[发明专利]一种基于固件和USBkey的联合全盘加密的可信启动方法

说明书

一种基于固件和USBkey的联合全盘加密的可信启动方法，主要包括固件准备、boot分区准备、装机准备和开机可信启动；所述开机可信启动包括首次开机可信启动和非首次开机可信启动；所述首次开机可信启动和所述非首次开机可信启动均分为所述固件验证所述boot分区、所述boot分区验证所述固件和所述boot分区验证所述磁盘三个阶段。本申请的有益效果是：能够确保硬盘在不可信的情况下不会被打开，保证了硬盘中数据的安全；把秘钥存到固件中，避免了其他硬件的使用，降低了整机成本；增加了全盘加密，用于保护关机时的用户数据。

技术领域

本申请属于可信启动技术领域，具体地说，涉及一种基于固件和USBkey的联合全盘加密的可信启动方法。

背景技术

随着个人PC的普及和人们对信息安全的重视，保护计算机以及个人数据的安全，已经成为了至关重要的问题。在保护计算机安全方面，可信启动已经成为重要的技术手段之一。可信启动是使用具有可信计算功能的芯片，实现开机阶段的硬件的识别和可信任性的检测，提高了计算机的安全。

1.可信启动

国际上，可信计算组织提出了“可信链”和“可信度量”的概念，并认为：如果信息系统由一个初始的“可信根”开始，在平台控制权每一次转换时，通过完整性度量将这种信任传递给下一个组件，则平台计算环境就始终是可信的。可信启动，不仅需要一个“可信根”，而且还需要对可信根做回朔校验。

在计算机系统中，启动过程是系统一切行为的基础。启动过程不但加载操作系统本身、负责初始化计算机系统的物理设备及操作系统本身状态，还启动系统维持正常运行所必要的可信进程及相关的服务程序。由于启动过程任何错误和疏漏都可能使操作系统进入不可预测的危险状态，因此启动过程是计算机系统实现可信计算的基础。

2.固件

固件就是写入EROM(可擦写只读存储器)或EEPROM(电可擦可编程只读存储器)中的程序。

固件是指设备内部保存的设备“驱动程序”，通过固件，操作系统才能按照标准的设备驱动实现特定机器的运行动作，比如光驱、刻录机等都有内部固件。

固件担任着一个系统最基础、最底层的工作，通常是硬件设备的灵魂。尤其当一些硬件设备除了固件以外没有其它软件组成时，固件也就决定着硬件设备的功能及性能。

3.USBkey

USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，所以保证了用户认证的安全性。

4.全盘加密

LUKS(Linux Unified Key Setup，Linux统一密钥设置)为linux硬盘分区加密提供了一种标准，它不仅能通用于不同的Linux发行版本，还支持多用户/口令。因为它的加密密钥独立于口令，所以即使口令失密，也可以迅速改变口令而无需重新加密真个硬盘。在使用它时必须首先对加密的卷进行解密，才能挂载其中的文件系统。

现有的可信启动技术需要使用可信计算模块，需要增加硬件成本。另外，由于现有大多数的可信启动技术都是使用可信根开始，单向的验证硬件信息的可信任性，并没有对用户数据做特别的保护处理，安全性差。