CN104376269A - 一种基于可信密码模块的文件加密方法 - Google Patents

一种基于可信密码模块的文件加密方法 Download PDF

Info

Publication number
CN104376269A
CN104376269A CN201410752526.5A CN201410752526A CN104376269A CN 104376269 A CN104376269 A CN 104376269A CN 201410752526 A CN201410752526 A CN 201410752526A CN 104376269 A CN104376269 A CN 104376269A
Authority
CN
China
Prior art keywords
key
tsm
credible password
password module
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410752526.5A
Other languages
English (en)
Inventor
苏振宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201410752526.5A priority Critical patent/CN104376269A/zh
Publication of CN104376269A publication Critical patent/CN104376269A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Abstract

本发明公开了一种基于可信密码模块的文件加密方法,其具体实现过程包括初始设置、策略设置、密钥操作、加密解密、释放资源的步骤。该一种基于可信密码模块的文件加密方法与现有技术相比,利用防篡改的可信密码芯片为密钥提供更安全的保障,更好地保护用户文件,实用性强。

Description

一种基于可信密码模块的文件加密方法
技术领域
本发明涉及信息安全技术领域,具体地说是一种实用性强、基于可信密码模块的文件加密方法。
背景技术
伴随信息技术的发展,数据安全越来越重要,用户需要对个人机密文件进行保护,以防止该文件被复制或主机丢失所造成的敏感数据泄露。传统的数据保护的方式都是通过软件加密来实现的,这种加密方式操作麻烦,加密成本较高,不易实现。
基于此,现提供一种基于可信密码模块的文件加密方法,该方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件,实用性强。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、基于可信密码模块的文件加密方法。
一种基于可信密码模块的文件加密方法,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;   
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
本发明的一种基于可信密码模块的文件加密方法,具有以下优点:
该发明的一种基于可信密码模块的文件加密方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件;实现了文件的加密存储,符合我国的《可信计算密码支撑平台技术规范》和《可信计算密码支撑平台功能与接口技术规范》,可以应用于信息安全领域的重要文件的加密存储保护,实用性强,适用范围广泛,可应用于多种计算机系统中,易于推广。
附图说明
附图1为本发明的实现流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明提供一种基于可信密码模块的文件加密方法,用户在已经启用Z8H172T芯片的主机上基于自己的口令创建并加载一个对称加密密钥,该密钥由Z8H172T芯片加密保护,并可与当前主机配置进行绑定;然后选择要保护的文件,调用加密接口生成加密文件。用户打开文件时,必须输入口令以加载相应的解密密钥。如附图1所示,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;   
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于可信密码模块的文件加密方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。

Claims (5)

1.一种基于可信密码模块的文件加密方法,其特征在于,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
2.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;   
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
3.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
4.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
5.根据权利要求1-4任一所述的一种基于可信密码模块的文件加密方法,其特征在于,所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
CN201410752526.5A 2014-12-11 2014-12-11 一种基于可信密码模块的文件加密方法 Pending CN104376269A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410752526.5A CN104376269A (zh) 2014-12-11 2014-12-11 一种基于可信密码模块的文件加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410752526.5A CN104376269A (zh) 2014-12-11 2014-12-11 一种基于可信密码模块的文件加密方法

Publications (1)

Publication Number Publication Date
CN104376269A true CN104376269A (zh) 2015-02-25

Family

ID=52555171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410752526.5A Pending CN104376269A (zh) 2014-12-11 2014-12-11 一种基于可信密码模块的文件加密方法

Country Status (1)

Country Link
CN (1) CN104376269A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104715208A (zh) * 2015-03-18 2015-06-17 浪潮集团有限公司 一种基于tpm芯片的平台完整性校验方法
CN107483188A (zh) * 2017-08-07 2017-12-15 浪潮(北京)电子信息产业有限公司 一种密钥安全存储方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101034424A (zh) * 2007-01-12 2007-09-12 深圳兆日技术有限公司 一种数据安全存储系统和装置及方法
CN101430747A (zh) * 2008-09-26 2009-05-13 武汉大学 基于可信嵌入式平台的移动设备及其安全存储方法
CN102207999A (zh) * 2010-03-29 2011-10-05 国民技术股份有限公司 一种基于可信计算密码支撑平台的数据保护方法
CN102646077A (zh) * 2012-03-28 2012-08-22 山东超越数控电子有限公司 一种基于可信密码模块的全盘加密的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101034424A (zh) * 2007-01-12 2007-09-12 深圳兆日技术有限公司 一种数据安全存储系统和装置及方法
CN101430747A (zh) * 2008-09-26 2009-05-13 武汉大学 基于可信嵌入式平台的移动设备及其安全存储方法
CN102207999A (zh) * 2010-03-29 2011-10-05 国民技术股份有限公司 一种基于可信计算密码支撑平台的数据保护方法
CN102646077A (zh) * 2012-03-28 2012-08-22 山东超越数控电子有限公司 一种基于可信密码模块的全盘加密的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
周山东等: "基于TCM的全盘加密系统的研究与实现", 《计算机工程与设计》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104715208A (zh) * 2015-03-18 2015-06-17 浪潮集团有限公司 一种基于tpm芯片的平台完整性校验方法
CN107483188A (zh) * 2017-08-07 2017-12-15 浪潮(北京)电子信息产业有限公司 一种密钥安全存储方法及系统

Similar Documents

Publication Publication Date Title
JP2017139811A5 (zh)
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US11184164B2 (en) Secure crypto system attributes
WO2014083335A3 (en) A method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors
CN101515319B (zh) 密钥处理方法、密钥密码学服务系统和密钥协商方法
CN103580855B (zh) 一种基于共享技术的UsbKey密钥管理方法
CN102185694A (zh) 基于指纹信息的电子文件加密的方法及其系统
CN106533663B (zh) 数据加密方法、加密方设备及数据解密方法、解密方设备
CN105960775A (zh) 用于迁移密钥的方法和装置
CN104866784B (zh) 一种基于bios加密的安全硬盘、数据加密及解密方法
CN102646077A (zh) 一种基于可信密码模块的全盘加密的方法
TW201926941A (zh) 密鑰管理方法、裝置及設備
CN103955654A (zh) 基于虚拟文件系统的u盘安全存储方法
CN106027503A (zh) 一种基于tpm的云存储数据加密方法
CN102236756A (zh) 一种基于TCM可信密码模块和USBKey的文件加密方法
CN110050437A (zh) 分布式证书注册的装置和方法
CN107508801A (zh) 一种文件防篡改的方法及装置
CN104573549A (zh) 一种可信的数据库机密性保护方法及系统
CN109478214A (zh) 用于证书注册的装置和方法
WO2012174726A1 (zh) 芯片及芯片的安全保护方法
US8891773B2 (en) System and method for key wrapping to allow secure access to media by multiple authorities with modifiable permissions
TW201003451A (en) Safety storage device with two-stage symmetrical encryption algorithm
CN105184181A (zh) 文件的加密方法、解密方法及装置
CN103177225B (zh) 一种数据管理方法和系统
CN103746805A (zh) 外部认证密钥的生成方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20150225

WD01 Invention patent application deemed withdrawn after publication