【技术实现步骤摘要】
本申请涉及数据处理领域,并且更具体地,涉及一种数据存储方法和电子设备。
技术介绍
1、重放保护内存块(replay protected memory block,rpmb)通常是指存储器中一个单独的物理分区,常常用来存储密钥等敏感数据。其中,存储器可以包括通用文件存储器(universal flash storage,ufs),和嵌入式多媒体存储卡(embedded multi media card,emmc)。
2、随着终端技术的不断进步,多可信执行环境(trustedexecution environment,tee)架构成为了一种常见的架构。通常,rpmb需要使用安全密钥(secure key)对tee发送的待存储数据进行认证,并在认证通过的情况下存储待存储数据。secure key只能存储在一个tee中,在终端设备采用多tee框架的情况下,未存储secure key的tee需要通过调用存储有secure key的tee中的secure key,对数据进行认证计算得到第一认证数据,以使rpmb根据第一认证数据确定是否存储待存储数据。然而,未存储secure key的tee在调用securekey的过程中,可能出现安全密钥泄露的情况,存在安全隐患。
3、基于此,如何提高多tee框架中各tee向rpmb写入数据的安全性成为了一个亟待解决的问题。
技术实现思路
1、本申请提供了一种数据存储方法,能够提高多tee框架中各tee向rpmb写入数据的安全性。>
2、第一方面,提供了一种数据存储方法,该方法应用于电子设备中,电子设备包括至少两个可信执行环境tee和重放保护内存块rpmb,其中,rpmb中包括至少两个存储区域,至少两个存储区域中每个存储区域中存储的安全密钥不同,至少两个tee中的一个tee与至少两个存储区域中的一个存储区域一一对应,至少两个tee包括第一tee,第一tee中运行有第一可信应用程序ta,至少两个存储区域包括第一存储区域,第一tee与第一存储区域对应,第一tee与第一存储区域中存储第一安全密钥,第一安全密钥用于第一存储区域和第一ta对待存储数据进行认证计算,待存储数据是指向第一存储区域写入的数据,该方法包括:
3、第一ta向第一存储区域发送第一数据包,第一数据包中包括待存储数据和第一认证数据,第一认证数据为第一ta采用第一安全密钥对待存储数据进行认证计算后得到的数据;
4、第一存储区域基于第一安全密钥存储待存储数据。
5、应理解,存储设备支持multiple rpmb region的功能,不同的rpmb分区可以写入不同的安全密钥。对应的,不同的tee之中也可以存储不同的安全密钥。
6、本申请的实施例中,电子设备包括至少两个可信执行环境tee和重放保护内存块rpmb,rpmb中包括至少两个存储区域,至少两个存储区域中每个存储区域中存储的安全密钥不同,至少两个tee中的一个tee与至少两个存储区域中的一个存储区域一一对应,至少两个tee包括第一tee,第一tee中运行有第一可信应用程序ta,至少两个存储区域包括第一存储区域,第一tee与第一存储区域对应,其中,第一tee中存储第一安全密钥,第一存储区域中存着与第一tee中相同的第一安全密钥,第一ta采用第一安全密钥对待存储数据进行认证计算,得到第一认证数据,然后将根据待存储数据和第一认证数据得到的第一数据包发送给第一存储区域,第一存储区域基于相同的第一安全密钥存储待存储数据。这样使得第一tee在向与之对应的第一存储区域存储待存储数据时,采用的第一安全密钥是存储在第一tee的安全密钥,无需从其他tee中调用安全密钥,进而避免了从其他tee中调用安全密钥而可能出现的安全密钥泄露的情况,提高了多tee框架中向rpmb写入数据的安全性。同时,采用本申请实施例提供的数据存储方法,各个tee在向rpmb写入数据的过程中,无需相互调用安全密钥,减少了由于调用安全密钥导致的数据交互,简化了向rpmb写入数据的流程。进一步地,由于至少两个存储区域中每个存储区域中存储的安全密钥不同,因此即使第一tee再向rpmb分区写入数据时出现了误将数据发送给其他rpmb分区(即不是第一tee对应的rpmb分区),由于其他rpmb分区中存储的安全密钥与第一tee中存储的安全密钥不同,因此其他rpmb分区通过其上存储的安全密钥对写入数据进行校验会导致校验不通过,进而使得其他rpmb分区无法存储第一tee发送的数据,提高了向rpmb写入数据的针对性,并进一步地提高了rpmb的数据的安全性。
7、结合第一方面,在第一方面的某些实现方式中,电子设备还包括内核kernel,kernel包括hypervisor模块,第一ta向第一存储区域发送第一数据包,包括:
8、第一ta向hypervisor模块发送第一数据包;
9、hypervisor模块向第一存储区域发送第一数据包。
10、应理解,hypervisor模块具有访问电子设备器上包括磁盘和内存在内的所有物理设备的功能。服务器启动后,hypervisor模块会加载所有虚拟机客户端的操作系统(包括tee-0、tee-1和存储设备),为虚拟机分配内存、磁盘和网络。这样使得hypervisor模块可以为第一tee和存储设备直接分配数据接口,使得tee-0和存储设备之间、tee-1和存储设备之间可以传输数据。
11、结合第一方面,在第一方面的某些实现方式中,第一数据包中包括第一参数,第一参数用于指示第一存储区域;hypervisor模块向第一存储区域发送第一数据包,包括:
12、hypervisor模块基于第一参数确定第一存储区域;
13、hypervisor模块向第一存储区域发送第一数据包。
14、其中,第一参数可以是指security protocol specific参数,security protocolspecific参数用于指示第一数据包发送到的rpmb分区的标识。
15、本申请的实施例中,电子设备包括至少两个可信执行环境tee和重放保护内存块rpmb,至少两个tee中的一个tee与rpmb中的一个存储区域一一对应,至少两个tee包括第一tee,第一tee中运行有第一可信应用程序ta,rpmb包括第一存储区域,第一tee与第一存储区域对应,其中,第一tee中存储第一安全密钥,第一存储区域中存着与第一tee中相同的第一安全密钥,第一ta采用第一安全密钥对待存储数据进行认证计算,得到第一认证数据,然后将根据待存储数据、第一参数和第一认证数据得到的第一数据包发送给hypervisor模块,hypervisor模块基于第一参数确定第一数据包的接收对象是第一存储区域,然后向第一存储区域发送第一数据包,第一存储区域基于相同的第一安全密钥存储待存储数据。这样使得hypervisor模块能够准确地将第一数据包发送给第一存储对象,在采用独立的安全密钥对写入第一存储区域本文档来自技高网...
【技术保护点】
1.一种数据存储方法,其特征在于,所述方法应用于电子设备,所述电子设备包括至少两个可信执行环境TEE和重放保护内存块RPMB,其中,所述RPMB中包括至少两个存储区域,所述至少两个存储区域中每个存储区域中存储的安全密钥不同,所述至少两个TEE中的一个TEE与所述至少两个存储区域中的一个存储区域一一对应,所述至少两个TEE包括第一TEE,所述第一TEE中运行有第一可信应用程序TA,所述至少两个存储区域包括第一存储区域,所述第一TEE与所述第一存储区域对应,所述第一TEE与所述第一存储区域中存储第一安全密钥,所述第一安全密钥用于所述第一存储区域和所述第一TA对待存储数据进行认证计算,所述待存储数据是指向所述第一存储区域写入的数据,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述电子设备还包括内核Kernel,所述Kernel包括Hypervisor模块,所述第一TA向所述第一存储区域发送第一数据包,包括:
3.根据权利要求2所述的方法,其特征在于,所述第一数据包中包括第一参数,所述第一参数用于指示所述第一存储区域;所述Hypervisor模块向所
4.根据权利要求3所述的方法,其特征在于,所述Kernel还包括ATF模块,所述第一TA向Hypervisor模块发送所述第一数据包,包括:
5.根据权利要求2至4任一项所述的方法,其特征在于,所述电子设备还包括富执行环境REE,所述REE中运行第一TEE RPMB驱动模块,所述Hypervisor模块向所述第一存储区域发送所述第一数据包,包括:
6.根据权利要求5所述的方法,其特征在于,所述Kernel还包括存储设备驱动模块,所述第一TEE RPMB驱动模块向所述第一存储区域发送所述第一数据包,包括:
7.根据权利要求5或6所述的方法,其特征在于,所述Kernel中包括第一TEE tz驱动模块,所述Hypervisor模块向所述第一TEE RPMB驱动模块发送所述第一数据包,包括:
8.根据权利要求1至7任一项所述的方法,其特征在于,所述第一存储区域基于所述第一安全密钥存储所述待存储数据,包括:
9.根据权利要求1至8任一项所述的方法,其特征在于,所述电子设备还包括富执行环境REE和第一器件,所述REE中运行第一客户端应用程序CA,所述方法还包括:
10.根据权利要求9所述的方法,其特征在于,所述第一器件包括指纹传感器。
11.根据权利要求9所述的方法,其特征在于,所述第一器件包括摄像头。
12.根据权利要求2所述的方法,其特征在于,所述第一TA包括人脸TA和第一RPMB服务模块,所述第一RPMB服务模块中存储所述第一安全密钥,所述待存储数据为人脸识别数据,所述第一TA向Hypervisor模块发送所述第一数据包,包括:
13.根据权利要求12所述的方法,其特征在于,所述电子设备还包括富执行环境REE和所述摄像头,所述REE中运行人脸客户端应用程序CA,所述人脸TA指示摄像头采集人脸识别数据之前,所述方法还包括:
14.根据权利要求2所述的方法,其特征在于,所述第一TA包括指纹TA和第二RPMB服务模块,所述第二RPMB服务模块中存储所述第一安全密钥,所述待存储数据为指纹数据,所述第一TA向Hypervisor模块发送所述第一数据包,包括:
15.根据权利要求14所述的方法,其特征在于,所述电子设备还包括富执行环境REE和所述指纹传感器,所述REE中运行指纹客户端应用程序CA,所述指纹TA指示指纹传感器采集指纹数据之前,所述方法还包括:
16.根据权利要求14所述的方法,其特征在于,所述Kernel还包括ATF模块,所述第二RPMB服务模块向所述Hypervisor模块发送所述第一数据包,包括:
17.根据权利要求1至16中任一项所述的方法,其特征在于,所述认证计算包括哈希HMAC计算。
18.一种芯片,其特征在于,包括处理器,当所述处理器执行指令时,所述处理器执行如权利要求1至17中任一项所述的方法。
19.一种电子设备,其特征在于,所述电子设备包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令,并根据所述指令使得所述电子设备执行如权利要求1至17中任一项所述的方法。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储了计算机程序,当所述计算机程序被处理器执行时,使得处理器执行权利要求1至17中任一项所述的方法。
...【技术特征摘要】
1.一种数据存储方法,其特征在于,所述方法应用于电子设备,所述电子设备包括至少两个可信执行环境tee和重放保护内存块rpmb,其中,所述rpmb中包括至少两个存储区域,所述至少两个存储区域中每个存储区域中存储的安全密钥不同,所述至少两个tee中的一个tee与所述至少两个存储区域中的一个存储区域一一对应,所述至少两个tee包括第一tee,所述第一tee中运行有第一可信应用程序ta,所述至少两个存储区域包括第一存储区域,所述第一tee与所述第一存储区域对应,所述第一tee与所述第一存储区域中存储第一安全密钥,所述第一安全密钥用于所述第一存储区域和所述第一ta对待存储数据进行认证计算,所述待存储数据是指向所述第一存储区域写入的数据,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述电子设备还包括内核kernel,所述kernel包括hypervisor模块,所述第一ta向所述第一存储区域发送第一数据包,包括:
3.根据权利要求2所述的方法,其特征在于,所述第一数据包中包括第一参数,所述第一参数用于指示所述第一存储区域;所述hypervisor模块向所述第一存储区域发送所述第一数据包,包括:
4.根据权利要求3所述的方法,其特征在于,所述kernel还包括atf模块,所述第一ta向hypervisor模块发送所述第一数据包,包括:
5.根据权利要求2至4任一项所述的方法,其特征在于,所述电子设备还包括富执行环境ree,所述ree中运行第一tee rpmb驱动模块,所述hypervisor模块向所述第一存储区域发送所述第一数据包,包括:
6.根据权利要求5所述的方法,其特征在于,所述kernel还包括存储设备驱动模块,所述第一tee rpmb驱动模块向所述第一存储区域发送所述第一数据包,包括:
7.根据权利要求5或6所述的方法,其特征在于,所述kernel中包括第一tee tz驱动模块,所述hypervisor模块向所述第一tee rpmb驱动模块发送所述第一数据包,包括:
8.根据权利要求1至7任一项所述的方法,其特征在于,所述第一存储区域基于所述第一安全密钥存储所述待存储数据,包括:
9.根据权利要求1至8任一项所述的方法,其特征在...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。