【技术实现步骤摘要】
支持TEE扩展的安全存储实现方法及系统
本专利技术涉及安全存储技术,具体涉及一种支持TEE扩展的安全存储实现方法及系统。
技术介绍
TEE(TrustedExecutionEnvironment)又称为可信执行环境,是同主机系统相隔离的安全区域,作为一个独立的环境与主机操作系统并行运行。TEE技术通过使用硬件和软件来保护数据和代码,从而确保安全区域中加载的代码和数据的机密性和完整性都得到保护,获得比传统REE(RichExecutionEnvironment)环境更强的安全性保证。在TEE中运行的受信任应用程序可以访问平台上主处理器和内存的全部功能,而硬件隔离保护这些组件不受主操作系统中运行的用户安装应用程序的影响。目前常见的TEE技术有TrustZone和SGX等。ARM公司提出了TrustZone扩展技术来创建TEE,通过将软件资源和硬件资源全部划分成可信区域和不可信区域,分别做为TEE和REE,以实现对敏感数据和应用的保护。TrustZone能保证安全态软件在加电时首先启动,并对后续加载的启动映像进行逐级验证。...
【技术保护点】
1.一种支持TEE扩展的安全存储实现方法,其特征在于实施步骤包括:/n1)获取RPMB分区的鉴权主密钥Key
【技术特征摘要】
1.一种支持TEE扩展的安全存储实现方法,其特征在于实施步骤包括:
1)获取RPMB分区的鉴权主密钥KeyRPMB;
2)基于鉴权主密钥KeyRPMB实现层级秘钥体制的加密存储:在可信执行环境TEE的内核层,利用指定的秘钥生成算法基于鉴权主密钥KeyRPMB生成生成一个根秘钥KeyR以用于内核层的加解密,且在可信执行环境TEE的生命周期中,根秘钥KeyR一直存在于安全内存和内核态地址空间;在可信执行环境TEE的应用层,针对每一个可信应用TA基于该可信应用TA的通用唯一识别码UUID、根秘钥KeyR生成该可信应用TA所独有的存储秘钥KeyA以用于属于该可信应用TA的文件存储加密和解密;在可信执行环境TEE的文件层,针对每一个文件基于所属可信应用TA的存储秘钥KeyA生成独立的秘钥KeyF以用于该文件的写入加密和读取解密。
2.根据权利要求1所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1)的详细步骤包括:
1.1)获取CPU的PUF函数电路的读取值;
1.2)将PUF函数电路的读取值、常规存储器中存储的辅助数据DataKA进行异或操作;
1.3)将异或操作结果进行指定的解码操作得到种秘钥KeyS;
1.4)将种秘钥KeyS通过指定的加密处理得到鉴权主密钥KeyRPMB。
3.根据权利要求2所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1.3)中指定的解码操作为BCH解码。
4.根据权利要求2所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1.4)中指定的加密处理具体是指利用安全规范中所定义的密钥导出函数KDF进行加密处理。...
【专利技术属性】
技术研发人员:董攀,朱浩,高珑,李小玲,丁滟,秦莹,马俊,黄辰林,谭郁松,廖湘科,吴庆波,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。