[发明专利]一种可信加密系统及方法

说明书

本发明公开了一种可信加密系统及方法，可信加密系统包括：可信计算平台和U‑Key类信任根，U‑Key类信任根作为可信计算平台的信任链起点，用于支撑可信计算平台的可信度量工作和加解密工作；可信计算平台包括：可信软件基和加密软件。本发明所提供的可信加密系统及方法，采用主动免疫机制保障了加解密过程中数据的安全性；能够保证加密软件工作时的安全性；安全策略可存于U‑key类信任根中，由U‑key类信任根提供安全的存储区域进行安全存储，对加密的明文提供虚拟磁盘的安全保护，能够保证加解密过程中数据的安全性。

技术领域

本发明涉及加密技术领域，具体涉及一种可信加密系统及方法。

背景技术

目前，传统的加密软件系统在各个方面均存在各种问题：

(1)在主动免疫方面，传统加密软件系统只考虑了加密环节和加密本身的安全性，没有考虑到在加解密过程中，病毒木马对加解密程序的干扰和破坏，不具备主动免疫机制。

(2)在可信环境保障方面，其一，在进行加解密时，无法确定自身程序的完整性和所依赖环境的安全性，也缺乏对系统环境和程序自身的保护措施；其二，在不工作时并不运行，容易遭到各种手段的攻击和破坏；其三，其安全策略是存于硬盘中，容易遭到破坏篡改；其四，工作完成后对磁盘上的数据没有很好的安全处理和保护，无法保障系统的运行环境可信。

因此，目前亟需提供一种可信加密系统，用以解决上述传统加密软件系统在主动免疫、可信环境保障等方面存在的各种技术问题。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种可信加密系统及方法，可以解决传统加密软件系统在主动免疫、可信环境保障等方面存在的各种技术问题。

为实现上述目的，本发明采用的技术方案如下：

一种可信加密系统，所述可信加密系统包括：可信计算平台和U-Key类信任根，所述U-Key类信任根作为所述可信计算平台的信任链起点，用于支撑所述可信计算平台的可信度量工作和加解密工作；

所述可信计算平台包括：可信软件基和加密软件；

所述可信软件基用于在所述U-Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台启动时的启动环境、所述可信计算平台运行时的系统环境和进程环境；

所述加密软件用于在所述U-Key类信任根的支撑下进行加解密。

进一步，如上所述的一种可信加密系统，所述U-Key类信任根包括：可信与密码运算模块、用户身份认证模块和可信引导模块；

所述可信与密码运算模块用于为所述可信计算平台提供密码算法服务；

所述用户身份认证模块用于对所述用户身份信息进行认证；

所述可信引导模块的通用存储空间中存储有引导度量程序，所述引导度量程序用于引导度量所述可信计算平台的操作系统以及所述可信软件基。

进一步，如上所述的一种可信加密系统，对所述可信计算平台启动时的启动环境的可信度量包括：

所述U-key类信任根作为信任链的起始点，对所述可信计算平台的启动加载器进行可信度量，若度量结果可信则信任链扩展至所述启动加载器；

嵌入到所述启动加载器中的所述可信软件基的基本信任基对所述可信计算平台的宿主机基础软件和嵌入到所述宿主机基础软件中的所述可信软件基的其他组成部分进行可信度量，若度量结果可信则信任链扩展至所述可信软件基；

在所述可信计算平台的应用程序启动时，所述可信软件基对所述应用程序进行可信度量，所述应用程序包括所述加密软件。