[发明专利]基于TrustZone的数据库文件口令加解密方法、装置及终端设备

权利要求书

1.一种基于TrustZone的数据库文件口令加密方法，其特征在于，包括：

接收口令创建请求，所述口令创建请求中包括：数据库文件的第一元数据及类密钥标识；

为所述数据库文件创建用于加密所述数据库文件的口令，并将所述第一元数据与所述口令合并为第二元数据；

查找存储的所述类密钥标识对应的类密钥；

通过普通执行环境与可信执行环境之间的客户接口，向所述可信执行环境中的可信应用程序发送数据加密请求，所述数据加密请求包括：所述类密钥及所述第二元数据；

所述可信应用程序根据预先存储于所述可信执行环境中的主密钥，对所述类密钥进行解密；

所述可信应用程序根据解密后的所述类密钥，对所述第二元数据进行加密；以及

所述可信应用程序通过所述客户接口，将加密后的所述第二元数据返回至所述普通执行环境中存储。

2.根据权利要求1所述的方法，其特征在于，所述类密钥标识与应用场景相对应；所述应用场景包括：终端设备启动成功后可以访问、终端设备启动成功后且合法登录后可以访问、终端设备启动成功且合法登录且用户界面解除锁定后可以访问、终端设备启动成功且合法登录且用户界面锁定时仅可以写入。

3.根据权利要求2所述的方法，其特征在于，还包括：

接收加密后的所述第二元数据；以及

将加密后的所述第二元数据与加密后的所述数据库文件合并为一个文件进行存储；

其中，所述数据库文件根据所述口令在所述可信执行环境中被加密。

4.根据权利要求2所述的方法，其特征在于，还包括：

通过所述客户接口，向所述可信应用程序发送各所述应用场景对应的类密钥；

所述可信应用程序根据所述主密钥对各所述应用场景对应的类密钥进行加密；以及

所述可信应用程序通过所述客户接口，将加密后的各所述应用场景对应的类密钥返回至所述普通执行环境中存储。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述客户接口采用强制访问控制权限管理机制。

6.一种适用于如权利要求1-5任一项所述的加密方法的数据库文件口令解密方法，其特征在于，包括：

接收数据库文件的元数据解密请求，所述元数据解密请求包括：所述数据库文件的待解密的元数据及类密钥标识，所述元数据包括：用于加密所述数据库文件的口令；

查找存储的所述类密钥标识对应的类密钥；

通过普通执行环境与可信执行环境之间的客户接口，向所述可信执行环境中的可信应用程序发送数据解密请求，所述数据解密请求包括：所述类密钥及所述待解密的元数据；

所述可信应用程序根据预先存储于所述可信执行环境中的主密钥，对所述类密钥进行解密；

所述可信应用程序根据解密后的所述类密钥，对所述元数据进行解密；以及

所述可信应用程序通过所述客户接口，将解密后的所述元数据返回至所述普通执行环境中。

7.根据权利要求6所述的方法，其特征在于，还包括：

接收所述普通执行环境中的客户应用程序发送的对所述数据库文件的操作请求；以及

根据所述操作请求，发送所述数据库文件的所述元数据解密请求。

8.根据权利要求7所述的方法，其特征在于，还包括：将解密后的所述数据库文件发送给所述客户应用程序；其中，所述数据库文件根据解密后的所述元数据中的所述口令在所述可信执行环境中被解密。