本发明专利技术涉及计算机科学技术领域,具体涉及一种基于可信芯片的磁盘加密方法,包括如下步骤:对待加密系统的所有磁盘分区进行查询,得到所述待加密系统的一可加密磁盘分区;随机生成加密密钥,对所述可加密磁盘分区进行LUKS加密,所述加密密钥对应所述可加密磁盘分区;将加密秘钥写入所述待加密系统的可信芯片,并添加一个令牌,将LUKS密钥槽与所述可信芯片绑定,令牌存储所述加密密钥写入可信芯片方式及与其关联的LUKS密钥槽,所述可信芯片中存储加密密钥;将所述可加密磁盘分区的信息和LUKS加密密钥与可信芯片绑定方式记录到加密系统配置文件,并将恢复密钥备份到管理平台。该方法通过将LUKS加密的加密密钥与可信芯片绑定的方式来保证加密密钥的安全性。方式来保证加密密钥的安全性。方式来保证加密密钥的安全性。
【技术实现步骤摘要】
基于可信芯片的磁盘加密方法及系统
[0001]本专利技术涉及计算机科学
,具体涉及一种基于可信芯片的磁盘加密方法、系统、电子设备和可读存储介质。
技术介绍
[0002]在信息技术飞速发展的时代,数据安全越来越重要,企业也越来越关注,保证数据安全的关键就是数据加密技术。LUKS是Linux一种比较流行的磁盘加密技术,加密就涉及到加密口令的安全问题,LUKS支持口令输入密钥或通过文件导入密钥,但是密钥安全性得不到保证,一旦密钥泄露或被窃取,则数据安全受到严重威胁。
[0003]因此,有必要提供一种数据加密的方法,提升LUKS加密的加密密钥的安全性。
技术实现思路
[0004]解决的技术问题针对现有技术所存在的上述缺点,本专利技术提供了一种基于可信芯片的磁盘加密方法,通过将LUKS加密的加密密钥与可信芯片绑定的方式来保证加密密钥的安全性。
[0005]技术方案为实现以上目的,本专利技术通过以下技术方案予以实现:本专利技术提供了一种基于可信芯片的磁盘加密方法,包括如下步骤:S1、对待加密系统的所有磁盘分区进行查询,得到所述待加密系统的一可加密磁盘分区;S2、随机生成加密密钥,对所述可加密磁盘分区进行LUKS加密,所述加密密钥对应所述可加密磁盘分区;S3、将所述加密秘钥写入所述待加密系统的可信芯片,并添加一个令牌,将LUKS密钥槽与所述可信芯片绑定,所述令牌存储所述加密密钥写入可信芯片方式及与其关联的LUKS密钥槽,所述可信芯片中存储所述加密密钥;S4、将所述可加密磁盘分区的信息和LUKS加密密钥与可信芯片绑定方式记录到加密系统配置文件。
[0006]进一步地,步骤S4还包括生成恢复密钥,所述恢复密钥用于恢复所述加密密钥,并将所述恢复密钥备份到所述管理平台。
[0007]进一步地,所述对所述可加密磁盘分区进行LUKS加密使用AES算法或者SM4算法。
[0008]进一步地,所述对所述可加密磁盘分区进行LUKS加密指对所述可加密磁盘分区的数据和文件系统进行加密。
[0009]进一步地,所述可信芯片为TPM芯片、CPU内置安全芯片或外置Ukey。
[0010]基于同一专利技术构想,本专利技术还提供了一种基于可信芯片的磁盘加密系统,使用上述任一项所述的磁盘加密方法,包括:磁盘加密模块,用于对待加密系统的可加密磁盘分区进行LUKS加密,并生成生成
加密密钥;可信芯片绑定模块,用于检测所述待加密系统的可信芯片,并根据所述可信芯片的类型添加令牌,将LUKS密钥槽与所述可信芯片绑定,记录所述加密密钥的写入可信芯片方式,并将所述可加密磁盘分区的信息,以及LUKS加密密钥与可信芯片绑定方式记录到加密系统配置文件;启动解密模块,用于根据加密系统配置文件,查找所述可加密磁盘分区,通过所述令牌在所述可信芯片中读取加密密钥,对所述可加密磁盘分区进行解密。
[0011]进一步地,还包括:密钥备份模块,用于生成恢复密钥,并对所述恢复密钥进行备份,所述恢复密钥用于在异常情况下进行所述加密密钥的恢复。
[0012]基于同一专利技术构想,本专利技术还提供了一种电子设备,包括处理器和存储器,所述存储器上存储有计算机程序,所述计算机程序被所述处理器执行时,实现上述的方法。
[0013]基于同一专利技术构想,本专利技术还提供了一种可读存储介质,所述可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时,实现上述的方法。
[0014]有益效果本专利技术提供的技术方案,与已知的公有技术相比,具有如下有益效果:本专利技术提供了一种基于可信芯片的磁盘加密方法,通过将LUKS加密的加密密钥与可信芯片绑定的方式来保证加密密钥的安全性。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本专利技术一实施例提供的基于可信芯片的磁盘加密方法步骤示意图;图2为本专利技术一实施例提供的基于可信芯片的磁盘加密方法加密流程示意图;图3为本专利技术一实施例提供的基于可信芯片的磁盘加密方法解密流程示意图。
具体实施方式
[0017]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0018]参阅图1,本专利技术一实施例提供了一种基于可信芯片的磁盘加密方法,包括如下步骤:S1、对待加密系统的所有磁盘分区进行查询,得到所述待加密系统的一可加密磁盘分区;S2、随机生成加密密钥,对所述可加密磁盘分区进行LUKS加密,所述加密密钥对应所述可加密磁盘分区;
S3、将所述加密秘钥写入所述待加密系统的可信芯片,并添加一个令牌,将LUKS密钥槽与所述可信芯片绑定,所述令牌存储所述加密密钥写入可信芯片方式及与其关联的LUKS密钥槽,所述可信芯片中存储所述加密密钥;S4、将所述可加密磁盘分区的信息和LUKS加密密钥与可信芯片绑定方式记录到加密系统配置文件。
[0019]具体加密的实施,参阅图2所示的加密流程:对于步骤S1,对待加密系统的所有磁盘分区进行查询,得到所述待加密系统的一可加密磁盘分区:其中,步骤S1的目的是获取分区信息和分区状态,根据分区状态确定可加密分区,如果分区为未加密状态,则该分区可加密;如果分区为加密中断(异常重启或中断),则该分区可继续加密;如果分区为已加密状态,则该分区不可加密。
[0020]对于步骤S2,随机生成加密密钥,对所述可加密磁盘分区进行LUKS加密,所述加密密钥对应所述可加密磁盘分区,即通过随机数方式生成的密钥,相对人为口令输入密钥,密钥复杂度和安全性更高。LUKS是一种Linux硬盘加密标准,其规定了各种硬盘加密软件的密钥管理等功能的兼容实现接口。通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理。因此,可使用LUKS方式对磁盘分区进行加密。
[0021]在本实施例中,LUKS加密时可以指定加密算法,除支持AES等国际算法,还支持SM4等国密算法。
[0022]在本实施例中,除所述可加密磁盘分区的数据外,文件系统也进行加密,即分区数据全部为密文,提高分区数据安全性,减少数据被分析的可能。所述可加密磁盘分区加密完成挂载后,对所述可加密磁盘分区写入数据,直接进行加密,从分区读取数据,直接进行解密,加密过程对用户透明。
[0023]对于步骤S3,将所述加密秘钥写入所述待加密系统的可信芯片,并添加一个令牌,将LUKS密钥槽与所述可信芯片绑定,所述令牌存储所述加密密钥写入可信芯片方式及与其关联的LUKS密钥槽,所述可信芯片中存储所述加本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于可信芯片的磁盘加密方法,其特征在于,包括如下步骤:S1、对待加密系统的所有磁盘分区进行查询,得到所述待加密系统的一可加密磁盘分区;S2、随机生成加密密钥,对所述可加密磁盘分区进行LUKS加密,所述加密密钥对应所述可加密磁盘分区;S3、将所述加密秘钥写入所述待加密系统的可信芯片,并添加一个令牌,将LUKS密钥槽与所述可信芯片绑定,所述令牌存储所述加密密钥写入可信芯片方式及与其关联的LUKS密钥槽,所述可信芯片中存储所述加密密钥;S4、将所述可加密磁盘分区的信息和LUKS加密密钥与可信芯片绑定方式记录到加密系统配置文件。2.根据权利要求1所述的基于可信芯片的磁盘加密方法,其特征在于,步骤S4还包括生成恢复密钥,所述恢复密钥用于恢复所述加密密钥,并将所述恢复密钥备份到管理平台。3.根据权利要求1所述的基于可信芯片的磁盘加密方法,其特征在于,所述对所述可加密磁盘分区进行LUKS加密使用AES算法或者SM4算法。4.根据权利要求1所述的基于可信芯片的磁盘加密方法,其特征在于,所述对所述可加密磁盘分区进行LUKS加密指对所述可加密磁盘分区的数据和文件系统进行加密。5.根据权利要求1所述的基于可信芯片的磁盘加密方法,其特征在于,所述可信芯片为TPM芯片、CPU内置安全芯片或外置Ukey。6.一种基于可信芯片的磁...
【专利技术属性】
技术研发人员:崔建英,马桂才,杨诏钧,魏立峰,韩光,姬一文,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。