[发明专利]一种基于可信密码模块的文件加密方法

权利要求书

1.一种基于可信密码模块的文件加密方法，其特征在于，其具体实现过程为：

一、初始设置：创建一个上下文数据对象，建立初始执行环境，用于进一步执行可信软件栈的其他操作；

二、策略设置：可信密码模块服务模块TSM执行操作时为涉及对象创建相应的使用策略；

三、密钥操作：在创建密钥前先加载其父密钥到可信密码模块服务模块TSM内部，然后使用父密钥创建相应的TSM密钥对象hSMK，设置使用策略为默认策略pDefaultPolicyObject，之后基于该父密钥句柄生成新的加密密钥hKey并加载到可信密码模块服务模块TSM中；

四、加密解密：利用新生成的密钥对象，对要保护的文件进行加密、解密操作；

五、释放资源：加密、解密操作执行完毕，释放与本次操作相关的TSM资源。

2.根据权利要求1所述的一种基于可信密码模块的文件加密方法，其特征在于，所述步骤二的详细过程为：首先TSM模块得到已经创建的上下文对象，然后获取相应的TSM策略对象hOwnerPolicyObject，并设置该策略对象的策略值；   

采用TSM的策略模式TSM_SECRET_MODE_SM3，将外部杂凑计算得到的32字节数组作为授权数据，TSM不修改该输入数据。

3.根据权利要求1所述的一种基于可信密码模块的文件加密方法，其特征在于，所述加密、解密操作过程为：首先采用绑定操作类型TSM_ENCDATA_BIND创建一个加密的数据对象hEncData，然后利用已有的密钥hKey执行加密及对应的解密。

4.根据权利要求1所述的一种基于可信密码模块的文件加密方法，其特征在于，所述被释放的TSM资源包括释放密钥、关闭相应的密钥对象以及释放内存资源。

5.根据权利要求1-4任一所述的一种基于可信密码模块的文件加密方法，其特征在于，所述可信密码模块服务模块TSM采用Z8H172T安全芯片，该芯片具备Hash算法、非对称密钥生成、安全密钥存储、真随机数生成器、TCM定义的特殊key功能。