CN102236756A - 一种基于TCM可信密码模块和USBKey的文件加密方法 - Google Patents
一种基于TCM可信密码模块和USBKey的文件加密方法 Download PDFInfo
- Publication number
- CN102236756A CN102236756A CN2011101182361A CN201110118236A CN102236756A CN 102236756 A CN102236756 A CN 102236756A CN 2011101182361 A CN2011101182361 A CN 2011101182361A CN 201110118236 A CN201110118236 A CN 201110118236A CN 102236756 A CN102236756 A CN 102236756A
- Authority
- CN
- China
- Prior art keywords
- usbkey
- user
- module
- encryption
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供一种基于TCM可信密码模块和USBKey的文件加密方法,通过编写的软件模块来实现,软件模块包括初始化模块和加解密模块,还包括TCM可信密码模块和USBKey两种硬件设备;通过TCM可信密码模块保护用户主密钥,通过编写的软件模块来实现文件的加密,初始化模块首先激活初始化TCM可信密码模块,然后输入USBKey用户注册信息,根据用户注册信息计算用户主密钥和文件密钥,用户主密钥经EK加密存储在TCM可信密码模块中,文件密钥用来加解密用户文件,文件主密钥经用户主密钥在TCM可信密码模块内加密后存储在USBKey非易失性私密存储区域中。
Description
技术领域
本发明涉及一种信息安全技术领域, 具体地说是一种基于TCM可信密码模块和USBKey的文件加密方法。
背景技术
随着信息技术和互联网的日益发展,信息资源的共享程度越来越高,随之而来的信息安全问题不断出现,这些问题越来越受政府、企业尤其是涉密部门的重视。若不采用适当的安全措施,那么由于截取、窜改而带来的某些机密信息的泄漏和丢失会造成巨大的损失,因此对机密文件的加密需求非常迫切。目前的文件加密方法一般包括专用加密工具和存储介质加密两种方法,尚存在若干问题:
存储介质加密方法采取粗粒度的加密方式,对整个存储分区或者文件系统进行加密,具有效率低下的缺点,并且不利于文件分享。
专用加密工具存在的隐患就是加密密钥的存储方式问题,密钥存储在硬盘上容易被窃取和破解,并且使用用户口令方式进行加解密的身份认证,用户口令容易忘记,也容易被破解,不能保证用户身份安全性和唯一性。
另外,以上的加密方式往往多用户使用同一个密钥,不能实现用户各自独立使用自己的权限完成加解密操作,灵活性差。
可信计算技术的发展使用户拥有安全性、完整性和可靠性全面提高的可信赖计算环境成为可能。TCM可信密码模块(trusted cryptography module)是我国可信计算标准硬件模块,具备密码运算器和受保护的存储器,内嵌国家密码管理局标准算法。TCM可信密码模块通过唯一的非对称256位密钥-密码模块密钥(EK)作为密钥树的根密钥来保护用户密钥和数据,私钥不会外泄,加密过程在硬件内部完成。另外,USBKey作为用户的身份认证硬件标识设备已经成为普遍采用的安全访问控制方式,同时USBKey通过智能卡高速运算处理器和内置加密算法可以实现比软件加密更加高效、安全的数据加密服务。
本发明结合TCM可信密码模块和USBKey技术设计一种文件加密方法,使用TCM可信密码模块保护存储用户主密钥,利用USBKey高速硬件加密算法完成文件加解密操作,用户密钥的存储和加解密都在硬件中完成,不同用户拥有不同的用户主密钥,可实现高效、安全、灵活、细粒度的加解密文件。
发明内容
本发明的目的是提供一种基于TCM可信密码模块和USBKey的文件加密方法。
本发明的目的是按以下方式实现的,通过编写的软件模块来实现文件加密操作,软件模块包括初始化模块和加解密模块,还包括TCM可信密码模块和USBKey两种硬件设备;
文件加密步骤如下:
步骤1 初始化模块首先激活初始化TCM可信密码模块环境和所有者,初始化后TCM可信密码模块内的根密钥和平台环境处于可用状态;
步骤2 TCM可信密码模块初始化配置完成后插入用户USBKey,输入PIN码验证通过后,继续初始化,否则返回继续进行验证;
步骤3 USBKey初始化单元弹出用户初始化界面,输入用户注册信息;
步骤4 使用USBKey内的散列函数将用户USBKey的用户注册信息映射为散列值,将散列值传递给TCM可信密码模块,TCM可信密码模块在使用EK加密散列值生成唯一的用户主密钥,用户主密钥建立在以EK为根的密钥树下,存储在受保护的非易失性存储区域内;
步骤5 使用一种单向函数将用户注册信息映射为为MAC值,此MAC值作为文件加解密的文件密钥,将USBKey生成的MAC值传递给TCM可信密码模块,在TCM可信密码模块内部使用对称算法和用户主密钥加密,加密后的密钥存储在USBKey的非易失性存取器内;
加解密模块操作步骤如下:在USBKey内文件目录下建立PIN码文件,保护用户加解密的权限,用户在加解密时首先输入PIN码验证访问权限,验证通过后,加解密模块通过指令调用TCM可信密码模块解密USBKey内的密文文件密钥,使用解密后的文件密钥和USBKey硬件加解密引擎来对文件进行加解密操作。
与现有技术比较本发明的有益效果:
利用TCM可信密码模块根密钥EK不可获取的特性来保护用户主密钥,文件密钥通过TCM可信密码模块加密后存储在USBKey非易失性存储器内,密钥的加解密过程和文件的加解密运算都是在硬件芯片内完成,提高了加解密效率的同时,密钥存储的安全性得到大大提高。
每个用户拥有唯一的用户主密钥,不同的用户使用PIN码验证自己的权限,不同用户只需与TCM可信密码模块进行初始化绑定一次即可在同一系统内加解密各自的机密文件,提高了文件加解密的灵活性。
附图说明
图1是基于TCM可信密码模块和USBKey的文件加密方法的系统初始化流程图。
具体实施方式
参照说明书附图对本发明的方法作以下详细地说明。
本发明技术方法通过编写的软件模块来实现,通过TCM可信密码模块保护用户主密钥,使用USBKey与TCM可信密码模块相互通信实现用户身份控制和加解密运算,旨在解决目前文件加密方法中密钥存储安全性低、运算效率不高、灵活性差和加密粒度粗等问题。
本发明技术方法通过编写的软件模块来实现,软件模块包括初始化模块和加解密模块,本发明技术方法实现还需要TCM可信密码模块和USBKey两种硬件设备。
初始化模块实现方法如下:初始化模块首先激活初始化TCM可信密码模块,然后输入USBKey用户注册信息,根据用户注册信息计算用户主密钥和文件密钥,用户主密钥经EK加密存储在TCM可信密码模块中,文件密钥用来加解密用户文件,文件主密钥经用户主密钥在TCM可信密码模块内加密后存储在USBKey非易失性私密存储区域中。
加解密模块实现方法如下:用户在加解密时首先进行PIN码验证,加解密模块通过指令调用TCM可信密码模块解密USBKey内的密文文件密钥,使用解密后的文件密钥和USBKey硬件加解密引擎来对文件进行加解密操作。
软件模块包括初始化模块和加解密模块。本发明技术方法实现还需要TCM可信密码模块和USBKey两种硬件设备。
实施例
图1给出了初始化模块实现方法流程,如图所示初始化实现步骤如下:
步骤1 初始化模块首先激活初始化TCM可信密码模块环境和所有者,初始化后TCM可信密码模块内的根密钥和平台环境处于可用状态。
步骤2 TCM可信密码模块初始化配置完成后插入用户USBKey,输入PIN码验证通过后,继续初始化,否则返回继续进行验证。
步骤3 USBKey初始化单元弹出用户初始化界面,输入用户注册信息;
步骤4 使用USBKey内的散列函数将用户USBKey的用户注册信息映射为散列值,将散列值传递给TCM可信密码模块,TCM可信密码模块在使用EK加密散列值生成唯一的用户主密钥,用户主密钥建立在以EK为根的密钥树下,存储在受保护的非易失性存储区域内。
步骤5 使用一种单向函数将用户注册信息映射为为MAC值,此MAC值作为文件加解密的文件密钥,将USBKey生成的MAC值传递给TCM可信密码模块,在TCM可信密码模块内部使用对称算法和用户主密钥加密,加密后的密钥存储在USBKey的非易失性存取器内。
加解密模块实现方法如下:在USBKey内文件目录下建立PIN码文件,保护用户加解密的权限,用户在加解密时首先输入PIN码验证访问权限,验证通过后,加解密模块通过指令调用TCM可信密码模块解密USBKey内的密文文件密钥,使用解密后的文件密钥和USBKey硬件加解密引擎来对文件进行加解密操作。
PIN码的验证计算和加解密计算在USBKey芯片内完成,计算细节不外泄,防止了恶意程序和非法用户获取用户密钥。即使获取文件密钥,由于它是经TCM可信密码模块加密后密文存储于USBKey中,其保护密钥即TCM可信密码模块的根密钥EK无法窃取,因此文件密钥无法破解。此外,不同用户只需与TCM可信密码模块进行初始化绑定一次即可在同一系统内加解密各自的机密文件,提高了文件加解密的灵活性。
Claims (1)
1.1、一种基于TCM可信密码模块和USBKey的文件加密方法, 其特征在于,通过编写的软件模块来实现文件加密操作,软件模块包括初始化模块和加解密模块,还包括TCM可信密码模块和USBKey两种硬件设备;
文件加密步骤如下:
步骤1 初始化模块首先激活初始化TCM可信密码模块环境和所有者,初始化后TCM可信密码模块内的根密钥和平台环境处于可用状态;
步骤2 TCM可信密码模块初始化配置完成后插入用户USBKey,输入PIN码验证通过后,继续初始化,否则返回继续进行验证;
步骤3 USBKey初始化单元弹出用户初始化界面,输入用户注册信息;
步骤4 使用USBKey内的散列函数将用户USBKey的用户注册信息映射为散列值,将散列值传递给TCM可信密码模块,TCM可信密码模块在使用EK加密散列值生成唯一的用户主密钥,用户主密钥建立在以EK为根的密钥树下,存储在受保护的非易失性存储区域内;
步骤5 使用一种单向函数将用户注册信息映射为为MAC值,此MAC值作为文件加解密的文件密钥,将USBKey生成的MAC值传递给TCM可信密码模块,在TCM可信密码模块内部使用对称算法和用户主密钥加密,加密后的密钥存储在USBKey的非易失性存取器内;
加解密模块操作步骤如下:在USBKey内文件目录下建立PIN码文件,保护用户加解密的权限,用户在加解密时首先输入PIN码验证访问权限,验证通过后,加解密模块通过指令调用TCM可信密码模块解密USBKey内的密文文件密钥,使用解密后的文件密钥和USBKey硬件加解密引擎来对文件进行加解密操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101182361A CN102236756A (zh) | 2011-05-09 | 2011-05-09 | 一种基于TCM可信密码模块和USBKey的文件加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011101182361A CN102236756A (zh) | 2011-05-09 | 2011-05-09 | 一种基于TCM可信密码模块和USBKey的文件加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102236756A true CN102236756A (zh) | 2011-11-09 |
Family
ID=44887399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011101182361A Pending CN102236756A (zh) | 2011-05-09 | 2011-05-09 | 一种基于TCM可信密码模块和USBKey的文件加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102236756A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
CN104200156A (zh) * | 2014-08-27 | 2014-12-10 | 山东超越数控电子有限公司 | 一种基于龙芯处理器的可信加密系统 |
CN104639332A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种固态硬盘加密密钥的保护方法 |
CN106973054A (zh) * | 2017-03-29 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于可信平台的操作系统登录认证方法和系统 |
CN107483188A (zh) * | 2017-08-07 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种密钥安全存储方法及系统 |
CN107483187A (zh) * | 2017-08-02 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种基于可信密码模块的数据保护方法及装置 |
CN107577953A (zh) * | 2017-10-19 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种基于cuse模拟可信密码模块的系统及方法 |
WO2018058556A1 (en) * | 2016-09-30 | 2018-04-05 | Intel Corporation | Technology to provide secure key protection and flexible file sharing in encrypted file system |
CN109255231A (zh) * | 2018-09-28 | 2019-01-22 | 山东超越数控电子股份有限公司 | 一种基于可信计算的加密硬盘密钥保护系统及方法 |
CN110855429A (zh) * | 2019-11-20 | 2020-02-28 | 上海思赞博微信息科技有限公司 | 一种基于tpm的软件密钥保护方法 |
CN112383914A (zh) * | 2020-11-13 | 2021-02-19 | 广东工业大学 | 一种基于安全硬件的密码管理方法 |
CN115618435A (zh) * | 2022-10-28 | 2023-01-17 | 长江量子(武汉)科技有限公司 | 应用于办公设备的文件管控方法及办公设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1459724A (zh) * | 2002-05-25 | 2003-12-03 | 三星电子株式会社 | 用于生成序列号的方法和装置 |
CN101582760A (zh) * | 2008-05-16 | 2009-11-18 | 中国科学院研究生院 | 一种基于树结构的密钥加密存储方法 |
CN101882115A (zh) * | 2010-06-28 | 2010-11-10 | 上海北大方正科技电脑系统有限公司 | 一种移动存储设备的加密共享方法 |
CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
-
2011
- 2011-05-09 CN CN2011101182361A patent/CN102236756A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1459724A (zh) * | 2002-05-25 | 2003-12-03 | 三星电子株式会社 | 用于生成序列号的方法和装置 |
CN101582760A (zh) * | 2008-05-16 | 2009-11-18 | 中国科学院研究生院 | 一种基于树结构的密钥加密存储方法 |
CN101882115A (zh) * | 2010-06-28 | 2010-11-10 | 上海北大方正科技电脑系统有限公司 | 一种移动存储设备的加密共享方法 |
CN101986325A (zh) * | 2010-11-01 | 2011-03-16 | 山东超越数控电子有限公司 | 一种计算机安全访问控制系统及控制方法 |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
CN104200156A (zh) * | 2014-08-27 | 2014-12-10 | 山东超越数控电子有限公司 | 一种基于龙芯处理器的可信加密系统 |
CN104639332A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种固态硬盘加密密钥的保护方法 |
WO2018058556A1 (en) * | 2016-09-30 | 2018-04-05 | Intel Corporation | Technology to provide secure key protection and flexible file sharing in encrypted file system |
CN106973054A (zh) * | 2017-03-29 | 2017-07-21 | 山东超越数控电子有限公司 | 一种基于可信平台的操作系统登录认证方法和系统 |
CN107483187A (zh) * | 2017-08-02 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种基于可信密码模块的数据保护方法及装置 |
CN107483188A (zh) * | 2017-08-07 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种密钥安全存储方法及系统 |
CN107577953A (zh) * | 2017-10-19 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种基于cuse模拟可信密码模块的系统及方法 |
CN109255231A (zh) * | 2018-09-28 | 2019-01-22 | 山东超越数控电子股份有限公司 | 一种基于可信计算的加密硬盘密钥保护系统及方法 |
CN110855429A (zh) * | 2019-11-20 | 2020-02-28 | 上海思赞博微信息科技有限公司 | 一种基于tpm的软件密钥保护方法 |
CN112383914A (zh) * | 2020-11-13 | 2021-02-19 | 广东工业大学 | 一种基于安全硬件的密码管理方法 |
CN115618435A (zh) * | 2022-10-28 | 2023-01-17 | 长江量子(武汉)科技有限公司 | 应用于办公设备的文件管控方法及办公设备 |
CN115618435B (zh) * | 2022-10-28 | 2023-09-15 | 长江量子(武汉)科技有限公司 | 应用于办公设备的文件管控方法及办公设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
CN100468438C (zh) | 实现硬件和软件绑定的加密和解密方法 | |
CN102646077B (zh) | 一种基于可信密码模块的全盘加密的方法 | |
CN101986596B (zh) | 密钥管理方法 | |
CN107317677B (zh) | 密钥存储及设备身份认证方法、装置 | |
CN103067170B (zh) | 一种基于ext2文件系统的加密方法 | |
CN105656621A (zh) | 一种密码设备安全管理方法 | |
CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
CN112560058B (zh) | 基于智能密码钥匙的ssd分区加密存储系统及其实现方法 | |
CN106411515B (zh) | 利用密码机对密钥进行分割提升密钥安全的方法及系统 | |
CN103580855A (zh) | 一种基于共享技术的UsbKey秘钥管理方案 | |
CN107908574A (zh) | 固态盘数据存储的安全保护方法 | |
CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
CN103544453A (zh) | 一种基于usb key的虚拟桌面文件保护方法及装置 | |
CN104901810A (zh) | 一种基于国产密码算法的数据加密存储的方法 | |
CN104468937A (zh) | 移动终端的数据加、解密方法、装置及保护系统 | |
CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
CN104268447A (zh) | 一种嵌入式软件的加密方法 | |
CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
CN103414564A (zh) | 一种密钥卡、密钥设备及其保护私钥的方法 | |
CN102811124B (zh) | 基于两卡三码技术的系统验证方法 | |
CN114186249A (zh) | 一种计算机文件安全加密方法、解密方法和可读存储介质 | |
CN102769525B (zh) | 一种tcm的用户密钥备份与恢复方法 | |
CN102752112A (zh) | 基于sm1/sm2算法的权限控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111109 |