【正文】 河南理工大學畢業(yè)設計（論文）說明書Bitlocker驅(qū)動器加密的原理及設計畢業(yè)論文目 錄摘要 IAbstract II一、緒論 1 選題目的和意義 1 國內(nèi)外研究現(xiàn)狀 2 論文總體結(jié)構(gòu) 4二、Bitlocker應用模式詳解 5 僅TPM模式 7 TPM介紹 7 使用TPM的Bitlocker模式 9 TPM模式Bitlocker緩解風險 11 僅TPM模式的Bitlocker不能緩解的風險 12 密碼學知識淺學 13 TPM和PIN模式 16 TPM和PIN模式介紹 16 TPM和PIN模式的Bitlocker可以緩解的風險 18 TPM和PIN模式的Bitlocker不能緩解的風險 19 TPM和啟動密鑰模式 20 TPM和啟動密鑰模式介紹 20 TPM和啟動密鑰模式可以緩解的風險 22 TPM和啟動密鑰模式不能緩解的風險 22 清除密鑰模式 23 僅啟動密鑰模式 24 僅啟動密鑰模式介紹 24 僅啟動密鑰模式可以緩解的風險 25 僅啟動密鑰模式不能緩解的風險 26 恢復密鑰/密碼模式 27 恢復密鑰/密碼模式介紹 27 恢復各種已被加密磁盤的步驟 29三、有關Bitlocker其他相關介紹 34 Bitlocker To Go 34 硬盤丟失 34 電腦出現(xiàn)故障 36四、Bitlocker加密模式的實際操作 38 僅密鑰模式的練習 38 U盤模式的練習 47 對U盤使用Bitlocker To Go進行加密 47 被加密的U盤在其他計算機系統(tǒng)上使用 50五、結(jié)論 53致謝 54參考文獻 5556一、緒論 選題目的和意義在現(xiàn)如今這樣一個充滿著信息的社會，電腦的應用已然相當普遍，但是，也正是因為這個原因，人們常常會因為一些客觀條件：例如，他人刻意盜竊我們電腦中的有用資料，亦或是我們電腦的丟失，而導致電腦中某些信息、數(shù)據(jù)的丟失。這些都將會給我們的生活、工作和學習等帶來很大的不便。也許，就是源于這樣所謂的“不小心”，對個人而言可能會丟失工作、無法正常學習；對公司而言，也可能會因此而破產(chǎn)或倒閉。可見，如何確保計算機信息的安全是非常重要的一件事，所以，越來越多的人開始重視保護計算機中數(shù)據(jù)、信息的安全。本次設計所選題目——Windows 7中Bitlocker的應用研究，正是針對如何防止計算機中信息與數(shù)據(jù)丟失所進行的學習。Bitlocker驅(qū)動器加密是自Windows Vista中就已新增的一種數(shù)據(jù)保護功能，主要用于解決人們越來越關心的問題：由計算機設備的物理丟失導致的數(shù)據(jù)失竊或惡意泄漏，這一功能已經(jīng)延續(xù)至Windows 7的操作系統(tǒng)中，使Windows 7系統(tǒng)也同樣具有這一功能。Bitlocker使用TPM幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)，并幫助確保計算機即使是在無人參與、丟失或是被盜竊的情況下也不會被篡改。受信任的平臺模塊（TPM）是一個內(nèi)置在計算機中的微芯片。它用于存儲加密信息（如加密密鑰）。存儲在TPM上的信息顯得更安全，可避免受到外部軟件攻擊和物理盜竊。BitLocker可加密存儲于Windows操作系統(tǒng)卷上的所有數(shù)據(jù)，在默認情況下，使用TPM以確保早期啟動組件的完整性，以及“鎖定”任何BitLocker保護卷，使之在即便計算機受到篡改的情況下也得到保護。Bitlocker是通過加密整個Windows操作系統(tǒng)卷保護數(shù)據(jù)的。如果計算機安裝了兼容的TPM，BitLocker將使用TPM鎖定保護數(shù)據(jù)的加密密鑰。因此，在TPM已驗證計算機的狀態(tài)之后，才能訪問這些密鑰。加密整個卷可以保護所有數(shù)據(jù)，包括操作系統(tǒng)本身、Windows 注冊表、臨時文件以及休眠文件。因為解密數(shù)據(jù)所需的密鑰保持由TPM鎖定，因此攻擊者無法通過只是取出硬盤并將其安裝在另一臺計算機上來讀取數(shù)據(jù)。在啟動過程中，TPM將釋放密鑰，該密鑰僅在將重要操作系統(tǒng)配置值的一個哈希值與一個先前所拍攝的快照進行比較之后解鎖加密分區(qū)。這將驗證Windows啟動過程的完整性。如果TPM檢測到Windows安裝已被篡改，則不會釋放密鑰。默認情況下，BitLocker安裝向?qū)渲门cTPM無縫使用。管理員可以使用組策略或腳本啟用其他功能和選項。為了增強安全性，可以將TPM與用戶輸入的PIN或存儲在USB閃存驅(qū)動器上的啟動密鑰組合使用。在不帶有兼容TPM的計算機上，BitLocker也可以提供加密，而不提供使用TPM鎖定密鑰的其他安全。在這種情況下，用戶需要創(chuàng)建一個存儲在USB閃存驅(qū)動器上的啟動密鑰。 國內(nèi)外研究現(xiàn)狀就目前國內(nèi)外對Bitlocker的研究和應用我們可知，Bitlocker它是一個可在一定的Windows操作系統(tǒng)上實現(xiàn)的安全功能，該功能通過加密Windows操作系統(tǒng)卷上的所有數(shù)據(jù)可以更好的保護計算機中的信息。Bitlocker使用TPM來幫助保護Windows操作系統(tǒng)和用戶數(shù)據(jù)，并以此來幫助確保計算機即使是在無人操作亦或是丟失被盜下也不會被篡改。BitLocker還可以在沒有TPM的情況下使用。若要在計算機上使用BitLocker而不使用TPM，則必須通過使用組策略更改BitLocker安裝向?qū)У哪J行為，亦或是通過使用腳本配置BitLocker。使用BitLocker而不使用TPM時，所需加密密鑰存儲在USB閃存驅(qū)動器中，必須提供該驅(qū)動器才能解鎖存儲在卷上的數(shù)據(jù)。將BitLocker與操作系統(tǒng)集成后，可以消除數(shù)據(jù)被盜或者由于計算機丟失、被盜或解除授權不當而導致數(shù)據(jù)公開的威脅。已丟失或被盜計算機上的數(shù)據(jù)容易受到未經(jīng)授權的訪問，方法是對該計算機運行軟件攻擊工具或者將該計算機的硬盤轉(zhuǎn)移到另一臺計算機。BitLocker通過增強對文件和系統(tǒng)的保護來幫助減少未經(jīng)授權的數(shù)據(jù)訪問。當受BitLocker保護的計算機被解除授權或回收時，BitLocker還可以幫助使數(shù)據(jù)無法訪問。BitLocker在與受信任的平臺模塊 (TPM )一起使用時可提供最有力的保護。TPM是計算機制造商在很多較新的計算機上安裝的硬件組件。它與BitLocker結(jié)合使用可以幫助保護用戶數(shù)據(jù)，并且確保當系統(tǒng)脫機時，計算機不會被篡改。在沒有TPM ，仍然可以使用BitLocker加密Windows操作系統(tǒng)驅(qū)動器。但是，實現(xiàn)此功能將要求用戶插入USB啟動密鑰來啟動計算機或從休眠中恢復，而不提供BitLocker與TPM結(jié)合使用時所提供的預啟動系統(tǒng)完整性驗證。 除了TPM之外，BitLocker還提供鎖定正常啟動過程的選項，直到用戶提供PIN（個人標識號）或插入包含啟動密鑰的可移動設備（如USB閃存驅(qū)動器）。這些附加的安全措施提供多重身份驗證，保證在提供正確的PIN或啟動密鑰之前，計算機是不會啟動或從休眠中恢復的。BitLocker主要有兩種工作模式：TPM模式和U盤模式，為了實現(xiàn)更高程度的安全，我們還可以同時啟用這兩種模式。在使用TPM模式時，這種芯片是通過硬件提供的，一般只出現(xiàn)在對安全性要求較高的商用電腦或工作站上，家用電腦或普通的商用電腦通常不會提供。要想知道電腦是否有TPM芯片，可以運行“”打開設備管理器，然后看看設備管理器中是否存在一個叫做“安全設備”的節(jié)點，該節(jié)點下是否有“受信任的平臺模塊”這類的設備，并確定其版本即可。 如果要使用U盤模式，則需要電腦上有USB接口，計算機的BIOS支持在開機的時候訪問USB設備（能夠流暢運行Windows的計算機基本上都應該具備這樣的功能），并且需要有一個專用的U盤（該U盤只是用于保存密鑰文件，容量不用太大，但是質(zhì)量一定要好）。使用U盤模式后，用于解密系統(tǒng)盤的密鑰文件會被保存在U盤上，每次重新啟動系統(tǒng)的時候都必須在開機之前將U盤連接到計算機上。 注意：受信任的平臺模塊是實現(xiàn)TPM模式BitLocker的前提條件。 對硬盤分區(qū)的要求：硬件滿足上述要求后，還要確保硬盤分區(qū)的安排可以滿足要求。通常情況下，我們可能習慣這樣給硬盤分區(qū)：首先，在第一塊硬盤上劃分一個活動主分區(qū)，用于安裝Windows，這個分區(qū)是系統(tǒng)盤；其次，對于剩下的空間繼續(xù)劃分更多主分區(qū)，或者創(chuàng)建一個擴展分區(qū)，然后在上面創(chuàng)建邏輯驅(qū)動器。簡單來說，我們已經(jīng)習慣于讓第一塊硬盤的第一個分區(qū)成為系統(tǒng)盤，并在上面安裝Windows系統(tǒng)。在一臺安裝Windows 7的計算機上運行“”后即可看到硬盤分區(qū)情況。 這里重點需要關注的是，硬盤上是否有超過一個的活動分區(qū)。如果該磁盤上有兩個分區(qū)，對應的盤符分別是“C”和“D”，其中“C”就是第一塊硬盤上的第一個分區(qū)，屬于系統(tǒng)盤而且是活動的。但問題在于，如果除了系統(tǒng)盤外，硬盤上不存在其他活動分區(qū)，這種情況下是無法直接啟用BitLocker的（這里無論是TPM模式還是U盤模式都是無法啟用的）。原因很簡單，源于其工作原理，BitLocker功能實際上就是將操作系統(tǒng)或者機密數(shù)據(jù)所在的硬盤分區(qū)進行加密，在啟動系統(tǒng)的時候，我們必須提供解密的密鑰，來解密原本被加密的文件，這樣才能啟動操作系統(tǒng)或者讀取機密文件。但這就有一個問題，用于解密的密鑰可以被保存在TPM芯片或者U盤中，但是解密程序應該放在哪里？難道就放在系統(tǒng)盤嗎？可是系統(tǒng)盤已經(jīng)被加密了，這就導致了一種很矛盾的狀態(tài)：因為用于解密的程序被加密了，因此無法運行，導致無法解密文件。所以如果想要順利使用BitLocker功能，硬盤上必須至少有兩個活動分區(qū)，除了系統(tǒng)盤外，額外的活動分區(qū)必須保持未加密狀態(tài)（且必須是NTFS文件格式的）。為了保證其可靠性，這個專門的活動分區(qū)最好專用，不要在上面保存其他文件或者安裝額外的操作系統(tǒng)。 在所有預先條件都具備的電腦上啟用Bitlocker時，我們可以根據(jù)個人計算機或是用戶的需要選擇不同的模式，上面說過Bitlocker有TPM模式和U盤模式，然而實際操作時，還有一種混合模式，即TPM+U盤模式、TPM+PIN模式等。在本次設計中，我們會對僅TPM模式、TPM和PIN模式、TPM和啟動密鑰模式、僅啟動密鑰模式、清除密鑰模式和恢復密鑰模式做出一定程度的學習與研究。并且在后文還會對有關Bitlocker驅(qū)動器加密容易出現(xiàn)的各種問題做出一定的介紹和運用。在此聲明，由于本人的能力有限，也許對本次論文中所涉及的各類知識介紹和講解的不夠透徹，不能達到各位老師所期望的那樣的水平，不過這些工作的確是自己努力而來，還望老師見諒。 論文總體結(jié)構(gòu)第一章：緒論。第二章：分別敘述Bitlocker的六種應用環(huán)境。第三章：有關Bitlocker其他相關介紹。第四章：Bitlocker加密模式的實際操作。第五章：對Bitlocker所作的總結(jié)。第六章：致謝。二、Bitlocker應用模式詳解在本章的學習里，我們的主要任務是對Bitlocker的六種應用模式逐一的進行詳細的學習與研究，力爭在本章結(jié)束之時，我們可以對Bitlocker的各種應用模式有清晰地認識。對于本章學習的順序如下：僅TPM模式——TPM和PIN模式——TPM和啟動密鑰模式——清除密鑰模式——僅啟動密鑰模式——恢復密鑰/密碼模式。圖21 Bitlocker模式總圖在真正開始進行對Bitlocker詳細的學習之前，我們先來學習一些與此有關的一些概念。分區(qū)：分區(qū)是物理硬盤的一部分，它是磁盤上存儲的分區(qū)表中定義的邏輯結(jié)構(gòu)。磁盤和卷：圍繞磁盤和卷的術語往往會使人混淆。卷是Windows中由一個或多個分區(qū)組成的邏輯結(jié)構(gòu)，由稱為“卷管理器”的Windows組件所定義。除了卷管理器和啟動組件，其余的操作系統(tǒng)組件和應用程序均使用卷，而非分區(qū)。在Windows客戶端操作系統(tǒng)環(huán)境下，分區(qū)和卷通常具有一對一的關系。而在服務器中，一個卷通常由多個分區(qū)組成?；顒臃謪^(qū)：一次只能將一個分區(qū)標為活動分區(qū)。此分區(qū)包括了用于啟動操作系統(tǒng)的引導扇區(qū)?；顒臃謪^(qū)有時稱為系統(tǒng)分區(qū)或系統(tǒng)卷，但是，應該注意不要將這些術語和Windows操作系統(tǒng)卷混淆。Windows操作系統(tǒng)卷：此卷包含Windows安裝系統(tǒng)，其中包括System文件夾和System 32文件夾。術語“Windows操作系統(tǒng)卷”較為清楚，可避免引導分區(qū)和系統(tǒng)分區(qū)之間不斷的混淆。在過去，培訓師有時會讓學生這樣記憶：“從系統(tǒng)分區(qū)啟動，在引導分區(qū)上查找系統(tǒng)文件”。在Windows Vista之前，Windows操作系統(tǒng)卷(也稱為引導分區(qū))和活動分區(qū)(也稱為系統(tǒng)分區(qū))是同一回事，因為大多數(shù)客戶端計算機上的硬盤都配置為單獨一個大分區(qū)。本文Bitlocker提供的是整卷加密，確?？梢詫懭隬indows操作系統(tǒng)卷上的所有數(shù)據(jù)都能進行加密。這是保護存儲于組織的計算機(尤其是便攜式計算機或移動計算機)中機密信息的關鍵。那么，為什么要加密整個卷呢？如果用戶已經(jīng)是一位經(jīng)驗豐富的Windows的管理員，那么用戶可能已經(jīng)熟悉了基于Windows的各種加密選項，比如加密文件系統(tǒng) (EFS)，或者由權限管理服務 (RMS) 提供的加密和保護。BitLocker最大的不同之處在于，它在啟用之后是自動、透明的。BitLocker驅(qū)動器會對寫入BitLocker保護卷上的所有資料進行加密，包括其操作系統(tǒng)本身、注冊表、休眠文件和分頁文件、應用程序以及應用程序使用的數(shù)據(jù)。這種所謂的整卷加密可防止離線攻擊，即一種通過試圖繞過操作系統(tǒng)而發(fā)動的攻擊。例如，常見的離線攻擊是竊取計算機、拆除硬盤并將其安裝為其他計算機上的第二個驅(qū)動器，從而消除NTFS權限或是用戶密碼。然而，使用這種攻擊卻無法讀取被BitLocker加密保護的卷。由此可見，Windows 7操作系統(tǒng)中的這種加密功能的確有其突出的特點，也正是因為這樣，Bitlocker加密功能才會越來越受到青睞！ 僅TPM模式 TPM介紹首先對TPM作一定的介紹——TPM安全芯片是指使用硬件來有效的保護PC，防止非法用戶的訪問，是符合TPM（可信賴平臺模塊）標準的安全芯片。TPM標準：1990年10月，多家IT巨頭聯(lián)合發(fā)起成立可信賴運算平臺聯(lián)盟，初期加入者有康柏、HP、IBM、Intel、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運算平臺。