本發明提供了一種基于TrustZone數據安全性和完整性的存儲系統及方法，屬于安全存儲技術領域；本發明的存儲系統包括普通存儲區域和安全存儲區域，普通存儲區域存儲不具安全權限的數據，安全存儲區域存儲敏感數據；存儲方法是客戶端發起數據存儲的請求，先由普通存儲區域判斷數據的完整性從而決定是否存儲，在具有完整性的基礎上判斷是否具有安全權限，若具有安全權限則對其進行編碼傳入到安全存儲區域，再對其進行解碼加密存儲數據；該系統和方法可提高數據存儲的完整性和安全性。

技術領域

本發明涉及安全存儲技術領域，特別設計一種基于TrustZone數據安全性和完整性存儲系統及方法。

背景技術

隨著互聯網移動終端的迅速發展，智能終端在人們生活中應用的越來越廣泛，進而關于一些敏感數據的存儲就成了大家關注的問題。現有的主流數據存儲機制是：把一些重要的數據存放在本地，通過虛擬機對一些普通數據與敏感數據進行隔離存儲。類似這樣的一些數據存儲機制是存在諸多缺陷的：首先，把重要的數據存放在本地，很容易被一些應用及外界竊取，不能保證其安全性；通過虛擬機對一些普通數據與敏感數據進行隔離存儲的存儲機制，不能保證敏感數據不被訪問，普通應用仍能對其進行訪問，不能保證敏感數據的安全隔離；最后，在存儲數據之前沒有對數據進行完整性校驗，會導致存入一些違法的不符合規范的數據，降低效率。

中國專利CN 201410619453.2公開了一種安全數據存儲方法及系統，適用于支持ARM TrustZone技術的處理器，且使用支持RPMB分區的eMMC作為存儲介質方法包括：可信任應用程序，安全存儲服務程序及其產生的安全數據對象被可信任執行環境保護；安全存儲服務程序向可信任應用程序提供安全數據對象的建立和訪問，并調用加解密模塊對安全數據對象進行加密和解密處理，加密后的安全數據對象通過共享內存頁面與非可信任實行環境中的eMMC RPMB驅動程序共享，非可信任實行環境中的eMMC RPMB驅動程序完成對eMMCRPMB分區的訪問和存儲；但是該系統和方法并不包括對于數據的完整性的校驗。

中國專利CN201510586671.5公開了一種基于TrustZone技術的安全存儲服務系統及方法，包括數據請求模塊、普通應用程序、安全存儲服務、可信應用程序；數據請求模塊負責普通應用程序與可信應用程序間數據安全存儲服務請求的封裝與調用，為普通應用程序提供統一的數據存儲、數據加載和數據銷毀的服務請求接口；安全存儲服務包括合法性檢測模塊、數據處理模塊和秘鑰管理模塊。上述發明目的在于為支持TrustZone技術的終端設備上的應用程序提供統一的數據安全存儲接口，既解決應用程序敏感數據的安全存儲問題，又保證應用程序開發的便捷性，但是該系統及方法并不包括對于數據的完整性的判斷。

發明內容

為了克服上述缺陷，本發明提出了一種基于TrustZone數據安全性和完整性的存儲系統和方法，主要針對數據的完整性進行校驗，采用如下的技術方案：

一種基于TrustZone數據安全性和完整性的存儲系統，包括具有TrustZone技術功能的ARM處理器、普通操作系統、安全操作系統、檢驗模塊、編碼模塊、控制模塊、解碼模塊和加密模塊；普通操作系統、安全操作系統分別和具有TrustZone技術功能的ARM處理器相連，檢驗模塊、編碼模塊分別和普通操作系統相連；控制模塊、解碼模塊、加密模塊分別和安全操作系統相連。

普通操作系統是指具有TrustZone技術功能的ARM處理器提供的用來存儲普通數據的系統；安全操作系統是指具有TrustZone技術功能的ARM處理器提供的用來存儲敏感安全數據的系統；檢驗模塊是用來校驗數據完整性的模塊；編碼模塊是對需要在安全操作系統中存儲的數據進行編碼的模塊，但是編碼數據存儲于普通操作系統中；控制模塊是利用TrustZone技術的監控模式將數據從普通操作系統傳入安全操作系統中的模塊；解碼模塊是對通過監控模式對傳入安全操作系統的數據進行解碼的模塊，解碼數據存儲于安全操作系統中；加密模塊是對解密后的數據進行加密處理，以保證數據的安全性的模塊。