[发明专利]一种基于可信密码模块的文件加密方法

说明书

技术领域

本发明涉及信息安全技术领域，具体地说是一种实用性强、基于可信密码模块的文件加密方法。

背景技术

伴随信息技术的发展，数据安全越来越重要，用户需要对个人机密文件进行保护，以防止该文件被复制或主机丢失所造成的敏感数据泄露。传统的数据保护的方式都是通过软件加密来实现的，这种加密方式操作麻烦，加密成本较高，不易实现。

基于此，现提供一种基于可信密码模块的文件加密方法，该方法利用防篡改的安全芯片能够为密钥提供更安全的保障，更好地保护用户文件，实用性强。

发明内容

本发明的技术任务是针对以上不足之处，提供一种实用性强、基于可信密码模块的文件加密方法。

一种基于可信密码模块的文件加密方法，其具体实现过程为：

一、初始设置：创建一个上下文数据对象，建立初始执行环境，用于进一步执行可信软件栈的其他操作；

二、策略设置：可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略；

三、密钥操作：在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部，然后使用父密钥创建相应的TSM密钥对象hSMK，设置使用策略为默认策略pDefaultPolicyObject，之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中；

四、加密解密：利用新生成的密钥对象，对要保护的文件进行加密、解密操作；

五、释放资源：加密、解密操作执行完毕，释放与本次操作相关的TSM资源。

所述步骤二的详细过程为：首先TSM模块得到已经创建的上下文对象，然后获取相应的TSM策略对象hOwnerPolicyObject，并设置该策略对象的策略值；   

采用TSM的策略模式TSM_SECRET_MODE_SM3，将外部杂凑计算得到的32字节数组作为授权数据，TSM不修改该输入数据。

所述加密、解密操作过程为：首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData，然后利用已有的密钥hKey执行加密及对应的解密。

所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。

所述可信密码模块服务模块TSM采用Z8H172T安全芯片，该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。

本发明的一种基于可信密码模块的文件加密方法，具有以下优点：

该发明的一种基于可信密码模块的文件加密方法利用防篡改的安全芯片能够为密钥提供更安全的保障，更好地保护用户文件；实现了文件的加密存储，符合我国的《可信计算密码支撑平台技术规范》和《可信计算密码支撑平台功能与接口技术规范》，可以应用于信息安全领域的重要文件的加密存储保护，实用性强，适用范围广泛，可应用于多种计算机系统中，易于推广。

附图说明

附图1为本发明的实现流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

本发明提供一种基于可信密码模块的文件加密方法，用户在已经启用Z8H172T芯片的主机上基于自己的口令创建并加载一个对称加密密钥，该密钥由Z8H172T芯片加密保护，并可与当前主机配置进行绑定；然后选择要保护的文件，调用加密接口生成加密文件。用户打开文件时，必须输入口令以加载相应的解密密钥。如附图1所示，其具体实现过程为：

一、初始设置：创建一个上下文数据对象，建立初始执行环境，用于进一步执行可信软件栈的其他操作；

二、策略设置：可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略；

三、密钥操作：在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部，然后使用父密钥创建相应的TSM密钥对象hSMK，设置使用策略为默认策略pDefaultPolicyObject，之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中；

四、加密解密：利用新生成的密钥对象，对要保护的文件进行加密、解密操作；

五、释放资源：加密、解密操作执行完毕，释放与本次操作相关的TSM资源。

所述步骤二的详细过程为：首先TSM模块得到已经创建的上下文对象，然后获取相应的TSM策略对象hOwnerPolicyObject，并设置该策略对象的策略值；