【技术实现步骤摘要】
【国外来华专利技术】一种密钥处理方法及装置
本申请实施例涉及密钥处理
,更具体的说,涉及密钥处理方法及装置。
技术介绍
目前,在智能设备写入文件时,需要使用文件密钥对文件进行加密,再将加密后的文件存储至存储器内,以保证文件在智能设备内的安全性。在智能设备读取文件时,需要使用文件密钥对存储器中加密后的文件进行解密以得到文件。由于文件密钥的安全与否直接影响到智能设备内文件的安全性,所以文件密钥在智能设备中的安全性更加重要,下面简要介绍一下现有技术中文件密钥的生成方法。当前智能设备的系统主要包括普通运行环境和可信执行环境。在智能设备启动以后,可信执行环境的模块会对文件密钥的密文进行解密处理得到文件密钥,并将文件密钥发送给普通运行环境内的文件加密模块;然后,普通运行环境内的文件加密模块将文件密钥存储至内存中备用,以便于在智能设备需要写入文件或读取文件时,普通运行环境内的文件加密模块可以使用文件密钥对文件进行加密处理或解密处理。普通运行环境内运行着很多用户安装的第三方应用软件,如果黑客利用这些第三方应用软件非法破解普通运行环境内的文件加密模块,那么便可通过文件加密模块的接口窃取内存中的文件密钥,进而通过该文件密钥解密智能设备内的文件。因此,现有技术提供的技术方案无法保证文件密钥在智能设备内的安全性。
技术实现思路
本申请实施例提供一种密钥处理方法及装置,以保证文件密钥在智能设备内的安全性。本申请实施例是这样实现的:第一方面,本申请实施例提供了一种密钥处理方法,该方法包括:在可信执行环境中接收普通运行环境中 ...
【技术保护点】
一种密钥处理方法,其特征在于,所述方法包括:/n在可信执行环境中接收普通运行环境中的文件加密模块发送的初始密钥;/n在所述可信执行环境中对所述初始密钥进行解密处理得到文件密钥,所述文件密钥用于加密文件;/n在所述可信执行环境中将所述文件密钥存储至存储控制器的密钥寄存器中,所述普通运行环境中的文件加密模块被禁止访问所述密钥寄存器;/n在所述可信执行环境中获取所述密钥寄存器中所述文件密钥的密钥索引,所述密钥索引用于指示所述文件密钥在所述密钥寄存器中的存储位置;/n在所述可信执行环境中将所述密钥索引发送给所述普通运行环境中的文件加密模块。/n
【技术特征摘要】
【国外来华专利技术】一种密钥处理方法,其特征在于,所述方法包括:
在可信执行环境中接收普通运行环境中的文件加密模块发送的初始密钥;
在所述可信执行环境中对所述初始密钥进行解密处理得到文件密钥,所述文件密钥用于加密文件;
在所述可信执行环境中将所述文件密钥存储至存储控制器的密钥寄存器中,所述普通运行环境中的文件加密模块被禁止访问所述密钥寄存器;
在所述可信执行环境中获取所述密钥寄存器中所述文件密钥的密钥索引,所述密钥索引用于指示所述文件密钥在所述密钥寄存器中的存储位置;
在所述可信执行环境中将所述密钥索引发送给所述普通运行环境中的文件加密模块。
根据权利要求1所述的密钥处理方法,其特征在于,在所述可信执行环境中对初始密钥进行解密处理得到文件密钥包括:
在所述可信执行环境中利用第一派生密钥对所述初始密钥进行解密得到文件密钥。
根据权利要求2所述的密钥处理方法,其特征在于,在所述可信执行环境中利用第一派生密钥对所述初始密钥进行解密得到文件密钥之前,所述方法还包括:
在所述可信执行环境中获取个人识别密码的消息认证码;
在所述可信执行环境中获取私有密钥;
在所述可信执行环境中获取第一加密因子;
在所述可信执行环境中利用所述私有密钥和所述第一加密因子对所述消息认证码进行加密得到第一派生密钥。
根据权利要求2所述的密钥处理方法,其特征在于,在可信执行环境中利用第一派生密钥对初始密钥进行解密得到文件密钥之前,所述方法还包括:
在所述可信执行环境中获取第一加密因子;
在所述可信执行环境中获取私有密钥;
在所述可信执行环境中利用所述私有密钥对所述第一加密因子进行加密得到第一派生密钥。
根据权利要求1至4中任一项所述的密钥处理方法,其特征在于,在所述可信执行环境中将所述密钥索引发送给所述普通运行环境中的文件加密模块以后,所述方法还包括:
在所述普通运行环境中的所述文件加密模块接收所述文件的处理指令;
在所述普通运行环境中的所述文件加密模块响应于所述处理指令获取所述文件的密钥类型;
在所述普通运行环境中的所述文件加密模块获取所述密钥类型对应的所述密钥索引;
在所述普通运行环境中的所述文件加密模块获取初始向量,所述初始向量用于与所述文件密钥联合加密所述文件;
在所述普通运行环境中的所述文件加密模块根据所述密钥索引和所述初始向量生成基于所述文件的处理请求;
在所述普通运行环境中的所述文件加密模块向所述存储控制器发送所述处理请求。
根据权利要求5所述的密钥处理方法,其特征在于,在所述普通运行环境中的所述文件加密模块向所述存储控制器发送所述处理请求以后,所述方法还包括:
所述存储控制器接收所述普通运行环境中的文件加密模块发送的所述处理请求;
所述存储控制器响应于所述处理请求获取所述密钥寄存器中的所述密钥索引对应的文件密钥;
所述存储控制器利用所述文件密钥和所述初始向量对所述文件进行加密得到所述文件的密文,并将所述文件的密文存储到存储器中;
或者,所述存储控制器获取所述存储器中的所述文件的密文,利用所述文件密钥和所述初始向量对所述文件的密文进行解密得到所述文件。
根据权利要求5或6所述的密钥处理方法,其特征在于,在所述普通运行环境中的所述文件加密模块获取初始向量包括:
在所述普通运行环境中的所述文件加密模块获取存储器中初始向量的密文;
在所述普通运行环境中的所述文件加密模块获取元数据密钥;
在所述普通运行环境中的所述文件加密模块利用所述元数据密钥对所述初始向量的密文进行解密得到所述初始向量。
根据权利要求5或6所述的密钥处理方法,其特征在于,在所述普通运行环境中的所述文件加密模块获取初始向量后,所述方法还包括:
在所述普通运行环境中的所述文件加密模块获取元数据密钥;
在所述普通运行环境中的所述文件加密模块利用所述元数据密钥对所述初始向量进行加密得到所述初始向量的密文;
在所述普通运行环境中的所述文件加密模块将所述初始向量的密文存储至存储器中。
根据权利要求7或8所述的密钥处理方法,其特征在于,在所述普通运行环境中的所述文件加密模块获取元数据密钥前,所述方法还包括:
在所述可信执行环境中对所述初始密钥进行解密处理得到元数据密钥;
在所述可信执行环境中将所述元数据密钥发送给所述普通运行环境中的文件加密模块。
根据权利要求9所述的密钥处理方法,其特征在于,在所述可信执行环境中所述对初始密钥进行解密处理得到元数据密钥包括:
在所述可信执行环境中利用第二派生密钥对初始密钥进行解密得到元数据密钥。
根据权利要求10所述的密钥处理方法,其特征在于,在所述可信执行环境中利用第二派生密钥对初始密钥进行解密得到元数据密钥之前,所述方法还包括:
在所述可信执行环境中获取所述个人识别密码的消息认证码;
在所述可信执行环境中获取所述私有密钥;
在所述可信执行环境中获取第二加密因子;
在所述可信执行环境中利用所述私有密钥和所述第二加密因子对所述消息认证码进行加密得到第二派生密钥。
根据权利要求10所述的密钥处理方法,其特征在于,在所述可信执行环境中利用第二派生密钥对初始密钥进行解密得到元数据密钥之前,所述方法还包括:
在所述可信执行环境中获取第二加密因子;
在所述可信执行环境中获取所述私有密钥;
在所述可信执行环境中利用所述私有密钥对所述第二加密因子进行加密得到第二派生密钥。
一种密钥处理方法,其特征在于,所述方法包括:
存储控制器接收普通运行环境中的文件加密模块发送的基于文件的处理请求,所述处理请求包括密钥索引,所述密钥索引用于指示文件密钥在存储控制器中的密钥寄存器中的存储位置;
所述存储控制器获取所述密钥寄存器中的所述密钥索引对应的文件密钥,所述普通运行环境中的文件加密模块被禁止访问所述密钥寄存器;
所述存储控制器利用所述文件密钥对所述文件进行加密得到所述文件的密文,并将所述文件的密文存储到存储器中;
或者,所述存储控制器获取存储器中的所述文件的密文,利用所述文件密钥对所述文件的密文进行解密得到所述文件。
根据权利要求13所述的密钥处理方法,其特征在于,所述处理请求还包括初始向量;
所述存储控制器利用所述文件密钥对所述文件进行加密得到所述文件的密文包括:
所述存储控制器利用所述文件密钥和所述初始向量对所述文件进行加密得到所述文件的密文。
根据权利要求13所述的密钥处理方法,其特征在于,所述处理请求还包括初始向量;
所述存储控制器利用所述文件密钥对所述文件的密文进行解密得到所述文件包括:
所述存储控制器利用所述文件密钥和所述初始向量对所述文件的密文进行解密得到所述文件。
一种密钥处理装置,其特征在于,所述装置包括处理器和接口,所述接口与存储控制器和所述处理器连接;
所述处理器,用于运行软件指令以产生可信执行环境和普通运行环境并在所述普通运行环境中实现文件加密模块的功能,并进一步执行以下操作:
在所述可信执行环境中接收所述普通运行环境中的文件加密模块发送的初始密钥;在所述可信执行环境中对所述初始密钥进行解密处理得到文件密钥,所述文件密钥用于加密文件;在所述可信执行环境中通过所述接口将所述文件密钥存储至存储控制器的密钥寄存器中,所述普通运行环境中的文件加密模块被禁止访问所述密钥寄存器;在所述可信执行环境中通过所述接口获取所述密钥寄存器中所述文件密钥的密钥索引,所述密钥索引用于指示所述文件密钥在所述密钥寄存器中的存储位置;在所述可信执行环境中将所述密钥索引发送给所述普通运行环境中的文件加密模块。
根据权利要求16所述的密钥处理装置,其特征在于:
所述处理器,具体用于在所述可信执行环境中利用第一派生密钥对所述初始密钥进行解密得到文件密钥。
根据权利要求17所述的密钥处理装置,其特征在于:
所述处理器,还用于在所述可信执行环境中获取个人识别密码的消息认证码;在所述可信执行环境中获取私有密钥;在所述可信执行环境中获取第一加密因子;在所述可信执行环境中利用所述私有密钥和所述第一加密因子对所述消息认证码进行加密得到...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。