论文部分内容阅读
网络病毒、木马、非法入侵等事件,使得用户的数据安全面临威胁,因而多商用台式机上都内置了各种安全平台,这都归根于TPM安全芯片的作用,而随着指纹笔记本的不断应用,TPM芯片已成为商务用户不可或缺的安全组件,TPM安全芯片也陆续开始在笔记本上采用,有了TPM安全芯片后,配合笔记本内置的安全管理软件,笔记本就可以实现数据保护、系统恢复、指纹加密等功能,下面来看看如何用TPM安全芯片保护笔记。
一、系统身份认证登录
为了实现硬件级安全防护,惠普、ThinkPad、SONY、同方等厂商针对一些商务笔记本,在其主板上嵌入了一个TPM安全芯片(如图1),然后再主板BIOS中写入了安全芯片的控制程序,然后就可以为笔记本提供硬件级安全防护能力,当系统开机后,TPM也随之启动,其防护方法相当于早早的在可能受到各类恶意攻击之前,就筑起了一道信息安全大坝,譬如非法用户需要密码才能登录系统,这个密码是唯一的身份标识,而且几乎无法破解,或者笔记本被盗后,即便想盗取资料,主板BIOS会自动屏蔽USB启动选项,以此防止非法用户通过U盘进入系统复制文件。
TPM安全芯片具有三个安全保护功能,系统身份认证登录、文件加密及个人安全虚拟磁,其中系统身份认证登录就类似此前的Windows账户密码,所不同的是,Windows账户密码很容易被破解,而TPM安全芯片可将所有密钥的根密钥保存在自己的寄存器中,独立于笔记本的传统存储系统(如硬盘),这样每一台笔记本就相当于有一个唯一的硬件“身份证”,以此来验证用户身份,这无疑多加了一层保险,破解的机会微乎其微。
要使用TPM安全芯片的功能,必须配合对应的TPM安全管理器,不过厂商针对TPM安全芯片开发的软件不同,但使用方法大同小异,以同方锋锐X300A笔记本为例,在BIOS中开启了TPM安全芯片功能后,开机进入系统后首先需要进行TPM初始化操作,运行“TPM所有者初始化向导”,第一步要求用户设置登录密码(如图2),建议用户输入以字母和数字混合的密码,在所有者初始化完毕之后,然后再进行用户初始化(方法类似),然后建议进行用户密钥文件的备份(如图3),
前面的操作完成后,用户需要登陆“TPM安全控制台”设置相关属性,譬如需要将“禁用”改为“启用”,以启动TPM安全芯片(如图4),设置完毕后,用户在开机时会提示输入密码,否则无法正常登录,另外还可以对TPM安全芯片的管理密码、用户登录密码进行更改,或者备份或恢复用户密钥文件,如果需要重装系统,用户可以使用恢复向导重新引导TPM芯片,但需要需要注意的是,用户必须牢记TPM所有者密码(即管理密码),否则重置芯片时输入的管理密码不符合,将无法进行TPM初始化工作,此时就必须向笔记本厂家求助。
二、文件安全加解密
为了数据安全的考虑,用户可以利用TPM安全芯片进行数据加密,数据在进行加密后,只有登记了TPM信息的用户才有权限访问,其它普通权限的用户是不能访问的,有效防止了入侵者对硬盘敏感数据进行未经授权的物理访问(如笔记本被盗)。加密功能采用了AES算法,为机密数据提供了可靠保障,在实际使用时,如果用户要将保存在硬盘上的文件加密,可通过鼠标右键点选需要加密的文件,然后在“文件安全加解密”下选择“加密”选项(如图5),加密后的文件以后缀为.ssx格式显示。
文件加密后,未经授权的用户将被文件加解密软件阻止,在任何时候尝试打开加密文件都会出现访问拒绝信息。如果要解密文件,可以双击加密文件后选择“解密”实现解密功能,平台所有者(系统管理员)可以恢复其它用户加密的数据,这就保证如果加密数据的用户不再可用或者丢失私人密码,数据仍然能够访问。需要注意的是,加密文件仅能在本机使用,若必须拷贝到其他机器使用则需进行密钥移植,用户可以通过备份本机密钥数据,然后在其他机器上恢复的方式实现密钥移植。
三、创建安全虚拟磁盘
如果笔记本内置了TPM安全芯片,其应用程序一般还会提供个人安全虚拟磁盘功能。个人安全虚拟磁盘唯一对应于创建它的用户,其他用户将无法访问该磁盘,由于个人安全虚拟磁盘的数据通过高级加密技术进行保护,这非常适合存放那些重要商务数据或私人文件,譬如财务数据、银行账户和密码等。首先需要创建一个个人安全虚拟磁盘,方法是在“创建/连接”界面点“创建”按钮(如图6),然后在弹出的窗口中选择安全虚拟磁盘映像文件的保存目录,同时设置好安全虚拟磁盘的盘符、磁盘大小以及文件格式,为了安全起见,建议设置为NTFS系统格式(如图27)。
创建完毕后切换到“连接状态”界面,然后就可以看到人安全虚拟磁盘自动连接并显示在连接状态窗口中(如图8),此时进入“我的电脑”后,会看到一个虚拟加密磁盘分区,用户可以在个人安全虚拟磁盘上创建文件或文件夹,或者将文件拷贝到个人安全虚拟磁盘上,无论采用哪种方式,这些文件都会自动进行加密,如果需要访问该分区的文件,需要使用TPM安全芯片的管理员密码才行。同样,如果用户从个人安全虚拟磁盘访问文件,或者将其拷贝到别的存储设备上,用户无需执行任何特殊操作,这些文件即被自动解密。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”
一、系统身份认证登录
为了实现硬件级安全防护,惠普、ThinkPad、SONY、同方等厂商针对一些商务笔记本,在其主板上嵌入了一个TPM安全芯片(如图1),然后再主板BIOS中写入了安全芯片的控制程序,然后就可以为笔记本提供硬件级安全防护能力,当系统开机后,TPM也随之启动,其防护方法相当于早早的在可能受到各类恶意攻击之前,就筑起了一道信息安全大坝,譬如非法用户需要密码才能登录系统,这个密码是唯一的身份标识,而且几乎无法破解,或者笔记本被盗后,即便想盗取资料,主板BIOS会自动屏蔽USB启动选项,以此防止非法用户通过U盘进入系统复制文件。
TPM安全芯片具有三个安全保护功能,系统身份认证登录、文件加密及个人安全虚拟磁,其中系统身份认证登录就类似此前的Windows账户密码,所不同的是,Windows账户密码很容易被破解,而TPM安全芯片可将所有密钥的根密钥保存在自己的寄存器中,独立于笔记本的传统存储系统(如硬盘),这样每一台笔记本就相当于有一个唯一的硬件“身份证”,以此来验证用户身份,这无疑多加了一层保险,破解的机会微乎其微。
要使用TPM安全芯片的功能,必须配合对应的TPM安全管理器,不过厂商针对TPM安全芯片开发的软件不同,但使用方法大同小异,以同方锋锐X300A笔记本为例,在BIOS中开启了TPM安全芯片功能后,开机进入系统后首先需要进行TPM初始化操作,运行“TPM所有者初始化向导”,第一步要求用户设置登录密码(如图2),建议用户输入以字母和数字混合的密码,在所有者初始化完毕之后,然后再进行用户初始化(方法类似),然后建议进行用户密钥文件的备份(如图3),
前面的操作完成后,用户需要登陆“TPM安全控制台”设置相关属性,譬如需要将“禁用”改为“启用”,以启动TPM安全芯片(如图4),设置完毕后,用户在开机时会提示输入密码,否则无法正常登录,另外还可以对TPM安全芯片的管理密码、用户登录密码进行更改,或者备份或恢复用户密钥文件,如果需要重装系统,用户可以使用恢复向导重新引导TPM芯片,但需要需要注意的是,用户必须牢记TPM所有者密码(即管理密码),否则重置芯片时输入的管理密码不符合,将无法进行TPM初始化工作,此时就必须向笔记本厂家求助。
二、文件安全加解密
为了数据安全的考虑,用户可以利用TPM安全芯片进行数据加密,数据在进行加密后,只有登记了TPM信息的用户才有权限访问,其它普通权限的用户是不能访问的,有效防止了入侵者对硬盘敏感数据进行未经授权的物理访问(如笔记本被盗)。加密功能采用了AES算法,为机密数据提供了可靠保障,在实际使用时,如果用户要将保存在硬盘上的文件加密,可通过鼠标右键点选需要加密的文件,然后在“文件安全加解密”下选择“加密”选项(如图5),加密后的文件以后缀为.ssx格式显示。
文件加密后,未经授权的用户将被文件加解密软件阻止,在任何时候尝试打开加密文件都会出现访问拒绝信息。如果要解密文件,可以双击加密文件后选择“解密”实现解密功能,平台所有者(系统管理员)可以恢复其它用户加密的数据,这就保证如果加密数据的用户不再可用或者丢失私人密码,数据仍然能够访问。需要注意的是,加密文件仅能在本机使用,若必须拷贝到其他机器使用则需进行密钥移植,用户可以通过备份本机密钥数据,然后在其他机器上恢复的方式实现密钥移植。
三、创建安全虚拟磁盘
如果笔记本内置了TPM安全芯片,其应用程序一般还会提供个人安全虚拟磁盘功能。个人安全虚拟磁盘唯一对应于创建它的用户,其他用户将无法访问该磁盘,由于个人安全虚拟磁盘的数据通过高级加密技术进行保护,这非常适合存放那些重要商务数据或私人文件,譬如财务数据、银行账户和密码等。首先需要创建一个个人安全虚拟磁盘,方法是在“创建/连接”界面点“创建”按钮(如图6),然后在弹出的窗口中选择安全虚拟磁盘映像文件的保存目录,同时设置好安全虚拟磁盘的盘符、磁盘大小以及文件格式,为了安全起见,建议设置为NTFS系统格式(如图27)。
创建完毕后切换到“连接状态”界面,然后就可以看到人安全虚拟磁盘自动连接并显示在连接状态窗口中(如图8),此时进入“我的电脑”后,会看到一个虚拟加密磁盘分区,用户可以在个人安全虚拟磁盘上创建文件或文件夹,或者将文件拷贝到个人安全虚拟磁盘上,无论采用哪种方式,这些文件都会自动进行加密,如果需要访问该分区的文件,需要使用TPM安全芯片的管理员密码才行。同样,如果用户从个人安全虚拟磁盘访问文件,或者将其拷贝到别的存储设备上,用户无需执行任何特殊操作,这些文件即被自动解密。
“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”