CN101196968A - 一种单机信息的安全保护方法 - Google Patents
一种单机信息的安全保护方法 Download PDFInfo
- Publication number
- CN101196968A CN101196968A CN 200710115614 CN200710115614A CN101196968A CN 101196968 A CN101196968 A CN 101196968A CN 200710115614 CN200710115614 CN 200710115614 CN 200710115614 A CN200710115614 A CN 200710115614A CN 101196968 A CN101196968 A CN 101196968A
- Authority
- CN
- China
- Prior art keywords
- tpm
- secret key
- protection
- usbkey
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种单机信息的安全保护方法,该方案利用TPM芯片的高可靠性和采用高强度加密算法来保证用户敏感信息的安全,USBKey的物理介质唯一性只有拥有钥匙才能登录***及使用TPM芯片,从而对TPM芯片的信息安全做了进一步的保障,通过物理介质可管理、可追溯的特性进一步保证在发生密钥丢失等意外事件时,可以快速做出相应处理,以尽可能减少损失,并能借助现有的侦破技术及时找出事件原因。
Description
1、技术领域
本发明涉及一种计算机应用技术,具体地说是一种单机信息的安全保护方法。
2、背景技术
由AMD、惠普、英特尔、微软、索尼、Sun Microsystems等世界知名企业发起的TCG组织是一个世界性的非赢利组织,他致力于开发、定义和推广可信计算和安全技术的开放性规范。其中涉及硬件平台、软件接口及网络协议等多个方面,而所有这些技术应用的最根本保障来自于名为TPM的可信任根。目前国内有三家企业宣布已自主研发了国产的TPM安全芯片,包括Sinosun、联想的符合国际标准的TPM芯片,以及武汉瑞达研发的自定义标准的TPM芯片。针对以TPM可信任根为基础的安全应用,目前尚未有较大发展,在很多领域的应用还是空白,其主要原因是TCG定义的可信架构的整体产业链尚未成熟。
再者,当前的操作***都是以账号、密码的方式来管理用户的数据。普通密码具有长度短、安全性低、不易管理等缺点,难以满足安全要求较高的应用。我们模仿现实世界中的钥匙功能,为每台机器配一把“USBkey钥匙”,来解决普通密码无法满足的安全特性。
TPM芯片以用户身份作为可信校验的基础,基于这一点,我们结合USBKey钥匙以及TPM本身的安全特性,实现了一款信息安全管理软件,借助于USBKey物理介质地特性,解决了TPM身份验证仍旧依赖于密码的弱点,提供了一种单机信息安全的解决方案。
3、发明内容
本发明的目的是提供一种单机信息的安全保护方法。
本发明的目的是按以下方式实现的,(1)通过USBKey模拟钥匙功能,实现WINDOWS***的登录保护。***启动时取消了传统的密码登录的方式,取而代之的是用USBKey***方式。USBKey通过与TPM进行唯一性安全校验,实现用户身份绑定,保证***自身的可靠性。***利用Windows提供的接口,利用Gina结合USBKey来代替普通的用户验证机制,以USBKey物理介质的唯一性,来保证当前登录用户的可靠性,这正是TPM实现自身功能的基础。
(2)利用TPM对秘钥保护的高可靠性,结合SINOSUN CSP,实现对敏感信息的加密保护,包括密码箱、虚拟磁盘等功能。SINOSUN TPM芯片按***用户来对秘钥进行分组管理,也就是说首先要以合法用户登录到***,TPM才能根据当前用户来获取对应的秘要。Windows对***用户采用SID的方式进行管理,这是一种全球唯一标记符,即使两个操作***建立了相同名字的用户,对于TPM来说仍旧是不同的用户,TPM利用这一点来保证用户唯一性,从而保证硬盘数据的安全性。而USBKey钥匙的唯一性,正是当前用户的合法性最可靠的保证。
(3)结合EFS实现用户数据加密保护。Windows EFS是Windows自带的一套加密***,其秘钥由Windows自己管理,安全性相对较低。我们利用TPM芯片内置的加密算法和用户秘钥对EFS加密秘钥进行加密保护,从而提高了秘钥本身的安全性。
本发明的有益效果是,该方案利用TPM芯片的高可靠性,利用先用得高强度加密算法来保证用户敏感信息的安全。并利用USBKey的物理介质唯一性,确保用户只有拥有钥匙才能登录***及使用TPM芯片,从而对TPM芯片的信息安全做了进一步的保障。物理介质可管理、可追溯的特性也进一步保证了在发生密钥丢失等意外事件时,可以快速做出相应处理,以尽可能减少损失,并能借助现有的侦破技术及时找出事件原因。
4、附图说明
附图1是单机信息的安全保护方法的结构示意图;
5、具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
本发明的单机信息的安全保护方法,是采用USBKey+TPM芯片作为硬件,软件采用TPM芯片驱动程序,USBKey驱动,SINOSUN TSS,SINOSUN CSP等程序。
***在初始化时,在USBKEY以及当前用户的***中分别保存一份用户信息摘要,作为USBKEY与TPM交互人证的凭证。当用户登陆***时,除了基本的信息校验外还需与操作***进行交互验证,以确保钥匙的合法性。借助于GINA,***实现了基于USBKEY的各种***交互操作,如锁定机器、解锁机器等。
进入***后,当前用户要使用USBKEY的功能,仍旧需要USBKEY的支持,USBKEY中保存有当前用户的TPM芯片秘钥,离开USBKEY便无法登录TPM芯片,同时,如果用户拔除USBKEY,TPM芯片的当前用户也自动注销。
TPM芯片为上层应用(EFS、虚拟磁盘、密码箱等)提供最基本的秘钥安全保证。利用TPM芯片自带处理器、以及根秘钥永远不会走出TPM等安全特性,对上层应用的秘要进行加密保护,对现有技术而言,其安全性是绝对可靠的。
Claims (1)
1.一种单机信息的安全保护方法,其特征在于步骤如下:
1)通过USBKey模拟钥匙功能,利用Gina结合USBKey和USBKey通过与TPM进行唯一性安全校验,实现用户身份绑定和对WINDOWS***的登录保护,保证***自身的可靠性;
3)利用TPM对秘钥保护的高可靠性,结合SINOSUN CSP,实现对敏感信息的加密保护:加密保护包括密码箱、虚拟磁盘和SINOSUN TPM芯片按***用户来对秘钥进行分组管理;
4)结合EFS实现用户数据加密保护:利用TPM芯片内置的加密算法和用户秘钥对WindowsEFS加密秘钥进行加密保护来提高了秘钥本身的安全性;
5)TPM芯片为上层应用的EFS、虚拟磁盘、密码箱提供最基本的秘钥安全保证,利用TPM芯片自带处理器、以及根秘钥永远不会走出TPM等安全特性,对上层应用的秘要进行加密保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710115614 CN101196968A (zh) | 2007-12-17 | 2007-12-17 | 一种单机信息的安全保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710115614 CN101196968A (zh) | 2007-12-17 | 2007-12-17 | 一种单机信息的安全保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101196968A true CN101196968A (zh) | 2008-06-11 |
Family
ID=39547366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710115614 Pending CN101196968A (zh) | 2007-12-17 | 2007-12-17 | 一种单机信息的安全保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101196968A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制***及控制方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子***的计算机 |
| CN101430747B (zh) * | 2008-09-26 | 2011-09-07 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
| CN101387968B (zh) * | 2008-09-28 | 2011-09-14 | 杭州华三通信技术有限公司 | 解决多图形化识别与验证动态链接库冲突的方法和装置 |
| CN103413083A (zh) * | 2013-08-15 | 2013-11-27 | 水利部水利信息中心 | 单机安全防护*** |
| CN104239762A (zh) * | 2014-09-16 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种Windows***下安全登录的实现方法 |
| CN104579687A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于usbkey的csp实现方法 |
| CN110430046A (zh) * | 2019-07-18 | 2019-11-08 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制机制 |
-
2007
- 2007-12-17 CN CN 200710115614 patent/CN101196968A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101430747B (zh) * | 2008-09-26 | 2011-09-07 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
| CN101387968B (zh) * | 2008-09-28 | 2011-09-14 | 杭州华三通信技术有限公司 | 解决多图形化识别与验证动态链接库冲突的方法和装置 |
| CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制***及控制方法 |
| CN102024115A (zh) * | 2010-11-19 | 2011-04-20 | 紫光股份有限公司 | 一种具有用户安全子***的计算机 |
| CN102024115B (zh) * | 2010-11-19 | 2013-04-17 | 紫光股份有限公司 | 一种具有用户安全子***的计算机 |
| CN103413083A (zh) * | 2013-08-15 | 2013-11-27 | 水利部水利信息中心 | 单机安全防护*** |
| CN103413083B (zh) * | 2013-08-15 | 2016-08-10 | 水利部水利信息中心 | 单机安全防护*** |
| CN104239762A (zh) * | 2014-09-16 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种Windows***下安全登录的实现方法 |
| CN104579687A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于usbkey的csp实现方法 |
| CN110430046A (zh) * | 2019-07-18 | 2019-11-08 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制机制 |
| CN110430046B (zh) * | 2019-07-18 | 2021-07-06 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| CN101196968A (zh) | 一种单机信息的安全保护方法 | |
| England et al. | A trusted open platform | |
| JP6275653B2 (ja) | データ保護方法及びシステム | |
| CN101957900B (zh) | 一种可信虚拟机平台 | |
| CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
| CN101072100B (zh) | 一种利用可信赖平台模块的认证***和认证方法 | |
| CN106991329A (zh) | 一种基于国产tcm的可信计算单元及其运行方法 | |
| CN101527024A (zh) | 一种安全网上银行***及其实现方法 | |
| CN103136485B (zh) | 一种实现计算机安全的方法和计算机 | |
| CN102207999A (zh) | 一种基于可信计算密码支撑平台的数据保护方法 | |
| CN101794362A (zh) | 计算机用可信计算信任根设备及计算机 | |
| CN102024115B (zh) | 一种具有用户安全子***的计算机 | |
| CN104021332A (zh) | 一种基于指纹UsbKey实现身份鉴别和文件加解密的方法 | |
| CN103186479A (zh) | 基于单操作***的双硬盘隔离加密装置、方法及计算机 | |
| CN101894235A (zh) | 一种智能卡安全会话*** | |
| CN105303093A (zh) | 智能密码钥匙密码验证方法 | |
| CN201845340U (zh) | 一种具有用户安全子***的安全计算机 | |
| CN201498001U (zh) | 一种基于对称密钥密码的可信计算平台 | |
| CN101547098B (zh) | 公共网络数据传输安全认证方法及*** | |
| CN103678973A (zh) | 一种同时实现主机和虚拟机访问控制的***及其工作方法 | |
| CZ307787B6 (cs) | Způsob vytváření autorizovaného elektronického podpisu oprávněné osoby a zařízení k provádění tohoto způsobu | |
| CN103136489A (zh) | 一种便携安全型自动密码输入器 | |
| CN101739623A (zh) | 一种可信支付计算机*** | |
| CN101527025A (zh) | 一种安全网上银行***及实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20080611 |