一种基于TCM芯片的文件加密方法及系统

技术领域

本发明属于文件加密技术领域，具体涉及一种基于TCM芯片的文件加密方法及系统。

背景技术

信息技术的快速发展方便了我们的日常生活，也加快了工作效率，但是数据安全问题也在时时困扰着我们。文件传输安全就是大众关注的安全问题之一，一份文件可能包含了很多的机密，一旦被黑客窃取，那损失是不可想象的。文件加密可以在数据脱离当前系统时起到防止数据流失、减少数据被窃取的可能性。

简单地说，文件加密就是对原来为明文的文件按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

eCryptfs文件加密系统是建立在已存在文件系统上的栈，它处理数据的加密和解密，对于应用程序是透明的。eCryptfs使用Linux内核的密钥环服务、内核加密API、Linux可插入认证模块、可信平台模块和GnuPG密钥环，给终端用户提供无缝的认证特征管理。

eCryptfs文件加密系统中的各个文件拥有独立的FEK密钥进行加密，该密钥被FEKEK密钥加密成EFEK并保存在文件头中。当用户创建新的eCryptfs系统时，用户需要指定FEKEK，eCryptfs将会使用FEKEK进行相关的加密解密操作。当用户需要使用加密文件时，则需要获得FEKEK并使用FEKEK作为加密短语来完成eCryptfs文件加密系统的挂载及相关文件的FEK密钥的解密。FEKEK的指定通常可以是一串明文密钥，或者是通过hash算法进行加密处理的密码短语。

eCryptfs文件加密系统以FEKEK作为可信根。在现有技术中，FEKEK使用明文密码容易被黑客暴力破解或者进行社会学推测破解，也容易造成人为泄漏密钥。通常使用hash算法处理过的明文密码作为FEKEK相对比较安全，但是黑客依旧可以借助高算力计算机进行暴力破解。同时，如果将被hash算法加密过的FEKEK保存到本都数据库中，也容易被黑客窃取加密文件，同时也被窃取FEKEK密钥，文件加密系统的安全性将变得不堪一击。并且，软件加密算法本身也容易被病毒程序所监听攻破。

发明内容

为解决上述问题，本发明提供了一种基于TCM芯片的文件加密方法，所述方法包括步骤：

获取待加密文件；

向文件加密系统输入第一用户名和第一明文密码；

TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码；

判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配；

若是，所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码，使用所述第二密文密码对所述待加密文件进行加密；

若否，终止文件加密操作。

优选地，所述TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码包括步骤：

获取所述第一明文密码；

对所述第一明文密码添加第一盐值以得到第一中间值；

所述TCM芯片获取所述第一中间值；

所述TCM芯片获取输出所述第一密文密码。

优选地，所述判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配包括步骤：

获取所述第一用户名及所述第一密文密码；

获取所述数据库中预设的所述第二用户名和所述第一密码；

判断所述第一用户名是否与所述第二用户名相同；

若是，判断所述第一密文密码是否与所述第一密码相同；

若否，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码不分别对应匹配；

若是，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码分别对应匹配；

若否，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码不分别对应匹配。

优选地，所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码包括步骤：

获取所述第一明文密码；

对所述第一明文密码添加第二盐值以得到第二中间值；

所述TCM芯片获取所述第二中间值；

所述TCM芯片获取输出所述第二密文密码。

优选地，所述使用所述第二密文密码对所述待加密文件进行加密包括步骤：

获取所述第二密文密码；

将所述第二密文密码作为所述文件加密系统的密钥；

使用所述密钥挂载所述文件加密系统；

丢弃所述密钥；

使用所述文件加密系统对所述待加密文件进行加密。

优选地，所述使用所述文件加密系统对所述待加密文件进行加密包括步骤：

判断是否对所述待加密文件进行预设操作；

若是，激活所述文件加密系统；

若否，保持所述文件加密系统当前状态；

判断是否保存所述待加密文件；

若是，所述文件加密系统对所述待加密文件进行自动加密；

若否，保持所述文件加密系统当前状态。

优选地，在所述获取待加密文件之前还包括步骤：

创建所述文件加密系统；

向所述文件加密系统中输入第二用户名和第二明文密码；

对所述第二明文密码添加第三盐值以得到第三中间值；

所述TCM芯片获取所述第三中间值；

所述TCM芯片获取输出所述第一密码；

将所述第二用户名及所述第一密码存入所述数据库中。

本发明还提供了一种基于TCM芯片的文件加密系统，所述系统包括：

获取模块，用于获取待加密文件；

输入模块，用于向文件加密系统输入第一用户名和第一明文密码；

加密模块，用于TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码；

判断模块，用于判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配；

执行模块，用于根据所述判断模块的判断结果执行预设操作；

其中，当所述判断模块判断结果为是时，所述执行模块用于所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码，并使用所述第二密文密码对所述待加密文件进行加密；当所述判断模块判断结果为否时，所述执行模块终止文件加密操作。

本申请提供的一种基于TCM芯片的文件加密方法及系统，使用TCM芯片对密钥进行加密处理，增加了黑客进行暴力破解解析明文密码的难度；密钥临时生成后立即清除，确保了密钥本身不会被泄漏；使用不同盐值对密钥进行加密以及用于用户认证的密文密码生成，避免了黑客通过窃取系统数据库文件来获取加密密钥的可能，增强了被加密文件的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的一种基于TCM芯片的文件加密方法的流程示意图；

图2是本发明提供的一种基于TCM芯片的文件加密系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1，在本申请实施例中，本发明提供了一种基于TCM芯片的文件加密方法，所述方法包括步骤：

S1：获取待加密文件；

S2：向文件加密系统输入第一用户名和第一明文密码；

S3：TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码；

S4：判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配；

S5：若是，所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码，使用所述第二密文密码对所述待加密文件进行加密；

S6：若否，终止文件加密操作。

在本申请实施例中，当基于TCM芯片对文件进行加密时，首先获取待加密文件，并向文件加密系统输入第一用户名和第一明文密码；此时TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码；然后判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配；如果分别对应匹配，则所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码，并使用所述第二密文密码对所述待加密文件进行加密；否则终止文件加密操作。

在本申请实施例中，步骤S3中的TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码包括步骤：

获取所述第一明文密码；

对所述第一明文密码添加第一盐值以得到第一中间值；

所述TCM芯片获取所述第一中间值；

所述TCM芯片获取输出所述第一密文密码。

在本申请实施例中，当TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码时，首先获取所述第一明文密码，然后对所述第一明文密码添加第一盐值以得到第一中间值；接着将第一中间值输入TCM芯片，TCM芯片对第一中间值进行加密处理后输出所述第一密文密码。

在本申请实施例中，步骤S4中的判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配包括步骤：

获取所述第一用户名及所述第一密文密码；

获取所述数据库中预设的所述第二用户名和所述第一密码；

判断所述第一用户名是否与所述第二用户名相同；

若是，判断所述第一密文密码是否与所述第一密码相同；

若否，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码不分别对应匹配；

若是，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码分别对应匹配；

若否，判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码不分别对应匹配。

在本申请实施例中，当判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配时，首先获取所述第一用户名及所述第一密文密码，以及数据库中预设的所述第二用户名和所述第一密码；然后分别判断所述第一用户名是否与所述第二用户名相同，以及判断所述第一密文密码是否与所述第一密码相同；当第一用户名与第二用户名相同且第一密文密码与所述第一密码相同时，则判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码分别对应匹配；当第一用户名与第二用户名不相同或第一密文密码与所述第一密码不相同时，则判断所述第一用户名及所述第一密文密码与数据库中预设的第二用户名及第一密码不分别对应匹配。

在本申请实施例中，步骤S5中的TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码包括步骤：

获取所述第一明文密码；

对所述第一明文密码添加第二盐值以得到第二中间值；

所述TCM芯片获取所述第二中间值；

所述TCM芯片获取输出所述第二密文密码。

在本申请实施例中，当TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码时，首先获取所述第一明文密码，然后对所述第一明文密码添加第二盐值以得到第二中间值；接着将第二中间值输入TCM芯片，TCM芯片对第二中间值进行加密处理后输出所述第二密文密码。

在本申请实施例中，步骤S5中的使用所述第二密文密码对所述待加密文件进行加密包括步骤：

获取所述第二密文密码；

将所述第二密文密码作为所述文件加密系统的密钥；

使用所述密钥挂载所述文件加密系统；

丢弃所述密钥；

使用所述文件加密系统对所述待加密文件进行加密。

在本申请实施例中，当使用所述第二密文密码对所述待加密文件进行加密时，首先获取所述第二密文密码，然后将所述第二密文密码作为所述文件加密系统的密钥，接着使用所述密钥挂载所述文件加密系统，然后丢弃所述密钥，并使用所述文件加密系统对所述待加密文件进行加密。

在本申请实施例中，所述使用所述文件加密系统对所述待加密文件进行加密包括步骤：

判断是否对所述待加密文件进行预设操作；

若是，激活所述文件加密系统；

若否，保持所述文件加密系统当前状态；

判断是否保存所述待加密文件；

若是，所述文件加密系统对所述待加密文件进行自动加密；

若否，保持所述文件加密系统当前状态。

在本申请实施例中，当使用所述文件加密系统对所述待加密文件进行加密时，首先判断是否对所述待加密文件进行预设操作；如果进行预设操作，则激活所述文件加密系统；如果没有进行预设操作，则保持所述文件加密系统当前状态；接着判断是否保存所述待加密文件；当保存所述待加密文件时，所述文件加密系统对所述待加密文件进行自动加密；当还未保存所述待加密文件时，保持所述文件加密系统当前状态。具体地，预设操作可以由用户设置，比如包括对待加密文件进行编辑、查阅或增删。

在本申请实施例中，在步骤S1中的获取待加密文件之前还包括步骤：

创建所述文件加密系统；

向所述文件加密系统中输入第二用户名和第二明文密码；

对所述第二明文密码添加第三盐值以得到第三中间值；

所述TCM芯片获取所述第三中间值；

所述TCM芯片获取输出所述第一密码；

将所述第二用户名及所述第一密码存入所述数据库中。

在本申请实施例中，在获取待加密文件之前还包括如下步骤：创建所述文件加密系统，此文件加密系统用于对待加密文件进行加密；然后向所述文件加密系统中输入第二用户名和第二明文密码，接着对所述第二明文密码添加第三盐值以得到第三中间值；然后所述TCM芯片获取所述第三中间值，所述TCM芯片获取输出所述第一密码；然后将所述第二用户名及所述第一密码存入所述数据库中，所述第二用户名及所述第一密码用于在步骤S4中进行判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配的操作。

本发明还提供了一种基于TCM芯片的文件加密系统，所述系统包括：

获取模块10，用于获取待加密文件；

输入模块20，用于向文件加密系统输入第一用户名和第一明文密码；

加密模块30，用于TCM芯片对所述第一明文密码进行第一加密以得到第一密文密码；

判断模块40，用于判断所述第一用户名及所述第一密文密码是否与数据库中预设的第二用户名及第一密码分别对应匹配；

执行模块50，用于根据所述判断模块40的判断结果执行预设操作；

其中，当所述判断模块40判断结果为是时，所述执行模块50用于所述TCM芯片对所述第一明文密码进行第二加密以得到第二密文密码，并使用所述第二密文密码对所述待加密文件进行加密；当所述判断模块40判断结果为否时，所述执行模块50终止文件加密操作。

本申请提供的一种基于TCM芯片的文件加密系统可以执行本申请提供的一种基于TCM芯片的文件加密方法。

本申请提供的一种基于TCM芯片的文件加密方法及系统，使用TCM芯片对密钥进行加密处理，增加了黑客进行暴力破解解析明文密码的难度；密钥临时生成后立即清除，确保了密钥本身不会被泄漏；使用不同盐值对密钥进行加密以及用于用户认证的密文密码生成，避免了黑客通过窃取系统数据库文件来获取加密密钥的可能，增强了被加密文件的安全性。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。