CN107818273A - 度量安全计算机设备的方法和系统 - Google Patents

度量安全计算机设备的方法和系统 Download PDF

Info

Publication number
CN107818273A
CN107818273A CN201610826662.3A CN201610826662A CN107818273A CN 107818273 A CN107818273 A CN 107818273A CN 201610826662 A CN201610826662 A CN 201610826662A CN 107818273 A CN107818273 A CN 107818273A
Authority
CN
China
Prior art keywords
hash values
hard disk
computer
user
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610826662.3A
Other languages
English (en)
Inventor
曹力
葛广肆
张伟进
王飞舟
石明
林俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHENZHEN ZHONGDIAN CHANGCHENG INFORMATION SAFETY SYSTEM Co Ltd
Original Assignee
SHENZHEN ZHONGDIAN CHANGCHENG INFORMATION SAFETY SYSTEM Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENZHEN ZHONGDIAN CHANGCHENG INFORMATION SAFETY SYSTEM Co Ltd filed Critical SHENZHEN ZHONGDIAN CHANGCHENG INFORMATION SAFETY SYSTEM Co Ltd
Priority to CN201610826662.3A priority Critical patent/CN107818273A/zh
Publication of CN107818273A publication Critical patent/CN107818273A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种度量安全计算机设备的方法和系统,涉及度量设备技术领域。该方法包括:将计算机初次开机时度量到的外接设备的第一hash值作为计算机的用户级密码,保存在计算机的硬盘的固定区域;计算机重新开机时,重新度量外接设备的第二hash值,并将第二hash值发送至所述硬盘;在硬盘中根据第一hash值对第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。本发明通过使用硬盘密码技术实现了对安全计算机的设备度量功能,可以省去安装TCM或TPM芯片的成本,设置快捷简单,避免了外安装硬件的复杂度,且保密性好。

Description

度量安全计算机设备的方法和系统
技术领域
本发明属于度量设备技术领域,尤其涉及一种度量安全计算机设备的方法和系统。
背景技术
安全计算机不允许用户更换设备及插拔外设,因此现在度量安全计算机外接设备是否安全时,通过把所有外接的设备做hash,然后把设备对应的hash值存在安全计算机的TCM或TPM芯片上。待下一次安全计算机开机时,再次做hash,然后把本次计算得到的hash值和上次保存在TCM或TPM芯片上的设备hash值做对比。如果两次的hash值一致,说明计算机外设没有更换或者没有被插拔。上述方案存在的不足有:需要额外安装TCM或TPM芯片,增加了度量成本以及硬件安装的复杂度。
上述问题亟待解决。
发明内容
针对现有度量安全计算机设备的方案需要额外安装TCM或TPM芯片,增加了度量成本以及硬件安装的复杂度的缺陷,本发明提供一种度量安全计算机设备的方法和系统。
本发明提供一种度量安全计算机设备的方法,包括:
将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。
优选的,所述在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘具体包括:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
优选的,将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域之后还包括:
设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
优选的,所述若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘之后还包括:
若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
优选的,所述将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域之前还包括:
在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
本发明还提供一种度量安全计算机设备的系统,包括:
保存模块,用于将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
发送模块,用于当计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
确定模块,用于在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。
优选的,所述确定模块具体用于:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
优选的,所述系统还包括:
设定模块,用于设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
优选的,所述确定模块具体还包括:
重置单元,用于若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
优选的,所述系统还包括:
划分模块,用于在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
有益效果:本发明通过使用硬盘密码技术实现了对安全计算机的设备度量功能,可以省去安装TCM或TPM芯片的成本,设置快捷简单,避免了外安装硬件的复杂度,且保密性好。
附图说明
图1是本发明实施例提供的度量安全计算机设备的方法的具体实现流程图;
图2是本发明另一实施例提供的度量安全计算机设备的方法的具体实现流程图;
图3是本发明实施例提供的度量安全计算机设备的系统的示意性框图;
图4是本发明实施例提供的度量安全计算机设备的系统的示意性框图;
图5是本发明实施例提供的度量安全计算机设备的系统的示意性框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1是本发明实施例提供的度量安全计算机设备的方法的具体实现流程图。参见图1所示,本实施例提供的度量安全计算机设备的方法可以包括以下步骤:
S100、将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
具体的,将第一hash值直接设定为用户级密码简化了设置密码的流程,且加速了外接设备接入时的认证速度。
S200、计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
具体的,重新度量外接设备的第二hash值用以判定该外接设备是否为原安全设备,用以与存储在硬盘的第一hash值进行对比,可保障系统的安全性。
S300、在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘,具体可以包括:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
具体的,若两个值相同,则所述第二hash值对应的设备通过验证,说明该设备为原有保存过第一hash值的设备,安全可靠;若两个值不同,则断开与该第二hash值对应设备的连接,说明本次度量的设备可能已经被更换,或者该设备出现了异常情况,需得到进一步的确认才可接入硬盘读取数据。将重新度量的第二hash值发送给硬盘固件,通过硬盘固件对第二hash值以及第一hash值进行比较,加快了验证对比的速度,利于快速判定外接设备的安全连接状况。现有的硬盘默认都支持有内部固件对比的功能。
本实施例提出所述将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域之前还可以包括:
在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
以上实施例可以看出,本实施例提出的度量安全计算机设备的方法,通过用硬盘密码技术实现了对安全计算机的设备度量功能,可以省去安装TCM或TPM芯片的成本,设置快捷简单,避免了外安装硬件的复杂度,且保密性好。在不需要改版的情况可使普通计算机具备安全计算机的度量功能,只需要升级软件;并且在数据保密方面,只有知道超级密码或在本机上才能看到硬盘上的保存的重要数据,拿到别的机器上硬盘解不开,也就进不了系统,即使把这个硬盘当成从设备或用SATA转usb的盒子也看不到数据,因为没有第一hash值,硬盘解不开,大大增强了系统的安全性。
相对与上一实施例,本发明还提出另一实施例,本实施例提出的所述在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘
图2是本发明另一实施例提供的度量安全计算机设备的方法的具体实现流程图。如图2所示,本实施例提出的所述将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域之后还可以包括:
S400、设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
相对于上一实施例,本实施例提出设置一用以管理第一hash值的超级密码,可有效保障因第一hash值出现异常情况而缺乏解救方法,使得无法读取硬盘数据的情况。
本发明还提供另一实施例,所述若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘之后还可以包括:
若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
相对于上一实施例,当第一hash值出现难以认证、或者设备损坏、或者设备升级第一hash值改变等情况时,超级密码可重置第一hash值,也即为设备重新度量第一hash值,用以保证安全计算机的安全性。
图3是本发明实施例提供的度量安全计算机设备的系统的示意性框图。为了便于说明,仅仅示出了与本发明有关的部分。
如图3所示,本实施例提供一种度量安全计算机设备的系统,可以包括:
保存模块100,用于将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
发送模块200,用于当计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
确定模块300,用于在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。
本发明还提供另一实施例,所述确定模块可以具体用于:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
图4是本发明实施例提供的度量安全计算机设备的系统的示意性框图。如图4所示,本发明还提供另一实施例,该实施例中所述系统还可以包括:
设定模块400,用于设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
本发明还提供另一实施例,该实施例中所述确定模块具体还可以包括:
重置单元,用于若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
图5是本发明实施例提供的度量安全计算机设备的系统的示意性框图。如图5所示,本发明还提供另一实施例,该实施例中所述系统还可以包括:
划分模块500,用于在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
需要说明的是,本发明实施例提供的上述系统中各个模块,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
因此,可以看出本发明实施例提供的系统,同样可以通过通过用硬盘密码技术实现了对安全计算机的设备度量功能,可以省去安装TCM或TPM芯片的成本,设置快捷简单,避免了外安装硬件的复杂度,且保密性好。在不需要改版的情况可使普通计算机具备安全计算机的度量功能,只需要升级软件;并且在数据保密方面,只有知道超级密码或在本机上才能看到硬盘上的保存的重要数据,拿到别的机器上硬盘解不开,也就进不了系统,即使把这个硬盘当成从设备或用SATA转usb的盒子也看不到数据,因为没有第一hash值,硬盘解不开,大大增强了系统的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种度量安全计算机设备的方法,其特征在于,包括:
将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。
2.如权利要求1所述的方法,其特征在于,所述在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘具体包括:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
3.如权利要求1所述的方法,其特征在于,将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的第一hash值,保存在所述计算机的硬盘的固定区域之后还包括:
设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
4.如权利要求2所述的方法,其特征在于,所述若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘之后还包括:
若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
5.如权利要求1所述的方法,其特征在于,所述将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的第一hash值,保存在所述计算机的硬盘的固定区域之前还包括:
在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
6.一种度量安全计算机设备的系统,其特征在于,包括:
保存模块,用于将计算机初次开机时度量到的外接设备的第一hash值作为所述计算机的用户级密码,保存在所述计算机的硬盘的固定区域;
发送模块,用于当计算机重新开机时,重新度量外接设备的第二hash值,并将所述第二hash值发送至所述硬盘;
确定模块,用于在所述硬盘中根据所述第一hash值对所述第二hash值进行验证,并根据验证结果确定是否允许用户访问所述计算机的硬盘。
7.如权利要求6所述的系统,其特征在于,所述确定模块具体用于:
将硬盘中存储的所述第一hash值所对应的第一hash值与所述外接设备发送的第二hash值进行比较;
若所述第一hash值与所述第二hash值相同,则验证通过,允许用户访问所述计算机的硬盘;
若所述第一hash值与所述第二hash值不同,则验证失败,禁止用户访问所述计算机的硬盘。
8.如权利要求6所述的系统,其特征在于,所述系统还包括:
设定模块,用于设定用于访问所述计算机的硬盘的超级用户密码,并将所述超级用户密码存储至所述计算机的硬盘。
9.如权利要求7所述的系统,其特征在于,所述确定模块具体还包括:
重置单元,用于若所述硬盘接收到用户输入的超级用户密码,则允许用户访问所述硬盘,并重置所述硬盘中存储的第一hash值。
10.如权利要求6所述的系统,其特征在于,所述系统还包括:
划分模块,用于在所述计算机的硬盘中划分一用于存储第一hash值的固定区域。
CN201610826662.3A 2016-09-14 2016-09-14 度量安全计算机设备的方法和系统 Pending CN107818273A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610826662.3A CN107818273A (zh) 2016-09-14 2016-09-14 度量安全计算机设备的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610826662.3A CN107818273A (zh) 2016-09-14 2016-09-14 度量安全计算机设备的方法和系统

Publications (1)

Publication Number Publication Date
CN107818273A true CN107818273A (zh) 2018-03-20

Family

ID=61600823

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610826662.3A Pending CN107818273A (zh) 2016-09-14 2016-09-14 度量安全计算机设备的方法和系统

Country Status (1)

Country Link
CN (1) CN107818273A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779651A (zh) * 2021-09-23 2021-12-10 北京神州慧安科技有限公司 硬盘防盗方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1673982A (zh) * 2004-03-23 2005-09-28 联想(北京)有限公司 一种实现硬盘保护的方法
US20080195868A1 (en) * 2007-02-12 2008-08-14 Nokia Corporation Rollback-Resistant Code-Signing
CN103368916A (zh) * 2012-04-01 2013-10-23 百度在线网络技术(北京)有限公司 基于硬件信息的计算机终端可信证明生成技术
CN104615938A (zh) * 2015-02-25 2015-05-13 山东超越数控电子有限公司 一种基于固态硬盘的开机认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1673982A (zh) * 2004-03-23 2005-09-28 联想(北京)有限公司 一种实现硬盘保护的方法
US20080195868A1 (en) * 2007-02-12 2008-08-14 Nokia Corporation Rollback-Resistant Code-Signing
CN103368916A (zh) * 2012-04-01 2013-10-23 百度在线网络技术(北京)有限公司 基于硬件信息的计算机终端可信证明生成技术
CN104615938A (zh) * 2015-02-25 2015-05-13 山东超越数控电子有限公司 一种基于固态硬盘的开机认证方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779651A (zh) * 2021-09-23 2021-12-10 北京神州慧安科技有限公司 硬盘防盗方法和装置

Similar Documents

Publication Publication Date Title
CN104160403B (zh) 使用单个可信平台模块测量平台部件
CN104462965B (zh) 应用程序完整性验证方法及网络设备
EP1754126B1 (en) Enhancing trusted platform module performance
US11281781B2 (en) Key processing methods and apparatuses, storage media, and processors
US20190253417A1 (en) Hardware device and authenticating method thereof
CN103905461B (zh) 一种基于可信第三方的云服务行为可信证明方法和系统
US10771264B2 (en) Securing firmware
CN103502932B (zh) 用于验证crtm的嵌入式控制器
TWI460607B (zh) 針對信賴供應而保全裝置環境的技術
EP3055972B1 (en) Securing a device and data within the device
CN105141614B (zh) 一种移动存储设备的访问权限控制方法及装置
US8650655B2 (en) Information processing apparatus and information processing program
CN106384042B (zh) 一种电子设备以及安全系统
US11349651B2 (en) Measurement processing of high-speed cryptographic operation
CN107133520A (zh) 云计算平台的可信度量方法和装置
CN105516136B (zh) 权限管理方法、装置和系统
CN110536042A (zh) 图像形成装置及其控制方法、存储介质
JP6159420B2 (ja) ダイナミック・スキャン・スケジューリングのためのシステムおよび方法
CN112016090B (zh) 安全计算卡,基于安全计算卡的度量方法及系统
CN108182366A (zh) 一种度量虚拟机的文件的方法、装置及设备
CN110069415B (zh) 用于软件测试过程中的软件完整性校验及软件测试方法
CN107818273A (zh) 度量安全计算机设备的方法和系统
CN107315945A (zh) 一种电子设备的磁盘解密方法和装置
CN109634541A (zh) 一种基于可信计算的打印机信息安全监控方法
US8429423B1 (en) Trusted platform modules

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180320

RJ01 Rejection of invention patent application after publication