【技術實現步驟摘要】
本申請涉及數據安全,尤其涉及一種數據訪問方法、電子設備及芯片系統。
技術介紹
1、電子設備的功能越來越多,人們也越來越依賴電子設備。人們使用電子設備的過程中,會產生很多的用戶數據。為了保護用戶隱私,很多電子設備除了主系統之外,還提供子系統,該子系統可以作為用戶的隱私空間。
2、目前,一些子系統是以應用的形式存在,也可以做到和主系統的數據隔離。并且,該子系統應用開啟后,可以在該子系統應用中安裝并運行和主系統相同的其他應用(例如,即時通信應用、視頻應用等)。然而,由于該子系統是以應用的形式存在,所以,并不存在鎖屏密碼,這就導致子系統中的用戶數據的安全性較低。
技術實現思路
1、本申請提供一種數據訪問方法、電子設備及芯片系統,可以提高子系統中的用戶數據的安全性。
2、為達到上述目的,本申請采用如下技術方案:
3、第一方面,本申請提供一種數據訪問方法,應用于包括主芯片、安全芯片和存儲器的電子設備,所述主芯片中包括主系統和第一tee系統,所述主系統中包括子系統應用、系統內核和所述存儲器的控制模塊,所述子系統應用中安裝有第一應用,所述系統內核中存儲安全密鑰,所述存儲器中存儲有第一數據的密文數據,所述方法包括:
4、所述第一應用接收到所述第一數據的訪問請求后,向所述系統內核發送所述訪問請求;
5、所述系統內核接收到所述訪問請求后,將所述安全密鑰向所述第一tee系統發送,將所述訪問請求向所述存儲器的控制模塊發送,所述安全密鑰由所述第一te
6、所述第一tee系統接收到所述安全密鑰后,基于所述安全密鑰得到密鑰明文,將所述密鑰明文向所述存儲器的控制模塊發送;
7、所述存儲器的控制模塊接收到所述系統內核發送的所述訪問請求和所述第一tee系統發送的密鑰明文后,基于所述密鑰明文和所述存儲器中存儲的所述第一數據的密文數據,生成所述第一數據的明文數據;
8、所述存儲器的控制模塊向所述系統內核發送所述第一數據的明文數據;
9、所述系統內核接收到所述第一數據的明文數據后,向所述第一應用發送所述第一數據的明文數據。
10、本申請中,通過安全芯片生成安全密碼,然后基于安全密碼對de密鑰進行加密,生成安全密碼,在有數據訪問請求時,基于該安全密碼才能解密得到加密存儲空間中的用戶數據的主密鑰,所以,可以應用在無法設置鎖屏密碼只有de密鑰的子系統中提高子系統的安全性。
11、作為第一方面的一種實現方式,所述第一應用接收到所述第一數據的訪問請求之前,所述方法還包括:
12、所述主系統在所述主系統中安裝所述子系統應用;
13、所述主系統在安裝所述子系統應用后,首次啟動所述子系統應用;
14、所述子系統啟動后,在所述子系統中安裝所述第一應用;
15、所述子系統啟動所述第一應用。
16、本申請中的子系統是在主系統空間并運行在主系統的應用層的應用,然而,該子系統中可以安裝并運行其他應用。所以,這種運行在主系統的應用層的子系統可以節省系統資源,降低主系統功耗。
17、作為第一方面的一種實現方式,所述主系統在首次啟動所述子系統應用過程中,所述方法還包括:
18、所述子系統應用從所述安全芯片獲取安全密碼;
19、所述子系統應用將所述安全密碼向所述第一tee系統發送;
20、所述第一tee系統接收到所述安全密碼后,基于所述安全密碼對所述第一tee中存儲的de密鑰進行加密,生成安全密鑰;
21、所述第一tee系統將所述安全密鑰向所述系統內核發送;
22、所述系統內核接收到所述安全密鑰后,在所述系統內核中存儲所述安全密鑰。
23、本申請中,安全密碼是由安全芯片生成,具有更高的安全性,然后將安全密碼發送到第一tee系統對de密鑰進行加密,得到的安全密鑰的安全等級也更高。所以,可以提高子系統的用戶數據的安全性。
24、作為第一方面的一種實現方式,所述第一tee系統基于所述安全密鑰得到密鑰明文包括:
25、所述第一tee系統基于所述安全密碼和所述安全密鑰,得到所述de密鑰;
26、所述第一tee系統根據所述de密鑰生成所述密鑰明文。
27、作為生成安全密碼的第一tee系統可以在有數據訪問時,反向基于安全密碼和安全密鑰生成de密鑰,然后在基于de密鑰就可以生成用于與用戶數據解密的密鑰明文。
28、作為第一方面的一種實現方式,所述主芯片中還包括第二tee系統,所述子系統應用從所述安全芯片獲取安全密碼包括:
29、所述子系統應用向所述第二tee系統發送所述安全密碼的獲取請求;
30、所述第二tee系統接收到所述獲取請求后,向所述安全芯片發送所述安全密碼的獲取請求;
31、所述安全芯片接收到所述獲取請求后,基于所述獲取請求生成所述安全密碼;
32、所述安全芯片將所述安全密碼向所述第二tee系統發送;
33、所述第二tee系統接收到所述安全密碼后,向所述子系統應用發送;
34、所述子系統應用接收所述安全密碼。
35、本申請為了適配和安全芯片的通信以及信息交互,還設置了第二tee系統,在不改變原生第一tee系統的基礎上進行修改。
36、作為第一方面的一種實現方式,所述第二tee系統向所述安全芯片發送所述安全密碼的獲取請求之前,所述方法還包括:
37、所述第二tee系統對所述電子設備進行root檢測,確定所述電子設備未被root。
38、由于電子設備被root后,容易受到攻擊,所以,為了進一步提高安全性,只有在未被root的情況下再獲取安全密碼。
39、作為第一方面的一種實現方式,所述存儲器的控制模塊基于所述密鑰明文和所述存儲器中存儲的所述第一數據的密文數據,生成所述第一數據的明文數據,包括:
40、所述存儲器的控制模塊基于所述第一數據的訪問請求從所述存儲器獲取所述第一數據的密文數據;
41、所述存儲器的控制模塊基于所述密鑰明文對所述第一數據的密文數據進行解密,生成所述第一數據的明文數據。
42、作為第一方面的一種實現方式,所述第一tee系統和所述第二tee系統為同一tee系統。
43、本申請中,第一tee系統通常為主芯片平臺自帶的相比于操作系統更高等級的執行環境,第二tee系統為適配電子設備提供的各個功能自研的相比于操作系統更高等級的執行環境,這兩個執行環境也可以作為一個執行環境中的不同模塊存在。
44、第二方面,提供一種電子設備,包括主芯片和安全芯片,主芯片和安全芯片用于運行存儲器中存儲的計算機程序,實現本申請第一方面任一項的方法。
45、第三方面,提供一種芯片系統,包括主芯片,主芯片與存儲本文檔來自技高網...
【技術保護點】
1.一種數據訪問方法,其特征在于,應用于包括主芯片、安全芯片和存儲器的電子設備,所述主芯片中包括主系統和第一TEE系統,所述主系統中包括子系統應用、系統內核和所述存儲器的控制模塊,所述子系統應用中安裝有第一應用,所述系統內核中存儲安全密鑰,所述存儲器中存儲有第一數據的密文數據,所述方法包括:
2.如權利要求1所述的方法,其特征在于,所述第一應用接收到所述第一數據的訪問請求之前,所述方法還包括:
3.如權利要求2所述的方法,其特征在于,所述主系統在首次啟動所述子系統應用過程中,所述方法還包括:
4.如權利要求3所述的方法,其特征在于,所述第一TEE系統基于所述安全密鑰得到密鑰明文包括:
5.如權利要求3所述的方法,其特征在于,所述主芯片中還包括第二TEE系統,所述子系統應用從所述安全芯片獲取安全密碼包括:
6.如權利要求5所述的方法,其特征在于,所述第二TEE系統向所述安全芯片發送所述安全密碼的獲取請求之前,所述方法還包括:
7.如權利要求1至6任一項所述的方法,其特征在于,所述存儲器的控制模塊基于所述密鑰明文
8.如權利要求5或6所述的方法,其特征在于,所述第一TEE系統和所述第二TEE系統為同一TEE系統。
9.一種電子設備,其特征在于,所述電子設備包括主芯片和安全芯片,所述主芯片和安全芯片用于運行存儲器中存儲的計算機程序,以使得所述電子設備實現如權利要求1至8任一項所述的方法。
10.一種芯片系統,其特征在于,包括主芯片,所述主芯片和存儲器耦合,所述主芯片執行存儲器中存儲的計算機程序,實現如權利要求1至4,7或8所述的方法。
...【技術特征摘要】
1.一種數據訪問方法,其特征在于,應用于包括主芯片、安全芯片和存儲器的電子設備,所述主芯片中包括主系統和第一tee系統,所述主系統中包括子系統應用、系統內核和所述存儲器的控制模塊,所述子系統應用中安裝有第一應用,所述系統內核中存儲安全密鑰,所述存儲器中存儲有第一數據的密文數據,所述方法包括:
2.如權利要求1所述的方法,其特征在于,所述第一應用接收到所述第一數據的訪問請求之前,所述方法還包括:
3.如權利要求2所述的方法,其特征在于,所述主系統在首次啟動所述子系統應用過程中,所述方法還包括:
4.如權利要求3所述的方法,其特征在于,所述第一tee系統基于所述安全密鑰得到密鑰明文包括:
5.如權利要求3所述的方法,其特征在于,所述主芯片中還包括第二tee系統,所述子系統應用從所述安全芯片獲取安全密碼包括:
...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。