CN107025388A - 一种基于tpm芯片实现系统盘与机器绑定的方法 - Google Patents
一种基于tpm芯片实现系统盘与机器绑定的方法 Download PDFInfo
- Publication number
- CN107025388A CN107025388A CN201610075022.3A CN201610075022A CN107025388A CN 107025388 A CN107025388 A CN 107025388A CN 201610075022 A CN201610075022 A CN 201610075022A CN 107025388 A CN107025388 A CN 107025388A
- Authority
- CN
- China
- Prior art keywords
- disk
- tpm
- machine
- data file
- critical data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 13
- 238000005192 partition Methods 0.000 claims abstract description 19
- 238000000605 extraction Methods 0.000 claims abstract description 7
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/123—Restricting unauthorised execution of programs by using dedicated hardware, e.g. dongles, smart cards, cryptographic processors, global positioning systems [GPS] devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1011—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to devices
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开的一种基于TPM芯片实现系统盘与机器绑定的方法,包括以下步骤:1、使用加密工具对该包含有关键性数据文件的磁盘分区进行加密;2、将磁盘分区的磁盘加密密钥通过TPM管理工具存入TPM芯片内;3、编写系统启动执行脚本,该脚本实现通过TPM芯片存储的提取密码提取存放在TPM芯片内的磁盘加密密钥;4、系统启动时运行系统启动执行脚本并获取磁盘加密密钥,使用加密工具对磁盘分区进行解密,系统加载磁盘分区后正常运行并对外服务。本发明的方法实现了系统盘与机器一一绑定,启动时如果是正常匹配的系统和机器,则系统正常运行,否则由于关键性数据文件所在磁盘没有加载,系统无法正常提供服务,防止了系统盘被挪用。
Description
技术领域
本发明涉及系统盘与机器硬件绑定的方法,尤其涉及一种Linux系统下基于TPM芯片实现系统盘与机器绑定的方法。
背景技术
在当今高度信息化的时代下,人们常常会面对各种各样的机器,维护着各种各样的系统。虽说这种情况下应当各种系统可以很方便地运行在各种类型的机器上,但是现实的生产过程中,一些特殊场合,用户希望机器和系统一一对应起来,例如,一些研发信息系统的厂商,为了方便对已出货的机器进行维护与授权,因而不希望原本运行在某一机器上的系统被挪用到其它机器上。
为此,申请人进行了有益的探索和尝试,找到了实现系统与机器一一绑定的办法,下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题:针对现实的生产环境中系统盘被挪用或者丢失的问题,而提供一种Linux系统下基于TPM芯片实现系统盘与机器绑定的方法,该方法实现系统盘与机器一一绑定,一张系统盘只有运行在固定的机器上,才可以正常运行并对外提供服务。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种基于TPM芯片实现系统盘与机器绑定的方法,包括以下步骤:
步骤S1,将系统盘中关键性数据文件集中至某一磁盘分区中,并使用加 密工具对该包含有关键性数据文件的磁盘分区进行加密;
步骤S2,将磁盘分区的磁盘加密密钥通过TPM管理工具存入TPM芯片内;
步骤S3,编写系统启动执行脚本,该脚本实现通过TPM芯片存储的提取密码提取存放在TPM芯片内的磁盘加密密钥;
步骤S4,系统启动时运行系统启动执行脚本并获取存放在TPM芯片内的磁盘加密密钥,使用加密工具对包含有关键性数据文件的磁盘分区进行解密,系统加载包含有关键性数据文件的磁盘分区后正常运行并对外服务。
由于采用了如上的技术方案,本发明的有益效果在于:本发明的方法实现了系统盘与机器一一绑定,机器启动时如果是正常匹配的系统和机器,则系统正常运行,服务正常提供,否则由于关键性数据文件所在磁盘没有加载,系统无法正常提供服务,防止了系统盘被挪用,避免了由此带来的损失。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面进一步阐述本发明。
一种基于TPM的系统盘与机器绑定方法,包括以下步骤:
步骤1,在基本输入输出系统(BIOS)中开启可信赖平台模块(TPM);
步骤2,安装并加载TPM驱动;
步骤3,安装TPM通信软件协议(trousers);
步骤4,安装TPM管理工具(tpm-tools),并初始化TPM;
步骤5,将系统盘中关键性数据文件集中至某一个磁盘分区中;
步骤6,安装磁盘加密工具(cryptsetup);
步骤7,用加密工具(cryptsetup)加密步骤5中包含有关键性数据文件的磁盘分区;
步骤8,使用步骤4中的TPM管理工具(tpm-tools),将步骤7中磁盘分 区的磁盘加密密钥保存到TPM芯片NVRAM中;
步骤9,编写系统启动执行脚本,该脚本实现使用步骤4中的TPM管理工具(tpm-tools)通过TPM芯片存储的提取密码,提取存放在TPM芯片内的磁盘加密密钥;
步骤10,系统启动时运行系统启动执行脚本,并使用步骤4中的TPM管理工具(tpm-tools)获取存放在TPM芯片内的磁盘加密密钥,再使用步骤6中的加密工具(cryptsetup)对包含有关键性数据文件的磁盘分区进行解密,系统加载包含有关键性数据文件的磁盘分区后正常运行并对外服务。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (1)
1.一种基于TPM芯片实现系统盘与机器绑定的方法,其特征在于,包括以下步骤:
步骤S1,将系统盘中关键性数据文件集中至某一磁盘分区中,并使用加密工具对该包含有关键性数据文件的磁盘分区进行加密;
步骤S2,将磁盘分区的磁盘加密密钥通过TPM管理工具存入TPM芯片内;
步骤S3,编写系统启动执行脚本,该脚本实现通过TPM芯片存储的提取密码提取存放在TPM芯片内的磁盘加密密钥;
步骤S4,系统启动时运行系统启动执行脚本并获取存放在TPM芯片内的磁盘加密密钥,使用加密工具对包含有关键性数据文件的磁盘分区进行解密,系统加载包含有关键性数据文件的磁盘分区后正常运行并对外服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610075022.3A CN107025388B (zh) | 2016-02-02 | 2016-02-02 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610075022.3A CN107025388B (zh) | 2016-02-02 | 2016-02-02 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107025388A true CN107025388A (zh) | 2017-08-08 |
| CN107025388B CN107025388B (zh) | 2020-10-16 |
Family
ID=59524070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610075022.3A Active CN107025388B (zh) | 2016-02-02 | 2016-02-02 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107025388B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110188555A (zh) * | 2019-05-28 | 2019-08-30 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、系统及相关组件 |
| CN110378131A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种利用可信根管理cryptsetup密钥的方法、系统及装置 |
| CN114239091A (zh) * | 2022-02-24 | 2022-03-25 | 麒麟软件有限公司 | 基于可信芯片的磁盘加密方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5212729A (en) * | 1992-01-22 | 1993-05-18 | Schafer Randy J | Computer data security device and method |
| CN1553347A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机数据保护方法 |
| CN1601430A (zh) * | 2004-10-14 | 2005-03-30 | 苏州超锐微电子有限公司 | 一种利用加密主分区表实现硬盘保护的方法 |
| CN101256610A (zh) * | 2008-04-08 | 2008-09-03 | 深圳华北工控有限公司 | 一种计算机系统的加密方法 |
| CN101441601A (zh) * | 2007-11-22 | 2009-05-27 | 中国长城计算机深圳股份有限公司 | 一种硬盘ata指令的加密传输的方法 |
| CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
| CN102087683A (zh) * | 2009-12-03 | 2011-06-08 | 技嘉科技股份有限公司 | 适用在可信任安全平台模块的密码管理与验证方法 |
| CN102193876A (zh) * | 2011-03-24 | 2011-09-21 | 北京思创银联科技股份有限公司 | 个人金融服务设备硬盘加密及解密方法 |
| CN102726027A (zh) * | 2011-12-28 | 2012-10-10 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
| CN104751081A (zh) * | 2013-12-25 | 2015-07-01 | 华为技术有限公司 | 一种磁盘数据加密的方法及装置 |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
-
2016
- 2016-02-02 CN CN201610075022.3A patent/CN107025388B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5212729A (en) * | 1992-01-22 | 1993-05-18 | Schafer Randy J | Computer data security device and method |
| CN1553347A (zh) * | 2003-05-28 | 2004-12-08 | 联想(北京)有限公司 | 一种计算机数据保护方法 |
| CN1601430A (zh) * | 2004-10-14 | 2005-03-30 | 苏州超锐微电子有限公司 | 一种利用加密主分区表实现硬盘保护的方法 |
| CN101441601A (zh) * | 2007-11-22 | 2009-05-27 | 中国长城计算机深圳股份有限公司 | 一种硬盘ata指令的加密传输的方法 |
| CN101256610A (zh) * | 2008-04-08 | 2008-09-03 | 深圳华北工控有限公司 | 一种计算机系统的加密方法 |
| CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
| CN102087683A (zh) * | 2009-12-03 | 2011-06-08 | 技嘉科技股份有限公司 | 适用在可信任安全平台模块的密码管理与验证方法 |
| CN102193876A (zh) * | 2011-03-24 | 2011-09-21 | 北京思创银联科技股份有限公司 | 个人金融服务设备硬盘加密及解密方法 |
| CN102726027A (zh) * | 2011-12-28 | 2012-10-10 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
| CN104751081A (zh) * | 2013-12-25 | 2015-07-01 | 华为技术有限公司 | 一种磁盘数据加密的方法及装置 |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110188555A (zh) * | 2019-05-28 | 2019-08-30 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、系统及相关组件 |
| CN110188555B (zh) * | 2019-05-28 | 2023-09-05 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、系统及相关组件 |
| CN110378131A (zh) * | 2019-06-25 | 2019-10-25 | 苏州浪潮智能科技有限公司 | 一种利用可信根管理cryptsetup密钥的方法、系统及装置 |
| CN114239091A (zh) * | 2022-02-24 | 2022-03-25 | 麒麟软件有限公司 | 基于可信芯片的磁盘加密方法及系统 |
| CN114239091B (zh) * | 2022-02-24 | 2022-11-04 | 麒麟软件有限公司 | 基于可信芯片的磁盘加密方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107025388B (zh) | 2020-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7730542B2 (en) | Protecting software from unauthorized use by converting source code modules to byte codes | |
| US20170011216A1 (en) | Secured execution of a web application | |
| US9396313B2 (en) | Apparatus for tamper protection of application code and method thereof | |
| CN105683990B (zh) | 用于保护动态库的方法和装置 | |
| KR102433011B1 (ko) | Apk 파일 보호 방법, 이를 수행하는 apk 파일 보호 시스템, 및 이를 저장하는 기록매체 | |
| WO2021217980A1 (zh) | java代码的加壳方法与系统 | |
| CN107026728B (zh) | 用于动态预启动存储加密密钥管理的方法及终端 | |
| US11163859B2 (en) | Content protection via online servers and code execution in a secure operating system | |
| CN107077540B (zh) | 用于提供基于云的应用安全服务的方法和系统 | |
| CN101814124A (zh) | 一种基于Java的软件安全性加强的方法 | |
| WO2016206297A1 (zh) | Android系统中保护dex文件不被反编译的方法 | |
| US7970133B2 (en) | System and method for secure and flexible key schedule generation | |
| CA2508875A1 (en) | System and apparatus for eliminating user interaction during hardware configuration at system boot | |
| US20180067777A1 (en) | Application protection method, server, and terminal | |
| US20080263542A1 (en) | Software-Firmware Transfer System | |
| WO2011134207A1 (zh) | 软件保护方法 | |
| CN107025388A (zh) | 一种基于tpm芯片实现系统盘与机器绑定的方法 | |
| CN112052433B (zh) | 一种Jar文件的虚拟化保护方法、终端及存储介质 | |
| EP2240861A1 (en) | System and method for preventing drm client crash using process separate execution | |
| CN117150515B (zh) | Eda二次开发源代码的安全保护方法、电子设备及存储介质 | |
| CN111209572B (zh) | 一种基于加解密的Linux系统安全启动方法及系统 | |
| CN112966227A (zh) | 代码加密解密方法和装置、存储介质 | |
| CN112559980B (zh) | 一种可内嵌众多任意app的小程序运行时 | |
| CN107092517B (zh) | 一种sdk工具包的生成方法及装置 | |
| CN104657631A (zh) | 应用的渠道信息的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 200436 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Applicant after: Geer software Limited by Share Ltd Address before: 200070 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Zhabei District, Shanghai Applicant before: Geer Software Co., Ltd., Shanghai |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |