[发明专利]一种可信加密系统及方法

权利要求书

1.一种可信加密系统，其特征在于，所述可信加密系统包括：可信计算平台和U-Key类信任根，所述U-Key类信任根作为所述可信计算平台的信任链起点，用于支撑所述可信计算平台的可信度量工作和加解密工作；

所述可信计算平台包括：可信软件基和加密软件；

所述可信软件基用于在所述U-Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台启动时的启动环境、所述可信计算平台运行时的系统环境和进程环境；

所述加密软件用于在所述U-Key类信任根的支撑下进行加解密；

在所述可信计算平台与所述U-Key类信任根连接后，所述可信软件基调用所述U-Key类信任根进行用户身份信息认证，若认证通过则所述可信计算平台中生成加解密目录，所述加密软件进行文件加解密；在所述可信计算平台与所述U-Key类信任根断开连接后，所述可信软件基隐藏所述加解密目录。

2.根据权利要求1所述的一种可信加密系统，其特征在于，所述U-Key类信任根包括：可信与密码运算模块、用户身份认证模块和可信引导模块；

所述可信与密码运算模块用于为所述可信计算平台提供密码算法服务；

所述用户身份认证模块用于对所述用户身份信息进行认证；

所述可信引导模块的通用存储空间中存储有引导度量程序，所述引导度量程序用于引导度量所述可信计算平台的操作系统以及所述可信软件基。

3.根据权利要求1所述的一种可信加密系统，其特征在于，对所述可信计算平台启动时的启动环境的可信度量包括：

所述U-key类信任根作为信任链的起始点，对所述可信计算平台的启动加载器进行可信度量，若度量结果可信则信任链扩展至所述启动加载器；

嵌入到所述启动加载器中的所述可信软件基的基本信任基对所述可信计算平台的宿主机基础软件和嵌入到所述宿主机基础软件中的所述可信软件基的其他组成部分进行可信度量，若度量结果可信则信任链扩展至所述可信软件基；

在所述可信计算平台的应用程序启动时，所述可信软件基对所述应用程序进行可信度量，所述应用程序包括所述加密软件。

4.根据权利要求1所述的一种可信加密系统，其特征在于，所述可信软件基用于在所述可信计算平台运行时对其进行动态度量，所述动态度量包括：行为触发度量、周期触发度量；

所述行为触发度量包括：当检测到行为触发钩子点时，根据可信策略对所述行为及所述行为所依赖的所述系统环境和所述进程环境进行度量，根据度量结果对所述行为进行控制；

所述周期触发度量包括：每隔预定周期对所述可信计算平台运行时的所述系统环境和所述进程环境进行度量，根据度量结果对所述可信计算平台进行控制。

5.根据权利要求1所述的一种可信加密系统，其特征在于，所述加密软件用于在所述U-Key类信任根的支撑下进行文件加解密，在进行文件加密时，将用户身份信息与加密后的文件进行封装，在进行文件解密时，对所述用户身份信息进行验证，验证通过后对所述加密后的文件进行解密。

6.根据权利要求1所述的一种可信加密系统，其特征在于，

所述加密软件进行文件加密包括：所述加密软件在检测到存在待加密的文件时，所述可信软件基对所述待加密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待加密文件进行加密；

所述加密软件进行文件解密包括：所述加密软件在检测到存在待解密的文件时，所述可信软件基对所述待解密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待解密文件进行解密。