一种基于tpm的云存储数据加密方法
【专利摘要】本发明公开了一种基于TPM的云存储数据加密方法,其实现过程为:当用户数据文件需要存储时,在可信平台模块TPM中生成加密需要存储的数据的密钥,然后对该密钥进行加密,再保存至外部存储设备中;在数据需要解密时,可信平台模块TPM首先从外部设备提取并解密加密密钥,然后再用解密后的秘钥解密用户数据。该基于TPM的云存储数据加密方法与现有技术相比,通过将TPM可信模块引入到加密模型中,构建基于TPM的安全的安全的数据加密模型,有效保证数据的安全性,有效的解决云存储中的数据加密和密钥管理问题,实用性强,适用范围广泛,易于推广。
【专利说明】
一种基于TPM的云存储数据加密方法
技术领域
[0001]本发明涉及云计算技术领域,具体地说是一种实用性强、基于TPM的云存储数据加密方法。【背景技术】
[0002]云存储实际上就是云计算中的一种应用,逐渐发展成一个行业。其通过虚拟化技术和分布式文件系统,将分布在不同地域的硬件存储设备通过虚拟化技术将其统一调度, 形成一个云存储服务器,为客户提供数据存储和管理服务。在云存储模式下,数据托管存储在第三方存储平台中,用户不需要关心云存储服务区如何实现这些功能,也不用为计算机升级、杀毒等工作操心。但是在为用户提供便利的同时,也存在着安全隐患。数据托管在网络上大型计算中心,就脱离了数据属主的控制范围,其安全性高度依赖于云服务提供商。这样,即使数据以密文的形式保存,云服务提供商仍然会存在一些安全隐患。
[0003]可信计算平台实际上就是一台拥有软件和硬件的实体计算机,它可以通过自身的可信计算平台为用户提供保证计算机软件、硬件和所有数据的安全与可信。其基本思想是: 利用可信平台的可信性,为用户提供一个安全可靠的计算服务。建立一个可信域是可信计算平台的最基本的功能,并在该可信域的管理下将可信认证一级一级的向整个网络传递, 最终达到使真个网络都可信的目的。而可信计算模块TPM是可信计算平台的“信任根”,其通过底层硬件来保护计算设备的硬件层。
[0004]鉴于此,现提供一种基于上述云存储及可信计算平台TPM的数据加密方法。
【发明内容】
[0005]本发明的技术任务是针对以上不足之处,提供一种实用性强、基于TPM的云存储数据加密方法。
[0006]—种基于TPM的云存储数据加密方法,其实现过程为:当用户数据文件需要存储时,在可信平台模块TPM中生成加密需要存储的数据的密钥,然后对该密钥进行加密,再保存至外部存储设备中;在数据需要解密时,可信平台模块TPM首先从外部设备提取并解密加密密钥,然后再用解密后的秘钥解密用户数据。
[0007]上述用户数据文件加密存储过程为:用户数据文件加密使用对称密钥,首先将该加密文件所使用的对称密钥提交给可信平台模块TPM,然后由可信平台模块TPM生成的非对称密钥的公钥加密后存储到指定的硬盘分区中,并且保证加密密钥可以被授权的用户访问。
[0008]用户数据文件加密存储的具体过程为:用户向云存储服务器申请存储空间,申请之后,云存储服务器为其建立相应的存储空间;同时,可信平台模块TPM为其随机生成一对对称密钥、一对非对称密钥和用于验证身份的数字证书,其中数字证书发送给客户,用于以后身份验证;对称密钥被非对称密钥的公钥加密后存放到硬盘上;存储数据时,云存储服务器通知可信平台模块TPM验证身份后,用户发送数据;可信平台模块TPM从隐藏分区提取并用私钥解密对称密钥,用于加密数据,然后将加密后的数据存放到云存储服务器。
[0009]可信平台模块TPM验证用户身份的具体过程为:用户首先向云存储服务器发送请求,云存储服务器通知可信平台模块TPM验证其身份,即可信平台模块TPM向用户索要数字证书,用户将数字证书用公钥加密后发送给可信平台模块TPM,可信平台模块TPM用私钥解密后,验证其身份的合法性,身份确认后,建立VPN隧道,用户发送数据。
[0010]外部存储设备中的数据解密过程为:用户索要数据时,可信平台模块TPM从外部存储设备的隐藏密钥分区提取对称密钥,解密数据后发送至用户。
[0011]当用户需要使用存储数据文件时,从相应的外部存储设备中读取密文文件所使用的对称密钥,将加密的密文发送给可信平台模块TPM,可信平台模块TPM使用解密后的对称密钥对密文进行解密。
[0012]本发明的一种基于TPM的云存储数据加密方法,具有以下优点:本发明提供的一种基于TPM的云存储数据加密方法,通过将TPM可信模块引入到加密模型中,构建基于TPM的安全的安全的数据加密模型,有效保证数据的安全性,有效的解决云存储中的数据加密和密钥管理问题,实用性强,适用范围广泛,易于推广。【附图说明】[0〇13]附图1为本发明实现示意图。【具体实施方式】
[0014]下面结合附图和具体实施例对本发明作进一步说明。
[0015]为了解决云存储过程中的安全隐患,保障用户托管于第三方云存储平台中的数据。如附图1所示,本发明的一种基于TPM的云存储数据加密方法,将可信平台模块TPM可信模块引入到加密模型中,构建基于可信平台模块TPM的安全的安全的数据加密模型。
[0016]其实现过程为:当用户数据文件需要存储时,在可信平台模块TPM中生成加密需要存储的数据的密钥, 然后对该密钥进行加密,再保存至外部存储设备中;在数据需要解密时,可信平台模块TPM 首先从外部设备提取并解密加密密钥,然后再用解密后的秘钥解密用户数据。
[0017]由于TPM是硬件设备,理论上非法用户无法攻破,故可以保证用户的密钥和数据的安全性。
[0018]上述用户数据文件加密存储过程为:用户数据文件加密使用对称密钥,首先将该加密文件所使用的对称密钥提交给可信平台模块TPM,然后由可信平台模块TPM生成的非对称密钥的公钥加密后存储到指定的硬盘分区中,并且保证加密密钥可以被授权的用户访问。
[0019]用户数据文件加密存储的具体过程为:用户向云存储服务器申请存储空间,申请之后,云存储服务器为其建立相应的存储空间;同时,可信平台模块TPM为其随机生成一对对称密钥、一对非对称密钥和用于验证身份的数字证书,其中数字证书发送给客户,用于以后身份验证;对称密钥被非对称密钥的公钥加密后存放到硬盘上;存储数据时,云存储服务器通知可信平台模块TPM验证身份后,用户发送数据;可信平台模块TPM从隐藏分区提取并用私钥解密对称密钥,用于加密数据,然后将加密后的数据存放到云存储服务器。
[0020]可信平台模块TPM验证用户身份的具体过程为:用户首先向云存储服务器发送请求,云存储服务器通知可信平台模块TPM验证其身份,即可信平台模块TPM向用户索要数字证书,用户将数字证书用公钥加密后发送给可信平台模块TPM,可信平台模块TPM用私钥解密后,验证其身份的合法性,身份确认后,建立VPN隧道,用户发送数据。[0021 ]外部存储设备中的数据解密过程为:用户索要数据时,可信平台模块TPM从外部存储设备的隐藏密钥分区提取对称密钥,解密数据后发送至用户。[〇〇22]当用户需要使用存储数据文件时,从相应的外部存储设备中读取密文文件所使用的对称密钥,将加密的密文发送给可信平台模块TPM,可信平台模块TPM使用解密后的对称密钥对密文进行解密。[〇〇23]本发明中,将加密文件所使用的对称密钥提交到可信平台模块TPM,然后由可信平台模块TPM生成的非对称密钥的公钥进行加密,之后存放到指定的硬盘分区,且保证数据加密密钥可以被授权用户访问。这里指定SRK为非对称密钥生成的指定父密钥,因为SRK可以别任何用户访问。SRK作为一级密钥(也称主密钥),存储在安全区域,用它对二级密钥信息加密生成二级密钥。依次类推,父节点加密保护子节点,构成整个分层密钥树结构。在密钥分层树中,叶子节点都是各种数据加密密钥和实现数据签名密钥。这些动作都应该是连贯的密箱操作。相比之下,纯软件的加密系统难以做到密箱操作。但如果把主密钥、加密算法等关键数据、程序固化在硬件设备TPM中,就能解决密箱操作的难题。
[0024]在需要使用密钥时,从相应位置读取加密数据所使用的对称密钥,并且将加密的密文发送给可信平台模块TPM,可信平台模块TPM使用解密后的对称密钥对密文进行解密。
[0025]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的一种基于TPM的云存储数据加密方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【主权项】
1.一种基于TPM的云存储数据加密方法,其特征在于,其实现过程为:当用户数据文件 需要存储时,在可信平台模块TPM中生成加密需要存储的数据的密钥,然后对该密钥进行加 密,再保存至外部存储设备中;在数据需要解密时,可信平台模块TPM首先从外部设备提取 并解密加密密钥,然后再用解密后的秘钥解密用户数据。2.根据权利要求1所述的一种基于TPM的云存储数据加密方法,其特征在于,上述用户 数据文件加密存储过程为:用户数据文件加密使用对称密钥,首先将该加密文件所使用的 对称密钥提交给可信平台模块TPM,然后由可信平台模块TPM生成的非对称密钥的公钥加密 后存储到指定的硬盘分区中,并且保证加密密钥可以被授权的用户访问。3.根据权利要求2所述的一种基于TPM的云存储数据加密方法,其特征在于,用户数据 文件加密存储的具体过程为:用户向云存储服务器申请存储空间,申请之后,云存储服务器为其建立相应的存储空 间;同时,可信平台模块TPM为其随机生成一对对称密钥、一对非对称密钥和用于验证身份 的数字证书,其中数字证书发送给客户,用于以后身份验证;对称密钥被非对称密钥的公钥 加密后存放到硬盘上;存储数据时,云存储服务器通知可信平台模块TPM验证身份后,用户发送数据;可信平台模块TPM从隐藏分区提取并用私钥解密对称密钥,用于加密数据,然后将加密 后的数据存放到云存储服务器。4.根据权利要求3所述的一种基于TPM的云存储数据加密方法,其特征在于,可信平台 模块TPM验证用户身份的具体过程为:用户首先向云存储服务器发送请求,云存储服务器通 知可信平台模块TPM验证其身份,即可信平台模块TPM向用户索要数字证书,用户将数字证 书用公钥加密后发送给可信平台模块TPM,可信平台模块TPM用私钥解密后,验证其身份的 合法性,身份确认后,建立VPN隧道,用户发送数据。5.根据权利要求2所述的一种基于TPM的云存储数据加密方法,其特征在于,外部存储 设备中的数据解密过程为:用户索要数据时,可信平台模块TPM从外部存储设备的隐藏密钥 分区提取对称密钥,解密数据后发送至用户。6.根据权利要求5所述的一种基于TPM的云存储数据加密方法,其特征在于,当用户需 要使用存储数据文件时,从相应的外部存储设备中读取密文文件所使用的对称密钥,将加 密的密文发送给可信平台模块TPM,可信平台模块TPM使用解密后的对称密钥对密文进行解I_Lj 〇
【文档编号】H04L29/06GK106027503SQ201610300097
【公开日】2016年10月12日
【申请日】2016年5月9日
【发明人】张卫品, 戴鸿君, 于治楼
【申请人】浪潮集团有限公司