[发明专利]管理用于数据的安全存储的密钥的方法及其设备

说明书

本申请要求于2012年8月6日提交的第10-2012-0085892号韩国专利申请的优先权，该申请的公开通过引用全部合并于此。

技术领域

本发明构思的示例实施例涉及数据存储方法和设备。

背景技术

随着移动装置中执行的应用的多样化，便利性已经增加，但处理重要数据（例如，财务数据、密钥、证书、国际移动装备身份（IMEI）和SimLock）的频率也已经增加，并且已经开发出了威胁到数据安全性的攻击技术。因此，可能重要的是，利用针对重要数据的密码技术来提供安全存储。安全存储特征是用于安全地存储并解密重要数据的技术。根据安全存储特征，在应用请求处理数据时安全地存储并管理数据，并且只允许所述应用访问数据。

安全存储特征可利用密码技术来保护数据免受没有数据访问权利的应用或恶意软件（即，恶意软件或病毒）的影响。安全存储特征还可利用用于安全地管理密码技术中使用的密钥的技术。

发明内容

至少一个示例实施例涉及一种密钥管理器。

在一个实施例中，所述密钥管理器包括：主控制器，被配置为处理命令；密码单元，被配置为基于主控制器处理命令的结果，对第一密钥进行加密以形成加密密钥或者对数据进行加密以形成加密数据，并基于主控制器处理命令的结果，对加密密钥或加密数据进行解密；散列单元，被配置为根据主控制器的控制来散列第一密钥；解密密钥存储器，被配置为存储解密密钥；以及加密密钥存储器，被配置为存储加密密钥。

在一个实施例中，主控制器包括：寄存器，被配置为存储命令；以及处理器，被配置为基于命令在有限状态机内的多个状态之间切换。

在一个实施例中，寄存器包括：命令寄存器，被配置为存储命令；以及状态寄存器，被配置为存储与命令相关联的状态信息。

在一个实施例中，命令包括命令类型和地址，其中，所述地址是解密密钥存储器中的解密密钥和加密密钥存储器中的加密密钥中的一个的地址。

在一个实施例中，命令包括密钥产生命令、密钥加密命令、密钥解密命令、密钥加载命令和密钥销毁命令中的一个。

在一个实施例中，第一密钥是被配置为对密钥进行加密的密钥加密密钥（KEK）。

在一个实施例中，密钥管理器还包括：一次性可编程（OTP）存储器，被配置为产生KEK；以及随机数产生器，被配置为产生数据加密密钥（DEK），DEK被配置为加密数据。

在一个实施例中，加密密钥包括第一加密密钥部分、第二加密密钥部分和散列值，第一加密密钥部分包括第一密钥的第一部分和由随机数产生器产生的随机数的第一部分，并且第二加密密钥部分包括第一密钥的第二部分和所述随机数的第二部分。

在一个实施例中，密码单元包括：密钥寄存器，被配置为存储加密密钥；输入数据寄存器，被配置为存储数据；以及输出数据寄存器，被配置为存储加密数据和解密密钥中的一个或多个。

在一个实施例中，密钥管理器还包括：调试模式模块，被配置为允许主机在测试模式期间访问密钥寄存器、输入数据寄存器和输出数据寄存器。

在一个实施例中，调试模式模块包括：调试模式寄存器，包括测试模式使能位、随机数使能位和保留位；以及调试模式使能逻辑单元，被配置为响应于测试模式使能位和随机数使能位来使得能够进行测试模式。

在一个实施例中，密码单元、散列单元、解密密钥存储器和加密密钥存储器在硬件中实现。

在一个实施例中，主控制器被配置为允许主机读取存储在加密密钥存储器中的加密密钥，并防止主机访问解密密钥存储器、密码单元和散列单元。

至少一个示例实施例涉及一种管理第一密钥的方法。

在一个实施例中，所述方法包括：处理命令寄存器中存储的命令；如果命令是密钥产生命令，则使用随机数产生器产生第一随机数，并将所产生的随机数作为解密密钥存储在解密密钥存储器中；以及如果命令是密钥加密命令，则产生加密密钥。产生加密密钥的步骤包括：对解密密钥和第一密钥的散列部分进行加密以形成加密密钥，将加密密钥存储在加密密钥存储器中，并且从加密密钥存储器读取并输出加密密钥。

在一个实施例中，命令包括加密密钥和解密密钥中的一个的命令类型和地址。

在一个实施例中，产生加密密钥的步骤包括：从解密密钥存储器读取解密密钥；通过将解密密钥与第二随机数混合来产生散列值；通过对解密密钥、第二随机数和散列值执行加密来产生加密密钥；以及将加密密钥存储在加密密钥存储器中。

至少一个示例实施例涉及一种密钥管理器。