CN102084313A

CN102084313A - 用于数据安全的系统和方法

Info

Publication number: CN102084313A
Application number: CN200880130243XA
Authority: CN
Inventors: L.王; V.Y.阿利; M.诺沃亚; J.E.里奥斯
Original assignee: Hewlett Packard Development Co LP
Current assignee: Hewlett Packard Development Co LP
Priority date: 2008-07-07
Filing date: 2008-07-07
Publication date: 2011-06-01
Anticipated expiration: 2028-07-07
Also published as: KR20110051181A; GB201021108D0; JP2011527061A; CN102084313B; GB2473566A; DE112008003931T5; WO2010005425A1; GB2473566B; US20110126023A1; BRPI0822431A2; US9043610B2; BRPI0822431B1

Abstract

一种系统，包括：基本输入输出系统（“BIOS”）、盘驱动器，和被配置为阻止对该盘驱动器的未被认证的访问的安全系统。对于多个用户当中的至少两个用户的每一个，该BIOS基于用户的令牌认证该用户。该BIOS还基于该认证访问安全的数据，并将该安全的数据提供给该安全系统而无需来自该用户的输入。

Description

用于数据安全的系统和方法

背景技术

许多计算机，特别是在商业场景中，具有多个用户。但是，用于计算机的许多安全系统被设计成仅仅用于单个用户。例如，除非用户提交有效的密码，否则计算机将阻止盘驱动器操作，以便加强安全性。这样的密码被称为“驱动器锁密码”。在多个用户之间共享相同的驱动器锁密码降低了安全性的强度，但是硬盘驱动器不支持多个驱动器锁密码的使用。

使所述问题更为复杂的是，需要用户记住数目越来越多的密码：基本输入输出系统（“BIOS”）密码、加电密码、驱动器锁密码、操作系统密码等等。因而，用户倾向于选择难忘的密码、选择相同的密码用于每个目的，或者这二者。此趋势进一步降低了安全性的强度。

附图说明

为了详细说明本公开的实施例，现在将参考附图，其中：

图1A显示了根据本公开的至少一个实施例的数据安全的系统；

图1B显示了根据本公开的至少一个实施例的使用TPM的数据安全的系统；和

图2显示了根据本公开的至少一个实施例的数据安全的方法。

记号和命名

在以下权利要求书和说明书中通篇都使用某些术语以指代特定的系统部件。本领域技术人员将理解，计算机公司可以用不同的名称指代一个部件。此文档不意欲区别名称不同但不是功能不同的部件。在下面的讨论和权利要求书中，术语“包括”和“包含”以开放方式使用，因而旨在意指“包括但不限于”。此外，术语“耦合”旨在意指间接或直接的、电学的或光学的连接。因而，如果第一设备耦合到第二设备，则该连接可以通过经由其它设备和连接的间接电连接、通过直接的光学连接等等。

术语“令牌”旨在意指“唯一标识符”。因而，令牌可以是但不限于是数字、串（string）、密码、用户名和密码的组合、智能卡、智能卡和pin码的组合、指纹、指纹的组合等等。

术语“安全系统”旨在意指“限制访问的方式”。为了说明的目的，关于限制对盘驱动器的访问来描述安全系统。因而，安全系统是驱动器锁。但是，可以限制对其的访问的任何和所有对象在此公开的范围之内。

具体实施方式

以下讨论针对本发明的各种实施例。尽管这些实施例中的一个或多个可能是优选的，但是除非另有说明，公开的实施例不应该被解释为或以其他方式用作对包括权利要求书的公开的范围的限制。此外，本领域技术人员将理解，以下说明具有宽泛的应用，并且任何实施例的讨论仅仅意味着例证该实施例，而不意欲暗示包括权利要求书的本公开的范围限于该实施例。

鉴于上面提到的缺陷，公开了用于数据安全的系统和方法。图1A显示了根据至少一个实施例的数据安全的系统100。系统100包括计算机103，并且计算机103包括耦合到计算机可读介质112的处理器101。在各种实施例中，计算机可读介质112包括易失性存储器（例如，随机存取存储器等等）、非易失性储存器（例如，只读存储器、闪速存储器、CD ROM等等）和它们的组合。计算机可读介质112包括由处理器101运行的软件或固件。这里描述的动作中的一个或多个由处理器101在运行该软件或固件的期间执行。

优选地，计算机可读介质112包括基本输入输出系统（“BIOS”）102。但是，任何种类的软件或固件在此公开的范围之内。优选地，计算机103还包括盘驱动器104和被配置为阻止对盘驱动器104的未被认证的访问的安全系统。如图所示，安全系统是驱动器锁106。盘驱动器104优选地是存储数据的硬件。在至少一个实施例中，盘驱动器104是将数字编码的数据存储在磁表面上的非易失性存储设备。BIOS 102优选地是当计算机103加电时激活的固件。在至少一个实施例中，BIOS 102识别并启动部件硬件，例如盘驱动器104，并且将计算机103准备成由操作系统控制。

如图所示，安全系统是阻止对盘驱动器104的未被认证的访问的驱动器锁106。但是，限制对任意对象的访问的任何方式在此公开的范围之内。驱动器锁106可以是硬件、软件或固件。在至少一个实施例中，驱动器锁106仅仅在呈现适当的数据后才允许访问盘驱动器；如图所示，该数据是存储在BIOS 102中的驱动器锁密码108。例如，驱动器锁106阻止盘驱动器104中的盘旋转，由此阻止从该盘读取或向其写入，直到呈现驱动器锁密码108为止。优选地，由于盘驱动器104上的数据的敏感性质，采取安全措施以保护驱动器锁密码108不会被未被认证的用户访问。

可以通过利用令牌来加强安全性。令牌优选地是诸如数字、串、密码、用户名和密码的组合、智能卡、智能卡和pin码的组合、指纹、指纹的组合等等之类的唯一标识符。每个用户具有不同的令牌。在人的手指用于指纹的情况下，数据的有效载荷与物理令牌有关。在智能卡的情况下，从智能卡本身读取数据的有效载荷。在密码的情况下，数据的有效载荷是密码本身或通过提交正确的密码而释放。在至少一个实施例中，数据的有效载荷用来将访问驱动器锁密码108所必需的密钥解密。因而，分开将驱动器锁密码108加密多次，对于每个用户加密一次。当计算机管理员登记该用户以使用计算机103时，选择该令牌并且知道数据的有效载荷。如果用户是被登记的第一个用户，即由BIOS 102第一次认证的用户，则BIOS 102创建驱动器锁密码108。优选地，BIOS 102创建强的密码，例如长且随机的密码，因为用户不需要记住驱动器锁密码108，如下面将看到的。

然后创建令牌的哈希；具体地，创建数据的有效载荷的哈希。哈希是哈希函数的输出。哈希函数是对于作为输入的任何长度的串产生固定长度的串作为输出的“单向”变换。术语“单向”意思是对于给定的输入集合，输出是独特地唯一的（没有其它的输入组合应导致相同的输出），并且给定输出，输入应当是不可导出的。这里，哈希函数的输入是数据的有效载荷。哈希函数的两个示例是“MD5”和“SHA”哈希函数。MD5或消息摘要算法5哈希函数输出128位的哈希，其典型地表达为十六进制数字的32-字符串。SHA或安全哈希算法哈希函数具有五个变型。每个变型根据期望的安全性的强度来输出不同大小的哈希。但是，任何哈希函数在此公开的范围之内。

优选地，哈希函数的输出适合于用作对驱动器锁密码进行加密的加密密钥。加密的两个示例是“AES”和“三倍DES”。AES或高级加密标准加密算法是使用128位的块和128、192或256位的密钥的块密码。三倍DES或三倍数据加密标准是使用168位的密钥的块密码。但是，任何加密类型在此公开的范围之内。优选地，BIOS 102使用对称加密来使用令牌的哈希作为加密密钥或使用令牌的哈希导出的秘密来对驱动器锁密码108进行加密。使用称为“加盐”（salting）的技术还可以实现附加的安全性，该技术将附加的数据添加到密钥并且使得猜测密钥的企图变得更困难。对称加密的特性是解密密钥与加密密钥相同或与加密密钥轻微相关（trivially related）。因而，对加密密钥或解密密钥的知识将导致对驱动器锁密码的知识。为了说明的目的，将认为加密密钥和解密密钥等同。

相应地，在创建密钥之后，在至少一个实施例中，将密钥打乱并且与加密的驱动器锁密码108一起存储在BIOS 102中。打乱涉及使得密钥难以读取或获得，并且任何打乱的方法在此文档的范围之内。因而，如果用户希望访问盘驱动器104，则BIOS 102请求用户的令牌，并将该令牌与已知的或存储的数据和/或值进行比较和/或将该令牌与已知的或存储的数据和/或值相关，以便认证该用户。在成功认证之后，例如，数据的有效载荷与数据库中的条目匹配之后，则BIOS通过反转打乱过程来将密钥去打乱（deobfuscate），并使用该密钥来将驱动器锁密码108解密。最后，向驱动器锁106呈现该驱动器锁密码106，并且盘驱动器104可访问。

在另一个实施例中，仅仅存储加密的驱动器锁密码108，而删除密钥。在登记之后，如果用户希望访问盘驱动器104，则BIOS 102优选地请求用户的令牌。BIOS然后计算令牌的哈希；具体地，创建数据的有效载荷的哈希。BIOS 102然后通过使用哈希作为密钥来解密驱动器锁密码108而认证用户。因为密钥是从令牌导出的，所以在没有适当的令牌的情况下用户不可以访问驱动器锁密码108。一旦解密，向驱动器锁106呈现驱动器锁密码108以获得对盘驱动器104的可访问性。因而，进一步加强了安全性，因为密钥和解密的驱动器锁密码108没有存储在计算机103上的任何地方，而仅仅是暂时可用的。

在另一个实施例中，处于加密或不加密（clear）状态的密钥从不被独自存储，而是存储在具有附加的保护方案的外部令牌或平台（例如，智能卡、USB盘、密码令牌等等）中。因而，提高了安全性，因为用户不但需要“知道秘密”来解密密钥，而且必须拥有保持不加密的或加密的密钥的介质（令牌）。具体地，需要既拥有特定的知识又拥有特定的物品与仅仅需要前者或后者相比增加了安全性。

为了使第二用户登记，优选地是计算机管理员的第一用户使用从第一用户的令牌产生的密钥来解密驱动器锁密码108。接着，BIOS 102使用基于第二用户的令牌的第二密钥来加密驱动器锁密码108。因而，任何数目的用户可以使用相同的驱动器锁密码108但是不同的令牌来使用计算机103。

为了加强安全性，可以在将加密的驱动器锁密码108和/或密钥存储在BIOS 102之前对其进行压缩。为了进一步加强安全性，可以在存储在BIOS 102之前将随机的或具体已知的位插入到加密的驱动器锁密码108和/或密钥中。这些附加的随机的或具体已知的位有时被称为“盐”。

优选地，驱动器锁密码108被呈现给驱动器锁106而无需来自用户的输入。因而，为了使得盘驱动器104可访问，用户在呈现用户的令牌之后不需要采取任何行动。优选地，认证用户、访问安全的数据、和将安全的数据提供给驱动器锁106发生在计算机操作的加电自检（“POST”）阶段期间。因而，在能够访问操作系统之前，将不需要用户提供BIOS密码、加电密码、驱动器锁密码、操作系统密码、或用于任何其它功能的任何其它令牌。但是，如果期望的话，可以避免仅仅一个令牌或令牌的某一组合。

如果如上所述对于每个用户基于用户的令牌加密驱动器锁密码108，则在几个方面加强了安全性。首先，可以由BIOS 102产生强的驱动器锁密码108，因为用户不需要记住驱动器锁密码108。第二，即使对于容纳多个用户的计算机，仅仅存在一个驱动器锁密码，该多个用户也不需要像他们在公用的驱动器锁密码情况下那样彼此共享他们的令牌或彼此传送他们的令牌。第三，多个用户不需要知道驱动器锁密码108的存在。第四，在至少一个实施例中，因为BIOS 102存储加密的密钥，所以从计算机103中偷窃的盘驱动器104不能被另一个计算机访问。

图1B显示了根据本公开的至少一个实施例的使用TPM的数据安全的系统。TPM 110是由可信计算组设计的、专用于密码的微处理器。TPM 110使用伪随机数发生器产生密码密钥。在至少一个实施例中，由TPM 110按照请求使用这样的密钥加密和解密驱动器锁密码108以用于进一步的安全性。该密钥包括由TPM 110产生且可由TPM 110解释的信息，诸如不透明的二进制大对象（“BLOB”）。

优选地，该密钥是对称的，并且在存储在BIOS 102中之前通过在密钥和TPM 110的寄存器之间执行“异或”函数（“XOR”）而被保护。如图所示，该寄存器是平台配置寄存器7（“PCR7”）114。为了去除该保护，保护的密钥可以与PCR7中的值一起用作另一个XOR函数的输入，以使得第二XOR函数的输出将是原始的密钥。优选地，为了加强安全性，BIOS 102使得位于PCR7 114中的值在操作系统能访问PCR7之前改变。

在至少一个实施例中，在配置时利用PCR7 114将驱动器锁密码108密封到TPM 110。在密封操作时的PCR7值应该反映指示用户认证的成功的值。在登记之后，如果用户希望访问盘驱动器104，则BIOS 102优选地请求用户的令牌。如果用户认证成功，则BIOS 102将一个值扩展（extend）到PCR7 114。如果用户认证不成功，则BIOS 102将不同的值扩展到PCR7 114。接着，BIOS 102请求TPM 110解封驱动器锁密码108。只有当PCR7 114具有指示认证成功的值时，TPM 110才解封并释放驱动器锁密码108。一旦由TPM 110解封，驱动器锁密码108被呈现给驱动器锁106以允许对盘驱动器104的可访问性。接着，BIOS 102将随机的值扩展到PCR7 114，以防止TPM 110执行任何解封操作来访问驱动器锁密码108。因而，进一步加强了安全性，因为BIOS 102仅仅在引导过程中的特定阶段才可访问驱动器锁密码108。

图2显示了根据本公开的至少一个实施例的数据安全的方法200。从202开始并结束于212，该方法包括：在204处，从用户接收令牌。每个用户具有不同的令牌。在206处，基于用户的令牌认证用户。在208处，基于该认证访问安全的数据，该安全的数据对于每个认证的用户是可访问的。在210处，向安全系统提供安全的数据而无需来自用户的输入。优选地，提供安全的数据包括向驱动器锁系统提供驱动器锁密码而无需来自用户的输入。此外，在至少一个实施例中，访问安全的数据包括基于认证访问由TPM加密的安全的数据。优选地，安全的数据对于该多个用户当中的每个认证的用户是可访问的。在至少一个实施例中，访问安全的数据进一步包括基于令牌的哈希来解密安全的数据。

在各个实施例中，主驱动器锁密码比用户驱动器锁密码允许访问范围更大的功能，类似于管理员的操作系统密码和用户的操作系统密码之间的关系。但是，因为本公开适用于两种类型的驱动器锁密码，并且计算机103的用户在数量上超过组合的可用的主驱动器锁密码和用户驱动器锁密码，所以为了说明的目的参考单个驱动器锁密码。另外，本领域普通技术人员可以实现此公开的教导以适应用户驱动器锁密码以及主驱动器锁密码。

上述讨论旨在说明本发明的原理和各种实施例。一旦上述公开被完全理解，许多变化和修改将对本领域技术人员变得明显。以下权利要求书意欲被解释成涵盖所有这样的变化和修改。

Claims

1. 一种系统，包括：

基本输入输出系统（“BIOS”）；

盘驱动器；和

安全系统，其被配置为阻止对该盘驱动器的未被认证的访问；

其中，对于多个用户当中的至少两个用户的每一个，该BIOS：

基于多个令牌当中的令牌认证该用户，该至少两个用户的每一个与该多个令牌当中的不同的令牌相关联；

基于该认证访问安全的数据；以及

将该安全的数据提供给该安全系统而无需来自该用户的输入。

2. 如权利要求1所述的系统，其中该安全系统是驱动器锁系统，并且其中该安全的数据是驱动器锁密码。

3. 如权利要求1所述的系统，其中该令牌是从由密码、智能卡和指纹组成的组中选择的。

4. 如权利要求1所述的系统，其中该安全的数据由可信平台模块（“TPM”）加密。

5. 如权利要求1所述的系统，其中该认证避免所述用户呈现密码，所述密码是从由BIOS密码、加电密码、驱动器锁密码和操作系统密码组成的组中选择的。

6. 如权利要求1所述的系统，其中该认证避免所述用户呈现BIOS密码、加电密码、驱动器锁密码和操作系统密码。

7. 如权利要求1所述的系统，其中认证用户、访问安全的数据和提供安全的数据发生在加电自检（“POST”）期间。

8. 如权利要求1所述的系统，其中访问安全的数据进一步包括基于该令牌的哈希来解密该安全的数据。

9. 如权利要求1所述的系统，其中该BIOS基于该多个令牌来产生该驱动器锁密码。

10. 如权利要求1所述的系统，其中该安全系统基于该安全的数据允许访问该盘驱动器。

11. 一种方法，包括：

基于多个令牌当中的令牌认证多个用户当中的至少两个用户的每一个（非同时），该至少两个用户的每一个与该多个令牌当中的不同的令牌相关联；

对于该至少两个用户的每一个（非同时），基于该认证访问安全的数据；以及

对于该至少两个用户的每一个（非同时），向安全系统提供该安全的数据而无需来自该用户的输入。

12. 如权利要求11所述的方法，其中提供安全的数据包括：向驱动器锁系统提供驱动器锁密码而无需来自该用户的输入。

13. 如权利要求11所述的方法，其中访问安全的数据包括：对于该至少两个用户的每一个（非同时），基于该认证访问该安全的数据，该安全的数据由可信平台模块（“TPM”）加密。

14. 一种存储软件的计算机可读介质，所述软件在由处理器运行时使得处理器执行以下操作：

15. 如权利要求14所述的计算机可读介质，其中访问安全的数据包括：对于该至少两个用户的每一个（非同时），基于该认证访问该安全的数据，该安全的数据由可信平台模块（“TPM”）加密。