专利名称:用于保护数据免受未授权访问的系统和方法
技术领域:
本发明涉及一种用于保护数据处理系统的用户的数据免受该数据处理
系统的另一用户的未^t;j5l访问的方法,
背景技术:
网格计算和效用计算(utility computing)向远程用户提供了在多个用 户之间共享的资源。限制使用网格(特别A^出单个企业的内部网格)的 一个问题在于来自网格节点处的计算的数据可以由相同网格资源的后续 用户读取,特别是在由不同用户顺序分配和使用网格节点或网格节点的逻 辑分区(例如虚拟机)的情况下。当从用户切换到用户时,所期望的安全 特征是清除机密数据的资源。如果没有关于用户的计算的信息被泄露给获 得相同资源的下一用户的这一情况将是有益的。
可信计算组织(Trusted Computing Group, TCG)规范体系结构总 览版本1.2, 2004年4月28日,给出了对TCG目标和体系结构的介绍。 其定义了4吏用启用了可信平台才莫块(Trusted Platfrom Modules, TPM) 的平台的预期场景、顺应性过程以及有关制造和支持过程的预期建议。
因此,希望揭:供一种这样的方法,即该方法呈递数据处理系统中一个 用户的数据而该数据对于此系统中另 一用户是隐藏的和不可获得的,
发明内容
根据本发明的方面的实施例,提供了一种用于保护用户数据免受未授 权访问的方法,所述方法包括在数据处理系统上的以下步骤维护以加密 形式存储在第二存储器上的所述用户数据,当使用操作系统加载器加载操 作系统时在第一磁盘密钥传输步骤中从第一用户系统接收仅当已经为所
述第 一用户系统启动了所述^作系统加载器时才可由所述数据处理系统访 问的对称用户密钥,其中接收的所M称用户密钥被密封到所述操作系统 加载器和对应于所述第一磁盘密钥传输步骤中的所述第一用户系统的用户
标识符的组合中;如果已经为所述第一用户系统启动了所述操作系统加载 器,则访问所述对称用户密钥;在用户数据解密步骤中使用所述对称用户 密钥来解密所述用户数据,在易失性存储器中维护所述对称用户密钥。该 方法的优点在于可用加密形式传输用户数据,由此4吏未授权访问受阻。 通过这样的机制保护了对称用户密钥,即该机制需要配置为授权访问用户 数据的用户而启动的操作系统加载器。这允许数据处理系统为多个用户运 行操作系统,但却使这些用户对其他用户的用户数据的访问受阻。其还可
作系统。举例来说,这样的操作者系统驱动的启动可用于提供负载平衡的 功能。
优选地,本发明的实施例进一步包括用于从所述用户系统接收所述用 户数据的用户数据传输步骤。以这样的方式,所述用户可以将其用户映《象 (user image)传输给任何数据处理系统以便为该用户系统初始化操作系 统。
理想地,本发明的实施例进一步包括用于与所述用户约定更新的用户 密钥的密钥一致性协议(key agreement protocol)步骤。以这样的方式, 所述用户系统和所述数据处理系统均拥有所述更新的用户密钥。 优选地,所述操作系统加载器包括引导加载器(bootloader)。 理想地,在本发明的实施例中,在所述第一磁盘密钥传输步骤中,依 照TCG规范体系结构,通过使用第一可信平台模块在第一密封步骤中创 建所述密封。
优选地,本发明的实施例进一步包括用于将所述对称用户密钥密封到 所述^Mt系统加载器和对应于所述第一用户系统的用户标识符的组合中的 第二密封步骤。理想地,进行笫二磁盘密钥传输步骤用于将密封到所述操 作系统加载器和所述用户标识符的组合中的对称用户密钥传输给操作者系
统。优选地,进行启动命令步骤用于从操作者系统接收被密封到所述操作 系统加载器和所述用户标识符的组合中的用户密钥。以这样的方式,当通 过耦合于其上的操作系统进行初始化时,所述数据处理系统便关闭和重新 引导,从而使得从用户系统接收到的用户数据的可见范围对于其它用户系 统而言,皮缩小了。
理想地,进行用户重新引导命令步骤以便根据来自所述第一用户系统 的重新引导命令而重新引导。当所述第 一用户系统初始化所述重新引导时, 其在此处随密封的用户密钥所加密的用户映像启动。由此,可以在这样的 方式下为所述数据处理系统先前的用户进行重新引导,即在该方式下,从 所述先前的用户接收到的机密数据对其他用户是不可见的。
优选地,进行操作者重新引导命令步骤以便根据来自所述操作者系统 的重新引导命令而重新引导。当所述操作系统向所述数据处理系统发布重 新引导命令时,其还向所述数据处理系统传送所述密封的用户密钥。由于 仅当在所述数据处理系统上加载了这样的配置时才可以拆开所述用户密 钥,即已经将所述密钥密封到所述配置并且所述配置对应于特定用户,因 此利用所述密钥加密的用户数据可以不^皮其他用户访问。
根据本发明的进一步的实施例,提供了一种用于保护用户数据免受未
授权访问的方法,所述方法包括在第一用户系统上的步骤在第一磁盘密 钥传输步骤中,向数据处理系统传输仅当已经为所述第一用户系统启动了 操作系统加载器时才可由所述数据处理系统访问的对称用户密钥,所传输 的对称用户密钥被密封到所述操作系统加载器和对应于所述第一磁盘密钥 传输步骤中的所述第一用户系统的用户标识符的组合中,从而使得所述数 据处理系统在已经为所述第 一用户系统启动了所述IMt系统加载器的情况 下访问所M称用户密钥,在用户数据解密步骤中使用所述对称用户密钥 解密所述用户数据,维护以加密形式存储在第二存储器上的所述用户数据, 以及在易失性存储器中维护所^称用户密钥。
根据本发明的另一方面的实施例,提供了一种包括计算机可读介质的 计算机程序产品,所述计算机可读介质含有可由处理器执行以实现上文所
述方法的程序指令。
本发明的另 一方面的优点对应于本发明的第 一方面的优点。
借助于例子,现在将参照附图,其中
图1是说明了耦合于第一用户系统和操作者系统的数据处理系统的示 意图2是为用户引导操作系统的方法的示意性说明; 图3是为用户重新引导操作系统的方法的示意性iJL明; 图4是由操作者系统;^的引导方法的示意性说明;以及 图5是由用户系统发起的引导方法的示意性说明。
具体实施例方式
图1是说明了耦合于第一用户系统10和操作者系统30的数据处理系 统20的示意图。第一用户系统10包括连接至第一控制器单元11和第一存 储单元13的第一处理器12,第一存储单元13中存有密封的密钥14。经由 第一网络连接1,第一处理器12耦合于作为数据处理系统20的一部分的 第二处理器22。第二处理器22连接至第二控制器单元21、 RAM24和第 二存储器23。第二存储器23包括第一用户映像25和第二用户映像26。经 由第二网络连接2,数据处理系统20耦合于第三处理器32。第三处理器 32是^作者系统30的一部分并且连接至其中存有密封的密钥34的第三存 储器33。在数据处理系统20上,可以执行本发明的实施例用于保护用户 数据免受未授岸又访问。
本发明的实施例可以支持TCG服务。
第一服务称为"证实(attestation),,。证实允许用户远程检验配置的完 整性。因此,证实可以用于检验出配置在硬盘上仅保存了加密数据,以便 关机迫使密钥丟失。
第二服务是密封。密封是由计算平台提供的操作,其能够将机密信息
密封到已经被加载在该计算平台上的配置中。换句话说,机密信息仅在其 已经被密封到的配置实际存在于该计算平台上时才可被访问。该特征可以 用于保证机密信息在启动期间不被j者如不同的用户这样的另 一配置获得。
保护连续机密性的主要机制在于使用密钥加密硬盘,并且当保存在该 硬盘上引导的任何映像时,仅在易失性存储器中保存密钥。 一旦关闭机器, 就会从该易失性存储器中擦除密钥。因而,磁盘上的数据对后续用户将是 不可见的。
用户具有个人配置映《象,例如,包括含有os的加密分区、应用和加 密的数据。该映像仅在客户同意并且检验出系统的基本配置(例如硬件、
BIOS、引导加载器)提供了特定的完整性保证(例如,在"纯,,硬件上而不 是在仿真器上启动该映像)的情况下才可启动。这可以包括在不同的数据 处理系统上启动相同的映l象。为了^t于连续重用,以及稍后由相同的用户 重用,数据处理系统可以提供分派给不同用户的逻辑加密磁盘分区。用户 到分区的映射可以是公用的,并且由用户ID到磁盘分区索引来确定,但 是对分区的访问将需要密钥,并且由上述方法控制。然后,向用户所收取 的费用可以是使用时间以及用于保留安全磁盘分区的时间和大小的函数。
本发明的实施例可以支持TPM的服务以便在引导时增强数据安全性。 这包括
用户与"他的"数据处理系统对话; lt据处理系统引导加密的OS; 仅数据处理系统获得密钥Kul;
数据处理系统不在硬盘或其它非易失性存储器上存储密钥Kul; 视情况,数据处理系统仅在用户许可时启动OS映寸象。 在图2中,说明了安装方法的步骤。操作者系统30在启动命令步骤 50中向数据处理系统20发布启动指令。第一用户系统10拥有专用和公用 密钥对,包括公钥pubm和私钥privm。第一用户系统10在公钥传输步骤 51中将其^H^ pubm发送给数据处理系统20。可以由向第一用户系统10 通知关于接收到的启动命令的数据处理系统20 ^该步骤。还有可能是第一用户系统10已经指示操作者系统30发布启动命令并且在其后发送乂^ pubm。第一用户系统10还在用户映像传输步骤52中将用户数据Dm (也 称为第 一用户映像25 )发送给数据处理系统20。在接收到公钥pubm和用 户数据Dm后,数据处理系统20使用操作系统加载器(例如,引导加载器 BL1)进行操作系统加栽步骤53。引导加载器BL1可以从公用资源获得。 以这样的方式,使用所接收到的用户数据Dxn启动用于第一用户系统10的 操作系统。操作系统加载步骤53的结果是运行操作系统映像OSm(D),且 第一用户映像25存储在第二存储器23中。已经利用第一用户映像25定制 了操作系统映像OSm(D)。此后数据处理系统20进行磁盘密钥生成步骤54。 其中操作系统映像OSm(D)使用接收到的第 一用户系统10的乂/H^ pubm生 成对称密钥Km并且加密该密钥Km。然后在第一磁盘密钥传输步骤55中 将得到的加密对称密钥Km发送给第一用户系统lO,在那里,可以使用其 私钥privm在磁盘密钥解密步骤61中将其拆开。操作系统映像OSm(D)进 行操作,此时其在第一磁盘加密步骤56中使用对称密钥Km加密其第二存 储器23。由于用户数据Dm已经存储在该第二存储器23中,因此还利用 对称密钥Km对其进行加密。对称密钥Km保存在RAM 24中。
操作者系统30可以在稍后的任何时刻执行关闭命令步骤57,其中, 操作者系统30向数据处理系统20发送关闭命令。于是,数据处理系统20 进行实现关闭的关闭步骤58,在此期间停止操作系统映像OSm(D),并且 删除RAM 24的内容。此后,数据处理系统20不再具备对对称密钥Km 的访问。然而,第一用户系统10具备对对称密钥Km的访问,这意味着仅 有第 一用户系统10可以通过使用所接收到和拆开的对称密钥Km来访问操 作系统映像OSm(D)。这也是数据处理系统20故障或休眠时的情况。
该方法承担着操作系统映像OSm(D)可能可由操作者系统30或由第二 用户访问的风险。因为在没用密码保护的情况下传输用户数据Dm,所以 这样的第二用户可以在用户映像传输步骤52期间访问该用户数据Dm。
在稍后的任何时刻,操作者系统30均可以通过向数据处理系统20发 送重新引导命令来执行操作者重新引导命令步骤59,于是,其可以在第二
磁盘密钥传输步骤60中从第一用户系统IO接M称密钥Km。可以由第 一用户系统10应数据处理系统20的要求,或者由第 一用户系统10在该第 一用户系统10已经通过请求操作者系统30执行操作者重新引导命令步骤 59来发起重新引导操作之后,再次执行该步骤。然后,数据处理系统20 进行磁盘解密步骤62,其中,数据处理系统20使用接收到的对称密钥Km 来解密第二存储器23并且因此获得解密的操作系统映像OSm(D)。故而, 数据处理系统20可以为第一用户系统10重新启动操作系统映像OSm(D)。 在图3中,说明了一种用于安装使用密封的对称密钥Km的^作系统 映寸象的方法。
在第一密封步骤48中,第一用户系统10生成对称密钥Km并且将该 对称密钥Km密封到配置BLl+Ul。该步骤48实现了仅在为第一用户系 统10启动了引导加载器BL1的情况下才可以访问对称密钥Km。由此, 可以使用TPM规范的机制,其被称为密封。因此,为第一用户系统10装 备能够进行这样的密封的TPM模块是有利的。该步骤48的结果是密封的 对称密钥Km,其在下面也被称为密封消息。然后,第一用户系统10在第 一磁盘密钥传输步骤49中将该密封消息发送给操作者系统30。
一旦操作者系统30进行启动命令步骤50,其便向数据处理系统20转 发密封消息。在那里,通过满足这样的配置,即为第一用户系统10启动了 引导加载器BL1,在启封步骤63中开启密封消息。结果,数据处理系统 20获得对称密钥Km。换句话说,数据处理系统20为第一用户系统10启 动可以再次从公用源获得的引导加栽器BL1。
第一用户系统10还使用对称密钥Km来加密用户映像Dm。为了使数 据处理系统20为第一用户系统10启动操作系统,第一用户系统10发送加 密的用户映4象Dm给数据处理系统20。
在加密的用户映像传输步骤64中, 一旦第一用户系统10已经将加密 的用户映像Dm传输给数据处理系统20,数据处理系统20就使用启封的 对称密钥Km进行用户数据解密步骤65,从而获得解密的用户映像Dxn。 在用户映像存储步骤66中,数据处理系统20在第二存储器23中存储用户
映像Dxn,并且在第一磁盘密钥加密步骤56中使用对称密钥Km加密用户 映像Dm。
由于已经以加密形式传输了用户映〗象Dm,因此该用户映l象Dm可以 含有机密信息,在没有对称密钥Km的情况下,第二用户看不见或不可访 问该机密信息。结果再次是运行的操作系统映像OSm(D),且第一用户映 像25存储在第二存储器23中。已经利用第一用户映像25定制了操作系统 映像OSm(D)。
在图3中用罗马数字I表示以上引导过程。
罗马数字II表示生成会话密钥km,(也称为更新的用户密钥)的任选 过程。通过利用密钥一致性协议步骤67中的密钥一致性协议,可以生成对 称会话密钥km,。因此,第一用户系统10和数据处理系统20其二者均拥 有对称会话密钥km,。在数据处理系统20处,引导加载器BL1使用对称 会话密钥kur加密用户映像Dm。
在图4中,说明了在由操作者系统30初始化时,关闭和重新引导操作 系统映像OSm(D)的过程。希望使得数据处理系统20对于先前已经使用了 该数据处理系统20的任"f可用户系统10能够以这样的方式重新引导,即在 该方式下,减少从该用户系统IO接收到的用户数据Dm对于其它用户系统 的可见性。
操作者系统30可以执行关闭命令步骤57,其中,操作者系统30发送 关闭命令给数据处理系统20。此处,数据处理系统20在这样的状态下启 动关闭过程,即在该状态下,其具有存储在第二存储器23中的用户映l象 Dm,其中已经通过对称会话密钥kur加密了用户映像Dm。如果之前并未 使用密钥一致性协议步骤67,则已经通过对称用户密钥Km加密了用户映
在笫二密封步骤69中,引导加载器BL1将对称会话密钥km,密封到 配置BL1 + U1,即仅当为笫一用户系统10启动了引导加载器BL1时才可 访问该对称会话密钥km,。在第二密封的磁盘密钥传输步骤70中,数据处 理系统20的引导加载器BL1向操作者系统30传递密封的对称会话密钥km,。在图4中用罗马数字III表示该关闭过程。
接下来,如图4中由罗马数字IV表示的,描述了在通过操作者系统 30初始化时,操作系统映像OSm(D)的重新引导。可能会有这样的安排, 在其中,数据处理系统20可以选择启动什么映像而无需询问第 一用户系统 10。举例来说,在联网环境中,其中若干用户系统在若干数据处理系统上 运行若干操作系统映像,用于该联网环境的操作者系统可以尽力进行负载 平衡判定,以便将负载重新分发到各个数据处理系统上。在这样的情况下, 可以减少为一个用户运行的操作系统映像的数目(例如,如果该用户具有 较少的有效运行的过程),但却可以增加用于另一用户系统的操作系统映 像的数目(例如,如果该用户需要更多的操作系统映像来操作其过程)。 这类负载平衡可以在不涉及用户系统的情况下实施,即由操作者系统自行 实施。
当操作者系统30决定重新引导引导加载器BL1时,其在此处随含有 用户映像Dm的加密的第二存储器23启动,其中已经由对称会话密钥kxn, 对用户映像Dm进行了加密。已经将对称会活密钥kur密封到BL1 + Ul, 并且可以在操作者系统30的PCR (即平台配置寄存器)中维护该密封。 将用户Ul的身份作为密封的成分添加到PCR确保了^Mt者系统30可以 在任何时候获得该用户身份。由于仅当BL1 + Ul被正确地存储在PCR中 时才可以检索/启封对称会话密钥km,,因此操作者系统30还可以请求对 应的PCR值并且因而确i/J获得已经存储在PCR中的用户IDU1。这样, 操作者系统30可以在任何需要的时候标识用户。
操作者系统30在启动命令步骤50中向数据处理系统20发布启动命 令。操作者系统30还向数据处理系统20传递被密封到(BL1+U1)的对 称会活密钥km,。在那里,通过满足这样的配置,即为第一用户系统10启 动了引导加载器BL1,在启封步骤63中开启密封的对称会话密钥kur。结 果,数据处理系统20获得对称会话密钥km,。换句话说,数据处理系统20 为第一用户系统10启动可以再次从z^用源获得的引导加载器BLl。
使用启封的对称会话密钥km,,数据处理系统20进行用户数据解密步
骤65,从而获得解密的用户映像Dm。
图5是由用户系统^的引导方法的示意性说明。目的是使得数据处 理系统20能够以这样的方式为先前已经使用了该数据处理系统20的任何 用户U重新引导,即在该方式下,从该用户U接收到的机密数据对于其他 用户来说是不可见的。在图5中罗马数字Va和Vb分别表示由用户系统发 起的可选的引导方法。
当第 一用户系统10初始化重新引导时,其在此处随含有用户映像Dm 的加密的第二存储器23启动,其中已经由对称会活密钥kur对用户映像 Dm进行了加密。已经将对称会话密钥km,密封到BL1+U1,并且可以在操 作者系统30的PCR (即平台配置寄存器)中维护该密封。
参照由罗马数字Va所指示的方法,重新引导命令是在第一用户系统 IO处发起的,并且在重新引导命令步骤71中将其从那里传输至操作系统 30。作为响应,操作系统30在重新引导命令步骤59中向数据处理系统20 发布重新引导命令。操作系统30还向数据处理系统20传递被密封到 (BL1+U1)的对称会活密钥km,。在那里,通过满足这样的配置,即为第 一用户系统10启动了引导加载器BL1,在启封步骤63中拆开密封的对称 会话密钥kur。使用启封的对称会活密钥km,,数据处理系统20进行用户 数据解密步骤66,从而获得解密的用户映像Dm。
参照由罗马数字Vb所指示的方法,当重新引导数据处理系统20时, 发起密封参数c并且在密封参数广播步骤73中将其传输至用户系统10。 作为响应,用户系统10执行第三密封步骤74,其中密封参数c用于密封 对称会话密钥kur,对称M密钥kxn,被密封到配置(BLl+Ul+c)。如上 文参照罗马数字Va所指示的方法所描述的,当重新引导命令在重新引导 命令步骤71中由用户系统10 J^并且被传输至操作系统30时,密封的对 称会话密钥kur也被传输至操作系统30。作为响应,操作系统30在重新引 导命令步骤59向数据处理系统20发布重新引导命令。操作系统30还向数 据处理系统20传送净皮密封到(BLl+Ul+c)的对称会话密钥km,。在那里, 通过满足这样的配置,即为第一用户系统10启动了引导加载器BL1,在启 封步骤63中开启密封的对称会话密钥km,。使用启封的对称会话密钥km,, 数据处理系统20进行用户数据解密步骤66 ,从而获得解密的用户映像Dxn。 在这种情况下,操作系统30不能够将对称会话密钥kur密封到配置 (BLl+Ul+c),即使其具有密封参数(c),因为其仅具有密封配置中的对 称会话密钥km,,但却没有办法开启该密封。
本发明的实施例可以用于如上所述的各个数据处理系统或者用于数据 处理系统的逻辑分区,其中所述逻辑分区对于运行在同 一数据处理系统上 的其它逻辑分区是安全的。每个逻辑分区使用上述方法之一,并且后续重 用是具有逻辑分区的。
本发明的实施例还可以一般化为这样的情况,即用户出于并行计算的 目的而访问一组数据处理系统。该组数据处理系统继而包括一组安全的数 据处理系统。在这种情况下,为了访问用户数据,可以使用中央"客户控制 (customer control)"数据处理系统。与为了访问用户数据而解锁该组数据 处理系统有关的机密信息可以存储在客户控制数据处理系统上。从更广的 -见角来看,用户可以解锁他的控制数据处理系统,而该控制数据处理系统 然后为该用户解锁计算数据处理系统。
另一种一般化是提供一种在数据处理系统处的安全挂起操作,其中将 用户的专用数据写入磁盘,并且从存储器中清除该专用数据,从存储器中 移除有关密钥的所有信息,并且然后可以将该数据处理系统或逻辑分区顺 次重用于使用相同OS的另一用户。这可以通过在存储器的预定部分存储
已经参照被实现为引导加载器BL1的操作系统加载器而描述了本发明 的实施例。当然,本发明并不限于此并且可以选择任何其它适当的操作系 统加载器来实现该目的。
可以部分或全部以软件或硬件或其组合的方式来实施本发明的实施 例。以硬件实施时,其可以由一种用于保护数据免受未授权访问的装置来 实现。以软件实施时,其可以由计算积一呈序产品来实现。可以在计算机可 读介质上提供该计算^4呈序产品,该计算机可读介质含有可由计算机执行
以实现本发明的方法方面的实施例的步骤的软件指令。举例来说,计算机
可读介质可以是CD-ROM、 DVD、闪存卡、硬盘,或者任何适合的计算 才几可读介质,例如网络内的存储介质。
以上已经完全借助于例子描述了本发明,并且可以在本发明的范围内 进行细节上的修改。
可以独立地或者以任何适当的组合的方式提供本说明书中所公开的每 个特征,并且在适当的场合,以这样的方式提供权利要求和附图。
权利要求
1.一种用于保护用户数据免受未授权访问的方法,所述方法包括在数据处理系统上的以下步骤-维护以加密形式存储在第二存储器上的所述用户数据,-当使用操作系统加载器加载操作系统时在第一磁盘密钥传输步骤中从第一用户系统接收仅当已经为所述第一用户系统启动了所述操作系统加载器时才可由所述数据处理系统访问的对称用户密钥,其中接收的所述对称用户密钥被密封到所述操作系统加载器和对应于所述第一磁盘密钥传输步骤中的所述第一用户系统的用户标识符的组合中;如果已经为所述第一用户系统启动了所述操作系统加载器,则访问所述对称用户密钥;在用户数据解密步骤中使用所述对称用户密钥解密所述用户数据,在易失性存储器中维护所述对称用户密钥。
2. 根据权利要求l的方法,其进一步包括用户数据传输步骤,用于从 所述第 一用户系统接收所述用户数据。
3. 根据权利要求l的方法,其进一步包括密钥一致性协议步骤,用于 与所述用户约定更新的用户密钥。
4. 根据权利要求l的方法,其中所述操作系统加载器包括引导加载器。
5. 根据权利要求l的方法,其中,在所述第一磁盘密钥传输步骤中, 依照可信计算组织规范体系结构,通过使用第一可信平台模块,已经在第 一密封步骤中创建了所述密封。
6. 根据权利要求l的方法,其进一步包括第二密封步骤,用于将所述 对称用户密钥密封到所述操作系统加载器和对应于所述第 一用户系统的所 述用户标识符的组合中。
7. 根据权利要求6的方法,其进一步包括第二磁盘密钥传输步骤,用 于向操作者系统传输被密封到所述操作系统加栽器和所述用户标识符的组合中的用户密钥。
8. 根据权利要求6的方法,其进一步包括启动命令步骤,用于从操作 者系统接收被密封到所述操作系统加载器和所述用户标识符的组合中的对 称用户密钥。
9. 根据权利要求8的方法,其进一步包括用户重新引导命令步骤,用 于根据来自所述第 一用户系统的重新引导命令进行重新引导。
10. 根据权利要求8的方法,其进一步包括操作者重新引导命令步骤, 用于根据来自所述操作者系统的重新引导命令进行重新引导。
11. 一种用于保护用户数据免受未授权访问的方法,所述方法包括在 第一用户系统上的步骤画在第一磁盘密钥传输步骤中,向数据处理系统传输仅当已经为所述 第一用户系统启动了系统加载器时才可由所述数据处理系统访问的对 称用户密钥,所传输的对称用户密钥被密封到所述操作系统加载器和对应 于所述第 一磁盘密钥传输步骤中的所述第 一用户系统的用户标识符的組合 中,从而使得所述数据处理系统在已经为所述第 一用户系统启动了所述操 作系统加载器的情况下访问所述对称用户密钥,在用户数据解密步骤中使 用所述对称用户密钥解密所述用户数据,维护以加密形式存储在第二存储 器中的所迷用户数据,以及在易失性存储器中维护所述对称用户密钥。
12. 计算机系统,其包括用于实现根据权利要求1至11中的任何一 项的方法的装置。
全文摘要
本发明涉及一种用于保护用户数据免受未授权访问的方法,该方法包括在数据处理系统上的以下步骤维护以加密形式存储在第二存储器上的所述用户数据,当使用操作系统加载器加载操作系统时在第一磁盘密钥传输步骤中从第一用户系统接收仅当已经为所述第一用户系统启动了该操作系统加载器时才可由该数据处理系统访问的对称用户密钥,其中接收的对称用户密钥被密封到该操作系统加载器和对应于所述第一磁盘密钥传输步骤中的所述第一用户系统的用户标识符的组合中;如果已经为所述第一用户系统启动了该操作系统加载器,则访问该对称用户密钥;在用户数据解密步骤中使用该对称用户密钥解密所述用户数据,在易失性存储器中维护所述对称用户密钥。
文档编号G06F21/24GK101206705SQ20071015967
公开日2008年6月25日 申请日期2007年12月19日 优先权日2006年12月19日
发明者D·M·迪亚斯, M·斯泰纳, M·申特尔 申请人:国际商业机器公司