本发明专利技术公开了一种基于RISC‑V的安全存储方法包括:步骤S1:利用RISC‑V特权指令集对flash的存储区域进行安全隔离;步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。本发明专利技术通过RISC‑V特权指令集控制flash存储芯片的访问权限,把应用对应存储区域划分开来,各自访问自己的存储区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。
A secure storage method based on risc-v
【技术实现步骤摘要】
一种基于RISC-V的安全存储方法
本专利技术涉及信息安全
,尤其是涉及弱终端设备安全存储访问
,具体的说,是一种基于RISC-V的安全存储方法。
技术介绍
可信执行环境(TEE)是GlobalPlatform(GP)提出的概念。针对移动设备的开放环境,安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者、移动运营商以及芯片厂商。TEE是与设备上的RichOS(通常是Android等)并存的运行环境,并且给RichOS提供安全服务。它具有其自身的执行空间,比RichOS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全性要低一些。但是TEE能够满足大多数应用的安全需求。目前对于含有TEE可信执行环境的终端设备都采用TEE存储私密数据,但是目前针对弱终端设备的数据存储都采用的是明文存储,而且针对数据存储都没有权限管理,所有应用都可以访问所有的存储,存在安全隐患。
技术实现思路
本专利技术的目的在于提供一种基于RISC-V的安全存储方法,用于解决现有技术中弱终端设备的数据存储采用明文存储且没有权限管理,所有应用都可以访问存储存在安全隐患的问题。本专利技术通过下述技术方案解决上述问题:一种基于RISC-V的安全存储方法,包括:步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。进一步地,所述步骤S1具体包括:利用RISC-V特权指令集配置flash的地址访问权限,将flash的存储区域进行划分,用于分别对应不同的应用程序。进一步地,所述步骤S2中的应用程序只能访问自己存储的私密数据。本方法使用RISC-V芯片的特权指令集来保护数据,保证数据安全的存储在flash当中,包括:利用KDF秘钥派生机制派生存数据密钥,应用(APP)使用存数据密钥加密私密数据存储在flash上,然后再使用RISC-V特权指令集控制flash存储芯片的访问权限。应用需要读取数据时,使用KDF密钥派生出读数据密钥(该密钥和之前派生的密钥相同)对存储的数据进行解密,得到自己存储的私密数据;各个应用都只能访问自己存储的私密数据,应用之间存储的数据不能相互访问;flash数据采用的加密存储,就算取下flash存储芯片也无法获取到应用的私密数据。本专利技术与现有技术相比,具有以下优点及有益效果:本专利技术有效的解决弱终端设备数据安全存储的问题,设备通过RISC-V特权指令集控制flash存储芯片的访问权限,这样就可以把应用对应区域划分开来,各自访问自己的内存区域;各应用存储在flash上面的数据使用KDF密钥派生的方法产生的密钥对存储的数据进行加密、以及在读取数据时采用KDF密钥派生密钥解密,达到数据的安全存储和数据的安全访问。附图说明图1为本专利技术的流程图。具体实施方式下面结合实施例对本专利技术作进一步地详细说明,但本专利技术的实施方式不限于此。实施例1:结合附图1所示,一种基于RISC-V的安全存储方法,包括:步骤1、对RISC-V芯片配置flash存储的地址访问权限,将加密应用、网络应用、用户管理应用等应用设置各自对应的flash存储区域;步骤2、应用权限设置好后,各个应用只能访问自己所属的存储区域,应用之间的存储区域无法相互访问;步骤3、应用在存储数据的时候调用KDF密钥派生算法派生加密数据的密钥,然后对数据加密存储在flash;应用在读数据的时候再次调用KDF密钥派生算法派生出解密数据的秘密,使用密钥解密读取的数据,应用得到明文数据;使用KDF密钥派生出加密密钥,masterkey使用设备的唯一标识(可以是设备的序列号、MAC地址等标识设备的唯一串码),password使用跟该应用相关的信息,最后生成的密钥就是加密数据的密钥,解密时派生的密钥与加密数据的密钥相同;这样每个应用对应加密数据的密钥都不相同,使得数据的安全性更高。各个应用只能读取各自对应的flash存储区域,且各个应用的密钥各不相同,数据采用分类加密存储,保证应用间数据的隔离保护;即使flash存储被取下来读取出来的数据也是加密的数据,没有密钥也是无法获得数据的明文,可以保证数据的安全。尽管这里参照本专利技术的解释性实施例对本专利技术进行了描述,上述实施例仅为本专利技术较佳的实施方式,本专利技术的实施方式并不受上述实施例的限制,应该理解,本领域技术人员可以设计出很多其他的修改和实施方式,这些修改和实施方式将落在本申请公开的原则范围和精神之内。本文档来自技高网...
【技术保护点】
1.一种基于RISC-V的安全存储方法,其特征在于,包括:/n步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;/n步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。/n
【技术特征摘要】
1.一种基于RISC-V的安全存储方法,其特征在于,包括:
步骤S1:利用RISC-V特权指令集对flash的存储区域进行安全隔离;
步骤S2:应用程序使用KDF秘钥派生出存数据密钥并对私密数据加密后存储在flash对应的存储区域;所述应用程序读取数据时,使用KDF密钥派生出读数据密钥并对存储的数据进行解密,得到私密数据。
2.根据权利要求1所述的一种基于RISC-V的安全存储方法,其...
【专利技术属性】
技术研发人员:杨国东,刘建敏,杨超,周强强,翟栋,
申请(专利权)人:四川虹微技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。