技術(shù)領(lǐng)域

本發(fā)明涉及一種用于保護(hù)數(shù)據(jù)處理系統(tǒng)的用戶的數(shù)據(jù)免受該數(shù)據(jù)處理系統(tǒng)的另一用戶的未授權(quán)訪問的方法。

背景技術(shù)

網(wǎng)格計算和效用計算(utility?computing)向遠(yuǎn)程用戶提供了在多個用戶之間共享的資源。限制使用網(wǎng)格(特別是超出單個企業(yè)的內(nèi)部網(wǎng)格)的一個問題在于：來自網(wǎng)格節(jié)點處的計算的數(shù)據(jù)可以由相同網(wǎng)格資源的后續(xù)用戶讀取，特別是在由不同用戶順序分配和使用網(wǎng)格節(jié)點或網(wǎng)格節(jié)點的邏輯分區(qū)(例如虛擬機)的情況下。當(dāng)從用戶切換到用戶時，所期望的安全特征是清除機密數(shù)據(jù)的資源。如果沒有關(guān)于用戶的計算的信息被泄露給獲得相同資源的下一用戶的這一情況將是有益的。

可信計算組織(Trusted?Computing?Group，TCG)規(guī)范體系結(jié)構(gòu)總覽版本1.2，2004年4月28日，給出了對TCG目標(biāo)和體系結(jié)構(gòu)的介紹。其定義了使用啟用了可信平臺模塊(Trusted?Platfrom?Modules，TPM)的平臺的預(yù)期場景、順應(yīng)性過程以及有關(guān)制造和支持過程的預(yù)期建議。

因此，希望提供一種這樣的方法，即該方法呈遞數(shù)據(jù)處理系統(tǒng)中一個用戶的數(shù)據(jù)而該數(shù)據(jù)對于此系統(tǒng)中另一用戶是隱藏的和不可獲得的。

發(fā)明內(nèi)容

根據(jù)本發(fā)明的方面的實施例，提供了一種用于保護(hù)用戶數(shù)據(jù)免受未授權(quán)訪問的方法，所述方法包括在數(shù)據(jù)處理系統(tǒng)上的以下步驟：維護(hù)以加密形式存儲在第二存儲器上的所述用戶數(shù)據(jù)，當(dāng)使用操作系統(tǒng)加載器加載操作系統(tǒng)時：在第一磁盤密鑰傳輸步驟中從第一用戶系統(tǒng)接收僅當(dāng)已經(jīng)為所述第一用戶系統(tǒng)啟動了所述操作系統(tǒng)加載器時才可由所述數(shù)據(jù)處理系統(tǒng)訪問的對稱用戶密鑰，其中接收的所述對稱用戶密鑰被密封到所述操作系統(tǒng)加載器和對應(yīng)于所述第一磁盤密鑰傳輸步驟中的所述第一用戶系統(tǒng)的用戶標(biāo)識符的組合中；如果已經(jīng)為所述第一用戶系統(tǒng)啟動了所述操作系統(tǒng)加載器，則訪問所述對稱用戶密鑰；在用戶數(shù)據(jù)解密步驟中使用所述對稱用戶密鑰來解密所述用戶數(shù)據(jù)，在易失性存儲器中維護(hù)所述對稱用戶密鑰。該方法的優(yōu)點在于：可用加密形式傳輸用戶數(shù)據(jù)，由此使未授權(quán)訪問受阻。通過這樣的機制保護(hù)了對稱用戶密鑰，即該機制需要配置為授權(quán)訪問用戶數(shù)據(jù)的用戶而啟動的操作系統(tǒng)加載器。這允許數(shù)據(jù)處理系統(tǒng)為多個用戶運行操作系統(tǒng)，但卻使這些用戶對其他用戶的用戶數(shù)據(jù)的訪問受阻。其還可操作以便允許不但由用戶而且由控制數(shù)據(jù)處理系統(tǒng)的操作者系統(tǒng)來啟動操作系統(tǒng)。舉例來說，這樣的操作者系統(tǒng)驅(qū)動的啟動可用于提供負(fù)載平衡的功能。

優(yōu)選地，本發(fā)明的實施例進(jìn)一步包括用于從所述用戶系統(tǒng)接收所述用戶數(shù)據(jù)的用戶數(shù)據(jù)傳輸步驟。以這樣的方式，所述用戶可以將其用戶映像(user?image)傳輸給任何數(shù)據(jù)處理系統(tǒng)以便為該用戶系統(tǒng)初始化操作系統(tǒng)。

理想地，本發(fā)明的實施例進(jìn)一步包括用于與所述用戶約定更新的用戶密鑰的密鑰一致性協(xié)議(key?agreement?protocol)步驟。以這樣的方式，所述用戶系統(tǒng)和所述數(shù)據(jù)處理系統(tǒng)均擁有所述更新的用戶密鑰。

優(yōu)選地，所述操作系統(tǒng)加載器包括引導(dǎo)加載器(bootloader)。

理想地，在本發(fā)明的實施例中，在所述第一磁盤密鑰傳輸步驟中，依照TCG規(guī)范體系結(jié)構(gòu)，通過使用第一可信平臺模塊在第一密封步驟中創(chuàng)建所述密封。

優(yōu)選地，本發(fā)明的實施例進(jìn)一步包括用于將所述對稱用戶密鑰密封到所述操作系統(tǒng)加載器和對應(yīng)于所述第一用戶系統(tǒng)的用戶標(biāo)識符的組合中的第二密封步驟。理想地，進(jìn)行第二磁盤密鑰傳輸步驟用于將密封到所述操作系統(tǒng)加載器和所述用戶標(biāo)識符的組合中的對稱用戶密鑰傳輸給操作者系統(tǒng)。優(yōu)選地，進(jìn)行啟動命令步驟用于從操作者系統(tǒng)接收被密封到所述操作系統(tǒng)加載器和所述用戶標(biāo)識符的組合中的用戶密鑰。以這樣的方式，當(dāng)通過耦合于其上的操作系統(tǒng)進(jìn)行初始化時，所述數(shù)據(jù)處理系統(tǒng)便關(guān)閉和重新引導(dǎo)，從而使得從用戶系統(tǒng)接收到的用戶數(shù)據(jù)的可見范圍對于其它用戶系統(tǒng)而言被縮小了。

理想地，進(jìn)行用戶重新引導(dǎo)命令步驟以便根據(jù)來自所述第一用戶系統(tǒng)的重新引導(dǎo)命令而重新引導(dǎo)。當(dāng)所述第一用戶系統(tǒng)初始化所述重新引導(dǎo)時，其在此處隨密封的用戶密鑰所加密的用戶映像啟動。由此，可以在這樣的方式下為所述數(shù)據(jù)處理系統(tǒng)先前的用戶進(jìn)行重新引導(dǎo)，即在該方式下，從所述先前的用戶接收到的機密數(shù)據(jù)對其他用戶是不可見的。