CN115982761A - 敏感信息处理方法、装置、电子设备和存储介质 - Google Patents
敏感信息处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN115982761A CN115982761A CN202211668199.6A CN202211668199A CN115982761A CN 115982761 A CN115982761 A CN 115982761A CN 202211668199 A CN202211668199 A CN 202211668199A CN 115982761 A CN115982761 A CN 115982761A
- Authority
- CN
- China
- Prior art keywords
- key
- sensitive information
- information
- ciphertext
- random access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请涉及数据处理技术领域,提供一种敏感信息处理方法、装置、电子设备和存储介质,该方法包括:从一次性可编程存储器中获取根密钥;对根密钥进行密钥派生得到密钥信息,将密钥信息存储至随机存取存储器;采用随机存取存储器中存储的密钥信息对敏感信息进行加密,得到敏感信息的密文,将敏感信息的密文存储至闪存中。本申请将根密钥存储于安全等级最高的一次性可编程存储器中,由根密钥派生得到密钥信息存于随机存取存储器中,断电则丢失,同时将敏感信息的密文存储于闪存,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
Description
技术领域
本申请涉及数据处理技术领域,尤其涉及敏感信息处理方法、装置、电子设备和存储介质。
背景技术
随着互联网和智能手机的迅速普及,社会已经进入数据时代,人们在日常的工作和生活中会产生很多数据,这些数据有敏感数据和一般数据,随着人们的数据安全意识逐渐提高,数据安全问题显得尤为重要,同时敏感数据的泄露或被他人盗取对个人或者企业会造成不可估量的损失,因此,需要对敏感数据进行处理。
目前,敏感信息一般采用以下方式处理:选择安全存储介质存储敏感信息,但是物联网设备通常不具备安全存储介质;使用加密方案对敏感信息进行加密,将密文及其对应的密钥存储在常规存储介质中。上述第一种方式会增加成本,第二种方式会损失效率且存在密钥泄露问题。
发明内容
本申请旨在至少解决现有技术中存在的技术问题之一。为此,本申请提出一种敏感信息处理方法,通过将根密钥存储于安全等级最高的一次性可编程存储器中,由根密钥派生得到密钥信息存于随机存取存储器中,断电则丢失,同时将敏感信息的密文存储于闪存,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
本申请还提出一种敏感信息处理装置、电子设备、存储介质和计算机程序产品。
根据本申请第一方面实施例的敏感信息处理方法,包括:
从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
本申请实施例通过将根密钥存储于安全等级最高的一次性可编程存储器中,由根密钥派生得到密钥信息存于随机存取存储器中,断电则丢失,同时将敏感信息的密文存储于闪存,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
根据本申请的一个实施例,所述对所述根密钥进行密钥派生得到密钥信息,包括:
将所述根密钥输入密钥派生模块;
获取所述密钥派生模块的输出值,将所述输出值作为所述密钥信息。
根据本申请的一个实施例,所述采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,包括:
将所述随机存取存储器中存储的所述密钥信息和敏感信息输入加密模块;
获取所述加密模块输出的所述敏感信息的密文。
根据本申请的一个实施例,所述从一次性可编程存储器中获取根密钥之前,还包括:
采用随机数模块生成所述根密钥,将所述根密钥存储至所述一次性可编程存储器。
根据本申请的一个实施例,所述采用随机数模块生成所述根密钥,将所述根密钥存储至所述一次性可编程存储器之后,还包括:
触发所述一次性可编程存储器熔断存储处理。
根据本申请第二方面实施例的敏感信息处理方法,包括:
确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
从闪存中获取敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
根据本申请的一个实施例,所述方法,还包括:
确定所述随机存取存储器中存在所述密钥信息,从所述闪存中获取所述敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
根据本申请第三方面实施例的敏感信息处理装置,包括:
第一根密钥获取模块,用于从一次性可编程存储器中获取根密钥;
第一密钥信息生成模块,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
密文处理模块,采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
根据本申请第四方面实施例的敏感信息处理装置,包括:
第二根密钥获取模块,用于确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
第二密钥信息生成模块,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
密文获取模块,用于从闪存中获取敏感信息的密文;
解密模块,用于采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
根据本申请第五方面实施例的电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述敏感信息处理方法。
根据本申请第六方面实施例的非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述敏感信息处理方法。
根据本申请第七方面实施例的计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述敏感信息处理方法。
本申请实施例中的上述一个或多个技术方案,至少具有如下技术效果之一:
避免静态分析直接分析出密钥的隐患,提高敏感信息的安全性。
本申请的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的敏感信息处理方法的流程示意图之一;
图2是本申请实施例提供的敏感信息处理方法的流程示意图之二:
图3是本申请实施例提供的敏感信息存储和读取的流程示意图;
图4是本申请实施例提供的敏感信息处理装置的模块示意图之一;
图5是本申请实施例提供的敏感信息处理装置的模块示意图之二;
图6是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请的实施方式作进一步详细描述。以下实施例用于说明本申请,但不能用来限制本申请的范围。
在本申请实施例的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请实施例中,除非另有明确的规定和限定,第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触,或第一和第二特征通过中间媒介间接接触。而且,第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方,或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方,或仅仅表示第一特征水平高度小于第二特征。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
图1是本申请实施例提供的敏感信息处理方法的流程示意图之一。参照图1,本申请实施例提供一种敏感信息处理方法,包括:
步骤100,从一次性可编程存储器中获取根密钥;
需要说明的是,本申请实施例提供的敏感信息处理方法的执行主体可以是服务器、计算机设备,例如手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本或者个人数字助理(personal digital assistant,PDA)等。
一次性可编程存储器是指Efuse,Efuse为安全属性的存储介质,具备单次写入的特性,即Efuse单向不可逆存储介质,但其存储空间比较小,所以将其用于长度有限的根密钥存储。
调用通用MCU(Microcontroller Unit,微控制单元)中具备的随机数模块,产生一机一密的根密钥,例如通过随机数模块产生随机数,基于随机数生成根密钥,然后将根密钥存储至单次写入后不可更改的一次性可编程存储器中。
在将根密钥存储至一次性可编程存储器,触发一次性可编程存储器熔断存储处理。如此,通过触发一次性可编程存储器熔断存储处理,可防止再次向一次性可编程存储器写入数据,提高了根密钥存储的安全性。
可选地,还可以先对根密钥进行校验,然后基于校验结果触发一次性可编程存储器熔断存储处理。例如,从一次性可编程存储器中获取根密钥,对根密钥进行校验,如果校验的根密钥正确,则触发一次性可编程存储器熔断存储处理;如果校验的根密钥不正确,则重新生成新的根密钥,再将新的根密钥存储至一次性可编程存储器中。
当需要对敏感信息进行加密时,从一次性可编程存储器中获取根密钥。通过利用Efuse的一次性可编程的特性再加上对根密钥访问和读取的保护,提高了根密钥的使用安全,继而提高了根密钥派生的安全性和可靠性。
步骤200,对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
需要说明的是,随机存取存储器(Random Access Memory,RAM)也叫主存,是与CPU直接交换数据的内部存储器,RAM可以随时读写(刷新时除外)且速度快。RAM与ROM(Read-Only Memory,只读存储器)的最大区别是数据的易失性,即一旦断电所存储的数据将随之丢失。
从一次性可编程存储器中获取根密钥后,对根密钥进行密钥派生得到密钥信息,将密钥信息存储至随机存取存储器。在一个实施例中,将根密钥输入密钥派生模块;获取密钥派生模块的输出值,将输出值作为密钥信息。例如,密钥派生模块中:设有密钥派生函数,采用密钥派生函数对根密钥进行密钥派生,得到密钥信息。
可以理解的是,密钥派生函数是将一个密码(可变长度)或密钥转换为一个或多个密钥的函数,其中,密钥派生的派生源分为两种:
(1)从一个密钥派生出一个或多个新的密钥。例如,在tls通信中,在双方协商出一个预主密钥后,基于该预主密钥派生出本次会话需要使用的一组密钥作为真正通信时使用的密钥。
(2)从一个密码派生出一个或多个密钥。即由用户使用的一个密码/口令/短语等派生出一个或多个密钥。
由于派生源不同,所采用的密钥派生函数也不同,例如,对于第一种派生源,可采用HKDF(HMAC-based KDF)派生函数;对于第二种派生源,可采用PBKDF2、Bcrypt、Scrypt、Argon2等派生函数。
以HKDF派生函数为例进行解析说明,其中,采用HKDF派生函数进行密钥派生主要包括两个步骤:首先提取根密钥,然后将根密钥扩展为N个新的密钥。例如,使用输入的原始根密钥,派生出一个符合密码学安全伪随机性的伪随机密钥,具体地:使用对应的HMAC函数,将原始根密钥作为明文,将一个盐值(salt)作为密钥,计算出IKM的消息认证码MAC,将这个MAC作为提取出的密码学安全的伪随机密钥(PRK)。然后,使用第一步派生出的伪随机密钥,扩展出指定长度的密钥(同时仍保证密码学安全伪随机性),具体地:通过一系列的HMAC运算将PRK扩展到N个密码学安全伪随机密钥并拼接为输出结果,从而得到密钥信息。
在派生得到密钥信息后,将密钥信息存储至随机存取存储器。可以理解的是,随机存取存储器因其断电所存储的数据随之丢失,不易进行静态分析,增加了分析难度,通过随机存取存储器存储需要特殊保护的密钥信息,原则上密钥信息需要加密保护,但是结合此存储介质的特性,可以直接存储密钥明文,降低操作复杂度的情况下,但未降低安全性。
步骤300,采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
需要说明的是,敏感信息包括用户的隐私信息,如手机号码、姓名、邮箱、银行卡号等信息。
采用随机存取存储器中存储的密钥信息对敏感信息进行加密,得到敏感信息的密文,将敏感信息的密文存储至闪存中。
需要说明的是,闪存是指Flash,Flash是非易失性存储介质,所存储的信息对于分析者来说比较容易获取,分析难度较低,所以存储的信息虽然为敏感信息,但是为密文状态,因此可以确保信息的安全性。
在一个实施例中,将随机存取存储器中存储的密钥信息和敏感信息输入加密模块,然后获取加密模块输出的敏感信息的密文。例如,加密模块包括加密算法,将密钥信息和敏感数据输入加密算法后,输出值即为敏感信息的密文。其中,加密算法包括但不限于高级数据加密标准(Advanced Encryption Standard,AES)、三重数据加密标准(Triple DataEncryption Standard,TDES)和SM4加密算法。
本申请实施例提供的敏感信息处理方法,通过从一次性可编程存储器中获取根密钥;对根密钥进行密钥派生得到密钥信息,将密钥信息存储至随机存取存储器;采用随机存取存储器中存储的密钥信息对敏感信息进行加密,得到敏感信息的密文,将敏感信息的密文存储至闪存中。本申请将根密钥存储于安全等级最高的Efuse中,由根密钥派生得到密钥信息存于RAM,断电则丢失,同时将敏感信息的密文存储于Flash,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
图2是本申请实施例提供的敏感信息处理方法的流程示意图之二。参照图2,本申请实施例提供一种敏感信息处理方法,包括:
步骤400,确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
步骤500,对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
步骤600,从闪存中获取敏感信息的密文;
步骤700,采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
需要说明的是,由于随机存取存储器断电后,存储的数据会随之丢失,因此在解密敏感信息前,如果随机存取存储器中存储的密钥信息被销毁,即断电丢失,则需要重新从一次性可编程存储器中获取根密钥,然后对根密钥进行密钥派生得到密钥信息,并将密钥信息存储至随机存取存储器。进一步,从闪存中获取敏感信息的密文,然后采用随机存取存储器中存储的密钥信息对敏感信息的密文进行解密,得到敏感信息。
在一个实施例中,在解密敏感信息前,如果随机存取存储器中存在密钥信息,则从闪存中获取敏感信息的密文,然后采用随机存取存储器中存储的密钥信息对敏感信息的密文进行解密,得到敏感信息。
本申请实施例提供的敏感信息处理方法,通过将根密钥存储于安全等级最高的Efuse中,由根密钥派生得到密钥信息存于RAM,断电则丢失,同时将敏感信息的密文存储于Flash,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
基于上述实施例,参考图3,图3是本申请实施例提供的敏感信息存储和读取的流程示意图。
本申请实施例在不增加通用MCU的成本负担的情况下,选取MCU中已有的资源,并将其特性与存储对象进行匹配。其中,MCU芯片的固有资源包括3种不同特性的存储介质:Efuse单向不可逆存储介质;下电丢失存储介质;Flash静态存储介质的固有属性。
存储对象及其特性:根密钥存储空间要求不大,但是需要安全存储;密文/敏感处理逻辑(如算法,协议)存储空间要求比较大,但是不需要安全存储;敏感信息明文不需要存储,但是需要使用。
存储介质与存储对象进行匹配得到:
Efuse为安全属性的存储介质,具备单次写入的特性,但其存储空间比较小,所以将其用于长度有限的根密钥存储。
RAM因其断电所存储的数据随之丢失,不易进行静态分析,增加了分析难度,通过RAM存储需要特殊保护的密钥信息,原则上密钥信息需要加密保护,但是结合此存储介质的特性,可以直接存储密钥明文,降低操作复杂度的情况下,但未降低安全性。
Flash是非易失性存储介质,所存储的信息对于分析者来说比较容易获取,分析难度较低,所以存储的信息虽然为敏感信息,但是为密文状态,因此可以确保信息的安全性。
敏感信息存储流程如下所示:
1、调用通用MCU具备的随机数模块,产生一机一密的根密钥,然后将根密钥存储于单次写入后不可更改的存储介质Efuse中。
2、将根密钥导入密钥派生模块,通过密钥派生模块产生本次用于加密的密钥信息,并以明文的形式存储于下电即丢失的存储介质RAM中,只在本次使用。
3、将敏感信息和密钥信息导入加密模块,通过加密模块实现敏感信息的加密操作,得到敏感信息的密文。
4、将敏感信息的密文存储于非易失性存储介质Falsh中。
敏感信息读取/使用流程如下所示:
1、通过Efuse接口读取根密钥信息。
2、将根密钥信息导入密钥派生模块,通过密钥派生模块产生密钥信息,并将该密钥信息存于存储介质RAM中。
3、从Flash中读取敏感信息的密文,然后将敏感信息的密文和密钥信息导入解密模块,通过解密模块实现敏感信息解密。
本申请实施例通过将根密钥存储于安全等级最高的Efuse中,由根密钥派生得到密钥信息存于RAM,断电则丢失,同时将敏感信息的密文存储于Flash,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
下面对本申请实施例提供的敏感信息处理装置进行描述,下文描述的敏感信息处理装置与上文描述的敏感信息处理方法可相互对应参照。
参考图4,图4是本申请实施例提供的敏感信息处理装置的模块示意图之一,本申请的敏感信息处理装置包括第一根密钥获取模块401、第一密钥信息生成模块402和密文处理模块403。
第一根密钥获取模块401,用于从一次性可编程存储器中获取根密钥;
第一密钥信息生成模块402,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
密文处理模块403,采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
本申请实施例提供的敏感信息处理装置,通过从一次性可编程存储器中获取根密钥;对根密钥进行密钥派生得到密钥信息,将密钥信息存储至随机存取存储器;采用随机存取存储器中存储的密钥信息对敏感信息进行加密,得到敏感信息的密文,将敏感信息的密文存储至闪存中。本申请将根密钥存储于安全等级最高的Efuse中,由根密钥派生得到密钥信息存于RAM,断电则丢失,同时将敏感信息的密文存储于Flash,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
在一个实施例中,所述第一密钥信息生成模块402具体用于:
将所述根密钥输入密钥派生模块;
获取所述密钥派生模块的输出值,将所述输出值作为所述密钥信息。
在一个实施例中,所述密文处理模块403具体用于:
将所述随机存取存储器中存储的所述密钥信息和敏感信息输入加密模块;
获取所述加密模块输出的所述敏感信息的密文。
在一个实施例中,所述第一根密钥获取模块401还用于:
采用随机数模块生成所述根密钥,将所述根密钥存储至所述一次性可编程存储器。
在一个实施例中,所述第一根密钥获取模块401还用于:
触发所述一次性可编程存储器熔断存储处理。
参考图5,图5是本申请实施例提供的敏感信息处理装置的模块示意图之二,本申请的敏感信息处理装置包括第二根密钥获取模块501,第二密钥信息生成模块502,密文获取模块503和解密模块504。
第二根密钥获取模块501,用于确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
第二密钥信息生成模块502,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
密文获取模块503,用于从闪存中获取敏感信息的密文;
解密模块504,用于采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
本申请实施例提供的敏感信息处理装置,通过将根密钥存储于安全等级最高的Efuse中,由根密钥派生得到密钥信息存于RAM,断电则丢失,同时将敏感信息的密文存储于Flash,如此,通过二级密钥机制,将根密钥进行安全存储,派生密钥不进行静态存储,避免静态分析直接分析出密钥的隐患,从而提高敏感信息的安全性。
所述密文获取模块503,还用于确定所述随机存取存储器中存在所述密钥信息,从所述闪存中获取所述敏感信息的密文;
所述解密模块504,还用于采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:
从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
或者,确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
从闪存中获取敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的敏感信息处理方法,例如包括:
从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
或者,确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
从闪存中获取敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
又一方面,本申请实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以执行上述各实施例提供的敏感信息处理方法,例如包括:
从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
或者,确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
从闪存中获取敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
以上实施方式仅用于说明本申请,而非对本申请的限制。尽管参照实施例对本申请进行了详细说明,本领域的普通技术人员应当理解,对本申请的技术方案进行各种组合、修改或者等同替换,都不脱离本申请技术方案的精神和范围,均应涵盖在本申请的权利要求范围中。
Claims (12)
1.一种敏感信息处理方法,其特征在于,包括:
从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
2.根据权利要求1所述的敏感信息处理方法,其特征在于,所述对所述根密钥进行密钥派生得到密钥信息,包括:
将所述根密钥输入密钥派生模块;
获取所述密钥派生模块的输出值,将所述输出值作为所述密钥信息。
3.根据权利要求1所述的敏感信息处理方法,其特征在于,所述采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密,得到所述敏感信息的密文,包括:
将所述随机存取存储器中存储的所述密钥信息和敏感信息输入加密模块;
获取所述加密模块输出的所述敏感信息的密文。
4.根据权利要求1所述的敏感信息处理方法,其特征在于,所述从一次性可编程存储器中获取根密钥之前,还包括:
采用随机数模块生成所述根密钥,将所述根密钥存储至所述一次性可编程存储器。
5.根据权利要求4所述的敏感信息处理方法,其特征在于,所述采用随机数模块生成所述根密钥,将所述根密钥存储至所述一次性可编程存储器之后,还包括:
触发所述一次性可编程存储器熔断存储处理。
6.一种敏感信息处理方法,其特征在于,包括:
确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
从闪存中获取敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
7.根据权利要求6所述的敏感信息处理方法,其特征在于,所述方法,还包括:
确定所述随机存取存储器中存在所述密钥信息,从所述闪存中获取所述敏感信息的密文;
采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
8.一种敏感信息处理装置,其特征在于,包括:
第一根密钥获取模块,用于从一次性可编程存储器中获取根密钥;
第一密钥信息生成模块,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至随机存取存储器;
密文处理模块,采用所述随机存取存储器中存储的所述密钥信息对敏感信息进行加密得到所述敏感信息的密文,将所述敏感信息的密文存储至闪存中。
9.一种敏感信息处理装置,其特征在于,包括:
第二根密钥获取模块,用于确定随机存取存储器中存储的密钥信息被销毁,从一次性可编程存储器中获取根密钥;
第二密钥信息生成模块,用于对所述根密钥进行密钥派生得到密钥信息,将所述密钥信息存储至所述随机存取存储器;
密文获取模块,用于从闪存中获取敏感信息的密文;
解密模块,用于采用所述随机存取存储器中存储的所述密钥信息对所述敏感信息的密文进行解密,得到所述敏感信息。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的敏感信息处理方法。
11.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的敏感信息处理方法。
12.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的敏感信息处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211668199.6A CN115982761A (zh) | 2022-12-23 | 2022-12-23 | 敏感信息处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211668199.6A CN115982761A (zh) | 2022-12-23 | 2022-12-23 | 敏感信息处理方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115982761A true CN115982761A (zh) | 2023-04-18 |
Family
ID=85971743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211668199.6A Pending CN115982761A (zh) | 2022-12-23 | 2022-12-23 | 敏感信息处理方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115982761A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
| CN116775062A (zh) * | 2023-08-22 | 2023-09-19 | 深圳市华曦达科技股份有限公司 | 一种用于生产key的加密烧录方法 |
-
2022
- 2022-12-23 CN CN202211668199.6A patent/CN115982761A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
| CN116775062A (zh) * | 2023-08-22 | 2023-09-19 | 深圳市华曦达科技股份有限公司 | 一种用于生产key的加密烧录方法 |
| CN116775062B (zh) * | 2023-08-22 | 2023-12-22 | 深圳市华曦达科技股份有限公司 | 一种用于生产key的加密烧录方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101888903B1 (ko) | 키를 이전시키기 위한 방법 및 장치 | |
| CN106529308B (zh) | 一种数据加密方法、装置及移动终端 | |
| KR102048756B1 (ko) | 무선단말기에서 정보를 관리하기 위한 방법 및 장치 | |
| US10659226B2 (en) | Data encryption method, decryption method, apparatus, and system | |
| WO2017202025A1 (zh) | 终端文件加密方法、终端文件解密方法和终端 | |
| CN110100422B (zh) | 基于区块链智能合约的数据写入方法、装置及存储介质 | |
| CN115982761A (zh) | 敏感信息处理方法、装置、电子设备和存储介质 | |
| CN112469036B (zh) | 一种消息加解密方法、装置、移动终端和存储介质 | |
| CN103378971B (zh) | 一种数据加密系统及方法 | |
| WO2016086788A1 (zh) | 移动终端上数据加/解密方法及装置 | |
| EP2835997B1 (en) | Cell phone data encryption method and decryption method | |
| US20230325516A1 (en) | Method for file encryption, terminal, electronic device and computer-readable storage medium | |
| CN104468937A (zh) | 移动终端的数据加、解密方法、装置及保护系统 | |
| WO2020232854A1 (zh) | 车辆解锁方法、装置、计算机设备及存储介质 | |
| CN107609410A (zh) | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 | |
| CN111294203A (zh) | 信息传输方法 | |
| CN110771190A (zh) | 对数据的控制访问 | |
| CN111404892B (zh) | 数据监管方法、装置和服务器 | |
| CN115795538A (zh) | 脱敏文档的反脱敏方法、装置、计算机设备和存储介质 | |
| CN105279447A (zh) | 数据加密方法、解密方法及装置 | |
| CN112199730A (zh) | 一种终端上应用数据的处理方法、装置及电子设备 | |
| CN111628864A (zh) | 一种使用sim卡进行密钥安全恢复的方法 | |
| CN111222151A (zh) | 移动端应用目录保护方法和装置 | |
| CN115361198A (zh) | 解密方法、加密方法、装置、计算机设备和存储介质 | |
| CN115603907A (zh) | 加密存储数据的方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |