CN104376269A - 一种基于可信密码模块的文件加密方法 - Google Patents
一种基于可信密码模块的文件加密方法 Download PDFInfo
- Publication number
- CN104376269A CN104376269A CN201410752526.5A CN201410752526A CN104376269A CN 104376269 A CN104376269 A CN 104376269A CN 201410752526 A CN201410752526 A CN 201410752526A CN 104376269 A CN104376269 A CN 104376269A
- Authority
- CN
- China
- Prior art keywords
- key
- tsm
- credible password
- password module
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000006870 function Effects 0.000 claims description 4
- 238000003491 array Methods 0.000 claims description 3
- 238000013475 authorization Methods 0.000 claims description 3
- 230000027455 binding Effects 0.000 claims description 3
- 238000009739 binding Methods 0.000 claims description 3
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于可信密码模块的文件加密方法,其具体实现过程包括初始设置、策略设置、密钥操作、加密解密、释放资源的步骤。该一种基于可信密码模块的文件加密方法与现有技术相比,利用防篡改的可信密码芯片为密钥提供更安全的保障,更好地保护用户文件,实用性强。
Description
技术领域
本发明涉及信息安全技术领域,具体地说是一种实用性强、基于可信密码模块的文件加密方法。
背景技术
伴随信息技术的发展,数据安全越来越重要,用户需要对个人机密文件进行保护,以防止该文件被复制或主机丢失所造成的敏感数据泄露。传统的数据保护的方式都是通过软件加密来实现的,这种加密方式操作麻烦,加密成本较高,不易实现。
基于此,现提供一种基于可信密码模块的文件加密方法,该方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件,实用性强。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、基于可信密码模块的文件加密方法。
一种基于可信密码模块的文件加密方法,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
本发明的一种基于可信密码模块的文件加密方法,具有以下优点:
该发明的一种基于可信密码模块的文件加密方法利用防篡改的安全芯片能够为密钥提供更安全的保障,更好地保护用户文件;实现了文件的加密存储,符合我国的《可信计算密码支撑平台技术规范》和《可信计算密码支撑平台功能与接口技术规范》,可以应用于信息安全领域的重要文件的加密存储保护,实用性强,适用范围广泛,可应用于多种计算机***中,易于推广。
附图说明
附图1为本发明的实现流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
本发明提供一种基于可信密码模块的文件加密方法,用户在已经启用Z8H172T芯片的主机上基于自己的口令创建并加载一个对称加密密钥,该密钥由Z8H172T芯片加密保护,并可与当前主机配置进行绑定;然后选择要保护的文件,调用加密接口生成加密文件。用户打开文件时,必须输入口令以加载相应的解密密钥。如附图1所示,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种基于可信密码模块的文件加密方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (5)
1.一种基于可信密码模块的文件加密方法,其特征在于,其具体实现过程为:
一、初始设置:创建一个上下文数据对象,建立初始执行环境,用于进一步执行可信软件栈的其他操作;
二、策略设置:可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略;
三、密钥操作:在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部,然后使用父密钥创建相应的TSM密钥对象hSMK,设置使用策略为默认策略pDefaultPolicyObject,之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中;
四、加密解密:利用新生成的密钥对象,对要保护的文件进行加密、解密操作;
五、释放资源:加密、解密操作执行完毕,释放与本次操作相关的TSM资源。
2.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述步骤二的详细过程为:首先TSM模块得到已经创建的上下文对象,然后获取相应的TSM策略对象hOwnerPolicyObject,并设置该策略对象的策略值;
采用TSM的策略模式TSM_SECRET_MODE_SM3,将外部杂凑计算得到的32字节数组作为授权数据,TSM不修改该输入数据。
3.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述加密、解密操作过程为:首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData,然后利用已有的密钥hKey执行加密及对应的解密。
4.根据权利要求1所述的一种基于可信密码模块的文件加密方法,其特征在于,所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。
5.根据权利要求1-4任一所述的一种基于可信密码模块的文件加密方法,其特征在于,所述可信密码模块服务模块TSM采用Z8H172T安全芯片,该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410752526.5A CN104376269A (zh) | 2014-12-11 | 2014-12-11 | 一种基于可信密码模块的文件加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410752526.5A CN104376269A (zh) | 2014-12-11 | 2014-12-11 | 一种基于可信密码模块的文件加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104376269A true CN104376269A (zh) | 2015-02-25 |
Family
ID=52555171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410752526.5A Pending CN104376269A (zh) | 2014-12-11 | 2014-12-11 | 一种基于可信密码模块的文件加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104376269A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104715208A (zh) * | 2015-03-18 | 2015-06-17 | 浪潮集团有限公司 | 一种基于tpm芯片的平台完整性校验方法 |
CN107483188A (zh) * | 2017-08-07 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种密钥安全存储方法及*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储***和装置及方法 |
CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
-
2014
- 2014-12-11 CN CN201410752526.5A patent/CN104376269A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101034424A (zh) * | 2007-01-12 | 2007-09-12 | 深圳兆日技术有限公司 | 一种数据安全存储***和装置及方法 |
CN101430747A (zh) * | 2008-09-26 | 2009-05-13 | 武汉大学 | 基于可信嵌入式平台的移动设备及其安全存储方法 |
CN102207999A (zh) * | 2010-03-29 | 2011-10-05 | 国民技术股份有限公司 | 一种基于可信计算密码支撑平台的数据保护方法 |
CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
Non-Patent Citations (1)
Title |
---|
周山东等: "基于TCM的全盘加密***的研究与实现", 《计算机工程与设计》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104715208A (zh) * | 2015-03-18 | 2015-06-17 | 浪潮集团有限公司 | 一种基于tpm芯片的平台完整性校验方法 |
CN107483188A (zh) * | 2017-08-07 | 2017-12-15 | 浪潮(北京)电子信息产业有限公司 | 一种密钥安全存储方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11184164B2 (en) | Secure crypto system attributes | |
JP2017139811A5 (zh) | ||
US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
WO2014083335A3 (en) | A method and system of providing authentication of user access to a computer resource via a mobile device using multiple separate security factors | |
CN102185694A (zh) | 基于指纹信息的电子文件加密的方法及其*** | |
CN106533663B (zh) | 数据加密方法、加密方设备及数据解密方法、解密方设备 | |
CN103580855B (zh) | 一种基于共享技术的UsbKey密钥管理方法 | |
CN105960775A (zh) | 用于迁移密钥的方法和装置 | |
CN103955654A (zh) | 基于虚拟文件***的u盘安全存储方法 | |
CN102646077A (zh) | 一种基于可信密码模块的全盘加密的方法 | |
TW201926941A (zh) | 密鑰管理方法、裝置及設備 | |
CN110050437A (zh) | 分布式证书注册的装置和方法 | |
CN102236756A (zh) | 一种基于TCM可信密码模块和USBKey的文件加密方法 | |
CN104866784B (zh) | 一种基于bios加密的安全硬盘、数据加密及解密方法 | |
CN105656621A (zh) | 一种密码设备安全管理方法 | |
CN106452776A (zh) | 一种数据加密方法 | |
CN103974122A (zh) | 机顶盒芯片及应用在机顶盒芯片中的数字签名实现方法 | |
CN107508801A (zh) | 一种文件防篡改的方法及装置 | |
CN103236930A (zh) | 数据加密方法和*** | |
CN109478214A (zh) | 用于证书注册的装置和方法 | |
CN104573549A (zh) | 一种可信的数据库机密性保护方法及*** | |
US8891773B2 (en) | System and method for key wrapping to allow secure access to media by multiple authorities with modifiable permissions | |
WO2012174726A1 (zh) | 芯片及芯片的安全保护方法 | |
TW201003451A (en) | Safety storage device with two-stage symmetrical encryption algorithm | |
CN103177225B (zh) | 一种数据管理方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150225 |
|
WD01 | Invention patent application deemed withdrawn after publication |