CN110909391A - 一种基于risc-v的安全存储方法 - Google Patents
一种基于risc-v的安全存储方法 Download PDFInfo
- Publication number
- CN110909391A CN110909391A CN201911228381.8A CN201911228381A CN110909391A CN 110909391 A CN110909391 A CN 110909391A CN 201911228381 A CN201911228381 A CN 201911228381A CN 110909391 A CN110909391 A CN 110909391A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- risc
- flash
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于RISC‑V的安全存储方法包括:步骤S1:利用RISC‑V特权指令集对flash的存储区域进行安全隔离;步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。本发明通过RISC‑V特权指令集控制flash存储芯片的访问权限,把应用对应存储区域划分开来,各自访问自己的存储区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及弱终端设备安全存储访问技术领域,具体的说,是一种基于RISC-V的安全存储方法。
背景技术
可信执行环境(TEE)是Global Platform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者、移动运营商以及芯片厂商。TEE是与设备上的Rich OS(通常是Android等)并存的运行环境,并且给Rich OS提供安全服务。它具有其自身的执行空间,比Rich OS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性要低一些。但是TEE能够满足大多数应用的安全需求。目前对于含有TEE可信执行环境的终端设备都采用TEE存储私密数据,但是目前针对弱终端设备的数据存储都采用的是明文存储,而且针对数据存储都没有权限管理,所有应用都可以访问所有的存储,存在安全隐患。
发明内容
本发明的目的在于提供一种基于RISC-V的安全存储方法,用于解决现有技术中弱终端设备的数据存储采用明文存储且没有权限管理,所有应用都可以访问存储存在安全隐患的问题。
本发明通过下述技术方案解决上述问题:
一种基于RISC-V的安全存储方法,包括:
步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;
步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。
进一步地,所述步骤S1具体包括:利用RISC-V特权指令集配置flash的地址访问权限,将flash的存储区域进行划分,用于分别对应不同的应用程序。
进一步地,所述步骤S2中的应用程序只能访问自己存储的私密数据。
本方法使用RISC-V芯片的特权指令集来保护数据,保证数据安全的存储在flash当中,包括:
利用KDF秘钥派生机制派生存数据密钥,应用(APP)使用存数据密钥加密私密数据存储在flash上,然后再使用RISC-V特权指令集控制flash存储芯片的访问权限。应用需要读取数据时,使用KDF密钥派生出读数据密钥(该密钥和之前派生的密钥相同)对存储的数据进行解密,得到自己存储的私密数据;各个应用都只能访问自己存储的私密数据,应用之间存储的数据不能相互访问;flash数据采用的加密存储,就算取下flash存储芯片也无法获取到应用的私密数据。
本发明与现有技术相比,具有以下优点及有益效果:
本发明有效的解决弱终端设备数据安全存储的问题,设备通过RISC-V特权指令集控制flash存储芯片的访问权限,这样就可以把应用对应区域划分开来,各自访问自己的内存区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图1所示,一种基于RISC-V的安全存储方法,包括:
步骤1、对RISC-V芯片配置flash存储的地址访问权限,将加密应用、网络应用、用户管理应用等应用设置各自对应的flash存储区域;
步骤2、应用权限设置好后,各个应用只能访问自己所属的存储区域,应用之间的存储区域无法相互访问;
步骤3、应用在存储数据的时候调用KDF密钥派生算法派生加密数据的密钥,然后对数据加密存储在flash;应用在读数据的时候再次调用KDF密钥派生算法派生出解密数据的秘密,使用密钥解密读取的数据,应用得到明文数据;
使用KDF密钥派生出加密密钥,master key使用设备的唯一标识(可以是设备的序列号、MAC地址等标识设备的唯一串码),password使用跟该应用相关的信息,最后生成的密钥就是加密数据的密钥,解密时派生的密钥与加密数据的密钥相同;这样每个应用对应加密数据的密钥都不相同,使得数据的安全性更高。
各个应用只能读取各自对应的flash存储区域,且各个应用的密钥各不相同,数据采用分类加密存储,保证应用间数据的隔离保护;即使flash存储被取下来读取出来的数据也是加密的数据,没有密钥也是无法获得数据的明文,可以保证数据的安全。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。
Claims (4)
1.一种基于RISC-V的安全存储方法,其特征在于,包括:
步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;
步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。
2.根据权利要求1所述的一种基于RISC-V的安全存储方法,其特征在于,所述步骤S1具体包括:利用RISC-V特权指令集配置flash的地址访问权限,将flash的存储区域进行划分,用于分别对应不同的应用程序。
3.根据权利要求2所述的一种基于RISC-V的安全存储方法,其特征在于,所述步骤S2中的应用程序只能访问自己存储的私密数据。
4.根据权利要求1所述的一种基于RISC-V的安全存储方法,其特征在于,所述存数据密钥与读数据密钥相同。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911228381.8A CN110909391A (zh) | 2019-12-04 | 2019-12-04 | 一种基于risc-v的安全存储方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911228381.8A CN110909391A (zh) | 2019-12-04 | 2019-12-04 | 一种基于risc-v的安全存储方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110909391A true CN110909391A (zh) | 2020-03-24 |
Family
ID=69821936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911228381.8A Pending CN110909391A (zh) | 2019-12-04 | 2019-12-04 | 一种基于risc-v的安全存储方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110909391A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113821835A (zh) * | 2021-11-24 | 2021-12-21 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1203394A (zh) * | 1997-06-20 | 1998-12-30 | 国际商业机器公司 | 在安全存储区中保护应用程序数据的方法和装置 |
CN106778291A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的隔离方法及隔离装置 |
CN109697173A (zh) * | 2018-12-11 | 2019-04-30 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
CN109921895A (zh) * | 2019-02-26 | 2019-06-21 | 成都国科微电子有限公司 | 一种数据Hash值的计算方法及系统 |
CN110532767A (zh) * | 2019-08-19 | 2019-12-03 | 上海交通大学 | 面向sgx安全应用的内部隔离方法 |
-
2019
- 2019-12-04 CN CN201911228381.8A patent/CN110909391A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1203394A (zh) * | 1997-06-20 | 1998-12-30 | 国际商业机器公司 | 在安全存储区中保护应用程序数据的方法和装置 |
CN106778291A (zh) * | 2016-11-22 | 2017-05-31 | 北京奇虎科技有限公司 | 应用程序的隔离方法及隔离装置 |
CN109697173A (zh) * | 2018-12-11 | 2019-04-30 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
CN109921895A (zh) * | 2019-02-26 | 2019-06-21 | 成都国科微电子有限公司 | 一种数据Hash值的计算方法及系统 |
CN110532767A (zh) * | 2019-08-19 | 2019-12-03 | 上海交通大学 | 面向sgx安全应用的内部隔离方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113821835A (zh) * | 2021-11-24 | 2021-12-21 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106301774B (zh) | 安全芯片、其加密密钥生成方法和加密方法 | |
US20130185569A1 (en) | Data protection system and method based on cloud storage | |
MX2007008540A (es) | Metodo y dispositivo de almacenamiento portatil para asignar area segura en area insegura. | |
WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
CN111310213A (zh) | 一种业务数据保护方法、装置、设备及可读存储介质 | |
US11455430B2 (en) | Secure element and related device | |
CN111191217B (zh) | 一种密码管理方法及相关装置 | |
CN111566989B (zh) | 一种密钥处理方法及装置 | |
CN109450620A (zh) | 一种移动终端中共享安全应用的方法及移动终端 | |
JP2016519544A (ja) | 自己認証デバイス及び自己認証方法 | |
CN107026730B (zh) | 数据处理方法、装置及系统 | |
JP6199712B2 (ja) | 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム | |
WO2015154469A1 (zh) | 数据库的操作方法及装置 | |
US8798261B2 (en) | Data protection using distributed security key | |
KR101473656B1 (ko) | 모바일 데이터 보안 장치 및 방법 | |
CN110909391A (zh) | 一种基于risc-v的安全存储方法 | |
CN105022651B (zh) | 一种设备生产过程中的防盗版方法及固件烧写装置 | |
CN105447398A (zh) | 数据安全保护方法及装置 | |
CN111542050B (zh) | 一种基于tee的保障虚拟sim卡远程初始化安全的方法 | |
KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
CN107862209B (zh) | 一种文件加解密方法、移动终端和具有存储功能的装置 | |
CN108184230B (zh) | 一种软sim实现加密的系统及方法 | |
CN107682147B (zh) | 用于智能卡芯片操作系统文件的安全管理方法及系统 | |
CN112804195A (zh) | 一种数据安全存储方法及系统 | |
CN105635096A (zh) | 数据模块的访问方法、系统和终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200324 |
|
RJ01 | Rejection of invention patent application after publication |