基于加密芯片的可信执行环境下文件加密存储的相关方法技术

本发明专利技术公开了一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，通过在终端设备上集成加密芯片，由终端设备厂商控制加密芯片产生加密芯片密钥作为密钥组成因子，生成文件加密秘钥保护密钥，用于保护TEE服务中，文件加密时所使用的文件加密密钥，避免了TEE服务过程中，芯片厂商在密钥生成过程中留有后门或对其进行逆运算时完全能将密文数据解密成明文，导致的敏感数据存在被窃取风险的问题，提高了文件加密密钥的安全性，以及终端设备厂商在加密服务中的自主可控性，并且实施例是在原TEE文件加密技术上的改进，在不改变原有技术中加解密效率的情况下，更便捷的实现文件加密存储及密钥算法的可控行，避免密钥泄露的安全风险。

Relevant Methods of File Encryption Storage in Trusted Execution Environment Based on Encryption Chip

【技术实现步骤摘要】
基于加密芯片的可信执行环境下文件加密存储的相关方法
本专利技术涉及移动信息安全领域，尤其是一种基于加密芯片的可信执行环境下文件加密存储方法和装置。
技术介绍
随着移动通信技术的发展，终端设备在通信、社交、娱乐和办公等各方面都应用广泛，但是用户在享受终端设备上各种应用带来巨大方便的同时，也面临各种安全威胁，为解决信息泄密、信息破解、非法访问破坏或恶意程序攻击等安全威胁问题，ARM公司提出TrustZone技术方案，TrustZone即是支持TEE(TrustedExecutionEnvironment，可信执行环境)的技术产品，在终端设备现有的软硬件基础上，通过硬件虚拟化技术将移动终端设备隔离出TEE和REE(RichExecutionEnvironment，富运行环境)，因两者是独立的执行环境，REE在非授权情况下无法访问TEE资源，用户的敏感数据均是在TEE中运行处理与存储，如密钥的存储和数据的加密解密等，因外部环境无法获取相关信息，可保证了用户关键数据的安全。目前TEE服务提供商主要包括：芯片厂商、终端设备厂商和第三方安全方案服务提供商，其中，芯片厂商提供的TEE服务为终端设备提本文档来自技高网...

【技术保护点】
1.一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，包括步骤：安全存储密钥获取步骤：指通过第一加密算法利用硬件唯一密钥对主芯片拼接字段进行运算，生成安全存储密钥，所述主芯片拼接字段由主芯片序列号和可信执行环境固化字符串构成；可信应用密钥获取步骤：指通过第一加密算法利用所述安全存储密钥对可信应用通用唯一识别码进行运算，生成可信应用密钥；文件加密秘钥保护密钥获取步骤：指通过可信执行环境与加密芯片之间的安全链路获取加密芯片密钥，通过第一加密算法利用所述加密芯片密钥对所述可信应用密钥进行运算，生成文件加密秘钥保护密钥，所述加密芯片密钥由所述加密芯片生成并存储；文件加密密钥加密...

【技术特征摘要】
1.一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，包括步骤：安全存储密钥获取步骤：指通过第一加密算法利用硬件唯一密钥对主芯片拼接字段进行运算，生成安全存储密钥，所述主芯片拼接字段由主芯片序列号和可信执行环境固化字符串构成；可信应用密钥获取步骤：指通过第一加密算法利用所述安全存储密钥对可信应用通用唯一识别码进行运算，生成可信应用密钥；文件加密秘钥保护密钥获取步骤：指通过可信执行环境与加密芯片之间的安全链路获取加密芯片密钥，通过第一加密算法利用所述加密芯片密钥对所述可信应用密钥进行运算，生成文件加密秘钥保护密钥，所述加密芯片密钥由所述加密芯片生成并存储；文件加密密钥加密步骤：指当创建文件时，通过第二加密算法利用所述文件加密秘钥保护密钥对文件加密密钥进行运算，生成文件加密密钥密文存放于加密文件的文件头，所述文件加密密钥由可信执行环境创建可信应用文件时生成；所述第一加密算法为HMAC哈希算法。2.根据权利要求1所述的一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，所述第二加密算法的具体加密步骤包括：截取所述文件加密秘钥保护密钥的前16个字节；采用高级加密标准中ECB加密模式对所述文件加密密钥进行加密运算。3.根据权利要求1所述的一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，还包括：获取所述加密芯片密钥时，对所述加密芯片密钥进行初始化，初始化步骤包括：建立安全链路步骤和加解密加密芯片密钥步骤。4.根据权利要求3所述的一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，所述建立安全链路步骤具体为：所述可信执行环境向所述加密芯片发送用于生成加密芯片安全链路密钥对的指令；所述加密芯片向所述可信执行环境反馈是否存在所述加密芯片安全链路密钥对，若所述加密芯片安全链路密钥对不存在，则由所述加密芯片生成一对加密芯片安全链路密钥对，密钥对的生成算法是SM2算法；所述加密芯片将加密芯片安全链路保护公钥发送至所述可信执行环境，同时所述可信执行环境向所述加密芯片发送可信执行环境安全链路保护公钥，以建立安全链路。5.根据权利要求4所述的一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法，其特征在于，所述加解密加密芯片密钥步骤具体为：所述可信执行环境向所述加密芯片发送获取加密芯片密钥指令；所述加密芯片判断并反馈所述加密芯片密钥是否存在，若不存在，所述加密芯片生成随机数字符串作为所述加密芯片密钥，并通过加密芯片安全链路保护私钥对所述加密芯片密钥进行签名得到签名值，将所述签名值拼接在所述随机数字符串后作为原文数据包，再通过所述可信执行环境安全链路保护公钥加密所述原文数据包得到加密芯片密钥加密数据包；所述可信执行环境接收所述加密芯片密钥加密数据包，利用可信执行环境安全链路保护私钥进行解密，得到原文数据包，并根据所述加密芯片安全链路保护公钥对所述原文数据包进行验签，得到所述加密芯片密钥。6.一种基于加密芯片的可信执行环境下文件加密存储系统，其特征在于，包括可信执行环境和加密芯片；所述可信执行环境包括加解密模块和文件，所述加解密模块获取密钥组成因子，并根据权利要求1至5任一项所述的一种基于加密芯片的可信执行环境下增加文件加密密钥安全性的方法获取所述文件加密密钥密文，并利用所述文件加密密钥密文和所述文件加密密钥对所述文件进行加密得到加密文件；所述加密芯片用于生成并存储所述加密芯片密钥；所述密钥组成因子包括以下一种或多种：所述加密芯片密钥、硬件唯一密钥、可信执行环境固化字符串、主芯片序列号和可信应用通用唯一识别码；还包括用于存储所述加密文件的安全存储区，所述安全存储区的访问需要对应的存储权限。7.一种基于加密芯片的可信执行环境下加密文件的存储结构，其特征在于，所述加密...

【专利技术属性】
技术研发人员：刘永康，
申请(专利权)人：深圳市中易通安全芯科技有限公司，
类型：发明
国别省市：广东,44