(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210825118.2 (22)申请日 2022.07.14 (71)申请人 深圳启芯信息科技有限公司 地址 518000 广东省深圳市新 安街道大浪 社区新安三路一巷24号汇聚宝 安湾智 创园B、 C栋B栋4层之12 (72)发明人 向宏卫　黄挺进　陈小川　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 杨振鹏 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 基于TrustZone的根文件系统加密方法及装 置、 设备及存 储介质 (57)摘要 本发明提供一种基于TrustZone的根文件系 统加密方法及装置、 设备及存储介质， 该方法包 括对根文件系统进行加密处理， 形成一加密根文 件系统； 生成加密根文件系统的镜像文件； 将镜 像文件烧写至设备中； 将加密根文件系统的密钥 加密并保存至设备的安全存储区域； 在设备启动 过程中， 读取设备上保存的密钥， 利用解密后的 密钥对加密根文件系统解密， 并挂载解密后的根 文件系统。 本发明充分利用ARM  TrustZone技术 的高度安全性和低成本， 增加了密钥管理的安全 性， 从而达 到高强度加密根文 件系统的目的。 权利要求书2页 说明书8页 附图4页 CN 115292727 A 2022.11.04 CN 115292727 A 1.一种基于TrustZo ne的根文件系统加密方法， 其特 征在于， 包括： 对根文件系统进行加密处 理， 形成一加密根文件系统； 生成加密根文件系统的镜像文件； 将镜像文件 烧写至设备中； 将加密根文件系统的密钥加密并保存至设备的安全 存储区域； 在设备启动过程中， 读取设备上保存的密钥， 利用解密后的密钥对加密根文件系统解 密， 并挂载解密后的根文件系统。 2.根据权利要求1所述的方法， 其特 征在于， 所述对根文件系统进行加密处 理， 包括： 创建空白的虚拟根文件系统； 创建虚拟根文件系统的映射分区； 格式化映射分区； 挂载映射分区； 将原始根文件系统内容拷贝到挂载的映射分区； 关闭映射， 完成加密根文件系统的制作。 3.根据权利要求1所述的方法， 其特征在于， 所述将加密根文件系统 的密钥加密并保存 至设备的安全 存储区域， 包括： 利用主机端， 通过串口连接的方式将密钥下发到设备； 当设备处于UBOOT阶段， 将密钥传递给设备的安全系统， 在安全系统中对密钥进行加 密； 将加密后的密钥回传到RE E文件系统； 在REE文件系统中将加密的密钥保存到安全 存储区域。 4.根据权利要求1所述的方法， 其特 征在于： 在设备启动过程中， 读取安全 存储区域上保存的密钥； 把读取到的密钥发送到安全系统， 调用TA接口进行解密； 将解密后的密钥保存在安全系统中， 在需要时通过命令调用TA接口进行读取； 利用解密后的密钥对根文件系统进行解密； 挂载解密后的根文件系统。 5.根据权利要求1所述的方法， 其特征在于， 所述将加密根文件系统 的密钥加密并保存 至设备的安全 存储区域， 包括： 当TA调用GP标准API库接口提供的写入函数以将密钥 写入持久性对象时， 将调用在TEE 安全存储SVC中实现的相应系统调用， 并通过TEE安全存储SVC调用一系 列TEE文件操作存储 密钥数据， 且通过TEE文件系统接口将该密钥数据传输至TEE文件系统； 然后， TEE文件系统 对密钥进行加密， 并通过一系列RPC消 息将REE文件操作命令和加密数据 发送给REE文件系 统， 通过REE文件系统将加密数据存储到Linux文件系统， 由Linux文件系统将加密后的密钥 保存到FLASH上的安全 存储区域。 6.根据权利要求3所述的方法， 其特 征在于： 当设备处于UBOOT阶段时， 在将密钥传递给设备的安全系统后， 还执行对经过串口传输 的密钥进行解密， 并重新对原始密钥利用安全系统的加密接口进行一轮加密； 将加密后的 密钥回传到RE E文件系统。权　利　要　求　书 1/2 页 2 CN 115292727 A 27.根据权利要求1至6任一项所述的方法， 其特征在于， 所述挂载解密后的根文件系统， 包括： 由Linux文件系统内核提供一种从逻辑设备到物理设备的映射Device  mapper， 其包括 映射设备、 映射表和目标设备， 映射设备是一个逻辑抽象， 其通过映射表描述的映射关系和 目标设备建立映射， 其中， 将根文件系统通过Device  mapper映射为/dev/dm ‑0设备， 对/ dev/dm‑0设备进行文件系统格式化后挂载至L inux文件系统ro ot目录。 8.一种基于TrustZo ne的根文件系统加密装置， 其特 征在于， 包括： TrustZone处理器， 用于执行与普通应用程序隔离的安全应用程序， 并且访问预留给安 全程序的内存空间； TrustZone处理器上的Bo otLoader程序， 用于初始化系统； TrustZone处理器上的永久存储器或一次性可编程存储器， 用作存储设备或存储管理 密钥； TrustZone处理器上的RAM， 用来存 储和运行安全代码。 外围设备， 用于提供安全应用访问通道。 9.一种电子设备， 包括： 存储器， 存储有计算机可 执行指令； 处理器， 配置为 运行所述计算机可 执行指令， 其中， 所述计算机可执行指令被所述处理器运行时实现根据权利要求1 ‑7任一项所述 的基于TrustZo ne的根文件系统加密方法的步骤。 10.一种计算机可读存储介质， 其中， 所述计算机可读存储介质存储有计算机可执行指 令， 所述计算机可执行指令被处理器执行时实现根据权利要求1 ‑7任一项所述的基于 TrustZone的根文件系统加密方法的步骤。权　利　要　求　书 2/2 页 3 CN 115292727 A 3