一种数据安全存储方法及装置制造方法及图纸

本发明专利技术提供一种数据安全存储方法及装置。该装置包括：配置单元，用于配置安全数据的属性信息；其中，属性信息包括安全等级以及生命周期；第一确定单元，用于在对安全数据进行存储时，根据数据大小和安全等级确定安全数据存储于可信执行环境TEE还是硬件加密芯片；第二确定单元，用于根据安全等级和生命周期确定将安全数据存储于可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。本发明专利技术通过软件和硬件结合的方式，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。

Data security storage method and device

The invention provides a data security storage method and device. The device comprises a configuration unit, attribute information for configuring security data; the attribute information including the security level and the life cycle; the first determining unit, used in the storage of data security, according to the data size and the security level to determine the safety of data stored in the trusted execution environment TEE or hardware encryption chip; second for determining unit according to the security level and the life cycle will determine the safety of data stored in the trusted execution environment / hardware encryption chip solid-state storage area or dynamic storage area. The present invention through the combination of software and hardware, effectively improve the efficiency of mobile phone hardware storage encryption security, the greatest degree of use of the hardware limited storage space, so as to realize the application of limited storage space to the safe application of unlimited \to effectively ensure the security of data storage.

【技术实现步骤摘要】
一种数据安全存储方法及装置
本专利技术涉及领域电子
，尤其涉及一种数据安全存储方法及装置。
技术介绍
移动终端信息的安全性越来越成为用户的强诉求，就此目前移动终端行业出现了多种多样的安全解决方案，包括软件的、硬件的、软硬件结合的解决方案，在一定程度上保护了移动终端的数据安全。目前业界主流的SE安全芯片的应用主要集中在NFC的卡模拟应用上，如公交卡，银行卡，门禁卡业务。由于其在支付领域的应用，使得SE的安全等级都非常的高，能将如此高安全等级的硬件加密芯片投入移动终端安全应用使用上，是一个非常不错的选择。然而由于安全等级比较高，相关安全要求的限制，决定了内存空间扩展的难度。因此，如果能够解决SE安全芯片硬件存储空间不足的问题，势必在移动终端领域得到广泛应用，保证移动终端的数据安全。
技术实现思路
本专利技术的主要目的在于提出一种数据安全存储方法及装置，旨在解决现有技术中SE安全芯片硬件存储空间不足的问题。为实现上述专利技术目的，本专利技术采用下述的技术方案：依据本专利技术的一个方面，提供一种数据安全存储装置，包括：配置单元，用于配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；第一确定单元，用于在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；第二确定单元，用于根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。可选的，所述配置单元，具体用于：获取设定的应用或者数据名称；根据所述应用或者数据名称提取所要存储的安全数据；设置所述安全数据所需的安全等级以及生命周期。可选的，所述第一确定单元，具体用于；判断所述数据大小与硬件加密芯片的存储空间的大小；当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；所述第二确定单元，具体用于：当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。可选的，所述动态管理单元，用于：实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。依据本专利技术的一个方面，提供一种数据安全存储方法，包括：配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。可选的，所述配置安全数据的属性信息，具体包括：获取设定的应用或者数据名称；根据所述应用或者数据名称提取所要存储的安全数据；设置所述安全数据所需的安全等级以及生命周期。可选的，所述根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；判断所述数据大小与硬件加密芯片的存储空间的大小；当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域，具体包括：当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。可选的，所述方法还包括：实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。本专利技术所提出的数据安全存储方法及装置，通过软件和硬件结合的方式，设置多个存储区域以及多个安全等级，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。通过采用本专利技术能充分的利用高安全等级的硬件加密芯片存储空间，又能根据实际情况将加密应用范围推得更加广泛，在实际的产品应用上有较强的应用意义。附图说明图1为实现本专利技术各个实施例一可选的移动终端的硬件结构示意图；图2为本专利技术实施例中数据安全存储装置的结构原理框图；图3为本专利技术一具体实施例中数据安全存储装置的结构原理框图；图4为本专利技术实施例中数据安全存储方法的流程图；图5为本专利技术一具体实施例中数据安全存储方法的流程图；图6为本专利技术一具体实施例中数据安全存储方法的流程图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。现在将参考附图描述实现本专利技术各个实施例的移动终端。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。移动终端可以以各种形式来实施。例如，本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本专利技术的实施方式的构造也能够应用于固定类型的终端。图1为实现本专利技术各个实施例一可选的移动终端的硬件结构示意图。移动终端100可以包括用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信系统或网络之间的无线电通信。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包本文档来自技高网...

【技术保护点】
一种数据安全存储装置，其特征在于，包括：配置单元，用于配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；第一确定单元，用于在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；第二确定单元，用于根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

【技术特征摘要】
1.一种数据安全存储装置，其特征在于，包括：配置单元，用于配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；第一确定单元，用于在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；第二确定单元，用于根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。2.如权利要求1所述的装置，其特征在于，所述配置单元，具体用于：获取设定的应用或者数据名称；根据所述应用或者数据名称提取所要存储的安全数据；设置所述安全数据所需的安全等级以及生命周期。3.如权利要求1所述的装置，其特征在于，所述第一确定单元，具体用于；判断所述数据大小与硬件加密芯片的存储空间的大小；当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。4.如权利要求1所述的装置，其特征在于，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；所述第二确定单元，具体用于：当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。5.如权利要求1所述的装置，其特征在于，所述动态管理单元，用于：实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。6.一种数据安全存储方法，其特征在于，包括：配置安全数据的属...

【专利技术属性】
技术研发人员：吕森，
申请(专利权)人：努比亚技术有限公司，
类型：发明
国别省市：广东,44