基于可信计算平台的加密文件系统_章勤1

微　处　理　机

MICROPROCESSORS

·微机网络与通迅 ·

基于可信计算平台的加密文件系统

＊

章 　勤 , 刘树明

(华中科技大学计算机学院 , 服务计算技术与系统教育部重点实验室 ,

集群与网格湖北省重点实验室 , 武汉 , 430074)

　　摘 　要 :普通的加密文件系统能够对文件内容进行安全保护 , 加密文件与密钥被绑定在一起 。

　　Abstract:Ordinaryencryptedfilesystem canprotectthecontentoffiles, andtheencryptedfileis

boundwiththerelevantkey.But, thekeyisjustprotectedsecurelybytheshortpassword.Thisisadefect

forthesystemandthisquestionneedtobesolvedexigently.ThispaperproposesamethodbasedonTPM

key-treeanddatacheck-upwithHMAC.TheTPMkey-treeencryptsallkeysinfilesystemandbinds

thekeyswiththeTPM platform, thus, keysareprotectedsafelyandsecurityofthewholesystem is

enhanced.Thedatacheck-upwithHMACnotonlyensuressecuritybutalsoimprovestheperformanceof

由于截取、窜改而带来的某些机密信息的泄漏和丢

失会造成巨大的损失, 因此对加密文件系统的需求

非常迫切。

时 , 文件拥有者直接将文件加密密钥传递给其他用

户 , 因此其他用户对密钥的管理方式直接影响系统

的安全性。 SIRIUS

在传统的加密文件系统基础之

上 , 解决了多用户加密文件系统的文件共享和密钥

管理问题。 整个体系结构建立在基于身份密钥的加

(TrustedPlatform Module)来进行 密钥的安全保护,

通过将加密文件 、加密密钥同 TPM平台进行绑定,

来进一步增强系统的安全性 。

2　基于可信计算平台的加密文件系统

总体框架

在用 户 空 间 文 件 系 统 开 发 模 型 FUSE

(FilesysteminUserspace)、TPM及其软件栈 TSS