本发明专利技术提供了一种ARM平台自动解密的方法、装置、设备及可读介质,该方法包括:响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;使用完整密钥对服务器加密文件进行自动解密。通过使用本发明专利技术的方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。运维。运维。
【技术实现步骤摘要】
一种ARM平台自动解密的方法、装置、设备及可读介质
[0001]本领域涉及计算机领域,并且更具体地涉及一种ARM平台自动解密的方法、装置、设备及可读介质。
技术介绍
[0002]随着信息技术的发展,基于ARM架构的设备在整个信息技术产业中占据着越来越重要的地位,除去ARM架构在移动设备中的统治地位外,ARM在终端和服务器这种信息基础设置中也得到了较快的发展,冲击着传统的x86架构的市场,但是在快速发展的过程中,信息安全的问题也越来越突出。在云计算时代,大量的云数据中心被创建,而大量异构的资源通过云平台统一管理,在大量机器的管理过程中,电源管理服务成为大部分服务器的标准配置,通过服务器电源管理服务可以快速的启动、关闭、重启服务器设备。同时,在数据中心中,大量的数据被集中在一起,数据的安全问题也尤为突出,数据加密成为保证数据安全的关键,在Linux系统中,LUKS提供了加密Linux卷或分区的能力,这些卷或分区包括了数据卷分区和操作系统的root分区。在对使用加密的root分区的引导过程中,用户必须输入LUKS加密的口令,才可以完成整个操作系统的引导过程,这在一些个人PC或笔记本电脑上是比较方便的,但这种输入口令的过程对于服务器或虚拟机是一个阻碍自动化实现的障碍,特别是服务器,在使用电源管理重启或负载均衡、高可用的过程中,输入用户口令的过程,将大大降价整个数据中心自动化运维的实现。
技术实现思路
[0003]有鉴于此,本专利技术实施例的目的在于提出一种ARM平台自动解密的方法、装置、设备及可读介质,通过使用本专利技术的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
[0004]基于上述目的,本专利技术的实施例的一个方面提供了一种ARM平台自动解密的方法,包括以下步骤:响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM(Firmware Trusted Platform Module,基于固件的可信平台模块)中;响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;使用完整密钥对服务器加密文件进行自动解密。
[0005]根据本专利技术的一个实施例,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:在ARM平台的TEE(Truested Execution Environent,可信壮行环境,运行在安全
世界状态,为TEE OS(运行在安全世界中系统)提供执行环境)中使用可信隔离空间,并在可信隔离空间中启动OPTEE操作系统;在OPTEE操作系统中启动并加载FTPM TA(Trusted Application,运行在安全世界状态,在TEE OS中运行)以提供TPM(可信赖平台模块)功能;在ARM平台的REE(Rich Execution Environment,丰富执行环境,为普通OS 提供执行环境)中加载固件,固件通过通信模块查看TEE中的TPM设备;响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。
[0006]根据本专利技术的一个实施例,服务器加密文件为根据LUKS(Linux Unified Key Setup,为Linux硬盘加密提供了一种标准)加密信息使用JSOE项目(一个C语言实现的JOSE,用于完成对象的签名和加解密操作)生成的JWE(JSON Web Encryption)文件,其中,JWE文件存储在LUKS的卷头中。
[0007]根据本专利技术的一个实施例,密钥为对JWE文件进行加密的JWK(JSON Web KEY)文件。
[0008]根据本专利技术的一个实施例,将第二部分密钥保存在FTPM中包括:将第二部分密钥通过平台计算器加密后保存在FTPM中。
[0009]根据本专利技术的一个实施例,响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥包括:响应于度量值与度量数据相同,从远程服务器中获取第一部分密钥,并将第二部分密钥进行解密;将第一部分密钥和解密后的第二部分密钥进行组合以获得完整的密钥。
[0010]根据本专利技术的一个实施例,还包括:响应于度量值与度量数据不完全相同,提示用户输入解密密码。
[0011]本专利技术的实施例的另一个方面,还提供了一种ARM平台自动解密的装置,装置包括:获取模块,获取模块配置为响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;切分模块,切分模块配置为将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;比较模块,比较模块配置为响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;合并模块,合并模块配置为响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;解密模块,解密模块配置为使用完整密钥对服务器加密文件进行自动解密。
[0012]本专利技术的实施例的另一个方面,还提供了一种计算机设备,该计算机设备包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机指令,指令由处理器执行时实现上述任意一项方法的步骤。
[0013]本专利技术的实施例的另一个方面,还提供了一种计算机可读存储介质,计算机可读
存储介质存储有计算机程序,计算机程序被处理器执行时实现上述任意一项方法的步骤。
[0014]本专利技术具有以下有益技术效果:本专利技术实施例提供的ARM平台自动解密的方法,通过响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;响应于服务器再次启动,获取服务器的度量值并将度量值与度量数据进行比较;响应于度量值与度量数据相同,获取第一部分密钥和第二部分密钥,将第一部分密钥与第二部分密钥组合成完整密钥;使用完整密钥对服务器加密文件进行自动解密的技术方案,能够有效的保证数据安全性管理的灵活性,能够提高整个数据中心的自动化运维。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
[0016]图1为根据本专利技术一个实施例的ARM平台自动解密的方法的示意性流程图;图2为根据本专利技术一个实施例的ARM平台架构的示意图;图3为根据本专利技术一个实施例的LUKS加密处理架构的示意图;图4为根据本专利技术一个实施例的ARM平台自动解密的装置的示意图;图5为根据本专利技术一个实施例的计算机设备的示意图;本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种ARM平台自动解密的方法,其特征在于,包括以下步骤:响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存;将服务器加密文件的密钥切分成两部分,并将第一部分密钥保存到远程服务器中,将第二部分密钥保存在FTPM中;响应于服务器再次启动,获取服务器的度量值并将所述度量值与所述度量数据进行比较;响应于所述度量值与所述度量数据相同,获取所述第一部分密钥和所述第二部分密钥,将所述第一部分密钥与所述第二部分密钥组合成完整密钥;使用所述完整密钥对服务器加密文件进行自动解密。2.根据权利要求1所述的方法,其特征在于,响应于固件启动,获取固件启动时的度量数据并将度量数据进行保存包括:在ARM平台的TEE中使用可信隔离空间,并在所述可信隔离空间中启动OPTEE操作系统;在所述OPTEE操作系统中启动并加载FTPM TA以提供TPM功能;在ARM平台的REE中加载固件,固件通过通信模块查看TEE中的TPM设备;响应于REE中的固件启动,TEE中的FTPM获取固件启动时的度量数据,并将获取到的度量数据进行保存。3.根据权利要求1所述的方法,其特征在于,所述服务器加密文件为根据LUKS加密信息使用JSOE项目生成的JWE文件,其中,所述JWE文件存储在LUKS的卷头中。4.根据权利要求3所述的方法,其特征在于,所述密钥为对所述JWE文件进行加密的JWK文件。5.根据权利要求1所述的方法,其特征在于,将第二部分密钥保存在FTPM中包括:将所述第二部分密钥通过平台计算器加密后保存在FTPM中。6.根据权利要求5所述的方法,其特征在于,响应于所述度量值与所述度量数据相同,获取所述第一部分密钥和...
【专利技术属性】
技术研发人员:韩春超,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。