CN102549594A - 临时秘密的安全存储 - Google Patents
临时秘密的安全存储 Download PDFInfo
- Publication number
- CN102549594A CN102549594A CN201080046403XA CN201080046403A CN102549594A CN 102549594 A CN102549594 A CN 102549594A CN 201080046403X A CN201080046403X A CN 201080046403XA CN 201080046403 A CN201080046403 A CN 201080046403A CN 102549594 A CN102549594 A CN 102549594A
- Authority
- CN
- China
- Prior art keywords
- key
- tpm
- stored
- storage medium
- computing equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Abstract
可以把临时的敏感信息存储在TPM的非易失性存储中,并且可以从该处将其安全且不可复原地删除。此外,存储在TPM中的信息可以保护存储在可在通信方面断开的存储介质上的信息打安全,从而当在通信方面断开时,存储在这样的介质上的信息就不可访问。可以通过存储在TPM中的密钥来保护整体容量加密服务密钥,并且即使在保护符保持可访问的情况下,通过从TPM中安全地删除所述密钥也会防止对于整体容量加密服务密钥的未经授权的泄露。此外,只有在计算设备处于由PCR决定的特定状态时才可以释放在TPM中存储的数据。可以对休眠镜像进行加密并且把密钥存储在TPM中,从而只有在其状态在休眠期间没有发生重大改变的情况下才释放所述密钥来解密镜像以及恢复活跃计算。
Description
背景技术
随着计算设备变得更加普及,更多敏感信息被存储在这样的计算设备上并且由其利用。因此,这样的计算设备的用户可能投入大量时间和精力来保护这种敏感信息的安全。在用于保护敏感信息的安全的各种机制当中,基于口令的机制已经变得普遍。正如本领域技术人员将认识到的那样,基于口令的保护技术可以依赖于加密技术来施行其保护。更具体来说,基于口令的保护技术在传统上对数据集合进行加密,并且只有在提供适当口令的情况下才提供对这样的数据的访问。如果没有提供适当的口令,则所述数据保持已加密形式,从而被保护免于未经授权的泄露。
利用基于口令的保护的普遍性和易于使用的特点的一种技术是整体容量加密,从而对存储在给定容量上的所有或几乎所有数据进行加密。因此,即使恶意实体获得对于其上存储有这样的数据的存储介质的物理访问,所述容量的数据仍然将保持受到保护,这是因为这种数据将按照已加密形式被存储。正如本领域技术人员将知道的那样,整体容量加密技术在传统上依赖于一层或更多层密钥来施行有效且高效的密钥管理。因此,例如可以利用“更高”层密钥来解密“更低”层密钥,并且最终可以利用最低层密钥来解密存储在所述存储介质上的数据本身。作为一种保护措施,可以把对于一层或更多层密钥的解密绑定到计算设备本身的状态,从而使得例如在把存储介质从计算设备中去除并且可通信地耦合到不同的计算设备的情况下,所述数据不可被解密,这是因为存储介质与之可通信地耦合的计算设备的状态将已发生改变。
在计算设备的操作期间,即使是已经被配置成用于进行安全操作的计算设备,仍然可能存在这样的情况或情形:在其期间可能必须以容易访问的形式存储敏感信息。举例来说,在对计算设备进行可能对计算设备的状态造成重大影响的更新的过程中,可能需要以容易访问的形式存储在整体容量加密机制中利用的一个或更多密钥,比如其解密在传统上被绑定到计算设备的状态的那些密钥。对于这种容易访问的信息的后续去除应当改进与按照容易访问的形式存储这种信息相关联的潜在的安全性问题。
但是现今的存储介质常常利用这样的技术和科技:其虽然把特定数据集合标记为已删除,但是并不实际破坏存储介质本身上的这种数据。举例来说,现今的基于磁性的存储介质常常包括这样的存储容量:被标记为删除的数据可能在很长时间内都不会被实际覆写从而不会被不可恢复地破坏。在其间的时间内,所述数据可能仍然可以通过已知的数据恢复机制来访问。通过类似的方式,利用固态存储技术的现今的存储介质常常实施耗损均衡技术。作为这种技术的结果,现今的基于固态的存储介质可能直到在应当把数据不可复原地去除之后的很长时间才会实际覆写被标记为删除的数据。与基于磁性的存储介质一样,由于基于固态的存储介质无法正确地删除这样的敏感信息,因此可能会导致显著更弱的安全性状况。
发明内容
现有的受信任平台模块(TPM)可以包括少量的安全存储容量。这样的TPM存储可以被利用来存储要被不可复原地去除的敏感信息集合当中的一些或全部。与其他现今的存储介质不同,TPM的设计规范特别要求TPM在被指示从其存储中去除数据时按照安全且不可复原的方式这样做。
在一个实施例中,可以例如在特定的更新操作期间暂停整体容量加密机制,这是通过生成与所述整体容量加密机制相关联的一个或更多密钥的保护符并且随后把解锁该保护符的密钥存储在TPM的安全存储中而实现的。所生成的保护符可以包括元数据,所述元数据可以标识出TPM的安全存储内的其中存储解锁所述保护符的密钥的位置。随后,比如在完成更新操作之后,可以删除保护符和存储在TPM中的密钥。由于所述密钥将被不可复原地去除,因此即使在所生成的保护符本身没有被不可复原地去除的情况下(比如在其上存储所述保护符的存储介质的存储机制不提供对于被请求删除的数据的立即且不可复原的去除的情况下),所述整体容量加密仍然可以保持安全。
在另一个实施例中,由密钥保护的信息(比如已加密信息)可以被存储在可能不提供或保证安全且不可复原的擦除的存储设备上。保护这样的信息的密钥可以被存储在TPM的安全存储中。如果要不可复原地去除受保护的信息,则可以把密钥安全地并且不可复原地从TPM去除,并且受保护信息从而可以变得不可访问,即使在存储所述受保护信息的存储设备无法保证其安全且不可复原的去除的情况下也是如此。类似地,如果受保护信息被混叠、拷贝或者以某种其他形式被存储设备保留,则仍然可以通过单独保留在TPM中的密钥来实现对于这样的信息的控制(包括其不可复原的去除)。
在又一个实施例中,如果存储介质被物理地去除并且因此与其先前可通信地耦合的计算设备断开通信,则存储在所述存储介质上的数据可以保持安全并且变为不可访问。为了提供正确的计算设备对数据的鲁棒访问,可以利用整体容量加密机制来加密存储在这样的存储介质上的数据,并且可以由存储在TPM中的密钥保护与所述整体容量加密机制相关联的一个或更多密钥,但是对于存储在TPM中的密钥的访问不需要受到限制,诸如例如通过把对于该密钥的访问绑定到计算设备的特定配置。但是如果存储介质被物理地盗窃并且从而与计算设备断开通信,则无法从该计算设备的TPM获取这样的密钥,并且因此存储在所述存储介质上的数据将保持加密并且从而不可访问。
在另一个实施例中,在计算设备处于休眠状态时,建立在所述计算设备上的计算环境的各个方面可以受到保护。当计算设备休眠时,可以独立于可能或者可能不由这样的计算设备利用的任何其他加密机制对所生成的休眠镜像进行加密。用于解密这样的已加密休眠镜像的密钥可以被存储在TPM中,并且可以将其从TPM到后续请求处理的释放绑定到休眠时的计算设备的特定配置。随后,当计算设备的操作从休眠中继续执行时,只有在计算设备的配置在其休眠时没有发生重大改变的情况下才能解密并访问所述已加密休眠镜像。此外,当计算设备从休眠中继续执行时可以从TPM中删除用于对已加密休眠镜像进行解密的密钥,从而防止针对在其配置已发生重大改变的计算设备上访问并恢复所述已加密休眠镜像的多次尝试。
提供本概要是为了以简化的形式介绍在下面的详细描述中进一步描述的一部分概念。本概要不意图标识出所要求保护的主题内容的访问控制特征或本质特征,也不意图被用来限制所要求保护的主题内容的范围。
通过下面参照附图做出的详细描述,附加的特征和优点将变得显而易见。
附图说明
结合附图可以最好地理解下面的详细描述,其中:
图1是包括TPM的示例性计算设备的图示;
图2是示例性利用TPM来存储并且随后安全地删除被存储限定时间段的敏感信息的方框图;
图3是示例性利用TPM来防止由于存储介质的物理失窃而导致数据散播的方框图;
图4是示例性利用TPM在休眠期间保护计算设备的方框图;
图5是示例性利用TPM来存储并且随后安全地删除被存储限定时间段的敏感信息的流程图;以及
图6是示例性利用TPM在休眠期间保护计算设备的流程图。
具体实施方式
下面的描述涉及利用现有的受信任平台模块(TPM)来存储或者以其他方式保留敏感信息,其中包括利用TPM的安全且不可复原地删除存储在TPM中的信息的能力,以及利用TPM的把敏感信息的释放绑定到与所述TPM相关联的计算设备的特定配置的能力。在在其期间可能适当的做法是暂停整体容量加密机制的情况下,可以在保护符中加密与所述整体容量加密机制相关联的一个或更多密钥,并且可以把用以解锁这样的保护符的相关联的密钥存储在TPM中。随后,当可以重新激活所述整体容量加密机制时,可以由TPM安全且不可复原地删除用于所述保护符的密钥。类似地,存储在TPM处的信息可以使得被存储在与无法保证安全且不可复原的擦除的存储设备相关联的存储介质中的数据不可访问,或者在这样的存储介质与计算设备断开通信的情况下也是如此。此外,当对休眠镜像进行加密并且把密钥存储在TPM中并且将其释放绑定到计算设备的特定状态(比如可以通过TPM的一个或更多平台配置寄存器(PCR)的值来表达)时,在计算设备上活跃的处理可以在所述计算设备处于休眠状态时仍然得到保护。在休眠之后继续执行活跃计算时,如果计算设备的状态在休眠期间没有发生重大改变,则TPM中的密钥可以被利用来解密休眠镜像。
这里描述的技术集中于(但不限于)整体容量加密机制。实际上,下面的技术同样适用于将按照不可复原的方式施行其后续删除的任何安全信息,或者其访问受到与特定计算设备的通信连接限制的任何安全信息。因此,下面的描述不意图把所列举的实施例限制到所提到的具体示例性情况。
虽然不作要求,但是下面的描述将在由计算设备执行的计算机可执行指令(比如程序模块)的一般情境中进行。更具体来说,除非另行声明,否则下面的描述将涉及由一个或更多计算设备或外设施行的动作和操作的象征性表示。因此应当理解的是,这样的动作和操作(其有时被称作由计算机执行)包括由处理单元操纵以结构化形式代表数据的电信号。该操纵对数据进行变换或者在存储器中的一些位置处保持所述数据,其以本领域技术人员很好理解的方式重新配置或者以其他方式改动计算设备或外设的操作。在其中保持数据的数据结构是具有由数据的格式定义的特定属性的物理位置。
一般来说,程序模块包括例程、程序、对象、组件、数据结构等等,其施行特定任务或者实施特定抽象数据类型。此外,本领域技术人员将认识到,计算设备不需要被限制到传统的个人计算机,而是可以包括其他计算配置,其中包括手持式设备、多处理器系统、基于微处理器的或可编程的消费电子装置、网络PC、小型计算机、大型计算机等等。类似地,计算设备不需要被限制到单体式计算设备,这是因为还可以在通过通信网络链接在一起的分布式计算环境中实践所述机制。在分布式计算环境中,程序模块既可以位于本地也可以位于远程存储器存储设备中。
参照图1,其中示出了示例性的计算设备100,其部分地包括在下面描述的方法中进一步提到的各个硬件元件。示例性计算设备100可以包括(但不限于)一个或更多中央处理单元(CPU)120、系统存储器130、受信任平台模块(TPM)150以及把包括系统存储器在内的各个系统组件连接到处理单元120的系统总线121。系统总线121可以是几种类型的总线结构当中的任一种,其中包括存储器总线或存储器控制器、外围总线以及使用多种总线体系结构当中的任一种的局部总线。取决于具体的物理实现方式, CPU 120、系统存储器130和TPM 150中的一个或更多可以在物理上位于一处,比如位于单个芯片上。在这种情况下,系统总线121的一部分或全部可以不过是单个芯片结构内的硅路径,并且其在图1中的图示可以不过是为了说明目的的标记方便。
TPM 150可以包括用于对提供给它的信息进行加密和解密的加密密钥151。在传统上,TPM 150包括不可变的公共和私有加密密钥的初始集合,其可以按照已知的、已确立的方式被利用来获得可丢弃的公共和私有加密密钥。此外,TPM 150可以包括平台配置寄存器(PCR)155,其可以安全地存储与计算设备100的状态唯一地相关联的数值或其他数据。这样的数值在传统上由CPU 120通过系统总线121提供给TPM 150。在一些实施例中,只有由CPU 120执行的特定代码才将被允许向TPM 150发送数据,其将修改存储在PCR 155中的数值。TPM 150还可以包括非易失性存储容量,比如非易失性RAM 156,TPM可以在其中安全地存储由计算设备的其他元件(比如CPU 120)通过系统总线121提供给它的至少少量信息。
除了前面描述的元件之外,计算设备100通常还包括计算机可读介质,其可以包括能够由计算设备100访问的任何可用介质。作为举例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括按照任何方法或技术所实施的用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的介质。计算机存储介质包括(但不限于)RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁性存储设备或者可以被用来存储所期望的信息并且可以由计算设备100访问的任何其他介质。通信介质通常在诸如载波之类的已调数据信号或其他传输介质中具体实现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息递送介质。作为举例而非限制,通信介质包括诸如有线网络或直接连线连接之类的有线介质,以及诸如声学、RF、红外和其他无线介质之类的无线介质。前述各项的任意组合也应当被包括在计算机可读介质的范围内。
在使用通信介质时,计算设备100可以通过去到一个或更多远程计算机的逻辑连接而操作在联网环境中。图1中描绘的逻辑连接是去到网络180的通用网络连接171,所述网络180可以是局域网(LAN)、广域网(WAN)或其他网络。计算设备100通过网络接口或适配器170连接到通用网络连接171,所述网络接口或适配器170又连接到系统总线121。在联网环境中,关于计算设备100描绘的程序模块或者其一些部分或外设可以被存储在通过通用网络连接171可通信地耦合到计算设备100的一个或更多其他计算设备的存储器中。应当认识到,所示出的网络连接是示例性的,并且可以使用建立计算设备之间的通信链接的其他措施。
在计算机存储介质当中,系统存储器130包括具有易失性和/或非易失性存储器形式的计算机存储介质,其中包括只读存储器(ROM)131和随机存取存储器(RAM)132。特别包含用于引导计算设备100的代码的基本输入/输出系统133(BIOS)通常被存储在ROM 131中。RAM 132通常包含由处理单元120立即可访问以及/或者当前正由其操作的数据和/或程序模块。作为举例而非限制,图1把操作系统134、其他程序模块135和程序数据136显示为驻留在RAM 132中。RAM 132还可以包括可能与TPM 150的操作有关的数据,比如TCG事件日志190。在一个实施例中,TCG事件日志190可以包括自从加电以来或者自从其上一次重启以来由计算设备100所加载或执行的所有模块的唯一标识;也就是其加载或执行可能已经得到了当前由TPM 150保持在一个或更多PCR 155中的数值的相同模块。
计算设备100可以附加地包括其他可移除/不可移除、易失性/非易失性计算机存储介质。仅仅作为举例,图1示出了从/向不可移除、非易失性磁性或固态介质进行读取或写入的硬盘驱动器141。可以与所述示例性计算设备一起使用的其他可移除/不可移除、易失性/非易失性计算机存储介质包括(但不限于)磁带盒、闪存卡、数字通用盘、数字视频带、固态RAM、固态ROM等等。硬盘驱动器141通常经由诸如接口140之类的不可移除存储器接口连接到系统总线121。
前面讨论的并且在图1中示出的驱动器及其相关联的计算机存储介质提供对于计算机可读指令、数据结构、程序模块以及用于计算设备100的其他数据的存储。在图1中,例如硬盘驱动器141被显示为存储操作系统144、其他程序模块145和程序数据146。应当提到的是,这些组件可以与操作系统134、其他程序模块135和程序数据136相同或不同。操作系统144、其他程序模块145和程序数据146在此被给出不同的编号以便表明其至少是不同的拷贝。
在一个实施例中,操作系统144、其他程序模块145和程序数据146可以按照已加密形式被存储在硬盘驱动器141上。举例来说,硬盘驱动器141可以实施或者与整体容量加密机制一起利用,从而可以按照已加密格式来存储被存储在硬盘驱动器141上的所有或基本上所有数据。参照图2,在示例性系统200中,硬盘驱动器141被显示为包括已加密部分240,其可以包括操作系统144、程序模块145和程序数据146的至少很多部分。密钥220可以由计算设备100或者由与硬盘驱动器141相关联的硬件利用来解密来自已加密部分240的数据,从而使得计算设备能够有意义地访问操作系统144、程序模块145和程序数据146。
正如本领域技术人员所知,整体容量加密机制可以利用多个级别和层次的密钥,比如密钥220。举例来说,为了避免不得不利用不同的密钥再加密诸如操作系统144、程序模块145或程序数据146之类的数据,可以通过另一个密钥来对密钥220本身进行加密。密钥220的已加密版本以及与这样的已加密密钥相关联的任何元数据可以被称作“密钥保护符”。同样地,正如本领域技术人员所知,对于单个密钥可以生成多个密钥保护符,其中每一个密钥保护符与不同的认证或其他安全性机制相关联。因此,举例来说,可以解密存储在硬盘驱动器141的已加密部分240中的数据的密钥220可以利用与用户口令相关联的密钥而被加密到一个密钥保护符中,并且可以利用与PCR 155的具体数值相关联的密钥而被加密到另一个密钥保护符中。按照这种方式,如果经过授权的用户输入其口令,或者如果PCR 155的数值表明计算设备处于受信任状态,则可以通过计算设备100来解密并访问已加密部分240。
如前所示,可以利用多个层次的密钥来提供各种访问替换方案。此外,可以将多个层次的密钥用于其他密钥管理目的,其中例如包括提高可靠性、提供安全性保障、提高性能、提供对于例如可能忘记其密钥的用户的第三方帮助或支持或者其他目的。因此,在下面的描述中,在提到与整体容量加密机制相关联的密钥(比如密钥220)时,意图涉及任何层次的密钥,而不意图排他性地仅仅涉及例如直接对已加密部分240进行解密的特定密钥。
在某些情况下,可能需要临时暂停通常由整体容量加密机制提供的保护。举例来说,在可能影响计算设备100的受信任状态的更新期间,可能需要暂停整体容量加密,这是因为可能难以或者不可能预先确定PCR 155的适当数值,而没有这样的确定,可能就无法访问使得能够访问存储在已加密部分240中的数据所需要的并且与PCR的具体数值相关联的密钥。为了避免这样的困难,可以在预期到对于计算状态的改变的情况下临时地暂停整体容量加密或其他安全性机制,这例如是通过生成“明文密钥”保护符210而实现的,所述“明文密钥”保护符210可以同时包括密钥220的已加密版本以及对密钥220的所述已加密版本进行解密所需要的密钥。可以看出,这样的“明文密钥”保护符210可以使得有能力访问所述“明文密钥”保护符的任何处理能够访问受保护的密钥本身(比如密钥220),所述受保护的密钥又可以使得这样的处理能够访问已加密部分240中的所有数据。因此,例如硬盘驱动器141上的“明文密钥”保护符210的存在有效地暂停或禁用实施在这样的驱动器上的整体容量加密的安全性方面。为了重新启用比如实施在图2的系统200的硬盘驱动器141上的整体容量加密机制的安全性方面,可以按照无法复原的方式从硬盘驱动器中删除“明文密钥”保护符210。
为了提供对于敏感信息(诸如例如可以规避整体容量加密机制的安全性方面的明文密钥保护符)的不可复原的删除,可以把特定信息存储在TPM 150的NV RAM 230中。因此,在一个实施例中,如图2的系统200中所示,操作系统134或其他处理可以创建可以被存储在硬盘驱动器141上的明文密钥保护符210,但是与明文密钥保护符210相关联的密钥230不是像前面描述的那样与明文密钥保护符存储在一起,而是被存储在TPM 150的NV RAM 156中。因此,操作系统134被图示为向两个不同的存储介质提供数据。具体来说,操作系统134可以把明文密钥保护符210存储在硬盘驱动器141上,并且可以把与明文密钥保护符210相关联的密钥230存储在TPM 150的NV RAM 156中。
图2的系统200的明文密钥保护符210可以包括指向存储在TPM NV RAM 156中的密钥230的指针而不是密钥230本身。更具体来说,在一个实施例中,明文密钥保护符210可以包括密钥230被存储在TPM 150的NV RAM 156中的NV索引。正如本领域技术人员所知,对于明文密钥保护符210的后续访问将揭示与之存储在一起的NV索引,从而允许进行访问的处理向TPM 150请求密钥230。作为响应,TPM 150可以向发出请求的处理提供密钥230,并且发出请求的处理可以利用这样的密钥230从明文密钥保护符210获得密钥220,并且访问已加密部分240中的信息。
如图2的系统200中所示,一旦计算设备100以更新后的计算设备201的形式被更新,操作系统134或其他有关处理就可以删除被生成来规避例如实施在硬盘驱动器141上的整体容量加密的安全性方面的信息。因此,如图所示,可以向硬盘驱动器141提供针对删除明文密钥保护符210的指令,并且可以向TPM 150提供针对删除密钥230的指令。如前所示,可能无法从硬盘驱动器141的存储介质中不可复原地去除明文密钥保护符210。举例来说,如果硬盘驱动器141由磁性存储介质构成,则明文密钥保护符210可能保持在这样的磁性存储介质上,直到其实际上被提供来存储在硬盘驱动器141上的其他数据覆写为止。虽然传统的基于磁性存储介质的存储设备可以实施可能随机覆写被标记为删除的数据的安全删除功能,但是磁性存储介质的性质使得即使其被覆写几次也仍然有可能恢复先前存储的信息。类似地,如果硬盘驱动器141由基于固态的存储介质构成,则明文密钥保护符210在被标记为删除之后也仍然可能保持在这样的基于固态的存储介质上。更具体来说,基于固态的存储介质通常与耗损均衡技术相结合地利用,所述耗损均衡技术可以避免对于特定节段的写入次数多于任何其他节段。其结果是,存储在某些节段上的数据(即使是应被删除的数据)也可能在一个很长的时间段内保持可访问状态。
在图2的系统200内,明文密钥保护符250和密钥260意图说明处于已删除但是可恢复状态的明文密钥保护符210和受保护密钥220。但是从图2中可以看出,通过从TPM NV RAM 156不可复原地去除密钥230可以重新建立实施在硬盘驱动器141上的整体容量加密的安全性方面。更具体来说,如果密钥230与明文密钥保护符210被存储在一起,则即使在删除之后,仍然可能从硬盘驱动器141的存储介质恢复明文密钥保护符250,并且可能获得密钥260并且利用其来访问存储在硬盘驱动器141的已加密部分240内的信息。但是由于密钥230被存储在TPM 150内,而TPM 150在得到指令这样做时可以遵循要求安全地删除存储在其NV RAM 156内的信息的规范,因此从硬盘驱动器141的存储介质恢复明文密钥保护符250将不会得到密钥260,这是因为访问保护符250及获得密钥260所需要的密钥230将不再可用或可复原。其结果是,即使在没有安全地或者不可复原地删除明文密钥保护符210的情况下,存储在已加密部分240内的信息也可以保持受到保护。
虽然前面的描述和图2中提供的图示提到了保护密钥220的保护符并且密钥220被显示为直接负责解密已加密部分240,但是本领域技术人员将认识到,前面的描述和图示同样适用于传统上由诸如整体容量加密机制的安全机制生成并且与之相结合地使用的多个层次的密钥当中的任一个。因此,举例来说,受保护密钥220不需要直接能够解密已加密部分240,而是可以替换地是中间级别的密钥,其可以替换地解密另一个密钥,所述另一个密钥可以随后解密已加密部分240。
此外,虽然前面的描述和图2中提供的图示特别是针对安全地删除与整体容量加密机制相关联的未受保护的或者“明文密钥保护符”,其例如可以在诸如计算设备100之类的计算设备的状态改变期间被临时利用,但是前面描述的原理同样适用于安全地删除存储在与不能保证安全删除的存储设备相关联的存储介质上的任何受保护数据。更具体来说,如果信息以受保护方式被存储,从而可以利用某项其他数据(其在这里按照传统被称作“密钥”)来访问该信息,则为了提供对于这样的信息的安全且不可复原的去除,可以把受保护信息存储在任何存储介质上,并且可以把密钥存储在TPM NV RAM 156中,正如前面所详细描述的那样。即使存储介质以及与这样的存储介质相关联的存储设备无法提供或保证对于受保护信息的安全且不可复原的去除,可以由TPM 150提供的对于所述密钥的安全且不可复原的删除实际上也可以像前面详细描述的那样导致对于受保护信息的不可复原的去除,而不管在其上存储这样的受保护信息的存储介质或设备的能力如何。
在许多情况下,存储介质以及与所述介质相关联的存储设备由于基于硬件的机制而无法保证不可复原的去除,所述基于硬件的机制可能混叠、拷贝、复制或者以其他方式倍增存储在所述存储介质上的受保护信息,从而使得对于受保护信息的一份拷贝或方面的安全去除可能无法保证对于所有这样的方面或拷贝的安全去除。在这种情况下,受保护信息可能作为存储硬件的一部分而扩散,通过把单个密钥保留在TPM NV RAM 156中可以提供一种单一性措施以及对于受保护信息的控制。此外,虽然并不要求,但是如果需要不可复原地去除受保护信息,则可以通过从TPM NV RAM 156中安全且不可复原地去除密钥来实现这一点,正如前面所详细描述的那样。
在另一个实施例中,把诸如密钥230之类的密钥存储在TPM NV RAM 156中的做法可以被利用来提供一种针对诸如硬盘驱动器141之类的存储设备的物理失窃的保护措施,或者替换地针对从例如出于维护原因而被合法地移除的存储设备窃取信息而提供保护。参照图3,其中示出了包括计算设备100的系统300,所述计算设备100具有可以与计算设备在物理和通信方面分离的硬盘驱动器141。如前所述,可以创建保护密钥220的密钥保护符210并且将其存储在硬盘驱动器141上。与之前一样,密钥220可以被直接地或间接地利用来解密并访问硬盘驱动器141的已加密部分240。通过把密钥230存储在TPM NV RAM 156中并且与密钥保护符210一起提供指向密钥230的指针,在试图访问存储在硬盘驱动器141的已加密部分240中的信息时,计算设备100以及在其上执行的处理遵循来自密钥保护符210的指针去到TPM NV RAM 156中的存储密钥230的位置,并且可以随后从TPM 150获得这样的密钥并且利用其来最终访问硬盘驱动器的已加密部分。
此外,在一个实施例中,对于密钥230的访问或者更具体来说对于TPM NV RAM 156的存储密钥230的特定索引的访问可以自由地被TPM 150准许,而不需要被限制到PCR 155的特定数值,或者与计算设备100的状态相关联的其他类似信息。因此,执行在计算设备100上的处理可以自由地访问存储在硬盘驱动器141的已加密部分240内的信息而不管对于计算设备或者由其执行的处理的总体安全性可能无关紧要的计算设备的状态的各个方面。这样的环境在传统上可以配备有基于硬件的安全性(比如有限访问物理环境)的服务器计算设备中可能特别有用,所述基于硬件的安全性可以最小化服务器计算设备100的状态以不安全方式发生改变的几率,但是应当尝试保持尽可能多的操作正常运行时间。
但是如果这样的计算设备(或者更具体来说是这样的计算设备的组件)被盗,则通过如前所述把必要的信息存储在TPM NV RAM 156中可以防止利用来自被盗硬盘驱动器141或其他类似的被盗存储介质的已加密部分240的信息。替换地,如果硬盘驱动器141发生了可能导致必须更换所述硬盘驱动器的故障,则一旦把硬盘驱动器或任何其他类似的存储介质在物理和通信方面与计算设备100分离之后,可能就无法访问存储在硬盘驱动器141的已加密部分240内的信息。实际上,存储在硬盘驱动器141的已加密部分240内的信息可以足够地不可访问,从而一旦硬盘驱动器与计算设备100在通信方面分离,其可以满足各种安全性标准而不需要对硬盘驱动器或存储在其上的信息进行高成本并且耗时的擦除或其他破坏。
从图3的系统300可以看到,如果硬盘驱动器141与计算设备100在通信方面分离,例如如果硬盘驱动器141被从服务器计算设备100物理地移除(例如作为经过授权的维护的一部分或者由于被盗)并且随后可通信地耦合到不同的计算设备,则执行在这样的不同计算设备上的处理将不能访问存储在计算设备100的TPM 150的NV RAM 156中的密钥230。由于无法访问这样的密钥230,因此执行在硬盘驱动器141随后与之可通信地耦合的不同计算设备上的处理将不能从保护符210获得密钥220,因而将不能有意义地访问存储在硬盘驱动器141的已加密部分240内的信息。由于执行在计算设备100外部的计算设备上的处理不管是通过电子通信机制还是通过对TPM 150本身的物理访问都无法容易地从TPM 150获得存储在NV RAM 156内的信息,因此通过把诸如密钥230之类的必要信息存储在TPM NV RAM中,可以在不对计算设备100的操作正常运行时间造成负面影响的情况下,针对存储在可以与计算设备100在通信方面断开的存储介质上的数据提供一种安全性措施,其中包括针对盗窃的安全性以及针对作为经过授权的维护的一部分被更换的存储介质的后续访问的安全性。
虽然在前面没有特别列举出来,但是正如本领域技术人员所知,TPM 150可以把存储在其中(比如存储在TPM NV RAM 156上)的信息的释放限制到计算设备100的比如在传统上将由一个或更多PCR 155的数值代表的特定状态。因此,在另一个实施例中,TPM 150的这种看门功能可以被利用来在计算设备100可能处于易受攻击状态时(诸如比如当计算设备处于休眠或其他暂停状态时)保护信息。
参照图4,系统400示出了可以在计算设备100处于休眠状态时借以保护休眠镜像410的一种示例性机制。最初,在计算设备100启动休眠之后,可以创建休眠镜像410。正如本领域技术人员所知并且如图4中的虚线所示,诸如休眠镜像410之类的休眠镜像可以包括与计算设备在休眠之前的状态相关联的信息。举例来说,休眠镜像410可以包括在休眠时存在于计算设备100的RAM 132中的操作系统134、程序模块135和程序数据136的状态,从而在从休眠状态继续执行之后,计算设备100可以把信息从休眠镜像410加载到RAM 132中,从而允许操作系统和程序模块继续执行其之前的动作或执行。
由于休眠镜像410可以包括与处于执行状态下的处理和应用相关联的信息,因此其可以包括可能只有在可能已经施行了特定的与安全性有关的动作之后才可用的信息。举例来说,可能只有在确定了计算设备100处于受信任状态之后才把操作系统134或程序模块135的某些方面加载到RAM 132中。但是操作系统134或程序模块135的这些方面现在可能驻留在RAM 132中而没有任何进一步的保护。如果将要收集并存储这样的信息以作为休眠镜像410的一部分,则诸如例如在计算设备100处于休眠状态时对于所述休眠镜像的后续访问可能会提供对于所述信息的访问,而没有意图保护这样的信息免于未经授权的访问的通常的安全性限制。
因此,在一个实施例中,为了保持休眠镜像410的完整性和计算设备100的状态,可以对休眠镜像进行加密并且存储为如图4的系统400中所示的已加密休眠镜像415。虽然图4的系统400示出了对于休眠镜像410的加密由操作系统134施行,但是本领域技术人员将认识到,这样的加密同样可以由其他处理施行,其中例如包括作为程序模块135的一部分执行的处理。除了对休眠镜像410进行加密并且将其作为已加密休眠镜像415存储在存储设备(诸如例如硬盘驱动器141)上之外;操作系统134或其他有关处理还可以在TPM NV RAM 156中存储密钥430,所述密钥430可以解锁已加密休眠镜像415或者以其他方式提供对于休眠镜像410的访问。
在一个实施例中,可以结合针对TPM 150的指令将密钥430存储在TPM NV RAM 156中,所述指令指示TPM除非在发出针对密钥430的请求时的PCR 155的数值当中的一个或更多个与计算设备100休眠时相同,否则不要释放或者以其他方式提供密钥430。更具体来说,如前所示,一个或更多PCR 155的数值可以与计算设备100的状态唯一地相关联。因此,在计算设备100休眠时,一个或更多PCR 155的数值可以反映计算设备100在休眠时的状态,以及当计算设备从休眠中继续执行时所述计算设备应当具有的状态。因此,可以参照一个或更多PCR 155的数值来确保计算设备100的状态从其休眠时到其随后继续执行时为止没有发生重大改变,因此,可以把如前所示地能够提供对于休眠镜像410的访问的密钥430的释放绑定到计算设备休眠时的一个或更多PCR 155的数值。
随后,当计算设备100从休眠中继续执行时,正如本领域技术人员所知可以作为操作系统134的部件的引导加载器434可以尝试访问休眠镜像410并且将其加载到RAM 132中。但是在能够实现这一点之前,引导加载器434可以首先从TPM NV RAM 156获得密钥430。按照前面描述的方式,已加密休眠镜像415可以包括例如针对TPM NV RAM 156中的密钥430的位置的NV索引的参照。于是例如可以在引导加载器434尝试从TPM 150获取密钥430时利用这样的参照。
但是由于TPM 150对密钥430的释放可能已被绑定到一个或更多PCR 155的数值,因此TPM可以首先把计算设备从休眠中继续执行并且请求密钥430时的PCR 155的数值与把密钥430存储在TPM NV RAM 156中时指定的PCR的数值进行比较。如果计算设备100的状态的一个或更多重大方面与计算设备休眠时相比发生了改变,则密钥430的释放所绑定到的一个或更多PCR 155的数值将不等效于其在密钥430被存储于TPM NV RAM 156中时的数值,并且TPM 150将不提供密钥。因此,例如当计算设备100处于休眠状态时,如果恶意的或者以其他方式未知的或不受信任的计算机可执行指令或其他处理被暗中插入在所述计算设备100中或者以其他方式被准备在所述计算设备上执行,则这样的计算机可执行指令或处理的执行或激活将被记录在TCG事件日志490中,并且将被反映在PCR 155的数值中。更具体来说,这样的处理或指令的暗中插入将导致PCR 155的数值不同于在休眠之前把密钥430存储在TPM NV RAM 156中时所述密钥430的释放与之绑定的数值,其结果是将导致TPM 150拒绝向发出请求的处理(例如引导加载器434)提供密钥430。
其结果是,已加密休眠镜像415将不能被解密,并且计算设备100将不能利用暗中插入的新的指令或处理从休眠中继续执行操作。相反,本领域技术人员将认识到,计算设备100可以被完全重启,从而去除或者以其他方式抵消任何暗中插入的指令或处理的效果,并且其结果是保护了计算设备100,更具体来说是确保可能已经例如由操作系统134或程序模块135加载并利用的敏感信息不会受到危害。
下面通过图5和6的流程图进一步详述前面描述的机制的操作。参照图5,流程图500示出了可以被施行来提供对于敏感信息的安全且不可恢复的删除的一系列示例性步骤,所述敏感信息可能需要诸如例如在更新处理期间被临时存储在存储介质上。流程图500中示出的步骤至少部分地也适用于按照把信息不可分离地绑定到计算设备的方式来存储所述信息,并且在存储介质与计算设备在通信方面断开的情况下利用该信息来保护存储在所述存储介质上的其他信息。
最初,在步骤510中,可以发起对于计算设备的更新或其他改变,其例如可能会影响计算设备的引导处理,或者以其他方式导致计算设备的操作状态的重大改变。随后,在步骤515中,可以例如为与整体容量加密机制相关联的密钥生成明文密钥保护符。可以在步骤520中把“明文密钥”存储在TPM的NV RAM中,所述“明文密钥”可以访问在步骤515中生成的明文密钥保护符。在步骤525中,把指向存储在TPM的NV RAM中的密钥的指针(诸如例如与所述密钥在TPM的NV RAM中的存储位置相关联的NV索引)与明文密钥保护符存储在一起,以其他方式与之相关联。在步骤530中,可以施行与可能对计算设备的状态造成重大影响的更新或其他改变的施行相关联的一个或更多步骤。此外,作为步骤530的一部分,可以重新引导或者以其他方式重启计算设备。
随后,在步骤535中,可以作为解密或者以其他方式访问受保护信息的努力的一部分来访问在步骤515中生成的明文密钥保护符,所述受保护信息诸如例如是作为整体容量加密机制的一部分而受到保护的信息。从在步骤535中访问的明文密钥保护符,可以在步骤540中获得指针(比如NV索引),并且利用所述指针来获得密钥,该密钥可以解密或者以其他方式访问由所述明文密钥保护符保护的密钥。如果在步骤540中成功获得所述密钥,则可以访问在步骤535中获得的明文密钥保护符,并且可以在步骤545中利用所得到的密钥来解锁所述容量。
如前所示,在步骤530中施行的更新或其他改变可能影响了把例如与整体容量加密机制关联的密钥绑定到计算设备的状态的现有机制。因此,在步骤545中解锁了由整体容量加密服务保护的容量之后,可以在步骤550中可选地生成对应于可以访问已加密容量的密钥的一个或更多新的保护符。此外,可以在步骤555中把步骤515中生成的明文密钥保护符从其所被存储的存储介质中删除,并且在步骤560中可以指示TPM从TPM NV RAM中删除密钥。正如前面详细描述的那样,即使应当在步骤555中已被删除的明文密钥保护符实际上没有被不可复原地去除,根据TPM所遵守的规范,在步骤560中指示TPM从TPM NV RAM中删除密钥的指令也可以导致所述密钥被安全且不可复原地删除。本领域技术人员将认识到,在555中对于明文密钥保护符的删除和步骤560中指示TPM从TPM NV RAM中删除密钥的指令不需要精确地按照图5的流程图500的所示顺序发生,而是可以在步骤545的容量解锁期间或之后的任何时间发生。随后,在步骤565中,有关的处理可以结束。
正如前面详细描述的那样,图5的流程图500中所示的步骤不需要都被执行,比如在把一段关键信息存储在TPM NV RAM内以便在其他存储介质被盗或者其他通信分离时保护信息的安全。举例来说,步骤530对计算系统的更新或其他改变、在步骤550中相应地生成新的保护符以及随后在步骤555和560中分别从存储介质删除明文密钥保护符并且从TPM NV RAM中删除密钥,可以只适用于特定实施例,并且在仅仅尝试在被盗或者存储介质与计算设备的其他通信分离的情况下保护存储介质上的信息时不需要被施行。
参照图6,流程图600示出了可以在休眠或其他暂停状态期间施行来保护计算设备的一系列示例性步骤。首先,从流程图600中可以看出,在步骤610中,用户或其他处理可以发起计算设备的休眠或暂停。随后,在步骤615中,根据传统的休眠机制,可以生成例如包括来自计算设备的RAM的有关信息的休眠镜像。在步骤620中,可以对该休眠镜像进行加密,以便在计算设备处于休眠或其他暂停状态时保护休眠镜像免受访问或修改。在步骤625中,可以把与已加密休眠镜像相关联并且可以被利用来对已加密休眠镜像进行解密的密钥存储在TPM NV RAM中。
如前所述,在步骤625中把密钥提供给TPM NV RAM时,可以指示TPM除非在发出针对密钥的请求时的TPM的PCR数值当中的一个或更多个与计算设备在步骤625中休眠时相同,否则不要向发出请求的处理释放密钥。一旦在步骤620中对休眠镜像进行了加密并且在步骤625中把密钥存储在TPM NV RAM中,计算设备就可以完成休眠并且在步骤630中进入休眠状态。在也由步骤630包含的后来的某一时间点,可以指示计算设备继续执行活跃操作。此时正在计算设备上执行的有关处理(比如引导加载器或休眠管理器)可以尝试从TPM获得存储在TPM NV RAM中的密钥并且利用该密钥来解密并访问在步骤620中加密的休眠镜像,从而把计算设备恢复到其紧接在休眠之前正在其中执行的执行情境。
在步骤635中,TPM可以参照针对释放密钥所指定的数值来检查一个或更多PCR的当前数值。如果在步骤635中有关的PCR数值等效于针对释放密钥所指定的数值,则所述处理可以进行到步骤640,并且由TPM向发出请求的处理提供密钥。发出请求的处理于是可以在步骤645中利用所述密钥来解锁在步骤615和620中生成的已加密休眠镜像,并且重新建立活跃计算状态。有关的处理可以随后在步骤660中结束。
但是如果在步骤635中有关的PCR数值不等效于针对释放密钥所指定的数值,则所述处理可以进行到步骤650,此时TPM可以拒绝向发出请求的处理提供密钥。在这种情况下,由于无法对已加密休眠镜像进行解密,因此计算设备将不能继续执行活跃处理,并且可以在步骤655中施行完全重启或者以其他方式将其自身关机并且在某一后续时间点施行引导处理。因此,如果在计算设备处于休眠状态时计算设备的状态已经发生了重大改变,诸如例如如果恶意的或者以其他方式未知的计算机可执行指令或者对于计算设备的其他改变被暗中插入,或者被设置成在恢复执行活跃处理时执行,则TPM可以例如在步骤650中拒绝提供密钥,并且通过在步骤655中施行完全重启或重新引导规程可以擦除或者以其他方式抵消在计算设备处于休眠状态时对所述计算设备暗中施行的任何改变。有关的处理随后可以在步骤660中结束。
从前面的描述中可以看出,给出了用于通过利用TPM的存储能力安全地存储并且不可复原地擦除敏感信息的机制。鉴于这里所描述的主题内容的许多可能变型,可能落在所附权利要求书及其等效表述的范围内的所有这样的实施例都应当作为本发明而被要求保护。
Claims (11)
1. 一种利用受信任平台模块(TPM)的位于TPM(150)内部的存储介质(156)的方法,其包括以下步骤:
对第一数据集合进行加密;
把已加密的第一数据集合存储在存储介质(141)上;
把可被利用来对已加密的第一数据集合进行解密的密钥存储在TPM的存储介质(156)上;
把在TPM的存储介质(156)内存储所述密钥的索引与已加密的第一数据集合一起存储在存储介质(141)上;
在把密钥存储在TPM的存储介质(156)上之后,向TPM(150)请求所述密钥,所述请求指定在TPM的存储介质(156)内存储所述密钥的索引;
利用响应于所述请求而从TPM(150)获得的密钥来对已加密的第一数据集合进行解密;以及
指示TPM(150)从TPM的存储介质(156)中删除所述密钥;
其中,通过指示TPM(150)删除密钥而导致从TPM的存储介质(156)中不可复原地擦除所述密钥,从而即使在从存储介质(141)获取了已加密的第一数据集合的情况下,也无法从已加密的第一数据集合获得第一数据集合。
2. 权利要求1的方法,其中,第一数据集合包括与应用于所述存储介质的整体容量加密相关联的密钥。
3. 权利要求2的方法,其中,把密钥存储在TPM的存储介质上的所述步骤包括指示TPM响应于请求所述密钥从TPM的存储介质提供密钥,而不管任何平台配置寄存器(PCR)的数值如何。
4. 权利要求2的方法,其中,在把密钥存储在TPM的存储介质上之后向TPM请求所述密钥的所述步骤也在计算设备的状态改变之后发生,预期到所述计算设备的状态改变而对第一数据集合施行了加密。
5. 权利要求1的方法,其中,第一数据集合包括休眠镜像。
6. 权利要求5的方法,其还包括以下步骤:指示TPM只有在TPM的一个或更多PCR包括预期数值的情况下,才响应于请求所述密钥从TPM的存储介质提供所述密钥。
7. 权利要求6的方法,其中,所述一个或更多PCR的预期数值等效于在生成休眠镜像时的PCR数值。
8. 一种计算机可读介质,其包括用于施行权利要求1的方法的计算机可执行指令。
9. 一种保护作为数据被存储在可移除存储设备(141)上的信息的方法,该方法通过当所述可移除存储设备(141)在通信方面与包括受信任平台模块(TPM)(150)的经过授权的计算设备(100)断开时自动阻止对所述信息的访问而进行保护,其中TPM(150)又包括内部存储介质(156),所述方法包括以下步骤:
对存储在可移除存储设备(141)上的数据进行加密;
把可被利用来对已加密数据进行解密的第一密钥存储在TPM的内部存储介质(156)上;以及
指示TPM(150)响应于来自经过授权的计算设备(100)本地的处理的针对第一密钥的请求从TPM的内部存储介质(156)提供第一密钥,而不管任何平台配置寄存器(PCR)(155)的数值如何。
10. 权利要求9的方法,其还包括以下步骤:通过保留在可移除存储设备的外部的信息,保护可被利用来对存储在可移除存储设备上的已加密数据进行解密的所有密钥。
11. 权利要求9的方法,其还包括以下步骤:把也可被利用来对已加密数据进行解密并且由第一密钥保护的第二密钥存储在可移除存储设备上;以及把在TPM的内部存储介质中存储第一密钥的索引与受保护的第二密钥存储在一起。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/577846 | 2009-10-13 | ||
US12/577,846 US8250379B2 (en) | 2009-10-13 | 2009-10-13 | Secure storage of temporary secrets |
PCT/US2010/050275 WO2011046731A2 (en) | 2009-10-13 | 2010-09-24 | Secure storage of temporary secrets |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102549594A true CN102549594A (zh) | 2012-07-04 |
CN102549594B CN102549594B (zh) | 2015-04-08 |
Family
ID=43855773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080046403.XA Active CN102549594B (zh) | 2009-10-13 | 2010-09-24 | 临时秘密的安全存储 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8250379B2 (zh) |
EP (1) | EP2488987B1 (zh) |
JP (1) | JP5643318B2 (zh) |
KR (1) | KR101699998B1 (zh) |
CN (1) | CN102549594B (zh) |
TW (1) | TWI497338B (zh) |
WO (1) | WO2011046731A2 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
CN105847011A (zh) * | 2016-03-21 | 2016-08-10 | 华为技术有限公司 | 一种密钥加载方法及设备 |
CN106295416A (zh) * | 2016-08-19 | 2017-01-04 | 联想(北京)有限公司 | 一种唤醒控制方法及电子设备 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8250380B2 (en) * | 2009-12-17 | 2012-08-21 | Hitachi Global Storage Technologies Netherlands B.V. | Implementing secure erase for solid state drives |
US8943329B2 (en) * | 2010-03-29 | 2015-01-27 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for sharing an integrity security module in a dual-environment computing device |
US8555083B1 (en) * | 2010-07-22 | 2013-10-08 | Symantec Corporation | Systems and methods for protecting against unauthorized access of encrypted data during power-management modes |
WO2012023050A2 (en) | 2010-08-20 | 2012-02-23 | Overtis Group Limited | Secure cloud computing system and method |
JP4966422B1 (ja) * | 2011-03-31 | 2012-07-04 | 株式会社東芝 | 情報処理装置及びデータ保護方法 |
US8375221B1 (en) | 2011-07-29 | 2013-02-12 | Microsoft Corporation | Firmware-based trusted platform module for arm processor architectures and trustzone security extensions |
TWI546695B (zh) * | 2011-12-15 | 2016-08-21 | 萬國商業機器公司 | 刪除儲存系統中之內容 |
US9916456B2 (en) * | 2012-04-06 | 2018-03-13 | Security First Corp. | Systems and methods for securing and restoring virtual machines |
JP5961059B2 (ja) * | 2012-07-18 | 2016-08-02 | キヤノン株式会社 | 情報処理装置およびその起動方法 |
JP2014096133A (ja) * | 2012-10-10 | 2014-05-22 | Ricoh Co Ltd | 伝送端末、伝送システム、プログラム |
JP6095330B2 (ja) * | 2012-11-13 | 2017-03-15 | キヤノン株式会社 | 情報処理装置及びその制御方法、プログラム |
JP5842800B2 (ja) * | 2012-12-20 | 2016-01-13 | カシオ計算機株式会社 | 制御システム、情報処理装置、端末装置、制御方法及び制御プログラム |
WO2014172205A1 (en) * | 2013-04-15 | 2014-10-23 | Amazon Technologies, Inc. | Host recovery using a secure store |
US10389709B2 (en) * | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
US9690943B2 (en) * | 2014-06-04 | 2017-06-27 | Dell Products L.P. | BIOS secure data management system |
US9565169B2 (en) * | 2015-03-30 | 2017-02-07 | Microsoft Technology Licensing, Llc | Device theft protection associating a device identifier and a user identifier |
WO2019087309A1 (ja) * | 2017-10-31 | 2019-05-09 | 三菱重工機械システム株式会社 | 情報処理装置、情報処理装置の制御方法及びプログラム |
US20230100160A1 (en) * | 2020-02-21 | 2023-03-30 | Hewlett-Packard Development Company, L.P. | Computing devices for encryption and decryption of data |
US20220092193A1 (en) * | 2020-09-22 | 2022-03-24 | Keyavi Data Corp. | Encrypted file control |
TWI783410B (zh) * | 2021-03-16 | 2022-11-11 | 瑞昱半導體股份有限公司 | 電子裝置以及其休眠恢復方法 |
US11960625B2 (en) * | 2021-05-06 | 2024-04-16 | Jpmorgan Chase Bank, N.A. | Systems and methods for protecting sensitive data in user online activities |
US11805108B2 (en) * | 2021-05-10 | 2023-10-31 | Vmware, Inc. | Secure volume encryption suspension for managed client device updates |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474279A (zh) * | 2001-08-08 | 2004-02-11 | ��ʽ���綫֥ | 微处理器 |
CN101369254A (zh) * | 2007-08-15 | 2009-02-18 | 联想(北京)有限公司 | 数据保护方法和设备 |
CN101441601A (zh) * | 2007-11-22 | 2009-05-27 | 中国长城计算机深圳股份有限公司 | 一种硬盘ata指令的加密传输的方法 |
CN101470789A (zh) * | 2007-12-28 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种计算机的加解密方法及装置 |
CN101496337A (zh) * | 2005-04-13 | 2009-07-29 | 微软公司 | 硬盘驱动器认证 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6292899B1 (en) * | 1998-09-23 | 2001-09-18 | Mcbride Randall C. | Volatile key apparatus for safeguarding confidential data stored in a computer system memory |
KR100763693B1 (ko) * | 2000-06-21 | 2007-10-04 | 소니 가부시끼 가이샤 | 정보 처리 장치 및 처리 방법 |
EP1273996B1 (en) | 2001-07-06 | 2008-08-06 | Texas Instruments Incorporated | Secure bootloader for securing digital devices |
WO2003077083A2 (en) * | 2002-03-13 | 2003-09-18 | Matsushita Electric Industrial Co., Ltd. | Secure device for preventing unauthorised use of distributed content |
US7343493B2 (en) * | 2002-03-28 | 2008-03-11 | Lenovo (Singapore) Pte. Ltd. | Encrypted file system using TCPA |
WO2004104797A1 (en) * | 2003-05-21 | 2004-12-02 | Hewlett-Packard Development Company L.P. | Use of certified secrets in communication |
US7210166B2 (en) * | 2004-10-16 | 2007-04-24 | Lenovo (Singapore) Pte. Ltd. | Method and system for secure, one-time password override during password-protected system boot |
US7725703B2 (en) * | 2005-01-07 | 2010-05-25 | Microsoft Corporation | Systems and methods for securely booting a computer with a trusted processing module |
JP2006197303A (ja) * | 2005-01-14 | 2006-07-27 | Matsushita Electric Ind Co Ltd | 鍵記録媒体及び再生装置 |
US20070079120A1 (en) * | 2005-10-03 | 2007-04-05 | Bade Steven A | Dynamic creation and hierarchical organization of trusted platform modules |
JP2007102450A (ja) * | 2005-10-04 | 2007-04-19 | Matsushita Electric Ind Co Ltd | コンテンツ記録媒体 |
US8306918B2 (en) | 2005-10-11 | 2012-11-06 | Apple Inc. | Use of media storage structure with multiple pieces of content in a content-distribution system |
IL171963A0 (en) * | 2005-11-14 | 2006-04-10 | Nds Ltd | Secure read-write storage device |
US7444670B2 (en) * | 2006-03-21 | 2008-10-28 | International Business Machines Corporation | Method and apparatus for migrating a virtual TPM instance and preserving uniqueness and completeness of the instance |
JP4769608B2 (ja) * | 2006-03-22 | 2011-09-07 | 富士通株式会社 | 起動検証機能を有する情報処理装置 |
JP2008033512A (ja) * | 2006-07-27 | 2008-02-14 | Toppan Printing Co Ltd | セキュリティチップ及びプラットフォーム |
JP2008035449A (ja) * | 2006-08-01 | 2008-02-14 | Hitachi Software Eng Co Ltd | 自己復号ファイルによるデータ配布方法および該方法を用いた情報処理システム |
US7711960B2 (en) * | 2006-08-29 | 2010-05-04 | Intel Corporation | Mechanisms to control access to cryptographic keys and to attest to the approved configurations of computer platforms |
US8091137B2 (en) * | 2006-10-31 | 2012-01-03 | Hewlett-Packard Development Company, L.P. | Transferring a data object between devices |
US8385551B2 (en) * | 2006-12-22 | 2013-02-26 | Telefonaktiebolaget L M Ericsson (Publ) | Highly available cryptographic key storage (HACKS) |
JP2008171487A (ja) * | 2007-01-10 | 2008-07-24 | Ricoh Co Ltd | データ入力装置、データ出力装置及びデータ処理装置 |
GB0701518D0 (en) | 2007-01-26 | 2007-03-07 | Hewlett Packard Development Co | Methods, devices and data structures for protection of data |
JP4933946B2 (ja) * | 2007-04-18 | 2012-05-16 | 株式会社日立製作所 | 外部記憶装置及び情報漏洩防止方法 |
US9158920B2 (en) * | 2007-06-28 | 2015-10-13 | Intel Corporation | System and method for out-of-band assisted biometric secure boot |
US8064605B2 (en) * | 2007-09-27 | 2011-11-22 | Intel Corporation | Methods and apparatus for providing upgradeable key bindings for trusted platform modules |
US20100023782A1 (en) * | 2007-12-21 | 2010-01-28 | Intel Corporation | Cryptographic key-to-policy association and enforcement for secure key-management and policy execution |
US7971081B2 (en) * | 2007-12-28 | 2011-06-28 | Intel Corporation | System and method for fast platform hibernate and resume |
US20090319772A1 (en) * | 2008-04-25 | 2009-12-24 | Netapp, Inc. | In-line content based security for data at rest in a network storage system |
-
2009
- 2009-10-13 US US12/577,846 patent/US8250379B2/en active Active
-
2010
- 2010-09-21 TW TW099132069A patent/TWI497338B/zh not_active IP Right Cessation
- 2010-09-24 JP JP2012534208A patent/JP5643318B2/ja active Active
- 2010-09-24 EP EP10823813.0A patent/EP2488987B1/en active Active
- 2010-09-24 KR KR1020127009366A patent/KR101699998B1/ko active IP Right Grant
- 2010-09-24 CN CN201080046403.XA patent/CN102549594B/zh active Active
- 2010-09-24 WO PCT/US2010/050275 patent/WO2011046731A2/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474279A (zh) * | 2001-08-08 | 2004-02-11 | ��ʽ���綫֥ | 微处理器 |
CN101496337A (zh) * | 2005-04-13 | 2009-07-29 | 微软公司 | 硬盘驱动器认证 |
CN101369254A (zh) * | 2007-08-15 | 2009-02-18 | 联想(北京)有限公司 | 数据保护方法和设备 |
CN101441601A (zh) * | 2007-11-22 | 2009-05-27 | 中国长城计算机深圳股份有限公司 | 一种硬盘ata指令的加密传输的方法 |
CN101470789A (zh) * | 2007-12-28 | 2009-07-01 | 中国长城计算机深圳股份有限公司 | 一种计算机的加解密方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104618096A (zh) * | 2014-12-30 | 2015-05-13 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
CN104618096B (zh) * | 2014-12-30 | 2018-10-30 | 华为技术有限公司 | 保护密钥授权数据的方法、设备和tpm密钥管理中心 |
CN105847011A (zh) * | 2016-03-21 | 2016-08-10 | 华为技术有限公司 | 一种密钥加载方法及设备 |
CN106295416A (zh) * | 2016-08-19 | 2017-01-04 | 联想(北京)有限公司 | 一种唤醒控制方法及电子设备 |
CN106295416B (zh) * | 2016-08-19 | 2021-07-16 | 联想(北京)有限公司 | 一种唤醒控制方法及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
TWI497338B (zh) | 2015-08-21 |
EP2488987B1 (en) | 2020-11-18 |
JP5643318B2 (ja) | 2014-12-17 |
US20110087896A1 (en) | 2011-04-14 |
JP2013507715A (ja) | 2013-03-04 |
US8250379B2 (en) | 2012-08-21 |
EP2488987A4 (en) | 2014-06-18 |
EP2488987A2 (en) | 2012-08-22 |
WO2011046731A2 (en) | 2011-04-21 |
TW201137663A (en) | 2011-11-01 |
WO2011046731A3 (en) | 2011-07-14 |
KR101699998B1 (ko) | 2017-01-25 |
KR20120087128A (ko) | 2012-08-06 |
CN102549594B (zh) | 2015-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102549594B (zh) | 临时秘密的安全存储 | |
Altuwaijri et al. | Android data storage security: A review | |
US8219806B2 (en) | Management system, management apparatus and management method | |
US8281388B1 (en) | Hardware secured portable storage | |
US9100173B2 (en) | Security USB storage medium generation and decryption method, and medium recorded with program for generating security USB storage medium | |
US8561209B2 (en) | Volume encryption lifecycle management | |
JP5505010B2 (ja) | 記憶媒体アダプタ及びデータアクセス不能化方法 | |
JP2008072717A (ja) | 埋込認証を有するハードディスク・ストリーミング暗号操作 | |
TW519651B (en) | Embedded security device within a nonvolatile memory device | |
US20120017097A1 (en) | System And Method For Securely Storing Data In An Electronic Device | |
CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
US7818567B2 (en) | Method for protecting security accounts manager (SAM) files within windows operating systems | |
CN103797491A (zh) | 对存储设备进行解锁 | |
EP3098745A1 (en) | Device key security | |
EP2204753B1 (en) | Terminal apparatuses | |
JP2015079525A (ja) | 可搬型記憶媒体用アダプタ及びデータアクセス不能化方法 | |
CN103870769A (zh) | 一种对磁盘进行保护的方法及系统 | |
WO2016193176A1 (en) | A remotely protected electronic device | |
RU2580014C2 (ru) | Система и способ изменения маски зашифрованной области при возникновении сбоя в компьютерной системе | |
JP5528198B2 (ja) | 情報処理装置及びプログラム | |
CN104573564A (zh) | 一种bios管理员密码的系统下管理方法 | |
JP5662600B2 (ja) | 可搬型記憶媒体用アダプタ及びデータアクセス不能化方法 | |
CN113177217A (zh) | 拷贝文件的方法及其系统 | |
Altuwaijri et al. | Computer and Information Sciences | |
CN113761599A (zh) | 固态硬盘加密方法、装置、可读存储介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150618 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150618 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |