一種基于可信密碼模塊的文件加密方法
【專利摘要】本發(fā)明公開了一種基于可信密碼模塊的文件加密方法,其具體實現(xiàn)過程包括初始設(shè)置、策略設(shè)置、密鑰操作、加密解密、釋放資源的步驟。該一種基于可信密碼模塊的文件加密方法與現(xiàn)有技術(shù)相比,利用防篡改的可信密碼芯片為密鑰提供更安全的保障,更好地保護用戶文件,實用性強。
【專利說明】 —種基于可信密碼模塊的文件加密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,具體地說是一種實用性強、基于可信密碼模塊的文件加密方法。
【背景技術(shù)】
[0002]伴隨信息技術(shù)的發(fā)展,數(shù)據(jù)安全越來越重要,用戶需要對個人機密文件進行保護,以防止該文件被復(fù)制或主機丟失所造成的敏感數(shù)據(jù)泄露。傳統(tǒng)的數(shù)據(jù)保護的方式都是通過軟件加密來實現(xiàn)的,這種加密方式操作麻煩,加密成本較高,不易實現(xiàn)。
[0003]基于此,現(xiàn)提供一種基于可信密碼模塊的文件加密方法,該方法利用防篡改的安全芯片能夠為密鑰提供更安全的保障,更好地保護用戶文件,實用性強。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的技術(shù)任務(wù)是針對以上不足之處,提供一種實用性強、基于可信密碼模塊的文件加密方法。
[0005]一種基于可信密碼模塊的文件加密方法,其具體實現(xiàn)過程為:
一、初始設(shè)置:創(chuàng)建一個上下文數(shù)據(jù)對象,建立初始執(zhí)行環(huán)境,用于進一步執(zhí)行可信軟件棧的其他操作;
二、策略設(shè)置:可信密碼模塊服務(wù)模塊TSM執(zhí)行操作時為涉及對象創(chuàng)建相應(yīng)的使用策略;
三、密鑰操作:在創(chuàng)建密鑰前先加載其父密鑰到可信密碼模塊服務(wù)模塊TSM內(nèi)部,然后使用父密鑰創(chuàng)建相應(yīng)的TSM密鑰對象hSMK,設(shè)置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務(wù)模塊TSM中;
四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作;
五、釋放資源:加密、解密操作執(zhí)行完畢,釋放與本次操作相關(guān)的TSM資源。
[0006]所述步驟二的詳細過程為:首先TSM模塊得到已經(jīng)創(chuàng)建的上下文對象,然后獲取相應(yīng)的TSM策略對象hOwnerPolicyObject,并設(shè)置該策略對象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節(jié)數(shù)組作為授權(quán)數(shù)據(jù),TSM不修改該輸入數(shù)據(jù)。
[0007]所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創(chuàng)建一個加密的數(shù)據(jù)對象hEncData,然后利用已有的密鑰hKey執(zhí)行加密及對應(yīng)的解密。
[0008]所述被釋放的TSM資源包括釋放密鑰、關(guān)閉相應(yīng)的密鑰對象以及釋放內(nèi)存資源。
[0009]所述可信密碼模塊服務(wù)模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數(shù)生成器、TCM定義的特殊key功能。
[0010]本發(fā)明的一種基于可信密碼模塊的文件加密方法,具有以下優(yōu)點:
該發(fā)明的一種基于可信密碼模塊的文件加密方法利用防篡改的安全芯片能夠為密鑰提供更安全的保障,更好地保護用戶文件;實現(xiàn)了文件的加密存儲,符合我國的《可信計算密碼支撐平臺技術(shù)規(guī)范》和《可信計算密碼支撐平臺功能與接口技術(shù)規(guī)范》,可以應(yīng)用于信息安全領(lǐng)域的重要文件的加密存儲保護,實用性強,適用范圍廣泛,可應(yīng)用于多種計算機系統(tǒng)中,易于推廣。
【專利附圖】
【附圖說明】
[0011]附圖1為本發(fā)明的實現(xiàn)流程圖。
【具體實施方式】
[0012]下面結(jié)合附圖和具體實施例對本發(fā)明作進一步說明。
[0013]本發(fā)明提供一種基于可信密碼模塊的文件加密方法,用戶在已經(jīng)啟用Z8H172T芯片的主機上基于自己的口令創(chuàng)建并加載一個對稱加密密鑰,該密鑰由Z8H172T芯片加密保護,并可與當前主機配置進行綁定;然后選擇要保護的文件,調(diào)用加密接口生成加密文件。用戶打開文件時,必須輸入口令以加載相應(yīng)的解密密鑰。如附圖1所示,其具體實現(xiàn)過程為:
一、初始設(shè)置:創(chuàng)建一個上下文數(shù)據(jù)對象,建立初始執(zhí)行環(huán)境,用于進一步執(zhí)行可信軟件棧的其他操作;
二、策略設(shè)置:可信密碼模塊服務(wù)模塊TSM執(zhí)行操作時為涉及對象創(chuàng)建相應(yīng)的使用策略;
三、密鑰操作:在創(chuàng)建密鑰前先加載其父密鑰到可信密碼模塊服務(wù)模塊TSM內(nèi)部,然后使用父密鑰創(chuàng)建相應(yīng)的TSM密鑰對象hSMK,設(shè)置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務(wù)模塊TSM中;
四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作;
五、釋放資源:加密、解密操作執(zhí)行完畢,釋放與本次操作相關(guān)的TSM資源。
[0014]所述步驟二的詳細過程為:首先TSM模塊得到已經(jīng)創(chuàng)建的上下文對象,然后獲取相應(yīng)的TSM策略對象hOwnerPolicyObject,并設(shè)置該策略對象的策略值;
采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節(jié)數(shù)組作為授權(quán)數(shù)據(jù),TSM不修改該輸入數(shù)據(jù)。
[0015]所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創(chuàng)建一個加密的數(shù)據(jù)對象hEncData,然后利用已有的密鑰hKey執(zhí)行加密及對應(yīng)的解密。
[0016]所述被釋放的TSM資源包括釋放密鑰、關(guān)閉相應(yīng)的密鑰對象以及釋放內(nèi)存資源。
[0017]所述可信密碼模塊服務(wù)模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數(shù)生成器、TCM定義的特殊key功能。
[0018]上述【具體實施方式】僅是本發(fā)明的具體個案,本發(fā)明的專利保護范圍包括但不限于上述【具體實施方式】,任何符合本發(fā)明的一種基于可信密碼模塊的文件加密方法的權(quán)利要求書的且任何所述【技術(shù)領(lǐng)域】的普通技術(shù)人員對其所做的適當變化或替換,皆應(yīng)落入本發(fā)明的專利保護范圍。
【權(quán)利要求】
1.一種基于可信密碼模塊的文件加密方法,其特征在于,其具體實現(xiàn)過程為: 一、初始設(shè)置:創(chuàng)建一個上下文數(shù)據(jù)對象,建立初始執(zhí)行環(huán)境,用于進一步執(zhí)行可信軟件棧的其他操作; 二、策略設(shè)置:可信密碼模塊服務(wù)模塊TSM執(zhí)行操作時為涉及對象創(chuàng)建相應(yīng)的使用策略; 三、密鑰操作:在創(chuàng)建密鑰前先加載其父密鑰到可信密碼模塊服務(wù)模塊TSM內(nèi)部,然后使用父密鑰創(chuàng)建相應(yīng)的TSM密鑰對象hSMK,設(shè)置使用策略為默認策略pDefaultPolicyObject,之后基于該父密鑰句柄生成新的加密密鑰hKey并加載到可信密碼模塊服務(wù)模塊TSM中; 四、加密解密:利用新生成的密鑰對象,對要保護的文件進行加密、解密操作; 五、釋放資源:加密、解密操作執(zhí)行完畢,釋放與本次操作相關(guān)的TSM資源。
2.根據(jù)權(quán)利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述步驟二的詳細過程為:首先TSM模塊得到已經(jīng)創(chuàng)建的上下文對象,然后獲取相應(yīng)的TSM策略對象hOwnerPolicyObject,并設(shè)置該策略對象的策略值; 采用TSM的策略模式TSM_SECRET_M0DE_SM3,將外部雜湊計算得到的32字節(jié)數(shù)組作為授權(quán)數(shù)據(jù),TSM不修改該輸入數(shù)據(jù)。
3.根據(jù)權(quán)利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述加密、解密操作過程為:首先采用綁定操作類型TSM_ENCDATA_BIND創(chuàng)建一個加密的數(shù)據(jù)對象hEncData,然后利用已有的密鑰hKey執(zhí)行加密及對應(yīng)的解密。
4.根據(jù)權(quán)利要求1所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述被釋放的TSM資源包括釋放密鑰、關(guān)閉相應(yīng)的密鑰對象以及釋放內(nèi)存資源。
5.根據(jù)權(quán)利要求1-4任一所述的一種基于可信密碼模塊的文件加密方法,其特征在于,所述可信密碼模塊服務(wù)模塊TSM采用Z8H172T安全芯片,該芯片具備Hash算法、非對稱密鑰生成、安全密鑰存儲、真隨機數(shù)生成器、TCM定義的特殊key功能。
【文檔編號】H04L9/32GK104376269SQ201410752526
【公開日】2015年2月25日 申請日期:2014年12月11日 優(yōu)先權(quán)日:2014年12月11日
【發(fā)明者】蘇振宇 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司