CN117807615A - 一种存储设备的访问方法、计算设备及可读存储介质 - Google Patents
一种存储设备的访问方法、计算设备及可读存储介质 Download PDFInfo
- Publication number
- CN117807615A CN117807615A CN202311862697.9A CN202311862697A CN117807615A CN 117807615 A CN117807615 A CN 117807615A CN 202311862697 A CN202311862697 A CN 202311862697A CN 117807615 A CN117807615 A CN 117807615A
- Authority
- CN
- China
- Prior art keywords
- storage device
- trusted
- trusted device
- access
- access key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003860 storage Methods 0.000 title claims abstract description 202
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000005259 measurement Methods 0.000 claims description 27
- 230000015654 memory Effects 0.000 claims description 18
- 238000005304 joining Methods 0.000 claims description 13
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 9
- 238000013507 mapping Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007723 transport mechanism Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种存储设备的访问方法、计算设备及可读存储介质,涉及计算机领域。本发明的存储设备的访问方法在可信设备中执行,可信设备为加入保护域的计算设备,且可信设备的安全芯片中存储有用于加密存储设备的访问密钥,该方法包括:当检测到有存储设备与可信设备建立连接时,检测存储设备是否为加密的存储设备。若未加密,则利用访问密钥对所述存储设备进行加密,并在加密后重新与所述存储设备建立连接。若已加密,则从安全芯片中获取访问密钥。接着,利用访问密钥对存储设备进行解密,并对解密后的存储设备进行访问。本发明的存储设备的访问方法,可使加密的存储设备只能被保护域内的可信设备访问,提高了存储设备的数据的安全性。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种存储设备的访问方法、计算设备及可读存储介质。
背景技术
移动存储设备以其小巧、便于携带的特点赢得了许多用户的青睐。目前,在日常的工作和生活中,用户多会使用移动硬盘、U盘等来存储和传输数据。移动存储设备给人们的生活和工作带来了极大的便利。
然而,近年来,由移动存储设备引发的信息泄露事件越来越多,安全问题日益突出,导致移动存储设备在一些注重信息数据保密的行业领域(如科技企业、科研机构等部门)中的使用受到了限制。
为此,本发明提供了一种存储设备的访问方法以解决上述技术问题。
发明内容
为此,本发明提供了一种存储设备的访问方法、计算设备及可读存储介质,以力图解决或者至少缓解上面存在的问题。
根据本发明的一个方面,提供一种存储设备的访问方法,在可信设备中执行,可信设备为加入保护域的计算设备,且可信设备的安全芯片中存储有用于加密存储设备的访问密钥,该方法包括:当检测到有存储设备与可信设备建立连接时,检测存储设备是否为加密的存储设备;若未加密,则利用访问密钥对存储设备进行加密,并在加密后重新与存储设备建立连接;若已加密,则从安全芯片中获取访问密钥;利用访问密钥对存储设备进行解密,并对解密后的存储设备进行访问。
可选地,在根据本发明的存储设备的访问方法中,在从安全芯片中获取访问密钥之前,还包括:获取可信设备的运行环境的当前度量值,并将当前度量值与预存储的基准度量值进行匹配。
可选地,在根据本发明的存储设备的访问方法中,获取可信设备的运行环境的当前度量值,包括:获取可信设备的基础软件环境的第一度量值,并在第一度量值的基础上,将可信设备的内核和管理模块扩展至指定平台配置寄存器中,得到当前度量值。
可选地,在根据本发明的存储设备的访问方法中,基准度量值的创建,包括:在将访问密钥存储至安全芯片中时,获取可信设备的基础软件环境的第二度量值;基于第二度量值判断可信设备的基础软件环境是否可信;若可信,则在第二度量值的基础上,将可信设备的内核和设备管理模块扩展至指定平台配置寄存器中,得到基准度量值。
可选地,在根据本发明的存储设备的访问方法中,将访问密钥存储至安全芯片,包括:创建与安全芯片的访问会话,并将基准度量值绑定到访问会话的认证策略;通过认证策略将访问密钥存储至安全芯片中。
可选地,在根据本发明的存储设备的访问方法中,可信设备通过与其连接的域控制器加入保护域,该方法还包括:向域控制器发送包括可信设备的身份证书的保护域加入请求,以便域控制器基于身份证书对可信设备的身份进行确认,并在确认通过后,将可信设备加入保护域。
可选地,在根据本发明的存储设备的访问方法中,在对可信设备的身份确认通过后,域控制器生成访问密钥和一对称密钥,并利用对称密钥对访问密钥进行加密、利用身份证书中的公钥对对称密钥进行加密,以及在创建与安全芯片的访问会话之前,还包括:接收域控制器发送的加密的对称密钥和加密的访问密钥;利用与公钥相对应的私钥解密出对称密钥,并利用对称密钥解密出访问密钥。
可选地,在根据本发明的存储设备的访问方法中,域控制器基于身份证书对可信设备的身份进行确认,包括:判断身份证书是否由CA机构签发以及身份证书中的身份信息是否与可信设备的身份信息一致;若身份证书由CA机构签发且身份证书中的身份信息与可信设备的身份信息一致,则确认通过。
可选地,在根据本发明的存储设备的访问方法中,访问密钥为域控制器利用随机数生成器生成的一组随机数。
可选地,在根据本发明的存储设备的访问方法中,利用访问密钥对存储设备进行加密,包括:基于域控制器利用访问密钥按照LUKS标准对存储设备进行加密。
可选地,在根据本发明的存储设备的访问方法中,对解密后的存储设备进行访问之前,还包括:创建存储设备的映射节点,以及存储设备的挂载点;将映射节点挂载至挂载点。
可选地,在根据本发明的存储设备的访问方法中,还包括:当检测到存储设备与可信设备断开连接时,移除映射节点和挂载点。
根据本发明的又一个方面,提供一种计算设备,包括:至少一个处理器;以及存储器,存储有程序指令,其中,程序指令被配置为适于由至少一个处理器执行,程序指令包括用于执行根据本发明的存储设备的访问方法的指令。
根据本发明的又一个方面,提供一种存储有程序指令的可读存储介质,当程序指令被计算设备读取并执行时,使得计算设备执行根据本发明的存储设备的访问方法。
本发明的存储设备的访问方法,通过将存储设备的访问与可信设备的安全芯片相结合,可使加密的存储设备只能被保护域内的可信设备访问,而无法被保护域之外的设备访问,从而可以有效防止存储设备内的数据被非法访问,提高了存储设备的数据的安全性。
并且,在对存储设备进行访问时,本发明还通过安全芯片对可信设备的运行环境进行度量,只有在确保可信设备的运行环境可信时,才允许可信设备访问存储设备,从而可避免因可信设备被篡改而导致的数据泄露,进一步提高了存储设备的数据的安全性。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明一个实施例的计算设备100的结构框图;
图2示出了根据本发明一个实施例的存储设备的访问方法200的流程图;
图3示出了根据本发明一个实施例的可信设备加入保护域的示意图;
图4示出了根据本发明一个实施例的保护域中的可信设备访问移动存储设备的示意图;
图5示出了根据本发明一个实施例的保护域外的计算设备访问加密的移动存储设备的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为了增强移动存储设备的安全性,可通过双向数字签名认证方式来建立计算设备与移动存储设备的相互通信。具体地,移动存储设备和计算设备互相交换数字证书并进行双向的签名验证,验证通过后再进行数据访问。
然而,双向数字签名认证方式需要移动存储设备具有访问控制单元以及密码学服务单元,而对于简单的仅包括数据存储器的移动存储设备,其根本无法满足此需求。
基于此,本发明提供了一种存储设备的访问方法,该方法可使存储设备只能被特定范围内的可信设备访问,而无法被保护域之外的设备访问,从而可以有效防止存储设备内的数据被非法访问,提高了存储设备的数据的安全性。
图1示出了的计算设备100的物理组件(即,硬件)的框图。在基本配置中,计算设备100包括至少一个处理单元102和系统存储器104。根据一个方面,取决于计算设备的配置和类型,处理单元102可以实现为处理器。系统存储器104包括但不限于易失性存储(例如,随机存取存储器)、非易失性存储(例如,只读存储器)、闪速存储器、或者这样的存储器的任何组合。根据一个方面,系统存储器104中包括操作系统105和程序模块106,程序模块106中包括访问模块120,访问模块120被配置为执行本发明的存储设备的访问方法200。
根据一个方面,操作系统105例如适合于控制计算设备100的操作。此外,示例结合图形库、其他操作系统、或任何其他应用程序而被实践,并且不限于任何特定的应用或系统。在图1中通过在虚线108内的那些组件示出了该基本配置。根据一个方面,计算设备100具有额外的特征或功能。例如,根据一个方面,计算设备100包括额外的数据存储设备(可移动的和/或不可移动的),例如磁盘、光盘、或者磁带。这样额外的存储在图1中是由可移动存储设备109和不可移动存储设备110示出的。
如在上文中所陈述的,根据一个方面,在系统存储器104中存储有程序模块。根据一个方面,程序模块可以包括一个或多个应用程序,本发明不限制应用程序的类型,例如应用程序可以包括:电子邮件和联系人应用程序、文字处理应用程序、电子表格应用程序、数据库应用程序、幻灯片展示应用程序、绘画或计算机辅助应用程序、网络浏览器应用程序等。
根据一个方面,可以在包括分立电子元件的电路、包含逻辑门的封装或集成的电子芯片、利用微处理器的电路、或者在包含电子元件或微处理器的单个芯片上实践示例。例如,可以经由其中在图1中所示出的每个或许多组件可以集成在单个集成电路上的片上系统(SOC)来实践示例。根据一个方面,这样的SOC设备可以包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元、以及各种应用功能,其全部作为单个集成电路而被集成(或“烧”)到芯片基底上。当经由SOC进行操作时,可以经由在单个集成电路(芯片)上与计算设备100的其他组件集成的专用逻辑来对在本文中所描述的功能进行操作。还可以使用能够执行逻辑操作(例如AND、OR和NOT)的其他技术来实践本发明的实施例,所述其他技术包括但不限于机械、光学、流体、和量子技术。另外,可以在通用计算机内或在任何其他任何电路或系统中实践本发明的实施例。
根据一个方面,计算设备100还可以具有一个或多个输入设备112,例如键盘、鼠标、笔、语音输入设备、触摸输入设备等。还可以包括输出设备114,例如显示器、扬声器、打印机等。前述设备是示例并且也可以使用其他设备。计算设备100可以包括允许与其他计算设备118进行通信的一个或多个通信连接116。合适的通信连接116的示例包括但不限于:RF发射机、接收机和/或收发机电路;通用串行总线(USB)、并行和/或串行端口。
如在本文中所使用的术语计算机可读介质包括计算机存储介质。计算机存储介质可以包括以任何用于存储信息(例如,计算机可读指示、数据结构、或程序模块)的方法或技术来实现的易失性的和非易失性的、可移动的和不可移动的介质。系统存储器104、可移动存储设备109、和不可移动存储设备110都是计算机存储介质的示例(即,存储器存储)。计算机存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦只读存储器(EEPROM)、闪速存储器或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储、盒式磁带、磁带、磁盘存储器或其他磁存储设备、或者可用于存储信息并且可以由计算机设备100访问的任何其他制品。根据一个方面,任何这样的计算机存储介质都可以是计算设备100的一部分。计算机存储介质不包括载波或其他经传播的数据信号。
根据一个方面,通信介质是由计算机可读指令、数据结构、程序模块、或者经调制的数据信号(例如,载波或其他传输机制)中的其他数据实施的,并且包括任何信息传递介质。根据一个方面,术语“经调制的数据信号”描述了具有一个或多个特征集或者以将信息编码在信号中的方式改变的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接之类的有线介质,以及诸如声学、射频(RF)、红外线的、以及其他无线介质之类的无线介质。
图2示出了根据本发明一个实施例的存储设备的访问方法200的流程图,方法200适于在可信设备中执行,可信设备是指加入保护域的计算设备(例如图1所示的计算设备100)。其中,在一些实施例中,可信设备可通过与其连接的域控制器(在域架构中用来管理所有客户端的服务器)加入保护域。关于可信设备加入保护域的具体过程,下面结合图3进行说明。
可信设备(即图中的任一可信计算机,如图中的可信计算机A、可信计算机B)向域控制器发送包括可信设备的身份证书的保护域加入请求。域控制器在接收到保护域加入请求后,基于所接收的身份证书对可信设备的身份进行确认。具体地,判断所接收的身份证书是否由CA机构签发以及身份证书中的身份信息是否与可信设备的身份信息一致。其中,只要有一个条件不满足,则不通过。而如果两个条件都满足,即所接收的身份证书由CA机构签发且身份证书中的身份信息与可信设备的身份信息一致,则确认通过。确认通过后,域控制器则将该可信设备加入保护域,此时可信设备便成为了保护域中的一计算设备。
对于加入保护域的计算设备,本实施例会在其安全芯片中存储一用于加解密存储设备的访问密钥(加密和解密存储设备均使用访问密钥),以使该计算设备具备访问用访问密钥加密的存储设备的权限。
因此,域控制器在将可信设备加入保护域的同时,会为该可信设备生成一访问密钥(一般为不同的可信设备生成不同的访问密钥),并将其发送至可信设备。具体可以为,通过随机数生成器生成一组随机数,然后将生成的随机数作为访问密钥,并将其发送至可信设备。
在一些实施例中,为了提高安全性,域控制器在将访问密钥发送至可信设备时,一般会对其进行加密。具体可实现为,在为可信设备生成一访问密钥的同时,还为可信设备生成一用于对其间的通信信息进行加密的对称密钥
(不同的可信设备对应不同的对称密钥,如图3中的可信计算机A对应对称密钥A,可信计算机B对应对称密钥B),随之利用对称密钥对所生成的访问密钥进行加密、利用可信设备的身份证书中的公钥对对称密钥进行加密,然后将加密的对称密钥和加密的访问密钥发送至可信设备。
对于可信设备而言,当接收到域控制器发送的加密的对称密钥和加密的访问密钥后,则具体执行如下流程:首先利用与加密对称密钥的公钥相对应的私钥解密出对称密钥,然后利用对称密钥解密出访问密钥,最后将访问密钥存储至其安全芯片中。根据本发明的一个实施例,具体可以通过如下步骤来将访问密钥存储至安全芯片中。
第一步,创建与安全芯片的访问会话,并获取可信设备的运行环境的基准度量值。其中,可通过将可信设备的基础软件环境的度量值扩展上系统内核和设备管理模块到指定平台配置寄存器,来获取可信设备的运行环境的基准度量值。
为了保证安全性,在一些实施例中获取可信设备的运行环境的基准度量值时,会先对可信设备的基础软件环境是否可信进行判断,只有在判定可信设备的基础软件环境可信时,才会将可信设备的基础软件环境的度量值扩展上系统内核和设备管理模块到指定平台配置寄存器,并将其作为可信设备的运行环境的基准度量值。因此,获取可信设备的运行环境的基准度量值的具体步骤如下。
首先,获取可信设备的基础软件环境的第二度量值。其中,平台配置寄存器PCR[0-7]存储计算机启动系统过程中的状态值,可反映当前系统运行的基础软件的状态,因此可将PCR[0-7]作为可信设备的基础软件环境的第二度量值。
然后,基于第二度量值判断可信设备的基础软件环境是否可信。具体地,将本次获取到的第二度量值与服务器或可信设备的磁盘中所存储的第二度量值进行对比(计算设备开机后会将其基础软件环境的第二度量值发送到服务器或者本地磁盘存储),如果不一致则判定当前可信设备的基础软件环境不可信,如果一致则判定当前可信设备的基础软件环境可信。
在判定可信设备的基础软件环境可信后,则在第二度量值的基础上,将可信设备的内核和设备管理模块扩展至指定平台配置寄存器中。具体可以为,在可信设备的基础软件环境的第二度量值的基础上,先将可信设备的内核扩展至指定平台配置寄存器中,然后再将设备管理模块扩展至指定平台配置寄存器中,如此便得到了可信设备的运行环境的基准度量值。
在此说明一下,扩展是指获取度量值(或者说哈希值)和将获取的度量值存储至平台配置寄存器中。因此,上述中的将可信设备的内核模块扩展至指定平台配置寄存器中是指,对内核模块进行度量(可采用IMA进行度量),并将获得的度量值存储至指定平台配置寄存器中,将设备管理模块扩展至指定平台配置寄存器中是指,对设备管理模块进行度量,并将获得的度量值存储至指定平台配置寄存器中。其实,上述的扩展过程也可通过公式PCR=hash(PCR||extend)来表述,即把需要加进来的数据连接到旧的PCR值中,然后将新的哈希值存储到PCR(PCR为安全芯片中的一组固定大小的平台配置寄存器,只支持扩展和读取操作)中。
至此,便获得了可信设备的运行环境的基准度量值,随后进入第二步,将获得的基准度量值绑定到访问会话的认证策略,即将获得的基准度量值作为访问会话的认证策略。接着进入第三步,通过认证策略将访问密钥存储至安全芯片中。此时,可信设备的安全芯片中便存储有了用于加密和解密存储设备的访问密钥。
可见,当任一可信设备加入保护域后,其安全芯片中均会存储有一用于加解密存储设备的访问密钥,因此如果想使某一存储设备能被加入保护域的某一可信设备访问,只需使用该可信设备的安全芯片中所存储的访问密钥对此存储设备进行加密即可。例如,如果想使存储设备能被图3中加入保护域的可信计算机A访问,则利用可信计算机A中所存储的访问密钥key对该存储设备进行加密,如果想使存储设备能被图3中加入保护域的可信计算机B访问,则利用可信计算机B中所存储的访问密钥key对该存储设备进行加密。其中,在一些实施例中,域控制器可以利用访问密钥按照LUKS标准来对存储设备进行加密。当然,域控制器也可以利用访问密钥按照TrueCrypt、VeraCrypt等标准来对存储设备进行加密,对此本发明不作具体限定。
综上,加入保护域的可信设备可访问用其所存储的访问密钥加密的存储设备,即加入保护域的可信设备具备访问用其所存储的访问密钥加密的存储设备的权限。
接下来,对存储设备的访问方法200进行说明。如图2所示,该方法200始于210。
在210中,当检测到有存储设备与可信设备建立连接时,检测存储设备是否为加密的存储设备。即,当检测到有存储设备接入可信设备时,则检测存储设备是否为加密的存储设备。其中,存储设备具体可以为移动存储设备,例如移动U盘、移动硬盘、移动存储卡等,当然也可以为其他的存储设备,对此本发明不作限定。
另外,设备管理模块是系统中负责响应外围设备相关的物理事件、对硬件设备进行统一管理的应用程序,因此可通过设备管理模块来检测存储设备是否为加密的存储设备。具体可以为,当检测到有存储设备接入可信设备时,先通过内核将设备接入事件发送给设备管理模块,然后再由设备管理模块来对存储设备进行检测。如果存储设备不是加密的存储设备,则直接正常访问即可,而如果存储设备是加密的存储设备,则需先对存储设备进行解密再进行访问,具体可参见下述220-240。
若存储设备未加密,则进入步220,利用访问密钥对存储设备进行加密,并在加密后重新与存储设备建立连接。具体加密过程可参考上文描述,本申请在此不再赘述。待存储设备加密后,重新执行上述步骤210。
若存储设备已加密,则进入230,从安全芯片中获取访问密钥。
其中,在获取访问密钥之前,该方法200还包括:获取可信设备的运行环境的当前度量值,并将此当前度量值与预存储的基准度量值进行匹配。其中,获取当前度量值的方法与获取基准度量值的方法相同。具体地,首先获取可信设备的基础软件环境的第一度量值。然后,在第一度量值的基础上,将可信设备的内核和管理模块扩展至指定平台配置寄存器中(具体细节可参考上述基准度量值的获取方法,这里不再赘述)。其中,指定平台配置寄存器可以为PCR[8],当然这仅是一个示例,对此本发明不作限定。在具体的实施例中,本领域的技术人员可以根据实际需要进行设定。
在获得可信设备的运行环境的当前度量值后,接下来则将此当前度量值与预存储的基准度量值进行匹配。具体地,创建安全芯片的访问会话,并将获得的当前度量值绑定到此访问会话的认证策略中。然后,将这次访问会话的认证策略和之前所绑定的认证策略(即将访问密钥存储至安全芯片中时所创建的认证策略)进行对比,即将当前度量值与基准度量值进行对比。如果对比失败,表明可信设备当前的运行环境不可信,则禁止可信设备访问存储设备,而如果对比成功(即当前度量值与基准度量值一致),则表明可信设备当前的运行环境可信,随后,便可从可信设备的安全芯片中获取访问密钥。
在获取到访问密钥后,则进入240,利用获得的访问密钥对存储设备进行解密,并对解密后的存储设备进行访问。其中,只要该存储设备是由此可信设备的安全芯片中所存储的访问密钥进行的加密,则可解密成功。当解密成功之后,则可对存储设备进行访问。具体地,创建该存储设备的映射节点和挂载点,并将创建的映射节点挂载至挂载点,然后通过该挂载点对存储设备进行访问。在此说明一下,上述的220-240可通过插入设备管理模块的验证模块来实现。
另外,根据本发明的一个实施例,当后续检测到存储设备与可信设备断开连接时,则移除所创建的映射节点和挂载点。具体地,当检测到存储设备与可信设备断开连接后(例如存储设备拔出),则先通过内核将移除事件发送给设备管理模块,然后由设备管理模块对存储设备地挂载点和映射节点进行卸载和移除。
至此可见,本发明通过将存储设备的访问控制与可信设备的安全芯片相结合,实现了在特定保护域内存储设备与可信设备可正常访问,当存储设备离开保护域后其数据则无法被访问,从而可以有效防止数据泄露。
为了更好的理解本发明,下面将结合图4和图5通过两个具体示例来对本发明的存储设备的访问方法进行说明。
图4示出了根据本发明一个实施例的保护域中的可信设备访问移动存储设备的示意图,具体如下。
当检测到有移动存储设备接入可信设备后,内核则将设备接入事件发送给设备管理模块并由其对移动存储设备进行信息确认,即检测移动存储设备是否为加密的移动存储设备,当确认是加密的移动存储设备后,则随之将处理接入事件发送至验证模块,然后由验证模块对加密的移动存储设备进行自动解密,解密过程具体如下。
首先,将可信设备的基础软件环境的度量值扩展上系统内核和设备管理模块到指定平台配置寄存器,获得可信设备的运行环境的当前度量值。
然后,通过安全芯片创建访问会话,并将获得的当前度量值绑定到此访问会话的认证策略。
接着,进行策略认证,将当前的认证策略和之前的认证策略进行对比。如果对比失败(即不满足策略认证),则判定当前系统环境已被篡改不可信,随之将移动存储设备移除。如果对比成功(即满足策略认证),则从安全芯片中获取访问密钥key,随之利用获取的访问密钥key对加密的移动存储设备进行解密。
如果解密失败(即该移动存储设备并非由此可信设备的安全芯片中所存储的密钥进行的加密),则判定接入设备为未知的移动存储设备,随之将移动存储设备移除。如果解密成功,则创建该移动存储设备的映射节点以及挂载点,以使用户通过挂载点来访问该移动存储设备。
其中,关于本实施例的移动存储设备的访问方法的具体细节可参考上述基于图1至图3的描述,在此不再赘述。
图5示出了根据本发明一个实施例的保护域外的计算设备访问加密的移动存储设备的示意图。具体地,当加密的移动存储设备(其携带保密数据)接入保护域之外的未知计算机后,未知计算机由于缺少访问密钥key无法对移动存储设备进行访问,从而可以防止数据泄露。
本发明的存储设备的访问方法,通过将存储设备的访问与可信设备的安全芯片相结合,可使加密的存储设备只能被保护域内的可信设备访问,而无法被保护域之外的设备访问,从而可以有效防止存储设备内的数据被非法访问,提高了存储设备的数据的安全性。
并且,在对存储设备进行访问时,本发明还通过安全芯片对可信设备的运行环境进行度量(基础软件环境、运行内核和设备管理模块),只有在确保可信设备的运行环境可信时,才允许可信设备访问存储设备,从而可保证内核底层的加密解密功能、验证模块未被篡改,进一步提高了存储设备的数据的安全性。如此一来,保密性要求高的单位则也可利用存储设备来传输数据,从而可以提升用户的体验。
另外,当加密的存储设备接入保护域的可信设备时,本发明会自动对其进行解密,用户毫无感知,从而可以进一步提升用户的体验。
此外,本发明的实施例还包括:A9、如A7所述的方法,其中,所述访问密钥为所述域控制器利用随机数生成器生成的一组随机数。A10、如A6-A9中任一项所述的方法,其中,利用所述访问密钥对所述存储设备进行加密,包括:基于所述域控制器利用所述访问密钥按照LUKS标准对所述存储设备进行加密。A11、如A1-A10中任一项所述的方法,其中,对解密后的所述存储设备进行访问之前,还包括:创建所述存储设备的映射节点,以及所述存储设备的挂载点;将所述映射节点挂载至所述挂载点。A12、如A1-A11中任一项所述的方法,其中,还包括:当检测到所述存储设备与所述可信设备断开连接时,移除所述映射节点和挂载点。
这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被所述机器执行时,所述机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的所述程序代码中的指令,执行本发明的存储设备的访问方法。
以示例而非限制的方式,可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
在此处所提供的说明书中,算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (10)
1.一种存储设备的访问方法,适于在可信设备中执行,所述可信设备为加入保护域的计算设备,所述可信设备的安全芯片中存储有用于加密存储设备的访问密钥,所述方法包括:
当检测到有存储设备与所述可信设备建立连接时,检测所述存储设备是否为加密的存储设备;
若未加密,则利用所述访问密钥对所述存储设备进行加密,并在加密后重新与所述存储设备建立连接;
若已加密,则从所述安全芯片中获取所述访问密钥;
利用所述访问密钥对所述存储设备进行解密,并对解密后的所述存储设备进行访问。
2.如权利要求1所述的方法,其中,在从所述安全芯片中获取所述访问密钥之前,还包括:
获取可信设备的运行环境的当前度量值,并将当前度量值与预存储的基准度量值进行匹配。
3.如权利要求2所述的方法,其中,获取所述可信设备的运行环境的当前度量值,包括:
获取所述可信设备的基础软件环境的第一度量值,并在所述第一度量值的基础上,将所述可信设备的内核和管理模块扩展至指定平台配置寄存器中,得到所述当前度量值。
4.如权利要求2或3所述的方法,其中,所述基准度量值的创建,包括:
在将所述访问密钥存储至所述安全芯片中时,获取所述可信设备的基础软件环境的第二度量值;
基于所述第二度量值判断所述可信设备的基础软件环境是否可信;
若可信,则在所述第二度量值的基础上,将所述可信设备的内核和设备管理模块扩展至指定平台配置寄存器中,得到所述基准度量值。
5.如权利要求4所述的方法,其中,将所述访问密钥存储至所述安全芯片,包括:
创建与所述安全芯片的访问会话,并将所述基准度量值绑定到所述访问会话的认证策略;
通过所述认证策略将所述访问密钥存储至所述安全芯片中。
6.如权利要求1-5中任一项所述的方法,其中,所述可信设备通过与其连接的域控制器加入所述保护域,所述方法还包括:
向所述域控制器发送包括所述可信设备的身份证书的保护域加入请求,以便所述域控制器基于所述身份证书对所述可信设备的身份进行确认,并在确认通过后,将所述可信设备加入所述保护域。
7.如权利要求6述的方法,其中,在对所述可信设备的身份确认通过后,所述域控制器生成所述访问密钥和一对称密钥,并利用所述对称密钥对所述访问密钥进行加密、利用所述身份证书中的公钥对所述对称密钥进行加密,以及
在创建与所述安全芯片的访问会话之前,还包括:
接收所述域控制器发送的加密的对称密钥和加密的访问密钥;
利用与所述公钥相对应的私钥解密出所述对称密钥,并利用所述对称密钥解密出所述访问密钥。
8.如权利要求6或7所述的方法,其中,所述域控制器基于所述身份证书对所述可信设备的身份进行确认,包括:
判断所述身份证书是否由CA机构签发以及所述身份证书中的身份信息是否与所述可信设备的身份信息一致;
若所述身份证书由CA机构签发且所述身份证书中的身份信息与所述可信设备的身份信息一致,则确认通过。
9.一种计算设备,包括:
至少一个处理器;以及
存储器,存储有程序指令,其中,所述程序指令被配置为适于由所述至少一个处理器执行,所述程序指令包括用于执行如权利要求1-8中任一项所述的方法的指令。
10.一种存储有程序指令的可读存储介质,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-8中任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311862697.9A CN117807615A (zh) | 2023-12-29 | 2023-12-29 | 一种存储设备的访问方法、计算设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311862697.9A CN117807615A (zh) | 2023-12-29 | 2023-12-29 | 一种存储设备的访问方法、计算设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117807615A true CN117807615A (zh) | 2024-04-02 |
Family
ID=90428163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311862697.9A Pending CN117807615A (zh) | 2023-12-29 | 2023-12-29 | 一种存储设备的访问方法、计算设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117807615A (zh) |
-
2023
- 2023-12-29 CN CN202311862697.9A patent/CN117807615A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6861292B2 (ja) | モバイルデバイスを使用したシステムアクセス | |
| US9875368B1 (en) | Remote authorization of usage of protected data in trusted execution environments | |
| US10735197B2 (en) | Blockchain-based secure credential and token management across multiple devices | |
| US7526649B2 (en) | Session key exchange | |
| WO2020093214A1 (zh) | 一种应用程序登录方法、应用程序登录装置及移动终端 | |
| US7899187B2 (en) | Domain-based digital-rights management system with easy and secure device enrollment | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| US20130086385A1 (en) | System and Method for Providing Hardware-Based Security | |
| US20050138389A1 (en) | System and method for making password token portable in trusted platform module (TPM) | |
| WO2014159180A1 (en) | Secure cloud storage and encryption management system | |
| JP2004508619A (ja) | トラステッド・デバイス | |
| EP3355221B1 (en) | Mobile device with built-in access control functionality | |
| KR20110055510A (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
| JP7309261B2 (ja) | 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム | |
| US10382429B2 (en) | Systems and methods for performing secure backup operations | |
| JP2022518061A (ja) | デジタル資産の所有権を譲渡するための方法、コンピュータプログラム製品、および装置 | |
| US20130019110A1 (en) | Apparatus and method for preventing copying of terminal unique information in portable terminal | |
| JP5078675B2 (ja) | 会員認証システム及び携帯端末装置 | |
| JP2015104020A (ja) | 通信端末装置、通信端末関連付けシステム、通信端末関連付け方法、及びコンピュータプログラム | |
| EP2575068A1 (en) | System and method for providing hardware-based security | |
| CN117807615A (zh) | 一种存储设备的访问方法、计算设备及可读存储介质 | |
| CN112784249A (zh) | 实现无标识情形下进行移动终端认证处理的方法、系统、处理器及其计算机可读存储介质 | |
| CN115470525B (zh) | 一种文件保护方法、系统、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |