WO2017041603A1 - 数据加密方法、装置及移动终端、计算机存储介质 - Google Patents

Abstract

一种数据加密方法，包括：接收用户输入的加密信息，根据所述加密信息，确定加密密文（101）；生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密（102）；通过所述磁盘秘钥，对进入存储设备的数据进行加密（103）。还公开了一种数据加密装置及一种移动终端。

Description

数据加密方法、装置及移动终端、计算机存储介质 技术领域

本发明涉及数据加密技术，尤其涉及一种高级别数据加密方法、装置及移动终端、计算机存储介质。

背景技术

随着智能移动终端的普及，移动终端的存储设备上上存储了越来越多的私人数据，如账户信息、联系人信息、照片等。一旦移动终端因丢失或被盗被其他人获得，会给用户造成较大损失。因此，在移动终端广泛使用的今天，对移动终端中存储的数据进行加密变得非常必要。

现有的移动终端数据加密方法一定程度上能够保护移动终端上的私人数据，但同时也都存在一定的漏洞和缺点：如，1)数据磁盘秘钥仍然保存在被加密文件的分区，因而容易被获取破解，导致数据不够安全；2)数据加密过程中需要将加密数据需要先搬运至内存然后由加密引擎读取进行加密，加密后再写回内存，最后将加密数据写到存储设备，过程繁琐效率低下，速度慢效率低。

可见，现有的数据加密方法不仅安全性不够高，而且加密效率较低，影响了用户体验，增加系统功耗。

发明内容

有鉴于此，本发明实施例期望提供一种数据加密方法、装置及移动终端，能够提高数据加密的效率和安全性。

为达到上述目的，本发明的技术方案是这样实现的：

本发明实施例提供了一种数据加密方法，所述方法包括：

接收用户输入的加密信息，根据所述加密信息，确定加密密文；

生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

通过所述磁盘秘钥，对进入存储设备的数据进行加密。

上述方案中，所述根据加密信息确定加密密文包括：根据用户输入的加密信息和随机盐值，通过哈希(HASH)算法，确定加密密文。

上述方案中，所述生成磁盘秘钥包括：根据HUK值派生磁盘秘钥。

上述方案中，所述方法还包括：

存储所述加密密文以及所述加密后的秘钥。

上述方案中，所述方法还包括：

接收用户输入的解密信息，根据所述解密信息，确定解密密文；

当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；

通过所述磁盘秘钥，对取出存储设备的数据进行解密。

上述方案中，所述根据解密信息确定解密密文包括：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。

上述方案中，所述方法还包括：相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。

本发明实施例还提供了一种数据加密装置，所述装置包括：秘钥管理模块、加密引擎模块，其中，

所述秘钥管理模块，配置为接接收用户输入的加密信息，根据所述加密信息，确定加密密文；生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

所述加密引擎模块，配置为通过所述磁盘秘钥，对进入存储设备的数据进行加密。

上述方案中，所述秘钥管理模块还配置为：根据用户输入的加密信息 和随机盐值，通过HASH算法，确定加密密文。

上述方案中，所述秘钥管理模块还配置为：根据HUK值派生磁盘秘钥。

上述方案中，所述装置还包括安全存储模块，配置为存储所述加密密文以及所述加密后的秘钥。

上述方案中，所述秘钥管理模块还配置为：接收用户输入的解密信息，根据所述解密信息，确定解密密文；

当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；

所述加密引擎模块，还配置为通过所述磁盘秘钥，对取出存储设备的数据进行解密。

上述方案中，所述秘钥管理模块还配置为：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。

上述方案中，所述秘钥管理模块还配置为：相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。

本发明实施例还提供了一种移动终端，所述移动终端包括上述数据加密装置。

本发明实施例还提供了一种计算机存储介质，本发明实施例提供的计算机存储介质存储有计算机程序，该计算机程序用于执行上述数据加密方法。

本发明实施例的技术方案中，接收用户输入的加密信息，根据所述加密信息，确定加密密文；生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；通过所述磁盘秘钥，对进入存储设备的数据进行加密。如此，无需将被加密数据反复在内存和存储设备之间反复搬运，能够直接对经由存储器通道的数据进行加密，大大简化了加密流程和步骤，同时提高了效率降低系统功耗。同时，磁盘秘钥生成和加密过程与使用过程分离，从而 提高了整个终端设备数据的安全性。

附图说明

图1为本发明实施例一数据加密方法流程示意图；

图2为本发明实施例二数据加密方法流程示意图；

图3为本发明实施例三数据加密方法流程示意图；

图4为本发明实施例数据解密方法流程示意图；

图5为本发明实施例数据加密装置结构示意图。

具体实施方式

本发明实施例中，先接收用户输入的加密信息，根据所述加密信息，确定加密密文；再根据所述加密密文，对磁盘秘钥进行加密；之后通过所述磁盘秘钥，对进入存储设备的数据进行加密。其中，所述进入存储设备的数据为经过存储设备和系统总线之间的、进入存储设备的数据。

本发明实施例所述数据加密方法涉及可信执行环境(TEE，Trusted Execution Environment)和常规操作系统环境(REE，Rich Execution Environment)(如Android等)，其中，确定加密密文以及生成磁盘秘钥、对磁盘密钥进行加密的过程在TEE中执行，对进入存储设备的数据进行加密的过程在REE中执行。从而实现对经过存储设备和系统总线之间的、进入存储设备的数据进行加密。对数据进行加密的秘钥来源于TEE系统，由TEE为其提供秘钥保存管理。

本发明实施例中，TEE系统可基于TrustZone技术构建，与设备上的主OS(如Android中的REE)是平行关系。TEE和主OS(如REE)是两个隔离的环境，两者通过规范好的固定接口进行通信，REE环境及其上运行的应用程序无法访问触及到TEE环境的资源，TEE上仅运行安全可信的程序，从而确保了TEE环境的安全可靠性同时也可防止恶意软件的攻击。

相对于传统的数据加密方法，无需将被加密数据反复在内存和存储设备之间反复搬运，能够直接对经由存储器通道的数据进行加密，加密过程不需要CPU参与，大大简化了加密流程和步骤，同时提高了效率降低系统功耗。同时，磁盘秘钥生成和保存在安全环境TEE中，REE及第三方应用无法触及到，安全性大大提高，从而提高了整个终端设备数据的安全性。

下面结合附图及具体实施例，对本发明技术方案的实施作进一步的详细描述。图1为本发明实施例一数据加密方法流程示意图，如图1所示，本实施例数据加密方法包括以下步骤：

步骤101：接收用户输入的加密信息，根据所述加密信息，确定加密密文；

其中，所述根据所述加密信息，确定加密密文包括：根据用户输入的加密信息和随机盐值，通过HASH算法，确定加密密文；并将所述加密密文进行存储；

其中，所述用户输入的加密信息即用户输入的密码信息，具体的，在用户设置用户密码的过程中，首先接收用户输入的加密信息，即用户设置的密码，然后在接收到的用户输入的加密信息中加入随机盐值进行混淆，随机盐值的长度可以和HASH的输出数据长度一样长。这里，相同的加密信息加入相同的盐值，不同的加密信息加入不同盐值，确保使用非固定盐值。在用户用输入的加密信息中加入盐值后经HASH算法(如SHA、MD5等)加密生成加密密文，所述加密密文即为即HASH值。所述加密密文用来对磁盘秘钥进行加密及后续解密过程中对用户输入的解密信息进行验证，然后将所述加密密文进行存储，而用户输入的加密信息不进行保存。这样即使不法用户获得系统中HASH值其反向破解难度也是极大的。

步骤102：生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

本发明实施例中，所述生成磁盘秘钥包括：根据HUK(Hardware Unique  Key)值派生磁盘秘钥；其中，所述磁盘秘钥用于对数据进行加密和解密。HUK值为硬件设备的可信根，作为每个硬件设备独一无二的标识，在芯片工厂阶段被烧写进非易失性存储器中。

本发明实施例中，所述方法还包括：存储所述加密后的密文。

本发明实施例中，根据设备本身的HUK值派生出磁盘秘钥，从而可确保每台设备磁盘秘钥的独一无二性，并利用上述密文对所述磁盘秘钥进行加密然后进行保存。

步骤103：通过所述磁盘秘钥，对进入存储设备的数据进行加密。

本发明实施例中，获取TEE环境中生成的秘钥，直接对REE环境中的、经过存储设备和系统总线之间的、进入存储设备的数据进行实时加解密，无需再将数据其搬运至内存。在进行加密的过程中其可以将秘钥信息存储在REE环境中的秘钥寄存器中。

本发明实施例中，当用户需要对加密后的数据进行解密时，所述方法还包括：接收用户输入的解密信息，根据所述解密信息，确定解密密文；判断所述解密密文是否与存储的加密密文相同，当所述解密密文与存储的加密密文不相同时，解密失败，提示用户密码错误；当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；通过所述磁盘秘钥，对取出存储设备的数据进行解密。

其中，所述根据解密信息确定解密密文包括：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。

在生成加密密文和解密密文的过程中，相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。这样使用非固定盐值进一步增加暴力破解难度。

具体的，当用户用需要对数据进行解密时，接收用户输入的解密信息，即用户输入的密码，将接收到的用户输入的解密信息使用相应的盐值对其 进行混淆，同时使用和加密过程相同的HASH算法对其加密得到解密密文，其中，所述解密密文即为HASH值，然后判断所述解密密文(HASH值)与系统中保存的加密密文(HASH值)是否相同，当所述解密密文与存储的加密密文不相同时，解密失败，提示用户密码错误；当所述解密密文与系统中保存的加密密文相同时，认为验证通过，通过所述解密密文对磁盘秘钥解密获取磁盘秘钥，从而实现对用户密码进行验证。

在数据加密的过程中，用户输入的加密信息为用户设置的加密密码；在数据解密的过程中，用户输入的解密信息为用户输入的解密密码。

图2为本发明实施例二数据加密方法流程示意图，如图2所示，本发明实施例二所述数据加密方法为用户在终端上首次开启磁盘加密功能的过程，TEE环境中包括用户密码设置、秘钥派生等步骤，所述数据加密方法首先要求用户设置加密信息，然后根据用户输入的加密信息和随机盐值加密得到加密密文，利用该密文对由设备HUK值派生出的磁盘秘钥进行加密，并保存加密后的秘钥，同时保存所述加密密文。然后REE侧获取所述磁盘秘钥，并根据所述磁盘秘钥对磁盘数据进行加密。具体的，本发明实施例二所述数据加密方法包括以下步骤：

步骤201：用户在开启磁盘加密功能；

其中，用户可以在“设置”选项中开启磁盘加密功能；

步骤202：提用户设置密码；

其中，可以通过界面弹出密码框的方式提升用户设置密码；

步骤203：接收用户输入的密码，对用户密码加入随机盐值，并进行HASH运算得到HASH值；

其中，所述HASH值即为加密密文。

步骤204：保存所述HASH值；

步骤205：通过所述HASH值对磁盘秘钥进行加密；

步骤206：保存所述加密后的秘钥；

步骤207：通知REE环境对数据进行加密；

步骤208：通过固定接口从TEE环境获取磁盘秘钥，对进入存储设备的数据进行加密。

图3为本发明实施例三数据加密方法流程示意图，如图3所示，本发明实施例三所述数据加密方法为写磁盘数据的实时加密的过程。REE在获取磁盘秘钥后会将其保存到秘钥寄存器中供后续数据加解密。在进行在正常使用过程中，会实时对磁盘写入数据进行加密，通过直接对经过存储设备和系统总线之间的、进入存储设备的磁盘数据进行加密，减少了数据往复搬运内存的过程，提高了加密速度和效率；具体的，本发明实施例三所述数据加密方法包括以下步骤：

步骤301：CPU对磁盘数据进行写操作；

步骤302：REE通过固定接口从TEE获取磁盘秘钥，并保存到自身的秘钥寄存器中；所述磁盘秘钥用于后续加密过程；

步骤303：通过所述磁盘秘钥对经过存储设备和系统总线之间的、要写入存储设备的磁盘数据要进行加密。

步骤304：将加密后数据发送给存储设备进行存储。

图4为本发明实施例数据解密方法流程示意图，如图4所示，本发明实施例所述数据解密方法为读磁盘数据的实时解密的过程。REE在获取磁盘秘钥后会将其保存到秘钥寄存器中供后续数据加解密。在进行在正常使用过程中，会实时对磁盘读出数据进行解密，通过直接对经过存储设备和系统总线之间的、读出存储设备的磁盘数据进行解密，减少了数据往复搬运内存的过程，提高了解密速度和效率；具体的，本发明实施例四所述数据解密方法包括以下步骤：

步骤401：CPU对磁盘数据进行读操作；

步骤402：REE通过固定接口从TEE获取磁盘秘钥，并保存到自身的秘钥寄存器中；所述磁盘秘钥用于后续解密过程；

步骤403：通过所述磁盘秘钥对经过存储设备和系统总线之间的、要读出存储设备的磁盘数据要进行解密。

步骤404：将解密后数据发送给CPU。系统总线。

本发明实施例还提供了一种数据加密装置，图5为本发明实施例数据加密装置结构示意图，如图5所示，所述装置包括：秘钥管理模块51、加密引擎模块52，其中，所述装置涉及TEE和REE，秘钥管理模块51位于TEE中，对加密引擎模块52位于REE中。TEE中的秘钥管理模块51具有秘钥派生，秘钥加密解密，解密信息验证等功能；REE中的加密引擎模块52采用In-Line的架构方式，即在现有的智能移动终端硬件方案架构中将加密引擎模块52内置于存储设备和系统总线之间，为存储管理器独立拥有。对进出存储设备的数据进行实时加密和解密，无需再将进行加密和解密的数据搬运到内存，如图5所示，所述加密引擎模块52和秘钥管理模块51直接连接通信，从秘钥管理模块51获取密钥信息，在正常工作过程中，所述加密引擎模块52可以将秘钥信息存储在自己的秘钥寄存器中。加密引擎模块52所使用的秘钥受控于TEE系统，由TEE为其提供秘钥保存管理等。

所述秘钥管理模块51，配置为接接收用户输入的加密信息，根据所述加密信息，确定加密密文；

其中，所述秘钥管理模块51还配置为：根据用户输入的加密信息和随机盐值，通过HASH算法，确定加密密文。

所述装置还包括安全存储模块53，配置为存储所述加密密文以及所述加密后的秘钥。

本发明实施例中，所述安全存储模块53位于TEE环境中，配置为对磁盘秘钥、HUK值等敏感信息进行保存。所述安全存储模块53的接口直接 连接秘钥管理模块51，仅能被秘钥管理模块51读取。HUK值为硬件设备的可信根，作为每个硬件设备独一无二的标识，在芯片工厂阶段被烧写进非易失性存储器中。

其中，所述用户输入的加密信息即用户输入的密码信息，具体的，在用户设置密码的用户密码的过程中，所述秘钥管理模块51首先接收用户输入的加密信息，即用户设置的密码，然后在接收到的用户输入的加密信息中加入随机盐值进行混淆，随机盐值的长度可以和HASH的输出数据长度一样长。这里，所述秘钥管理模块51在相同的加密信息加入相同的盐值，不同的加密信息加入不同盐值，确保使用非固定盐值。在用户用输入的加密信息中加入盐值后经HASH算法(如SHA、MD5等)加密生成加密密文，所述加密密文即为即HASH值。所述加密密文用来对磁盘秘钥进行加密及后续解密过程中对用户输入的解密信息进行验证，然后将所述加密密文进行存储，而用户输入的加密信息不进行保存。这样即使不法用户获得系统中HASH值其反向破解难度也是极大的。

所述秘钥管理模块51，还配置为生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

其中，所述秘钥管理模块51还配置为：根据HUK值派生磁盘秘钥。其中，所述磁盘秘钥用于对数据进行加密和解密。

所述安全存储模块53还配置为存储所述加密后的密文。

本发明实施例中，所述秘钥管理模块51根据设备本身的HUK值派生出磁盘秘钥，从而可确保每台设备磁盘秘钥的独一无二性，并利用上述密文对所述磁盘秘钥进行加密然后进行保存。

所述加密引擎模块52，配置为通过所述磁盘秘钥，对进入存储设备的数据进行加密。

本发明实施例中，所述加密引擎模块52获取TEE环境中秘钥管理模块 51生成的秘钥，直接对REE环境中的、经过存储设备和系统总线之间的、进入存储设备的数据进行实时加解密，无需再将数据其搬运至内存等。在进行加密的过程中其可以将秘钥信息存储在REE环境中的秘钥寄存器中。

发明实施例中，当用户需要对加密后的数据进行解密时，所述秘钥管理模块51还配置为：接收用户输入的解密信息，根据所述解密信息，确定解密密文；

判断所述解密密文是否与存储的加密密文相同，当所述解密密文与存储的加密密文不相同时，解密失败，提示用户密码错误；当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；

其中，所述秘钥管理模块51还配置为：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。

所述秘钥管理模块51在生成加密密文和解密密文的过程中，相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。

具体的，当用户用需要对数据进行解密时，所述秘钥管理模块51接收用户输入的解密信息，即用户输入的密码，将接收到的用户输入的解密信息使用相应的盐值对其进行混淆，同时使用和加密过程相同的HASH算法对其加密得到解密密文，其中，所述解密密文即为HASH值，然后判断所述解密密文(HASH值)与系统中保存的加密密文(HASH值)是否相同，当所述解密密文与存储的加密密文不相同时，解密失败，提示用户密码错误；当所述解密密文与系统中保存的加密密文相同时，认为验证通过，通过所述解密密文对磁盘秘钥解密获取磁盘秘钥，从而实现对用户密码进行验证。

所述加密引擎模块52，还配置为通过所述磁盘秘钥，对取出存储设备 的数据进行解密。

在数据加密的过程中，用户输入的加密信息为用户设置的加密密码；在数据解密的过程中，用户输入的解密信息为用户输入的解密密码。

本发明实施例还提供了一种移动终端，其所述移动终端包括图5所述数据加密装置。

本发明实施例所述数据加密方法、装置及移动终端，秘钥保存在可信执行环境TEE中并经用户输入的加密信息进行加密，REE环境及其第三方应用无法获取，安全性大大提高，从而提高了整个终端设备数据的安全性；加密引擎模块采用In-Line的架构方式内置于存储设备和系统总线之间，减少了数据搬运过程从而大幅提高加密速度和效率，降低系统功耗。磁盘秘钥根据每个设备的HUK值生成必然不同，即使使用相同的加解密系统和算法也极难对其进行破解。

如此，一方面提升现有数据加密的安全性；另一方面大幅提高数据加密效率和速度，减少数据搬运次数从而降低功耗解放CPU等；并且能够为终端设备提供实时的数据加密服务。能满足用户对数据进行隐私保护的需求且即使手机丢失或被盗后仍能防范隐私不被泄露的风险。

图5中所示的数据加密装置中的各处理模块的实现功能，可参照前述数据加密方法的相关描述而理解。本领域技术人员应当理解，图3所示的数据加密装置中各处理模块的功能可通过运行于处理器上的程序而实现，也可通过具体的逻辑电路而实现，比如：可由中央处理器(CPU，Central Processing Unit)、微处理器(MPU，Micro Processor Unit)、数字信号处理器(DSP，Digital Signal Processor)、或现场可编程门阵列(FPGA，Field Programmable Gate Array)等实现。

本发明实施例上述业务信令跟踪的装置如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储 介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本发明实施例不限制于任何特定的硬件和软件结合。

相应地，本发明实施例还提供一种计算机存储介质，其中存储有计算机程序，该计算机程序用于执行本发明实施例的数据加密方法。

在本发明所提供的几个实施例中，应该理解到，所揭露的方法及装置，可以通过其他的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个模块或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的通信连接可以是通过一些接口，设备或模块的间接耦合或通信连接，可以是电性的、机械的或其他形式的。

上述作为分离部件说明的模块可以是、或也可以不是物理上分开的，作为模块显示的部件可以是、或也可以不是物理模块，即可以位于一个地方，也可以分布到多个网络模块上；可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能模块可以全部集成在一个处理模块中，也可以是各模块分别单独作为一个模块，也可以两个或两个以上模块集成在一个模块中；上述集成的模块既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明实施例上述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

本发明是实例中记载的数据加密方法、装置只以上述实施例为例，但不仅限于此，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本发明实施例的技术方案，接收用户输入的加密信息，根据所述加密信息，确定加密密文；生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；通过所述磁盘秘钥，对进入存储设备的数据进行加密。如此，无需将被加密数据反复在内存和存储设备之间反复搬运，能够直接对经由存储器通道的数据进行加密，大大简化了加密流程和步骤，同时提高了效 率降低系统功耗。同时，磁盘秘钥生成和加密过程与使用过程分离，从而提高了整个终端设备数据的安全性。

Claims (16)

1. 一种数据加密方法，所述方法包括：

   接收用户输入的加密信息，根据所述加密信息，确定加密密文；

   生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

   通过所述磁盘秘钥，对进入存储设备的数据进行加密。
2. 根据权利要求1所述方法，其中，所述根据加密信息确定加密密文包括：根据用户输入的加密信息和随机盐值，通过哈希HASH算法，确定加密密文。
3. 根据权利要求1所述方法，其中，所述生成磁盘秘钥包括：根据HUK值派生磁盘秘钥。
4. 根据权利要求1所述方法，其中，所述方法还包括：

   存储所述加密密文以及所述加密后的秘钥。
5. 根据权利要求1所述方法，其中，所述方法还包括：

   接收用户输入的解密信息，根据所述解密信息，确定解密密文；

   当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；

   通过所述磁盘秘钥，对取出存储设备的数据进行解密。
6. 根据权利要求5所述方法，其中，所述根据解密信息确定解密密文包括：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。
7. 根据权利要求2或6所述方法，其中，所述方法还包括：相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。
8. 一种数据加密装置，所述装置包括：秘钥管理模块、加密引擎模块，其中，

   所述秘钥管理模块，配置为接接收用户输入的加密信息，根据所述加密信息，确定加密密文；生成磁盘秘钥，并根据所述加密密文，对磁盘秘钥进行加密；

   所述加密引擎模块，配置为通过所述磁盘秘钥，对进入存储设备的数据进行加密。
9. 根据权利要求8所述装置，其中，所述秘钥管理模块还配置为：根据用户输入的加密信息和随机盐值，通过HASH算法，确定加密密文。
10. 根据权利要求8所述装置，其中，所述秘钥管理模块还配置为：根据HUK值派生磁盘秘钥。
11. 根据权利要求8所述装置，其中，所述装置还包括安全存储模块，配置为存储所述加密密文以及所述加密后的秘钥。
12. 根据权利要求8所述装置，其中，所述秘钥管理模块还配置为：接收用户输入的解密信息，根据所述解密信息，确定解密密文；

    当所述解密密文与存储的加密密文相同时，通过所述解密密文，对所述磁盘秘钥进行解密，获得所述磁盘秘钥；

    所述加密引擎模块，还配置为通过所述磁盘秘钥，对取出存储设备的数据进行解密。
13. 根据权利要求11所述装置，其中，所述秘钥管理模块还配置为：根据用户输入的解密信息和随机盐值，通过HASH算法加密，确定解密密文。
14. 根据权利要求9或13所述装置，其中，所述秘钥管理模块还配置为：相同的加密信息和解密信息使用相同的随机盐值，不同的加密信息和解密信息使用不同的随机盐值。
15. 一种移动终端，其中，所述移动终端包括权利要求8至14任一项所述数据加密装置。
16. 一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行权利要求1-7任一项所述的数据加密方法。

Images