CN106529308B - 一种数据加密方法、装置及移动终端 - Google Patents
一种数据加密方法、装置及移动终端 Download PDFInfo
- Publication number
- CN106529308B CN106529308B CN201510574150.8A CN201510574150A CN106529308B CN 106529308 B CN106529308 B CN 106529308B CN 201510574150 A CN201510574150 A CN 201510574150A CN 106529308 B CN106529308 B CN 106529308B
- Authority
- CN
- China
- Prior art keywords
- encryption
- disk
- ciphertext
- key
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种数据加密方法,包括:接收用户输入的加密信息,根据所述加密信息,确定加密密文;生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;通过所述磁盘秘钥,对进入存储设备的数据进行加密。本发明还提供了一种数据加密装置及一种移动终端。
Description
技术领域
本发明涉及数据加密技术,尤其涉及一种高级别数据加密方法、装置及移动终端。
背景技术
随着智能移动终端的普及,移动终端的存储设备上上存储了越来越多的私人数据,如账户信息、联系人信息、照片等。一旦移动终端因丢失或被盗被其他人获得,会给用户造成较大损失。因此,在移动终端广泛使用的今天,对移动终端中存储的数据进行加密变得非常必要。
现有的移动终端数据加密方法一定程度上能够保护移动终端上的私人数据,但同时也都存在一定的漏洞和缺点:如,1)数据磁盘秘钥仍然保存在被加密文件的分区,因而容易被获取破解,导致数据不够安全;2)数据加密过程中需要将加密数据需要先搬运至内存然后由加密引擎读取进行加密,加密后再写回内存,最后将加密数据写到存储设备,过程繁琐效率低下,速度慢效率低。
可见,现有的数据加密方法不仅安全性不够高,而且加密效率较低,影响了用户体验,增加系统功耗。
发明内容
有鉴于此,本发明实施例期望提供一种数据加密方法、装置及移动终端,能够提高数据加密的效率和安全性。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种数据加密方法,所述方法包括:
接收用户输入的加密信息,根据所述加密信息,确定加密密文;
生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
通过所述磁盘秘钥,对进入存储设备的数据进行加密。
上述方案中,所述根据加密信息确定加密密文包括:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文。
上述方案中,所述生成磁盘秘钥包括:根据HUK值派生磁盘秘钥。
上述方案中,所述方法还包括:
存储所述加密密文以及所述加密后的秘钥。
上述方案中,所述方法还包括:
接收用户输入的解密信息,根据所述解密信息,确定解密密文;
当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;
通过所述磁盘秘钥,对取出存储设备的数据进行解密。
上述方案中,所述根据解密信息确定解密密文包括:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
上述方案中,所述方法还包括:相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。
本发明实施例还提供了一种数据加密装置,所述装置包括:秘钥管理模块、加密引擎模块,其中,
所述秘钥管理模块,用于接接收用户输入的加密信息,根据所述加密信息,确定加密密文;生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
所述加密引擎模块,用于通过所述磁盘秘钥,对进入存储设备的数据进行加密。
上述方案中,所述秘钥管理模块具体用于:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文。
上述方案中,所述秘钥管理模块具体用于:根据HUK值派生磁盘秘钥。
上述方案中,所述装置还包括安全存储模块,用于存储所述加密密文以及所述加密后的秘钥。
上述方案中,所述秘钥管理模块还用于:接收用户输入的解密信息,根据所述解密信息,确定解密密文;
当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;
所述加密引擎模块,还用于通过所述磁盘秘钥,对取出存储设备的数据进行解密。
上述方案中,所述秘钥管理模块具体用于:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
上述方案中,所述秘钥管理模块具体用于:相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。
本发明实施例还提供了一种移动终端,所述移动终端包括上述数据加密装置。
本发明实施例所提供的数据加密方法,包括:接收用户输入的加密信息,根据所述加密信息,确定加密密文;生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;通过所述磁盘秘钥,对进入存储设备的数据进行加密。如此,无需将被加密数据反复在内存和存储设备之间反复搬运,能够直接对经由存储器通道的数据进行加密,大大简化了加密流程和步骤,同时提高了效率降低系统功耗。同时,磁盘秘钥生成和加密过程与使用过程分离,从而提高了整个终端设备数据的安全性。
附图说明
图1为本发明实施例一数据加密方法流程示意图;
图2为本发明实施例二数据加密方法流程示意图;
图3为本发明实施例三数据加密方法流程示意图;
图4为本发明实施例数据解密方法流程示意图;
图5为本发明实施例数据加密装置结构示意图。
具体实施方式
本发明实施例中,先接收用户输入的加密信息,根据所述加密信息,确定加密密文;再根据所述加密密文,对磁盘秘钥进行加密;之后通过所述磁盘秘钥,对进入存储设备的数据进行加密。其中,所述进入存储设备的数据为经过存储设备和系统总线之间的、进入存储设备的数据。
本发明实施例所述数据加密方法涉及可信执行环境(TEE,Trusted ExecutionEnvironment)和常规操作系统环境(REE,Rich Execution Environment)(如Android等),其中,确定加密密文以及生成磁盘秘钥、对磁盘密钥进行加密的过程在TEE中执行,对进入存储设备的数据进行加密的过程在REE中执行。从而实现对经过存储设备和系统总线之间的、进入存储设备的数据进行加密。对数据进行加密的秘钥来源于TEE系统,由TEE为其提供秘钥保存管理。
本发明实施例中,TEE系统可基于TrustZone技术构建,与设备上的主OS(如Android中的REE)是平行关系。TEE和主OS(如REE)是两个隔离的环境,两者通过规范好的固定接口进行通信,REE环境及其上运行的应用程序无法访问触及到TEE环境的资源,TEE上仅运行安全可信的程序,从而确保了TEE环境的安全可靠性同时也可防止恶意软件的攻击。
相对于传统的数据加密方法,无需将被加密数据反复在内存和存储设备之间反复搬运,能够直接对经由存储器通道的数据进行加密,加密过程不需要CPU参与,大大简化了加密流程和步骤,同时提高了效率降低系统功耗。同时,磁盘秘钥生成和保存在安全环境TEE中,REE及第三方应用无法触及到,安全性大大提高,从而提高了整个终端设备数据的安全性。
下面结合附图及具体实施例,对本发明技术方案的实施作进一步的详细描述。图1为本发明实施例一数据加密方法流程示意图,如图1所示,本实施例数据加密方法包括以下步骤:
步骤101:接收用户输入的加密信息,根据所述加密信息,确定加密密文;
其中,所述根据所述加密信息,确定加密密文包括:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文;并将所述加密密文进行存储;
其中,所述用户输入的加密信息即用户输入的密码信息,具体的,在用户设置用户密码的过程中,首先接收用户输入的加密信息,即用户设置的密码,然后在接收到的用户输入的加密信息中加入随机盐值进行混淆,随机盐值的长度可以和HASH的输出数据长度一样长。这里,相同的加密信息加入相同的盐值,不同的加密信息加入不同盐值,确保使用非固定盐值。在用户用输入的加密信息中加入盐值后经HASH算法(如SHA、MD5等)加密生成加密密文,所述加密密文即为即HASH值。所述加密密文用来对磁盘秘钥进行加密及后续解密过程中对用户输入的解密信息进行验证,然后将所述加密密文进行存储,而用户输入的加密信息不进行保存。这样即使不法用户获得系统中HASH值其反向破解难度也是极大的。
步骤102:生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
本发明实施例中,所述生成磁盘秘钥包括:根据HUK(Hardware Unique Key)值派生磁盘秘钥;其中,所述磁盘秘钥用于对数据进行加密和解密。HUK值为硬件设备的可信根,作为每个硬件设备独一无二的标识,在芯片工厂阶段被烧写进非易失性存储器中。
本发明实施例中,所述方法还包括:存储所述加密后的密文。
本发明实施例中,根据设备本身的HUK值派生出磁盘秘钥,从而可确保每台设备磁盘秘钥的独一无二性,并利用上述密文对所述磁盘秘钥进行加密然后进行保存。
步骤103:通过所述磁盘秘钥,对进入存储设备的数据进行加密。
本发明实施例中,获取TEE环境中生成的秘钥,直接对REE环境中的、经过存储设备和系统总线之间的、进入存储设备的数据进行实时加解密,无需再将数据其搬运至内存。在进行加密的过程中其可以将秘钥信息存储在REE环境中的秘钥寄存器中。
本发明实施例中,当用户需要对加密后的数据进行解密时,所述方法还包括:接收用户输入的解密信息,根据所述解密信息,确定解密密文;判断所述解密密文是否与存储的加密密文相同,当所述解密密文与存储的加密密文不相同时,解密失败,提示用户密码错误;当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;通过所述磁盘秘钥,对取出存储设备的数据进行解密。
其中,所述根据解密信息确定解密密文包括:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
在生成加密密文和解密密文的过程中,相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。这样使用非固定盐值进一步增加暴力破解难度。
具体的,当用户用需要对数据进行解密时,接收用户输入的解密信息,即用户输入的密码,将接收到的用户输入的解密信息使用相应的盐值对其进行混淆,同时使用和加密过程相同的HASH算法对其加密得到解密密文,其中,所述解密密文即为HASH值,然后判断所述解密密文(HASH值)与系统中保存的加密密文(HASH值)是否相同,当所述解密密文与存储的加密密文不相同时,解密失败,提示用户密码错误;当所述解密密文与系统中保存的加密密文相同时,认为验证通过,通过所述解密密文对磁盘秘钥解密获取磁盘秘钥,从而实现对用户密码进行验证。
在数据加密的过程中,用户输入的加密信息为用户设置的加密密码;在数据解密的过程中,用户输入的解密信息为用户输入的解密密码。
图2为本发明实施例二数据加密方法流程示意图,如图2所示,本发明实施例二所述数据加密方法为用户在终端上首次开启磁盘加密功能的过程,TEE环境中包括用户密码设置、秘钥派生等步骤,所述数据加密方法首先要求用户设置加密信息,然后根据用户输入的加密信息和随机盐值加密得到加密密文,利用该密文对由设备HUK值派生出的磁盘秘钥进行加密,并保存加密后的秘钥,同时保存所述加密密文。然后REE侧获取所述磁盘秘钥,并根据所述磁盘秘钥对磁盘数据进行加密。具体的,本发明实施例二所述数据加密方法包括以下步骤:
步骤201:用户在开启磁盘加密功能;
其中,用户可以在“设置”选项中开启磁盘加密功能;
步骤202:提用户设置密码;
其中,可以通过界面弹出密码框的方式提升用户设置密码;
步骤203:接收用户输入的密码,对用户密码加入随机盐值,并进行HASH运算得到HASH值;
其中,所述HASH值即为加密密文。
步骤204:保存所述HASH值;
步骤205:通过所述HASH值对磁盘秘钥进行加密;
步骤206:保存所述加密后的秘钥;
步骤207:通知REE环境对数据进行加密;
步骤208:通过固定接口从TEE环境获取磁盘秘钥,对进入存储设备的数据进行加密。
图3为本发明实施例三数据加密方法流程示意图,如图3所示,本发明实施例三所述数据加密方法为写磁盘数据的实时加密的过程。REE在获取磁盘秘钥后会将其保存到秘钥寄存器中供后续数据加解密。在进行在正常使用过程中,会实时对磁盘写入数据进行加密,通过直接对经过存储设备和系统总线之间的、进入存储设备的磁盘数据进行加密,减少了数据往复搬运内存的过程,提高了加密速度和效率;具体的,本发明实施例三所述数据加密方法包括以下步骤:
步骤301:CPU对磁盘数据进行写操作;
步骤302:REE通过固定接口从TEE获取磁盘秘钥,并保存到自身的秘钥寄存器中;所述磁盘秘钥用于后续加密过程;
步骤303:通过所述磁盘秘钥对经过存储设备和系统总线之间的、要写入存储设备的磁盘数据要进行加密。
步骤304:将加密后数据发送给存储设备进行存储。
图4为本发明实施例数据解密方法流程示意图,如图4所示,本发明实施例所述数据解密方法为读磁盘数据的实时解密的过程。REE在获取磁盘秘钥后会将其保存到秘钥寄存器中供后续数据加解密。在进行在正常使用过程中,会实时对磁盘读出数据进行解密,通过直接对经过存储设备和系统总线之间的、读出存储设备的磁盘数据进行解密,减少了数据往复搬运内存的过程,提高了解密速度和效率;具体的,本发明实施例四所述数据解密方法包括以下步骤:
步骤401:CPU对磁盘数据进行读操作;
步骤402:REE通过固定接口从TEE获取磁盘秘钥,并保存到自身的秘钥寄存器中;所述磁盘秘钥用于后续解密过程;
步骤403:通过所述磁盘秘钥对经过存储设备和系统总线之间的、要读出存储设备的磁盘数据要进行解密。
步骤404:将解密后数据发送给CPU。系统总线
本发明实施例还提供了一种数据加密装置,图5为本发明实施例数据加密装置结构示意图,如图5所示,所述装置包括:秘钥管理模块51、加密引擎模块52,其中,所述装置涉及TEE和REE,秘钥管理模块51位于TEE中,对加密引擎模块52位于REE中。TEE中的秘钥管理模块51具有秘钥派生,秘钥加密解密,解密信息验证等功能;REE中的加密引擎模块52采用In-Line的架构方式,即在现有的智能移动终端硬件方案架构中将加密引擎模块52内置于存储设备和系统总线之间,为存储管理器独立拥有。对进出存储设备的数据进行实时加密和解密,无需再将进行加密和解密的数据搬运到内存,如图5所示,所述加密引擎模块52和秘钥管理模块51直接连接通信,从秘钥管理模块51获取密钥信息,在正常工作过程中,所述加密引擎模块52可以将秘钥信息存储在自己的秘钥寄存器中。加密引擎模块52所使用的秘钥受控于TEE系统,由TEE为其提供秘钥保存管理等。
所述秘钥管理模块51,用于接接收用户输入的加密信息,根据所述加密信息,确定加密密文;
其中,所述秘钥管理模块具体用于:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文。
所述装置还包括安全存储模块53,用于存储所述加密密文以及所述加密后的秘钥。
本发明实施例中,所述安全存储模块53位于TEE环境中。用于对磁盘秘钥、HUK值等敏感信息进行保存。所述安全存储模块53的接口直接连接秘钥管理模块51,仅能被秘钥管理模块51读取。HUK值为硬件设备的可信根,作为每个硬件设备独一无二的标识,在芯片工厂阶段被烧写进非易失性存储器中。
其中,所述用户输入的加密信息即用户输入的密码信息,具体的,在用户设置密码的用户密码的过程中,所述秘钥管理模块51首先接收用户输入的加密信息,即用户设置的密码,然后在接收到的用户输入的加密信息中加入随机盐值进行混淆,随机盐值的长度可以和HASH的输出数据长度一样长。这里,所述秘钥管理模块51在相同的加密信息加入相同的盐值,不同的加密信息加入不同盐值,确保使用非固定盐值。在用户用输入的加密信息中加入盐值后经HASH算法(如SHA、MD5等)加密生成加密密文,所述加密密文即为即HASH值。所述加密密文用来对磁盘秘钥进行加密及后续解密过程中对用户输入的解密信息进行验证,然后将所述加密密文进行存储,而用户输入的加密信息不进行保存。这样即使不法用户获得系统中HASH值其反向破解难度也是极大的。
所述秘钥管理模块51,还用于生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
其中,所述秘钥管理模块51具体用于:根据HUK值派生磁盘秘钥。其中,所述磁盘秘钥用于对数据进行加密和解密。
所述安全存储模块53还用于存储所述加密后的密文。
本发明实施例中,所述秘钥管理模块51根据设备本身的HUK值派生出磁盘秘钥,从而可确保每台设备磁盘秘钥的独一无二性,并利用上述密文对所述磁盘秘钥进行加密然后进行保存。
所述加密引擎模块52,用于通过所述磁盘秘钥,对进入存储设备的数据进行加密。
本发明实施例中,所述加密引擎模块52获取TEE环境中秘钥管理模块51生成的秘钥,直接对REE环境中的、经过存储设备和系统总线之间的、进入存储设备的数据进行实时加解密,无需再将数据其搬运至内存等。在进行加密的过程中其可以将秘钥信息存储在REE环境中的秘钥寄存器中。
发明实施例中,当用户需要对加密后的数据进行解密时,所述秘钥管理模块51还用于:接收用户输入的解密信息,根据所述解密信息,确定解密密文;
判断所述解密密文是否与存储的加密密文相同,当所述解密密文与存储的加密密文不相同时,解密失败,提示用户密码错误;当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;
其中,所述秘钥管理模块51具体用于:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
所述秘钥管理模块51在生成加密密文和解密密文的过程中,相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。
具体的,当用户用需要对数据进行解密时,所述秘钥管理模块51接收用户输入的解密信息,即用户输入的密码,将接收到的用户输入的解密信息使用相应的盐值对其进行混淆,同时使用和加密过程相同的HASH算法对其加密得到解密密文,其中,所述解密密文即为HASH值,然后判断所述解密密文(HASH值)与系统中保存的加密密文(HASH值)是否相同,当所述解密密文与存储的加密密文不相同时,解密失败,提示用户密码错误;当所述解密密文与系统中保存的加密密文相同时,认为验证通过,通过所述解密密文对磁盘秘钥解密获取磁盘秘钥,从而实现对用户密码进行验证。
所述加密引擎模块52,还用于通过所述磁盘秘钥,对取出存储设备的数据进行解密。
在数据加密的过程中,用户输入的加密信息为用户设置的加密密码;在数据解密的过程中,用户输入的解密信息为用户输入的解密密码。
本发明实施例还提供了一种移动终端,其所述移动终端包括图5所述数据加密装置。
本发明实施例所述数据加密方法、装置及移动终端,秘钥保存在可信执行环境TEE中并经用户输入的加密信息进行加密,REE环境及其第三方应用无法获取,安全性大大提高,从而提高了整个终端设备数据的安全性;加密引擎模块采用In-Line的架构方式内置于存储设备和系统总线之间,减少了数据搬运过程从而大幅提高加密速度和效率,降低系统功耗。磁盘秘钥根据每个设备的HUK值生成必然不同,即使使用相同的加解密系统和算法也极难对其进行破解。
如此,一方面提升现有数据加密的安全性;另一方面大幅提高数据加密效率和速度,减少数据搬运次数从而降低功耗解放CPU等;并且能够为终端设备提供实时的数据加密服务。能满足用户对数据进行隐私保护的需求且即使手机丢失或被盗后仍能防范隐私不被泄露的风险。
图5中所示的数据加密装置中的各处理模块的实现功能,可参照前述数据加密方法的相关描述而理解。本领域技术人员应当理解,图3所示的数据加密装置中各处理模块的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现,比如:可由中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)实现。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法及装置,可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性的、机械的或其他形式的。
上述作为分离部件说明的模块可以是、或也可以不是物理上分开的,作为模块显示的部件可以是、或也可以不是物理模块,即可以位于一个地方,也可以分布到多个网络模块上;可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能模块可以全部集成在一个处理模块中,也可以是各模块分别单独作为一个模块,也可以两个或两个以上模块集成在一个模块中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明实施例上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明是实例中记载的数据加密方法、装置只以上述实施例为例,但不仅限于此,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (15)
1.一种数据加密方法,其特征在于,所述方法包括:
接收用户输入的加密信息,根据所述加密信息,确定加密密文;
生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
通过所述磁盘秘钥,在存储器通道对进入存储设备的数据进行加密,所述存储器通道位于系统总线与所述存储设备之间;
其中,所述确定加密密文、所述生成磁盘秘钥、以及对磁盘密钥进行加密的步骤在可信执行环境TEE中执行,所述对进入存储设备的数据进行加密的步骤在常规操作系统环境REE中执行。
2.根据权利要求1所述方法,其特征在于,所述根据加密信息确定加密密文包括:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文。
3.根据权利要求1所述方法,其特征在于,所述生成磁盘秘钥包括:根据HUK值派生磁盘秘钥。
4.根据权利要求1所述方法,其特征在于,所述方法还包括:
存储所述加密密文以及所述加密后的秘钥。
5.根据权利要求1所述方法,其特征在于,所述方法还包括:
接收用户输入的解密信息,根据所述解密信息,确定解密密文;
当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;
通过所述磁盘秘钥,对取出存储设备的数据进行解密;
其中,所述获得磁盘密钥的步骤在TEE中执行,所述对取出存储设备的数据进行解密的步骤在REE中执行。
6.根据权利要求5所述方法,其特征在于,所述根据解密信息确定解密密文包括:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
7.根据权利要求2或6所述方法,其特征在于,所述方法还包括:相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。
8.一种数据加密装置,其特征在于,所述装置包括:秘钥管理模块、加密引擎模块,其中,
所述秘钥管理模块,用于接接收用户输入的加密信息,根据所述加密信息,确定加密密文;生成磁盘秘钥,并根据所述加密密文,对磁盘秘钥进行加密;
所述加密引擎模块,用于通过所述磁盘秘钥,在存储器通道对进入存储设备的数据进行加密,所述存储器通道位于系统总线与所述存储设备之间;
其中,所述确定加密密文、所述生成磁盘秘钥、以及对磁盘密钥进行加密的步骤在可信执行环境TEE中执行,所述对进入存储设备的数据进行加密的步骤在常规操作系统环境REE中执行。
9.根据权利要求8所述装置,其特征在于,所述秘钥管理模块具体用于:根据用户输入的加密信息和随机盐值,通过HASH算法,确定加密密文。
10.根据权利要求8所述装置,其特征在于,所述秘钥管理模块具体用于:根据HUK值派生磁盘秘钥。
11.根据权利要求8所述装置,其特征在于,所述装置还包括安全存储模块,用于存储所述加密密文以及所述加密后的秘钥。
12.根据权利要求8所述装置,其特征在于,所述秘钥管理模块还用于:接收用户输入的解密信息,根据所述解密信息,确定解密密文;
当所述解密密文与存储的加密密文相同时,通过所述解密密文,对所述磁盘秘钥进行解密,获得所述磁盘秘钥;
所述加密引擎模块,还用于通过所述磁盘秘钥,对取出存储设备的数据进行解密;
其中,所述获得磁盘密钥的步骤在TEE中执行,所述对取出存储设备的数据进行解密的步骤在REE中执行。
13.根据权利要求11所述装置,其特征在于,所述秘钥管理模块具体用于:根据用户输入的解密信息和随机盐值,通过HASH算法加密,确定解密密文。
14.根据权利要求9或13所述装置,其特征在于,所述秘钥管理模块具体用于:相同的加密信息和解密信息使用相同的随机盐值,不同的加密信息和解密信息使用不同的随机盐值。
15.一种移动终端,其特征在于,所述移动终端包括权利要求8至14任一项所述数据加密装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510574150.8A CN106529308B (zh) | 2015-09-10 | 2015-09-10 | 一种数据加密方法、装置及移动终端 |
| PCT/CN2016/093519 WO2017041603A1 (zh) | 2015-09-10 | 2016-08-05 | 数据加密方法、装置及移动终端、计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510574150.8A CN106529308B (zh) | 2015-09-10 | 2015-09-10 | 一种数据加密方法、装置及移动终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106529308A CN106529308A (zh) | 2017-03-22 |
| CN106529308B true CN106529308B (zh) | 2020-01-31 |
Family
ID=58240639
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510574150.8A Active CN106529308B (zh) | 2015-09-10 | 2015-09-10 | 一种数据加密方法、装置及移动终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106529308B (zh) |
| WO (1) | WO2017041603A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109286488B (zh) * | 2017-07-21 | 2021-09-21 | 展讯通信(上海)有限公司 | Hdcp关键密钥保护方法 |
| CN109840435A (zh) * | 2017-11-27 | 2019-06-04 | 深圳市朗科科技股份有限公司 | 一种存储设备的数据保护方法 |
| CN108574567A (zh) * | 2018-03-19 | 2018-09-25 | 西安邮电大学 | 隐私文件保护和加密密钥管理系统及方法、信息处理终端 |
| CN110401538B (zh) * | 2018-04-24 | 2022-04-22 | 北京握奇智能科技有限公司 | 数据加密方法、系统以及终端 |
| CN109815662A (zh) * | 2018-12-06 | 2019-05-28 | 北京握奇智能科技有限公司 | 一种tee环境下的手势密码身份认证方法及系统 |
| CN109936446A (zh) * | 2019-01-16 | 2019-06-25 | 深圳壹账通智能科技有限公司 | 分布式环境下的秘钥管理方法、装置及计算机设备 |
| CN110032874A (zh) * | 2019-01-31 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种数据存储方法、装置及设备 |
| CN111786780A (zh) * | 2020-06-23 | 2020-10-16 | 北京思特奇信息技术股份有限公司 | 一种shell脚本安全使用密码的方法、系统、介质及设备 |
| CN112104450A (zh) * | 2020-08-27 | 2020-12-18 | 广东技术师范大学天河学院 | 一种对称式数据加密方法、系统及电子设备 |
| CN112926101B (zh) * | 2021-03-31 | 2024-04-05 | 完美世界控股集团有限公司 | 磁盘分区加密方法、系统、设备,以及计算机可读介质 |
| CN113676445A (zh) * | 2021-07-05 | 2021-11-19 | 国网上海能源互联网研究院有限公司 | 一种适用于传输配电物联网文件的方法及系统 |
| CN113517978A (zh) * | 2021-07-16 | 2021-10-19 | 安徽伊普诺康生物技术股份有限公司 | 一种体外诊断设备试剂卡的安全防护与重用方法 |
| CN113778749B (zh) * | 2021-08-16 | 2023-12-12 | 荣耀终端有限公司 | 数据备份方法及电子设备 |
| WO2023133862A1 (zh) * | 2022-01-14 | 2023-07-20 | 华为技术有限公司 | 数据处理方法及系统 |
| CN115171247A (zh) * | 2022-06-24 | 2022-10-11 | 广东汇泰龙科技股份有限公司 | 一种智能锁、存储方法、解密方法及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1924835A (zh) * | 2006-09-01 | 2007-03-07 | 西安交通大学 | 一种基于动态密钥的硬盘数据加密方法及其装置 |
| WO2007056579A1 (en) * | 2005-11-11 | 2007-05-18 | Computer Associates Think, Inc. | System and method for encrypting data without regard to application |
| CN101079008A (zh) * | 2006-05-22 | 2007-11-28 | 中国软件与技术服务股份有限公司 | 移动存储器失泄密防护的方法和系统 |
| CN102567233A (zh) * | 2011-12-23 | 2012-07-11 | 福建升腾资讯有限公司 | 基于磁盘虚拟技术的usb存储设备数据保护方法 |
| CN103955654A (zh) * | 2014-04-02 | 2014-07-30 | 西北工业大学 | 基于虚拟文件系统的u盘安全存储方法 |
-
2015
- 2015-09-10 CN CN201510574150.8A patent/CN106529308B/zh active Active
-
2016
- 2016-08-05 WO PCT/CN2016/093519 patent/WO2017041603A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007056579A1 (en) * | 2005-11-11 | 2007-05-18 | Computer Associates Think, Inc. | System and method for encrypting data without regard to application |
| CN101079008A (zh) * | 2006-05-22 | 2007-11-28 | 中国软件与技术服务股份有限公司 | 移动存储器失泄密防护的方法和系统 |
| CN1924835A (zh) * | 2006-09-01 | 2007-03-07 | 西安交通大学 | 一种基于动态密钥的硬盘数据加密方法及其装置 |
| CN102567233A (zh) * | 2011-12-23 | 2012-07-11 | 福建升腾资讯有限公司 | 基于磁盘虚拟技术的usb存储设备数据保护方法 |
| CN103955654A (zh) * | 2014-04-02 | 2014-07-30 | 西北工业大学 | 基于虚拟文件系统的u盘安全存储方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106529308A (zh) | 2017-03-22 |
| WO2017041603A1 (zh) | 2017-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106529308B (zh) | 一种数据加密方法、装置及移动终端 | |
| US10419217B2 (en) | Security information configuration method, security verification method, and related chip | |
| US20170208049A1 (en) | Key agreement method and device for verification information | |
| KR102361884B1 (ko) | 전자 장치의 불법 복제 및 불법 행위 방지에 하드웨어 기반 보안 격리 영역의 사용 | |
| US20200104528A1 (en) | Data processing method, device and system | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| US9529733B1 (en) | Systems and methods for securely accessing encrypted data stores | |
| CN106778283A (zh) | 一种系统分区关键数据的保护方法及系统 | |
| EP4195583A1 (en) | Data encryption method and apparatus, data decryption method and apparatus, terminal, and storage medium | |
| US11281789B2 (en) | Secure storage of passwords | |
| US8799646B1 (en) | Methods and systems for authenticating devices | |
| CN209803788U (zh) | 一种pcie可信密码卡 | |
| US20230325516A1 (en) | Method for file encryption, terminal, electronic device and computer-readable storage medium | |
| US10367643B2 (en) | Systems and methods for managing encryption keys for single-sign-on applications | |
| KR20150045790A (ko) | 신뢰 보안 플랫폼 모듈을 이용한 보안 애플리케이션 인증 및 관리 방법 및 장치 | |
| US11405202B2 (en) | Key processing method and apparatus | |
| CN107026730B (zh) | 数据处理方法、装置及系统 | |
| US10387653B2 (en) | Secure provisioning of semiconductor chips in untrusted manufacturing factories | |
| CN115982761A (zh) | 敏感信息处理方法、装置、电子设备和存储介质 | |
| WO2022052665A1 (zh) | 无线终端及无线终端在Uboot模式下的接口访问鉴权方法 | |
| CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
| CN110659506A (zh) | 基于密钥刷新对存储器进行重放保护 | |
| CN113127844A (zh) | 一种变量访问方法、装置、系统、设备和介质 | |
| CN111857756A (zh) | 一种基于硬件加密的安全刷机方法及系统 | |
| CN114866228A (zh) | 一种实现软密码模块的方法、系统、存储介质及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |