本发明涉及系统盘与机器硬件绑定的方法,尤其涉及一种linux系统下基于tpm芯片实现系统盘与机器绑定的方法。
背景技术:
在当今高度信息化的时代下,人们常常会面对各种各样的机器,维护着各种各样的系统。虽说这种情况下应当各种系统可以很方便地运行在各种类型的机器上,但是现实的生产过程中,一些特殊场合,用户希望机器和系统一一对应起来,例如,一些研发信息系统的厂商,为了方便对已出货的机器进行维护与授权,因而不希望原本运行在某一机器上的系统被挪用到其它机器上。
为此,申请人进行了有益的探索和尝试,找到了实现系统与机器一一绑定的办法,下面将要介绍的技术方案便是在这种背景下产生的。
技术实现要素:
本发明所要解决的技术问题:针对现实的生产环境中系统盘被挪用或者丢失的问题,而提供一种linux系统下基于tpm芯片实现系统盘与机器绑定的方法,该方法实现系统盘与机器一一绑定,一张系统盘只有运行在固定的机器上,才可以正常运行并对外提供服务。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种基于tpm芯片实现系统盘与机器绑定的方法,包括以下步骤:
步骤s1,将系统盘中关键性数据文件集中至某一磁盘分区中,并使用加密工具对该包含有关键性数据文件的磁盘分区进行加密;
步骤s2,将磁盘分区的磁盘加密密钥通过tpm管理工具存入tpm芯片内;
步骤s3,编写系统启动执行脚本,该脚本实现通过tpm芯片存储的提取密码提取存放在tpm芯片内的磁盘加密密钥;
步骤s4,系统启动时运行系统启动执行脚本并获取存放在tpm芯片内的磁盘加密密钥,使用加密工具对包含有关键性数据文件的磁盘分区进行解密,系统加载包含有关键性数据文件的磁盘分区后正常运行并对外服务。
由于采用了如上的技术方案,本发明的有益效果在于:本发明的方法实现了系统盘与机器一一绑定,机器启动时如果是正常匹配的系统和机器,则系统正常运行,服务正常提供,否则由于关键性数据文件所在磁盘没有加载,系统无法正常提供服务,防止了系统盘被挪用,避免了由此带来的损失。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面进一步阐述本发明。
一种基于tpm的系统盘与机器绑定方法,包括以下步骤:
步骤1,在基本输入输出系统(bios)中开启可信赖平台模块(tpm);
步骤2,安装并加载tpm驱动;
步骤3,安装tpm通信软件协议(trousers);
步骤4,安装tpm管理工具(tpm-tools),并初始化tpm;
步骤5,将系统盘中关键性数据文件集中至某一个磁盘分区中;
步骤6,安装磁盘加密工具(cryptsetup);
步骤7,用加密工具(cryptsetup)加密步骤5中包含有关键性数据文件的磁盘分区;
步骤8,使用步骤4中的tpm管理工具(tpm-tools),将步骤7中磁盘分区的磁盘加密密钥保存到tpm芯片nvram中;
步骤9,编写系统启动执行脚本,该脚本实现使用步骤4中的tpm管理工具(tpm-tools)通过tpm芯片存储的提取密码,提取存放在tpm芯片内的磁盘加密密钥;
步骤10,系统启动时运行系统启动执行脚本,并使用步骤4中的tpm管理工具(tpm-tools)获取存放在tpm芯片内的磁盘加密密钥,再使用步骤6中的加密工具(cryptsetup)对包含有关键性数据文件的磁盘分区进行解密,系统加载包含有关键性数据文件的磁盘分区后正常运行并对外服务。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。