本申請要求于2012年8月6日提交的第10-2012-0085892號韓國專利申請的優先權，該申請的公開通過引用全部合并于此。

技術領域

本發明構思的示例實施例涉及數據存儲方法和設備。

背景技術

隨著移動裝置中執行的應用的多樣化，便利性已經增加，但處理重要數據（例如，財務數據、密鑰、證書、國際移動裝備身份（IMEI）和SimLock）的頻率也已經增加，并且已經開發出了威脅到數據安全性的攻擊技術。因此，可能重要的是，利用針對重要數據的密碼技術來提供安全存儲。安全存儲特征是用于安全地存儲并解密重要數據的技術。根據安全存儲特征，在應用請求處理數據時安全地存儲并管理數據，并且只允許所述應用訪問數據。

安全存儲特征可利用密碼技術來保護數據免受沒有數據訪問權利的應用或惡意軟件（即，惡意軟件或病毒）的影響。安全存儲特征還可利用用于安全地管理密碼技術中使用的密鑰的技術。

發明內容

至少一個示例實施例涉及一種密鑰管理器。

在一個實施例中，所述密鑰管理器包括：主控制器，被配置為處理命令；密碼單元，被配置為基于主控制器處理命令的結果，對第一密鑰進行加密以形成加密密鑰或者對數據進行加密以形成加密數據，并基于主控制器處理命令的結果，對加密密鑰或加密數據進行解密；散列單元，被配置為根據主控制器的控制來散列第一密鑰；解密密鑰存儲器，被配置為存儲解密密鑰；以及加密密鑰存儲器，被配置為存儲加密密鑰。

在一個實施例中，主控制器包括：寄存器，被配置為存儲命令；以及處理器，被配置為基于命令在有限狀態機內的多個狀態之間切換。

在一個實施例中，寄存器包括：命令寄存器，被配置為存儲命令；以及狀態寄存器，被配置為存儲與命令相關聯的狀態信息。

在一個實施例中，命令包括命令類型和地址，其中，所述地址是解密密鑰存儲器中的解密密鑰和加密密鑰存儲器中的加密密鑰中的一個的地址。

在一個實施例中，命令包括密鑰產生命令、密鑰加密命令、密鑰解密命令、密鑰加載命令和密鑰銷毀命令中的一個。

在一個實施例中，第一密鑰是被配置為對密鑰進行加密的密鑰加密密鑰（KEK）。

在一個實施例中，密鑰管理器還包括：一次性可編程（OTP）存儲器，被配置為產生KEK；以及隨機數產生器，被配置為產生數據加密密鑰（DEK），DEK被配置為加密數據。

在一個實施例中，加密密鑰包括第一加密密鑰部分、第二加密密鑰部分和散列值，第一加密密鑰部分包括第一密鑰的第一部分和由隨機數產生器產生的隨機數的第一部分，并且第二加密密鑰部分包括第一密鑰的第二部分和所述隨機數的第二部分。

在一個實施例中，密碼單元包括：密鑰寄存器，被配置為存儲加密密鑰；輸入數據寄存器，被配置為存儲數據；以及輸出數據寄存器，被配置為存儲加密數據和解密密鑰中的一個或多個。

在一個實施例中，密鑰管理器還包括：調試模式模塊，被配置為允許主機在測試模式期間訪問密鑰寄存器、輸入數據寄存器和輸出數據寄存器。

在一個實施例中，調試模式模塊包括：調試模式寄存器，包括測試模式使能位、隨機數使能位和保留位；以及調試模式使能邏輯單元，被配置為響應于測試模式使能位和隨機數使能位來使得能夠進行測試模式。

在一個實施例中，密碼單元、散列單元、解密密鑰存儲器和加密密鑰存儲器在硬件中實現。

在一個實施例中，主控制器被配置為允許主機讀取存儲在加密密鑰存儲器中的加密密鑰，并防止主機訪問解密密鑰存儲器、密碼單元和散列單元。

至少一個示例實施例涉及一種管理第一密鑰的方法。

在一個實施例中，所述方法包括：處理命令寄存器中存儲的命令；如果命令是密鑰產生命令，則使用隨機數產生器產生第一隨機數，并將所產生的隨機數作為解密密鑰存儲在解密密鑰存儲器中；以及如果命令是密鑰加密命令，則產生加密密鑰。產生加密密鑰的步驟包括：對解密密鑰和第一密鑰的散列部分進行加密以形成加密密鑰，將加密密鑰存儲在加密密鑰存儲器中，并且從加密密鑰存儲器讀取并輸出加密密鑰。

在一個實施例中，命令包括加密密鑰和解密密鑰中的一個的命令類型和地址。

在一個實施例中，產生加密密鑰的步驟包括：從解密密鑰存儲器讀取解密密鑰；通過將解密密鑰與第二隨機數混合來產生散列值；通過對解密密鑰、第二隨機數和散列值執行加密來產生加密密鑰；以及將加密密鑰存儲在加密密鑰存儲器中。

至少一個示例實施例涉及一種密鑰管理器。