CN114003919A - 计算设备及其安全管理方法、支持隐私计算的*** - Google Patents
计算设备及其安全管理方法、支持隐私计算的*** Download PDFInfo
- Publication number
- CN114003919A CN114003919A CN202111314069.8A CN202111314069A CN114003919A CN 114003919 A CN114003919 A CN 114003919A CN 202111314069 A CN202111314069 A CN 202111314069A CN 114003919 A CN114003919 A CN 114003919A
- Authority
- CN
- China
- Prior art keywords
- computing device
- module
- computing
- trusted
- serial number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本公开披露了一种计算设备及其安全管理方法、支持隐私计算的***。该计算设备包括:可信硬件模块,所述可信硬件模块存储有所述计算设备的部件的序列号;处理模块,用于执行以下操作:对所述计算设备的部件进行扫描,以读取所述序列号;将读取到的序列号与所述可信硬件模块中存储的序列号进行匹配,以确定所述计算设备的完整性。
Description
技术领域
本公开涉及计算设备技术领域,具体涉及一种计算设备及其安全管理方法、支持隐私计算的***。
背景技术
大数据时代,人们对于计算设备中的数据安全要求也不断提高。在用户的计算设备上往往会有一些隐私数据,如银行信用等级、个人身份信息、金融交易信息等。一旦计算设备被入侵,则会导致隐私数据具有泄露的风险。
相关技术中,一种可能的方案是基于软件对计算设备中的数据进行加密。然而,当计算设备被部署在不可信的环境中时,入侵者能够打开计算设备壳体进行恶意设备接入和处理的入侵,此时计算设备属于不可信状态。因此,如何有效的对计算设备的可信性进行监测,以保障数据的安全性,是亟待解决的问题。
发明内容
针对上述问题,本公开实施例提供了一种计算设备及其安全管理方法、支持隐私计算的***。
第一方面,提供一种计算设备,包括:可信硬件模块,所述可信硬件模块存储有所述计算设备的部件的序列号;处理模块,用于执行以下操作:对所述计算设备的部件进行扫描,以读取所述序列号;将读取到的序列号与所述可信硬件模块中存储的序列号进行匹配,以确定所述计算设备的完整性。
可选地,所述处理模块还用于执行以下操作:如果读取到的序列号与所述可信硬件模块中存储的序列号匹配,控制所述计算设备的操作***进入可用状态;和/或如果读取到的序列号与所述可信硬件模块中存储的序列号不匹配,控制所述计算设备的操作***进入锁定状态。
可选地,所述计算设备支持隐私计算,所述可信硬件模块中还存储有进行所述隐私计算所需的密钥。
可选地,所述计算设备还包括:存储设备,用于在所述隐私计算的过程中临时存储所述密钥;安全进程,用于清除所述存储设备中存储的密钥。
可选地,所述计算设备还包括:第一通信模块,用于与异地可信管理设备进行远程通信,所述异地可信管理设备用于对所述计算设备和/或所述计算设备执行隐私计算所需的密钥进行管理。
可选地,所述计算设备的部件的序列号由所述异地可信管理设备通过所述第一通信模块存储至所述可信硬件模块中。
可选地,当所述可信硬件模块中存储的用于隐私计算的密钥丢失时,所述可信硬件模块通过所述异地可信管理设备进行密钥恢复。
可选地,所述计算设备还包括:防拆管理模块,与所述计算设备的壳体和/或所述计算设备内的存储设备相连,用于检测所述壳体是否被打开和/或所述存储设备是否被拆除。
可选地,所述防拆管理模块包括以下模块中的一种或多种:定位模块,用于对所述计算设备进行定位;报警模块,用于在检测到所述壳体被打开和/或所述存储设备被拆除时,发出报警信息;供电模块,用于利用所述计算设备的电源为所述防拆管理模块供电;电源模块,用于在所述计算设备断电的情况下为所述防拆管理模块供电;传感器模块,用于检测所述壳体是否被打开和/或所述存储设备是否被拆除。
可选地,所述防拆管理模块包括:第二通信模块,用于与异地可信管理设备通信,以将所述防拆管理模块检测到的所述计算设备的状态信息同步至所述异地可信管理设备,所述状态信息用于指示以下信息中的一种或多种:所述计算设备的通电状态,所述计算设备的位置,所述壳体是否被打开,以及所述存储设备是否被拆除。
可选地,所述计算设备具有可信状态和不可信状态,当所述防拆管理模块检测到所述壳体被打开和/或所述存储设备被拆除时,所述防拆管理模块控制所述计算设备进入所述不可信状态。
可选地,在所述不可信状态,所述处理模块对所述计算设备执行完整性检查,如果所述计算设备通过所述完整性检查,所述防拆管理模块控制所述计算设备进入所述可信状态。
可选地,所述计算设备还包括维修状态,在所述维修状态,允许更换所述计算设备的部件。
可选地,所述计算设备处于所述可信状态时,允许所述计算设备进入所述维修状态,所述计算设备处于所述不可行状态时,不允许所述计算设备进入所述维修状态。
可选地,所述防拆管理模块还包括第三通信模块,所述第三通信模块用于与所述计算设备的管理员进行短距离通信,以对所述管理员的身份进行鉴权,如果所述鉴权成功,将所述计算设备的状态设置为所述维修状态。
可选地,所述可信硬件模块为可信根。
可选地,所述计算设备为支持隐私计算的一体机。
第二方面,提供一种计算设备的安全管理方法,所述计算设备包括可信硬件模块,所述可信硬件模块存储有所述计算设备的部件的序列号;所述方法包括:对所述计算设备中的部件进行扫描,以读取所述序列号;将读取到的序列号与所述可信硬件模块中存储的序列号进行匹配,以确定所述计算设备的完整性。
可选地,所述方法还包括:如果读取到的序列号与所述可信硬件模块中存储的序列号匹配,控制所述计算设备的操作***进入可用状态;和/或如果读取到的序列号与所述可信硬件模块中存储的序列号不匹配,控制所述计算设备的操作***进入锁定状态。
可选地,所述计算设备支持隐私计算,所述可信硬件模块中还存储有进行所述隐私计算所需的密钥。
可选地,所述计算设备还包括:存储设备,用于在所述隐私计算的过程中临时存储所述密钥;所述方法还包括:清除所述存储设备中存储的密钥。
可选地,还包括:与异地可信管理设备进行远程通信,所述异地可信管理设备用于对所述计算设备和/或所述计算设备执行隐私计算所需的密钥进行管理。
可选地,所述计算设备的部件的序列号由所述异地可信管理设备通过所述第一通信模块存储至所述可信硬件模块中。
可选地,所述可信硬件模块为可信根。
可选地,所述计算设备为支持隐私计算的一体机。
第三方面,提供一种支持隐私计算的***,包括:集群,包括如第一方面或第一方面中任一实现方式所述的计算设备,所述集群中的计算设备均支持隐私计算;异地可信管理设备,用于对所述集群中的计算设备和/或所述集群中的计算设备执行隐私计算所需的密钥进行管理。
第四方面,提供一种计算机可读存储介质,其上存储有可执行代码,当所述可执行代码被执行时,能够实现如第二方面或第二方面中任一实现方式所述的方法。
第五方面,提供一种计算机程序产品,包括可执行代码,当所述可执行代码被执行时,能够实现如第二方面或第二方面中任一实现方式所述的方法。
本公开实施例将计算机设备的部件的序列号(部件的序列号具有唯一性)存储在计算设备的可信硬件模块中,使得这些序列号不可篡改。然后,计算设备将扫描到的部件的序列号与可信硬件模块中存储的序列号进行匹配,根据二者的匹配结果即可确定计算设备的完整性(例如,如果序列号不匹配,代表计算设备中的某个或某些部件被更换),进而可以实现对计算设备的可信性监测。
附图说明
图1为本公开一实施例提供的计算设备的结构示意图。
图2是图1所示的防拆管理模块的结构示意图。
图3是本公开一实施例提供的计算设备的安全管理方法的示意性流程图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本公开一部分实施例,而不是全部的实施例。
随着现代信息技术的不断发展,世界已跨入了互联网+大数据时代。随着大数据不断地在企业之间、企业与个人之间、个人与个人之间分享,大数据正深刻改变着人们的思维、生产和生活方式,即将掀起新一轮产业和技术革命。因此,其中的数据更是成为了非常有价值的内容,如银行信用等级、个人身份信息、金融交易信息等,而将数据使用起来并发挥作用的前提就是必须得保证数据的隐私性,否则就会导致数据泄露,从而造成更严重的不利影响。
因此,为了满足“数据可用不可见”性,研究学者们提出了隐私计算的概念。隐私计算是一种在保护数据本身不对外泄露的前提下实现数据分析计算的技术。目前,以多方安全计算为代表的基于密码学的分析计算是一种主流的隐私计算技术。多方安全计算使非互信的多个数据持有方之间可以在数据相互保密的前提下进行高效数据计算,从而做到既使用多方数据进行指定的数据计算,又保证使用过程中数据隐私不被泄漏,真正实现数据的可用而不可见。
目前市场多方安全计算产品大多是基于软件实现,然而,加密数据在处理设备中进行数据处理时,是需解密的,这就使得隐私数据在处理设备上不存在隐私可言。如何保障数据安全是业界一直在持续优化的问题,在这样的背景下,隐私计算一体机应运而生。隐私计算一体机不仅向用户提供了可信的硬件设备,并且还集成了针对该硬件设备实现深度优化的软件配置,从而实现了软硬一体化。
隐私计算一体机也可以简称为一体机。相比传统的计算设备,一体机实现了硬件的优化。例如,在一体机上可以部署专用的处理芯片,比如该处理芯片可以为现场可编程门阵列(field programmable gate array,FPGA)芯片或其他类型的芯片,以提升数据处理效率。此外,一体机中的处理芯片还可以部署有硬件信任根,该硬件信任根例如可以包括可信任平台模块(Trusted Platform Module,TPM)芯片。该处理芯片可用于存储在隐私计算过程中所需的密钥。该密钥比如可以由发布方预先烧录至该处理芯片中,使得处理芯片在一体机上形成了硬件的可信执行环境(trusted execution environment,TEE),以确保需要隐私保护的数据不会发生隐私泄露。又例如,一体机上可以部署密码卡,也可称为密码芯片。该密码卡可以实现加密内存读写数据,并通过硬件加固以抵御侧信道攻击,具有极高的安全性。
相比传统的计算软件,一体机也可以实现软件优化。例如,一体机可以内置证书授权服务,可以实现自动化的证书签发与身份认证,从而实现一体机的即插即用。这样一来,一体机产品不仅可以帮助客户快速建立隐私计算相关的基础硬件设施,还可以让客户快速上线隐私技术相关应用,省去繁杂的应用安装认证流程,从而可以实现接入机构网络就可以实现快速部署。比如在金融、政务、医疗等场景都可快速应用。由此可见,一体机产品作为整体进行交付输出,可以提供一种安全、可信、高性能的隐私计算解决方案。
在某些场景下,即便如一体机这样具有极高安全性的设备,仍然存在一些数据安全隐患。例如,当计算设备位于不可信的第三方机房中,而此时入侵者又取得了进入第三方机房的权限。这样,入侵者就能够打开计算设备壳体进行恶意设备接入和处理的入侵,从而使得计算设备中的数据被拷贝或替换,出现计算设备不可信的状态。
需要说明的是,上文仅是以隐私计算一体机为例进行举例说明的,但本申请实施例的应用场景不限于此。本申请实施例可应用于对安全存在需求的任意类型的计算设备。例如,本申请实施例可以是普通的服务器或台式计算机。此外,本申请实施例也不限于应用在一体机,也可应用于如显示器和机箱分离的计算设备。
综上所述,随着人们对安全性的要求越来越高,如何有效地对计算设备的可信性进行监测,是亟待解决的问题。
为了解决上述问题,本公开实施例提出了一种计算设备,包括可信硬件模块和处理模块,处理模块可以通过扫描读取到计算设备的部件的序列号,然后将读取到的序列号与可信硬件模块中存储的可信部件序列号进行匹配,根据二者的匹配结果可以确定计算设备的完整性,从而能够对计算设备的可信性进行监测。
下文结合附图1介绍本公开实施例提供的计算设备10。图1所示的计算设备10可以包括可信硬件模块11和处理模块12。
可信硬件模块11例如可以是可信根,也可以称为本地可信根。该可信硬件模块11例如可以是任意类型的安全芯片。例如,可信硬件模块11可以是TPM芯片。该可信硬件模块11的内部可以拥有独立的处理器和存储单元。可信硬件模块11可以是一个可独立地进行密钥生成、加解密的装置。
该可信硬件模块11可用于存储计算设备10中的部件的序列号。计算设备10中的部件通常具有唯一的标识。该唯一标识例如可以是计算设备10中的部件的序列号(serialnumber,SN)。可信硬件模块11中存储的部件的序列号可以是计算设备10中的部分或全部部件的序列号。例如,可信硬件模块11中可以存储计算设备10的所有部件的序列号。又如,可信硬件模块11中可以存储计算设备10中的关键部件的序列号。关键部件的类型可以根据计算设备10的应用场景或部件的重要程度进行定义,本申请实施例对此不作具体限定。以计算设备为支持隐私计算的计算设备为例,该关键部件可以是与隐私计算相关的存储部件(该存储部件例如可以是磁盘或硬盘)、中央处理器(central processing unit,CPU)等。或者,以计算设备为隐私一体机为例,可以认为隐私一体机中的所有部件均为关键部件。因此,可信硬件模块11中可以存储隐私一体机的所有部件的序列号。
在一些实施例中,该可信硬件模块11还可用于存储密钥。以计算设备10支持隐私计算为例,该可信硬件模块11可用于存储进行隐私计算所需的密钥。隐私计算所需的密钥也可以由可信第三方提供。例如隐私计算所需的密钥可以由密钥管理服务(keymanagement service,KMS)提供。
处理模块12可以是计算设备10的CPU。以图1为例,在该处理模块12上可以运行操作***121。当然,在其他实施例中,处理模块12也可以是独立于CPU的专用处理单元。例如,该处理模块12可以是专用的FPGA芯片、加密芯片或其他类型的芯片等,本公开实施例对此不做具体限制。
处理模块12可用于对计算设备10的部件进行扫描,以读取计算设备10中的部件的序列号。例如,处理模块12可以访问计算设备10的注册表,并从注册表中得到计算设备10的部件的序列号。
在读取到序列号之后,处理模块12可以将读取到的序列号与可信硬件模块11中存储的序列号进行匹配,并根据匹配结果可以确定该计算设备10的完整性,进而可以有效的实现对计算设备10的可信性监测。
例如,如果处理模块12读取到的序列号与可信硬件模块11中存储的序列号是匹配的(或一致的),则认为计算设备10中的部件是完整的,未被替换。又如,如果处理模块12读取到的序列号与可信硬件模块11中存储的序列号不匹配(或不一致),则认为计算设备10中的部件可能被替换。在这种情况下,可以认为该计算设备是不可信的,或不安全的。例如,可信硬件模块11中存储有计算设备10的存储设备13(如内存)的序列号。如果处理模块12通过序列号匹配发现存储设备13的序列号发生了改变,则可以判断存储设备13可能被替换,计算设备10当前存在数据泄露的风险。
如果计算设备10中的部件是完整的,可以控制计算设备10的操作***进入到可用状态。在这种情况下,可以利用计算设备10的操作***121执行期望的操作。例如,可以利用操作***121对数据进行隐私计算。相应地,如果计算设备10中的部件是不完整的,可以控制计算设备10的操作***进入锁定状态。在这种情况下,无法利用计算设备10的操作***121执行期望的操作。例如,无法利用操作***121对数据执行隐私计算。
前文提到,计算设备10可以包括存储设备13。存储设备13可用于临时存储在隐私计算过程中所需要的密钥。该存储设备13例如可以是指计算设备10的内存设备,如可以是双倍速率同步动态随机存储器(double data rate synchronous dynamic random accessmemory,DDR SDRAM)。计算设备10还可以包括安全进程122。该安全进程122可以在后台运行,因此,该安全进程也可成为后台安全进行。该安全进程可以运行在计算设备10的处理模块12上。该安全进程122可用于清除存储设备13中存储的密钥。例如,该安全进程122可以对存储设备13中存储的密钥做定期扫描和清理工作,从而起到安全监控和排查的作用。
继续参见图1,在一些实施例中,计算设备10还可以包括第一通信模块15。该第一通信模块15可以是网卡设备,如以太网卡。第一通信模块15可通过网卡设备与异地可信管理设备20进行远程通信。或者,第一通信模块15可以通过网络代理30与异地可信管理设备20进行远程通信。例如,异地可信管理设备20可以与计算设备10位于不同的机房,二者通过以太网40进行通信。异地可信管理设备20例如可以为可信的云端服务器。
异地可信管理设备20可用于对上述计算设备10和/或上述隐私计算过程所需的密钥进行管理。例如,异地可信管理设备20可以包括设备管理***21和密钥管理***22。异地可信管理设备20可以通过设备管理***21对集群中的各个计算设备10进行管理。例如,异地可信管理设备20可以记录该集群中的各个计算设备10的部件的序列号。异地可信管理设备20可以通过密钥管理***22对集群中的各个计算设备10的密钥进行管理。例如,异地可信管理设备20可以为集群中的各个计算设备10分发密钥,并将密钥存储至各个计算设备10内的可信计算模块11中。此外,当某个计算设备10的密钥丢失时(如可信计算模块11损坏导致密钥丢失),异地可信管理设备20可以通过密钥管理***22对各个计算模块10进行密钥恢复。
异地可信管理设备20例如可以设置为主-备模式。以图1为例,异地可信管理设备20可以包括主异地可信管理节设备20a和备异地可信管理节设备20b。例如,正常情况下,数据可以在主异地可信管理节设备20a上存储,并同步至备异地可信管理节设备20b。当主异地可信管理节设备20a出现故障时,备异地可信管理节设备20b可以取而代之,这样就进一步保证了异地可信管理节设备的数据存储可靠性。
前文提到可信硬件模块11中存储有计算设备10的部件的序列号。在一些实施例中,可信硬件模块11中存储的序列号可以由异地可信管理设备20可以通过第一通信模块15存储至可信硬件模块11中。
继续参见图1,在一些实施例中,计算设备10还可以包括防拆管理模块16。该防拆管理模块16可用于检测计算设备10的壳体17(如机箱的壳体)是否被打开。例如,该防拆管理模块16可以通过机械触发装置与计算设备的壳体17相连。当发生壳体17被打开这一事件时,该机械触发装置可以向防拆管理模块16发出触发信号,使得该防拆管理模块16感知并记录该事件。该机械触发装置例如可以包括开关,当壳体17被打开时,该开关从闭合状态转换为打开状态。防拆管理模块16可以根据开关的状态是否发生过转换,判断壳体17是否被打开。
在一些实施例中,该防拆管理模块16可用于检测计算设备10内的存储设备13(如内存)是否被拆除。例如,该防拆管理模块16可以通过机械触发装置与该存储设备13相连。当发生该存储设备13被拆除这一事件时,该机械触发装置可以向防拆管理模块16发出触发信号,使得该防拆管理模块16感知并记录该事件。该机械触发装置例如可以包括开关,当该存储设备13被拆除时,该开关从闭合状态转换为打开状态。防拆管理模块16可以根据开关的状态是否发生过转换,判断存储设备13是否被拆除。
在一些实施例中,该防拆管理模块16可以与异地可信管理设备20进行通信,以将防拆管理模块16检测到的计算设备10的状态信息同步至异地可信管理设备20。该防拆管理模块可以直接与异地可信管理设备20进行通信,也可以通过计算设备10(如通过计算设备上的网卡设备)与异地可信管理设备20进行通信。
防拆管理模块16检测到的计算设备10的状态信息可以根据实际需求设定,本申请实施例对此不作具体限定。在一些实施例中,防拆管理模块16检测到的计算设备10的状态信息可以包括或指示以下信息中的一种或多种:计算设备10的通电状态,计算设备10的位置,壳体17是否被打开,以及存储设备13是否被拆除。
防拆管理模块16可以独立于计算设备10的***存在。也就是说,防拆管理模块16可以是一个独立的硬件模块,能够独立地运行,不受计算设备10的***的控制。
下面对防拆管理模块16的内部机构进行更为详细地举例说明。
参见图2,防拆管理模块16可以包括以下模块中的一种或多种:第二通信模块161,定位模块162,报警模块163,供电模块164,电源模块165,控制模块166,传感器模块167以及第三通信模块168。
上文提到,在一些实施例中,防拆管理模块16可以与异地可信管理设备20进行通信。该通信功能例如可以由防拆管理模块16中的第二通信模块161实现。换句话说,防拆管理模块16可以通过内部的第二通信模块161将防拆管理模块16检测到的计算设备10的状态信息同步至异地可信管理设备20。在一些实施例中,该第二通信模块161可以是支持蜂窝通信的通信模块。例如,该第二通信模块161可以是4G模块,5G模块,或窄带物联网(narrowband internet of things,NB-IoT)模块。
定位模块162(或称定位模组)可用于对计算设备10进行定位(如实时定位)。该定位模块162例如可以是GPS。GPS模块可用于对计算设备10的全球位置进行定位。
报警模块163(或称报警***)可用于发出报警信息。例如,报警模块163可以在检测到计算设备10的壳体17被打开和/或计算设备10的存储设备13被拆除时,发出报警信息。该报警模块163可以自己发出报警信息,也可以借助计算设备10所在机房中的机房管理***50发出报警信息。示例性地,该报警模块163可以与计算设备10所在机房中的机房管理***50相连。当报警模块163检测到计算设备10的壳体17被打开和/或计算设备10的存储设备13被拆除时,触发机房管理***50发出报警信息,以及时通知机房管理维护人员计算设备10存在安全隐患。
供电模块164(或称外部电源)可利用防拆管理模块16外部的电源为防拆管理模块16供电。例如,供电模块164可以利用计算设备10的电源为防拆管理模块16供电。防拆管理模块16还可以基于供电模块164是否处于工作状态,判断计算设备10的通电状态。通电状态可用于指示计算设备10的上下电状态和/或上电时长等。例如,如果供电模块164处于工作状态(即供电模块164为防拆管理模块16提供电源),则代表计算设备10处于上电状态。又如,防拆管理模块16还可以基于供电模块164的供电时长,判断计算设备10的上电时长。由此可见,防拆管理模块16基于供电模块164可以对计算设备10的通电状态进行监控。
电源模块165(或称内部电源)可用于为防拆管理模块16供电。该防拆管理模块16可以同时具备供电模块164和电源模块165。进一步地,在一些实施例中,该防拆管理模块16可以优先选择供电模块164进行供电。在计算设备10断电的情况下,该防拆管理模块16可以选择电源模块165进行供电。电源模块165例如可以是电池,如锂电池。在一些实施例中,该电源模块165可以是可充电的电源模块165。例如,该电源模块165可以通过供电模块164为其进行充电。电源模块165可以保证计算设备10在断电情况下继续运行。换句话说,即使计算设备10处于断电状态,对计算设备10的拆卸事件仍然能够被防拆管理模块16检测和/或记录下来,从而进一步保证了计算设备10的安全。
传感器模块167可用于检测计算设备10的壳体17是否被打开和/或计算设备10内的存储设备13是否被拆除。例如,该传感器模块167可以是电压检测模块。当电压检测模块通过导线与壳体17或存储设备13处的开关电连接。当壳体17或存储设备13被拆开时,该开关的通断状态发生变化。电压检测模块通过检测开关处的电压状态,即可确定计算设备10的壳体17是否被打开和/或计算设备10内的存储设备13是否被拆除。如果传感器检测到计算设备10的壳体17被打开和/或计算设备10内的存储设备13被拆除,那么意味着计算设备10处于不可信状态,防拆管理模块16可以将这一状态信息上报至异地可信管理设备20。
控制模块166例如可以是片上***(system on chip,SOC)或其他类型的控制器。以SOC为例,防拆管理模块16中的其他部分或全部模块可以均集成在该SOC上,或者,SOC也可以作为一个独立的模块,与防拆管理模块16中的其他模块分开设置。
第三通信模块168可用于进行短距离通信(或称近距离通信)。第三通信模块168可以是蓝牙模块,近场通信(near field communication,NFC)模块,或者支持其他短距离通信协议的模块。在一些实施例中,第三通信模块168可用于与计算设备10的管理员进行短距离通信。例如,第三通信模块168可与计算设备10的管理员进行短距离通信,以对管理员进行身份认证或鉴权。鉴权的方式可以有多种。例如,可以通过指纹、密钥、口令、USBKey等方式进行鉴权。
计算设备10的状态可以包括可信状态和不可信状态。例如,当前文提到的计算设备10的完整性检查未通过时,可以将计算设备10的状态设置为不可信状态;当计算设备10的完整性检查通过时,可以将计算设备10的状态设置为可信状态。又如,当防拆管理模块16检测到壳体17被打开和/或存储设备13被拆除时,防拆管理模块16控制计算设备10进入不可信状态;当防拆管理模块16未检测到壳体17被打开和/或存储设备13被拆除时,防拆管理模块16控制计算设备10进入不可信状态。
在可信状态下,计算设备10的功能不受限制或受到较小限制。例如,在可信状态下,计算设备10可以进行正常/异常的上下电。又如,在可信状态下,计算设备10可以进入操作***界面,即操作***可以进入可用状态。又如,在可信状态下,计算设备10可以进行隐私计算。
在不可信状态下,计算设备10的功能可能会受到较大限制。例如,计算设备10的操作***不可用。或者,计算设备10不能进行隐私计算。
可信状态和/或不可信状态可以由前文提到的防拆管理模块16进行配置。例如,防拆管理模块16可以通过控制模块166(如SOC)设置计算设备10的状态。例如,当防拆管理模块16检测到壳体17被打开和/或存储设备13被拆除时,SOC将计算设备10的状态从可信状态设置为不可信状态。
在一些实施例中,如果计算设备10处于不可信状态,则需要按照前文描述的方式,对计算设备10执行完整性检查。该完整性检查操作可以在计算设备10下一次上电时执行。完整性检查的具体方式参见前文的描述,此处不再详述。如果计算设备10通过完整性检查,防拆管理模块16可以控制计算设备10重新进入可信状态。如果计算设备10未通过完整性检查,说明计算设备10出现了异常(如有人替换了计算设备10中的某个或某些部件)。此时,可以进入人工排查和报警阶段。例如,可以采用防拆管理模块16中的报警***进行报警,然后,由管理员对计算设备10进行人工排查。管理员将问题排除之后,可以将计算设备10的状态重新设置为可信状态。例如,防拆管理模块16可以设置一按钮,当管理员将问题排查之后,可以通过该按钮将计算设备10的状态重置为可信状态。或者,在一些实施例中,管理员可以在计算设备10下次成功启动之后,再将计算设备10再置为可信状态。
在一些实施例中,计算设备10的状态还可以包括维修状态。当计算设备10处于维修状态时,可以允许用户(如管理员)对计算设备10进行维护。例如,可以允许管理员更换计算设备10内部的部件。例如,管理员可以先通过与防拆管理模块16内部的第三通信模块168进行短距离通信,完成身份鉴权。待身份鉴权完成之后,再将计算设备10的状态设置为维修状态。计算设备10内部的部件更换完毕后,管理员可以通知异地可信管理设备20的操作员更新该部件的序列号。此外,计算设备10在下次启动时,可以不执行前文提到的完整性检查,而是从异地可信管理设备20拉取数据,以更新计算设备10内的可信管理模块11中存储的序列号。
在一些实施例中,可以对计算设备10的状态转换方式进行限制。例如,计算设备10处于可信状态时,允许计算设备10进入维修状态;计算设备10处于不可行状态时,不允许计算设备10进入维修状态。不可信状态下不允许计算设备10进入维修状态,能够避免不法人员借助维修状态对计算设备10的部件或数据进行盗取或更换,从而进一步提高计算设备10的安全性。
上文结合图1至图2,详细描述了本公开的装置实施例,下面结合图3,详细描述本公开的方法实施例。应理解,方法实施例的描述与装置实施例的描述相互对应,因此,未详细描述的部分可以参见前面装置实施例。
图3是本公开实施例提供的计算设备的安全管理方法的示意性流程图。
图3中的方法所涉及到的计算设备可以前文提及的计算设备,该计算设备可以包括可信硬件模块,该可信硬件模块存储有所述计算设备的部件的序列号,图3中的方法30包括步骤S32-S34。
在步骤S32,对计算设备中的部件进行扫描,以读取所述序列号。
在步骤S34,将读取到的序列号与可信硬件模块中存储的序列号进行匹配,以确定计算设备的完整性。
在一些实施例中,所述方法30还可以包括:如果读取到的序列号与所述可信硬件模块中存储的序列号匹配,控制所述计算设备的操作***进入可用状态;和/或如果读取到的序列号与所述可信硬件模块中存储的序列号不匹配,控制所述计算设备的操作***进入锁定状态。
在一些实施例中,所述计算设备支持隐私计算,所述可信硬件模块中还存储有进行所述隐私计算所需的密钥。所述可信硬件模块为可信根。
在一些实施例中,所述计算设备还包括:存储设备,用于在所述隐私计算的过程中临时存储所述密钥;所述方法30还包括:清除所述存储设备中存储的密钥。
在一些实施例中,所述方法30还包括:与异地可信管理设备进行远程通信,所述异地可信管理设备用于对所述计算设备和/或所述计算设备执行隐私计算所需的密钥进行管理。
在一些实施例中,所述计算设备的部件的序列号由所述异地可信管理设备通过所述第一通信模块存储至所述可信硬件模块中。
在一些实施例中,所述可信硬件模块为可信根。
在一些实施例中,所述计算设备为支持隐私计算的一体机。
本公开实施例还提出了一种支持隐私计算的***,包括集群和异地可信管理设备20,该集群包括如前文提及任意一种可能的计算设备,该集群中的计算设备均可支持隐私计算。该异地可信管理设备20可用于对集群中的计算设备和/或集群中的计算设备执行隐私计算所需的密钥进行管理。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其他任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc,DVD))、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以意识到,结合本公开实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本公开的范围。
在本公开所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以所述权利要求的保护范围为准。
Claims (26)
1.一种计算设备,包括:
可信硬件模块,所述可信硬件模块存储有所述计算设备的部件的序列号;
处理模块,用于执行以下操作:
对所述计算设备的部件进行扫描,以读取所述序列号;
将读取到的序列号与所述可信硬件模块中存储的序列号进行匹配,以确定所述计算设备的完整性。
2.根据权利要求1所述的计算设备,所述处理模块还用于执行以下操作:
如果读取到的序列号与所述可信硬件模块中存储的序列号匹配,控制所述计算设备的操作***进入可用状态;和/或
如果读取到的序列号与所述可信硬件模块中存储的序列号不匹配,控制所述计算设备的操作***进入锁定状态。
3.根据权利要求1所述的计算设备,所述计算设备支持隐私计算,所述可信硬件模块中还存储有进行所述隐私计算所需的密钥。
4.根据权利要求3所述的计算设备,还包括:
存储设备,用于在所述隐私计算的过程中临时存储所述密钥;
安全进程,用于清除所述存储设备中存储的密钥。
5.根据权利要求1所述的计算设备,还包括:
第一通信模块,用于与异地可信管理设备进行远程通信,所述异地可信管理设备用于对所述计算设备和/或所述计算设备执行隐私计算所需的密钥进行管理。
6.根据权利要求5所述的计算设备,所述计算设备的部件的序列号由所述异地可信管理设备通过所述第一通信模块存储至所述可信硬件模块中。
7.根据权利要求5所述的计算设备,当所述可信硬件模块中存储的用于隐私计算的密钥丢失时,所述可信硬件模块通过所述异地可信管理设备进行密钥恢复。
8.根据权利要求1所述的计算设备,还包括:
防拆管理模块,与所述计算设备的壳体和/或所述计算设备内的存储设备相连,用于检测所述壳体是否被打开和/或所述存储设备是否被拆除。
9.根据权利要求8所述的计算设备,所述防拆管理模块包括以下模块中的一种或多种:
定位模块,用于对所述计算设备进行定位;
报警模块,用于在检测到所述壳体被打开和/或所述存储设备被拆除时,发出报警信息;
供电模块,用于利用所述计算设备的电源为所述防拆管理模块供电;
电源模块,用于在所述计算设备断电的情况下为所述防拆管理模块供电;
传感器模块,用于检测所述壳体是否被打开和/或所述存储设备是否被拆除。
10.根据权利要求9所述的计算设备,所述防拆管理模块包括:
第二通信模块,用于与异地可信管理设备通信,以将所述防拆管理模块检测到的所述计算设备的状态信息同步至所述异地可信管理设备,所述状态信息用于指示以下信息中的一种或多种:所述计算设备的通电状态,所述计算设备的位置,所述壳体是否被打开,以及所述存储设备是否被拆除。
11.根据权利要求8所述的计算设备,所述计算设备具有可信状态和不可信状态,当所述防拆管理模块检测到所述壳体被打开和/或所述存储设备被拆除时,所述防拆管理模块控制所述计算设备进入所述不可信状态。
12.根据权利要求11所述的计算设备,在所述不可信状态,所述处理模块对所述计算设备执行完整性检查,如果所述计算设备通过所述完整性检查,所述防拆管理模块控制所述计算设备进入所述可信状态。
13.根据权利要求11所述的计算设备,所述计算设备还包括维修状态,在所述维修状态,允许更换所述计算设备的部件。
14.根据权利要求13所述的计算设备,所述计算设备处于所述可信状态时,允许所述计算设备进入所述维修状态,所述计算设备处于所述不可行状态时,不允许所述计算设备进入所述维修状态。
15.根据权利要求13所述的计算设备,所述防拆管理模块还包括第三通信模块,所述第三通信模块用于与所述计算设备的管理员进行短距离通信,以对所述管理员的身份进行鉴权,如果所述鉴权成功,将所述计算设备的状态设置为所述维修状态。
16.根据权利要求1所述的计算设备,所述可信硬件模块为可信根。
17.根据权利要求1所述的计算设备,所述计算设备为支持隐私计算的一体机。
18.一种计算设备的安全管理方法,所述计算设备包括可信硬件模块,所述可信硬件模块存储有所述计算设备的部件的序列号;
所述方法包括:
对所述计算设备中的部件进行扫描,以读取所述序列号;
将读取到的序列号与所述可信硬件模块中存储的序列号进行匹配,以确定所述计算设备的完整性。
19.根据权利要求18所述的方法,所述方法还包括:
如果读取到的序列号与所述可信硬件模块中存储的序列号匹配,控制所述计算设备的操作***进入可用状态;和/或
如果读取到的序列号与所述可信硬件模块中存储的序列号不匹配,控制所述计算设备的操作***进入锁定状态。
20.根据权利要求18所述的方法,所述计算设备支持隐私计算,所述可信硬件模块中还存储有进行所述隐私计算所需的密钥。
21.根据权利要求20所述的方法,所述计算设备还包括:
存储设备,用于在所述隐私计算的过程中临时存储所述密钥;
所述方法还包括:
清除所述存储设备中存储的密钥。
22.根据权利要求18所述的方法,还包括:
与异地可信管理设备进行远程通信,所述异地可信管理设备用于对所述计算设备和/或所述计算设备执行隐私计算所需的密钥进行管理。
23.根据权利要求22所述的方法,所述计算设备的部件的序列号由所述异地可信管理设备通过所述第一通信模块存储至所述可信硬件模块中。
24.根据权利要求18所述的方法,所述可信硬件模块为可信根。
25.根据权利要求18所述的方法,所述计算设备为支持隐私计算的一体机。
26.一种支持隐私计算的***,包括:
集群,包括如权利要求1-17中任一项所述的计算设备,所述集群中的计算设备均支持隐私计算;
异地可信管理设备,用于对所述集群中的计算设备和/或所述集群中的计算设备执行隐私计算所需的密钥进行管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111314069.8A CN114003919A (zh) | 2021-11-08 | 2021-11-08 | 计算设备及其安全管理方法、支持隐私计算的*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111314069.8A CN114003919A (zh) | 2021-11-08 | 2021-11-08 | 计算设备及其安全管理方法、支持隐私计算的*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114003919A true CN114003919A (zh) | 2022-02-01 |
Family
ID=79928226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111314069.8A Pending CN114003919A (zh) | 2021-11-08 | 2021-11-08 | 计算设备及其安全管理方法、支持隐私计算的*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114003919A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001716A (zh) * | 2022-08-02 | 2022-09-02 | 长沙朗源电子科技有限公司 | 教育一体机的网络数据处理方法、***和教育一体机 |
-
2021
- 2021-11-08 CN CN202111314069.8A patent/CN114003919A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001716A (zh) * | 2022-08-02 | 2022-09-02 | 长沙朗源电子科技有限公司 | 教育一体机的网络数据处理方法、***和教育一体机 |
CN115001716B (zh) * | 2022-08-02 | 2022-12-06 | 长沙朗源电子科技有限公司 | 教育一体机的网络数据处理方法、***和教育一体机 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10742427B2 (en) | Tamper-proof secure storage with recovery | |
US7205883B2 (en) | Tamper detection and secure power failure recovery circuit | |
CN106549750B (zh) | 以计算机实施的方法与使用其的***、及计算机程序产品 | |
US8135135B2 (en) | Secure data protection during disasters | |
CN104094275B (zh) | 针对设备数据的安全策略 | |
CN101038568B (zh) | 外置式计算机硬盘数据加密方法及其装置 | |
CN107547198A (zh) | 保护存储设备中的数据 | |
US20100306544A1 (en) | Secure computing environment in a transportable container | |
CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及*** | |
TW201333749A (zh) | 用以保全運算裝置之方法 | |
AU2012318937A1 (en) | Secure integrated cyberspace security and situational awareness system | |
JP2008072613A (ja) | 管理システム,管理装置および管理方法 | |
US10110383B1 (en) | Managing embedded and remote encryption keys on data storage systems | |
US10523427B2 (en) | Systems and methods for management controller management of key encryption key | |
CN103649964A (zh) | 安全寄存执行体系架构 | |
US20140156988A1 (en) | Medical emergency-response data management mechanism on wide-area distributed medical information network | |
CN109982308A (zh) | 一种通过nfc通讯进行门锁固件升级的方法及其*** | |
US20220376911A1 (en) | Detection and Remediation of Unauthorized Relocation of Storage Media | |
CN109951294B (zh) | 电子标签***中的信息更新管理方法及相关设备 | |
CN114003919A (zh) | 计算设备及其安全管理方法、支持隐私计算的*** | |
CN114942729A (zh) | 一种计算机***的数据安全存储与读取方法 | |
WO2019239121A1 (en) | Key protection device | |
CN104361298B (zh) | 信息安全保密的方法和装置 | |
CN110310108B (zh) | 一种带拆机自毁的新型硬件钱包 | |
CN104506506B (zh) | 一种电子信息安全存储***及存储方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |