in association with the security chip, and the second update key parameter is stored in the third storage slot. 11. The apparatus of claim 11. 前記確定ユニットは、さらに、
前記プリセットシステムをアップグレードする前に、暗号化ディスクを復号化し、復号化の時にアクティブ化されたスロットを検出し、且つ前記ターゲットデバイスにセキュリティチップが設けられているかどうかを確定し、アクティブ化されたスロットが第3の記憶スロットであると確定したこと、及び前記ターゲットデバイスにセキュリティチップが設けられていると確定したことに応答して、前記第2の更新キー及び前記第2の更新キーパラメータによって、前記暗号化ディスクを復号化することにより、復号化ディスクを得て、復号化ディスクを暗号化し、アップグレードキーとアップグレードキーパラメータを生成し、前記アップグレードキーに対してホワイトボックス暗号化を行い、前記アップグレードキーパラメータを第2の記憶スロットに記憶するように構成される請求項8乃至13のいずれか1項に記載の装置。 The confirmed unit further
Prior to upgrading the preset system, the encrypted disk was decrypted, the slot activated at the time of decryption was detected, and whether the target device had a security chip was determined and activated. By the second update key and the second update key parameter in response to the determination that the slot is the third storage slot and that the target device is provided with a security chip. By decrypting the encrypted disk, a decrypted disk is obtained, the decrypted disk is encrypted, an upgrade key and an upgrade key parameter are generated, and white box encryption is performed on the upgrade key. The device according to any one of claims 8 to 13, configured to store upgrade key parameters in a second storage slot. 少なくとも1つのプロセッサと、
前記少なくとも1つのプロセッサに通信接続されたメモリと、を含み、
前記メモリには、前記少なくとも1つのプロセッサが実行可能な指令が記憶され、前記指令が前記少なくとも1つのプロセッサによって実行されると、請求項1乃至6のいずれか1項に記載の方法を前記少なくとも1つのプロセッサに実行させる、
ことを特徴とする電子デバイス。 With at least one processor
A memory communicatively connected to the at least one processor, including
The method according to any one of claims 1 to 6, wherein a command that can be executed by the at least one processor is stored in the memory, and when the command is executed by the at least one processor, the method according to any one of claims 1 to 6 is performed. Let one processor do it,
An electronic device characterized by that. コンピュータ指令が記憶された非一時的コンピュータ可読記憶媒体であって、
前記コンピュータ指令は、請求項1乃至6のいずれか1項に記載の方法を前記コンピュータに実行させるために使用される、
ことを特徴とする非一時的コンピュータ可読記憶媒体。 A non-temporary computer-readable storage medium in which computer instructions are stored.
The computer command is used to cause the computer to perform the method according to any one of claims 1 to 6.
A non-temporary computer-readable storage medium characterized by that. コンピュータプログラムであって、
前記コンピュータプログラムがプロセッサにより実行されると、請求項1乃至6のいずれか1項に記載の方法を実行させる、
コンピュータプログラム。 It ’s a computer program,
When the computer program is executed by the processor, the method according to any one of claims 1 to 6 is executed.
Computer program.
JP2021053753A 2020-06-11 2021-03-26 Disk encryption protection method and apparatus, electronic device, computer readable storage medium and computer program Active JP7203880B2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202010531450.9A CN111695166B (en) 2020-06-11 2020-06-11 Disk encryption protection method and device
CN202010531450.9 2020-06-11

Publications (2)

Publication Number Publication Date
JP2021185472A true JP2021185472A (en) 2021-12-09
JP7203880B2 JP7203880B2 (en) 2023-01-13

Family

ID=72480461

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021053753A Active JP7203880B2 (en) 2020-06-11 2021-03-26 Disk encryption protection method and apparatus, electronic device, computer readable storage medium and computer program

Country Status (3)

Country Link
JP (1) JP7203880B2 (en)
KR (1) KR102490490B1 (en)
CN (1) CN111695166B (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115147956A (en) * 2022-06-29 2022-10-04 中国第一汽车股份有限公司 Data processing method and device, electronic equipment and storage medium
WO2023085217A1 (en) 2021-11-15 2023-05-19 株式会社レゾナック Inspection condition presenting device, surface inspecting device, inspection condition presenting method, and program

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112905120B (en) * 2021-02-19 2023-08-04 山东英信计算机技术有限公司 Lock disc upgrading method and device, electronic equipment and storage medium
CN113407964B (en) * 2021-06-17 2024-02-13 上海明略人工智能(集团)有限公司 Method, system, device, electronic equipment and readable storage medium for information encryption
CN115001702A (en) * 2022-05-19 2022-09-02 浪潮思科网络科技有限公司 Switch board encryption and decryption method, system, device and medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110314279A1 (en) * 2010-06-21 2011-12-22 Microsoft Corporation Single-Use Authentication Methods for Accessing Encrypted Data
JP2016025616A (en) * 2014-07-24 2016-02-08 レノボ・シンガポール・プライベート・リミテッド Method for protecting data stored in disk drive, and portable computer

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566574B2 (en) * 2010-12-09 2013-10-22 International Business Machines Corporation Secure encrypted boot with simplified firmware update
CN102930223B (en) * 2012-09-21 2015-07-22 北京深思洛克软件技术股份有限公司 Method and system for protecting disk data
US9775029B2 (en) * 2014-08-22 2017-09-26 Visa International Service Association Embedding cloud-based functionalities in a communication device
JP2016181836A (en) * 2015-03-24 2016-10-13 キヤノン株式会社 Information processor, cryptographic device, control method of information processor and program
WO2017156417A1 (en) * 2016-03-11 2017-09-14 Feng Youlin Systems and methods for data encryption and decryption
CN106130721B (en) * 2016-08-14 2019-08-23 北京数盾信息科技有限公司 A kind of high speed network storage encryption equipment
CN107679425B (en) * 2017-09-26 2020-09-04 麒麟软件有限公司 Trusted boot method based on firmware and USBKey combined full disk encryption
CN108171067A (en) * 2017-12-28 2018-06-15 山东超越数控电子股份有限公司 A kind of hard disk encryption method and device
US11068600B2 (en) * 2018-05-21 2021-07-20 Kct Holdings, Llc Apparatus and method for secure router with layered encryption
CN109190401A (en) * 2018-09-13 2019-01-11 郑州云海信息技术有限公司 A kind of date storage method, device and the associated component of Qemu virtual credible root
CN109787756B (en) * 2018-12-24 2021-11-26 吉林微思智能科技有限公司 Vehicle-mounted terminal key distribution management method based on white-box encryption technology
CN110188555B (en) * 2019-05-28 2023-09-05 深信服科技股份有限公司 Disk data protection method, system and related components

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110314279A1 (en) * 2010-06-21 2011-12-22 Microsoft Corporation Single-Use Authentication Methods for Accessing Encrypted Data
JP2013531436A (en) * 2010-06-21 2013-08-01 マイクロソフト コーポレーション One-time authentication method for accessing encrypted data
JP2016025616A (en) * 2014-07-24 2016-02-08 レノボ・シンガポール・プライベート・リミテッド Method for protecting data stored in disk drive, and portable computer

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023085217A1 (en) 2021-11-15 2023-05-19 株式会社レゾナック Inspection condition presenting device, surface inspecting device, inspection condition presenting method, and program
CN115147956A (en) * 2022-06-29 2022-10-04 中国第一汽车股份有限公司 Data processing method and device, electronic equipment and storage medium

Also Published As

Publication number Publication date
CN111695166B (en) 2023-06-06
KR102490490B1 (en) 2023-01-19
JP7203880B2 (en) 2023-01-13
KR20210047285A (en) 2021-04-29
CN111695166A (en) 2020-09-22

Similar Documents

Publication Publication Date Title
JP2021185472A (en) Disk encryption protection method and device, electronic device, computer readable storage medium and computer program
US11159518B2 (en) Container independent secure file system for security application containers
JP5940159B2 (en) Method, computer program, device and apparatus for provisioning an operating system image to an untrusted user terminal
CN109416720B (en) Maintaining operating system secrets across resets
US9934407B2 (en) Apparatus for and method of preventing unsecured data access
US9319380B2 (en) Below-OS security solution for distributed network endpoints
JP4709992B2 (en) Authentication password storage method, generation method, user authentication method, and computer
US9292323B2 (en) Context aware virtual desktop
KR101066779B1 (en) Secure booting a computing device
EP3084671B1 (en) Automatic strong identity generation for cluster nodes
US10146942B2 (en) Method to protect BIOS NVRAM from malicious code injection by encrypting NVRAM variables and system therefor
CN107408172B (en) Securely booting a computer from a user-trusted device
KR102403138B1 (en) Method for privileged mode based secure input mechanism
EP3757848A1 (en) Converged cryptographic engine
CN107077567B (en) Identifying security boundaries on computing devices
JP2021519564A (en) Secure computer system
US9355259B1 (en) Method and apparatus for accessing sensitive information on-demand
EP3921749A1 (en) Device and method for authenticating application in execution environment in trust zone
US11689365B2 (en) Centralized volume encryption key management for edge devices with trusted platform modules
US20200007340A1 (en) Internet of things security module
CN113127262A (en) Method and device for generating mirror image file, electronic equipment and storage medium
KR102568514B1 (en) Electronic device and method of operating the same
KR102565414B1 (en) Data transmission with obfuscation using an obfuscation unit for a data processing(dp) accelerator
US20230261867A1 (en) Centralized volume encryption key management for edge devices with trusted platform modules
US20160323251A1 (en) Method, device and equipment for ensuring data security

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210415

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210913

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20211101

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220704

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220913

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20220916

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220926

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221221

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221227

R150 Certificate of patent or registration of utility model

Ref document number: 7203880

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150