可以把临时的敏感信息存储在TPM的非易失性存储中,并且可以从该处将其安全且不可复原地删除。此外,存储在TPM中的信息可以保护存储在可在通信方面断开的存储介质上的信息打安全,从而当在通信方面断开时,存储在这样的介质上的信息就不可访问。可以通过存储在TPM中的密钥来保护整体容量加密服务密钥,并且即使在保护符保持可访问的情况下,通过从TPM中安全地删除所述密钥也会防止对于整体容量加密服务密钥的未经授权的泄露。此外,只有在计算设备处于由PCR决定的特定状态时才可以释放在TPM中存储的数据。可以对休眠镜像进行加密并且把密钥存储在TPM中,从而只有在其状态在休眠期间没有发生重大改变的情况下才释放所述密钥来解密镜像以及恢复活跃计算。
【技术实现步骤摘要】
【国外来华专利技术】临时秘密的安全存储
技术介绍
随着计算设备变得更加普及,更多敏感信息被存储在这样的计算设备上并且由其利用。因此,这样的计算设备的用户可能投入大量时间和精力来保护这种敏感信息的安全。 在用于保护敏感信息的安全的各种机制当中,基于口令的机制已经变得普遍。正如本领域技术人员将认识到的那样,基于口令的保护技术可以依赖于加密技术来施行其保护。更具体来说,基于口令的保护技术在传统上对数据集合进行加密,并且只有在提供适当口令的情况下才提供对这样的数据的访问。如果没有提供适当的口令,则所述数据保持已加密形式,从而被保护免于未经授权的泄露。利用基于口令的保护的普遍性和易于使用的特点的一种技术是整体容量加密,从而对存储在给定容量上的所有或几乎所有数据进行加密。因此,即使恶意实体获得对于其上存储有这样的数据的存储介质的物理访问,所述容量的数据仍然将保持受到保护,这是因为这种数据将按照已加密形式被存储。正如本领域技术人员将知道的那样,整体容量加密技术在传统上依赖于一层或更多层密钥来施行有效且高效的密钥管理。因此,例如可以利用“更高”层密钥来解密“更低”层密钥,并且最终可以利用最低层密钥来解密存储在所述存储介质上的数据本身。作为一种保护措施,可以把对于一层或更多层密钥的解密绑定到计算设备本身的状态,从而使得例如在把存储介质从计算设备中去除并且可通信地耦合到不同的计算设备的情况下,所述数据不可被解密,这是因为存储介质与之可通信地耦合的计算设备的状态将已发生改变。在计算设备的操作期间,即使是已经被配置成用于进行安全操作的计算设备,仍然可能存在这样的情况或情形在其期间可能必须以容易访问的形式存储敏感信息。举例来说,在对计算设备进行可能对计算设备的状态造成重大影响的更新的过程中,可能需要以容易访问的形式存储在整体容量加密机制中利用的一个或更多密钥,比如其解密在传统上被绑定到计算设备的状态的那些密钥。对于这种容易访问的信息的后续去除应当改进与按照容易访问的形式存储这种信息相关联的潜在的安全性问题。但是现今的存储介质常常利用这样的技术和科技其虽然把特定数据集合标记为已删除,但是并不实际破坏存储介质本身上的这种数据。举例来说,现今的基于磁性的存储介质常常包括这样的存储容量被标记为删除的数据可能在很长时间内都不会被实际覆写从而不会被不可恢复地破坏。在其间的时间内,所述数据可能仍然可以通过已知的数据恢复机制来访问。通过类似的方式,利用固态存储技术的现今的存储介质常常实施耗损均衡技术。作为这种技术的结果,现今的基于固态的存储介质可能直到在应当把数据不可复原地去除之后的很长时间才会实际覆写被标记为删除的数据。与基于磁性的存储介质一样, 由于基于固态的存储介质无法正确地删除这样的敏感信息,因此可能会导致显著更弱的安全性状况。
技术实现思路
现有的受信任平台模块(TPM)可以包括少量的安全存储容量。这样的TPM存储可以被利用来存储要被不可复原地去除的敏感信息集合当中的一些或全部。与其他现今的存储介质不同,TPM的设计规范特别要求TPM在被指示从其存储中去除数据时按照安全且不可复原的方式这样做。在一个实施例中,可以例如在特定的更新操作期间暂停整体容量加密机制,这是通过生成与所述整体容量加密机制相关联的一个或更多密钥的保护符并且随后把解锁该保护符的密钥存储在TPM的安全存储中而实现的。所生成的保护符可以包括元数据,所述元数据可以标识出TPM的安全存储内的其中存储解锁所述保护符的密钥的位置。随后,比如在完成更新操作之后,可以删除保护符和存储在TPM中的密钥。由于所述密钥将被不可复原地去除,因此即使在所生成的保护符本身没有被不可复原地去除的情况下(比如在其上存储所述保护符的存储介质的存储机制不提供对于被请求删除的数据的立即且不可复原的去除的情况下),所述整体容量加密仍然可以保持安全。在另一个实施例中,由密钥保护的信息(比如已加密信息)可以被存储在可能不提供或保证安全且不可复原的擦除的存储设备上。保护这样的信息的密钥可以被存储在TPM 的安全存储中。如果要不可复原地去除受保护的信息,则可以把密钥安全地并且不可复原地从TPM去除,并且受保护信息从而可以变得不可访问,即使在存储所述受保护信息的存储设备无法保证其安全且不可复原的去除的情况下也是如此。类似地,如果受保护信息被混叠、拷贝或者以某种其他形式被存储设备保留,则仍然可以通过单独保留在TPM中的密钥来实现对于这样的信息的控制(包括其不可复原的去除)。在又一个实施例中,如果存储介质被物理地去除并且因此与其先前可通信地耦合的计算设备断开通信,则存储在所述存储介质上的数据可以保持安全并且变为不可访问。 为了提供正确的计算设备对数据的鲁棒访问,可以利用整体容量加密机制来加密存储在这样的存储介质上的数据,并且可以由存储在TPM中的密钥保护与所述整体容量加密机制相关联的一个或更多密钥,但是对于存储在TPM中的密钥的访问不需要受到限制,诸如例如通过把对于该密钥的访问绑定到计算设备的特定配置。但是如果存储介质被物理地盗窃并且从而与计算设备断开通信,则无法从该计算设备的TPM获取这样的密钥,并且因此存储在所述存储介质上的数据将保持加密并且从而不可访问。在另一个实施例中,在计算设备处于休眠状态时,建立在所述计算设备上的计算环境的各个方面可以受到保护。当计算设备休眠时,可以独立于可能或者可能不由这样的计算设备利用的任何其他加密机制对所生成的休眠镜像进行加密。用于解密这样的已加密休眠镜像的密钥可以被存储在TPM中,并且可以将其从TPM到后续请求处理的释放绑定到休眠时的计算设备的特定配置。随后,当计算设备的操作从休眠中继续执行时,只有在计算设备的配置在其休眠时没有发生重大改变的情况下才能解密并访问所述已加密休眠镜像。 此外,当计算设备从休眠中继续执行时可以从TPM中删除用于对已加密休眠镜像进行解密的密钥,从而防止针对在其配置已发生重大改变的计算设备上访问并恢复所述已加密休眠镜像的多次尝试。提供本概要是为了以简化的形式介绍在下面的详细描述中进一步描述的一部分概念。本概要不意图标识出所要求保护的主题内容的访问控制特征或本质特征,也不意图被用来限制所要求保护的主题内容的范围。通过下面参照附图做出的详细描述,附加的特征和优点将变得显而易见。CN 102549594 A附图说明结合附图可以最好地理解下面的详细描述,其中 图1是包括TPM的示例性计算设备的图示;图2是示例性利用TPM来存储并且随后安全地删除被存储限定时间段的敏感信息的方框图3是示例性利用TPM来防止由于存储介质的物理失窃而导致数据散播的方框图; 图4是示例性利用TPM在休眠期间保护计算设备的方框图5是示例性利用TPM来存储并且随后安全地删除被存储限定时间段的敏感信息的流程图;以及图6是示例性利用TPM在休眠期间保护计算设备的流程图。 具体实施例方式下面的描述涉及利用现有的受信任平台模块(TPM)来存储或者以其他方式保留敏感信息,其中包括利用TPM的安全且不可复原地删除存储在TPM中的信息的能力,以及利用 TPM的把敏感信息的释放绑定到与所述TPM相关联的计算设备的特定配置的能力。在在其期间可能适当的做法是暂停整体容量加密机制的情况下,可以在保护符中加密与所述整体容量加密机制相关联本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:S索姆,CM伊拉克,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。