CN116383858A - 一种磁盘数据处理方法、装置、设备及介质 - Google Patents

一种磁盘数据处理方法、装置、设备及介质 Download PDF

Info

Publication number
CN116383858A
CN116383858A CN202310658575.1A CN202310658575A CN116383858A CN 116383858 A CN116383858 A CN 116383858A CN 202310658575 A CN202310658575 A CN 202310658575A CN 116383858 A CN116383858 A CN 116383858A
Authority
CN
China
Prior art keywords
encryption key
module
disk
disk data
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310658575.1A
Other languages
English (en)
Other versions
CN116383858B (zh
Inventor
黄锦
李雪兵
石元兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
China Electronics Technology Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronics Technology Network Security Technology Co ltd filed Critical China Electronics Technology Network Security Technology Co ltd
Priority to CN202310658575.1A priority Critical patent/CN116383858B/zh
Publication of CN116383858A publication Critical patent/CN116383858A/zh
Application granted granted Critical
Publication of CN116383858B publication Critical patent/CN116383858B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

本申请公开了一种磁盘数据处理方法、装置、设备及介质,涉及信息安全技术领域,包括:生成设备唯一标识符,将设备唯一标识符和设备签名公钥发送至认证模块,获取设备加密密钥对,对磁盘管理应用进行检测;若加密请求被触发,则将加密密钥获取请求发送至认证模块,获取生成的加密密钥密文,将待加密磁盘数据和加密密钥密文发送至安全模块,以便安全模块对待加密磁盘数据进行加密;若解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若存在,则将待解密磁盘数据及相应的加密密钥密文发送至安全模块,以便安全模块对待解密磁盘数据进行解密,能解决密钥存储安全性和密码运算性能不易兼顾的问题,提高磁盘数据处理的安全性。

Description

一种磁盘数据处理方法、装置、设备及介质
技术领域
本发明涉及信息安全技术领域,特别涉及一种磁盘数据处理方法、装置、设备及介质。
背景技术
随着计算机和网络技术的飞速发展,海量数据存储在各种计算机及设备中,其中硬盘是最主要的存储设备之一,在这些存储数据中携带着大量的敏感信息。如何有效保护硬盘数据存储的安全性,在计算机、设备丢失以后,防止存储敏感数据非法泄露越来越重要。磁盘加密通常是对硬盘扇区直接进行加密,典型的磁盘加密方法有dm-crypt、truecrypt(加密软件)等,传统方案通常采用密码软算法库、智能密码钥匙等进行密钥管理和密码运算。传统方案通常存在以下问题:一是密钥的保护和存储。采用密码软算法库的方案中,密钥的保护和存储通常密钥明文存放在磁盘中,或者密钥明文出现在设备内存中,造成容易被破解;二是加解密运算速率低,影响磁盘数据加密效率。比如,采用智能密码钥匙的方案,可解决密钥存储的安全性问题,但是对称算法加解密性能很低。现有技术方案很难到达安全性、效率与易用性的均衡与统一。
由上可见,如何解决密钥存储安全性和密码运算性能不易兼顾的问题,提高磁盘数据处理的安全性,增加磁盘数据处理的易用性,降低磁盘数据处理应用开发与适配成本是本领域有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种磁盘数据处理方法、装置、设备及介质,能够解决密钥存储安全性和密码运算性能不易兼顾的问题,提高磁盘数据处理的安全性,增加磁盘数据处理的易用性,降低磁盘数据处理应用开发与适配成本。其具体方案如下:
第一方面,本申请公开了一种磁盘数据处理方法,应用于磁盘操作系统,包括:
获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;
若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;
若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
可选的,所述获取芯片唯一机密值,包括:
获取芯片生成加载模块为所述安全模块烧录的芯片唯一机密值;
利用本地的磁盘管理模块并通过预设的安全模块软件栈将生成设备密钥对请求发送至所述安全模块,同时设置密钥授权码。
可选的,所述将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
将加密密钥获取请求发送至所述认证模块,以便所述认证模块从所述加密密钥获取请求中确定出设备证书,然后根据所述设备证书对所述加密密钥获取请求进行合法性验证,若合法性验证通过,则基于所述加密密钥获取请求生成加密密钥密文;
获取所述加密密钥密文。
可选的,所述将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
将加密密钥获取请求发送至所述认证模块,以便所述认证模块确定出加密密钥获取请求的类型和加密密钥获取信息,然后通过自身的内部密钥管理模块和硬件密码模块对所述加密密钥获取请求的类型和所述加密密钥获取信息进行初始化,以得到加密密钥对和设备加密密钥对,然后基于所述加密密钥对和所述设备加密密钥对生成加密密钥密文。
可选的,所述获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
获取所述认证模块发送的利用所述设备加密密钥对对所述加密密钥对进行加密生成的加密密钥密文;
根据预设的配置策略和存储方式将所述加密密钥密文保存至本地。
可选的,所述将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密,包括:
将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块利用自身的设备加密密钥对对所述加密密钥密文进行解密,以得到加密密钥,然后利用所述加密密钥对所述待加密磁盘数据进行加密,以得到加密后磁盘数据;
获取所述安全模块返回的所述加密后磁盘数据。
可选的,判断本地是否存在与待解密磁盘数据相对应的加密密钥密文之后,还包括:
若本地不存在与待解密磁盘数据相对应的加密密钥密文,则生成与待解密磁盘数据相对应的加密密钥获取请求,并将所述加密密钥获取请求发送至所述认证模块,以便所述认证模块基于所述加密密钥获取请求生成加密密钥对和设备加密密钥对,获取所述认证模块发送的基于所述加密密钥对和所述设备加密密钥对生成的加密密钥密文,然后跳转至所述将所述待解密磁盘数据以及与所述待解密磁盘数据相对应的加密密钥密文发送至所述安全模块的步骤,以得到解密后磁盘数据。
第二方面,本申请公开了一种磁盘数据处理装置,包括:
磁盘管理应用检测模块,用于获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;
磁盘数据加密模块,用于若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;
磁盘数据解密模块,用于若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的磁盘数据处理方法。
第四方面,本申请公开了一种计算机存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的磁盘数据处理方法的步骤。
可见,本申请提供了一种磁盘数据处理方法,包括获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。本申请通过采用处理器芯片级安全模块,为磁盘加密提供基础的密钥存储、密码运算,解决密钥存储安全性和密码运算性能不易兼顾的问题;通过采用安全模块软件栈,以内核crypto模块方式嵌入dm-crypt内核子系统,有效衔接上层磁盘加密应用与底层硬件芯片,降低磁盘加密应用开发与适配成本,增强本技术方案易用性,实现应用的平滑迁移;通过采用认证中心进行统一的密钥与身份集中管理、安全下发,结合基于处理器芯片的本地安全存储相互衔接,增强密钥安全性与密钥丢失问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种磁盘数据处理方法流程图;
图2为本申请公开的一种磁盘数据处理方法具体流程图;
图3为本申请公开的一种磁盘数据处理方法的系统架构图;
图4为本申请公开的一种磁盘数据处理装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着计算机和网络技术的飞速发展,海量数据存储在各种计算机及设备中,其中硬盘是最主要的存储设备之一,在这些存储数据中携带着大量的敏感信息。如何有效保护硬盘数据存储的安全性,在计算机、设备丢失以后,防止存储敏感数据非法泄露越来越重要。磁盘加密通常是对硬盘扇区直接进行加密,典型的磁盘加密方法有dm-crypt、truecrypt(加密软件)等,传统方案通常采用密码软算法库、智能密码钥匙等进行密钥管理和密码运算。传统方案通常存在以下问题:一是密钥的保护和存储。采用密码软算法库的方案中,密钥的保护和存储通常密钥明文存放在磁盘中,或者密钥明文出现在设备内存中,造成容易被破解;二是加解密运算速率低,影响磁盘数据加密效率。比如,采用智能密码钥匙的方案,可解决密钥存储的安全性问题,但是对称算法加解密性能很低。现有技术方案很难到达安全性、效率与易用性的均衡与统一。由上可见,如何解决密钥存储安全性和密码运算性能不易兼顾的问题,提高磁盘数据处理的安全性,增加磁盘数据处理的易用性,降低磁盘数据处理应用开发与适配成本是本领域有待解决的问题。
参见图1所示,本发明实施例公开了一种磁盘数据处理方法,应用于磁盘操作系统,具体可以包括:
步骤S11:获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测。
本实施例中,获取芯片生成加载模块为所述安全模块烧录的芯片唯一机密值;利用本地的磁盘管理模块并通过预设的安全模块软件栈将生成设备密钥对请求发送至所述安全模块,同时设置密钥授权码,然后基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测。
步骤S12:若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密。
步骤S13:若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
本实施例中,判断本地是否存在与待解密磁盘数据相对应的加密密钥密文之后,还包括:若本地不存在与待解密磁盘数据相对应的加密密钥密文,则生成与待解密磁盘数据相对应的加密密钥获取请求,并将所述加密密钥获取请求发送至所述认证模块,以便所述认证模块基于所述加密密钥获取请求生成加密密钥对和设备加密密钥对,获取所述认证模块发送的基于所述加密密钥对和所述设备加密密钥对生成的加密密钥密文,然后跳转至所述将所述待解密磁盘数据以及与所述待解密磁盘数据相对应的加密密钥密文发送至所述安全模块的步骤,以得到解密后磁盘数据。
本发明基于处理器芯片级密码,解决密钥存储、密码运算安全性的问题,以较低的经济成本、改造成本获取尽可能高的运算效率。采用了统一密钥集中管理、安全下发与本地安全存储相结合的方式,解决密钥安全性与丢失问题。处理器安全模块提供与操作系统内核强黏合性的软件栈,解决现有磁盘加密应用平滑适配问题。通过上述方式,达到磁盘加密业务的高安全、高性能与易用三者统一。
本实施例中,获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。本申请通过采用处理器芯片级安全模块,为磁盘加密提供基础的密钥存储、密码运算,解决密钥存储安全性和密码运算性能不易兼顾的问题;通过采用安全模块软件栈,以内核crypto模块方式嵌入dm-crypt内核子系统,有效衔接上层磁盘加密应用与底层硬件芯片,降低磁盘加密应用开发与适配成本,增强本技术方案易用性,实现应用的平滑迁移;通过采用认证中心进行统一的密钥与身份集中管理、安全下发,结合基于处理器芯片的本地安全存储相互衔接,增强密钥安全性与密钥丢失问题。
参见图2所示,本发明实施例公开了一种磁盘数据处理方法,应用于磁盘操作系统,具体可以包括:
步骤S21:获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测。
步骤S22:若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,以便所述认证模块确定出加密密钥获取请求的类型和加密密钥获取信息,然后通过自身的内部密钥管理模块和硬件密码模块对所述加密密钥获取请求的类型和所述加密密钥获取信息进行初始化,以得到加密密钥对和设备加密密钥对,然后基于所述加密密钥对和所述设备加密密钥对生成加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密。
本实施例中,在将加密密钥获取请求发送至所述认证模块之后,获取所述认证模块发送的利用所述设备加密密钥对对所述加密密钥对进行加密生成的加密密钥密文;根据预设的配置策略和存储方式将所述加密密钥密文保存至本地。
本实施例中,在基于所述加密密钥对和所述设备加密密钥对生成加密密钥密文之后,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块利用自身的设备加密密钥对对所述加密密钥密文进行解密,以得到加密密钥,然后利用所述加密密钥对所述待加密磁盘数据进行加密,以得到加密后磁盘数据;获取所述安全模块返回的所述加密后磁盘数据。
步骤S23:若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
本发明基于处理器内嵌的安全模块,提出一种磁盘加密的方法及系统,解决传统磁盘加密存在的密钥存储、加解密效率等问题。具体的总体框架如图3所示,主要包括磁盘加密本地端、远端认证模块和芯片生产加载模块。磁盘加密本地端由嵌入CPU的安全模块、安全模块软件栈、磁盘加密管理模块,以及普通的硬盘、硬盘驱动、操作系统内核dm-crypt模块、磁盘加密应用构成。其中,嵌入CPU的安全模块提供处理器芯片级的密钥管理、密码运算、安全存储及真随机数发生功能。安全模块软件栈衔接硬件芯片与操作系统内核模块,以硬件芯片为基础向上提供磁盘加密所需驱动和软件接口。磁盘加密管理模块为磁盘加密应用提供设备下发初始化、密钥及证书管理功能。认证模块主要负责设备密钥与证书管理、磁盘加密密钥的产生及管理、设备身份认证。通常,认证中心可包括数字证书系统、密钥管理系统和硬件密码设备。芯片生产加载模块主要负责嵌入CPU的安全模块的重要程序加载、关键数据灌装。磁盘数据加密工作原理,由磁盘加密应用发起加解密操作,调用内核态dm-crypt执行数据读取和加解密运算,dm-crypt原生集成crypto模块,通过安全模块提供crypto可直接挂载,实现上下层无缝衔接,通过安全模块crypto调用安全模块驱动,实现安全模块芯片内部密码功能的调用。
本申请的具体工作流程为:(1)初始化工作流程:步骤1,芯片生产加载模块对CPU内嵌安全模块进行重要程序加载及关键数据灌装,并烧录芯片唯一机密值SeSecret;步骤2,磁盘加密管理模块通过安全模块软件栈,向安全模块发起设备密钥产生申请,同时设置密钥授权码;步骤3,安全模块内部产生设备签名密钥对SigKEY并安全存储在模块非易失存储区;步骤4,磁盘加密管理模块基于芯片唯一机密值SeSecret、设备其他关键信息(可包括但不限于MAC地址、域用户等),组合产生设备唯一标识符DeviceID;步骤5,磁盘加密管理模块从安全模块获取设备签名公钥SigPubKey,并携带SigPubKey和DeviceID,向认证模块发起证书申请及密钥请求;步骤6,认证模块处接收设备证书申请及密钥请求,产生设备加密密钥对及设备双证书;步骤7,磁盘加密管理模块将设备双证书、设备加密密钥对导入安全模块存储;步骤8,对磁盘管理应用进行检测。
(2)磁盘数据加密工作流程:步骤1,磁盘加密管理模块向认证模块发起加密密钥获取请求,加密密钥获取请求的类型可包括加密密钥产生、获取和更新,加密密钥获取请求携带包含设备唯一标识符的设备签名证书、加密密钥标识;步骤2,认证模块根据设备证书验证申请合法性;步骤3,认证模块根据加密密钥获取请求的类型和加密密钥获取请求,通过内部密钥管理、硬件密码模块,初始化产生加密密钥、提取已有加密密钥,以及更换原有加密密钥,通过与设备唯一标识符对应的设备加密密钥,对加密密钥进行加密,获得加密密钥密文CipherKEK返回给磁盘加密管理模块,同时认证模块对加密密钥进行安全存储及管理;步骤4,磁盘加密管理模块根据配置策略,通过普通文本、LUKS等方式,将加密密钥密文CipherKEK保存在本地;步骤5,磁盘加密应用通过安全模块加密指定磁盘数据PlainData,包括待解密磁盘数据、加密密钥密文CipherKEK;步骤6,安全模块内部先使用内部存储的设备加密密钥对对加密密钥进行解密,再使用加密密钥对待解密磁盘数据进行加密;密钥解密及数据加密过程在安全模块内部一体化完成。
(3)磁盘数据解密工作流程:步骤1,磁盘加密应用根据配置策略,通过普通文本、LUKS等方式,在本地读取获得加密密钥密文,执行步骤3。若本地加密密钥密文丢失,携带包含设备唯一标识符的设备签名证书、加密密钥标识,向认证模块申请获取加密密钥,执行步骤2;步骤2,认证模块根据设备证书验证申请合法性,认证模块根据加密密钥获取请求的类型和加密密钥获取请求,通过内部密钥管理、硬件密码模块提取已有加密密钥、设备加密密钥,用设备加密密钥对对加密密钥进行加密,获得加密密钥密文CipherKEK返回给磁盘加密管理模块;步骤3,磁盘加密应用携带磁盘数据密文、加密密钥密文,向安全模块发起解密申请;步骤4,安全模块内部先使用内部存储的设备加密密钥对对加密密钥进行解密,再使用加密密钥对磁盘数据进行解密;密钥解密及数据解密过程在安全模块内部一体化完成。
本实施例中,获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。本申请通过采用处理器芯片级安全模块,为磁盘加密提供基础的密钥存储、密码运算,解决密钥存储安全性和密码运算性能不易兼顾的问题;通过采用安全模块软件栈,以内核crypto模块方式嵌入dm-crypt内核子系统,有效衔接上层磁盘加密应用与底层硬件芯片,降低磁盘加密应用开发与适配成本,增强本技术方案易用性,实现应用的平滑迁移;通过采用认证中心进行统一的密钥与身份集中管理、安全下发,结合基于处理器芯片的本地安全存储相互衔接,增强密钥安全性与密钥丢失问题。
参见图4所示,本发明实施例公开了一种磁盘数据处理装置,具体可以包括:
磁盘管理应用检测模块11,用于获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;
磁盘数据加密模块12,用于若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;
磁盘数据解密模块13,用于若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
本实施例中,获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。本申请通过采用处理器芯片级安全模块,为磁盘加密提供基础的密钥存储、密码运算,解决密钥存储安全性和密码运算性能不易兼顾的问题;通过采用安全模块软件栈,以内核crypto模块方式嵌入dm-crypt内核子系统,有效衔接上层磁盘加密应用与底层硬件芯片,降低磁盘加密应用开发与适配成本,增强本技术方案易用性,实现应用的平滑迁移;通过采用认证中心进行统一的密钥与身份集中管理、安全下发,结合基于处理器芯片的本地安全存储相互衔接,增强密钥安全性与密钥丢失问题。
在一些具体实施例中,所述磁盘管理应用检测模块11,具体可以包括:
芯片唯一机密值获取模块,用于获取芯片生成加载模块为所述安全模块烧录的芯片唯一机密值;
设备密钥对请求发送模块,用于利用本地的磁盘管理模块并通过预设的安全模块软件栈将生成设备密钥对请求发送至所述安全模块,同时设置密钥授权码。
在一些具体实施例中,所述磁盘数据加密模块12,具体可以包括:
加密密钥获取请求发送模块,用于将加密密钥获取请求发送至所述认证模块,以便所述认证模块从所述加密密钥获取请求中确定出设备证书,然后根据所述设备证书对所述加密密钥获取请求进行合法性验证,若合法性验证通过,则基于所述加密密钥获取请求生成加密密钥密文;
加密密钥密文获取模块,用于获取所述加密密钥密文。
在一些具体实施例中,所述磁盘数据加密模块12,具体可以包括:
加密密钥密文生成模块,用于将加密密钥获取请求发送至所述认证模块,以便所述认证模块确定出加密密钥获取请求的类型和加密密钥获取信息,然后通过自身的内部密钥管理模块和硬件密码模块对所述加密密钥获取请求的类型和所述加密密钥获取信息进行初始化,以得到加密密钥对和设备加密密钥对,然后基于所述加密密钥对和所述设备加密密钥对生成加密密钥密文。
在一些具体实施例中,所述磁盘数据加密模块12,具体可以包括:
加密密钥密文获取模块,用于获取所述认证模块发送的利用所述设备加密密钥对对所述加密密钥对进行加密生成的加密密钥密文;
加密密钥密文保存模块,用于根据预设的配置策略和存储方式将所述加密密钥密文保存至本地。
在一些具体实施例中,所述磁盘数据加密模块12,具体可以包括:
加密模块,用于将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块利用自身的设备加密密钥对对所述加密密钥密文进行解密,以得到加密密钥,然后利用所述加密密钥对所述待加密磁盘数据进行加密,以得到加密后磁盘数据;
加密后磁盘数据获取模块,用于获取所述安全模块返回的所述加密后磁盘数据。
在一些具体实施例中,所述磁盘数据解密模块13,具体可以包括:
加密密钥密文获取模块,用于若本地不存在与待解密磁盘数据相对应的加密密钥密文,则生成与待解密磁盘数据相对应的加密密钥获取请求,并将所述加密密钥获取请求发送至所述认证模块,以便所述认证模块基于所述加密密钥获取请求生成加密密钥对和设备加密密钥对,获取所述认证模块发送的基于所述加密密钥对和所述设备加密密钥对生成的加密密钥密文,然后跳转至所述将所述待解密磁盘数据以及与所述待解密磁盘数据相对应的加密密钥密文发送至所述安全模块的步骤,以得到解密后磁盘数据。
图5为本申请实施例提供的一种电子设备的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的由电子设备执行的磁盘数据处理方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中数据223的运算与处理,其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的磁盘数据处理方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括磁盘数据处理设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
进一步的,本申请实施例还公开了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的磁盘数据处理方法步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种磁盘数据处理方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种磁盘数据处理方法,其特征在于,应用于磁盘操作系统,包括:
获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;
若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;
若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
2.根据权利要求1所述的磁盘数据处理方法,其特征在于,所述获取芯片唯一机密值,包括:
获取芯片生成加载模块为所述安全模块烧录的芯片唯一机密值;
利用本地的磁盘管理模块并通过预设的安全模块软件栈将生成设备密钥对请求发送至所述安全模块,同时设置密钥授权码。
3.根据权利要求1所述的磁盘数据处理方法,其特征在于,所述将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
将加密密钥获取请求发送至所述认证模块,以便所述认证模块从所述加密密钥获取请求中确定出设备证书,然后根据所述设备证书对所述加密密钥获取请求进行合法性验证,若合法性验证通过,则基于所述加密密钥获取请求生成加密密钥密文;
获取所述加密密钥密文。
4.根据权利要求1所述的磁盘数据处理方法,其特征在于,所述将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
将加密密钥获取请求发送至所述认证模块,以便所述认证模块确定出加密密钥获取请求的类型和加密密钥获取信息,然后通过自身的内部密钥管理模块和硬件密码模块对所述加密密钥获取请求的类型和所述加密密钥获取信息进行初始化,以得到加密密钥对和设备加密密钥对,然后基于所述加密密钥对和所述设备加密密钥对生成加密密钥密文。
5.根据权利要求4所述的磁盘数据处理方法,其特征在于,所述获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,包括:
获取所述认证模块发送的利用所述设备加密密钥对对所述加密密钥对进行加密生成的加密密钥密文;
根据预设的配置策略和存储方式将所述加密密钥密文保存至本地。
6.根据权利要求5所述的磁盘数据处理方法,其特征在于,所述将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密,包括:
将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块利用自身的设备加密密钥对对所述加密密钥密文进行解密,以得到加密密钥,然后利用所述加密密钥对所述待加密磁盘数据进行加密,以得到加密后磁盘数据;
获取所述安全模块返回的所述加密后磁盘数据。
7.根据权利要求1至6任一项所述的磁盘数据处理方法,其特征在于,判断本地是否存在与待解密磁盘数据相对应的加密密钥密文之后,还包括:
若本地不存在与待解密磁盘数据相对应的加密密钥密文,则生成与待解密磁盘数据相对应的加密密钥获取请求,并将所述加密密钥获取请求发送至所述认证模块,以便所述认证模块基于所述加密密钥获取请求生成加密密钥对和设备加密密钥对,获取所述认证模块发送的基于所述加密密钥对和所述设备加密密钥对生成的加密密钥密文,然后跳转至所述将所述待解密磁盘数据以及与所述待解密磁盘数据相对应的加密密钥密文发送至所述安全模块的步骤,以得到解密后磁盘数据。
8.一种磁盘数据处理装置,其特征在于,包括:
磁盘管理应用检测模块,用于获取芯片唯一机密值,基于所述芯片唯一机密值生成设备唯一标识符,获取设备签名公钥,并将所述设备唯一标识符和所述设备签名公钥发送至认证模块,获取所述认证模块返回的设备加密密钥对,对本地的磁盘管理应用进行检测;
磁盘数据加密模块,用于若检测到所述磁盘管理应用的加密请求被触发,则将加密密钥获取请求发送至所述认证模块,获取所述认证模块发送的基于所述加密密钥获取请求生成的加密密钥密文,将待加密磁盘数据和所述加密密钥密文发送至安全模块,以便所述安全模块基于所述加密密钥密文对所述待加密磁盘数据进行加密;
磁盘数据解密模块,用于若检测到所述磁盘管理应用的解密请求被触发,则判断本地是否存在与待解密磁盘数据相应的加密密钥密文,若本地存在与待解密磁盘数据相应的加密密钥密文,则将所述待解密磁盘数据及相应的加密密钥密文发送至所述安全模块,以便所述安全模块基于相应的加密密钥密文对所述待解密磁盘数据进行解密。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的磁盘数据处理方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的磁盘数据处理方法。
CN202310658575.1A 2023-06-05 2023-06-05 一种磁盘数据处理方法、装置、设备及介质 Active CN116383858B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310658575.1A CN116383858B (zh) 2023-06-05 2023-06-05 一种磁盘数据处理方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310658575.1A CN116383858B (zh) 2023-06-05 2023-06-05 一种磁盘数据处理方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116383858A true CN116383858A (zh) 2023-07-04
CN116383858B CN116383858B (zh) 2023-10-20

Family

ID=86961932

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310658575.1A Active CN116383858B (zh) 2023-06-05 2023-06-05 一种磁盘数据处理方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116383858B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553347A (zh) * 2003-05-28 2004-12-08 联想(北京)有限公司 一种计算机数据保护方法
US20170373850A1 (en) * 2015-08-12 2017-12-28 Tencent Technology (Shenzhen) Company Limited Data encryption method, decryption method, apparatus, and system
US20190312720A1 (en) * 2016-12-20 2019-10-10 Pax Computer Technology (Shenzhen) Co., Ltd Method for remotely acquiring secret key, pos terminal and storage medium
CN110750326A (zh) * 2019-09-02 2020-02-04 福建升腾资讯有限公司 一种虚拟机的磁盘加解密方法以及系统
CN113285804A (zh) * 2021-07-21 2021-08-20 苏州浪潮智能科技有限公司 虚拟机磁盘数据的加解密方法、装置、设备及存储介质
CN113806756A (zh) * 2020-06-16 2021-12-17 北京龙腾融智信息技术有限公司 磁盘数据加密方法、解密方法、装置、设备和存储介质
CN115348077A (zh) * 2022-08-12 2022-11-15 济南浪潮数据技术有限公司 一种虚拟机加密方法、装置、设备、存储介质
CN115935396A (zh) * 2022-12-28 2023-04-07 海光信息技术股份有限公司 一种计算设备、数据加密方法、数据解密方法及存储介质
CN116015767A (zh) * 2022-12-07 2023-04-25 浪潮云信息技术股份公司 一种数据处理方法、装置、设备及介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1553347A (zh) * 2003-05-28 2004-12-08 联想(北京)有限公司 一种计算机数据保护方法
US20170373850A1 (en) * 2015-08-12 2017-12-28 Tencent Technology (Shenzhen) Company Limited Data encryption method, decryption method, apparatus, and system
US20190312720A1 (en) * 2016-12-20 2019-10-10 Pax Computer Technology (Shenzhen) Co., Ltd Method for remotely acquiring secret key, pos terminal and storage medium
CN110750326A (zh) * 2019-09-02 2020-02-04 福建升腾资讯有限公司 一种虚拟机的磁盘加解密方法以及系统
CN113806756A (zh) * 2020-06-16 2021-12-17 北京龙腾融智信息技术有限公司 磁盘数据加密方法、解密方法、装置、设备和存储介质
CN113285804A (zh) * 2021-07-21 2021-08-20 苏州浪潮智能科技有限公司 虚拟机磁盘数据的加解密方法、装置、设备及存储介质
CN115348077A (zh) * 2022-08-12 2022-11-15 济南浪潮数据技术有限公司 一种虚拟机加密方法、装置、设备、存储介质
CN116015767A (zh) * 2022-12-07 2023-04-25 浪潮云信息技术股份公司 一种数据处理方法、装置、设备及介质
CN115935396A (zh) * 2022-12-28 2023-04-07 海光信息技术股份有限公司 一种计算设备、数据加密方法、数据解密方法及存储介质

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
王冠;李天亮;: "一种基于安全芯片的可信移动存储设备的双向认证机制", 计算机与应用化学, no. 05, pages 15 - 18 *
王飞平;高发桂;: "Windows下可移动存储设备加密系统的研究与实现", 湖北民族学院学报(自然科学版), no. 04, pages 86 - 89 *
胡伟;慕德俊;刘航;李美峰;戴冠中;: "移动硬盘硬件加密的设计与实现", 计算机工程与应用, no. 22, pages 66 - 68 *
黄锦等: "《处理器芯片级密码与终端数据保护融合应用研究实践》", 网络安全技术与应用, no. 2, pages 18 - 20 *

Also Published As

Publication number Publication date
CN116383858B (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
US10462114B2 (en) System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
JP6275653B2 (ja) データ保護方法及びシステム
JP6480908B2 (ja) アプリケーション間におけるコンピュータ間の保護された通信
US8462955B2 (en) Key protectors based on online keys
CN1708942B (zh) 设备特定安全性数据的安全实现及利用
US9563772B2 (en) Methods, systems and machine-readable media for providing security services
CN101122942B (zh) 数据安全读取方法及其安全存储装置
US7100048B1 (en) Encrypted internet and intranet communication device
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
CN103701829B (zh) 一种离线解析dpapi加密数据的方法
WO2023274011A1 (zh) 一种otp存储器内数据保护方法、装置、设备及存储介质
KR100668446B1 (ko) 안전한 인증정보 이동방법
CN109474431B (zh) 客户端认证方法及计算机可读存储介质
WO2015154469A1 (zh) 数据库的操作方法及装置
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN116383858B (zh) 一种磁盘数据处理方法、装置、设备及介质
CN110990111B (zh) 一种云环境下虚拟可信根的校验方法和系统
CN114697113A (zh) 一种基于硬件加速卡的多方隐私计算方法、装置及系统
CN103647654B (zh) 一种基于可信计算的配电终端密钥管理方法
CN115996126B (zh) 信息交互方法、应用设备、辅助平台及电子设备
CN115529194B (zh) 一种数据管理方法、系统、设备和存储介质
CN117272346A (zh) 一种磁盘数据访问方法、装置、设备及存储介质
Culnane et al. Formalising Application-Driven Authentication & Access-Control based on Users’ Companion Devices
KR20160067547A (ko) 개선된 mtm의 세션 및 키 관리 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant