[发明专利]一种基于TrustZone数据安全性和完整性的存储系统及方法

权利要求书

1.一种基于TrustZone数据安全性和完整性的存储系统，其特征是：所述存储系统，包括具有TrustZone技术功能的ARM处理器、普通操作系统、安全操作系统、检验模块、编码模块、控制模块、解码模块和加密模块；普通操作系统、安全操作系统分别和具有TrustZone技术功能的ARM处理器相连，检验模块、编码模块分别和普通操作系统相连；控制模块、解码模块、加密模块分别和安全操作系统相连。

2.根据权利要求1的一种基于TrustZone数据安全性和完整性的存储系统，其特征是：所述普通操作系统是指具有TrustZone技术功能的ARM处理器提供的用来存储普通数据的系统；安全操作系统是指具有TrustZone技术功能的ARM处理器提供的用来存储敏感安全数据的系统；检验模块是用来校验数据完整性的模块；编码模块是对需要在安全操作系统中存储的数据进行编码的模块，但是编码数据存储于普通操作系统中；控制模块是利用TrustZone技术的监控模式将数据从普通操作系统传入安全操作系统中的模块；解码模块是对通过监控模式对传入安全操作系统的数据进行解码的模块，解码数据存储于安全操作系统中；加密模块是对解密后的数据进行加密处理，以保证数据的安全性的模块。

3.使用权利要求2所述基于TrustZone数据安全性和完整性的存储系统的方法，其特征是：

步骤一：普通操作系统的客户端发起存储数据的请求，传入待储存数据；

步骤二：将传入的数据与已有的规范数据进行对比，在检验模块进行完整性校验，看其是否符合规范，是否遭到破坏，如若不完整，则放弃存储，如若完整，则校验完毕之后将符合规范的数据进行安全权限判断；

步骤三：对需要进行安全权限判断的数据进行安全权限的判定，若没有安全权限，则存储在普通区域中，若具有安全权限则是需要传入安全操作系统的敏感数据；

步骤四：进一步对敏感数据在编码模块进行编码；

步骤五：通过指令跳转到监控模式，安全配置寄存器的NS位改为0，进入安全操作系统；

步骤六：安全操作系统对传过来的编码数据在解码模块进行解码；

步骤七：对解码数据在加密模块进行加密，将最终加密结果存储于安全操作系统所访问的安全内存区域中。

4.根据权利要求3的一种基于TrustZone数据安全性和完整性的存储方法，其特征是：

检验模块对于数据完整性校验的具体方法是：

步骤一：将已有的原始标准数据进行分块分区，给每部分写上标签，分别为一、二、三……；

步骤二：将每部分数据进行二进制转换，传入待存储数据；

步骤三：将待存储数据和原始数据进行同样的分区，也对每部分数据进行二进制转换；

步骤四：将待存储数据与原始标准数据的每部分进行逐位比对，若是出现不一样的值则返回False，将其进行修改或丢弃，若完全一样，则返回True，继续进行存储工作。