CN110909391A - 一种基于risc-v的安全存储方法 - Google Patents

一种基于risc-v的安全存储方法 Download PDF

Info

Publication number
CN110909391A
CN110909391A CN201911228381.8A CN201911228381A CN110909391A CN 110909391 A CN110909391 A CN 110909391A CN 201911228381 A CN201911228381 A CN 201911228381A CN 110909391 A CN110909391 A CN 110909391A
Authority
CN
China
Prior art keywords
data
key
risc
flash
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911228381.8A
Other languages
English (en)
Inventor
杨国东
刘建敏
杨超
周强强
翟栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Hongwei Technology Co Ltd
Original Assignee
Sichuan Hongwei Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Hongwei Technology Co Ltd filed Critical Sichuan Hongwei Technology Co Ltd
Priority to CN201911228381.8A priority Critical patent/CN110909391A/zh
Publication of CN110909391A publication Critical patent/CN110909391A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于RISC‑V的安全存储方法包括:步骤S1:利用RISC‑V特权指令集对flash的存储区域进行安全隔离;步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。本发明通过RISC‑V特权指令集控制flash存储芯片的访问权限,把应用对应存储区域划分开来,各自访问自己的存储区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。

Description

一种基于RISC-V的安全存储方法
技术领域
本发明涉及信息安全技术领域,尤其是涉及弱终端设备安全存储访问技术领域,具体的说,是一种基于RISC-V的安全存储方法。
背景技术
可信执行环境(TEE)是Global Platform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者、移动运营商以及芯片厂商。TEE是与设备上的Rich OS(通常是Android等)并存的运行环境,并且给Rich OS提供安全服务。它具有其自身的执行空间,比Rich OS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性要低一些。但是TEE能够满足大多数应用的安全需求。目前对于含有TEE可信执行环境的终端设备都采用TEE存储私密数据,但是目前针对弱终端设备的数据存储都采用的是明文存储,而且针对数据存储都没有权限管理,所有应用都可以访问所有的存储,存在安全隐患。
发明内容
本发明的目的在于提供一种基于RISC-V的安全存储方法,用于解决现有技术中弱终端设备的数据存储采用明文存储且没有权限管理,所有应用都可以访问存储存在安全隐患的问题。
本发明通过下述技术方案解决上述问题:
一种基于RISC-V的安全存储方法,包括:
步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;
步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。
进一步地,所述步骤S1具体包括:利用RISC-V特权指令集配置flash的地址访问权限,将flash的存储区域进行划分,用于分别对应不同的应用程序。
进一步地,所述步骤S2中的应用程序只能访问自己存储的私密数据。
本方法使用RISC-V芯片的特权指令集来保护数据,保证数据安全的存储在flash当中,包括:
利用KDF秘钥派生机制派生存数据密钥,应用(APP)使用存数据密钥加密私密数据存储在flash上,然后再使用RISC-V特权指令集控制flash存储芯片的访问权限。应用需要读取数据时,使用KDF密钥派生出读数据密钥(该密钥和之前派生的密钥相同)对存储的数据进行解密,得到自己存储的私密数据;各个应用都只能访问自己存储的私密数据,应用之间存储的数据不能相互访问;flash数据采用的加密存储,就算取下flash存储芯片也无法获取到应用的私密数据。
本发明与现有技术相比,具有以下优点及有益效果:
本发明有效的解决弱终端设备数据安全存储的问题,设备通过RISC-V特权指令集控制flash存储芯片的访问权限,这样就可以把应用对应区域划分开来,各自访问自己的内存区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
实施例1:
结合附图1所示,一种基于RISC-V的安全存储方法,包括:
步骤1、对RISC-V芯片配置flash存储的地址访问权限,将加密应用、网络应用、用户管理应用等应用设置各自对应的flash存储区域;
步骤2、应用权限设置好后,各个应用只能访问自己所属的存储区域,应用之间的存储区域无法相互访问;
步骤3、应用在存储数据的时候调用KDF密钥派生算法派生加密数据的密钥,然后对数据加密存储在flash;应用在读数据的时候再次调用KDF密钥派生算法派生出解密数据的秘密,使用密钥解密读取的数据,应用得到明文数据;
使用KDF密钥派生出加密密钥,master key使用设备的唯一标识(可以是设备的序列号、MAC地址等标识设备的唯一串码),password使用跟该应用相关的信息,最后生成的密钥就是加密数据的密钥,解密时派生的密钥与加密数据的密钥相同;这样每个应用对应加密数据的密钥都不相同,使得数据的安全性更高。
各个应用只能读取各自对应的flash存储区域,且各个应用的密钥各不相同,数据采用分类加密存储,保证应用间数据的隔离保护;即使flash存储被取下来读取出来的数据也是加密的数据,没有密钥也是无法获得数据的明文,可以保证数据的安全。
尽管这里参照本发明的解释性实施例对本发明进行了描述,上述实施例仅为本发明较佳的实施方式,本发明的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。

Claims (4)

1.一种基于RISC-V的安全存储方法,其特征在于,包括:
步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;
步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。
2.根据权利要求1所述的一种基于RISC-V的安全存储方法,其特征在于,所述步骤S1具体包括:利用RISC-V特权指令集配置flash的地址访问权限,将flash的存储区域进行划分,用于分别对应不同的应用程序。
3.根据权利要求2所述的一种基于RISC-V的安全存储方法,其特征在于,所述步骤S2中的应用程序只能访问自己存储的私密数据。
4.根据权利要求1所述的一种基于RISC-V的安全存储方法,其特征在于,所述存数据密钥与读数据密钥相同。
CN201911228381.8A 2019-12-04 2019-12-04 一种基于risc-v的安全存储方法 Pending CN110909391A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911228381.8A CN110909391A (zh) 2019-12-04 2019-12-04 一种基于risc-v的安全存储方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911228381.8A CN110909391A (zh) 2019-12-04 2019-12-04 一种基于risc-v的安全存储方法

Publications (1)

Publication Number Publication Date
CN110909391A true CN110909391A (zh) 2020-03-24

Family

ID=69821936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911228381.8A Pending CN110909391A (zh) 2019-12-04 2019-12-04 一种基于risc-v的安全存储方法

Country Status (1)

Country Link
CN (1) CN110909391A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113821835A (zh) * 2021-11-24 2021-12-21 飞腾信息技术有限公司 密钥管理方法、密钥管理装置和计算设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1203394A (zh) * 1997-06-20 1998-12-30 国际商业机器公司 在安全存储区中保护应用程序数据的方法和装置
CN106778291A (zh) * 2016-11-22 2017-05-31 北京奇虎科技有限公司 应用程序的隔离方法及隔离装置
CN109697173A (zh) * 2018-12-11 2019-04-30 中国航空工业集团公司西安航空计算技术研究所 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路
CN109921895A (zh) * 2019-02-26 2019-06-21 成都国科微电子有限公司 一种数据Hash值的计算方法及系统
CN110532767A (zh) * 2019-08-19 2019-12-03 上海交通大学 面向sgx安全应用的内部隔离方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1203394A (zh) * 1997-06-20 1998-12-30 国际商业机器公司 在安全存储区中保护应用程序数据的方法和装置
CN106778291A (zh) * 2016-11-22 2017-05-31 北京奇虎科技有限公司 应用程序的隔离方法及隔离装置
CN109697173A (zh) * 2018-12-11 2019-04-30 中国航空工业集团公司西安航空计算技术研究所 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路
CN109921895A (zh) * 2019-02-26 2019-06-21 成都国科微电子有限公司 一种数据Hash值的计算方法及系统
CN110532767A (zh) * 2019-08-19 2019-12-03 上海交通大学 面向sgx安全应用的内部隔离方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113821835A (zh) * 2021-11-24 2021-12-21 飞腾信息技术有限公司 密钥管理方法、密钥管理装置和计算设备

Similar Documents

Publication Publication Date Title
CN106301774B (zh) 安全芯片、其加密密钥生成方法和加密方法
US20130185569A1 (en) Data protection system and method based on cloud storage
MX2007008540A (es) Metodo y dispositivo de almacenamiento portatil para asignar area segura en area insegura.
WO2013182154A1 (zh) 一种对通讯终端上应用程序加、解密的方法、系统和终端
CN111310213A (zh) 一种业务数据保护方法、装置、设备及可读存储介质
US11455430B2 (en) Secure element and related device
CN111191217B (zh) 一种密码管理方法及相关装置
CN111566989B (zh) 一种密钥处理方法及装置
CN109450620A (zh) 一种移动终端中共享安全应用的方法及移动终端
JP2016519544A (ja) 自己認証デバイス及び自己認証方法
CN107026730B (zh) 数据处理方法、装置及系统
JP6199712B2 (ja) 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム
WO2015154469A1 (zh) 数据库的操作方法及装置
US8798261B2 (en) Data protection using distributed security key
KR101473656B1 (ko) 모바일 데이터 보안 장치 및 방법
CN110909391A (zh) 一种基于risc-v的安全存储方法
CN105022651B (zh) 一种设备生产过程中的防盗版方法及固件烧写装置
CN105447398A (zh) 数据安全保护方法及装置
CN111542050B (zh) 一种基于tee的保障虚拟sim卡远程初始化安全的方法
KR101329789B1 (ko) 모바일 디바이스의 데이터베이스 암호화 방법
CN107862209B (zh) 一种文件加解密方法、移动终端和具有存储功能的装置
CN108184230B (zh) 一种软sim实现加密的系统及方法
CN107682147B (zh) 用于智能卡芯片操作系统文件的安全管理方法及系统
CN112804195A (zh) 一种数据安全存储方法及系统
CN105635096A (zh) 数据模块的访问方法、系统和终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200324

RJ01 Rejection of invention patent application after publication