国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      用于保護數(shù)據(jù)免受未授權(quán)訪問的系統(tǒng)和方法

      文檔序號:6612456閱讀:346來源:國知局
      專利名稱:用于保護數(shù)據(jù)免受未授權(quán)訪問的系統(tǒng)和方法
      技術(shù)領域
      本發(fā)明涉及一種用于保護數(shù)據(jù)處理系統(tǒng)的用戶的數(shù)據(jù)免受該數(shù)據(jù)處理
      系統(tǒng)的另一用戶的未^t;j5l訪問的方法,
      背景技術(shù)
      網(wǎng)格計算和效用計算(utility computing)向遠程用戶提供了在多個用 戶之間共享的資源。限制使用網(wǎng)格(特別A^出單個企業(yè)的內(nèi)部網(wǎng)格)的 一個問題在于來自網(wǎng)格節(jié)點處的計算的數(shù)據(jù)可以由相同網(wǎng)格資源的后續(xù) 用戶讀取,特別是在由不同用戶順序分配和使用網(wǎng)格節(jié)點或網(wǎng)格節(jié)點的邏 輯分區(qū)(例如虛擬機)的情況下。當從用戶切換到用戶時,所期望的安全 特征是清除機密數(shù)據(jù)的資源。如果沒有關(guān)于用戶的計算的信息被泄露給獲 得相同資源的下一用戶的這一情況將是有益的。
      可信計算組織(Trusted Computing Group, TCG)規(guī)范體系結(jié)構(gòu)總 覽版本1.2, 2004年4月28日,給出了對TCG目標和體系結(jié)構(gòu)的介紹。 其定義了4吏用啟用了可信平臺才莫塊(Trusted Platfrom Modules, TPM) 的平臺的預期場景、順應性過程以及有關(guān)制造和支持過程的預期建議。
      因此,希望揭:供一種這樣的方法,即該方法呈遞數(shù)據(jù)處理系統(tǒng)中一個 用戶的數(shù)據(jù)而該數(shù)據(jù)對于此系統(tǒng)中另 一用戶是隱藏的和不可獲得的,

      發(fā)明內(nèi)容
      根據(jù)本發(fā)明的方面的實施例,提供了一種用于保護用戶數(shù)據(jù)免受未授 權(quán)訪問的方法,所述方法包括在數(shù)據(jù)處理系統(tǒng)上的以下步驟維護以加密 形式存儲在第二存儲器上的所述用戶數(shù)據(jù),當使用操作系統(tǒng)加載器加載操 作系統(tǒng)時在第一磁盤密鑰傳輸步驟中從第一用戶系統(tǒng)接收僅當已經(jīng)為所
      述第 一用戶系統(tǒng)啟動了所述^作系統(tǒng)加載器時才可由所述數(shù)據(jù)處理系統(tǒng)訪 問的對稱用戶密鑰,其中接收的所M稱用戶密鑰被密封到所述操作系統(tǒng) 加載器和對應于所述第一磁盤密鑰傳輸步驟中的所述第一用戶系統(tǒng)的用戶
      標識符的組合中;如果已經(jīng)為所述第一用戶系統(tǒng)啟動了所述操作系統(tǒng)加載 器,則訪問所述對稱用戶密鑰;在用戶數(shù)據(jù)解密步驟中使用所述對稱用戶 密鑰來解密所述用戶數(shù)據(jù),在易失性存儲器中維護所述對稱用戶密鑰。該 方法的優(yōu)點在于可用加密形式傳輸用戶數(shù)據(jù),由此4吏未授權(quán)訪問受阻。 通過這樣的機制保護了對稱用戶密鑰,即該機制需要配置為授權(quán)訪問用戶 數(shù)據(jù)的用戶而啟動的操作系統(tǒng)加載器。這允許數(shù)據(jù)處理系統(tǒng)為多個用戶運 行操作系統(tǒng),但卻使這些用戶對其他用戶的用戶數(shù)據(jù)的訪問受阻。其還可
      作系統(tǒng)。舉例來說,這樣的操作者系統(tǒng)驅(qū)動的啟動可用于提供負載平衡的 功能。
      優(yōu)選地,本發(fā)明的實施例進一步包括用于從所述用戶系統(tǒng)接收所述用 戶數(shù)據(jù)的用戶數(shù)據(jù)傳輸步驟。以這樣的方式,所述用戶可以將其用戶映《象 (user image)傳輸給任何數(shù)據(jù)處理系統(tǒng)以便為該用戶系統(tǒng)初始化操作系 統(tǒng)。
      理想地,本發(fā)明的實施例進一步包括用于與所述用戶約定更新的用戶 密鑰的密鑰一致性協(xié)議(key agreement protocol)步驟。以這樣的方式, 所述用戶系統(tǒng)和所述數(shù)據(jù)處理系統(tǒng)均擁有所述更新的用戶密鑰。 優(yōu)選地,所述操作系統(tǒng)加載器包括引導加載器(bootloader)。 理想地,在本發(fā)明的實施例中,在所述第一磁盤密鑰傳輸步驟中,依 照TCG規(guī)范體系結(jié)構(gòu),通過使用第一可信平臺模塊在第一密封步驟中創(chuàng) 建所述密封。
      優(yōu)選地,本發(fā)明的實施例進一步包括用于將所述對稱用戶密鑰密封到 所述^Mt系統(tǒng)加載器和對應于所述第一用戶系統(tǒng)的用戶標識符的組合中的 第二密封步驟。理想地,進行笫二磁盤密鑰傳輸步驟用于將密封到所述操 作系統(tǒng)加載器和所述用戶標識符的組合中的對稱用戶密鑰傳輸給操作者系
      統(tǒng)。優(yōu)選地,進行啟動命令步驟用于從操作者系統(tǒng)接收被密封到所述操作 系統(tǒng)加載器和所述用戶標識符的組合中的用戶密鑰。以這樣的方式,當通 過耦合于其上的操作系統(tǒng)進行初始化時,所述數(shù)據(jù)處理系統(tǒng)便關(guān)閉和重新 引導,從而使得從用戶系統(tǒng)接收到的用戶數(shù)據(jù)的可見范圍對于其它用戶系 統(tǒng)而言,皮縮小了。
      理想地,進行用戶重新引導命令步驟以便根據(jù)來自所述第一用戶系統(tǒng) 的重新引導命令而重新引導。當所述第 一用戶系統(tǒng)初始化所述重新引導時, 其在此處隨密封的用戶密鑰所加密的用戶映像啟動。由此,可以在這樣的 方式下為所述數(shù)據(jù)處理系統(tǒng)先前的用戶進行重新引導,即在該方式下,從 所述先前的用戶接收到的機密數(shù)據(jù)對其他用戶是不可見的。
      優(yōu)選地,進行操作者重新引導命令步驟以便根據(jù)來自所述操作者系統(tǒng) 的重新引導命令而重新引導。當所述操作系統(tǒng)向所述數(shù)據(jù)處理系統(tǒng)發(fā)布重 新引導命令時,其還向所述數(shù)據(jù)處理系統(tǒng)傳送所述密封的用戶密鑰。由于 僅當在所述數(shù)據(jù)處理系統(tǒng)上加載了這樣的配置時才可以拆開所述用戶密 鑰,即已經(jīng)將所述密鑰密封到所述配置并且所述配置對應于特定用戶,因 此利用所述密鑰加密的用戶數(shù)據(jù)可以不^皮其他用戶訪問。
      根據(jù)本發(fā)明的進一步的實施例,提供了一種用于保護用戶數(shù)據(jù)免受未
      授權(quán)訪問的方法,所述方法包括在第一用戶系統(tǒng)上的步驟在第一磁盤密 鑰傳輸步驟中,向數(shù)據(jù)處理系統(tǒng)傳輸僅當已經(jīng)為所述第一用戶系統(tǒng)啟動了 操作系統(tǒng)加載器時才可由所述數(shù)據(jù)處理系統(tǒng)訪問的對稱用戶密鑰,所傳輸 的對稱用戶密鑰被密封到所述操作系統(tǒng)加載器和對應于所述第一磁盤密鑰 傳輸步驟中的所述第一用戶系統(tǒng)的用戶標識符的組合中,從而使得所述數(shù) 據(jù)處理系統(tǒng)在已經(jīng)為所述第 一用戶系統(tǒng)啟動了所述IMt系統(tǒng)加載器的情況 下訪問所M稱用戶密鑰,在用戶數(shù)據(jù)解密步驟中使用所述對稱用戶密鑰 解密所述用戶數(shù)據(jù),維護以加密形式存儲在第二存儲器上的所述用戶數(shù)據(jù), 以及在易失性存儲器中維護所^稱用戶密鑰。
      根據(jù)本發(fā)明的另一方面的實施例,提供了一種包括計算機可讀介質(zhì)的 計算機程序產(chǎn)品,所述計算機可讀介質(zhì)含有可由處理器執(zhí)行以實現(xiàn)上文所
      述方法的程序指令。
      本發(fā)明的另 一方面的優(yōu)點對應于本發(fā)明的第 一方面的優(yōu)點。


      借助于例子,現(xiàn)在將參照附圖,其中
      圖1是說明了耦合于第一用戶系統(tǒng)和操作者系統(tǒng)的數(shù)據(jù)處理系統(tǒng)的示 意圖2是為用戶引導操作系統(tǒng)的方法的示意性說明; 圖3是為用戶重新引導操作系統(tǒng)的方法的示意性iJL明; 圖4是由操作者系統(tǒng);^的引導方法的示意性說明;以及 圖5是由用戶系統(tǒng)發(fā)起的引導方法的示意性說明。
      具體實施例方式
      圖1是說明了耦合于第一用戶系統(tǒng)10和操作者系統(tǒng)30的數(shù)據(jù)處理系 統(tǒng)20的示意圖。第一用戶系統(tǒng)10包括連接至第一控制器單元11和第一存 儲單元13的第一處理器12,第一存儲單元13中存有密封的密鑰14。經(jīng)由 第一網(wǎng)絡連接1,第一處理器12耦合于作為數(shù)據(jù)處理系統(tǒng)20的一部分的 第二處理器22。第二處理器22連接至第二控制器單元21、 RAM24和第 二存儲器23。第二存儲器23包括第一用戶映像25和第二用戶映像26。經(jīng) 由第二網(wǎng)絡連接2,數(shù)據(jù)處理系統(tǒng)20耦合于第三處理器32。第三處理器 32是^作者系統(tǒng)30的一部分并且連接至其中存有密封的密鑰34的第三存 儲器33。在數(shù)據(jù)處理系統(tǒng)20上,可以執(zhí)行本發(fā)明的實施例用于保護用戶 數(shù)據(jù)免受未授岸又訪問。
      本發(fā)明的實施例可以支持TCG服務。
      第一服務稱為"證實(attestation),,。證實允許用戶遠程檢驗配置的完 整性。因此,證實可以用于檢驗出配置在硬盤上僅保存了加密數(shù)據(jù),以便 關(guān)機迫使密鑰丟失。
      第二服務是密封。密封是由計算平臺提供的操作,其能夠?qū)C密信息
      密封到已經(jīng)被加載在該計算平臺上的配置中。換句話說,機密信息僅在其 已經(jīng)被密封到的配置實際存在于該計算平臺上時才可被訪問。該特征可以 用于保證機密信息在啟動期間不被j者如不同的用戶這樣的另 一配置獲得。
      保護連續(xù)機密性的主要機制在于使用密鑰加密硬盤,并且當保存在該 硬盤上引導的任何映像時,僅在易失性存儲器中保存密鑰。 一旦關(guān)閉機器, 就會從該易失性存儲器中擦除密鑰。因而,磁盤上的數(shù)據(jù)對后續(xù)用戶將是 不可見的。
      用戶具有個人配置映《象,例如,包括含有os的加密分區(qū)、應用和加 密的數(shù)據(jù)。該映像僅在客戶同意并且檢驗出系統(tǒng)的基本配置(例如硬件、
      BIOS、引導加載器)提供了特定的完整性保證(例如,在"純,,硬件上而不 是在仿真器上啟動該映像)的情況下才可啟動。這可以包括在不同的數(shù)據(jù) 處理系統(tǒng)上啟動相同的映l象。為了^t于連續(xù)重用,以及稍后由相同的用戶 重用,數(shù)據(jù)處理系統(tǒng)可以提供分派給不同用戶的邏輯加密磁盤分區(qū)。用戶 到分區(qū)的映射可以是公用的,并且由用戶ID到磁盤分區(qū)索引來確定,但 是對分區(qū)的訪問將需要密鑰,并且由上述方法控制。然后,向用戶所收取 的費用可以是使用時間以及用于保留安全磁盤分區(qū)的時間和大小的函數(shù)。
      本發(fā)明的實施例可以支持TPM的服務以便在引導時增強數(shù)據(jù)安全性。 這包括
      用戶與"他的"數(shù)據(jù)處理系統(tǒng)對話; lt據(jù)處理系統(tǒng)引導加密的OS; 僅數(shù)據(jù)處理系統(tǒng)獲得密鑰Kul;
      數(shù)據(jù)處理系統(tǒng)不在硬盤或其它非易失性存儲器上存儲密鑰Kul; 視情況,數(shù)據(jù)處理系統(tǒng)僅在用戶許可時啟動OS映寸象。 在圖2中,說明了安裝方法的步驟。操作者系統(tǒng)30在啟動命令步驟 50中向數(shù)據(jù)處理系統(tǒng)20發(fā)布啟動指令。第一用戶系統(tǒng)10擁有專用和公用 密鑰對,包括公鑰pubm和私鑰privm。第一用戶系統(tǒng)10在公鑰傳輸步驟 51中將其^H^ pubm發(fā)送給數(shù)據(jù)處理系統(tǒng)20??梢杂上虻谝挥脩粝到y(tǒng)10 通知關(guān)于接收到的啟動命令的數(shù)據(jù)處理系統(tǒng)20 ^該步驟。還有可能是第一用戶系統(tǒng)10已經(jīng)指示操作者系統(tǒng)30發(fā)布啟動命令并且在其后發(fā)送乂^ pubm。第一用戶系統(tǒng)10還在用戶映像傳輸步驟52中將用戶數(shù)據(jù)Dm (也 稱為第 一用戶映像25 )發(fā)送給數(shù)據(jù)處理系統(tǒng)20。在接收到公鑰pubm和用 戶數(shù)據(jù)Dm后,數(shù)據(jù)處理系統(tǒng)20使用操作系統(tǒng)加載器(例如,引導加載器 BL1)進行操作系統(tǒng)加栽步驟53。引導加載器BL1可以從公用資源獲得。 以這樣的方式,使用所接收到的用戶數(shù)據(jù)Dxn啟動用于第一用戶系統(tǒng)10的 操作系統(tǒng)。操作系統(tǒng)加載步驟53的結(jié)果是運行操作系統(tǒng)映像OSm(D),且 第一用戶映像25存儲在第二存儲器23中。已經(jīng)利用第一用戶映像25定制 了操作系統(tǒng)映像OSm(D)。此后數(shù)據(jù)處理系統(tǒng)20進行磁盤密鑰生成步驟54。 其中操作系統(tǒng)映像OSm(D)使用接收到的第 一用戶系統(tǒng)10的乂/H^ pubm生 成對稱密鑰Km并且加密該密鑰Km。然后在第一磁盤密鑰傳輸步驟55中 將得到的加密對稱密鑰Km發(fā)送給第一用戶系統(tǒng)lO,在那里,可以使用其 私鑰privm在磁盤密鑰解密步驟61中將其拆開。操作系統(tǒng)映像OSm(D)進 行操作,此時其在第一磁盤加密步驟56中使用對稱密鑰Km加密其第二存 儲器23。由于用戶數(shù)據(jù)Dm已經(jīng)存儲在該第二存儲器23中,因此還利用 對稱密鑰Km對其進行加密。對稱密鑰Km保存在RAM 24中。
      操作者系統(tǒng)30可以在稍后的任何時刻執(zhí)行關(guān)閉命令步驟57,其中, 操作者系統(tǒng)30向數(shù)據(jù)處理系統(tǒng)20發(fā)送關(guān)閉命令。于是,數(shù)據(jù)處理系統(tǒng)20 進行實現(xiàn)關(guān)閉的關(guān)閉步驟58,在此期間停止操作系統(tǒng)映像OSm(D),并且 刪除RAM 24的內(nèi)容。此后,數(shù)據(jù)處理系統(tǒng)20不再具備對對稱密鑰Km 的訪問。然而,第一用戶系統(tǒng)10具備對對稱密鑰Km的訪問,這意味著僅 有第 一用戶系統(tǒng)10可以通過使用所接收到和拆開的對稱密鑰Km來訪問操 作系統(tǒng)映像OSm(D)。這也是數(shù)據(jù)處理系統(tǒng)20故障或休眠時的情況。
      該方法承擔著操作系統(tǒng)映像OSm(D)可能可由操作者系統(tǒng)30或由第二 用戶訪問的風險。因為在沒用密碼保護的情況下傳輸用戶數(shù)據(jù)Dm,所以 這樣的第二用戶可以在用戶映像傳輸步驟52期間訪問該用戶數(shù)據(jù)Dm。
      在稍后的任何時刻,操作者系統(tǒng)30均可以通過向數(shù)據(jù)處理系統(tǒng)20發(fā) 送重新引導命令來執(zhí)行操作者重新引導命令步驟59,于是,其可以在第二
      磁盤密鑰傳輸步驟60中從第一用戶系統(tǒng)IO接M稱密鑰Km??梢杂傻?一用戶系統(tǒng)10應數(shù)據(jù)處理系統(tǒng)20的要求,或者由第 一用戶系統(tǒng)10在該第 一用戶系統(tǒng)10已經(jīng)通過請求操作者系統(tǒng)30執(zhí)行操作者重新引導命令步驟 59來發(fā)起重新引導操作之后,再次執(zhí)行該步驟。然后,數(shù)據(jù)處理系統(tǒng)20 進行磁盤解密步驟62,其中,數(shù)據(jù)處理系統(tǒng)20使用接收到的對稱密鑰Km 來解密第二存儲器23并且因此獲得解密的操作系統(tǒng)映像OSm(D)。故而, 數(shù)據(jù)處理系統(tǒng)20可以為第一用戶系統(tǒng)10重新啟動操作系統(tǒng)映像OSm(D)。 在圖3中,說明了一種用于安裝使用密封的對稱密鑰Km的^作系統(tǒng) 映寸象的方法。
      在第一密封步驟48中,第一用戶系統(tǒng)10生成對稱密鑰Km并且將該 對稱密鑰Km密封到配置BLl+Ul。該步驟48實現(xiàn)了僅在為第一用戶系 統(tǒng)10啟動了引導加載器BL1的情況下才可以訪問對稱密鑰Km。由此, 可以使用TPM規(guī)范的機制,其被稱為密封。因此,為第一用戶系統(tǒng)10裝 備能夠進行這樣的密封的TPM模塊是有利的。該步驟48的結(jié)果是密封的 對稱密鑰Km,其在下面也被稱為密封消息。然后,第一用戶系統(tǒng)10在第 一磁盤密鑰傳輸步驟49中將該密封消息發(fā)送給操作者系統(tǒng)30。
      一旦操作者系統(tǒng)30進行啟動命令步驟50,其便向數(shù)據(jù)處理系統(tǒng)20轉(zhuǎn) 發(fā)密封消息。在那里,通過滿足這樣的配置,即為第一用戶系統(tǒng)10啟動了 引導加載器BL1,在啟封步驟63中開啟密封消息。結(jié)果,數(shù)據(jù)處理系統(tǒng) 20獲得對稱密鑰Km。換句話說,數(shù)據(jù)處理系統(tǒng)20為第一用戶系統(tǒng)10啟 動可以再次從公用源獲得的引導加栽器BL1。
      第一用戶系統(tǒng)10還使用對稱密鑰Km來加密用戶映像Dm。為了使數(shù) 據(jù)處理系統(tǒng)20為第一用戶系統(tǒng)10啟動操作系統(tǒng),第一用戶系統(tǒng)10發(fā)送加 密的用戶映4象Dm給數(shù)據(jù)處理系統(tǒng)20。
      在加密的用戶映像傳輸步驟64中, 一旦第一用戶系統(tǒng)10已經(jīng)將加密 的用戶映像Dm傳輸給數(shù)據(jù)處理系統(tǒng)20,數(shù)據(jù)處理系統(tǒng)20就使用啟封的 對稱密鑰Km進行用戶數(shù)據(jù)解密步驟65,從而獲得解密的用戶映像Dxn。 在用戶映像存儲步驟66中,數(shù)據(jù)處理系統(tǒng)20在第二存儲器23中存儲用戶
      映像Dxn,并且在第一磁盤密鑰加密步驟56中使用對稱密鑰Km加密用戶 映像Dm。
      由于已經(jīng)以加密形式傳輸了用戶映〗象Dm,因此該用戶映l象Dm可以 含有機密信息,在沒有對稱密鑰Km的情況下,第二用戶看不見或不可訪 問該機密信息。結(jié)果再次是運行的操作系統(tǒng)映像OSm(D),且第一用戶映 像25存儲在第二存儲器23中。已經(jīng)利用第一用戶映像25定制了操作系統(tǒng) 映像OSm(D)。
      在圖3中用羅馬數(shù)字I表示以上引導過程。
      羅馬數(shù)字II表示生成會話密鑰km,(也稱為更新的用戶密鑰)的任選 過程。通過利用密鑰一致性協(xié)議步驟67中的密鑰一致性協(xié)議,可以生成對 稱會話密鑰km,。因此,第一用戶系統(tǒng)10和數(shù)據(jù)處理系統(tǒng)20其二者均擁 有對稱會話密鑰km,。在數(shù)據(jù)處理系統(tǒng)20處,引導加載器BL1使用對稱 會話密鑰kur加密用戶映像Dm。
      在圖4中,說明了在由操作者系統(tǒng)30初始化時,關(guān)閉和重新引導操作 系統(tǒng)映像OSm(D)的過程。希望使得數(shù)據(jù)處理系統(tǒng)20對于先前已經(jīng)使用了 該數(shù)據(jù)處理系統(tǒng)20的任"f可用戶系統(tǒng)10能夠以這樣的方式重新引導,即在 該方式下,減少從該用戶系統(tǒng)IO接收到的用戶數(shù)據(jù)Dm對于其它用戶系統(tǒng) 的可見性。
      操作者系統(tǒng)30可以執(zhí)行關(guān)閉命令步驟57,其中,操作者系統(tǒng)30發(fā)送 關(guān)閉命令給數(shù)據(jù)處理系統(tǒng)20。此處,數(shù)據(jù)處理系統(tǒng)20在這樣的狀態(tài)下啟 動關(guān)閉過程,即在該狀態(tài)下,其具有存儲在第二存儲器23中的用戶映l象 Dm,其中已經(jīng)通過對稱會話密鑰kur加密了用戶映像Dm。如果之前并未 使用密鑰一致性協(xié)議步驟67,則已經(jīng)通過對稱用戶密鑰Km加密了用戶映
      在笫二密封步驟69中,引導加載器BL1將對稱會話密鑰km,密封到 配置BL1 + U1,即僅當為笫一用戶系統(tǒng)10啟動了引導加載器BL1時才可 訪問該對稱會話密鑰km,。在第二密封的磁盤密鑰傳輸步驟70中,數(shù)據(jù)處 理系統(tǒng)20的引導加載器BL1向操作者系統(tǒng)30傳遞密封的對稱會話密鑰km,。在圖4中用羅馬數(shù)字III表示該關(guān)閉過程。
      接下來,如圖4中由羅馬數(shù)字IV表示的,描述了在通過操作者系統(tǒng) 30初始化時,操作系統(tǒng)映像OSm(D)的重新引導。可能會有這樣的安排, 在其中,數(shù)據(jù)處理系統(tǒng)20可以選擇啟動什么映像而無需詢問第 一用戶系統(tǒng) 10。舉例來說,在聯(lián)網(wǎng)環(huán)境中,其中若干用戶系統(tǒng)在若干數(shù)據(jù)處理系統(tǒng)上 運行若干操作系統(tǒng)映像,用于該聯(lián)網(wǎng)環(huán)境的操作者系統(tǒng)可以盡力進行負載 平衡判定,以便將負載重新分發(fā)到各個數(shù)據(jù)處理系統(tǒng)上。在這樣的情況下, 可以減少為一個用戶運行的操作系統(tǒng)映像的數(shù)目(例如,如果該用戶具有 較少的有效運行的過程),但卻可以增加用于另一用戶系統(tǒng)的操作系統(tǒng)映 像的數(shù)目(例如,如果該用戶需要更多的操作系統(tǒng)映像來操作其過程)。 這類負載平衡可以在不涉及用戶系統(tǒng)的情況下實施,即由操作者系統(tǒng)自行 實施。
      當操作者系統(tǒng)30決定重新引導引導加載器BL1時,其在此處隨含有 用戶映像Dm的加密的第二存儲器23啟動,其中已經(jīng)由對稱會話密鑰kxn, 對用戶映像Dm進行了加密。已經(jīng)將對稱會活密鑰kur密封到BL1 + Ul, 并且可以在操作者系統(tǒng)30的PCR (即平臺配置寄存器)中維護該密封。 將用戶Ul的身份作為密封的成分添加到PCR確保了^Mt者系統(tǒng)30可以 在任何時候獲得該用戶身份。由于僅當BL1 + Ul被正確地存儲在PCR中 時才可以檢索/啟封對稱會話密鑰km,,因此操作者系統(tǒng)30還可以請求對 應的PCR值并且因而確i/J獲得已經(jīng)存儲在PCR中的用戶IDU1。這樣, 操作者系統(tǒng)30可以在任何需要的時候標識用戶。
      操作者系統(tǒng)30在啟動命令步驟50中向數(shù)據(jù)處理系統(tǒng)20發(fā)布啟動命 令。操作者系統(tǒng)30還向數(shù)據(jù)處理系統(tǒng)20傳遞被密封到(BL1+U1)的對 稱會活密鑰km,。在那里,通過滿足這樣的配置,即為第一用戶系統(tǒng)10啟 動了引導加載器BL1,在啟封步驟63中開啟密封的對稱會話密鑰kur。結(jié) 果,數(shù)據(jù)處理系統(tǒng)20獲得對稱會話密鑰km,。換句話說,數(shù)據(jù)處理系統(tǒng)20 為第一用戶系統(tǒng)10啟動可以再次從z^用源獲得的引導加載器BLl。
      使用啟封的對稱會話密鑰km,,數(shù)據(jù)處理系統(tǒng)20進行用戶數(shù)據(jù)解密步
      驟65,從而獲得解密的用戶映像Dm。
      圖5是由用戶系統(tǒng)^的引導方法的示意性說明。目的是使得數(shù)據(jù)處 理系統(tǒng)20能夠以這樣的方式為先前已經(jīng)使用了該數(shù)據(jù)處理系統(tǒng)20的任何 用戶U重新引導,即在該方式下,從該用戶U接收到的機密數(shù)據(jù)對于其他 用戶來說是不可見的。在圖5中羅馬數(shù)字Va和Vb分別表示由用戶系統(tǒng)發(fā) 起的可選的引導方法。
      當?shù)?一用戶系統(tǒng)10初始化重新引導時,其在此處隨含有用戶映像Dm 的加密的第二存儲器23啟動,其中已經(jīng)由對稱會活密鑰kur對用戶映像 Dm進行了加密。已經(jīng)將對稱會話密鑰km,密封到BL1+U1,并且可以在操 作者系統(tǒng)30的PCR (即平臺配置寄存器)中維護該密封。
      參照由羅馬數(shù)字Va所指示的方法,重新引導命令是在第一用戶系統(tǒng) IO處發(fā)起的,并且在重新引導命令步驟71中將其從那里傳輸至操作系統(tǒng) 30。作為響應,操作系統(tǒng)30在重新引導命令步驟59中向數(shù)據(jù)處理系統(tǒng)20 發(fā)布重新引導命令。操作系統(tǒng)30還向數(shù)據(jù)處理系統(tǒng)20傳遞被密封到 (BL1+U1)的對稱會活密鑰km,。在那里,通過滿足這樣的配置,即為第 一用戶系統(tǒng)10啟動了引導加載器BL1,在啟封步驟63中拆開密封的對稱 會話密鑰kur。使用啟封的對稱會活密鑰km,,數(shù)據(jù)處理系統(tǒng)20進行用戶 數(shù)據(jù)解密步驟66,從而獲得解密的用戶映像Dm。
      參照由羅馬數(shù)字Vb所指示的方法,當重新引導數(shù)據(jù)處理系統(tǒng)20時, 發(fā)起密封參數(shù)c并且在密封參數(shù)廣播步驟73中將其傳輸至用戶系統(tǒng)10。 作為響應,用戶系統(tǒng)10執(zhí)行第三密封步驟74,其中密封參數(shù)c用于密封 對稱會話密鑰kur,對稱M密鑰kxn,被密封到配置(BLl+Ul+c)。如上 文參照羅馬數(shù)字Va所指示的方法所描述的,當重新引導命令在重新引導 命令步驟71中由用戶系統(tǒng)10 J^并且被傳輸至操作系統(tǒng)30時,密封的對 稱會話密鑰kur也被傳輸至操作系統(tǒng)30。作為響應,操作系統(tǒng)30在重新引 導命令步驟59向數(shù)據(jù)處理系統(tǒng)20發(fā)布重新引導命令。操作系統(tǒng)30還向數(shù) 據(jù)處理系統(tǒng)20傳送凈皮密封到(BLl+Ul+c)的對稱會話密鑰km,。在那里, 通過滿足這樣的配置,即為第一用戶系統(tǒng)10啟動了引導加載器BL1,在啟 封步驟63中開啟密封的對稱會話密鑰km,。使用啟封的對稱會話密鑰km,, 數(shù)據(jù)處理系統(tǒng)20進行用戶數(shù)據(jù)解密步驟66 ,從而獲得解密的用戶映像Dxn。 在這種情況下,操作系統(tǒng)30不能夠?qū)ΨQ會話密鑰kur密封到配置 (BLl+Ul+c),即使其具有密封參數(shù)(c),因為其僅具有密封配置中的對 稱會話密鑰km,,但卻沒有辦法開啟該密封。
      本發(fā)明的實施例可以用于如上所述的各個數(shù)據(jù)處理系統(tǒng)或者用于數(shù)據(jù) 處理系統(tǒng)的邏輯分區(qū),其中所述邏輯分區(qū)對于運行在同 一數(shù)據(jù)處理系統(tǒng)上 的其它邏輯分區(qū)是安全的。每個邏輯分區(qū)使用上述方法之一,并且后續(xù)重 用是具有邏輯分區(qū)的。
      本發(fā)明的實施例還可以一般化為這樣的情況,即用戶出于并行計算的 目的而訪問一組數(shù)據(jù)處理系統(tǒng)。該組數(shù)據(jù)處理系統(tǒng)繼而包括一組安全的數(shù) 據(jù)處理系統(tǒng)。在這種情況下,為了訪問用戶數(shù)據(jù),可以使用中央"客戶控制 (customer control)"數(shù)據(jù)處理系統(tǒng)。與為了訪問用戶數(shù)據(jù)而解鎖該組數(shù)據(jù) 處理系統(tǒng)有關(guān)的機密信息可以存儲在客戶控制數(shù)據(jù)處理系統(tǒng)上。從更廣的 -見角來看,用戶可以解鎖他的控制數(shù)據(jù)處理系統(tǒng),而該控制數(shù)據(jù)處理系統(tǒng) 然后為該用戶解鎖計算數(shù)據(jù)處理系統(tǒng)。
      另一種一般化是提供一種在數(shù)據(jù)處理系統(tǒng)處的安全掛起操作,其中將 用戶的專用數(shù)據(jù)寫入磁盤,并且從存儲器中清除該專用數(shù)據(jù),從存儲器中 移除有關(guān)密鑰的所有信息,并且然后可以將該數(shù)據(jù)處理系統(tǒng)或邏輯分區(qū)順 次重用于使用相同OS的另一用戶。這可以通過在存儲器的預定部分存儲
      已經(jīng)參照被實現(xiàn)為引導加載器BL1的操作系統(tǒng)加載器而描述了本發(fā)明 的實施例。當然,本發(fā)明并不限于此并且可以選擇任何其它適當?shù)牟僮飨?統(tǒng)加載器來實現(xiàn)該目的。
      可以部分或全部以軟件或硬件或其組合的方式來實施本發(fā)明的實施 例。以硬件實施時,其可以由一種用于保護數(shù)據(jù)免受未授權(quán)訪問的裝置來 實現(xiàn)。以軟件實施時,其可以由計算積一呈序產(chǎn)品來實現(xiàn)??梢栽谟嬎銠C可 讀介質(zhì)上提供該計算^4呈序產(chǎn)品,該計算機可讀介質(zhì)含有可由計算機執(zhí)行
      以實現(xiàn)本發(fā)明的方法方面的實施例的步驟的軟件指令。舉例來說,計算機
      可讀介質(zhì)可以是CD-ROM、 DVD、閃存卡、硬盤,或者任何適合的計算 才幾可讀介質(zhì),例如網(wǎng)絡內(nèi)的存儲介質(zhì)。
      以上已經(jīng)完全借助于例子描述了本發(fā)明,并且可以在本發(fā)明的范圍內(nèi) 進行細節(jié)上的修改。
      可以獨立地或者以任何適當?shù)慕M合的方式提供本說明書中所公開的每 個特征,并且在適當?shù)膱龊?,以這樣的方式提供權(quán)利要求和附圖。
      權(quán)利要求
      1.一種用于保護用戶數(shù)據(jù)免受未授權(quán)訪問的方法,所述方法包括在數(shù)據(jù)處理系統(tǒng)上的以下步驟-維護以加密形式存儲在第二存儲器上的所述用戶數(shù)據(jù),-當使用操作系統(tǒng)加載器加載操作系統(tǒng)時在第一磁盤密鑰傳輸步驟中從第一用戶系統(tǒng)接收僅當已經(jīng)為所述第一用戶系統(tǒng)啟動了所述操作系統(tǒng)加載器時才可由所述數(shù)據(jù)處理系統(tǒng)訪問的對稱用戶密鑰,其中接收的所述對稱用戶密鑰被密封到所述操作系統(tǒng)加載器和對應于所述第一磁盤密鑰傳輸步驟中的所述第一用戶系統(tǒng)的用戶標識符的組合中;如果已經(jīng)為所述第一用戶系統(tǒng)啟動了所述操作系統(tǒng)加載器,則訪問所述對稱用戶密鑰;在用戶數(shù)據(jù)解密步驟中使用所述對稱用戶密鑰解密所述用戶數(shù)據(jù),在易失性存儲器中維護所述對稱用戶密鑰。
      2. 根據(jù)權(quán)利要求l的方法,其進一步包括用戶數(shù)據(jù)傳輸步驟,用于從 所述第 一用戶系統(tǒng)接收所述用戶數(shù)據(jù)。
      3. 根據(jù)權(quán)利要求l的方法,其進一步包括密鑰一致性協(xié)議步驟,用于 與所述用戶約定更新的用戶密鑰。
      4. 根據(jù)權(quán)利要求l的方法,其中所述操作系統(tǒng)加載器包括引導加載器。
      5. 根據(jù)權(quán)利要求l的方法,其中,在所述第一磁盤密鑰傳輸步驟中, 依照可信計算組織規(guī)范體系結(jié)構(gòu),通過使用第一可信平臺模塊,已經(jīng)在第 一密封步驟中創(chuàng)建了所述密封。
      6. 根據(jù)權(quán)利要求l的方法,其進一步包括第二密封步驟,用于將所述 對稱用戶密鑰密封到所述操作系統(tǒng)加載器和對應于所述第 一用戶系統(tǒng)的所 述用戶標識符的組合中。
      7. 根據(jù)權(quán)利要求6的方法,其進一步包括第二磁盤密鑰傳輸步驟,用 于向操作者系統(tǒng)傳輸被密封到所述操作系統(tǒng)加栽器和所述用戶標識符的組合中的用戶密鑰。
      8. 根據(jù)權(quán)利要求6的方法,其進一步包括啟動命令步驟,用于從操作 者系統(tǒng)接收被密封到所述操作系統(tǒng)加載器和所述用戶標識符的組合中的對 稱用戶密鑰。
      9. 根據(jù)權(quán)利要求8的方法,其進一步包括用戶重新引導命令步驟,用 于根據(jù)來自所述第 一用戶系統(tǒng)的重新引導命令進行重新引導。
      10. 根據(jù)權(quán)利要求8的方法,其進一步包括操作者重新引導命令步驟, 用于根據(jù)來自所述操作者系統(tǒng)的重新引導命令進行重新引導。
      11. 一種用于保護用戶數(shù)據(jù)免受未授權(quán)訪問的方法,所述方法包括在 第一用戶系統(tǒng)上的步驟畫在第一磁盤密鑰傳輸步驟中,向數(shù)據(jù)處理系統(tǒng)傳輸僅當已經(jīng)為所述 第一用戶系統(tǒng)啟動了系統(tǒng)加載器時才可由所述數(shù)據(jù)處理系統(tǒng)訪問的對 稱用戶密鑰,所傳輸?shù)膶ΨQ用戶密鑰被密封到所述操作系統(tǒng)加載器和對應 于所述第 一磁盤密鑰傳輸步驟中的所述第 一用戶系統(tǒng)的用戶標識符的組合 中,從而使得所述數(shù)據(jù)處理系統(tǒng)在已經(jīng)為所述第 一用戶系統(tǒng)啟動了所述操 作系統(tǒng)加載器的情況下訪問所述對稱用戶密鑰,在用戶數(shù)據(jù)解密步驟中使 用所述對稱用戶密鑰解密所述用戶數(shù)據(jù),維護以加密形式存儲在第二存儲 器中的所迷用戶數(shù)據(jù),以及在易失性存儲器中維護所述對稱用戶密鑰。
      12. 計算機系統(tǒng),其包括用于實現(xiàn)根據(jù)權(quán)利要求1至11中的任何一 項的方法的裝置。
      全文摘要
      本發(fā)明涉及一種用于保護用戶數(shù)據(jù)免受未授權(quán)訪問的方法,該方法包括在數(shù)據(jù)處理系統(tǒng)上的以下步驟維護以加密形式存儲在第二存儲器上的所述用戶數(shù)據(jù),當使用操作系統(tǒng)加載器加載操作系統(tǒng)時在第一磁盤密鑰傳輸步驟中從第一用戶系統(tǒng)接收僅當已經(jīng)為所述第一用戶系統(tǒng)啟動了該操作系統(tǒng)加載器時才可由該數(shù)據(jù)處理系統(tǒng)訪問的對稱用戶密鑰,其中接收的對稱用戶密鑰被密封到該操作系統(tǒng)加載器和對應于所述第一磁盤密鑰傳輸步驟中的所述第一用戶系統(tǒng)的用戶標識符的組合中;如果已經(jīng)為所述第一用戶系統(tǒng)啟動了該操作系統(tǒng)加載器,則訪問該對稱用戶密鑰;在用戶數(shù)據(jù)解密步驟中使用該對稱用戶密鑰解密所述用戶數(shù)據(jù),在易失性存儲器中維護所述對稱用戶密鑰。
      文檔編號G06F21/24GK101206705SQ20071015967
      公開日2008年6月25日 申請日期2007年12月19日 優(yōu)先權(quán)日2006年12月19日
      發(fā)明者D·M·迪亞斯, M·斯泰納, M·申特爾 申請人:國際商業(yè)機器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1