[发明专利]一种基于TrustZone数据安全性和完整性的存储系统及方法

说明书

本发明提供了一种基于TrustZone数据安全性和完整性的存储系统及方法，属于安全存储技术领域；本发明的存储系统包括普通存储区域和安全存储区域，普通存储区域存储不具安全权限的数据，安全存储区域存储敏感数据；存储方法是客户端发起数据存储的请求，先由普通存储区域判断数据的完整性从而决定是否存储，在具有完整性的基础上判断是否具有安全权限，若具有安全权限则对其进行编码传入到安全存储区域，再对其进行解码加密存储数据；该系统和方法可提高数据存储的完整性和安全性。

技术领域

本发明涉及安全存储技术领域，特别设计一种基于TrustZone数据安全性和完整性存储系统及方法。

背景技术

随着互联网移动终端的迅速发展，智能终端在人们生活中应用的越来越广泛，进而关于一些敏感数据的存储就成了大家关注的问题。现有的主流数据存储机制是：把一些重要的数据存放在本地，通过虚拟机对一些普通数据与敏感数据进行隔离存储。类似这样的一些数据存储机制是存在诸多缺陷的：首先，把重要的数据存放在本地，很容易被一些应用及外界窃取，不能保证其安全性；通过虚拟机对一些普通数据与敏感数据进行隔离存储的存储机制，不能保证敏感数据不被访问，普通应用仍能对其进行访问，不能保证敏感数据的安全隔离；最后，在存储数据之前没有对数据进行完整性校验，会导致存入一些违法的不符合规范的数据，降低效率。

中国专利CN 201410619453.2公开了一种安全数据存储方法及系统，适用于支持ARM TrustZone技术的处理器，且使用支持RPMB分区的eMMC作为存储介质方法包括：可信任应用程序，安全存储服务程序及其产生的安全数据对象被可信任执行环境保护；安全存储服务程序向可信任应用程序提供安全数据对象的建立和访问，并调用加解密模块对安全数据对象进行加密和解密处理，加密后的安全数据对象通过共享内存页面与非可信任实行环境中的eMMC RPMB驱动程序共享，非可信任实行环境中的eMMC RPMB驱动程序完成对eMMCRPMB分区的访问和存储；但是该系统和方法并不包括对于数据的完整性的校验。

中国专利CN201510586671.5公开了一种基于TrustZone技术的安全存储服务系统及方法，包括数据请求模块、普通应用程序、安全存储服务、可信应用程序；数据请求模块负责普通应用程序与可信应用程序间数据安全存储服务请求的封装与调用，为普通应用程序提供统一的数据存储、数据加载和数据销毁的服务请求接口；安全存储服务包括合法性检测模块、数据处理模块和秘钥管理模块。上述发明目的在于为支持TrustZone技术的终端设备上的应用程序提供统一的数据安全存储接口，既解决应用程序敏感数据的安全存储问题，又保证应用程序开发的便捷性，但是该系统及方法并不包括对于数据的完整性的判断。

发明内容

为了克服上述缺陷，本发明提出了一种基于TrustZone数据安全性和完整性的存储系统和方法，主要针对数据的完整性进行校验，采用如下的技术方案：

一种基于TrustZone数据安全性和完整性的存储系统，包括具有TrustZone技术功能的ARM处理器、普通操作系统、安全操作系统、检验模块、编码模块、控制模块、解码模块和加密模块；普通操作系统、安全操作系统分别和具有TrustZone技术功能的ARM处理器相连，检验模块、编码模块分别和普通操作系统相连；控制模块、解码模块、加密模块分别和安全操作系统相连。

普通操作系统是指具有TrustZone技术功能的ARM处理器提供的用来存储普通数据的系统；安全操作系统是指具有TrustZone技术功能的ARM处理器提供的用来存储敏感安全数据的系统；检验模块是用来校验数据完整性的模块；编码模块是对需要在安全操作系统中存储的数据进行编码的模块，但是编码数据存储于普通操作系统中；控制模块是利用TrustZone技术的监控模式将数据从普通操作系统传入安全操作系统中的模块；解码模块是对通过监控模式对传入安全操作系统的数据进行解码的模块，解码数据存储于安全操作系统中；加密模块是对解密后的数据进行加密处理，以保证数据的安全性的模块。