CN106803046A - 一种基于外部存储的度量日志加密方法 - Google Patents
一种基于外部存储的度量日志加密方法 Download PDFInfo
- Publication number
- CN106803046A CN106803046A CN201710046912.6A CN201710046912A CN106803046A CN 106803046 A CN106803046 A CN 106803046A CN 201710046912 A CN201710046912 A CN 201710046912A CN 106803046 A CN106803046 A CN 106803046A
- Authority
- CN
- China
- Prior art keywords
- metrics logs
- key
- external memory
- memory equipment
- tpm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于外部存储的度量日志加密方法,涉及可信计算安全领域;可信终端包括一外部存储设备,可信终端系统发起本地完整性度量后,将度量日志存储在外部存储设备中,可信终端启动授权会话功能和密钥功能,设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密;本发明利用启动授权并加载密钥,对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性,防止本机信息的泄露。
Description
技术领域
本发明公开一种度量日志加密方法,涉及可信计算安全领域,具体地说是一种基于外部存储的度量日志加密方法。
背景技术
TPM,Trusted Platform Module是可信计算平台的核心,能够为可信终端和平台提供基于硬件的数据安全存储和密码运算。同时在系统启动过程中,以TPM硬件中的可信度量根为起点,对系统组件进行度量并构建信任链生成的完整性度量日志,保证系统启动运行过程中的安全可信。
当系统重启或者开启发起本地验证可信服务时,会将度量组件的历史记录包括特征和对应的序列存储到本地度量存储日志(Stored Measurement Log,SML)中,由于SML中涉及本机的操作系统版本、系统配置参数和运行软件等关键信息,在本地存储中这些关键信息容易被外部获取,导致本机配置信息泄露,而是本机进一步遭受攻击或被窃取其他主要信息,造成不可估量的损失。
为此,本发明提供一种基于外部存储的度量日志加密方法,通过增设外部存储与可信终端连接,将系统的度量日志SML存储至外部设备中,利用启动授权并加载密钥,对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性,防止本机信息的泄露。
发明内容
本发明针对现有技术中SML中涉及本机的操作系统版本、系统配置参数和运行软件等关键信息,在本地存储中这些关键信息容易被外部获取,导致本机配置信息泄露的问题,提供一种基于外部存储的度量日志加密方法,具有通用性强、实施简便等特点,具有广阔的应用前景。
本发明提出的具体方案是:
一种基于外部存储的度量日志加密方法:
可信终端包括一外部存储设备,可信终端系统发起本地完整性度量后,将度量日志存储在外部存储设备中,可信终端启动授权会话功能和密钥功能,设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
所述可信终端利用TPM协议启动会话功能和密钥功能,设置会话身份认证并利用TPM产生密钥对度量信息进行加密。
所述可信终端系统发起从信任根到 BIOS、BootLoader、OS到应用程序的验证,对系统组件的特征值产生度量摘要,将度量摘要扩展存储至TPM。
所述可信终端通过TPM命令创建RSA算法的密钥句柄,加载密钥句柄和度量日志数据,对度量日志数据进行加密,将加密后的密文存储至外部存储设备中。
所述输入授权会话设定的身份证明进行会话验证,验证通过,调用TPM命令携带密钥句柄和密文发送至TPM中,进行解密获取度量日志数据明文。
一种基于外部存储的度量日志加密系统:
包括可信终端,
其中可信终端包括一外部存储设备,
可信终端还包括启动授权会话功能和密钥功能的单元,用于设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
所述启动授权会话功能和密钥功能的单元内置TPM芯片和对应的可信软件协议栈TSS。
所述可信终端通过USB接口与外部存储设备连接。
本发明的有益之处是:
本发明提供一种基于外部存储的度量日志加密方法,通过增设外部存储与可信终端连接,将系统的度量日志SML存储至外部存储设备中,利用启动授权并加载密钥,对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性,防止本机信息的泄露。优选地,使用TPM协议支持的会话启动功能和密钥管理功能,设置会话操作身份的认证并利用TPM产生的密钥对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性。
附图说明
图1本发明系统框架示意图;
图2是本发明方法流程示意图。
具体实施方式
本发明提供一种基于外部存储的度量日志加密方法:
可信终端包括一外部存储设备,可信终端系统发起本地完整性度量后,将度量日志存储在外部存储设备中,可信终端启动授权会话功能和密钥功能,设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
以具体操作实施来对本发明做进一步解释。
同时提供一种基于外部存储的度量日志加密系统:
包括可信终端,
其中可信终端包括一外部存储设备,
可信终端还包括启动授权会话功能和密钥功能的单元,用于设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
本发明系统可以是可信终端PC,可信终端PC使用USB接口与外部存储设备连接,启动授权会话功能和密钥功能的单元可以是可信终端PC内置TPM芯片和对应的可信软件协议栈TSS组成的TPM。
利用本发明方法和系统,
可信终端PC开机或者重启时,将外部存储设备通过USB接口与可信终端连接。系统发起从信任根到 BIOS、BootLoader、OS到应用程序的验证,通过HASH函数对系统中组件的特征值进行哈希运算并产生度量摘要;
调用TPM2_PCR_Extend命令将度量摘要扩展存储至TPM的PCR寄存器中,同时将需要将度量组件的历史记录包括特征和对应的序列存储到本地度量存储日志SML(StoredMeasurement Log)中;
完整性可信度量完成产生SML后,调用TPM的TPM2_StartAuthSession命令创建并启动一个授权会话,设定对外部存储设备的操作的身份证明;
调用TPM支持的非对称加解密算法RSA的TPM2_RSA_Encrypt命令,创建RSA算法的密钥句柄,加载密钥句柄和度量日志数据,对度量日志数据进行加密,并将加密后的密文存储至外部存储设备中;
当需要查看系统的度量日志时,输入授权会话设定的身份证明比如密码,然后进行会话验证,验证通过后,调用TPM的TPM2_RSA_Decrypt命令携带密钥句柄和密文发送至TPM进行解密,获取度量日志数据明文。
即利用本发明方法,通过增设外部存储与可信终端连接,将系统的度量日志SML存储至外部存储设备中,利用启动授权并加载密钥,对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性,防止本机信息的泄露。其中实施例中使用TPM协议支持的会话启动功能和密钥管理功能,设置会话操作身份的认证并利用TPM产生的密钥对度量信息进行加密,防止系统可信度量信息泄露,保证其度量日志数据存储的安全性。
以上所述的实施方式,只是本发明具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的常规变化和替换都应包含在本发明的保护范围内。
Claims (8)
1.一种基于外部存储的度量日志加密方法,其特征是
可信终端包括一外部存储设备,可信终端系统发起本地完整性度量后,将度量日志存储在外部存储设备中,可信终端启动授权会话功能和密钥功能,设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
2.根据权利要求1所述的方法,其特征是所述可信终端利用TPM协议启动会话功能和密钥功能,设置会话身份认证并利用TPM产生密钥对度量信息进行加密。
3.根据权利要求2所述的方法,其特征是所述可信终端系统发起从信任根到 BIOS、BootLoader、OS到应用程序的验证,对系统组件的特征值产生度量摘要,将度量摘要扩展存储至TPM。
4.根据权利要求2或3所述的方法,其特征是所述可信终端通过TPM命令创建RSA算法的密钥句柄,加载密钥句柄和度量日志数据,对度量日志数据进行加密,将加密后的密文存储至外部存储设备中。
5.根据权利要求2-4任一项所述的方法,其特征是所述输入授权会话设定的身份证明进行会话验证,验证通过,调用TPM命令携带密钥句柄和密文发送至TPM中,进行解密获取度量日志数据明文。
6.一种基于外部存储的度量日志加密系统,其特征是
包括可信终端,
其中可信终端包括一外部存储设备,
可信终端还包括启动授权会话功能和密钥功能的单元,用于设定对外部存储设备的操作身份证明并产生的密钥对度量日志数据进行加密。
7.根据权利要求6所述的系统,其特征是
所述启动授权会话功能和密钥功能的单元内置TPM芯片和对应的可信软件协议栈TSS。
8.根据权利要求6或7所述的系统,其特征是所述可信终端通过USB接口与外部存储设备连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710046912.6A CN106803046A (zh) | 2017-01-22 | 2017-01-22 | 一种基于外部存储的度量日志加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710046912.6A CN106803046A (zh) | 2017-01-22 | 2017-01-22 | 一种基于外部存储的度量日志加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106803046A true CN106803046A (zh) | 2017-06-06 |
Family
ID=58987239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710046912.6A Pending CN106803046A (zh) | 2017-01-22 | 2017-01-22 | 一种基于外部存储的度量日志加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106803046A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330305A (zh) * | 2017-06-28 | 2017-11-07 | 北京小米移动软件有限公司 | 对移动终端的外部存储中数据的访问权限控制方法和装置 |
| CN109308249A (zh) * | 2018-08-27 | 2019-02-05 | 山东超越数控电子股份有限公司 | 一种基于独立硬件模块审计及存储日志的系统及方法 |
| CN112445705A (zh) * | 2020-11-17 | 2021-03-05 | 中国南方电网有限责任公司 | 软件运行系统、方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101881997A (zh) * | 2009-05-04 | 2010-11-10 | 同方股份有限公司 | 一种可信安全移动存储装置 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| CN104715208A (zh) * | 2015-03-18 | 2015-06-17 | 浪潮集团有限公司 | 一种基于tpm芯片的平台完整性校验方法 |
| CN105933117A (zh) * | 2016-06-30 | 2016-09-07 | 浪潮集团有限公司 | 一种基于tpm秘钥安全存储的数据加解密装置和方法 |
-
2017
- 2017-01-22 CN CN201710046912.6A patent/CN106803046A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101881997A (zh) * | 2009-05-04 | 2010-11-10 | 同方股份有限公司 | 一种可信安全移动存储装置 |
| CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
| CN104715208A (zh) * | 2015-03-18 | 2015-06-17 | 浪潮集团有限公司 | 一种基于tpm芯片的平台完整性校验方法 |
| CN105933117A (zh) * | 2016-06-30 | 2016-09-07 | 浪潮集团有限公司 | 一种基于tpm秘钥安全存储的数据加解密装置和方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107330305A (zh) * | 2017-06-28 | 2017-11-07 | 北京小米移动软件有限公司 | 对移动终端的外部存储中数据的访问权限控制方法和装置 |
| CN109308249A (zh) * | 2018-08-27 | 2019-02-05 | 山东超越数控电子股份有限公司 | 一种基于独立硬件模块审计及存储日志的系统及方法 |
| CN112445705A (zh) * | 2020-11-17 | 2021-03-05 | 中国南方电网有限责任公司 | 软件运行系统、方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4638912B2 (ja) | ディストリビューションcdを使用した、署名されたグループにおけるダイレクトプルーフの秘密鍵を装置に伝達する方法 | |
| CN110401615B (zh) | 一种身份认证方法、装置、设备、系统及可读存储介质 | |
| EP2989741B1 (en) | Generation of working security key based on security parameters | |
| US20080077592A1 (en) | method and apparatus for device authentication | |
| US20120260345A1 (en) | Trust verification of a computing platform using a peripheral device | |
| JP2017139811A5 (zh) | ||
| CN103701829B (zh) | 一种离线解析dpapi加密数据的方法 | |
| CN106416124A (zh) | 半确定性数字签名生成 | |
| EP3207488B1 (en) | Identifying security boundaries on computing devices | |
| CN110874494B (zh) | 密码运算处理方法、装置、系统及度量信任链构建方法 | |
| CN101951316A (zh) | 操作系统的受保护的网络引导 | |
| US10776522B1 (en) | Asymmetric protection of circuit designs | |
| US10229272B2 (en) | Identifying security boundaries on computing devices | |
| WO2016045458A1 (zh) | 一种安全控制方法及网络设备 | |
| CN111901304B (zh) | 移动安全设备的注册方法和装置、存储介质、电子装置 | |
| CN117240625B (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| CN109150811B (zh) | 一种实现可信会话的方法及装置、计算设备 | |
| CN106803046A (zh) | 一种基于外部存储的度量日志加密方法 | |
| EP3221996B1 (en) | Symmetric keying and chain of trust | |
| Birnstill et al. | Introducing remote attestation and hardware-based cryptography to OPC UA | |
| CN115314495B (zh) | 一种面向5g边缘计算节点的容器加固系统及加固方法 | |
| Hao et al. | Trusted block as a service: Towards sensitive applications on the cloud | |
| CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
| EP3891630B1 (en) | Method for end entity attestation | |
| Girtler et al. | Component integrity guarantees in software-defined networking infrastructure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170606 |
|
| RJ01 | Rejection of invention patent application after publication |