CN113806787A - 一种arm平台自动解密的方法、装置、设备及可读介质 - Google Patents
一种arm平台自动解密的方法、装置、设备及可读介质 Download PDFInfo
- Publication number
- CN113806787A CN113806787A CN202111373287.9A CN202111373287A CN113806787A CN 113806787 A CN113806787 A CN 113806787A CN 202111373287 A CN202111373287 A CN 202111373287A CN 113806787 A CN113806787 A CN 113806787A
- Authority
- CN
- China
- Prior art keywords
- key
- partial key
- firmware
- server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000005259 measurement Methods 0.000 claims abstract description 49
- 230000004044 response Effects 0.000 claims description 34
- 238000002955 isolation Methods 0.000 claims description 14
- 238000004891 communication Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012423 maintenance Methods 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000005192 partition Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种ARM平台自动解密的方法、装置、设备及可读介质,该方法包括:响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;使用完整密钥对服务器加密文件进行自动解密。通过使用本发明的方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
Description
技术领域
本领域涉及计算机领域,并且更具体地涉及一种ARM平台自动解密的方法、装置、设备及可读介质。
背景技术
随着信息技术的发展,基于ARM架构的设备在整个信息技术产业中占据着越来越重要的地位,除去ARM架构在移动设备中的统治地位外,ARM在终端和服务器这种信息基础设置中也得到了较快的发展,冲击着传统的x86架构的市场,但是在快速发展的过程中,信息安全的问题也越来越突出。在云计算时代,大量的云数据中心被创建,而大量异构的资源通过云平台统一管理,在大量机器的管理过程中,电源管理服务成为大部分服务器的标准配置,通过服务器电源管理服务可以快速的启动、关闭、重启服务器设备。同时,在数据中心中,大量的数据被集中在一起,数据的安全问题也尤为突出,数据加密成为保证数据安全的关键,在Linux系统中,LUKS提供了加密Linux卷或分区的能力,这些卷或分区包括了数据卷分区和操作系统的root分区。在对使用加密的root分区的引导过程中,用户必须输入LUKS加密的口令,才可以完成整个操作系统的引导过程,这在一些个人PC或笔记本电脑上是比较方便的,但这种输入口令的过程对于服务器或虚拟机是一个阻碍自动化实现的障碍,特别是服务器,在使用电源管理重启或负载均衡、高可用的过程中,输入用户口令的过程,将大大降价整个数据中心自动化运维的实现。
发明内容
有鉴于此,本发明实施例的目的在于提出一种ARM平台自动解密的方法、装置、设备及可读介质,通过使用本发明的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
基于上述目的,本发明的实施例的一个方面提供了一种ARM平台自动解密的方法,包括以下步骤:
响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM(Firmware Trusted Platform Module,基于固件的可信平台模块)中;
响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;
响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;
使用完整密钥对服务器加密文件进行自动解密。
根据本发明的一个实施例,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:
在ARM平台的TEE(Truested Execution Environent,可信壮行环境,运行在安全世界状态,为TEE OS(运行在安全世界中系统)提供执行环境)中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统;
在OPTEE操作系统中启动并加载FTPM TA(Trusted Application,运行在安全世界状态,在TEE OS中运行)以提供TPM(可信赖平台模块)功能;
在ARM平台的REE(Rich Execution Environment,丰富执行环境,为普通OS 提供执行环境)中加载固件,固件通过通信模块查看TEE中的TPM设备;
响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。
根据本发明的一个实施例,服务器加密文件为根据LUKS(Linux Unified KeySetup,为Linux硬盘加密提供了一种标准)加密信息使用JSOE项目(一个C语言实现的JOSE,用于完成对象的签名和加解密操作)生成的JWE(JSON Web Encryption)文件,其中,JWE文件存储在LUKS的卷头中。
根据本发明的一个实施例,密钥为对JWE文件进行加密的JWK(JSON Web KEY)文件。
根据本发明的一个实施例,将第二部分密钥保存在FTPM中包括:
将第二部分密钥通过平台计算器加密后保存在FTPM中。
根据本发明的一个实施例,响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥包括:
响应于度量值与度量数据相同,从远程服务器中获取第一部分密钥,并将第二部分密钥进行解密;
将第一部分密钥和解密后的第二部分密钥进行组合以获得完整的密钥。
根据本发明的一个实施例,还包括:
响应于度量值与度量数据不完全相同,提示用户输入解密密码。
本发明的实施例的另一个方面,还提供了一种ARM平台自动解密的装置,装置包括:
获取模块,获取模块配置为响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
切分模块,切分模块配置为将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
比较模块,比较模块配置为响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;
合并模块,合并模块配置为响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;
解密模块,解密模块配置为使用完整密钥对服务器加密文件进行自动解密。
本发明的实施例的另一个方面,还提供了一种计算机设备,该计算机设备包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述任意一项方法的步骤。
本发明的实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任意一项方法的步骤。
本发明具有以下有益技术效果:本发明实施例提供的ARM平台自动解密的方法,通过响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;使用完整密钥对服务器加密文件进行自动解密的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为根据本发明一个实施例的ARM平台自动解密的方法的示意性流程图;
图2为根据本发明一个实施例的ARM平台架构的示意图;
图3为根据本发明一个实施例的LUKS加密处理架构的示意图;
图4为根据本发明一个实施例的ARM平台自动解密的装置的示意图;
图5为根据本发明一个实施例的计算机设备的示意图;
图6为根据本发明一个实施例的计算机可读存储介质的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
基于上述目的,本发明的实施例的第一个方面,提出了一种ARM平台自动解密的方法的一个实施例。图1示出的是该方法的示意性流程图。
如图1中所示,该方法可以包括以下步骤:
S1响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存。
实现该步骤需要在ARM平台上进行一些设置,首先在ARM平台的TEE中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统,然后在OPTEE操作系统中启动并加载FTPM TA以提供TPM功能,在ARM平台中单独配置一个存储芯片作为TPM设备的存储器。在ARM平台的REE中加载固件,该固件包括UEFI和uboot,固件通过通信模块可以查看TEE中的TPM设备,ARM平台中的REE和TEE通过通信模块连接并进行通信,该通信模块可以是ARM的可信固件,在REE中的固件启动过程中,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。在一些实施例中,将获取到的度量数据保存在平台计算器中。
S2将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中。
服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,JWE文件存储在LUKS的卷头中,JWE的数据内容包含了信息解密的方式和方法。密钥为对JWE文件进行加密的JWK文件。然后将JWK文件切分成两个部分,其中一个部分JWK文件保存在远程服务器中,另一部分JWK文件保存在FTPM中,保存在FTPM中的JWK文件可以使用一种加密算法进行加密后再保存,可以提高密钥的安全性。在一些实施例中,保存在FTPM中的JWK文件通过平台计算器加密后进行加密后保存。
S3响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较。
服务器重新启动时,各种固件加载启动,获取此时的服务器的度量值,将度量值与上述获取到的度量数据进行比较,如果度量值和度量数据不相同,则说明服务器可能被篡改,即存在自动解密的风险,此时不进行解密,并提示用户输入解密密码。
S4响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥。
如果度量值与度量数据相同,则说明服务器没有被篡改,将保存在FTPM中的JWK文件解密后与远程服务器存储的一部分JWK文件进行组合,可以获得完整的JWK文件。
S5使用完整密钥对服务器加密文件进行自动解密。
通过完整的JWK文件可以对JWE文件进行解密,即可以在服务器未被篡改的情况下自动对服务器进行解密。还可以使用上述方法对存储卷或分区实现自动解密。
可以使用如图2所示架构实现上述方法,其中远程认证服务模块用于LUKS的加解密,远程认证服务模块的右边为ARM平台的结构(结构中的左边为REE,右边为TEE),在TEE中使用ARM平台的TrustZone(可信隔离空间),在TrustZone上运行OPTEE可信操作系统,然后在OPTEE可信操作系统上创建一个TA 来实现TPM的所有硬件可实现的功能,并在ARM平台中单独的配置一块flash芯片作为TPM设备的存储设备,该存储设备供FTPM访问,其他系统或软件无法访问。在REE中的LUKS管理模块用于具体的加解密操作,Firmware为具体的主板固件,包括UEFI和Uboot等固件。下层的ARM TrustFirmWare-A可提供REE与TEE之间的通信。其中,LUKS加解密的架构如图3所示,LUKS加密处理模块使用已有的JOSE项目(一个C语言实现的JOSE,用于完成对象的签名和加解密操作)实现,并结合LUKSmeta(用于在LUKS中存储报头数据)项目实现,对LUKS的密钥进行处理,LUKS密钥处理模块用于将LUKS主密钥进行分割和整合处理,TPM处理模块用于获取服务器度量信息并进行对比和LUKS密钥加密等操作,远程密钥服务模块用于存储LUKS部分密钥,LUKS解密模块用于将LUKS自动解密。
通过本发明的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
在本发明的一个优选实施例中,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:
在ARM平台的TEE中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统;
在OPTEE操作系统中启动并加载FTPM TA以提供TPM功能;
在ARM平台的REE中加载固件,固件通过通信模块查看TEE中的TPM设备;
响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。首先在ARM平台的TEE中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统,然后在OPTEE操作系统中启动并加载FTPM TA以提供TPM功能,在ARM平台中单独配置一个存储芯片作为TPM设备的存储器,该存储设备供FTPM访问,其他系统或软件无法访问。在ARM平台的REE中加载固件,该固件包括UEFI和uboot,固件通过通信模块可以查看TEE中的TPM设备,ARM平台中的REE和TEE通过通信模块连接并进行通信,该通信模块可以是ARM的可信固件,在REE中的固件启动过程中,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。在一些实施例中,将获取到的度量数据保存在平台计算器中。
在本发明的一个优选实施例中,服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,JWE文件存储在LUKS的卷头中。JWE的数据内容包含了信息解密的方式和方法。
在本发明的一个优选实施例中,密钥为对JWE文件进行加密的JWK文件。
在本发明的一个优选实施例中,将第二部分密钥保存在FTPM中包括:
将第二部分密钥通过平台计算器加密后保存在FTPM中。为了更好的保护存储在FTPM中密钥的安全,可以使用任意一种加密方法对密钥进行加密后在进行保存。
在本发明的一个优选实施例中,响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥包括:
响应于度量值与度量数据相同,从远程服务器中获取第一部分密钥,并将第二部分密钥进行解密;
将第一部分密钥和解密后的第二部分密钥进行组合以获得完整的密钥。
在本发明的一个优选实施例中,还包括:
响应于度量值与度量数据不完全相同,提示用户输入解密密码。
通过本发明的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,上述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由CPU 执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU 执行时,执行本发明实施例公开的方法中限定的上述功能。
基于上述目的,本发明的实施例的第二个方面,提出了一种ARM平台自动解密的装置,如图4所示,装置200包括:
获取模块201,获取模块201配置为响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
切分模块202,切分模块202配置为将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
比较模块203,比较模块203配置为响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;
合并模块204,合并模块204配置为响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;
解密模块205,解密模块205配置为使用完整密钥对服务器加密文件进行自动解密。
基于上述目的,本发明实施例的第三个方面,提出了一种计算机设备。图5示出的是本发明提供的计算机设备的实施例的示意图。如图5所示,本发明实施例包括如下装置:至少一个处理器21;以及存储器22,存储器22存储有可在处理器上运行的计算机指令23,指令由处理器执行时实现以下方法:
响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;
响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;
使用完整密钥对服务器加密文件进行自动解密。
在本发明的一个优选实施例中,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:
在ARM平台的TEE中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统;
在OPTEE操作系统中启动并加载FTPM TA以提供TPM功能;
在ARM平台的REE中加载固件,固件通过通信模块查看TEE中的TPM设备;
响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。
在本发明的一个优选实施例中,服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,JWE文件存储在LUKS的卷头中。
在本发明的一个优选实施例中,密钥为对JWE文件进行加密的JWK文件。
在本发明的一个优选实施例中,将第二部分密钥保存在FTPM中包括:
将第二部分密钥通过平台计算器加密后保存在FTPM中。
在本发明的一个优选实施例中,响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥包括:
响应于度量值与度量数据相同,从远程服务器中获取第一部分密钥,并将第二部分密钥进行解密;
将第一部分密钥和解密后的第二部分密钥进行组合以获得完整的密钥。
在本发明的一个优选实施例中,还包括:
响应于度量值与度量数据不完全相同,提示用户输入解密密码。
基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质。图6示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图6所示,计算机可读存储介质31存储有被处理器执行时执行如下方法的计算机程序32:
响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;
响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;
使用完整密钥对服务器加密文件进行自动解密。
在本发明的一个优选实施例中,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:
在ARM平台的TEE中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统;
在OPTEE操作系统中启动并加载FTPM TA以提供TPM功能;
在ARM平台的REE中加载固件,固件通过通信模块查看TEE中的TPM设备;
响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。
在本发明的一个优选实施例中,服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,JWE文件存储在LUKS的卷头中。
在本发明的一个优选实施例中,密钥为对JWE文件进行加密的JWK文件。
在本发明的一个优选实施例中,将第二部分密钥保存在FTPM中包括:
将第二部分密钥通过平台计算器加密后保存在FTPM中。
在本发明的一个优选实施例中,响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥包括:
响应于度量值与度量数据相同,从远程服务器中获取第一部分密钥,并将第二部分密钥进行解密;
将第一部分密钥和解密后的第二部分密钥进行组合以获得完整的密钥。
在本发明的一个优选实施例中,还包括:
响应于度量值与度量数据不完全相同,提示用户输入解密密码。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种ARM平台自动解密的方法,其特征在于,包括以下步骤:
响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
响应于服务器再次启动,获取服务器的度量值并将所述度量值与所述度量数据进行比较;
响应于所述度量值与所述度量数据相同,获取所述第一部分密钥和所述第二部分密钥,将所述第一部分密钥与所述第二部分密钥组合成完整密钥;
使用所述完整密钥对服务器加密文件进行自动解密。
2.根据权利要求1所述的方法,其特征在于,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:
在ARM平台的TEE中使用可信隔离空间,并在所述可信隔离空间中启动OPTEE操作系统;
在所述OPTEE操作系统中启动并加载FTPM TA以提供TPM功能;
在ARM平台的REE中加载固件,固件通过通信模块查看TEE中的TPM设备;
响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。
3.根据权利要求1所述的方法,其特征在于,所述服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,所述JWE文件存储在LUKS的卷头中。
4.根据权利要求3所述的方法,其特征在于,所述密钥为对所述JWE文件进行加密的JWK文件。
5.根据权利要求1所述的方法,其特征在于,将第二部分密钥保存在FTPM中包括:
将所述第二部分密钥通过平台计算器加密后保存在FTPM中。
6.根据权利要求5所述的方法,其特征在于,响应于所述度量值与所述度量数据相同,获取所述第一部分密钥和所述第二部分密钥,将所述第一部分密钥与所述第二部分密钥组合成完整密钥包括:
响应于所述度量值与所述度量数据相同,从远程服务器中获取所述第一部分密钥,并将所述第二部分密钥进行解密;
将所述第一部分密钥和解密后的所述第二部分密钥进行组合以获得完整的密钥。
7.根据权利要求1所述的方法,其特征在于,还包括:
响应于所述度量值与所述度量数据不完全相同,提示用户输入解密密码。
8.一种ARM平台自动解密的装置,其特征在于,所述装置包括:
获取模块,所述获取模块配置为响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;
切分模块,所述切分模块配置为将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;
比较模块,所述比较模块配置为响应于服务器再次启动,获取服务器的度量值并将所述度量值与所述度量数据进行比较;
合并模块,所述合并模块配置为响应于所述度量值与所述度量数据相同,获取所述第一部分密钥和所述第二部分密钥,将所述第一部分密钥与所述第二部分密钥组合成完整密钥;
解密模块,所述解密模块配置为使用所述完整密钥对服务器加密文件进行自动解密。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-7任意一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111373287.9A CN113806787A (zh) | 2021-11-19 | 2021-11-19 | 一种arm平台自动解密的方法、装置、设备及可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111373287.9A CN113806787A (zh) | 2021-11-19 | 2021-11-19 | 一种arm平台自动解密的方法、装置、设备及可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113806787A true CN113806787A (zh) | 2021-12-17 |
Family
ID=78938442
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111373287.9A Pending CN113806787A (zh) | 2021-11-19 | 2021-11-19 | 一种arm平台自动解密的方法、装置、设备及可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113806787A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114491565A (zh) * | 2022-03-31 | 2022-05-13 | 飞腾信息技术有限公司 | 固件安全启动方法、装置、计算设备和可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017171634A1 (en) * | 2016-03-29 | 2017-10-05 | Huawei International Pte. Ltd. | System and method for verifying integrity of an electronic device |
| CN108400868A (zh) * | 2018-01-17 | 2018-08-14 | 深圳市文鼎创数据科技有限公司 | 种子密钥的存储方法、装置及移动终端 |
| CN109033869A (zh) * | 2018-07-04 | 2018-12-18 | 深圳虚觅者科技有限公司 | 加密文件系统挂载方法及装置 |
| CN113468535A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 可信度量方法及相关装置 |
| CN113485757A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种系统启动过程中的解密方法、装置、设备及存储介质 |
-
2021
- 2021-11-19 CN CN202111373287.9A patent/CN113806787A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017171634A1 (en) * | 2016-03-29 | 2017-10-05 | Huawei International Pte. Ltd. | System and method for verifying integrity of an electronic device |
| CN107438849A (zh) * | 2016-03-29 | 2017-12-05 | 华为国际有限公司 | 用于验证电子设备的完整性的系统和方法 |
| CN108400868A (zh) * | 2018-01-17 | 2018-08-14 | 深圳市文鼎创数据科技有限公司 | 种子密钥的存储方法、装置及移动终端 |
| CN109033869A (zh) * | 2018-07-04 | 2018-12-18 | 深圳虚觅者科技有限公司 | 加密文件系统挂载方法及装置 |
| CN113468535A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 可信度量方法及相关装置 |
| CN113485757A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种系统启动过程中的解密方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114491565A (zh) * | 2022-03-31 | 2022-05-13 | 飞腾信息技术有限公司 | 固件安全启动方法、装置、计算设备和可读存储介质 |
| CN114491565B (zh) * | 2022-03-31 | 2022-07-05 | 飞腾信息技术有限公司 | 固件安全启动方法、装置、计算设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210328791A1 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
| EP3937046B1 (en) | Trusted startup methods and apparatuses of blockchain integrated station | |
| US9742568B2 (en) | Trusted support processor authentication of host BIOS/UEFI | |
| US9720723B2 (en) | Protected guests in a hypervisor controlled system | |
| US20150095652A1 (en) | Encryption and decryption processing method, apparatus, and device | |
| US11418333B2 (en) | System and method for trusted control flow enforcement using derived encryption keys | |
| US20110093693A1 (en) | Binding a cryptographic module to a platform | |
| US8924737B2 (en) | Digital signing authority dependent platform secret | |
| TW201702927A (zh) | 管理機架伺服器系統之安全金鑰的方法與系統 | |
| US11599378B2 (en) | Data encryption key management system | |
| US7836309B2 (en) | Generic extensible pre-operating system cryptographic infrastructure | |
| CN109804598B (zh) | 信息处理的方法、系统及计算机可读介质 | |
| US20170279806A1 (en) | Authentication in a Computer System | |
| CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
| KR20160020294A (ko) | 클라우드 기반의 애플리케이션 보안 서비스 제공 방법 및 시스템 | |
| CN109274646B (zh) | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 | |
| WO2020145944A1 (en) | Securing node groups | |
| CN114499892B (zh) | 固件启动方法、装置、计算机设备及可读存储介质 | |
| US20210266184A1 (en) | Systems And Methods To Cryptographically Verify information Handling System Configuration | |
| CN112052446A (zh) | 密码单元创建方法、数据处理方法、装置及电子设备 | |
| US10469457B1 (en) | Systems and methods for securely sharing cloud-service credentials within a network of computing devices | |
| CN113806787A (zh) | 一种arm平台自动解密的方法、装置、设备及可读介质 | |
| US11748520B2 (en) | Protection of a secured application in a cluster | |
| US11620147B2 (en) | Metadata service provisioning in a cloud environment | |
| WO2023160705A1 (zh) | 一种组件认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211217 |
|
| RJ01 | Rejection of invention patent application after publication |