一種基于tpm的云存儲數(shù)據(jù)加密方法
【專利摘要】本發(fā)明公開了一種基于TPM的云存儲數(shù)據(jù)加密方法，其實現(xiàn)過程為：當用戶數(shù)據(jù)文件需要存儲時，在可信平臺模塊TPM中生成加密需要存儲的數(shù)據(jù)的密鑰，然后對該密鑰進行加密，再保存至外部存儲設備中；在數(shù)據(jù)需要解密時，可信平臺模塊TPM首先從外部設備提取并解密加密密鑰，然后再用解密后的秘鑰解密用戶數(shù)據(jù)。該基于TPM的云存儲數(shù)據(jù)加密方法與現(xiàn)有技術相比，通過將TPM可信模塊引入到加密模型中，構建基于TPM的安全的安全的數(shù)據(jù)加密模型，有效保證數(shù)據(jù)的安全性，有效的解決云存儲中的數(shù)據(jù)加密和密鑰管理問題，實用性強，適用范圍廣泛，易于推廣。
【專利說明】
一種基于TPM的云存儲數(shù)據(jù)加密方法
技術領域
[0001]本發(fā)明涉及云計算技術領域，具體地說是一種實用性強、基于TPM的云存儲數(shù)據(jù)加密方法。【背景技術】
[0002]云存儲實際上就是云計算中的一種應用，逐漸發(fā)展成一個行業(yè)。其通過虛擬化技術和分布式文件系統(tǒng)，將分布在不同地域的硬件存儲設備通過虛擬化技術將其統(tǒng)一調(diào)度， 形成一個云存儲服務器，為客戶提供數(shù)據(jù)存儲和管理服務。在云存儲模式下，數(shù)據(jù)托管存儲在第三方存儲平臺中，用戶不需要關心云存儲服務區(qū)如何實現(xiàn)這些功能，也不用為計算機升級、殺毒等工作操心。但是在為用戶提供便利的同時，也存在著安全隱患。數(shù)據(jù)托管在網(wǎng)絡上大型計算中心，就脫離了數(shù)據(jù)屬主的控制范圍，其安全性高度依賴于云服務提供商。這樣，即使數(shù)據(jù)以密文的形式保存，云服務提供商仍然會存在一些安全隱患。
[0003]可信計算平臺實際上就是一臺擁有軟件和硬件的實體計算機，它可以通過自身的可信計算平臺為用戶提供保證計算機軟件、硬件和所有數(shù)據(jù)的安全與可信。其基本思想是: 利用可信平臺的可信性，為用戶提供一個安全可靠的計算服務。建立一個可信域是可信計算平臺的最基本的功能，并在該可信域的管理下將可信認證一級一級的向整個網(wǎng)絡傳遞， 最終達到使真?zhèn)€網(wǎng)絡都可信的目的。而可信計算模塊TPM是可信計算平臺的“信任根”，其通過底層硬件來保護計算設備的硬件層。
[0004]鑒于此，現(xiàn)提供一種基于上述云存儲及可信計算平臺TPM的數(shù)據(jù)加密方法。
【發(fā)明內(nèi)容】

[0005]本發(fā)明的技術任務是針對以上不足之處，提供一種實用性強、基于TPM的云存儲數(shù)據(jù)加密方法。
[0006]—種基于TPM的云存儲數(shù)據(jù)加密方法，其實現(xiàn)過程為:當用戶數(shù)據(jù)文件需要存儲時，在可信平臺模塊TPM中生成加密需要存儲的數(shù)據(jù)的密鑰，然后對該密鑰進行加密，再保存至外部存儲設備中；在數(shù)據(jù)需要解密時，可信平臺模塊TPM首先從外部設備提取并解密加密密鑰，然后再用解密后的秘鑰解密用戶數(shù)據(jù)。
[0007]上述用戶數(shù)據(jù)文件加密存儲過程為:用戶數(shù)據(jù)文件加密使用對稱密鑰，首先將該加密文件所使用的對稱密鑰提交給可信平臺模塊TPM，然后由可信平臺模塊TPM生成的非對稱密鑰的公鑰加密后存儲到指定的硬盤分區(qū)中，并且保證加密密鑰可以被授權的用戶訪問。
[0008]用戶數(shù)據(jù)文件加密存儲的具體過程為:用戶向云存儲服務器申請存儲空間，申請之后，云存儲服務器為其建立相應的存儲空間；同時，可信平臺模塊TPM為其隨機生成一對對稱密鑰、一對非對稱密鑰和用于驗證身份的數(shù)字證書，其中數(shù)字證書發(fā)送給客戶，用于以后身份驗證;對稱密鑰被非對稱密鑰的公鑰加密后存放到硬盤上；存儲數(shù)據(jù)時，云存儲服務器通知可信平臺模塊TPM驗證身份后，用戶發(fā)送數(shù)據(jù)；可信平臺模塊TPM從隱藏分區(qū)提取并用私鑰解密對稱密鑰，用于加密數(shù)據(jù)，然后將加密后的數(shù)據(jù)存放到云存儲服務器。
[0009]可信平臺模塊TPM驗證用戶身份的具體過程為:用戶首先向云存儲服務器發(fā)送請求，云存儲服務器通知可信平臺模塊TPM驗證其身份，即可信平臺模塊TPM向用戶索要數(shù)字證書，用戶將數(shù)字證書用公鑰加密后發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM用私鑰解密后，驗證其身份的合法性，身份確認后，建立VPN隧道，用戶發(fā)送數(shù)據(jù)。
[0010]外部存儲設備中的數(shù)據(jù)解密過程為:用戶索要數(shù)據(jù)時，可信平臺模塊TPM從外部存儲設備的隱藏密鑰分區(qū)提取對稱密鑰，解密數(shù)據(jù)后發(fā)送至用戶。
[0011]當用戶需要使用存儲數(shù)據(jù)文件時，從相應的外部存儲設備中讀取密文文件所使用的對稱密鑰，將加密的密文發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM使用解密后的對稱密鑰對密文進行解密。
[0012]本發(fā)明的一種基于TPM的云存儲數(shù)據(jù)加密方法，具有以下優(yōu)點:本發(fā)明提供的一種基于TPM的云存儲數(shù)據(jù)加密方法，通過將TPM可信模塊引入到加密模型中，構建基于TPM的安全的安全的數(shù)據(jù)加密模型，有效保證數(shù)據(jù)的安全性，有效的解決云存儲中的數(shù)據(jù)加密和密鑰管理問題，實用性強，適用范圍廣泛，易于推廣。【附圖說明】[0〇13]附圖1為本發(fā)明實現(xiàn)示意圖?！揪唧w實施方式】
[0014]下面結合附圖和具體實施例對本發(fā)明作進一步說明。
[0015]為了解決云存儲過程中的安全隱患，保障用戶托管于第三方云存儲平臺中的數(shù)據(jù)。如附圖1所示，本發(fā)明的一種基于TPM的云存儲數(shù)據(jù)加密方法，將可信平臺模塊TPM可信模塊引入到加密模型中，構建基于可信平臺模塊TPM的安全的安全的數(shù)據(jù)加密模型。
[0016]其實現(xiàn)過程為:當用戶數(shù)據(jù)文件需要存儲時，在可信平臺模塊TPM中生成加密需要存儲的數(shù)據(jù)的密鑰， 然后對該密鑰進行加密，再保存至外部存儲設備中；在數(shù)據(jù)需要解密時，可信平臺模塊TPM 首先從外部設備提取并解密加密密鑰，然后再用解密后的秘鑰解密用戶數(shù)據(jù)。
[0017]由于TPM是硬件設備，理論上非法用戶無法攻破，故可以保證用戶的密鑰和數(shù)據(jù)的安全性。
[0018]上述用戶數(shù)據(jù)文件加密存儲過程為:用戶數(shù)據(jù)文件加密使用對稱密鑰，首先將該加密文件所使用的對稱密鑰提交給可信平臺模塊TPM，然后由可信平臺模塊TPM生成的非對稱密鑰的公鑰加密后存儲到指定的硬盤分區(qū)中，并且保證加密密鑰可以被授權的用戶訪問。
[0019]用戶數(shù)據(jù)文件加密存儲的具體過程為:用戶向云存儲服務器申請存儲空間，申請之后，云存儲服務器為其建立相應的存儲空間；同時，可信平臺模塊TPM為其隨機生成一對對稱密鑰、一對非對稱密鑰和用于驗證身份的數(shù)字證書，其中數(shù)字證書發(fā)送給客戶，用于以后身份驗證;對稱密鑰被非對稱密鑰的公鑰加密后存放到硬盤上；存儲數(shù)據(jù)時，云存儲服務器通知可信平臺模塊TPM驗證身份后，用戶發(fā)送數(shù)據(jù)；可信平臺模塊TPM從隱藏分區(qū)提取并用私鑰解密對稱密鑰，用于加密數(shù)據(jù)，然后將加密后的數(shù)據(jù)存放到云存儲服務器。
[0020]可信平臺模塊TPM驗證用戶身份的具體過程為:用戶首先向云存儲服務器發(fā)送請求，云存儲服務器通知可信平臺模塊TPM驗證其身份，即可信平臺模塊TPM向用戶索要數(shù)字證書，用戶將數(shù)字證書用公鑰加密后發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM用私鑰解密后，驗證其身份的合法性，身份確認后，建立VPN隧道，用戶發(fā)送數(shù)據(jù)。[0021 ]外部存儲設備中的數(shù)據(jù)解密過程為:用戶索要數(shù)據(jù)時，可信平臺模塊TPM從外部存儲設備的隱藏密鑰分區(qū)提取對稱密鑰，解密數(shù)據(jù)后發(fā)送至用戶。[〇〇22]當用戶需要使用存儲數(shù)據(jù)文件時，從相應的外部存儲設備中讀取密文文件所使用的對稱密鑰，將加密的密文發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM使用解密后的對稱密鑰對密文進行解密。[〇〇23]本發(fā)明中，將加密文件所使用的對稱密鑰提交到可信平臺模塊TPM，然后由可信平臺模塊TPM生成的非對稱密鑰的公鑰進行加密，之后存放到指定的硬盤分區(qū)，且保證數(shù)據(jù)加密密鑰可以被授權用戶訪問。這里指定SRK為非對稱密鑰生成的指定父密鑰，因為SRK可以別任何用戶訪問。SRK作為一級密鑰(也稱主密鑰)，存儲在安全區(qū)域，用它對二級密鑰信息加密生成二級密鑰。依次類推，父節(jié)點加密保護子節(jié)點，構成整個分層密鑰樹結構。在密鑰分層樹中，葉子節(jié)點都是各種數(shù)據(jù)加密密鑰和實現(xiàn)數(shù)據(jù)簽名密鑰。這些動作都應該是連貫的密箱操作。相比之下，純軟件的加密系統(tǒng)難以做到密箱操作。但如果把主密鑰、加密算法等關鍵數(shù)據(jù)、程序固化在硬件設備TPM中，就能解決密箱操作的難題。
[0024]在需要使用密鑰時，從相應位置讀取加密數(shù)據(jù)所使用的對稱密鑰，并且將加密的密文發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM使用解密后的對稱密鑰對密文進行解密。
[0025]上述【具體實施方式】僅是本發(fā)明的具體個案，本發(fā)明的專利保護范圍包括但不限于上述【具體實施方式】，任何符合本發(fā)明的一種基于TPM的云存儲數(shù)據(jù)加密方法的權利要求書的且任何所述技術領域的普通技術人員對其所做的適當變化或替換，皆應落入本發(fā)明的專利保護范圍。
【主權項】
1.一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，其實現(xiàn)過程為:當用戶數(shù)據(jù)文件 需要存儲時，在可信平臺模塊TPM中生成加密需要存儲的數(shù)據(jù)的密鑰，然后對該密鑰進行加 密，再保存至外部存儲設備中；在數(shù)據(jù)需要解密時，可信平臺模塊TPM首先從外部設備提取 并解密加密密鑰，然后再用解密后的秘鑰解密用戶數(shù)據(jù)。2.根據(jù)權利要求1所述的一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，上述用戶 數(shù)據(jù)文件加密存儲過程為:用戶數(shù)據(jù)文件加密使用對稱密鑰，首先將該加密文件所使用的 對稱密鑰提交給可信平臺模塊TPM，然后由可信平臺模塊TPM生成的非對稱密鑰的公鑰加密 后存儲到指定的硬盤分區(qū)中，并且保證加密密鑰可以被授權的用戶訪問。3.根據(jù)權利要求2所述的一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，用戶數(shù)據(jù) 文件加密存儲的具體過程為:用戶向云存儲服務器申請存儲空間，申請之后，云存儲服務器為其建立相應的存儲空 間；同時，可信平臺模塊TPM為其隨機生成一對對稱密鑰、一對非對稱密鑰和用于驗證身份 的數(shù)字證書，其中數(shù)字證書發(fā)送給客戶，用于以后身份驗證;對稱密鑰被非對稱密鑰的公鑰 加密后存放到硬盤上；存儲數(shù)據(jù)時，云存儲服務器通知可信平臺模塊TPM驗證身份后，用戶發(fā)送數(shù)據(jù)；可信平臺模塊TPM從隱藏分區(qū)提取并用私鑰解密對稱密鑰，用于加密數(shù)據(jù)，然后將加密 后的數(shù)據(jù)存放到云存儲服務器。4.根據(jù)權利要求3所述的一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，可信平臺 模塊TPM驗證用戶身份的具體過程為:用戶首先向云存儲服務器發(fā)送請求，云存儲服務器通 知可信平臺模塊TPM驗證其身份，即可信平臺模塊TPM向用戶索要數(shù)字證書，用戶將數(shù)字證 書用公鑰加密后發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM用私鑰解密后，驗證其身份的 合法性，身份確認后，建立VPN隧道，用戶發(fā)送數(shù)據(jù)。5.根據(jù)權利要求2所述的一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，外部存儲 設備中的數(shù)據(jù)解密過程為:用戶索要數(shù)據(jù)時，可信平臺模塊TPM從外部存儲設備的隱藏密鑰 分區(qū)提取對稱密鑰，解密數(shù)據(jù)后發(fā)送至用戶。6.根據(jù)權利要求5所述的一種基于TPM的云存儲數(shù)據(jù)加密方法，其特征在于，當用戶需 要使用存儲數(shù)據(jù)文件時，從相應的外部存儲設備中讀取密文文件所使用的對稱密鑰，將加 密的密文發(fā)送給可信平臺模塊TPM，可信平臺模塊TPM使用解密后的對稱密鑰對密文進行解I_Lj 〇
【文檔編號】H04L29/06GK106027503SQ201610300097
【公開日】2016年10月12日
【申請日】2016年5月9日
【發(fā)明人】張衛(wèi)品, 戴鴻君, 于治樓
【申請人】浪潮集團有限公司