CN102769525A - 一种tcm的用户密钥备份与恢复方法 - Google Patents
一种tcm的用户密钥备份与恢复方法 Download PDFInfo
- Publication number
- CN102769525A CN102769525A CN2011101139501A CN201110113950A CN102769525A CN 102769525 A CN102769525 A CN 102769525A CN 2011101139501 A CN2011101139501 A CN 2011101139501A CN 201110113950 A CN201110113950 A CN 201110113950A CN 102769525 A CN102769525 A CN 102769525A
- Authority
- CN
- China
- Prior art keywords
- key
- backup
- user key
- user
- tcm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种TCM(TrustedCryptographyModule)的用户密钥备份与恢复方法,所述用户密钥备份方法的步骤包括:获取TCM芯片产生的备份密钥;通过TSM(TCMServiceModule)密钥迁移接口,以获取需要备份的用户密钥;使用备份密钥将用户密钥进行加密;将已加密的密钥文件保存在存储介质中。本发明的技术方案将可迁移或者可导出的用于对加密数据进行解密的用户密钥进行备份,便于在操作系统被破坏、密钥丢失的情况下将用户密钥进行恢复并对加密数据进行解密,同时也适用于将备份的用户密钥在其他电脑上进行恢复。
Description
技术领域
本发明涉及可信计算领域,主要涉及一种TCM (Trusted Cryptography Module)的用户密钥备份与恢复方法。
背景技术
随着计算机技术及可信计算的发展,越来越多的计算机已经带有可信计算的安全芯片,并且基于可信计算的应用也越来越多,如基于可信计算的硬盘保护、硬盘数据保护、移动存储设备保护、移动存储设备数据保护等。目前市场上基于可信计算安全芯片的数据加密应用越来越多,但由于操作系统的破坏、可信安全芯片中的数据被人为强制清除等会导致用户密钥丢失,从而使加密的数据无法解密,可能给用户带来无法估量的损失。
发明内容
本发明公开了一种TCM的用户密钥备份与恢复方法,对可迁移或者可导出的用于对加密数据进行解密的用户密钥进行备份,解决当操作系统被破坏、用户密钥丢失时将用户密钥进行恢复,便于用户将文件进行解密。
为了解决上述技术问题,本发明提供了一种TCM的用户密钥备份方法,所述方法包括如下步骤:
获取TCM芯片产生的备份密钥;
通过TSM密钥迁移接口,以获取需要备份的用户密钥;
使用备份密钥将用户密钥进行加密;
将已加密的密钥文件保存在存储介质中。
进一步,所述用户密钥为TCM芯片产生的可迁移或者可导出的密钥,用于对加密的数据进行解密。
进一步,所述获取TCM芯片产生的备份密钥的步骤包括获取非对称加密算法的备份密钥对和对称加密算法的备份密钥,其中:
所述对称加密算法的备份密钥由TCM芯片通过软算法生成;
所述非对称加密算法的备份密钥对由TCM芯片生成,包括公钥和私钥,公钥用于加密,私钥用于解密。
进一步,所述使用备份密钥将用户密钥进行加密的步骤包括:
TCM芯片使用对称加密算法的备份密钥对需要备份的用户密钥进行加密;
将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密;
使用用户口令对非对称加密算法备份密钥对的私钥进行加密;
将接收到的加密后的密钥内容保存在密钥文件中。
进一步,所述存储介质为非易失性存储设备或者是能够保存数据的磁、电存储介质。
本发明还提供了一种TCM的用户密钥恢复方法,所述方法包括如下步骤:
获取保存的密钥文件,并对密钥文件进行解密;
获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密;
将加密的用户密钥加载到TCM芯片并进行恢复。
进一步,所述获取保存的密钥文件并对密钥文件进行解密的步骤包括:
获取保存的密钥文件;
使用用户口令对加密的非对称加密算法备份密钥对的私钥进行解密,获取非对称加密算法备份密钥对的私钥内容;
通过解密出的非对称加密算法备份密钥对的私钥将加密的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容;
根据解密出的对称加密算法的备份密钥将加密的用户密钥进行解密,获取用户密钥内容。
进一步,所述TCM芯片产生的恢复密钥为非对称加密算法的恢复密钥对,包括公钥和私钥,其中公钥用于加密,私钥用于解密。
进一步,所述将加密的用户密钥加载到TCM芯片并进行恢复的步骤包括:
通过TSM密钥迁移接口,将加密的用户密钥加载到TCM芯片;
TCM芯片使用非对称加密算法恢复密钥对的私钥对加密的用户密钥进行解密;
将接收到已解密的用户密钥在TCM芯片进行恢复。
在本发明的技术方案中,将可迁移或者可导出的用户密钥进行备份,解决在操作系统破坏、密钥丢失的情况下将密钥进行恢复以便进行文件解密;同时也适用于将备份的密钥在其他电脑上进行恢复,为防止恶意进行恢复或者被他人利用,备份的信息是以密文的形式保存在存储介质中,恢复工作则在TCM芯片完成,确保了用户密钥的安全性;在对用户密钥进行备份或恢复时还需要输入用户口令,以进一步提高了操作的安全性。
附图说明
图1为本发明实施例的用户密钥备份方法的逻辑流程图;
图2为本发明实施例的用户密钥恢复方法的逻辑流程图;
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明一实施例公开了一种TCM的用户密钥备份方法,图1为本发明实施例的用户密钥备份方法的逻辑流程图。如图1所示,该方法包括如下步骤:
步骤101:获取TCM芯片产生的备份密钥;
其中,TCM芯片产生的备份密钥包括非对称加密算法的备份密钥对和对称加密算法的备份密钥。所述非对称加密算法的备份密钥对包括公钥和私钥,其中公钥用于加密,私钥用于解密;所述对称加密算法的备份密钥由TCM芯片通过软算法产生。
所述获取TCM芯片产生的备份密钥通过调用TSM(TCM Service Module)底层功能函数实现,所述TSM为TCM芯片和用户应用层之间的平台软件,在TSM内部包括支持TCM芯片向上提供平台认证、密码学服务和应用层软件对TCM芯片进行管理等功能的函数接口。
在本实施例中,通过调用Tspi_Context_GetKeyByPublicInfo函数获取非对称加密算法的备份密钥对,并通过该非对称加密算法备份密钥对的公钥调用Tspi_GetAttribData函数来获取TCM芯片的唯一硬件标识UUID,获取成功后,TCM芯片根据软算法生成对称加密算法的备份密钥。
步骤102:通过TSM密钥迁移接口,以获取需要备份的用户密钥;
该实施方式中,所述TSM密钥迁移接口是指连接TCM芯片与应用层之间的TSM底层功能函数;所述用户密钥是指对TCM用户重要数据进行加密的密钥,此密钥由TCM芯片生成,且只有可迁移或者可导出的用户密钥才能进行备份。
所述获取需要备份的用户密钥的具体过程为,根据获取的TCM芯片的唯一硬件标识UUID调用Tspi_Context_GetRegisteredKeysByUUID函数查找要备份的密钥节点,进一步调用Tspi_Key_LoadKey函数获取该节点上的用户密钥,并通过TSM密钥迁移接口函数Tspi_Context_CreateObject和TSM_Tspi_SetAttribData将获取的用户密钥加载到备份文件中。
步骤103:使用备份密钥将用户密钥进行加密;
本实施例中,所述使用备份密钥将用户密钥进行加密的过程为:首先使用TCM芯片生成的对称加密算法的备份密钥将获取的需要备份的用户密钥进行加密;再将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密;然后使用用户口令对非对称加密算法备份密钥的私钥进行加密;最后将加密后的内容以密文的形式保存在密钥文件中。
步骤104:将已加密的密钥文件保存在存储介质中;
所述存储介质为非易失性存储设备或者其他能保存数据的磁、电存储介质,如目前常用的硬盘、USB存储设备、Flash闪存等。
在本实施例中,通过上述步骤将已加密的密钥文件保存在存储介质中,当操作系统被破坏、可信安全芯片中数据人为强制清除等导致密钥丢失时,可以使用保存的密钥文件在系统进行恢复、对数据进行解密,避免因用户密钥丢失而带来的损失。
本发明另一实施例公开了一种TCM的用户密钥恢复方法,图2为本发明实施例的用户密钥恢复方法的逻辑流程图。如图2所示,该方法包括如下步骤:
步骤201:获取保存的密钥文件,并对密钥文件进行解密;
当操作系统被破坏、可信安全芯片中数据人为强制清除等导致密钥丢失时,可以对保存的用户密钥进行恢复以便对文件进行解密,同时也适用于将保存的用户密钥在其他可信计算机上进行恢复。
在本实施例中,当需要对用户密钥进行恢复时,使用用户口令对保存的密钥文件内容进行解密,获取保存在密钥文件中的非对称加密算法的备份密钥对的私钥内容;通过解密出的非对称加密算法的备份密钥对的私钥内容对备份的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容;根据解密出的对称加密算法的备份密钥内容对备份的用户密钥进行解密,获取用户密钥的内容。
步骤202:获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密;
在本实施例中,当接收到用户密钥恢复请求时,TCM芯片会生成用于对用户密钥在TCM芯片恢复的恢复密钥。所述恢复密钥为非对称加密算法的恢复密钥对,所述恢复密钥对包括公钥和私钥,其中公钥用于加密,私钥用于解密。本实施例中,使用非对称加密算法恢复密钥对的公钥对上述解密出的用户密钥内容进行加密。
步骤203:将加密的用户密钥加载到TCM芯片并进行恢复;
通过调用TSM底层功能函数Tspi_Context_CreateObjectt和Tspi_SetAttribData将已加密的用户密钥数据加载到TCM芯片的缓冲区内,并通过调用Tspi_Context_CreateObject、 Tspi_Policy_SetSecret和Tspi_Policy_AssignToObject函数将加载的用户密钥与TCM芯片所有者口令进行绑定;然后调用Tspi_Context_CreateObject、Tspi_Context_CreateObject 、 Tspi_Policy_SetSecre为加载到缓冲区内的的用户密钥数据分配存储空间,使用非对称加密算法恢复密钥对的私钥对加密的用户密钥数据进行解密,最后调用Tspi_Context_RegisterKey函数将解密后的用户密钥保存在分配的存储空间进行恢复。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种TCM的用户密钥备份方法,其特征在于,所述方法包括如下步骤:
获取TCM芯片产生的备份密钥;
通过TSM密钥迁移接口,以获取需要备份的用户密钥;
使用备份密钥将用户密钥进行加密;
将已加密的密钥文件保存在存储介质中。
2.根据权利要求1所述的备份方法,其特征在于,所述用户密钥为TCM芯片产生的可迁移或者可导出的密钥,用于对加密的数据进行解密。
3.根据权利要求1所述的备份方法,其特征在于,所述获取TCM芯片产生的备份密钥的步骤包括获取非对称加密算法的备份密钥对和对称加密算法的备份密钥,其中:
所述对称加密算法的备份密钥由TCM芯片通过软算法生成;
所述非对称加密算法的备份密钥对由TCM芯片生成,包括公钥和私钥,公钥用于加密,私钥用于解密。
4.根据权利要求3所述的备份方法,其特征在于,所述使用备份密钥将用户密钥进行加密的步骤包括:
TCM芯片使用对称加密算法的备份密钥对需要备份的用户密钥进行加密;
将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密;
使用用户口令对非对称加密算法备份密钥对的私钥进行加密;
将接收到的加密后的密钥内容保存在密钥文件中。
5.根据权利要求1所述的备份方法,其特征在于,所述存储介质为非易失性存储设备或者是能够保存数据的磁、电存储介质。
6.一种TCM的用户密钥恢复方法,其特征在于,所述方法包括如下步骤:
获取保存的密钥文件,并对密钥文件进行解密;
获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密;
将加密的用户密钥加载到TCM芯片并进行恢复。
7.根据权利要求6所述的恢复方法,其特征在于,所述获取保存的密钥文件并对密钥文件进行解密的步骤包括:
获取保存的密钥文件;
使用用户口令对加密的非对称加密算法备份密钥对的私钥进行解密,获取非对称加密算法的备份密钥对的私钥内容;
通过解密出的非对称加密算法备份密钥对的私钥将加密的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容;
根据解密出的对称加密算法的备份密钥将加密的用户密钥进行解密,获取用户密钥内容。
8.根据权利要求6或7所述的恢复方法,其特征在于,所述TCM芯片产生的恢复密钥为非对称加密算法的恢复密钥对,包括公钥和私钥,其中公钥用于加密,私钥用于解密。
9.根据权利要求8所述的恢复方法,其特征在于,所述将加密的用户密钥加载到TCM芯片并进行恢复的步骤包括:
通过TSM密钥迁移接口,将加密的用户密钥加载到TCM芯片;
TCM芯片使用非对称加密算法恢复密钥对的私钥对加密的用户密钥进行解密;
将接收到已解密的用户密钥在TCM芯片进行恢复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110113950.1A CN102769525B (zh) | 2011-05-04 | 2011-05-04 | 一种tcm的用户密钥备份与恢复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110113950.1A CN102769525B (zh) | 2011-05-04 | 2011-05-04 | 一种tcm的用户密钥备份与恢复方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102769525A true CN102769525A (zh) | 2012-11-07 |
| CN102769525B CN102769525B (zh) | 2015-12-02 |
Family
ID=47096785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110113950.1A Active CN102769525B (zh) | 2011-05-04 | 2011-05-04 | 一种tcm的用户密钥备份与恢复方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102769525B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932140A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种增强密码机安全的密钥备份方法 |
| CN105245334A (zh) * | 2015-10-28 | 2016-01-13 | 武汉大学 | 一种tpm密钥及其授权数据备份恢复系统及方法 |
| CN105656864A (zh) * | 2014-11-27 | 2016-06-08 | 航天恒星科技有限公司 | 基于tcm的密钥管理系统及管理方法 |
| CN107453862A (zh) * | 2017-05-15 | 2017-12-08 | 杭州复杂美科技有限公司 | 私钥生成存储及使用的方案 |
| CN107682586A (zh) * | 2016-08-02 | 2018-02-09 | 佳能株式会社 | 信息处理设备及其控制方法和存储介质 |
| CN107707347A (zh) * | 2017-10-27 | 2018-02-16 | 深圳市文鼎创数据科技有限公司 | 用户密钥的备份方法及装置、用户密钥的导入方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1702999A (zh) * | 2005-03-15 | 2005-11-30 | 联想(北京)有限公司 | 一种对加密密钥进行备份与恢复的方法 |
| WO2006118101A1 (ja) * | 2005-04-27 | 2006-11-09 | Matsushita Electric Industrial Co., Ltd. | 機密情報処理用ホスト機器および機密情報処理方法 |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
| CN101483513A (zh) * | 2009-02-09 | 2009-07-15 | 上海爱数软件有限公司 | 一种网络备份系统及其数据备份和数据恢复方法 |
-
2011
- 2011-05-04 CN CN201110113950.1A patent/CN102769525B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1702999A (zh) * | 2005-03-15 | 2005-11-30 | 联想(北京)有限公司 | 一种对加密密钥进行备份与恢复的方法 |
| WO2006118101A1 (ja) * | 2005-04-27 | 2006-11-09 | Matsushita Electric Industrial Co., Ltd. | 機密情報処理用ホスト機器および機密情報処理方法 |
| CN101483513A (zh) * | 2009-02-09 | 2009-07-15 | 上海爱数软件有限公司 | 一种网络备份系统及其数据备份和数据恢复方法 |
| CN101483518A (zh) * | 2009-02-20 | 2009-07-15 | 北京天威诚信电子商务服务有限公司 | 一种用户数字证书私钥管理方法和系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932140A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种增强密码机安全的密钥备份方法 |
| CN105656864A (zh) * | 2014-11-27 | 2016-06-08 | 航天恒星科技有限公司 | 基于tcm的密钥管理系统及管理方法 |
| CN105656864B (zh) * | 2014-11-27 | 2019-04-05 | 航天恒星科技有限公司 | 基于tcm的密钥管理系统及管理方法 |
| CN105245334A (zh) * | 2015-10-28 | 2016-01-13 | 武汉大学 | 一种tpm密钥及其授权数据备份恢复系统及方法 |
| CN105245334B (zh) * | 2015-10-28 | 2018-03-02 | 武汉大学 | 一种tpm密钥及其授权数据备份恢复系统及方法 |
| CN107682586A (zh) * | 2016-08-02 | 2018-02-09 | 佳能株式会社 | 信息处理设备及其控制方法和存储介质 |
| CN107682586B (zh) * | 2016-08-02 | 2019-12-06 | 佳能株式会社 | 信息处理设备及其控制方法和存储介质 |
| US10628333B2 (en) | 2016-08-02 | 2020-04-21 | Canon Kabushiki Kaisha | Information processing apparatus, method of controlling the same, and storage medium |
| CN107453862A (zh) * | 2017-05-15 | 2017-12-08 | 杭州复杂美科技有限公司 | 私钥生成存储及使用的方案 |
| CN107453862B (zh) * | 2017-05-15 | 2023-05-30 | 杭州复杂美科技有限公司 | 私钥生成存储及使用的方案 |
| CN107707347A (zh) * | 2017-10-27 | 2018-02-16 | 深圳市文鼎创数据科技有限公司 | 用户密钥的备份方法及装置、用户密钥的导入方法及装置 |
| CN107707347B (zh) * | 2017-10-27 | 2020-10-23 | 深圳市文鼎创数据科技有限公司 | 用户密钥的备份方法及装置、用户密钥的导入方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102769525B (zh) | 2015-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9813389B2 (en) | System and method for wireless data protection | |
| US20180241556A1 (en) | System and method for content protection based on a combination of a user pin and a device specific identifier | |
| CN103106372B (zh) | 用于Android系统的轻量级隐私数据加密方法及系统 | |
| US20110252236A1 (en) | System and method for synchronizing encrypted data on a device having file-level content protection | |
| US20110252233A1 (en) | System and method for backing up and restoring files encrypted with file-level content protection | |
| CA2585987A1 (en) | System and method for protecting master encryption keys | |
| CN105245328A (zh) | 一种基于第三方的用户及文件的密钥产生管理方法 | |
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| CN102646077A (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| CN102769525B (zh) | 一种tcm的用户密钥备份与恢复方法 | |
| CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN106533663B (zh) | 数据加密方法、加密方设备及数据解密方法、解密方设备 | |
| CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
| CN102726028A (zh) | 一种加密方法、解密方法和相关装置及系统 | |
| CN202364240U (zh) | 一种可信计算芯片密钥备份恢复系统 | |
| CN110855429A (zh) | 一种基于tpm的软件密钥保护方法 | |
| CN103491384A (zh) | 一种视频的加密方法和装置及解密方法和装置 | |
| CN105025001A (zh) | 一种保护文件的装置、系统及方法 | |
| CN102801526B (zh) | 用于文件系统的加密方法及装置 | |
| US20230327859A1 (en) | System and method for distributed custody access token management | |
| KR101758233B1 (ko) | 비대칭 특성을 이용한 외부 저장장치의 데이터에 대한 암호화를 수행하는 장치 및 방법 | |
| CN114329649A (zh) | 加密硬盘的密钥保护方法、使用方法、及密钥管理系统 | |
| US10437655B2 (en) | Hardware-locked encrypted backup | |
| JP2022119465A (ja) | 情報処理装置及び情報処理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |