CN101369254A - 数据保护方法和设备 - Google Patents
数据保护方法和设备 Download PDFInfo
- Publication number
- CN101369254A CN101369254A CNA2007101202797A CN200710120279A CN101369254A CN 101369254 A CN101369254 A CN 101369254A CN A2007101202797 A CNA2007101202797 A CN A2007101202797A CN 200710120279 A CN200710120279 A CN 200710120279A CN 101369254 A CN101369254 A CN 101369254A
- Authority
- CN
- China
- Prior art keywords
- bios
- information
- data
- signal
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
公开了一种用在终端设备上的数据保护方法以及相应的终端设备,该终端设备具有TPM芯片、BIOS或EC以及存储器,在存储器中存储有需要保护的数据,该终端设备上运行有利用TPM芯片对存储器上数据进行加密的操作系统,所述数据保护方法包括如下步骤:从外部通信设备向该终端设备发送信号;响应于所述信号,在所述终端设备向BIOS或EC发送命令,使BIOS或EC清除TPM芯片中的数据。在终端设备被盗或丢失的情况下使用该方法,可保护存储器上的数据使之不被他人获取。
Description
技术领域
本发明涉及数据安全技术,具体涉及一种对数据进行保护的方法和设备,能够方便用户对诸如电脑之类的终端设备中存储的数据进行实时的保护,并且能够恢复进入该终端设备所需的修复密码。
背景技术
硬盘数据的安全是个比较重要的问题,很多用户因为笔记本电脑不在身边(如丢失,交由他人保管或是携带,存放在不安全的地点等)导致硬盘机密数据丢失,给自己造成较大的损失。
为上述数据安全的问题,微软公司推出的Vista操作系统包含有BitLocker(BitLocker Drive Encryption,磁碟加密位元锁)功能,可以解决硬盘的全卷加密问题,使得硬盘的数据以一种加密的方式存储在硬盘上。
最安全的BitLocker当然是使用集成TPM(Trusted PlatformModule,受信平台模块)安全芯片的系统。Bitlocker加密技术使用的TPM芯片是以数字签名、安全加密和密钥保护为主要功能的基础硬件,一般集成于主板中。目前已有不少厂商提供具有TPM安全芯片的电脑系统。TPM安全芯片最重要的一个功能就是提供了身份认证功能,这样,为早期开机文档完整性验证提供了多一层的安全性。
利用Bitlocker对硬盘进行加密,使用者登入经验保持不变,但是需要设定一个修复密码。在TPM遗失或遭到变更的情况下,BitLocker将进入修复模式,将需要修复密码才能重新存取数据。
但BitLocker的使用,带来了两个缺陷,1)如果电脑丢失,无法做到实时保护,如果获得者进入到操作系统,则硬盘上的数据会泄密;2)修复密码自身的安全性不能得到保障,如果48位的修复密码遗失,或系统异常,容易导致合法用户本人也无法正确获取硬盘数据。
关于利用BitLocker功能实时对硬盘数据进行保护的问题,目前还没有相关专利。
对于修复密码保护的问题,主要方式是将修复密码加密后,存放到相关的硬件存储器中。但目前尚没有重新安全获取此修复密码的方法。
本发明主要针对上述两种情况提出的一种解决方案。
此外,无线上网速度的加快和随时随地上网的需求的增加,导致手机上网卡已经是非常普及的电脑设备,例如,在联想公司后续推出的几款笔记本电脑中,均已标配手机上网卡模块,而且此模块被焊接在笔记本主板上,不能够随意取出。
因此,可以利用手机上网卡模块来进行对硬盘数据的保护。
发明内容
针对上述现状和现有解决方案的缺陷,本发明提出一种用在终端设备上的数据保护方法,该终端设备具有TPM芯片、BIOS(BasicInput/Output System,基本输入/输入出系统)或EC(EmbeddedController,嵌入式控制器)以及存储器,在存储器中存储有需要保护的数据,该终端设备上运行有利用TPM芯片对存储器上数据进行加密的操作系统。在终端设备被盗或丢失的情况下使用该方法,可保护存储器上的数据使之不被他人获取,所述数据保护方法包括如下步骤:从外部通信设备向该终端设备发送信号;响应于所述信号,在所述终端设备向BIOS或EC发送命令,使BI OS或EC清除TPM芯片中的数据。
优选地,该方法还包括步骤:在所述终端设备接收所述信号,并判断信号是否有效。
优选地,所述信号包含密码或保密信息,根据该保密信息来判断信号是否有效。
优选地,所述信号是以有线或者无线的方式发送的。
优选地,该方法还包括步骤:自动地或者响应于外部输入信号,BIOS或EC调用特定程序来读取TPM芯片或BIOS中的信息;将所读取的信息解译为对应的修复密码,提供给用户。
优选地,在读取步骤之前,该方法还包括步骤:用户输入验证信息;通过验证所输入的验证信息,来验证用户是否合法;如果用户合法,则发送命令给BIOS或EC。
优选地,所述验证信息包括硬键输入或者指纹信息,所述验证步骤包括:将硬键输入或者指纹信息与先前已存储的信号或者指纹信息相比较。
本发明还提出一种重新获取访问TPM所需的修复密码的方法,包括步骤:通过BIOS或EC调用特定程序来读取TPM芯片或BIOS中的信息;将所读取的信息解译为对应的修复密码,提供给用户。在TPM被清除或改变的情况下,通过上述方法,可重新获取修复密码。
优选地,在读取所述信息之前,还包括步骤:用户输入验证信息;通过验证所输入的验证信息,来验证用户的合法性;在用户合法的情况下,发送命令给BIOS或EC。
本发明还提供一种终端设备,包括TPM芯片、BIOS或EC以及存储器,在存储器中存储有需要保护的数据,该系统上运行有利用TPM芯片对存储器上数据进行加密的操作系统,其中,该终端设备还包括数据保护模块,该数据保护模块包括:接收单元,用于接收外部通信设备向该终端设备发送的信号;以及命令产生和发送单元,用于产生命令并将所产生的命令发送到BIOS或EC,使BIOS或EC清除TPM芯片中的数据。
优选地,所述数据保护模块还具有:判定单元,用于判定所接收的信号是否有效,并且在该信号有效的情况下启用命令产生和发送单元。
本发明还提供一种终端设备,包括TPM芯片和BIOS或EC,其中所述系统还包括修复密码获取模块,该修复密码获取模块包括:命令发送单元,用于向BIOS或EC发送命令,其中所述BIOS或EC响应于所述命令,调用特定程序来读取TPM或BIOS中的信息,并将所读取的信息解译为相应的修复密码,提供给用户。
优选地,所述修复密码获取模块还包括:信息采集单元,用于接收验证信息;验证单元,用于通过验证所输入的验证信息来验证用户的合法性。
优选地,外部通信设备可以是手机、固定电话、电脑等的可与终端设备上的接收单元进行通信的相应设备。此外,终端设备上的接收单元也可以是与该外部通信设备进行通信的相应模块,例如电脑上的手机上网卡、无线网卡等。取决于该外部通信设备和接收单元,所传送的信号也具有多种模式,例如,作为外部通信设备的手机向呼叫中心拨打电话,呼叫中心做出响应,向作为接收单元的终端设备上的手机上网卡发出信号;或者手机直接向该终端设备拨打具有特定设置的通信内容的电话,该信号可以是包括密码和特殊指令的短信息、电话等;或者作为外部通信设备的电脑直接向作为接收单元的终端设备上的无线网卡发出具有密码或特定设置的信号。
根据不同的通信方式,有不同的判断信号是否有效的方法,例如使用手机发送短消息,则可以通过判断手机号码、短消息中的密码等来判断该信号是否有效;如果拨打具有特定设置的通信内容的电话,则可以判断通信内容;如果采用呼叫中心服务,则可以判断呼叫中心的号码和密码等;如果另一电脑发送信号,则可以判断信号中的密码或特定设置。
附图说明
图1是根据本发明实施例的系统的框图;
图2是实现本发明方法的系统中的数据保护模块的结构框图;
图3是实现本发明方法的系统中的修复密码获取模块的结构框图;
图4是根据本发明的数据保护方法的流程图;以及
图5是根据本发明的修复密钥获取方法的流程图。
具体实施方式
下面参考附图来详细说明本发明。
本发明主要利用Vista操作系统中包含的BitLocker功能。在用户利用BitLocker功能对硬盘进行加密后,硬盘上的数据以一种加密的方式存储在硬盘上。在集成有TPM安全芯片的主板上使用BitLocker,需要设定一个修复密码。在TPM遗失或遭到变更的情况下,BitLocker将进入修复模式,则需要修复密码才能重新存取数据。
实现本发明的系统具有如图1所示的结构。在系统20上,具有数据保护模块22,用于与外部通信设备10进行通信,接收外部通信设备10的清除信号或命令,根据所接收的信号来进行操作,产生命令并将所产生的命令发送到BIOS或EC 24。而BIOS或EC 24进一步根据所接收的命令来对TMP 26进行控制,在需要时清除TPM 26内的内容。实现本发明的系统还具有修复密码获取模块28,用于在需要时获取修复密码。
为了实现本发明的方法,如图2所示,数据保护模块22包括:接收单元301,用于接收信号;判定单元302,用于判定接收信号是否有效;命令产生和发送单元303,用于响应于判定单元的判定,来决定是否产生命令并将所产生的命令发送到BIOS或EC,如果BIOS或EC接收到命令,则清除TPM中的数据。
下面结合附图4来说明实现本发明方法的具体步骤。外部通信设备10例如是一部手机,而且与之相对应的终端设备上的接收单元301是安装在电脑主板上的手机上网卡。
在电脑遗失的情况下,为了保护硬盘上的数据,在步骤S101处,用户利用手机10向电脑发出短消息,该短消息包括密码和特定指令。在步骤S102处,接收单元301接收到该短消息。在步骤S103处,判定单元302对接收到的短消息进行判断,判断该短消息是否有效。在该步骤中,判定单元302可通过验证短消息中的密码,来判断该短消息是否有效。在判定该短消息有效的情况下,前进到步骤S104处,在步骤S104处,命令产生和发送单元303根据接收的短消息中的特定指令,产生命令,并将所产生的命令发送到BIOS或EC 24。如果该短消息无效,则不进行处理。在步骤S105处,BIOS或EC 24判断该命令是否是清除命令,如果是,则清除TMP,否则进行与命令相对应的其它处理。
在遗失电脑的情况下,通过向该电脑发出信号来清除TMP芯片,可保护硬盘上的数据不被他人获取。因为清除了TMP,所以在重新找到电脑时,BitLocker将进入修复模式,将需要修复密码才能重新存取数据。
而如果此时用户遗忘了该修复密码,则需要重新获取该修复密码。在某些情况下,即使没有清除TMP,用户也许会需要该修复密码。如图1所示,用于实现本发明的系统中具有修复密码获取模块28,用于获取修复密码。修复密码获取模块28如图3所示,包括:信息采集单元401,用于接收硬键输入或指纹信息等验证信息;验证单元402,用于通过验证所输入的验证信息来验证用户的合法性;命令发送单元403,用于向BIOS或EC发送命令以重新获取修复密码。
下面,参考图5,来描述修复密码获取模块28所执行的重新获取修复密码的方法步骤。首先,在步骤S201处,用户输入获取信号来启动修复密码获取模块28,或者在清除了TMP的情况下,自动启动修复密码获取模块28,然后终端设备提示用户输入信号或者其它验证信息,例如指纹等。然后,在步骤S202处,用户根据提示,输入所需信号或者指纹,信息采集单元401接收指纹信息或硬键输入等验证信息。在步骤S203处,验证单元402根据输入的验证信息,验证该用户是否是合法用户。如果该用户合法,则在步骤S205处,命令发送单元403向BIOS或EC发送命令。而如果该用户不合法,则在步骤S206处显示错误,告知用户重新输入验证信息,或者进行其它处理。如果BIOS或EC从命令发送单元403处接收到命令,则在步骤S207处,BIOS或EC调用特定程序来读取修复密钥所存在的TPM或BIOS等ROM中的信息,并将所读取的信息重新解译为对应的修复密码。在步骤S208中,将重新获取的修密密码显示在屏幕上,以供用户记录。
因此,本发明既能够有效保护终端设备上的数据,也能够在对存储器中的数据实施保护之后,通过重新获取修复密码,恢复用户对数据的控制。
Claims (16)
1.一种用在终端设备上的数据保护方法,该终端设备具有TPM芯片、BIOS或EC以及存储器,在存储器中存储有需要保护的数据,该终端设备上运行有利用TPM芯片对存储器上数据进行加密的操作系统,所述数据保护方法包括如下步骤:
从外部通信设备向该终端设备发送信号;
响应于所述信号,在所述终端设备向BIOS或EC发送命令,使BIOS或EC清除TPM芯片中的数据。
2.根据权利要求1所述的数据保护方法,其中,还包括步骤:在所述终端设备接收所述信号,并判断信号是否有效。
3.根据权利要求2所述的数据保护方法,其中,所述信号包含密码或保密信息,根据该保密信息来判断信号是否有效。
4.根据权利要求1所述的数据保护方法,其中,所述终端设备是电脑,所述存储器是硬盘。
5.根据权利要求1所述的数据保护方法,其中所述信号是以有线或者无线的方式发送的。
6.根据权利要求1所述的数据保护方法,还包括步骤:
自动地或者响应于外部输入信号,BIOS或EC调用特定程序来读取TPM芯片或BIOS中的信息;
将所读取的信息解译为对应的修复密码,提供给用户。
7.根据权利要求6所述的数据保护方法,其中,在读取步骤之前,还包括步骤:
用户输入验证信息;
通过验证所输入的验证信息,来验证用户是否合法;
如果用户合法,则发送命令给BIOS或EC。
8.根据权利要求7所述的数据保护方法,其中,所述验证信息包括硬键输入或者指纹信息,所述验证步骤包括:将硬键输入或者指纹信息与先前已存储的信号或者指纹信息相比较。
9.一种重新获取访问TPM所需的修复密码的方法,包括步骤:
通过BIOS或EC调用特定程序来读取TPM芯片或BIOS中的信息;
将所读取的信息解译为对应的修复密码,提供给用户。
10.根据权利要求9所述的方法,在读取所述信息之前,还包括步骤:
用户输入验证信息;
通过验证所输入的验证信息,来验证用户的合法性;
在用户合法的情况下,发送命令给BIOS或EC。
11.根据权利要求10所述的方法,其中,所述验证信息包括硬键输入或者指纹信息,所述验证步骤包括:将硬键输入或者指纹信息与先前已存储的信号或者指纹信息相比较。
12.一种终端设备,包括TPM芯片、BIOS或EC以及存储器,在存储器中存储有需要保护的数据,该系统上运行有利用TPM芯片对存储器上数据进行加密的操作系统,其中,该终端设备还包括数据保护模块,该数据保护模块包括:
接收单元,用于接收外部通信设备向该终端设备发送的信号;以及
命令产生和发送单元,用于产生命令并将所产生的命令发送到BIOS或EC,使BIOS或EC清除TPM芯片中的数据。
13.根据权利要求12所述的终端设备,所述数据保护模块还具有:
判定单元,用于判定所接收的信号是否有效,并且在该信号有效的情况下启用命令产生和发送单元。
14.一种终端设备,包括TPM芯片和BIOS或EC,其中所述系统还包括修复密码获取模块,该修复密码获取模块包括:
命令发送单元,用于向BIOS或EC发送命令,
其中,所述BIOS或EC响应于所述命令,调用特定程序来读取TPM或BIOS中的信息,并将所读取的信息解译为相应的修复密码,提供给用户。
15.根据权利要求14所述的终端设备,其中,所述修复密码获取模块还包括:
信息采集单元,用于接收验证信息;
验证单元,用于通过验证所输入的验证信息来验证用户的合法性。
16.根据权利要求15所述的终端设备,其中所述验证信息包括硬键输入或者指纹信息,所述验证单元将硬键输入或者指纹信息与先前已存储的信号或者指纹信息相比较,来判断用户的合法性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101202797A CN101369254A (zh) | 2007-08-15 | 2007-08-15 | 数据保护方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101202797A CN101369254A (zh) | 2007-08-15 | 2007-08-15 | 数据保护方法和设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101369254A true CN101369254A (zh) | 2009-02-18 |
Family
ID=40413077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101202797A Pending CN101369254A (zh) | 2007-08-15 | 2007-08-15 | 数据保护方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101369254A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012034453A1 (zh) * | 2010-09-14 | 2012-03-22 | 湖南源科高新技术有限公司 | 计算机的数据清除方法和计算机 |
CN102549594A (zh) * | 2009-10-13 | 2012-07-04 | 微软公司 | 临时秘密的安全存储 |
CN106027258A (zh) * | 2016-05-05 | 2016-10-12 | 浪潮集团有限公司 | 一种基于tpm的家电远程控制方法 |
-
2007
- 2007-08-15 CN CNA2007101202797A patent/CN101369254A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102549594A (zh) * | 2009-10-13 | 2012-07-04 | 微软公司 | 临时秘密的安全存储 |
CN102549594B (zh) * | 2009-10-13 | 2015-04-08 | 微软公司 | 临时秘密的安全存储 |
WO2012034453A1 (zh) * | 2010-09-14 | 2012-03-22 | 湖南源科高新技术有限公司 | 计算机的数据清除方法和计算机 |
CN106027258A (zh) * | 2016-05-05 | 2016-10-12 | 浪潮集团有限公司 | 一种基于tpm的家电远程控制方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103136463B (zh) | 用于电子装置的暂时安全开机流程的系统与方法 | |
CN101051908B (zh) | 动态密码认证系统及方法 | |
CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
EP2297665B1 (en) | Method and apparatus for secure hardware analysis | |
JP4095051B2 (ja) | 自動所有権認証が可能なホームネットワーク装置と、ホームネットワークシステム及びその方法 | |
US20060075259A1 (en) | Method and system to generate a session key for a trusted channel within a computer system | |
EP2693789B1 (en) | Mobile terminal encryption method, hardware encryption device and mobile terminal | |
JP2003316467A (ja) | Simカードを利用したコンピュータのセキュリティシステム及びその制御方法 | |
WO2006018864A1 (ja) | 記憶装置および記憶方法 | |
CN107818253B (zh) | 人脸模板数据录入控制方法及相关产品 | |
CN102959554A (zh) | 用于存储状态恢复的存储设备和方法 | |
CN103136485A (zh) | 一种实现计算机安全的方法和计算机 | |
US20100161979A1 (en) | Portable electronic entity for setting up secured voice over ip communication | |
KR101417025B1 (ko) | 임베디드 시스템에서 이동성 요소의 인증을 위한 방법 | |
CN101369254A (zh) | 数据保护方法和设备 | |
KR101615686B1 (ko) | 위치 기반 모바일 오티피 제공 방법 | |
JP4993114B2 (ja) | 携帯型ストレージデバイスの共有管理方法、および、携帯型ストレージデバイス | |
US20190042758A1 (en) | A method of verifying the integrity of an electronic device, and a corresponding electronic device | |
CN101355424B (zh) | 一种手持设备数据安全迁移的方法 | |
KR20070103956A (ko) | 착탈식 핸드폰 부속형의 시간동기화 방식 사용자 인증용원타임패스워드 생성 장치 및 방법 | |
CN102647415A (zh) | 基于音频接口提供身份认证的方法及系统 | |
KR101685042B1 (ko) | 매체 분리 기반 일회용 인증코드 구현 방법 | |
JP4760124B2 (ja) | 認証装置、登録装置、登録方法及び認証方法 | |
WO2017197689A1 (zh) | 一种sim卡处理方法、装置、终端及esam芯片 | |
KR100609705B1 (ko) | Usim 카드와 휴대용 단말기의 인증 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090218 |