The present invention discloses a universal password storage and reading method, device and terminal device based on TrustZone. Including the universal password storage method: client application to obtain common password; the client application sends a request to the service password encryption storage storage, password storage request includes: application scenarios and general application scenarios and decryption password; storage service for searching stored corresponding class key; through the client interface, data sending trusted applications encryption storage service to the trusted execution environment in encryption request, data encryption key and the request includes: to encrypt the data to be encrypted data including general password; trusted applications according to the master key pre stored in the trusted execution environment, to decrypt the key; trusted applications according to the decrypted key, encrypted with the encrypted data; and trusted applications through the client interface, the data to be encrypted encrypted return to add Storage in a decrypted storage service.
【技术实现步骤摘要】
基于TrustZone的通用口令存储及读取方法、装置及终端设备
本专利技术涉及移动终端设备安全
,具体而言,涉及一种基于TrustZone的通用口令存储及读取方法、装置及终端设备。
技术介绍
随着移动终端设备(如智能手机、平板电脑等)的普及,催生了各种用于移动终端设备的应用程序。很多应用程序都要求用户使用密码保护其安全性。随着移动终端设备中应用程序数量的飞速增长,移动终端用户需要掌握的密码的数量也快速的增长。由于这些密码都是各自独立的,因此非常容易出现用户不能够安全的保护这些密码的情况。比如为了不忘记密码,在纸质材料上做笔记,或者在电子版文件中明文记录密码等。对单个记录密码的文件进行加密也是一种方法,但是这种方法依赖于文件加密的安全性,脱离安全体系无法衡量一个单独的加密文件的安全性。目前已经出现了一些应用程序可以提供一种记录多个密码的服务。应用程序通常使用单一的口令生成密钥,对其保存的所有密码进行保护。或者,使用应用程序生成的密钥对要保护的密钥进行加密保存。这种服务基本上与对密码文件进行加密相近,一旦其口令或密钥被破解则所有密码都会泄露出去。这种应用程序的用户必须记住自己的口令。口令必须足够坚固,也就是长度、复杂度必须足够,并且密码一定要定期更换,且不能记录在任何物理介质上。这就导致了口令很容易被忘记或记错。用户忘记口令会导致所有保存的密码都不能读取,给用户带来更大的麻烦。因此,需要一种新的应用于移动终端设备的通用口令存储及读取方法。在所述
技术介绍
部分公开的上述信息仅用于加强对本专利技术的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有 ...
【技术保护点】
一种基于TrustZone的通用口令存储方法,其特征在于,包括:普通执行环境中的客户应用程序获取通用口令;所述客户应用程序向构建于普通执行环境中的加解密存储服务发送口令存储请求,所述口令存储请求包括:应用场景及所述通用口令;所述加解密存储服务查找存储的所述应用场景对应的类密钥;通过所述普通执行环境与可信执行环境之间的客户接口,所述加解密存储服务向所述可信执行环境中的可信应用程序发送数据加密请求,所述数据加密请求包括:所述类密钥及待加密数据,所述待加密数据包括所述通用口令;所述可信应用程序根据预先存储于所述可信执行环境中的主密钥,对所述类密钥进行解密;所述可信应用程序根据解密后的所述类密钥,对所述待加密数据进行加密;以及所述可信应用程序通过所述客户接口,将加密后的所述待加密数据返回至所述加解密存储服务中存储。
【技术特征摘要】
1.一种基于TrustZone的通用口令存储方法,其特征在于,包括:普通执行环境中的客户应用程序获取通用口令;所述客户应用程序向构建于普通执行环境中的加解密存储服务发送口令存储请求,所述口令存储请求包括:应用场景及所述通用口令;所述加解密存储服务查找存储的所述应用场景对应的类密钥;通过所述普通执行环境与可信执行环境之间的客户接口,所述加解密存储服务向所述可信执行环境中的可信应用程序发送数据加密请求,所述数据加密请求包括:所述类密钥及待加密数据,所述待加密数据包括所述通用口令;所述可信应用程序根据预先存储于所述可信执行环境中的主密钥,对所述类密钥进行解密;所述可信应用程序根据解密后的所述类密钥,对所述待加密数据进行加密;以及所述可信应用程序通过所述客户接口,将加密后的所述待加密数据返回至所述加解密存储服务中存储。2.根据权利要求1所述的方法,其特征在于,所述应用场景包括:终端设备启动成功后可以访问、终端设备启动成功后且合法登录后可以访问、终端设备启动成功且合法登录且用户界面解除锁定后可以访问、终端设备启动成功且合法登录且用户界面锁定时仅可以写入。3.根据权利要求2所述的方法,其特征在于,所述通用口令包括:关键字及密码,所述关键字和密码以第一键-值对形式表示,所述关键字为所述第一键-值对中的键名,所述密码为所述第一键-值对中的键值;且所述待加密数据为所述第一键-值对中的键值。4.根据权利要求3所述的方法,其特征在于,还包括:所述加解密存储服务将返回的加密后的所述待加密数据存储为第二键-值对;其中,所述第二键-值对中的键名为所述第一键-值对中的键名,所述第二键-值对中的键值为加密后的所述待加密数据。5.根据权利要求2所述的方法,其特征在于,还包括:通过所述客户接口,向所述可信应用程序发送各所述应用场景对应的类密钥;所述可信应用程序根据所述主密钥对各所述应用场景对应的类密钥进行加密;以及所述可信应用程序通过所述客户接口,将加密后的各所述应用场景对应的类密钥返回至所述普通执行环境中存储。6.根据权利要求1-5任一项所述的方法,其特征在于,所述客户接口采用强制访问控制权限管理机制。7.一种适用于如权利要求1-6任一项所述的通用口令存储方法的通用口令读取方法,其特征在于,包括:普通执行环境中的客户应用程序接收用户的通用口令读取指令;所述客户应用程序根据所述通用口令读取指令,向构建于普通执行环境中的加解密存储服务发送口令读取请求,所述口令读取请求包括:应用场景及待读取的口令;所述加解密存储服务查找存储的所述应用场景对应的类密钥;通过所述普通执行环境与可信执行环境之间的客户接口,向所述可信执行环境中的可信应用程序发送数据解密请求,所述数据解密请求包括:类密钥及待解密数据,所述待解密数据包括所述待读取的口令;所述可信应用程序根据预先存储于所述可信执行环境中的主密钥,对所述类密钥进行解密;所述可信应用程序根据解密后的所述类密钥,对所述待解密数据进行解密;以及所述可信应用程序通过所述客户接口,将解密后的所述待解密数据返回至所述加...
【专利技术属性】
技术研发人员:孙国峰,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。