本发明专利技术实施例公开了一种安全控制方法、及终端,该方法应用于包含可信执行环境TEE的终端,包括:所述终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取所述终端的标识信息,依据所述标识信息生成锁密码;使用所述锁密码对所述可插拔的存储器进行加密。本发明专利技术实施例中的TEE可以利用终端的标识信息生成锁密码,并利用该锁密码单独对该终端中的可插拔的存储器进行加密和解密,实现方式简单、安全性高。另外,可以自动对该可插拔的存储器进行加密和解密,无需用户的操作。
【技术实现步骤摘要】
安全控制方法、及终端
本专利技术涉及电子
,尤其涉及一种安全控制方法、及终端。
技术介绍
为了给终端例如数码相机、智能手机等扩大内部存储空间,可插拔的存储卡如安全数码卡、优盘等成为了常见的解决方案。可插拔的存储器是一种体积小容量大的数据存储载体,可以热插拔到终端而不是内嵌到终端,这样它既可以很好地解决终端扩展内部存储空间的需求,也可以作为一个优盘在不同终端间使用。然而,由于可插拔的存储器可插拔的特性,在终端被盗或丢失之后,可插拔的存储器中的数据存在通过该终端之外的读卡器等设备进行读取的风险,造成信息的泄露。因此,需要解决可插拔的存储器中的数据安全的问题。目前,为保护可插拔的存储器中的数据安全采用的一种技术方案就是采用全盘加密技术将可插拔的存储器作为整个硬盘的一部分统一进行加密,这样,即使用户将可插拔的存储器拔出之后,可插拔的存储器内的数据也是加密的,防止了可插拔的存储器被拔出原来终端后造成信息泄密的问题,但是这种全盘加密方式实现比较复杂、造成终端性能的大幅度下降。
技术实现思路
本专利技术实施例提供了一种安全控制方法、及终端,可以单独对可插拔的存储器进行加密和解密,保护可插拔的存储器中的数据安全,操作简单。一方面本专利技术实施例提供了一种安全控制方法,应用于包含可信执行环境TEE的终端,所述方法包括:所述终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取所述终端的标识信息,依据所述标识信息生成锁密码;使用所述锁密码对所述可插拔的存储器进行加密。二方面本专利技术实施例提供了一种终端,包括:应用控制单元,用于确定需要对可插拔的存储器进行加密的情况,获取终端的标识信息,用于依据所述标识信息生成锁密码;加密单元,用于使用所述锁密码对所述可插拔的存储器进行加密。通过实施本专利技术实施例,终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取该终端的标识信息,依据该标识信息生成锁密码;使用该锁密码对该可插拔的存储器进行加密。本专利技术实施例中的TEE可以利用该终端的标识信息生成该锁密码,并利用该锁密码单独对该可插拔的存储器进行加密和解密,实现方式简单、安全性高。附图说明图1为本专利技术实施例安全控制方法流程示意图;图2为本专利技术实施例另一种安全控制方法流程示意图;图3为本专利技术实施例终端结构示意图;图4为本专利技术实施例终端结构示意图;图5为本专利技术实施例又一种安全控制方法流程示意图;图6为本专利技术实施例终端结构示意图;图7为本专利技术实施例终端结构示意图;图8为本专利技术实施例终端结构示意图;图9为本专利技术实施例终端结构示意图。具体实施方式可信执行环境(TEE,TrustedExecutionEnvironment)是终端设备如智能手机、平板电脑、机顶盒、智能电视等主处理器上的一个安全区域,其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。TEE提供一个隔离的执行环境,提供的安全特征包含:隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。总体来说,TEE提供的执行空间比常见的操作系统(如安卓系统等)提供更高级别的安全性。一方面本专利技术实施例提供了一种安全控制方法,应用于包含TEE的终端,如图1所示,包括:101、上述终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取上述终端的标识信息,依据上述标识信息生成锁密码;上述终端可以是手机、平板电脑、台式电脑、个人数字助理等。上述可插拔的存储器可以是优盘、安全数码(SD,SecureDigital)卡、microSD卡、用户身份识别卡(SIM,SubscriberIdentificationModule)等。上述终端的标识信息可以是该终端的中央处理器的标识信息、该终端的TEE的标识信息等。上述标识信息可以是一个也可以是多个。在一种可选的实现方式中,上述终端的安全芯片可以取代上述TEE,实现上述TEE执行的全部操作。上述终端的TEE确定需要对可插拔的存储器进行加密的情况可以是上述终端的TEE确定上述终端的加密功能处于开启状态且确定上述终端有上述可插拔的存储器的热插拔操作;也可以是上述终端的TEE确定上述终端的上述加密功能处于开启状态且检测到上述终端的开机操作;还可以是上述终端的TEE接收到对上述可插拔的存储器进行加密的加密指令。上述终端的TEE确定需要对可插拔的存储器进行加密的情况不限于上述三种,还可以包括其它需要对上述可插拔的存储器进行加密的情况。举例来说,在终端的加密功能处于开启状态的情况下,上述终端在启动后或者上述终端插入了上述可插拔的存储器后,由上述TEE获取上述终端的标识信息,生成上述锁密码。再举例来说,在终端的加密功能处于关闭状态的情况下,在用户开启该终端的加密功能后,由上述TEE获取上述终端的标识信息,生成上述锁密码。具体的,可以通过上述TEE上的可信应用程序,给上述可插拔的存储器生成上述锁密码,并通过驱动安全通道传输到上述可插拔的存储器的驱动程序。本专利技术实施例中,由上述终端的TEE确定需要对可插拔的存储器进行加密的情况后,获取上述终端的标识信息,依据上述标识信息生成锁密码,并利用上述锁密码对上述可插拔的存储器进行加密。由上述TEE在确定需要对可上述插拔的存储器进行加密的时候自动对上述可插拔的存储器进行加密,安全方便,无需用户的操作。上述TEE在获取上述终端的多个标识信息的情况下,将上述标识信息进行组合,得到组合后的标识信息,再依据上述组合后的标识信息生成锁密码。上述TEE在获取上述终端的一个标识信息的情况下,依据上述获取的标识信息生成锁密码。上述TEE生成锁密码的具体方法可以是将上述组合后的标识信息或者上述获取的标识信息作为密码因子,利用预置的锁密码生成算法,依据上述密码因子生成上述锁密码。102、使用上述锁密码对上述可插拔的存储器进行加密。使用上述锁密码对上述可插拔的存储器进行加密的具体方法可以如下:上述终端的TEE将上述锁密码和加密指令发送给上述可插拔的存储器,上述加密指令指示上述可插拔的存储器将接收到的上述锁密码作为上述可插拔的存储器的锁密码。使用上述锁密码对上述可插拔的存储器进行加密的具体方法也可以如下:上述终端的TEE只将上述锁密码发送给上述可插拔的存储器,由上述终端的其他部分向上述可插拔的存储器发送上述加密指令。以上述SD卡为例,对上述SD卡进行加密的方式具体可通过SD卡协议中的相关规定,将上述锁密码生成密码设置指令。具体的,可将CMD42命令中的Bit0(具体为设置密码位“SetPwd”取值为“1”表示需设置锁密码)位赋值为“1”来代表设置锁密码,将CMD42命令的数据位(PwdData)放置具体设置的锁密码,由此,生成密码设置指令。上述终端将赋值后的CMD42作为密码设置指令发送给上述SD卡,这样当上述SD卡接收到CMD42后便可根据命令中的Bit0和PwdData的值保存设置的锁密码,完成加密过程。加密后的上述可插拔存储器在成功解密前在任何终端都不能进行读写操作。本专利技术实施例中,终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取该终端的标识信息,依据该标识信息生成锁密码;使用该锁密码对该可插拔的存储器进行加密。本专利技术实施例中的TEE可以利用该终端的标识信息生成该锁密码,并利用该锁密码单独对该可插拔的存储器进行加密和解密,实本文档来自技高网...
【技术保护点】
一种安全控制方法,其特征在于,应用于包含可信执行环境TEE的终端,所述方法包括:所述终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取所述终端的标识信息,依据所述标识信息生成锁密码;使用所述锁密码对所述可插拔的存储器进行加密。
【技术特征摘要】
1.一种安全控制方法,其特征在于,应用于包含可信执行环境TEE的终端,所述方法包括:所述终端的TEE确定需要对可插拔的存储器进行加密的情况下,获取所述终端的标识信息,依据所述标识信息生成锁密码;使用所述锁密码对所述可插拔的存储器进行加密。2.根据权利要求1所述方法,其特征在于,所述终端的TEE确定需要对可插拔的存储器进行加密的情况包括:所述终端的TEE确定所述终端的加密功能处于开启状态且确定所述终端有所述可插拔的存储器的热插拔操作;或者,所述终端的TEE确定所述终端的所述加密功能处于开启状态且检测到所述终端的开机操作;或者,所述终端的TEE接收到对所述可插拔的存储器进行加密的加密指令。3.根据权利要求1或2所述方法,其特征在于,所述依据所述标识信息生成锁密码包括:所述终端的TEE将所述标识信息作为密码因子,对所述密码因子进行哈希运算得到哈希值,对所述哈希值进行混淆处理或者取反运算,得到所述锁密码。4.根据权利要求1或2所述方法,其特征在于,所述使用所述锁密码对所述可插拔的存储器进行加密包括:所述终端的TEE选择满足所述锁密码的安全性传输需求的通道作为目标通道,通过所述目标通道将所述锁密码和加密指令发送给所述可插拔的存储器,所述加密指令指示所述可插拔的存储器将接收到的所述锁密码作为所述可插拔的存储器的锁密码。5.根据权利要求1或2所述方法,其特征在于,在所述使用所述锁密码对所述可插拔的存储器进行加密之后,所述方法还包括:所述终端的TEE确定所述终端的所述加密功能处于关闭状态的情况下,获取所述终端的标识信息,依据所述标识信息生成所述锁密码,依据生成的所述锁密码生成密码清除指令,将所述密码清除指令发送给所述可插拔的存储器,所述密码清除指令指示所述可插拔的存储器清除所述可插拔的存储器存储的所述锁密码。6.根据权利要求1或2所述方法,其特征在于,在所述使用所述锁密码对所述可插拔的存储器进行加密之后,所述方法还包括:所述终端的TEE确定需要对所述可插拔的存储器进行解密的情况下,生成所述锁密码,使用所述锁密码对所述可插拔的存储器进行解密,所述可...
【专利技术属性】
技术研发人员:黄儒鸿,张柳,
申请(专利权)人:深圳市金立通信设备有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。