The invention discloses a data leak-proof method and a computer readable storage medium. The method includes: encrypting encrypted plaintext data with encrypted key to obtain ciphertext data; obtaining preset data blocks according to ciphertext data, and signing data blocks with trusted start-up private key to obtain signature data; and obtaining hybrid data blocks and signature data. Data; inject encryption key into fuse area; configure secure storage area after the start of secure operating system; secure operating system acquires mixed data and uses trusted start public key to verify the signature of mixed data; if the verification is passed, the encryption key is obtained from fuse area; parse mixed data and use encryption key to encrypt data in mixed data block. Decrypt, get the plaintext data, and store the plaintext data in the secure storage area. The invention can effectively prevent the leakage of data from static storage to dynamic operation.
【技术实现步骤摘要】
数据防泄漏方法及计算机可读存储介质
本专利技术涉及数据安全
,尤其涉及一种数据防泄漏方法及计算机可读存储介质。
技术介绍
现有的普通FLASH对数据的防护比较弱,很容易通过工具将存储在里面的数据拷贝出来,如果数据是明文形式存在的话数据就泄漏了。如果使用专用的安全FLASH又增加了硬件成本,且保护的仅仅是静态情况下的数据,程序运行起来之后加载到普通内存里面的数据又有可能被恶意程序窥探到,从而导致数据的泄漏。
技术实现思路
本专利技术所要解决的技术问题是:提供一种数据防泄漏方法及计算机可读存储介质,可有效防止数据从静态存储到动态运行时的泄露。为了解决上述技术问题,本专利技术采用的技术方案为:一种基于trustzone的数据防泄漏方法,包括:使用加密密钥对待加密的明文数据进行加密,得到密文数据;根据所述密文数据,得到预设格式的数据块,并使用可信启动私钥对所述数据块进行签名,得到签名数据;根据所述数据块和所述签名数据,得到混合数据;将所述加密密钥注入至熔丝区域;安全操作系统启动后,配置安全存储区域;安全操作系统获取所述混合数据,并使用可信启动公钥对所述混合数据进行签名验证;若验证通过,则从熔丝区域获取加密密钥;解析所述混合数据,使用所述加密密钥对混合数据的数据块中的密文数据进行解密,得到明文数据,并将所述明文数据存储至所述安全存储区域。本专利技术还涉及一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述的步骤。本专利技术的有益效果在于:通过把需要保护的数据用密码技术进行处理产生一个格式化的混合数据文件,在运行时通过trustzone权 ...
【技术保护点】
1.一种基于trustzone的数据防泄漏方法,其特征在于,包括:使用加密密钥对待加密的明文数据进行加密,得到密文数据;根据所述密文数据,得到预设格式的数据块,并使用可信启动私钥对所述数据块进行签名,得到签名数据;根据所述数据块和所述签名数据,得到混合数据;将所述加密密钥注入至熔丝区域;安全操作系统启动后,配置安全存储区域;安全操作系统获取所述混合数据,并使用可信启动公钥对所述混合数据进行签名验证;若验证通过,则从熔丝区域获取加密密钥;解析所述混合数据,使用所述加密密钥对混合数据的数据块中的密文数据进行解密,得到明文数据,并将所述明文数据存储至所述安全存储区域。
【技术特征摘要】
1.一种基于trustzone的数据防泄漏方法,其特征在于,包括:使用加密密钥对待加密的明文数据进行加密,得到密文数据;根据所述密文数据,得到预设格式的数据块,并使用可信启动私钥对所述数据块进行签名,得到签名数据;根据所述数据块和所述签名数据,得到混合数据;将所述加密密钥注入至熔丝区域;安全操作系统启动后,配置安全存储区域;安全操作系统获取所述混合数据,并使用可信启动公钥对所述混合数据进行签名验证;若验证通过,则从熔丝区域获取加密密钥;解析所述混合数据,使用所述加密密钥对混合数据的数据块中的密文数据进行解密,得到明文数据,并将所述明文数据存储至所述安全存储区域。2.根据权利要求1所述的基于trustzone的数据防泄漏方法,其特征在于,所述“使用加密密钥对待加密的明文数据进行加密,得到密文数据;根据所述密文数据,得到预设格式的数据块,并使用可信启动私钥对所述数据块进行签名,得到签名数据”具体为:通过随机数生成器生成加密密钥,所述加密密钥包括第一密钥和第二密钥;使用所述第一密钥对待加密的明文数据进行加密,得到密文数据;使用所述第二密钥对所述第一密钥进行加密,得到加密后的第一密钥;根据预设的格式合成所述密文数据和加密后的第一密钥,得到数据块,并使用可信启动私钥对所述数据块进行签名,得到签名数据。3.根据权利要求2所述的基于trustzone的数据防泄漏方法,其特征在于,所述“将所述加密密钥注入至熔丝区域”具体为:将所述第二密钥通过密钥注入工具注入至熔丝区域。4.根据权利要求3所述的基于trustzone的数据防泄漏方法,其特征在于,所述安...
【专利技术属性】
技术研发人员:赵国开,涂岩恺,池炜宾,刘炯钟,
申请(专利权)人:厦门雅迅网络股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。