使用可信计算技术管理系统中存储设备密码的方法与流程

1.本发明属于计算机技术领域，具体涉及一种使用可信计算技术管理系统中存储设备密码的方法。


背景技术：

2.数据是信息的载体，计算机被用来传输，处理和存储各种数据，大量数据是高价值和敏感的，例如用户个人信息，银行交易记录，商业合同，科学实验数据，军事机密等。一个完善的计算机系统设计既要考虑如何高效合理的处理数据，也要考虑如何保护数据的安全性和可用性。
3.数据安全需要涵盖数据的三类状态包括：(1)数据正在被更新(data in use)，指的是系统中正在被实时处理更新的数据。这类数据一般存储在内存，cache或者其他易失的存储介质中；(2)数据正在被移动(data in motion)，数据正在网络或者各种数据总线(pcie，usb等)上传输。(3)静态数据(data at rest)，保持在存储状态中的数据，随着设备的迁移往往能被离线获取。例如离线备份的数据，数据仓库中保存的数据等。
4.为了保护第3类静态数据的安全，tcg国际行业标准组织可信计算组织(tcg，trusted computing group)从用户访问控制和存储数据自加密的维度，制定了opal/opalite/opal pyrite存储安全扩展协议族。协议包含内容锁定、用户配置、访问权限，安全擦除等一系列存储安全相关功能。当前，opal扩展协议族已经被ata/nvme/scsi等多个存储命令集实现，广泛应用于各种存储设备。
5.在tcg opal扩展协议中，只有存储设备密码的拥有者才有权限修改设备安全状态；也只有密码在验证通过后，才能正常访问存储数据。设备每次重置，设备都要求再次输入密码，重新验证身份；因此设备密码的拥有者也被称为设备的所有者。所有者既可以是一个特定的用户，如个人笔记本的终端用户；也可以是当前使用设备的可信系统，如通过可信验证的存储服务器，或是并行运行于服务器上的虚拟机。
6.在计算机系统安全设计中，数据存储时加密，读取时解密是保护静态数据安全(data at rest)的通行技术。现有实现主要包括两种方案:一种是在操作系统层面使用软件加解密存储数据,例如微软的bitlocker；另一种则完全依靠存储设备本身的安全特性拓展(如opal规范)，但在存储设备初始化时需要用户设置和提供解锁密码。如图2所示是终端系统中自加密存储设备(self-encrypted device)对用户数据及密钥的现有处理方式该方式下的密钥管理必须保持人在回路，且密码安全性较低。
7.但是现有的技术还存在以下问题：1.由用户设置存储设备密码安全性能弱，容易受字典攻击；2.海量存储设备集合中获取、更新解锁密码流程复杂，依赖人在回路，难以实现自动化部署。3.存储设备从系统迁移、回收或注销后，依赖人在回路，难以实现无缝重置硬盘或迁移到其他终端。


技术实现要素：

8.本发明解决的技术问题：提供一种通过验证系统的可信状态，赋予该系统安全存储设备密码的权限，在存储设备级别保护数据安全的使用可信计算技术管理系统中存储设备密码的方法。
9.技术方案：为了解决上述技术问题，本发明采用的技术方案如下：
10.一种使用可信计算技术管理系统中存储设备密码的方法，包括一个设备密码管理中心，终端系统需要被远端可信验证中心验证为可信状态后，生成存储设备密码查询或更新请求，该请求经远端的可信验证中心确认，并被转交给存储设备密码管理中心；在存储设备密码管理中心确认结果后，将结果加密返回对应的可信终端系统。
11.进一步地，终端系统获取存储设备密码后，将密码信息安全封存在本地，如果终端系统再次重置，且终端系统可信状态和存储设备列表未发生改变，则仅需完成本地可信验证，便能提取安全封存中的设备密码。
12.进一步地，存储设备密码管理中心实现对初始状态的存储设备设置初始密码；对回收的存储设备清除内容和重新设置密码，以及对注销的存储设备清除内容和管理信息的功能。
13.进一步地，存储设备密码管理中心维护一张全局设备和密码的映射表，密码改动操作被记录到映射表中。
14.进一步地，存储设备密码管理中心提供存储设备密码查询和更新服务，都涉及操作映射表，该服务只限于被可信验证中心访问。
15.进一步地，部署加密存储的终端系统必须主动向远端的可信验证中心证明自身可信，完成可信状态验证以后，终端系统向可信验证中心提交待解锁的存储设备列表，请求被转发到存储设备密码管理中心服务以获取密码，结果最终将转发给终端系统。
16.进一步地，部署加密存储设备的终端系统，完成完整的可信链构建，基于tpm可信根产生可信报告，报告需提交远端的可信验证中心验证。
17.有益效果：与现有技术相比，本发明具有以下优点：
18.本发明的使用可信计算技术管理系统中存储设备密码的方法，同样利用存储设备自身的安全特性拓展来保护存储数据安全，但要求远端系统通过可信状态认证，便可获得授权，查询、更新其上部署的存储设备密码，从而避免了依赖用户输入的过程。
19.本发明设计了一个全新的存储设备管理中心，既可以设置安全的设备密码，同时还提供了可靠的存储设备在线密码查询、更新服务。负责对所有存储设备的密码操作，包括密码初始化，安全擦除等。新的管理中心按照安全规范生成存储设备密码，随机性好，安全性高，避免了用户生成密码安全性弱，易受字典攻击的缺陷。
20.将存储设备所有权角色从用户迁移到验证可信的系统，通过先验证终端系统可信，后授予存储设备密码的新验证流程，紧密地关联系统可信状态和存储信息安全。避免了存储设备管理中完全依赖人在回路,真正做到了海量存储设备的自动化管理。
21.管理中心仅向可信验证中心(maa)开放密码查询，更新服务，并负责维护一张存储设备和密码的全局映射表。保证了仅有可信验证的系统获得存储设备密码，从而在存储设备级别保护数据安全。
附图说明
22.图1是一个现代服务器系统体系结构图。
23.图2是终端系统中自加密存储设备(self-encrypted device)对用户数据及密钥的现有处理方式。
24.图3是现有技术中存储设备密码的管理流程。
25.图4描述本发明设计的存储密码管理中心内部详细实现图。
26.图5描述本发明涉及的主要模块及交互流程。
27.图6描述本发明对应的算法流程图，灰色为新增加逻辑。
具体实施方式
28.下面结合具体实施例，进一步阐明本发明，实施例在以本发明技术方案为前提下进行实施，应理解这些实施例仅用于说明本发明而不用于限制本发明的范围。
29.本技术的使用可信计算技术管理系统中存储设备密码的方法，包括：存储设备、终端系统、存储设备密码管理中心(storage password authority spa)、可信验证中心(maa)。
30.更改存储设备密码所有权授权对象，对象从用户转变为使用设备的可信终端系统。只有在终端系统被证明可信时，才能够获取、更新相应存储设备密码。
31.存储设备密码管理中心全局管理所有处于使用周期内的存储设备，提供密码生成，更新和在线查询功能，定义了新的存储设备密码验证算法：部署加锁存储设备后，终端系统需经远端可信验证中心验证为可信后，才能间接向密码管理中心提交密码请求，从而获得存储设备的使用权。
32.终端系统必须搜索系统内所有安全存储设备，生成存储设备密码查询或更新请求，并向远端的可信验证中心发送。远端可信验证中心必须首先验证终端系统可信状态，远端可信验证中心必须在确认终端系统状态可信后，然后向存储设备密码管理中心转交可信终端系统发送的密码请求，在存储设备密码管理中心确认结果后，将结果加密返回对应的可信终端系统。
33.终端系统获取存储设备密码后，将密码信息安全封存在本地。如系统再次重置，且系统可信状态和存储设备列表未发生改变，则仅需完成本地可信验证，便能提取安全封存中的设备密码，从而避免了上述与远端可信验证中心的交互。
34.本实施例中创建了一个全新的存储设备密码管理中心，存储设备密码管理中心实现以下功能：1)为存储设备设置初始安全密码：对每个将要部署的存储设备随机生成的符合安全要求的密码；2)负责安全回收和注销存储设备在存储设备回收/注销后更新密码，安全擦除。3)存储设备密码管理中心维护一张存储设备id和对应密码的全局映射表。基于全局映射表，存储设备密码管理中心提供可靠的设备密码查询、更新服务，服务对象仅限于远端可信验证中心。4)存储设备密码管理中心被隐藏在可信安全边界以内，并仅向可信验证中心开放设备密码查询/更新服务。
35.可信验证中心实现以下功能：
36.1)可信验证中心验证终端系统是否可信，并向存储密码管理中心转交请求并返回结果。2)部署加密存储的终端系统必须主动向远端的可信验证中心证明自身可信。完成可
信状态验证以后，终端系统向可信验证中心提交待解锁的存储设备列表，请求被转发到存储设备密码管理中心服务以获取密码，结果最终将转发给终端系统。
37.tpm(trusted platform module，可信平台模块)是tcg标准定义的专用可信模块。tpm的核心功能包含密钥管理，数字签名，数据加密，身份认证，可信度量等。tpm可作为系统的存储和签名可信根，是整个系统可信链的基础。结合tpm和度量可信根，可以安全可靠的校验一个系统是否符合预期，即是否可信。
38.可信状态校验流程包括如下几个步骤：(1)可信状态收集，系统中的度量代理(measure agent)通过不断向tpm模块上的pcr寄存器延展当前系统状态、数据和执行代码的度量结果，从而构建起一条从系统启动开始的可信链路。(2)可信状态报告生成，可信链路的状态由对应pcr寄存器组保存，寄存器内的内容在被tpm中的报告代理(report agent)签名以后。可作为系统可信状态的依据。(3)可信状态验证，远端的可信验证中心(measurement assessment authority maa)将获取可信状态报告与预先部署的金钥状态做比较，依据结果断言系统是否处于可信状态。
39.验证系统的可信状态存在两种形式：
40.(1)远端可信验证，远端的可信验证中心作为验证主体。tpm作为可信报告根对收集系统状态进行签名后，传输给远端的可信验证中心。中心通过对比正确的系统状态记录(golden image)完成验证。在远程可信验证中，可信状态的签名证书链验证可从attestation identify key证书一直上溯到最终的根证书。
41.(2)本地可信验证，以本地tpm可信存储根作为验证主体。配置tpm安全策略，只有当系统状态满足预期的情况下才能从存储根(root of storage)中正确解出关键信息。本地验证不需要部署额外的远端可信验证中心，验证中不产生网络传输。以上两种可信验证方式可共存，本方法同时使用了这两种方式。
42.本实施例的具体实现过程如下：
43.步骤1：创建存储设备密码管理中心，存储设备密码管理中心的内部功能如图4所示，具体提供如下功能：
44.a)对初始状态的存储设备设置初始密码，如图4中的[1]，图5中的[6]所示的设备注册环节。
[0045]
b)对回收的存储设备，清除内容和重新设置密码，如图4中[2]，图5中[8]所示环节。
[0046]
c)对注销的存储设备清除内容和管理信息，如图4中的[3]，图5中的[8]所示环节。
[0047]
存储设备密码管理中心维护一张全局设备和密码的映射表(图4中[4]所示)，a，b，c中涉及的密码改动被记录到表中(如图4中[5][6]所示)。
[0048]
步骤2:存储设备密码管理中心提供存储设备密码查询和更新服务，都涉及操作映射表，该服务只限于被可信验证中心访问，如图4中[7]，图5中[2]所示环节。
[0049]
步骤3：部署加密存储设备的终端系统(如图5中[4]所示)，完成完整的可信链构建，基于tpm可信根产生可信报告(如图6中[1]所示)，报告需提交远端的可信中心验证中心。
[0050]
步骤4：如验证通过，终端系统继续加密存储设备的初始化，侦测和枚举(如图6中[2]所示)。
[0051]
步骤5：如需查询或更新存储设备密码，终端系统生成存储设备密码查询或更新请求(图6中[3]所示)，通过安全传输通道，发送到远端的可信验证中心(图5中[10]，图6中[4]所示)
[0052]
步骤6：远端的可信验证中心验证终端是否可信(图6中[11]所示)，并向存储密码管理中心转交请求并返回结果(图5中[11]所示)。
[0053]
步骤7:远端的可信验证中心，在安全传输通道上，向终端返回最新的存储设备密码信息(图5中[12],图6中[5]所示)
[0054]
步骤8:终端成功解锁存储设备，将密码信息按当前可信状态封存在本地。(图5中[13],图6中[7]所示)
[0055]
步骤9:终端再次启动后(图6中[8]所示)重复步骤3，4，5。如步骤4中发现存储设备信息需要更新则重复6，7，8图6中[9][10]所示)；如无更新则直接解封本地密码数据,解锁存储设备。
[0056]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。