TW200915075A

TW200915075A - Merging external NVRAM with full disk encryption

Info

Publication number: TW200915075A
Application number: TW097137561A
Authority: TW
Inventors: David C Challener; Daryl Cromer; Howard Locker; Randall S Springfield
Original assignee: Lenovo Singapore Pte Ltd
Priority date: 2007-09-30
Filing date: 2008-09-30
Publication date: 2009-04-01
Also published as: CN101398790B; US20090089590A1; US9323956B2; TWI460591B; CN101398790A

Description

200915075 九、發明說明：【發明所屬之技術領域】本發明總體上涉及全碟加密贼（Full DiskEneryptiGnDrives，咖及用於管理全碟加密硬碟的方法和設置。， ^ 【先前技術】眾=皆知地，全碟加密硬碟（FDE)將進人其之所有龍進行加密，並 ^，貝料被授權，就解密所有輸出的資料。這種“地毯式（bi触 ί理幫助使用者確保所有資料都會被加密。然、而，可以期望的是，這^ 整的過程會大幅地減慢系統，這意味著一直在尋求加速處理的措施^種疋在-轉財案巾，轉_記舰（或者nvram， ^ („：：：：案可以無需寫人㉝魏^ time)舰制）。在本文#，關鍵的播體中’耻如果機n被餘料訂這樣料麵攻擊的職@在_讀速度統安全並且同物合適的系統【發明内容】當資施例，在此可以容易地想到一種方式來管理快閃—己2 任何時候不會對敏感的資料進行解密的在又一實施方式中，如快閃記憶體可以被同時移動。在第—實施方式;之縣合的方法和設置。相應地，在其離開'_咖__㈣料被加密並且碟邏輯結合，從而兩者可以制姻的加密密^快閃記麵可以與硬果硬=被移_另—_，則較佳地，快閃記憶密硬碟機，·非揮發=暫==供二’包括：主記憶體；全碟加 /·生暫存疏、體，其錯存未被儲存在硬碟機中的資料，·加 200915075 密模所述非揮發性暫存記憶體進行資料加密。本心月的另-方面提供了一種方法，包碟機；將未被f轉在硬雜^的資料财 ^ ☆提供全碟加密硬為非揮發性暫存記憶體進行資獅 ##靖細射；以及進一步，本發明的其他方面還提供一種體化地實現由機器可執行的齡程絲執行—種^τ讀存設備，具供全螺加密硬碟機；將未被儲存在硬碟機中的驟的方法：提憶體中；以及為轉紐暫存記鍾猶賴域。=^轉性暫存記【實施方式】為了更好地理解本發明以及本發明的其他容易理解的是，如在關中概括地說明和鱗的本發 =種不_配置方絲設置和設計。因此，如在圖丨_ 3 按一樣，下面對於本發明的裝置、系統及方法巾樣不的 =:瞻樓· =路(VLSI)或者閘陣列、諸如邏輯晶片、電晶體的=大》纽件的硬體電路來實現模組。還可以在諸如 ^ =可程式化邏輯陣列、可程式化邏輯器件等的可程式化硬體器== 還可以由多種處理器所執行的軟體來實現模組。例如，可執 ΐ組個ί多個電腦指令的實體區塊或邏輯區塊’其可以由諸如物 =程或函數來構成。然而’上述模組中的可執行代碼的物理位置不必是可包括儲存林同位置處的完全不_指令，當這些指令在邏輯上被s併起糾，形賴減且實現賴組所規定的功能。 200915075 在此，在模組中可二间程式情多個不同的代碼段。類似地， * , 5β亚且描述運作資料，並且可以以任何適當形式來表現亚且以任何適當類型的資 k田开/式不在單-資料集中，或者 :。構來减運作續。運作請可以集合部分地，僅僅以㈣括不同儲存賴的不同位置處，並且至少僅似錢或網路㈣電子錢的形式存在。合實施例=3=11=二1或“實施例”（或類似引用）表示結例中。，在本朗*、或雜包括在本發_至少—個實施中”不必都指的是同-/施例現的短語“在一個實施例中，，或“在實施例的特:1構可：==;_:以《^ 對本發明的奋施_入在的中，提供了多種特定的細節以獲得組、使用者選擇、網路處理、資料庫 =程式:十軟體模㈣夕本領域的技術人員可以理解的是，缺少-細節’使用其他方法'部件、材料等也可以實施本發明。 ί僻詳細示㈣是說縣所皆知的結構、材料或操作，以避免使本發明的各方面變得不明確。 ’、僅日、㈣」t 標記絲相_部件。下面·的目的 ί=ίί 地制與在此所要求保護的發明—致的設備、季統、過程的特別選擇的實施例。 w乐，，死丄1是描述電腦系統12的說明性實施例的方塊圖。圖 ^所μ軌驗實補可以是筆記型電_統，諸如北卡羅萊納 Τ:Ξ i:想乃國）公司銷售的Th_系列個人電腦或是太路a ye卫乍站電腦的其中之—，細，透過後面的說明可以清楚知道，本發明適用於任何資料處理系統。如圖1所示’電腦系，统12至少包括透過處理器匯流排44與唯 (ROM) 40和系統記憶體46轉合的一個系統處理器42。系統處理器幻 200915075 可包括由AMD公司生產的amd處理器線路或者由Intd公司生產的處理器’它為通用處理器，用於在開機時執行儲存在R〇M4〇中的開機碼（b〇〇t code) 41，並且隨後在系統記憶體46中儲存的作業系統和應用軟體的控制下處理資料。經由處理器匯流排44及北橋48，系統處理器42被連接到周邊元件連接界面（PCI)區域匯流排50。 PCI區域匯流排5〇支援包括介面卡和橋接器等多個設備的接入。這樣的設備包括有將電腦系統12連接到LAN的網路介面卡66以及將電腦系統 12連接到顯示器69的顯示介面卡68。PCI區域匯流排50上的通信由pci 區域控制器52來控制，Ρα區域控 52經由記憶體匯流排54又連接到非揮發性隨機存取記憶體（NVRAM) 56cPCI區域控制器52可以經由第二北橋60連接到額外的匯流排和設備。電腦系統12還包括工業標準架構（ISA)匯流排62，ISA匯流排62透過ISA橋接器64耦合到PCI區域匯流排50。連接到iSA匯流排62的輸入 /輸出（I/O)控制器70控制電腦系統12與所接入的週邊設備之間的通信，週邊設備諸如是鍵盤、滑鼠及補機。另外，I/O㈣II 7G經由串列^和並列埠支援電腦系統12與外部的通信。當然，應該可以理解的是，電腦系統U可以由不同的晶片組、不同的匯流排結構以及任何其他合適的替換部件來構建，並且提供如上面所討論一樣的比較或模擬的功能。現在繼續參考圖丨，以及示意地說明了根據本發明實施例的過程的圖2 和圖3。根據本發日㈣至少—個齡實施例，較佳地，可以提供執行下面參考圖1至圖3所說明的額外功能的加密模組72。 / 在本發明的較佳實施例中，較佳地，經過授權的資料在其離開中所示的快閃記憶體W通往硬碟（例如，系統記憶體46 密歡72解密。這意味著，細麵人暫存（快閃 = 並且當f料離開快閃記憶體時，無論其前進 P裡都《破解岔。因此，如圖2所示，在步驟1〇2中，資 =記憶體；在步驟104中，此資料被加密；隨後在步驟刚中^ 田貝枓傳运到硬碟時’較佳地；在步驟1〇8巾，解密該資料。應該可以理 200915075 希望的方式來實現對於資料_外加密；在此該過程至少要確保貧料在NVRAM/快閃記憶體中不容易受到攻擊。在根據本發明的變化實施例，同時參考圖】和圖3，在步驟ιι〇中，加德組72可以將位於56的快閃記憶體和位於石 ^ ^ 相同的加密密鑰。也就是說，加密模組料中，入都使用的公共加密密矯。'經過授權時，隨後在步驟112 中，加密模组72會執行硬碟而不再被加密。另一方面’、馬―+，資料會被直接傳送到位於46的優點，#資料離Η賴m r芯秸硬碟機和快閃記憶體使用公用密輪的 =可:==:r)傳送到快_雜(位於56)時，資的硬46的«是否將要被移動，還是位於姑結合）。因此，現錢人躲’兩者不會像如上所述被邏輯需要授權）。較錢爾i日犧嫌會被解密（即，就是說，最初公壯«鑰包會鮮域猶功能。也時創建第二公共密輪;或;;==，，當第-加密密餘發生改變中斷時創建第二公共麵；或者己髓與硬碟機之·生通信記憶體财_„機之間建立非揮發性暫存最後，在根據本發明的另―實一△/、山鑰。一系統，隨後較佳地，同時移動位1，如果位於46的硬碟被移動到另沒有被寫人硬韻的魏，並_的_記麵。這將會保存任何還也就是說’如果移除硬碟機，在非型的）加密設置繼續工作。建立通信，則創建由不同的體料同的硬碟機之間與硬碟機之間的通=絲動硬碟機期間，保持非揮發性暫存記憶體根據當前的至少—她佳實施例，應當理解的是，本伽包括可以在 200915075 運行合適軟體程式的至少一個通用電腦上被執行的在至少—個積體電路或者至少—個積體電路的° '°這些部件還可以以理解的是’可以以硬體、軟體、或者兩者結合的^^:彳了。因此’可利申’則假定在此所提到並且㈣二=二專包括在文件及其他歧物（包括網路的歧物）ΐ完全地 I括f此作為參考，如同在此對其進行充分闡述—樣。 I全地明，ίΐί針對本㈣讀佳實施_本發明之技雜徵崎具體之說進疒/二此項触之人士 #可林_本發社騎與·下對本發明修改，而該等變更與修改，皆應涵蓋於如下帽專【圖式簡單說明】圖1為一種電腦系統之示意圖； =為用於處理資料加密的第i程之示意圖；以及 _ 3為用於處理龍加密的第二過程之示意圖。電腦匕要元件符號說明】 12 40 ROM 41開機碼 42系統處理器 44處理器匯流排 46系統記憶體 48北橋 50 PCI區域匯流棑 52 PCI區域控制器 54記憶體匯流排 56 NVRAM 60第二北橋 62 ISA匯流排 64 ISA橋接器 66 網路介面卡 200915075 68 顯示介面卡 69 顯示器 70 I/O控制器 72加密模組 102、104、106、108、110、112、114、116 步驟 11

Claims

200915075 十、申請專利範圍： 1· 一種系統，包括：主記憶體；全碟加密硬碟機；非揮發]·生暫存5己.匕體，其儲存未被儲存在戶斤述硬碟機中的資料；以及加密模組，為所述非揮發性暫存記憶體進行資料加密。 I根據巾請專利範_ 1項所述的綠，其中，所述加密模組執行以下動作：广加密進入非揮發性暫存記憶體的資料；以及解密離開非揮發性暫存記憶體的資料。 3·根據申請專利範圍第1項所述的系，统，其中，所述加密模組包括在所述硬碟機和所述非揮發性暫存記憶體中都使用的公共加密密鑰。 4. 根據申請專利範圍第3項所述的系統，其中，所述加密模組用於加密進入非揮發性暫存記憶體的資料。 5. 根據申請專利範圍第4項所述的系統，其中，所述加密模組用於將加密 1' 過的資料從所述非揮發性暫存記憶體傳送到所述硬碟機。 6. 根據申請專利範圍第3項所述的系統，其中：所述公共加密密鑰包括第一加密密鑰， ·以及當所述第一加密密鑰發生改變時’所述加密模組創建第二公共密鑰。 7. 根據申請專利範圍第3項所述的系統，其中：所述公共加密密鑰包括第一加密密鑰；以及當所述非揮發性暫存記憶體與所述硬碟機之間的通信中斷時，所述加密模組創建第二公共密鑰。 12 200915075 8.根據申請專利範圍第3項所述的系統，其中：所述公共加密密鑰包括第一加密密鑰；以及所述非揮發性暫存記憶體 9.根據申請專利範圍第丨項所述的系統，其中，包括快閃記憶體。 ' 10. —種方法，包括下列步驟：提供全碟加密硬碟機；非揮發性暫存記憶體七以及為非揮發㈣存記憶體進行資料加密。 11_根據申請專利範圍第1〇項所述的方法，盆中. ===密，揮發性暫存記憶體中的資料-及 /還匕括解费離開非揮發性暫存記憶體的資料。 12·根據申請專利範圍第10 @ 項所述的方法，其中，所述加密包括提供由硬碟機#非揮發性暫存記憶體都使用的公共加密密錄。 12频述的方法，其巾，所述《包括加密進入非揮發性暫存記憶體的資料。 14. 根據t請專利範圍第13項所述的方法，還包括：將加後'過的賓料從非揮發性暫存記憶體傳制硬碟機。 15. 根據申請專利範圍第12項所述的方法，鮮：公共加密密輪包括第—加密密錄；以及 13 200915075 所述加密還包括當第一加密密錄發生改變時創建第二公共密输。 16·根據申請專利範圍第I2項所述的方法，其中： A共加费密鑰包括第一加密密鍮；以及所揮發㈣存記 17·根據申請專利範圍第12項所述的方法，還包括：移除硬碟機；在非揮發崎存記舰與不_觸機之間建么共加密密鑰包括第一加密密鑰；以及 ° 瞻梅靖_簡都使用的 18==rQW咖意括以下修在移動硬軸間，嶋咖暫存記蝴㈣的通信。 I9·根據申請專利範圍第10項所述的方法，括快閃記憶體。 /、中，非揮發性暫存記憶體包 2〇.種機器可讀的程式儲存設備，，執行-種包括下列步驟的方法:、體化地實現由機器執行的指令程式提供全碟加密硬碟機；將未被儲存在硬碟機中的資為非揮發性键缝_行資料=鱗舰暫存記憶體中；以及