本申请公开了一种数据安全保护方法、装置及存储介质,属于数据安全领域。所述方法包括:通过TEE获取SOC的eFuse中存储的芯片相关信息;在TEE中基于芯片相关信息生成安全密钥;通过TEE获取REE中的目标数据;在TEE中采用安全密钥对目标数据进行加密,得到加密数据;通过TEE将加密数据存储在REE的数据存储空间中。由于每个设备的SOC的eFuse存储信息都是独一无二的,且eFuse存储信息只有在TEE中可以读取,TEE从软件和硬件上对读写操作进行了保护,攻击者无法获取eFuse信息和安全密钥,因此也就无法对REE的加密数据进行解密,从而保护了数据安全,避免了数据被窃取或篡改。
【技术实现步骤摘要】
数据安全保护方法、装置及存储介质
本申请涉及数据安全领域,特别涉及一种数据安全保护方法、装置及存储介质。
技术介绍
设备的CPU(CentralProcessingUnit,中央处理器)在运行时,CPU的执行环境一般分为REE(RichExecutionEnvironment,富执行环境)和TEE(TrustExecutionEnvironment,可信执行环境)。其中,REE和TEE在物理上是隔离的,REE和TEE各自运行独立的软件。REE一般用于运行Linux或Android等操作系统软件。TEE一般用于执行安全性要求相对较高的行为,如指纹识别或支付等。而且,REE和TEE可以共享内存,TEE可以访问REE的内存,但REE不能访问TEE的私有内存。由于TEE的执行环境安全性较高,因此TEE中的数据不易被窃取或篡改,但是REE的执行环境安全性相对较低,因此,为了保护REE的数据安全,防止数据被窃取或篡改,需要对REE的数据安全进行保护。
技术实现思路
本申请实施例提供了一种数据安全保护方法、装置及存储介质,可以用于解决相关技术中存在的数据安全较低的问题。所述技术方案如下:一方面,提供了一种数据安全保护方法,所述方法包括:通过可信执行环境TEE获取系统级芯片SOC的eFuse中存储的芯片相关信息;在所述TEE中基于所述芯片相关信息生成安全密钥;通过所述TEE获取富执行环境REE中的目标数据;在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据;通过所述TEE将所述加密数据存储在所述REE的数据存储空间中。可选地,所述在所述TEE中基于所述芯片相关信息生成安全密钥,包括:在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。可选地,所述在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥,包括:在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;其中,所述预设信息包括预设字符串、所述SOC的芯片标识或者所述数据存储空间的芯片标识。可选地,所述通过所述TEE将所述加密数据存储在所述REE的数据存储空间中之后,还包括:通过所述TEE获取所述REE中的所述加密数据;在所述TEE中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。可选地,所述在所述TEE中基于所述芯片相关信息生成安全密钥,包括:在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;通过所述TEE将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;所述在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据,包括:在所述TEE中,采用预设摘要算法提取所述目标数据的摘要,得到第一摘要;在所述TEE中,采用所述私钥对所述第一摘要进行加密,得到签名信息;将所述目标数据和所述签名信息,确定为所述加密数据。可选地,所述在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥,包括:在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,生成所述私钥和公钥;其中,所述预设信息包括预设字符串、所述SOC的芯片标识或者所述数据存储空间的芯片标识。可选地,所述通过所述TEE将所述加密数据存储在所述REE的数据存储空间中之后,还包括:通过所述REE获取所述数据存储空间中的加密数据;通过所述REE从所述数据存储空间中的指定分区中获取所述公钥;在所述REE中,采用所述公钥对所述加密数据中的数据进行安全校验。可选地,所述采用所述公钥对所述加密数据中的数据进行安全校验,包括:采用所述公钥对所述加密数据中的签名信息进行解密,得到所述第一摘要;在所述REE中,采用所述预设摘要算法提取所述加密数据中数据的摘要,得到第二摘要;若所述第一摘要与所述第二摘要相同,则确定所述加密数据中的数据通过安全校验。另一方面,提供了一种数据安全保护装置,所述装置包括:第一获取模块,用于通过可信执行环境TEE读取系统级芯片SOC的eFuse中存储的芯片相关信息;生成模块,用于在所述TEE中基于所述芯片相关信息生成安全密钥;第二获取模块,用于通过所述TEE获取富执行环境REE中的目标数据;加密模块,用于在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据;存储模块,用于通过所述TEE将所述加密数据存储在所述REE的数据存储空间中。可选地,所述生成模块用于:在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。可选地,所述生成模块用于:在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;其中,所述预设信息包括预设字符串、所述SOC的芯片标识或者所述数据存储空间的芯片标识。可选地,所述装置还包括:第三获取模块,用于通过所述TEE获取所述REE中的所述加密数据;第一解密模块,用于在所述TEE中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。可选地,所述生成模块用于:在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;通过所述TEE将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;所述加密模块用于:在所述TEE中,采用预设摘要算法提取所述目标数据的摘要,得到第一摘要;在所述TEE中,采用所述私钥对所述第一摘要进行加密,得到签名信息;将所述目标数据和所述签名信息,确定为所述加密数据。可选地,所述生成模块用于:在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,生成所述私钥和公钥;其中,所述预设信息包括预设字符串、所述SOC的芯片标识或者所述数据存储空间的芯片标识。可选地,所述装置还包括:第四获取模块,用于通过所述REE获取所述数据存储空间中的加密数据;第五获取模块,用于通过所述REE从所述数据存储空间中的指定分区中获取所述公钥;校验模块,用于在所述REE中,采用所述公钥对所述加密数据中的数据进行安全校验。可选地,所述校验模块用于:采用所述公钥对所述加密数据中的签名信息进行解密,得到所述第一摘要;在所述REE中,采用所述预设摘要算法提取所述加密数据中数据的摘要,得到第二摘要;若所述第一摘要与所述第二摘要相同,则确定所述加密数据中的数据通过安全校验。另一方面,提供了一种数据安全保护装置,所述本文档来自技高网...
【技术保护点】
1.一种数据安全保护方法,其特征在于,所述方法包括:/n通过可信执行环境TEE获取系统级芯片SOC的eFuse中存储的芯片相关信息;/n在所述TEE中基于所述芯片相关信息生成安全密钥;/n通过所述TEE获取富执行环境REE中的目标数据;/n在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据;/n通过所述TEE将所述加密数据存储在所述REE的数据存储空间中。/n
【技术特征摘要】
1.一种数据安全保护方法,其特征在于,所述方法包括:
通过可信执行环境TEE获取系统级芯片SOC的eFuse中存储的芯片相关信息;
在所述TEE中基于所述芯片相关信息生成安全密钥;
通过所述TEE获取富执行环境REE中的目标数据;
在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据;
通过所述TEE将所述加密数据存储在所述REE的数据存储空间中。
2.根据权利要求1所述的方法,其特征在于,所述在所述TEE中基于所述芯片相关信息生成安全密钥,包括:
在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥。
3.根据权利要求2所述的方法,其特征在于,所述在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息进行处理,得到所述安全密钥,包括:
在所述TEE中,采用对称性密钥生成算法对所述芯片相关信息和预设信息进行处理,得到所述安全密钥;
其中,所述预设信息包括预设字符串、所述SOC的芯片标识或者所述数据存储空间的芯片标识。
4.根据权利要求2或3所述的方法,其特征在于,所述通过所述TEE将所述加密数据存储在所述REE的数据存储空间中之后,还包括:
通过所述TEE获取所述REE中的所述加密数据;
在所述TEE中采用所述安全密钥对所述加密数据进行解密,得到所述目标数据。
5.根据权利要求1所述的方法,其特征在于,所述在所述TEE中基于所述芯片相关信息生成安全密钥,包括:
在所述TEE中,采用非对称性密钥生成算法对所述芯片相关信息进行处理,生成一对私钥和公钥;
通过所述TEE将所述公钥存储在所述数据存储空间中的指定分区中,所述指定分区是指具有安全特性的分区;
所述在所述TEE中采用所述安全密钥对所述目标数据进行加密,得到加密数据,包括...
【专利技术属性】
技术研发人员:王双优,姜超,初德进,
申请(专利权)人:海信视像科技股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。