一种可信加密系统及方法技术方案

本发明专利技术公开了一种可信加密系统及方法，可信加密系统包括：可信计算平台和U‑Key类信任根，U‑Key类信任根作为可信计算平台的信任链起点，用于支撑可信计算平台的可信度量工作和加解密工作；可信计算平台包括：可信软件基和加密软件。本发明专利技术所提供的可信加密系统及方法，采用主动免疫机制保障了加解密过程中数据的安全性；能够保证加密软件工作时的安全性；安全策略可存于U‑key类信任根中，由U‑key类信任根提供安全的存储区域进行安全存储，对加密的明文提供虚拟磁盘的安全保护，能够保证加解密过程中数据的安全性。

A Trusted Encryption System and Method

【技术实现步骤摘要】
一种可信加密系统及方法
本专利技术涉及加密
，具体涉及一种可信加密系统及方法。
技术介绍
目前，传统的加密软件系统在各个方面均存在各种问题：(1)在主动免疫方面，传统加密软件系统只考虑了加密环节和加密本身的安全性，没有考虑到在加解密过程中，病毒木马对加解密程序的干扰和破坏，不具备主动免疫机制。(2)在可信环境保障方面，其一，在进行加解密时，无法确定自身程序的完整性和所依赖环境的安全性，也缺乏对系统环境和程序自身的保护措施；其二，在不工作时并不运行，容易遭到各种手段的攻击和破坏；其三，其安全策略是存于硬盘中，容易遭到破坏篡改；其四，工作完成后对磁盘上的数据没有很好的安全处理和保护，无法保障系统的运行环境可信。因此，目前亟需提供一种可信加密系统，用以解决上述传统加密软件系统在主动免疫、可信环境保障等方面存在的各种技术问题。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种可信加密系统及方法，可以解决传统加密软件系统在主动免疫、可信环境保障等方面存在的各种技术问题。为实现上述目的，本专利技术采用的技术方案如下：一种可信加密系统，所述可信加密系统包括：可信计算平台和U-Key类信任根，所述U-Key类信任根作为所述可信计算平台的信任链起点，用于支撑所述可信计算平台的可信度量工作和加解密工作；所述可信计算平台包括：可信软件基和加密软件；所述可信软件基用于在所述U-Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台启动时的启动环境、所述可信计算平台运行时的系统环境和进程环境；所述加密软件用于在所述U-Key类信任根的支撑下进行加解密。进一步，如上所述的一种可信加密系统，所述U-Key类信任根包括：可信与密码运算模块、用户身份认证模块和可信引导模块；所述可信与密码运算模块用于为所述可信计算平台提供密码算法服务；所述用户身份认证模块用于对所述用户身份信息进行认证；所述可信引导模块的通用存储空间中存储有引导度量程序，所述引导度量程序用于引导度量所述可信计算平台的操作系统以及所述可信软件基。进一步，如上所述的一种可信加密系统，对所述可信计算平台启动时的启动环境的可信度量包括：所述U-key类信任根作为信任链的起始点，对所述可信计算平台的启动加载器进行可信度量，若度量结果可信则信任链扩展至所述启动加载器；嵌入到所述启动加载器中的所述可信软件基的基本信任基对所述可信计算平台的宿主机基础软件和嵌入到所述宿主机基础软件中的所述可信软件基的其他组成部分进行可信度量，若度量结果可信则信任链扩展至所述可信软件基；在所述可信计算平台的应用程序启动时，所述可信软件基对所述应用程序进行可信度量，所述应用程序包括所述加密软件。进一步，如上所述的一种可信加密系统，所述可信软件基用于在所述可信计算平台运行时对其进行动态度量，所述动态度量包括：行为触发度量、周期触发度量；所述行为触发度量包括：当检测到行为触发钩子点时，根据可信策略对所述行为及所述行为所依赖的所述系统环境和所述进程环境进行度量，根据度量结果对所述行为进行控制；所述周期触发度量包括：每隔预定周期对所述可信计算平台运行时的所述系统环境和所述进程环境进行度量，根据度量结果对所述可信计算平台进行控制。进一步，如上所述的一种可信加密系统，所述加密软件用于在所述U-Key类信任根的支撑下进行文件加解密，在进行文件加密时，将用户身份信息与加密后的文件进行封装，在进行文件解密时，对所述用户身份信息进行验证，验证通过后对所述加密后的文件进行解密。进一步，如上所述的一种可信加密系统，在所述可信计算平台与所述U-Key类信任根连接后，所述可信软件基调用所述U-Key类信任根进行用户身份信息认证，若认证通过则所述可信计算平台中生成加解密目录，所述加密软件进行文件加解密；在所述可信计算平台与所述U-Key类信任根断开连接后，所述可信软件基隐藏所述加解密目录。进一步，如上所述的一种可信加密系统，所述加密软件进行文件加密包括：所述加密软件在检测到存在待加密的文件时，所述可信软件基对所述待加密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待加密文件进行加密；所述加密软件进行文件解密包括：所述加密软件在检测到存在待解密的文件时，所述可信软件基对所述待解密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待解密文件进行解密。进一步，如上所述的一种可信加密系统，所述加解密目录包括：用于存储待加密的文件的明文发送目录、用于存储加密后的文件的密文发送目录、用于存储待解密的文件的密文接收目录、用于存储解密后的文件的明文接收目录；所述加密软件包括：显式加密软件和隐式加密软件，所述隐式加密软件包括：解密同步线程、解密模块、加密同步线程、加密模块、加密解密控制模块以及可信度量校验模块；所述解密同步线程用于在检测到所述密文接收目录中出现待解密的文件时，调用所述解密模块对所述待解密的文件进行解密，并将解密后的文件发送到所述明文接收目录；所述解密模块用于对所述密文接收目录进行解封装，通过所述可信软件基对所述待解密的文件进行可信度量，度量通过后进行解密；所述加密同步线程用于在检测到所述明文发送目录中出现待加密的文件时，调用所述加密模块对所述待加密的文件进行加密，并将加密后的文件发送到所述密文发送目录；所述加密模块用于通过所述可信软件基对所述待加密的文件进行可信度量，度量通过后进行加密，并将度量结果和待加密的文件进行加密封装；所述加密解密控制模块用于对加密和解密过程进行控制；所述可信度量校验模块用于调用所述可信软件基进行可信度量。本专利技术还提供一种可信加密方法，应用于本专利技术所述的一种可信加密系统，所述方法包括：S1、在U-key类信任根与可信计算平台连接后，通过所述U-key类信任根对所述可信计算平台的操作系统和可信软件基进行引导度量，若度量结果可信则所述可信软件基对所述可信计算平台中的应用程序进行可信度量，所述应用程序包括加密软件；S2、若所述加密软件的度量结果可信，则所述加密软件在所述U-Key类信任根的支撑下进行加解密，其中，在所述加密软件进行加解密过程中，所述可信软件基在所述U-Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台运行时的系统环境和进程环境。进一步，如上所述的一种可信加密方法，步骤S2包括：所述加密软件进行文件加密包括：所述加密软件在检测到存在待加密的文件时，所述可信软件基对所述待加密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待加密文件进行加密；所述加密软件进行文件解密包括：所述加密软件在检测到存在待解密的文件时，所述可信软件基对所述待解密的文件、所述加密软件、所述可信计算平台的系统环境和进程环境进行可信度量，若度量结果可信则所述加密软件对待解密文件进行解密。本专利技术的有益效果在于：本专利技术所提供的可信加密系统及方法，采用主动免疫机制保障了加解密过程中数据的安全性；在进行加本文档来自技高网...

【技术保护点】
1.一种可信加密系统，其特征在于，所述可信加密系统包括：可信计算平台和U‑Key类信任根，所述U‑Key类信任根作为所述可信计算平台的信任链起点，用于支撑所述可信计算平台的可信度量工作和加解密工作；所述可信计算平台包括：可信软件基和加密软件；所述可信软件基用于在所述U‑Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台启动时的启动环境、所述可信计算平台运行时的系统环境和进程环境；所述加密软件用于在所述U‑Key类信任根的支撑下进行加解密。

【技术特征摘要】
1.一种可信加密系统，其特征在于，所述可信加密系统包括：可信计算平台和U-Key类信任根，所述U-Key类信任根作为所述可信计算平台的信任链起点，用于支撑所述可信计算平台的可信度量工作和加解密工作；所述可信计算平台包括：可信软件基和加密软件；所述可信软件基用于在所述U-Key类信任根的支撑下，对所述加密软件以及所述加密软件所依赖的执行环境进行可信度量，所述加密软件所依赖的执行环境包括：所述可信计算平台启动时的启动环境、所述可信计算平台运行时的系统环境和进程环境；所述加密软件用于在所述U-Key类信任根的支撑下进行加解密。2.根据权利要求1所述的一种可信加密系统，其特征在于，所述U-Key类信任根包括：可信与密码运算模块、用户身份认证模块和可信引导模块；所述可信与密码运算模块用于为所述可信计算平台提供密码算法服务；所述用户身份认证模块用于对所述用户身份信息进行认证；所述可信引导模块的通用存储空间中存储有引导度量程序，所述引导度量程序用于引导度量所述可信计算平台的操作系统以及所述可信软件基。3.根据权利要求1所述的一种可信加密系统，其特征在于，对所述可信计算平台启动时的启动环境的可信度量包括：所述U-key类信任根作为信任链的起始点，对所述可信计算平台的启动加载器进行可信度量，若度量结果可信则信任链扩展至所述启动加载器；嵌入到所述启动加载器中的所述可信软件基的基本信任基对所述可信计算平台的宿主机基础软件和嵌入到所述宿主机基础软件中的所述可信软件基的其他组成部分进行可信度量，若度量结果可信则信任链扩展至所述可信软件基；在所述可信计算平台的应用程序启动时，所述可信软件基对所述应用程序进行可信度量，所述应用程序包括所述加密软件。4.根据权利要求1所述的一种可信加密系统，其特征在于，所述可信软件基用于在所述可信计算平台运行时对其进行动态度量，所述动态度量包括：行为触发度量、周期触发度量；所述行为触发度量包括：当检测到行为触发钩子点时，根据可信策略对所述行为及所述行为所依赖的所述系统环境和所述进程环境进行度量，根据度量结果对所述行为进行控制；所述周期触发度量包括：每隔预定周期对所述可信计算平台运行时的所述系统环境和所述进程环境进行度量，根据度量结果对所述可信计算平台进行控制。5.根据权利要求1所述的一种可信加密系统，其特征在于，所述加密软件用于在所述U-Key类信任根的支撑下进行文件加解密，在进行文件加密时，将用户身份信息与加密后的文件进行封装，在进行文件解密时，对所述用户身份信息进行验证，验证通过后对所述加密后的文件进行解密。6.根据权利要求1所述的一种可信加密系统，其特征在于，在所述可信计算平台与所述U-Key类信任根连接后，所述可信软件基调用所述U-Key类信任根进行用户身份信息认证，若认证通过则所述可信计算平台中生成加解密目录，所述加密软件进行文件加解密；在所述可信计算平台与所述U-Key类信任根断开连接后，所述可信软件基隐藏所述加解密目录。7.根据权利要求6所述的一种可信加密系统，其特征在于，所述加密软件进行文件加密包括：所述加...

【专利技术属性】
技术研发人员：孙瑜，洪宇，王涛，杨成刚，
申请(专利权)人：北京可信华泰信息技术有限公司，
类型：发明
国别省市：北京,11