[发明专利]一种Android环境密钥分段处理方法及装置

说明书

本申请公开一种Android环境密钥分段处理方法及装置。所述处理方法包括密钥存储和密钥提取：密钥存储包括将初始密钥输入白盒密钥模块生成目标存储密钥；根据设备唯一标识生成密钥运算因子；根据目标存储密钥和密钥运算因子生成待分段密钥，执行分段操作，将分段子密钥存储至对应的so库；密钥提取包括从so库中获取分段子密钥并组装成密文；使用密钥运算因子对组装密文解密，将解密结果分解为密钥和密钥哈希值；若计算密钥的哈希值与分解的密钥哈希值一致，则将密钥输入白盒密钥模块解密得到初始密钥，密钥提取成功。本申请采用多so库分段存储密钥的策略来保护密钥数据，适用于所有的Android系统设备，利于安全应用的推广。

技术领域

本申请涉及密钥存储技术领域，尤其涉及一种Android环境密钥分段处理方法及装置。

背景技术

对于android手机系统来说，目前手机里存储密钥都是通过TEE和SE来完成，TA作为TEE的应用，密钥数据都在TA中存储，位于TEE中，而TEE隔离于REE(比如android系统)，多个TA并行于TEE中，互不干扰，相互隔离。这就保证了TA存储的密钥及中间过程生成的数据的安全。SE需要手机内安全硬件的支持，密钥可以存储在SE的applet中。

对于Android系统来说，虽然当前手机厂商推出的主流手机都包含有TEE系统和SE，可以运行TA应用及安装applet，但是在三四线城市及偏远地区的手机比较低端，大部分手机在千元以下，因为成本问题，不包含TEE环境及SE，无法存储密钥，在涉及手机安全应用方向，受限手机型号，无法大面积推广。

另外，对于Android系统来说，因为手机品牌不同，采用的CPU芯片型号也不一样，所以使用的TEE系统及SE也不一样，比如华为使用自己的TEE环境，而高通也有自己的TEE环境，同样的TA应用无法同时适配华为麒麟芯片和高通芯片的手机，手机安全应用受限手机品牌及手机芯片，开发成本高且无法大面积推广。

发明内容

本申请提供了一种Android环境密钥分段处理方法，包括：

将初始密钥输入白盒密钥模块生成目标存储密钥；

根据当前设备的设备唯一标识生成密钥运算因子；

根据目标存储密钥和密钥运算因子生成待分段密钥；

对待分段密钥执行分段操作，将得到的分段子密钥分别存储至对应的so库中。

如上所述的Android环境密钥分段处理方法，其中，根据当前设备的设备唯一标识生成密钥运算因子，具体包括如下子步骤：

由于每台设备都有唯一的标识，且唯一标识的最后半字节均不相同，保证起始位置的随机数，因此根据当前设备的设备唯一标识，将设备唯一标识的最后半字节的值作为起始位置读取到最后一个字节；

对读取的数据做哈希运算，截取哈希运算结果前预设长度的数据作为第一数据；

生成预设长度的随机数作为第二数据，将第一数据和第二数据进行异或操作，再对异或结果做哈希运算后截取哈希运算结果前预设长度的数据作为密钥运算因子。

如上所述的Android环境密钥分段处理方法，其中，根据目标存储密钥和密钥运算因子生成待分段密钥，具体包括如下子步骤：

对目标存储密钥作哈希运算后得到哈希值；

将目标存储密钥及其哈希值进行拼接，再使用密钥运算因子对拼接值作加密运算得到待分段密钥；采用目标存储密钥与哈希值拼接的方式方便验证目标存储密钥是否被篡改且验证是否合法。

如上所述的Android环境密钥分段处理方法，其中，对待分段密钥执行分段操作，将得到的分段子密钥分别存储至对应的so库中，具体包括如下子步骤：

按照so库数量将待分段密钥进行分段；