一種基于可信密碼模塊的文件加密方法
【專利摘要】本發明公開了一種基于可信密碼模塊的文件加密方法,其具體實現過程包括初始設置、策略設置、密鑰操作、加密解密、釋放資源的步驟。該一種基于可信密碼模塊的文件加密方法與現有技術相比,利用防篡改的可信密碼芯片為密鑰提供更安全的保障,更好地保護用戶文件,實用性強。
【專利說明】 —種基于可信密碼模塊的文件加密方法
【技術領域】
[0001]本發明涉及信息安全【技術領域】,具體地說是一種實用性強、基于可信密碼模塊的文件加密方法。
【背景技術】
[0002]伴隨信息技術的發展,數據安全越來越重要,用戶需要對個人機密文件進行保護,以防止該文件被復制或主機丟失所造成的敏感數據泄露。傳統的數據保護的方式都是通過軟件加密來實現的,這種加密方式操作麻煩,加密成本較高,不易實現。
[0003]基于此,現提供一種基于可信密碼模塊的文件加密方法,該方法利用防篡改的安全芯片能夠為密鑰提供更安全的保障,更好地保護用戶文件,實用性強。
【發明內容】
[0004]本發明的技術任務是針對以上不足之處,提供一種實用性強、基于可信密碼模塊的文件加密方法。
[0005]一種基于可信密碼模塊的文件加密方法,其具體實現過程為:
一、初始設置:創建一個上下文數據對象,建立初始執行環境,用于進一步執行可信軟件棧的其他操作;
二、策略設置:可信密碼模塊服務模塊TSM執行操作時為涉及對象創建相應的使用策略;
三、密鑰操作:在創建密鑰前先加載其父密鑰到可信密碼模塊服務模塊TSM內部,然后使用父密鑰創建相應的TSM密鑰對象hSMK,設置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務模塊TSM中;
四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作;
五、釋放資源:加密、解密操作執行完畢,釋放與本次操作相關的TSM資源。
[0006]所述步驟二的詳細過程為:首先TSM模塊得到已經創建的上下文對象,然后獲取相應的TSM策略對象hOwnerPolicyObject,并設置該策略對象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節數組作為授權數據,TSM不修改該輸入數據。
[0007]所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創建一個加密的數據對象hEncData,然后利用已有的密鑰hKey執行加密及對應的解密。
[0008]所述被釋放的TSM資源包括釋放密鑰、關閉相應的密鑰對象以及釋放內存資源。
[0009]所述可信密碼模塊服務模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數生成器、TCM定義的特殊key功能。
[0010]本發明的一種基于可信密碼模塊的文件加密方法,具有以下優點:
該發明的一種基于可信密碼模塊的文件加密方法利用防篡改的安全芯片能夠為密鑰提供更安全的保障,更好地保護用戶文件;實現了文件的加密存儲,符合我國的《可信計算密碼支撐平臺技術規范》和《可信計算密碼支撐平臺功能與接口技術規范》,可以應用于信息安全領域的重要文件的加密存儲保護,實用性強,適用范圍廣泛,可應用于多種計算機系統中,易于推廣。
【專利附圖】
【附圖說明】
[0011]附圖1為本發明的實現流程圖。
【具體實施方式】
[0012]下面結合附圖和具體實施例對本發明作進一步說明。
[0013]本發明提供一種基于可信密碼模塊的文件加密方法,用戶在已經啟用Z8H172T芯片的主機上基于自己的口令創建并加載一個對稱加密密鑰,該密鑰由Z8H172T芯片加密保護,并可與當前主機配置進行綁定;然后選擇要保護的文件,調用加密接口生成加密文件。用戶打開文件時,必須輸入口令以加載相應的解密密鑰。如附圖1所示,其具體實現過程為:
一、初始設置:創建一個上下文數據對象,建立初始執行環境,用于進一步執行可信軟件棧的其他操作;
二、策略設置:可信密碼模塊服務模塊TSM執行操作時為涉及對象創建相應的使用策略;
三、密鑰操作:在創建密鑰前先加載其父密鑰到可信密碼模塊服務模塊TSM內部,然后使用父密鑰創建相應的TSM密鑰對象hSMK,設置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務模塊TSM中;
四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作;
五、釋放資源:加密、解密操作執行完畢,釋放與本次操作相關的TSM資源。
[0014]所述步驟二的詳細過程為:首先TSM模塊得到已經創建的上下文對象,然后獲取相應的TSM策略對象hOwnerPolicyObject,并設置該策略對象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節數組作為授權數據,TSM不修改該輸入數據。
[0015]所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創建一個加密的數據對象hEncData,然后利用已有的密鑰hKey執行加密及對應的解密。
[0016]所述被釋放的TSM資源包括釋放密鑰、關閉相應的密鑰對象以及釋放內存資源。
[0017]所述可信密碼模塊服務模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數生成器、TCM定義的特殊key功能。
[0018]上述【具體實施方式】僅是本發明的具體個案,本發明的專利保護范圍包括但不限于上述【具體實施方式】,任何符合本發明的一種基于可信密碼模塊的文件加密方法的權利要求書的且任何所述【技術領域】的普通技術人員對其所做的適當變化或替換,皆應落入本發明的專利保護范圍。
【權利要求】
1.一種基于可信密碼模塊的文件加密方法,其特征在于,其具體實現過程為: 一、初始設置:創建一個上下文數據對象,建立初始執行環境,用于進一步執行可信軟件棧的其他操作; 二、策略設置:可信密碼模塊服務模塊TSM執行操作時為涉及對象創建相應的使用策略; 三、密鑰操作:在創建密鑰前先加載其父密鑰到可信密碼模塊服務模塊TSM內部,然后使用父密鑰創建相應的TSM密鑰對象hSMK,設置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務模塊TSM中; 四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作; 五、釋放資源:加密、解密操作執行完畢,釋放與本次操作相關的TSM資源。
2.根據權利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述步驟二的詳細過程為:首先TSM模塊得到已經創建的上下文對象,然后獲取相應的TSM策略對象hOwnerPolicyObject,并設置該策略對象的策略值; 采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節數組作為授權數據,TSM不修改該輸入數據。
3.根據權利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創建一個加密的數據對象hEncData,然后利用已有的密鑰hKey執行加密及對應的解密。
4.根據權利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述被釋放的TSM資源包括釋放密鑰、關閉相應的密鑰對象以及釋放內存資源。
5.根據權利要求1-4任一所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述可信密碼模塊服務模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數生成器、TCM定義的特殊key功能。
【文檔編號】H04L9/32GK104376269SQ201410752526
【公開日】2015年2月25日 申請日期:2014年12月11日 優先權日:2014年12月11日
【發明者】蘇振宇 申請人:浪潮電子信息產業股份有限公司