一种基于可信密码模块的文件加密方法
【专利摘要】本发明公开了一种基于可信密码模块的文件加密方法,其具体实现过程包括初始设置、策略设置、密钥操作、加密解密、释放资源的步骤。该一种基于可信密码模块的文件加密方法与现有技术相比,利用防篡改的可信密码芯片为密钥提供更安全的保障,更好地保护用户文件,实用性强。
【专利说明】 —种基于可信密码模块的文件加密方法
【技术领域】
[0001]本发明涉及信息安全【技术领域】,具体地说是一种实用性强、基于可信密码模块的文件加密方法。
【背景技术】
[0002]伴随信息技术的发展,数据安全越来越重要,用户需要对个人机密文件进行保护,以防止该文件被复制或主机丢失所造成的敏感数据泄露。传统的数据保护的方式都是通过软件加密来实现的,这种加密方式操作麻烦,加密成本较高,不易实现。
[0003]基于此,现提供一种基于可信密码模块的文件加密方法,该方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件,实用性强。
【发明内容】
[0004]本发明的技术任务是针对以上不足之处,提供一种实用性强、基于可信密码模块的文件加密方法。
[0005]一种基于可信密码模块的文件加密方法,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
[0006]所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
[0007]所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
[0008]所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
[0009]所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
[0010]本发明的一种基于可信密码模块的文件加密方法,具有以下优点:
该发明的一种基于可信密码模块的文件加密方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件;实现了文件的加密存储,符合我国的《可信计算密码支撑平台技术规范》和《可信计算密码支撑平台功能与接口技术规范》,可以应用于信息安全领域的重要文件的加密存储保护,实用性强,适用范围广泛,可应用于多种计算机系统中,易于推广。
【专利附图】
【附图说明】
[0011]附图1为本发明的实现流程图。
【具体实施方式】
[0012]下面结合附图和具体实施例对本发明作进一步说明。
[0013]本发明提供一种基于可信密码模块的文件加密方法,用户在已经启用Z8H172T芯片的主机上基于自己的口令创建并加载一个对称加密密钥,该密钥由Z8H172T芯片加密保护,并可与当前主机配置进行绑定;然后选择要保护的文件,调用加密接口生成加密文件。用户打开文件时,必须输入口令以加载相应的解密密钥。如附图1所示,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
[0014]所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
[0015]所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
[0016]所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
[0017]所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
[0018]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的一种基于可信密码模块的文件加密方法的权利要求书的且任何所述【技术领域】的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【权利要求】
1.一种基于可信密码模块的文件加密方法,其特征在于,其具体实现过程为: 一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作; 二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略; 三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中; 四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作; 五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
2.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值; 采用TSM的策略模式TSM_SECRET_M0DE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
3.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
4.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
5.根据权利要求1-4任一所述的一种基于可信密码模块的文件加密方法,其特征在于,所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
【文档编号】H04L9/32GK104376269SQ201410752526
【公开日】2015年2月25日 申请日期:2014年12月11日 优先权日:2014年12月11日
【发明者】苏振宇 申请人:浪潮电子信息产业股份有限公司