[发明专利]一种基于树结构的密钥加密存储方法

摘要

一种基于树结构的密钥加密存储方法，属可信计算技术领域；其采用了二叉树分层加密技术，把对许多数据加密密钥的保护转变成了对一个主密钥的保护，包括二叉树初始化以及数据加密密钥插入、删除和读取四个部分；二叉树的根节点代表主密钥，存放在可信密码模块中，其余节点代表的密钥存放在外存中，其中，叶节点代表数据加密密钥；非根节点存放时总是用上层父节点对其进行加密，因此，数据加密密钥被使用时必须还原；该方法节省了可信密码模块的存储空间，又能存储大量密钥，可广泛应用于高安全等级的计算机信息系统中。

主权项

1、一种基于树结构的密钥加密存储方法，由二叉树初始化、数据加密密钥插入、数据加密密钥删除和数据加密密钥读取四个部分组成，把对许多数据加密密钥的保护转变成了对一个主密钥的保护，主密钥存储在可信密码模块中，其余密钥存储在外存中，其特征在于·二叉树初始化部分采用了下列步骤：定义结构体BiTreeNode为{keyV，keyN，parent，lChild，rChild}，做(1)开辟一个类型为BiTreeNode的存储单元aSMK，(2)随机生成一个主密钥，存入TCM的单元SMK中，置aSMK.keyV←Null，(3)置aSMK.parent、aSMK.lChild、aSMK.rChild←Null，置aSMK.keyN←0，(4)把该树结构存入到一个永久磁盘文件中；·数据加密密钥插入部分采用了下列步骤：输入明文形式的对称密钥值iKeyV、对称密钥编号iKeyN，做(1)在内存中开辟一个BiTreeNode类型的存储单元newLeaf，(2)置newLeaf.keyN←iKeyN，newLeaf.lChild、newLeaf.rChild ←Null，(3)按纵向优先搜索二叉树aSMK，若找到一个中间节点mNode有空指针，那么(3.1)根据mNode的密钥路径，利用SMK分层解密路径上的各密钥，令pKey←解密的mNode.keyV，(3.2)若mNode.lChild＝Null，则mNode.lChild←newLeaf的地址，否则mNode.rChild←newLeaf的地址，(3.3)令newLeaf.parent←mNode的地址，(3.4)做newLeaf.keyV←symCrypt(iKeyV，pKey，0)，(4)如果未找到任何中间节点有空指针，则设最左边的叶节点为dlNode，(4.1)开辟另一个BiTreeNode类型的存储单元oldLeaf，令dlNode.lChild←oldLeaf的地址，dlNode.rChild←newLeaf的地址，令oldLeaf.parent←dlNode的地址，newLeaf.parent←dlNode的地址，置oldLeaf.lChild←Null，oldLeaf.rChild←Null，置oldLeaf.keyN←dlNode.keyN，dlNode.keyN←0，(4.2)根据dlNode的密钥路径，利用SMK分层次解密路径上的各密钥，令pKey←解密的dlNode.parent.keyV，做oldKey←symCrypt(dlNode.keyV，pKey，1)，随机生成一个用于symCrypt的对称密钥rKey，做oldLeaf.keyV←symCrypt(oldKey，rKey，0)，做newLeaf.keyV←symCrypt(iKeyV，rKey，0)，做dlNode.keyV←symCrypt(rKey，pKey，0)，(5)返回newLeaf的地址；·数据加密密钥删除部分采用了下列步骤：输入对称密钥编号dKeyN，做(1)按纵向优先搜索二叉树aSMK，若找到一个叶节点有dNode.keyN＝dKeyN，那么(1.1)如果dNode.parent.lChild＝dNode的地址，则dNode.parent.lChild＝Null，否则dNode.parent.rChild＝Null，(1.2)释放dNode的内存空间，(1.3)返回‘删除成功’，(2)否则，返回‘未找到相应编号的密钥’；·数据加密密钥读取部分采用了下列步骤：输入对称密钥编号fKeyN，做(1)按纵向优先搜索二叉树aSMK，若找到一个叶节点有fNode.keyN＝fKeyN，那么(1.1)根据fNode的密钥路径，利用SMK分层次解密路径上的各密钥，(1.2)令pKey←解密的fNode.parent.keyV，(1.3)做plainKey←symCrypt(fNode.keyV，pKey，1)，(1.3)返回plainKey，(2)否则，返回‘未找到相应编号的密钥’。