[发明专利]一种数据安全存储方法及装置

说明书

技术领域

本发明涉及领域电子技术领域，尤其涉及一种数据安全存储方法及装置。

背景技术

移动终端信息的安全性越来越成为用户的强诉求，就此目前移动终端行业出现了多种多样的安全解决方案，包括软件的、硬件的、软硬件结合的解决方案，在一定程度上保护了移动终端的数据安全。

目前业界主流的SE安全芯片的应用主要集中在NFC的卡模拟应用上，如公交卡，银行卡，门禁卡业务。由于其在支付领域的应用，使得SE的安全等级都非常的高，能将如此高安全等级的硬件加密芯片投入移动终端安全应用使用上，是一个非常不错的选择。然而由于安全等级比较高，相关安全要求的限制，决定了内存空间扩展的难度。因此，如果能够解决SE安全芯片硬件存储空间不足的问题，势必在移动终端领域得到广泛应用，保证移动终端的数据安全。

发明内容

本发明的主要目的在于提出一种数据安全存储方法及装置，旨在解决现有技术中SE安全芯片硬件存储空间不足的问题。

为实现上述发明目的，本发明采用下述的技术方案：

依据本发明的一个方面，提供一种数据安全存储装置，包括：

配置单元，用于配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；

第一确定单元，用于在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

第二确定单元，用于根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

可选的，所述配置单元，具体用于：

获取设定的应用或者数据名称；

根据所述应用或者数据名称提取所要存储的安全数据；

设置所述安全数据所需的安全等级以及生命周期。

可选的，所述第一确定单元，具体用于；

判断所述数据大小与硬件加密芯片的存储空间的大小；

当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；

当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。

可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；

所述第二确定单元，具体用于：

当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；

当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。

可选的，所述动态管理单元，用于：

实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；

当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。

依据本发明的一个方面，提供一种数据安全存储方法，包括：

配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；

在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

可选的，所述配置安全数据的属性信息，具体包括：

获取设定的应用或者数据名称；

根据所述应用或者数据名称提取所要存储的安全数据；

设置所述安全数据所需的安全等级以及生命周期。

可选的，所述根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

判断所述数据大小与硬件加密芯片的存储空间的大小；

当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；

当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。

可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；