[发明专利]临时秘密的安全存储

说明书

背景技术

随着计算设备变得更加普及，更多敏感信息被存储在这样的计算设备上并且由其利用。因此，这样的计算设备的用户可能投入大量时间和精力来保护这种敏感信息的安全。在用于保护敏感信息的安全的各种机制当中，基于口令的机制已经变得普遍。正如本领域技术人员将认识到的那样，基于口令的保护技术可以依赖于加密技术来施行其保护。更具体来说，基于口令的保护技术在传统上对数据集合进行加密，并且只有在提供适当口令的情况下才提供对这样的数据的访问。如果没有提供适当的口令，则所述数据保持已加密形式，从而被保护免于未经授权的泄露。

利用基于口令的保护的普遍性和易于使用的特点的一种技术是整体容量加密，从而对存储在给定容量上的所有或几乎所有数据进行加密。因此，即使恶意实体获得对于其上存储有这样的数据的存储介质的物理访问，所述容量的数据仍然将保持受到保护，这是因为这种数据将按照已加密形式被存储。正如本领域技术人员将知道的那样，整体容量加密技术在传统上依赖于一层或更多层密钥来施行有效且高效的密钥管理。因此，例如可以利用“更高”层密钥来解密“更低”层密钥，并且最终可以利用最低层密钥来解密存储在所述存储介质上的数据本身。作为一种保护措施，可以把对于一层或更多层密钥的解密绑定到计算设备本身的状态，从而使得例如在把存储介质从计算设备中去除并且可通信地耦合到不同的计算设备的情况下，所述数据不可被解密，这是因为存储介质与之可通信地耦合的计算设备的状态将已发生改变。

在计算设备的操作期间，即使是已经被配置成用于进行安全操作的计算设备，仍然可能存在这样的情况或情形：在其期间可能必须以容易访问的形式存储敏感信息。举例来说，在对计算设备进行可能对计算设备的状态造成重大影响的更新的过程中，可能需要以容易访问的形式存储在整体容量加密机制中利用的一个或更多密钥，比如其解密在传统上被绑定到计算设备的状态的那些密钥。对于这种容易访问的信息的后续去除应当改进与按照容易访问的形式存储这种信息相关联的潜在的安全性问题。

但是现今的存储介质常常利用这样的技术和科技：其虽然把特定数据集合标记为已删除，但是并不实际破坏存储介质本身上的这种数据。举例来说，现今的基于磁性的存储介质常常包括这样的存储容量：被标记为删除的数据可能在很长时间内都不会被实际覆写从而不会被不可恢复地破坏。在其间的时间内，所述数据可能仍然可以通过已知的数据恢复机制来访问。通过类似的方式，利用固态存储技术的现今的存储介质常常实施耗损均衡技术。作为这种技术的结果，现今的基于固态的存储介质可能直到在应当把数据不可复原地去除之后的很长时间才会实际覆写被标记为删除的数据。与基于磁性的存储介质一样，由于基于固态的存储介质无法正确地删除这样的敏感信息，因此可能会导致显著更弱的安全性状况。

发明内容

现有的受信任平台模块（TPM）可以包括少量的安全存储容量。这样的TPM存储可以被利用来存储要被不可复原地去除的敏感信息集合当中的一些或全部。与其他现今的存储介质不同，TPM的设计规范特别要求TPM在被指示从其存储中去除数据时按照安全且不可复原的方式这样做。

在一个实施例中，可以例如在特定的更新操作期间暂停整体容量加密机制，这是通过生成与所述整体容量加密机制相关联的一个或更多密钥的保护符并且随后把解锁该保护符的密钥存储在TPM的安全存储中而实现的。所生成的保护符可以包括元数据，所述元数据可以标识出TPM的安全存储内的其中存储解锁所述保护符的密钥的位置。随后，比如在完成更新操作之后，可以删除保护符和存储在TPM中的密钥。由于所述密钥将被不可复原地去除，因此即使在所生成的保护符本身没有被不可复原地去除的情况下（比如在其上存储所述保护符的存储介质的存储机制不提供对于被请求删除的数据的立即且不可复原的去除的情况下），所述整体容量加密仍然可以保持安全。

在另一个实施例中，由密钥保护的信息（比如已加密信息）可以被存储在可能不提供或保证安全且不可复原的擦除的存储设备上。保护这样的信息的密钥可以被存储在TPM的安全存储中。如果要不可复原地去除受保护的信息，则可以把密钥安全地并且不可复原地从TPM去除，并且受保护信息从而可以变得不可访问，即使在存储所述受保护信息的存储设备无法保证其安全且不可复原的去除的情况下也是如此。类似地，如果受保护信息被混叠、拷贝或者以某种其他形式被存储设备保留，则仍然可以通过单独保留在TPM中的密钥来实现对于这样的信息的控制（包括其不可复原的去除）。