[发明专利]支持TEE扩展的安全存储实现方法及系统在审
| 申请号: | 202010251384.X | 申请日: | 2020-04-01 |
| 公开(公告)号: | CN111444553A | 公开(公告)日: | 2020-07-24 |
| 发明(设计)人: | 董攀;朱浩;高珑;李小玲;丁滟;秦莹;马俊;黄辰林;谭郁松;廖湘科;吴庆波 | 申请(专利权)人: | 中国人民解放军国防科技大学 |
| 主分类号: | G06F21/78 | 分类号: | G06F21/78;G06F21/57;G06F21/73;H04L9/08;H04L9/14;H04L9/32;H04L9/00 |
| 代理公司: | 湖南兆弘专利事务所(普通合伙) 43008 | 代理人: | 谭武艺 |
| 地址: | 410073 湖南*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 支持 tee 扩展 安全 存储 实现 方法 系统 | ||
1.一种支持TEE扩展的安全存储实现方法,其特征在于实施步骤包括:
1)获取RPMB分区的鉴权主密钥KeyRPMB;
2)基于鉴权主密钥KeyRPMB实现层级秘钥体制的加密存储:在可信执行环境TEE的内核层,利用指定的秘钥生成算法基于鉴权主密钥KeyRPMB生成生成一个根秘钥KeyR以用于内核层的加解密,且在可信执行环境TEE的生命周期中,根秘钥KeyR一直存在于安全内存和内核态地址空间;在可信执行环境TEE的应用层,针对每一个可信应用TA基于该可信应用TA的通用唯一识别码UUID、根秘钥KeyR生成该可信应用TA所独有的存储秘钥KeyA以用于属于该可信应用TA的文件存储加密和解密;在可信执行环境TEE的文件层,针对每一个文件基于所属可信应用TA的存储秘钥KeyA生成独立的秘钥KeyF以用于该文件的写入加密和读取解密。
2.根据权利要求1所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1)的详细步骤包括:
1.1)获取CPU的PUF函数电路的读取值;
1.2)将PUF函数电路的读取值、常规存储器中存储的辅助数据DataKA进行异或操作;
1.3)将异或操作结果进行指定的解码操作得到种秘钥KeyS;
1.4)将种秘钥KeyS通过指定的加密处理得到鉴权主密钥KeyRPMB。
3.根据权利要求2所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1.3)中指定的解码操作为BCH解码。
4.根据权利要求2所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1.4)中指定的加密处理具体是指利用安全规范中所定义的密钥导出函数KDF进行加密处理。
5.根据权利要求2所述的支持TEE扩展的安全存储实现方法,其特征在于,步骤1)之前还包括出厂时生成鉴权主密钥KeyRPMB的步骤:
S1)随机选择种秘钥KeyS;
S2)将种秘钥KeyS通过指定的加密处理得到鉴权主密钥KeyRPMB;并写入存储器RPMB分区的一次性密钥寄存器;
S3)将种秘钥KeyS进行指定的编码操作,且该指定的编码操作为步骤1.3)中指定的解码操作的逆操作;获取CPU的PUF函数电路的读取值,并将编码操作结果和PUF函数电路的读取值进行异或操作得到辅助数据DataKA,最后销毁种秘钥KeyS,并将辅助数据DataKA保存到设备的常规存储器中持久存储。
6.根据权利要求5所述的支持TEE扩展的安全存储实现方法,其特征在于,还包括更换常规存储器后执行步骤S1)~S3)以更新鉴权主密钥KeyRPMB的步骤。
7.一种支持TEE扩展的安全存储实现系统,其特征在于,该安全存储实现系统被编程或配置以执行权利要求1~6中任意一项所述支持TEE扩展的安全存储实现方法的步骤。
8.一种支持TEE扩展的安全存储实现系统,包括计算机设备,其特征在于,该计算机设备被编程或配置以执行权利要求1~6中任意一项所述支持TEE扩展的安全存储实现方法的步骤,或该计算机设备的存储器上存储有被编程或配置以执行权利要求1~6中任意一项所述支持TEE扩展的安全存储实现方法的计算机程序。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有被编程或配置以执行权利要求1~6中任意一项所述支持TEE扩展的安全存储实现方法的计算机程序。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军国防科技大学,未经中国人民解放军国防科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010251384.X/1.html,转载请声明来源钻瓜专利网。
