用于可移除存储介质的加密密钥转让专利
申请号 : CN202110389170.3
文献号 : CN113761602B
文献日 : 2023-02-10
发明人 : L·A·普莱姆斯伯格 , J·D·西斯内罗斯 , V·Y·卡什申
申请人 : 慧与发展有限责任合伙企业
摘要 :
本公开涉及一种用于可移除存储介质的加密密钥。在一些示例中,一种装置从管理控制器的安全存储装置接收多个加密密钥,其中,多个加密密钥中的第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,并且多个加密密钥中的第二加密密钥用于限制访问插入计算机的子集中的可移除存储介质上的信息。该装置使用多个加密密钥中的给定的加密密钥对向插入计算机中的第一计算机中的第一可移除存储介质写入的信息进行加密或对从其读取的信息进行解密,其中,管理控制器与第一计算机的处理器相关联并与其分开。
权利要求 :
1.一种非暂态机器可读存储介质,所述非暂态机器可读存储介质包括指令,所述指令在执行时使得装置进行以下操作:从管理控制器的安全存储装置接收多个加密密钥,其中,所述多个加密密钥中的第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,并且所述多个加密密钥中的第二加密密钥用于限制访问插入所述计算机的子集中的可移除存储介质上的信息;以及使用所述多个加密密钥中的给定的加密密钥对向插入所述计算机中的第一计算机中的第一可移除存储介质写入的信息进行加密或对从插入所述计算机中的第一计算机中的第一可移除存储介质读取的信息进行解密,其中,所述管理控制器与所述第一计算机的处理器相关联并与所述第一计算机的处理器分开,其中,用所述给定的加密密钥对所述第一可移除存储介质上的文件系统信息进行加密,使得不具有所述给定的加密密钥的任何计算机将所述第一可移除存储介质检测为未初始化的可移除存储介质。
2.如权利要求1所述的非暂态机器可读存储介质,其中,所述指令在执行时使得所述装置进行以下操作:在没有所述给定的加密密钥的情况下防止根据插入所述第一计算机中的第一可移除存储介质上的机器可读指令进行引导。
3.如权利要求1所述的非暂态机器可读存储介质,其中,用所述给定的加密密钥所加密的在所述第一可移除存储介质上的文件系统信息包括引导扇区区域,并且不能对所述引导扇区区域进行解密使得计算机将所述第一可移除存储介质检测为未初始化并且防止根据所述第一可移除存储介质进行引导。
4.如权利要求1所述的非暂态机器可读存储介质,其中,所述多个加密密钥用于防止由所述场所的计算机向所述第一可移除存储介质写入的信息被所述场所外部的计算机访问。
5.如权利要求1所述的非暂态机器可读存储介质,其中,来自所述管理控制器的安全存储装置的多个加密密钥不包括第三加密密钥,所述第三加密密钥用于在第二可移除存储介质插入所述计算机中的第二计算机中时对所述第二可移除存储介质上的信息进行加密,并且其中,所述装置不能在所述第二可移除存储介质插入所述第一计算机中时访问所述第二可移除存储介质上的加密的信息。
6.如权利要求1所述的非暂态机器可读存储介质,其中,所述计算机的子集是第一计算机子集,并且其中,所述多个加密密钥还包括第三加密密钥,所述第三加密密钥用于限制访问插入与所述第一计算机子集不同的第二计算机子集中的可移除存储介质上的信息。
7.如权利要求1所述的非暂态机器可读存储介质,其中,所述装置包括所述管理控制器或者加速器装置中的一者。
8.如权利要求1所述的非暂态机器可读存储介质,其中,所述指令在执行时使得所述装置进行以下操作:响应于对插入所述第一计算机中的第一可移除存储介质进行读取,迭代地应用所述多个加密密钥中接连的加密密钥以找到所述给定的加密密钥,以用于对从所述第一可移除存储介质取得的加密的信息进行解密。
9.如权利要求1所述的非暂态机器可读存储介质,其中,所述第一加密密钥基于种子信息。
10.如权利要求1所述的非暂态机器可读存储介质,其中,从中接收所述多个加密密钥的管理控制器包括基板管理控制器,所述基板管理控制器用于执行所述装置的功率管理或者所述装置的热管理中的任一项或其组合,尽管在所述装置上未安装操作系统或所述操作系统在所述装置上不起作用,并且尽管所述基板管理控制器由辅助电源供电而对所述处理器的电源是关闭的。
11.如权利要求1所述的非暂态机器可读存储介质,其中,能够使用所述管理控制器对所述多个加密密钥进行更新。
12.一种第一计算机,包括:
端口,所述端口用于接收可移除存储介质;
处理器;
管理控制器,所述管理控制器与所述处理器分开并且包括用于存储多个加密密钥的安全存储介质,其中,所述多个加密密钥中的第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,并且所述多个加密密钥中的第二加密密钥用于限制访问插入所述计算机的子集中的可移除存储介质上的信息,所述子集包括所述第一计算机;以及非暂态存储介质,所述非暂态存储介质存储指令,所述指令能够在所述第一计算机中执行以进行以下操作:从所述管理控制器接收所述多个加密密钥,
使用所述第一加密密钥对从插入所述端口中的可移除存储介质读取的加密的文件系统信息进行解密,所述加密的文件系统信息是由所述计算机中的第二计算机使用所述第一加密密钥加密的,其中,所述加密的文件系统信息包括对文件的文件系统结构进行定义的信息,并且其中,在不具有所述第一加密密钥的情况下,所述可移除存储介质将被计算机检测为未初始化,以及使用所述第二加密密钥对向插入所述端口中的可移除存储介质写入的信息进行加密。
13.如权利要求12所述的第一计算机,其中,所述指令能够在所述第一计算机中执行以进行以下操作:使用所述第二加密密钥对从插入所述端口中的可移除存储介质读取的另一加密的信息进行解密,所述另一加密的信息是由所述子集的另一计算机使用所述第二加密密钥加密的。
14.如权利要求12所述的第一计算机,其中,所述加密的文件系统信息包括加密的引导扇区区域,所述引导扇区区域包括用于引导计算机的指令,并且其中,在不具有所述第一加密密钥的情况下,计算机将不能根据所述引导扇区区域进行引导。
15.如权利要求12所述的第一计算机,其中,所述第二加密密钥与所述场所的第一组相关联,并且所述指令不能读取插入所述端口中的另一可移除存储介质上的另一加密的信息,所述另一加密的信息是用与所述场所的不同的第二组相关联的第三加密密钥加密的。
16.如权利要求12所述的第一计算机,其中,所述指令能够在所述第一计算机中、与所述处理器分开的所述管理控制器或加速器装置上执行。
17.如权利要求12所述的第一计算机,其中,所述管理控制器用于响应于来自所述第一计算机外部的实体的远程访问而更新所述多个加密密钥。
18.一种用于第一计算机的方法,所述方法包括:
从所述第一计算机中的管理控制器的安全存储装置接收多个加密密钥,其中,所述多个加密密钥包括:第一加密密钥,所述第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的加密的文件系统信息,所述加密的文件系统信息包括加密的引导扇区区域,并且其中,在不具有所述第一加密密钥的情况下,计算机将存储所述加密的文件系统信息的可移除存储介质检测为未初始化,第二加密密钥,所述第二加密密钥与所述场所处的第一组组织相关联并且用于限制访问插入与所述第一组组织相对应的第一计算机子集中的可移除存储介质上的信息,以及第三加密密钥,所述第三加密密钥与所述场所处的第二组组织相关联并且用于限制访问插入与所述第二组组织相对应的第二计算机子集中的可移除存储介质上的信息;以及响应于检测到插入所述第一计算机的端口中的可移除存储介质,确定使用所述多个加密密钥中的哪个来访问所述可移除存储介质中的加密的信息。
19.如权利要求18所述的方法,其中,所述加密的引导扇区区域包括用于引导计算机的引导指令。
说明书 :
用于可移除存储介质的加密密钥
背景技术
[0001] 可移除存储介质可以被插入计算机中,以允许读取可移除存储介质上的信息或向远程可移除存储介质写入信息。可移除存储介质的示例包括通用串行总线(USB)存储介质。USB存储介质可以具有相对大的存储容量并且相对便宜。因此,未经授权的人员或有着恶意意图的人员可以将具有恶意有效载荷的可移除存储介质插入组织的计算机以造成损害,或者未经授权的人员或有着恶意意图的人员可以将该组织的敏感数据拷贝到可移除存储介质上以窃取敏感数据。
附图说明
[0002] 关于以下附图描述了本公开的一些实施方式。
[0003] 图1是根据一些示例的计算机的框图。
[0004] 图2图示了根据一些示例的与各个不同的加密密钥集合相关联的组。
[0005] 图3是根据一些示例的用于安全访问可移除存储介质的过程的流程图。
[0006] 图4是根据一些示例的存储有机器可读指令的存储介质的框图。
[0007] 图5是根据其他的示例的计算机的框图。
[0008] 图6是根据一些示例的过程的流程图。
[0009] 在所有附图中,相同的附图标记指代相似但不一定相同的元件。附图不一定成比例,并且可以放大一些零件的尺寸以更清楚地图示所示出的示例。此外,附图提供了与说明一致的示例和/或实施方式;然而,说明不限于附图中提供的示例和/或实施方式。
具体实施方式
[0010] 在本公开中,除非上下文另外明确指示,否则使用术语“一个”、“一”或“该”旨在同样包括复数形式。同样地,当在本公开中使用时,术语“包括”、“包含”、“含有”、“涵盖”、“具有”或者“有”指定所述元件的存在,但不排除存在或添加其他元件。
[0011] “可移除存储介质”可以指可移除地连接到计算机的存储介质。可移除存储介质可以具有各种形状要素,例如以下各项中的任意项:棒、小饰物、物理钥匙、盒等。在其他示例中,可移除存储介质可以具有更大形状要素,例如,在可移除存储介质包括基于盘的存储装置的情况下。
[0012] 可移除存储介质可以被插入计算机的连接器(例如,电连接器或光连接器)中,以允许计算机访问(读取或写入)可移除存储介质的信息。当不使用时,可以从计算机的连接器拔出(物理地断开连接)可移除存储介质。在其他示例中,可移除存储介质与计算机之间的可移除连接可以是能够选择性地建立或断开的无线连接(例如,蓝牙连接、近场通信(NFC)连接等)。
[0013] “计算机”可以包括以下中的任何一项或某些的组合:服务器计算机、台式计算机、笔记本计算机、平板计算机、智能电话、通信节点(例如,交换机、路由器等)、存储服务器、车辆或车辆的控制器、物联网(IoT)装置、器具等。
[0014] 为了安全起见,一些组织(例如,公司、学校、政府机关、个人等)可能不允许在组织的场地使用可移除存储介质。例如,可以禁止人员将可移除存储介质带进(或将可移除存储介质带离)办公楼或组织的其他场地。
[0015] 然而,即使有禁止使用可移除存储介质的政策,未经授权的人员或有着恶意意图的人员仍可以将可移除存储介质(其大小相对小并且可以容易隐藏)偷带到组织中以试图造成损害或窃取数据。
[0016] 根据本公开的一些实施方式,可以使用管理控制器的安全存储介质来存储可以用于访问(写入或读取)可移除存储介质的信息的多个加密密钥。使用加密密钥是为了防止在场所外部写入的可移除存储介质在场所之内使用。而且,包含使用多个加密密钥中的任何加密密钥加密的信息的可移除存储介质将不可以被场所外部的计算机访问。
[0017] “场所”可以指网络、数据中心、组织的场地(例如,办公楼、园区、家、车辆等)或任何其他计算机群组(无论是地理上位于特定地区还是跨很大地区分布)。
[0018] 管理控制器的安全存储介质可以被实际地包括作为管理控制器的一部分,或者可以在外部但可由管理控制器访问。
[0019] 管理控制器的安全存储介质中存储的多个加密密钥可以包括第一加密密钥,该第一加密密钥可以用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息。例如,第一加密密钥可以由场所的管理员提供,并且第一加密密钥旨在对场所的所有用户可用。作为更具体的示例,管理员可以通过使用第一加密密钥对可移除存储介质上的信息进行加密来设置可移除存储介质。然后,该可移除存储介质可以由该场所处的具有第一加密密钥的任何人员使用,以读取可移除存储介质上的加密的信息,或者使用不同于第一加密密钥的附加加密密钥将其他的信息写入到可移除存储介质上。
[0020] 多个加密密钥可以包括第二加密密钥,该第二加密密钥用于保护并限制访问插入场所处的第一计算机子集(例如,与场所处的第一组组织相关联的那些计算机)中的可移除存储介质上的信息。例如,第一组组织可以包括人力资源组、财务组、执行团队等等。进一步地,多个加密密钥还可以包括第三加密密钥,该第三加密密钥用于保护并限制访问插入场所处的第二计算机子集(例如,与该场所处的第二组织组相关联的那些计算机)中的可移除存储介质上的信息。
[0021] 通常,使用与相应的不同组组织相关联的多个不同的加密密钥可以允许对插入场所处的计算机中的可移除存储介质上的信息有区分地进行保护和访问,使得如果一个组的成员所使用的给定的计算机不包括与用于在特定可移除存储介质上存储信息的另一组相关联的加密密钥,则该给定的计算机将不能访问该特定可移除存储介质的内容。
[0022] 在前述示例中,整个场所范围的第一加密密钥被提供给多个组组织,使得多个组的用户均能够使用第一加密密钥来访问可移除存储介质的信息。与多个组相关联的相应的加密密钥(例如,第二加密密钥、第三加密密钥等)均单独与多个组中的对应的组相关联,使得对应的组的用户使用相应的加密密钥来对要写入可移除存储介质的信息进行加密,并且属于不具有该相应的加密密钥的另一组的任何用户将不能访问用该相应的加密密钥加密的信息。
[0023] 图1是计算机100的框图,该计算机包括各种电子部件,包括基板管理控制器(BMC)104。BMC 104是与计算机100的处理器102分开的管理控制器的示例。处理器可以包括以下各项中的任何一项或某些的组合:微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列、或另一硬件处理电路。在其他示例中,计算机100可以包括多个处理器。
[0024] 尽管图1示出了BMC 104为计算机100的一部分,但在其他示例中,BMC 104可以在计算机100的外部。
[0025] 在根据图1的示例中,BMC 104能够与计算机100中的加速器装置106通信。加速器装置106可以包括与计算机100的处理器102分开的处理电路。例如,加速器装置106可以包括以下各项中的任何一项或某些的组合:微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列、或另一硬件处理电路。
[0026] 通过由加速器装置106执行给定的任务,计算机100的处理器102不需承担执行这种给定的任务。因此,处理器102能够执行计算机100的机器可读指令,而不承担由加速器装置106执行的任务。可以由处理器102执行的机器可读指令包括操作系统(OS)108、固件110、应用程序(未示出)等。OS 108、固件110、应用程序和可由处理器102执行的任何其他机器可读指令可以存储于可由处理器102访问的存储介质112中。存储介质112的示例可以包括以下各项中的任何一项或某些的组合:基于盘的存储装置、固态存储装置、存储器装置等。
[0027] 在一些示例中,处理器102通过芯片组114访问存储介质112。芯片组114可以包括控制器,该控制器用于执行计算机100的各种控制任务,包括管理对存储介质112和其他输入/输出(I/O)装置的访问。在一些示例中,芯片组114可以包括来自英特尔公司的I/O控制器集线器(ICH)。在其他示例中,在芯片组114中可以包括其他控制器。
[0028] 在替代示例中,处理器102能够直接通过计算机总线访问存储介质112。
[0029] 加速器装置106包括信息保护逻辑116,该信息保护逻辑被配置成保护并限制访问能够可移除地连接到计算机100的连接器120的可移除存储介质118上的信息。在一些示例中,可移除存储介质118可以包括可以插入USB端口(连接器120的示例)中的通用串行总线(USB)存储装置。
[0030] 计算机100包括端口控制器122,该端口控制器通过连接器120控制与连接到连接器120的I/O装置(例如,可移除存储介质118)通信。在连接器120为USB端口的示例中,端口控制器122可以包括计算机100中的USB集线器。
[0031] 尽管在一些示例中提到了USB,但应当注意,在其他示例中可以使用遵守其他标准或协议的其他类型的连接器、端口控制器和可移除存储介质,无论是专有的、标准化的还是开源的。
[0032] 可以使用加速器装置106的硬件处理电路的一部分来实施信息保护逻辑116,或者替代地,可以使用可由加速器装置106执行的机器可读指令来实施信息保护逻辑116。在用机器可读指令来实施信息保护逻辑116的示例中,信息保护逻辑116可以存储于加速器装置106的存储介质中,或者可以存储于在加速器装置106外部但可由加速器装置106访问的存储介质中。
[0033] 信息保护逻辑116能够通过使用各加密密钥124中的任何加密密钥对信息进行加密来保护可移除存储介质118中存储的信息。信息保护逻辑116还可以使用加密密钥124之一对可移除存储介质118中存储的加密的信息进行解密。
[0034] 在根据图1的示例中,可由加速器装置106使用的加密密钥124存储于BMC 104的安全存储介质126中。可以从远程实体向BMC 104提供加密密钥124,该远程实体例如是能够通过通信链路130与BMC 104通信的管理系统128。管理系统128可以包括计算机。
[0035] 在其他示例中,加密密钥124可以硬编码到安全存储介质126中。
[0036] 安全存储介质126可以使用非易失性存储器来实施。非易失性存储器可以使用非易失性存储器装置(或多种非易失性存储器装置)来实施,该非易失性存储器装置例如闪速存储器装置或在从存储器装置移除电力时也维持存储器装置中存储的数据的任何其他类型的存储器装置。
[0037] 在其他示例中,可以(例如由管理系统128或另一实体)向BMC 104提供例如关键短语或其他种子信息等信息,而不是向BMC 104提供加密密钥。BMC 104中的密钥控制逻辑140能够基于BMC 104接收的关键短语或其他种子信息来导出加密密钥124。例如,密钥控制逻辑140能够对关键短语(例如,人输入的短语,如长口令)或其他种子信息应用安全散列算法或其他密码散列算法以生成相应的加密密钥124。在其他示例中,密钥控制逻辑140能够对关键短语或其他种子信息应用其他函数以生成加密密钥124。
[0038] 密钥控制逻辑140将导出的加密密钥124存储在安全存储介质126中。在由BMC104(如从管理系统128或从另一实体)接收加密密钥的其他示例中,密钥控制逻辑140可以将接收的加密密钥124存储在安全存储介质126中。
[0039] BMC 104能够通过加速器装置106与BMC 104之间的安全连接132与加速器装置106通信。
[0040] “安全连接”可以指物理或逻辑的任何通信介质,其保护BMC 104不被攻击者(例如,恶意软件或未经授权的人员)未经授权访问。例如,BMC 104可以驻留在通信信道(例如,总线、网络等)上,该通信信道不能由可以在计算机100中运行的程序(如应用程序或操作系统(OS))访问。在其他示例中,可以例如通过加密机制保护经由安全连接132进行的通信,在该加密机制中,对BMC 104与加速器装置106之间交换的信息进行加密。通过采用安全连接132以与计算机100的部件(例如,加速器装置106)通信,保护了BMC 104不被未经授权访问,从而存储介质126中存储的加密密钥124和其他信息被认为是“安全”的,即,可以提供可信度:存储介质126中的信息未被以未经授权的方式修改或写入。
[0041] 尽管图1示出了信息保护逻辑116是加速器装置106的一部分的示例,但在其他示例中,信息保护逻辑116可以是BMC 104的一部分。在其他示例中,可以使用OS 108或固件110的过滤器来实施信息保护逻辑116,其中,“过滤器”可以指OS 108或固件110的用于管理对可移除存储介质(例如,118)的信息进行保护和受限访问的模块(包括机器可读指令)。在用BMC 104、OS过滤器、固件过滤器或计算机100的任何其他部件来实施信息保护逻辑116的这种示例中,可以从计算机100中省去加速器装置106。
[0042] 如本文所用,“BMC”是一种专用的服务控制器,其使用传感器监测计算机(例如100)的物理状态并通过独立的“带外(out‑of‑band)”连接(通信链路130)与管理系统128(例如,远离计算机100)通信。BMC 104还可以通过以下各项与在OS级别执行的应用程序进行通信:输入/输出控制器(IOCTL)接口驱动程序、代表性状态转移(REST)应用程序接口(API)、或促进BMC 104与应用程序之间的通信的某些其他系统软件代理。BMC 104可以对位于计算装置中的硬件部件进行硬件级别的访问。BMC 104可以能够直接修改硬件部件(如硬件部件的设置或配置)。BMC 104可以与计算机100的OS108独立地操作。BMC 104可以位于要由BMC 104监测的计算机100的主板或主电路板上。BMC 104安装于被管理的计算机100的主板上或以其他方式连接或附接到被管理的计算机100的事实并不会防止BMC 104被视为与执行OS 108的处理资源(例如,计算机100中的102)分开。BMC 104具有管理能力以管理计算机100的部件。BMC 104的管理能力的示例可以包括以下各项中的任何一项或某些的组合:
用于对计算机100进行功率管理(例如,用以响应于检测到的事件而在不同功耗状态之间转变计算机100)的功率控制、计算机100的热监测和控制(例如,用以监测计算机100的温度并控制计算机100的热管理装置)、计算机100中风扇的风扇控制、基于监测计算机100的各种传感器的测量数据的系统健康监测、计算机100的远程访问(例如,用以通过网络访问计算机100)、计算机100的远程重启(用以使用远程命令触发计算机100重启)、计算机100的系统设置和部署、在计算机100中实施安全程序的系统安全等等。
用于对计算机100进行功率管理(例如,用以响应于检测到的事件而在不同功耗状态之间转变计算机100)的功率控制、计算机100的热监测和控制(例如,用以监测计算机100的温度并控制计算机100的热管理装置)、计算机100中风扇的风扇控制、基于监测计算机100的各种传感器的测量数据的系统健康监测、计算机100的远程访问(例如,用以通过网络访问计算机100)、计算机100的远程重启(用以使用远程命令触发计算机100重启)、计算机100的系统设置和部署、在计算机100中实施安全程序的系统安全等等。
[0043] 在一些示例中,BMC 104能够为计算机提供所谓的“无人值守”功能。即使计算机100上未安装OS 108或OS不起作用,无人值守功能也可以允许如系统管理员等用户在计算机100上执行管理操作。
[0044] 此外,在图1中所示的一些示例中,BMC 104能够依靠由辅助电源134(例如,电池)提供的辅助电力而运行;因此,不需要对计算机100通电即可允许BMC 104执行BMC的操作。辅助电源134与主电源(未示出)分开,该主电源向计算机100的其他部件(例如,处理器102、芯片组114、存储介质112等)供应电力。
[0045] 由BMC 104提供的服务可以被认为是“带外”服务,因为OS 108可能未在运行中,并且在一些情况下,计算机100可能被断电或者未正常其作用(例如,计算机100已经遭受失效或硬件故障)。
[0046] BMC 104可以包括通信接口136(例如,网络接口和/或串行接口),管理员的装置或其他实体(例如管理系统128)可以使用该通信接口与BMC 104远程通信。通信接口136可以包括用于通过通信信道发送和接收信号的收发器、以及与用于通过通信信道的数据通信的一种或多种通信协议相关联的一个或多个任何协议层。带外服务可以由BMC104经由专用管理通道(例如,通信接口)提供,并且无论计算机100是否处于通电状态都可用。
[0047] BMC 104还包括处理器142。在一些示例中,密钥控制逻辑140可实施为可在处理器142上执行的机器可读指令。可在处理器上执行的机器可读指令可以指可在单个处理器上执行的指令或可在多个处理器上执行的指令。
[0048] 在其他示例中,密钥控制逻辑140可以使用BMC 104的硬件处理电路的一部分来实施。
[0049] 图2示出了展现出四个组(组1、组2、组3和组4)的示例。这些组可以对应于不同组组织,其中,每个组可以包括人员集合。“人员集合”可以指仅单个人员的集合或者多个人员的集合。
[0050] 在具体示例中,组1可以是信息技术(IT)组,组2可以是人力资源组,组3可以是财务组,并且组4可以是由执行官和相关联人员构成的执行团队。
[0051] 尽管列出了组的具体示例,但应当注意,在其他示例中,不同的示例组可以是组织的一部分。
[0052] 如图2中所示,每个组包括不同数量的加密密钥(即,为该组的成员提供对相应不同数量的加密密钥的访问)。例如,组1与单个加密密钥A相关联,组2与加密密钥A和B相关联,组3与加密密钥A、B和C相关联,并且组4与加密密钥A、B、C和D相关联。
[0053] 在根据图2的示例中,加密密钥A可以被认为是整个场所范围的加密密钥,用于由与不同组的用户相关联的计算机在整个场所范围内访问可移除存储介质上的信息。由于加密密钥A是整个场所范围的加密密钥,所以加密密钥A与图2中所示的示例组中的每个组相关联。
[0054] 在示例中,与组1中的用户相关联的计算机可以使用加密密钥A对信息进行加密并向可移除存储介质118写入A加密的信息202。可以使用加密密钥A进行加密的信息可以包括文件系统信息,该文件系统信息定义由可移除存储介质118存储的文件的文件系统结构。文件系统信息的示例可以包括与文件系统相关联的元数据。例如,对于文件分配表(FAT)文件系统,该文件系统信息可以包括引导扇区区域(boot sector area)和FAT表。对于新技术文件系统(NTFS),该文件系统信息可以包括引导扇区和主文件表(MFT)。更一般地说,该文件系统信息可以包括引导区域和跟踪文件系统的文件的跟踪信息。引导区域可以用于存储机器可读指令,该机器可读指令可以被取得以引导计算机。
[0055] 例如,组1的IT管理员可以向可移除存储介质118写入加密的文件系统信息(用整个场所范围的加密密钥A进行加密),以设置可移除存储介质118,供其他组(包括组2、3和4)的人员使用。
[0056] 存储于可移除存储介质118上的加密的文件系统信息可以由具有加密密钥A(例如,存储于图1所示的计算机100的BMC 104的安全存储介质126中)的计算机读取。
[0057] 在没有加密密钥A的情况下,计算机会将可移除存储介质118检测为未初始化的可移除存储介质(即,未用文件系统结构进行格式化以允许存储文件的可移除存储介质)。因此,如果可移除存储介质118被插入场所外部并且不具有加密密钥A的计算机中,则外部计算机会将可移除存储介质118视为未初始化(空白)的,因为外部计算机不能读取加密的文件系统信息。
[0058] 另外,在一些示例中,在没有加密密钥A的情况下,计算机将不能根据可移除存储介质的引导扇区进行引导。更一般地说,没有加密密钥A的计算机将不能根据插入计算机中的可移除存储介质118上的机器可读指令引导计算机。
[0059] 在一些示例中,组2、3和4中的任何组的用户可以向可移除存储介质118写入其他的加密的信息。注意,尽管图2中仅示出了一个可移除存储介质118,但应当注意,可以有多个可移除存储介质118,不同组的不同人员能够使用其相应的加密密钥向这些可移除存储介质写入加密的信息。
[0060] 每个组可以与“默认”加密密钥相关联,除非另外指明,该默认加密密钥是相应的组的用户将信息加密到可移除存储介质上所使用的加密密钥。
[0061] 在根据图2的示例中,组2的默认加密密钥是加密密钥B,组3的默认加密密钥是加密密钥C,并且组4的默认加密密钥是加密密钥D。因此,与组2中的用户相关联的计算机可以使用加密密钥B对信息进行加密并向可移除存储介质118(或另一个可移除存储介质)写入B加密的信息204。类似地,与组3中的用户相关联的计算机可以使用加密密钥C对信息进行加密并向可移除存储介质118(或另一个可移除存储介质)写入C加密的信息206。与组4中的人员相关联的计算机可以使用加密密钥D对信息进行加密并向可移除存储介质118(或另一个可移除存储介质)写入D加密的信息208。
[0062] 与组1、2和3中的任何组的用户相关联的计算机将不能读取D加密的信息208;然而,与组4的用户相关联的计算机将能够读取D加密的信息208。与组1和2中的任何组的用户相关联的计算机将不能读取C加密的信息206;然而,与组3或4的用户相关联的计算机将能够读取C加密的信息206。与组1的用户相关联的计算机将不能读取B加密的信息204;然而,与组2、3和4中的任何组的用户相关联的计算机将能够读取B加密的信息204。
[0063] 此外,A加密的信息202、B加密的信息204、C加密的信息206和D加密的信息208都不能被包括组1、2、3和4的场所外部的不具有相应加密密钥A、B、C或D的计算机读取。
[0064] 图3是信息保护逻辑116的过程300的流程图,该过程可以在图1中的加速器装置106、BMC 104、OS过滤器、固件过滤器或计算机100的任何其他部件中实施。各种事件可以由信息保护逻辑116检测到,其中,事件可以包括例如检测到“新的”可移除存储介质、读取请求或写入请求。
[0065] “新的”可移除存储介质可以指新插入计算机100的连接器120中的可移除存储介质或已经存在但响应于计算机100的初次启动而被计算机100检测到的可移除存储介质。
[0066] 响应于检测到“新的”可移除存储介质(302),信息保护逻辑116可以(在304处)使用整个场所范围的加密密钥(例如,图2中的加密密钥A)来确定加密的文件系统信息是否存在于可移除存储介质上。在用加速器装置106、OS过滤器或固件过滤器实施信息保护逻辑116的示例中,信息保护逻辑116可以通过安全连接(例如,132)与BMC104建立通信,以从安全存储介质126取得整个场所范围的加密密钥。为了更快地访问加密密钥,可以将取得的加密密钥124存储于存储器(未示出)中,存储器可以是加速器装置106的一部分或与其相关联,或者可以是计算机100的主存储器的一部分,在一些示例中,或者可以是BMC 104的一部分。
[0067] 如果信息保护逻辑116能够使用整个场所范围的加密密钥对可移除存储介质上的加密的文件系统信息进行解密,则信息保护逻辑116就准备(在306处)执行关于可移除存储介质的进一步操作。
[0068] 如果可移除存储介质上没有加密的文件系统信息,则信息保护逻辑116可以将可移除存储介质18识别为未初始化。信息保护逻辑116可以通知(在307处)OS 108要对可移除存储介质进行初始化(即,用文件系统结构格式化)。作为响应,OS 108可以提供要写入到可移除存储介质的文件系统结构。
[0069] 接下来,信息保护逻辑116(自动地或响应于来自用户、程序或机器的请求)在块级别(例如,用整个场所范围的加密密钥)对文件系统信息进行加密(在308处)。在“块级别”对信息进行加密可以指对构成文件系统信息的块集合中的每个块进行加密。“块”具有指定大小。信息保护逻辑116向可移除存储介质写入(在310处)块级别加密的文件系统信息,这有效地初始化(例如,格式化)了可移除存储介质,以使其能够被场所处的其他计算机读取(假设其他计算机有权访问整个场所范围的加密密钥)。
[0070] 响应于用于向可移除存储介质118写入信息的写入请求(312),信息保护逻辑116使用(在314处)默认加密密钥(针对包括信息保护逻辑116的计算机所相关联的组)对信息进行加密。该信息的加密也在块级别。在加密之后,由信息保护逻辑116向可移除存储介质写入(在316处)加密的信息。
[0071] 响应于用于读取可移除存储介质的信息的读取请求(在318处)(其中,读取请求可以从由处理器102执行的机器可读指令接收或从另一请求者接收),信息保护逻辑116可以尝试(在320处)通过迭代地取得与组相关联的不同的加密密钥(例如,图2中的B、C和D)并使用取得的与组相关联的加密密钥对可移除存储介质上的加密的信息进行解密,以确定是否可以成功地对可移除存储介质上的加密的信息进行解密。
[0072] 如果信息保护逻辑116不能用迭代地取得的与组相关联的任何加密密钥对可移除存储介质上的加密的信息进行解密,则信息保护逻辑116可以返回(在322处)读取错误指示。
[0073] 然而,如果信息保护逻辑116能够用取得的与组相关联的加密密钥对可移除存储介质上的加密的信息进行解密,则信息保护逻辑116可以向请求者提供(在324处)解密的信息。
[0074] 根据一些示例的技术或机制提供了锁定场所的能力,使得在该场所处写入的任何可移除存储介质能够在该场所处使用,而不能在场所外部使用,从而防止窃取该场所的信息。
[0075] 根据一些示例的技术或机制能够通过使用多个与组相关联的加密密钥来提供区分场所内部的计算机群组的能力。
[0076] 根据一些示例的技术或机制能够通过带外密钥共享(例如,使用图1中到BMC 104的带外连接130)来提供安全地进行敏感数据的“快递式(courier)”投放(drops)的能力。例如,电影制片厂能够通过使用带外连接130共享特定加密密钥来安全地提供对新电影发行的访问。
[0077] 根据一些示例的技术或机制能够使用以下任何技术提供通过BMC 104管理和更新加密密钥的能力:根据轻量目录访问协议(LDAP)的通信、通过代表性状态转移(REST)应用编程接口(API)的通信、通过BMC 104给出的用户接口(UI)的通信,等等。
[0078] 根据一些示例的技术或机制能够为可移除存储介质上的加密的信息的接收者提供对加密的信息的创建者进行认证以确保没有信息篡改的能力。
[0079] 图4是存储有机器可读指令的非暂态机器可读或计算机可读存储介质400的框图,这些机器可读指令在执行时使得装置执行各种任务。“装置”可以包括以下各项中的任何一项或某些的组合:加速器装置106、BMC 104、OS过滤器、固件过滤器等。
[0080] 机器可读指令包括管理控制器加密密钥接收指令402,用于从管理控制器(例如,BMC 104)的安全存储装置接收多个加密密钥。多个加密密钥中的第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,并且多个加密密钥中的第二加密密钥用于限制访问插入计算机的子集(例如,与组中的一个或多个用户相关联的一个或多个计算机)中的可移除存储介质上的信息。
[0081] 机器可读指令包括加密/解密指令404,用于使用多个加密密钥中给定的加密密钥对向插入这些计算机中的第一计算机中的第一可移除存储介质写入的信息进行加密或对从其读取的信息进行解密,其中,管理控制器与第一计算机的处理器相关联并与其分开。
[0082] 在一些示例中,响应于对插入第一计算机中的第一可移除存储介质进行读取,加密/解密指令404迭代地应用多个加密密钥中接连的加密密钥以找到给定的加密密钥,以用于对从第一可移除存储介质取得的加密的信息进行解密。
[0083] 在一些示例中,用给定的加密密钥对第一可移除存储介质上的文件系统信息进行加密,使得不具有给定的加密密钥的任何计算机都将第一可移除存储介质检测为未初始化的可移除存储介质。
[0084] 在一些示例中,这些机器可读指令可在装置上执行,以在没有给定的加密密钥的情况下防止根据插入第一计算机中的可移除存储介质上的机器可读指令进行引导。
[0085] 在一些示例中,使用给定的加密密钥包括使用第一加密密钥对未初始化的第一可移除存储介质上的信息进行加密。
[0086] 在一些示例中,多个加密密钥用于防止由场所的计算机向第一可移除存储介质写入的信息被场所外部的计算机访问。
[0087] 在一些示例中,来自管理控制器的安全存储装置的多个加密密钥不包括第三加密密钥,该第三加密密钥用于在第二可移除存储介质插入这些计算机中的第二计算机中时对第二可移除存储介质上的信息进行加密,并且该装置不能在第二可移除存储介质插入第一计算机中时访问第二可移除存储介质上的加密的信息。
[0088] 在一些示例中,计算机的子集是第一计算机子集,并且多个加密密钥还包括第三加密密钥,该第三加密密钥用于限制访问插入与第一计算机子集不同的第二计算机子集中的可移除存储介质上的信息。
[0089] 在一些示例中,可使用管理控制器对多个加密密钥进行更新。
[0090] 图5是第一计算机500的框图,该第一计算机包括端口502(例如,图1的连接器120)以接收可移除存储介质(例如,图1中118)。
[0091] 第一计算机500包括处理器504和与处理器504分开的管理控制器506(例如,图1的BMC 104)。管理控制器506包括用于存储多个加密密钥509的安全存储介质508,该多个加密密钥包括第一加密密钥和第二加密密钥,该第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,并且该第二加密密钥用于限制访问插入计算机的子集(该子集包括第一计算机)中的可移除存储介质上的信息。在其他示例中,多个加密密钥可以包括用于附加的一个或多个计算机子集的一个或多个附加的加密密钥。
[0092] 第一计算机500包括非暂态存储介质510,该非暂态存储介质存储可在第一计算机中执行以执行各种任务的机器可读指令。例如,机器可读指令可以包括可由加速器装置106或BMC 104执行的固件或软件,或者机器可读指令可以是OS 108或固件110(图1)的一部分。
[0093] 这些机器可读指令包括管理控制器加密密钥接收指令512,用于从管理控制器506接收多个加密密钥。
[0094] 这些机器可读指令包括第一加密密钥使用指令514,用于使用第一加密密钥对从插入端口中的可移除存储介质读取的加密的信息进行解密,该加密的信息是由这些计算机中的第二计算机使用第一加密密钥加密的。
[0095] 这些机器可读指令包括第二加密密钥使用指令516,用于使用第二加密密钥对插入端口中的可移除存储介质写入的信息进行加密。
[0096] 在一些示例中,如果多个加密密钥不包括用于对在另一可移除存储介质中存储的信息进行加密的第三加密密钥(例如,另一可移除存储介质是在场所外部加密的),则这些机器可读指令将插入端口502中的另一可移除存储介质检测为未初始化。
[0097] 图6是根据一些示例的过程600的流程图。过程600可以由第一计算机执行。
[0098] 过程600包括从第一计算机中的管理控制器的安全存储装置接收(在602处)多个加密密钥,其中,该多个加密密钥包括第一加密密钥、第二加密密钥和第三加密密钥,该第一加密密钥用于在整个场所范围内访问插入场所的相应的计算机中的可移除存储介质上的信息,第二加密密钥与该场所处的第一组组织相关联并用于限制访问插入与第一组相对应的第一计算机子集中的可移除存储介质上的信息,并且第三加密密钥与该场所处的第二组组织相关联并用于限制访问插入与第二组相对应的第二计算机子集中的可移除存储介质上的信息。
[0099] 过程600包括响应于检测到插入第一计算机的端口中的可移除存储介质,确定(在604处)使用多个加密密钥中的哪个来访问可移除存储介质中的加密的信息。
[0100] 在一些示例中,如果多个加密密钥不包括用于对可移除存储介质上的机器可读指令进行加密的加密密钥,则过程600可以防止使用这些机器可读指令引导第一计算机。
[0101] 存储介质(例如,图1中的126、图4中的400或图5中的510)可以包括以下各项的任何一项或某些的组合:半导体存储器装置,例如动态或静态随机存取存储器(DRAM或SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪速存储器或其他类型的非易失性存储器件;磁盘,例如固定的软盘和可移动盘;另一种磁介质,包括磁带;光学介质,例如光盘(CD)或数字视频盘(DVD);或另一类型的存储装置。应注意,上文讨论的指令可以在一个计算机可读或机器可读存储介质上提供,或者可替代地,可以在分布在具有可能多个节点的大型系统中的多个计算机可读或机器可读存储介质上提供。这种一个或多个计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可以指任何制造的单个部件或多个部件。一个或多个存储介质可以位于运行机器可读指令的机器中、或者位于远程场所处,可以通过网络从远程场所下载机器可读指令以供执行。
[0102] 在前述描述中,阐述了许多细节以使得理解本文中所公开的主题。然而,可以在没有这些细节中的一些细节的情况下实践实施方式。其他实施方式可以包括上文所讨论的细节的修改和变化方式。所附权利要求旨在涵盖这样的修改和变化方式。