专利名称:一种tcm的用户密钥备份与恢复方法
技术领域:
本发明涉及可信计算领域,主要涉及一种TCM (Trusted Cryptography Module)的用户密钥备份与恢复方法。
背景技术:
随着计算机技术及可信计算的发展,越来越多的计算机已经带有可信计算的安全芯片,并且基于可信计算的应用也越来越多,如基于可信计算的硬盘保护、硬盘数据保护、 移动存储设备保护、移动存储设备数据保护等。目前市场上基于可信计算安全芯片的数据加密应用越来越多,但由于操作系统的破坏、可信安全芯片中的数据被人为强制清除等会导致用户密钥丢失,从而使加密的数据无法解密,可能给用户带来无法估量的损失。
发明内容
本发明公开了一种TCM的用户密钥备份与恢复方法,对可迁移或者可导出的用于对加密数据进行解密的用户密钥进行备份,解决当操作系统被破坏、用户密钥丢失时将用户密钥进行恢复,便于用户将文件进行解密。为了解决上述技术问题,本发明提供了一种TCM的用户密钥备份方法,所述方法包括如下步骤
获取TCM芯片产生的备份密钥;
通过TSM密钥迁移接口,以获取需要备份的用户密钥;
使用备份密钥将用户密钥进行加密;
将已加密的密钥文件保存在存储介质中。进一步,所述用户密钥为TCM芯片产生的可迁移或者可导出的密钥,用于对加密的数据进行解密。进一步,所述获取TCM芯片产生的备份密钥的步骤包括获取非对称加密算法的备份密钥对和对称加密算法的备份密钥,其中
所述对称加密算法的备份密钥由TCM芯片通过软算法生成;
所述非对称加密算法的备份密钥对由TCM芯片生成,包括公钥和私钥,公钥用于加密,私钥用于解密。进一步,所述使用备份密钥将用户密钥进行加密的步骤包括
TCM芯片使用对称加密算法的备份密钥对需要备份的用户密钥进行加密;
将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密;
使用用户口令对非对称加密算法备份密钥对的私钥进行加密;
将接收到的加密后的密钥内容保存在密钥文件中。进一步,所述存储介质为非易失性存储设备或者是能够保存数据的磁、电存储介质。本发明还提供了一种TCM的用户密钥恢复方法,所述方法包括如下步骤获取保存的密钥文件,并对密钥文件进行解密;
获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密;
将加密的用户密钥加载到TCM芯片并进行恢复。进一步,所述获取保存的密钥文件并对密钥文件进行解密的步骤包括
获取保存的密钥文件;
使用用户口令对加密的非对称加密算法备份密钥对的私钥进行解密,获取非对称加密算法备份密钥对的私钥内容;
通过解密出的非对称加密算法备份密钥对的私钥将加密的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容; 根据解密出的对称加密算法的备份密钥将加密的用户密钥进行解密,获取用户密钥内容。进一步,所述TCM芯片产生的恢复密钥为非对称加密算法的恢复密钥对,包括公钥和私钥,其中公钥用于加密,私钥用于解密。进一步,所述将加密的用户密钥加载到TCM芯片并进行恢复的步骤包括
通过TSM密钥迁移接口,将加密的用户密钥加载到TCM芯片;
TCM芯片使用非对称加密算法恢复密钥对的私钥对加密的用户密钥进行解密;
将接收到已解密的用户密钥在TCM芯片进行恢复。在本发明的技术方案中,将可迁移或者可导出的用户密钥进行备份,解决在操作系统破坏、密钥丢失的情况下将密钥进行恢复以便进行文件解密;同时也适用于将备份的密钥在其他电脑上进行恢复,为防止恶意进行恢复或者被他人利用,备份的信息是以密文的形式保存在存储介质中,恢复工作则在TCM芯片完成,确保了用户密钥的安全性;在对用户密钥进行备份或恢复时还需要输入用户口令,以进一步提高了操作的安全性。
图I为本发明实施例的用户密钥备份方法的逻辑流程 图2为本发明实施例的用户密钥恢复方法的逻辑流程具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本发明一实施例公开了一种TCM的用户密钥备份方法,图I为本发明实施例的用户密钥备份方法的逻辑流程图。如图I所示,该方法包括如下步骤
步骤101 :获取TCM芯片产生的备份密钥;
其中,TCM芯片产生的备份密钥包括非对称加密算法的备份密钥对和对称加密算法的备份密钥。所述非对称加密算法的备份密钥对包括公钥和私钥,其中公钥用于加密,私钥用于解密;所述对称加密算法的备份密钥由TCM芯片通过软算法产生。所述获取TCM芯片产生的备份密钥通过调用TSM(TCM Service Module)底层功能函数实现,所 述TSM为TCM芯片和用户应用层之间的平台软件,在TSM内部包括支持TCM芯片向上提供平台认证、密码学服务和应用层软件对TCM芯片进行管理等功能的函数接口。在本实施例中,通过调用Tspi_Context_GetKeyByPublicInfo函数获取非对称加密算法的备份密钥对,并通过该非对称加密算法备份密钥对的公钥调用Tspi_GetAttribData函数来获取TCM芯片的唯一硬件标识UUID,获取成功后,TCM芯片根据软算法生成对称加密算法的备份密钥。步骤102 :通过TSM密钥迁移接口,以获取需要备份的用户密钥;
该实施方式中,所述TSM密钥迁移接口是指连接TCM芯片与应用层之间的TSM底层功能函数;所述用户密钥是指对TCM用户重要数据进行加密的密钥,此密钥由TCM芯片生成,且只有可迁移或者可导出的用户密钥才能进行备份。所述获取需要备份的用户密钥的具体过程为,根据获取的TCM芯片的唯一硬件标识UUID调用Tspi_Context_GetRegisteredKeysByUUID函数查找要备份的密钥节点,进一步调用Tspi_Key_LoadKey函数获取该节点上的用户密钥,并通过TSM密钥迁移接口函数Tspi_Context_CreateObject 和 TSM_Tspi_SetAttribData 将获取的用户密钥加载到备份文件中。步骤103 :使用备份密钥将用户密钥进行加密;
本实施例中,所述使用备份密钥将用户密钥进行加密的过程为首先使用TCM芯片生成的对称加密算法的备份密钥将获取的需要备份的用户密钥进行加密;再将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密;然后使用用户口令对非对称加密算法备份密钥的私钥进行加密;最后将加密后的内容以密文的形式保存在密钥文件中。步骤104 :将已加密的密钥文件保存在存储介质中;
所述存储介质为非易失性存储设备或者其他能保存数据的磁、电存储介质,如目前常用的硬盘、USB存储设备、Flash闪存等。在本实施例中,通过上述步骤将已加密的密钥文件保存在存储介质中,当操作系统被破坏、可信安全芯片中数据人为强制清除等导致密钥丢失时,可以使用保存的密钥文件在系统进行恢复、对数据进行解密,避免因用户密钥丢失而带来的损失。本发明另一实施例公开了一种TCM的用户密钥恢复方法,图2为本发明实施例的用户密钥恢复方法的逻辑流程图。如图2所示,该方法包括如下步骤
步骤201 :获取保存的密钥文件,并对密钥文件进行解密;
当操作系统被破坏、可信安全芯片中数据人为强制清除等导致密钥丢失时,可以对保存的用户密钥进行恢复以便对文件进行解密,同时也适用于将保存的用户密钥在其他可信计算机上进行恢复。在本实施例中,当需要对用户密钥进行恢复时,使用用户口令对保存的密钥文件内容进行解密,获取保存在密钥文件中的非对称加密算法的备份密钥对的私钥内容;通过解密出的非对称加密算法的备份密钥对的私钥内容对备份的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容;根据解密出的对称加密算法的备份密钥内容对备份的用户密钥进行解密,获取用户密钥的内容。步骤202 :获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密; 在本实施例中,当接收到用户密钥恢复请求时,TCM芯片会生成用于对用户密钥在TCM
芯片恢复的恢复密钥。所述恢复密钥为非对称加密算法的恢复密钥对,所述恢复密钥对包括公钥和私钥,其中公钥用于加密,私钥用于解密。本实施例中,使用非对称加密算法恢复密钥对的公钥对上述解密出的用户密钥内容进行加密。步骤203 :将加密的用户密钥加载到TCM芯片并进行恢复;
通过调用 TSM 底层功能函数 Tspi_Context_CreateObjectt 和 Tspi_SetAttribData将已加密的用户密钥数据加载到TCM芯片的缓冲区内,并通过调用Tspi_Context_CreateObject> Tspi_Policy_SetSecret 和 Tspi_Policy_AssignToObject 函数将加载的用户密钥与TCM芯片所有者口令进行绑定;然后调用Tspi_Context_CreateObject、Tspi_ Context_CreateObject、Tspi_Policy_SetSecre为加载到缓冲区内的的用户密钥数据分配存储空间,使用非对称加密算法恢复密钥对的私钥对加密的用户密钥数据进行解密,最后调用Tspi_Context_RegisterKey函数将解密后的用户密钥保存在分配的存储空间进行恢复。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种TCM的用户密钥备份方法,其特征在于,所述方法包括如下步骤 获取TCM芯片产生的备份密钥; 通过TSM密钥迁移接口,以获取需要备份的用户密钥; 使用备份密钥将用户密钥进行加密; 将已加密的密钥文件保存在存储介质中。
2.根据权利要求I所述的备份方法,其特征在于,所述用户密钥为TCM芯片产生的可迁移或者可导出的密钥,用于对加密的数据进行解密。
3.根据权利要求I所述的备份方法,其特征在于,所述获取TCM芯片产生的备份密钥的 步骤包括获取非对称加密算法的备份密钥对和对称加密算法的备份密钥,其中 所述对称加密算法的备份密钥由TCM芯片通过软算法生成; 所述非对称加密算法的备份密钥对由TCM芯片生成,包括公钥和私钥,公钥用于加密,私钥用于解密。
4.根据权利要求3所述的备份方法,其特征在于,所述使用备份密钥将用户密钥进行加密的步骤包括 TCM芯片使用对称加密算法的备份密钥对需要备份的用户密钥进行加密; 将对称加密算法的备份密钥使用非对称加密算法备份密钥对的公钥进行加密; 使用用户口令对非对称加密算法备份密钥对的私钥进行加密; 将接收到的加密后的密钥内容保存在密钥文件中。
5.根据权利要求I所述的备份方法,其特征在于,所述存储介质为非易失性存储设备或者是能够保存数据的磁、电存储介质。
6.一种TCM的用户密钥恢复方法,其特征在于,所述方法包括如下步骤 获取保存的密钥文件,并对密钥文件进行解密; 获取TCM芯片产生的恢复密钥,并对解密出的用户密钥进行加密; 将加密的用户密钥加载到TCM芯片并进行恢复。
7.根据权利要求6所述的恢复方法,其特征在于,所述获取保存的密钥文件并对密钥文件进行解密的步骤包括 获取保存的密钥文件; 使用用户口令对加密的非对称加密算法备份密钥对的私钥进行解密,获取非对称加密算法的备份密钥对的私钥内容; 通过解密出的非对称加密算法备份密钥对的私钥将加密的对称加密算法的备份密钥进行解密,获取对称加密算法的备份密钥内容; 根据解密出的对称加密算法的备份密钥将加密的用户密钥进行解密,获取用户密钥内容。
8.根据权利要求6或7所述的恢复方法,其特征在于,所述TCM芯片产生的恢复密钥为非对称加密算法的恢复密钥对,包括公钥和私钥,其中公钥用于加密,私钥用于解密。
9.根据权利要求8所述的恢复方法,其特征在于,所述将加密的用户密钥加载到TCM芯片并进行恢复的步骤包括 通过TSM密钥迁移接口,将加密的用户密钥加载到TCM芯片; TCM芯片使用非对称加密算法恢复密钥对的私钥对加密的用户密钥进行解密;将接收到已解密的 用户密钥在TCM芯片进行恢复。
全文摘要
本发明涉及一种TCM(TrustedCryptographyModule)的用户密钥备份与恢复方法,所述用户密钥备份方法的步骤包括获取TCM芯片产生的备份密钥;通过TSM(TCMServiceModule)密钥迁移接口,以获取需要备份的用户密钥;使用备份密钥将用户密钥进行加密;将已加密的密钥文件保存在存储介质中。本发明的技术方案将可迁移或者可导出的用于对加密数据进行解密的用户密钥进行备份,便于在操作系统被破坏、密钥丢失的情况下将用户密钥进行恢复并对加密数据进行解密,同时也适用于将备份的用户密钥在其他电脑上进行恢复。
文档编号H04L9/08GK102769525SQ201110113950
公开日2012年11月7日 申请日期2011年5月4日 优先权日2011年5月4日
发明者付月朋 申请人:国民技术股份有限公司