一种数据安全存储方法及装置与流程

本发明涉及领域电子技术领域，尤其涉及一种数据安全存储方法及装置。

背景技术：

移动终端信息的安全性越来越成为用户的强诉求，就此目前移动终端行业出现了多种多样的安全解决方案，包括软件的、硬件的、软硬件结合的解决方案，在一定程度上保护了移动终端的数据安全。

目前业界主流的SE安全芯片的应用主要集中在NFC的卡模拟应用上，如公交卡，银行卡，门禁卡业务。由于其在支付领域的应用，使得SE的安全等级都非常的高，能将如此高安全等级的硬件加密芯片投入移动终端安全应用使用上，是一个非常不错的选择。然而由于安全等级比较高，相关安全要求的限制，决定了内存空间扩展的难度。因此，如果能够解决SE安全芯片硬件存储空间不足的问题，势必在移动终端领域得到广泛应用，保证移动终端的数据安全。

技术实现要素：

本发明的主要目的在于提出一种数据安全存储方法及装置，旨在解决现有技术中SE安全芯片硬件存储空间不足的问题。

为实现上述发明目的，本发明采用下述的技术方案：

依据本发明的一个方面，提供一种数据安全存储装置，包括：

配置单元，用于配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；

第一确定单元，用于在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

第二确定单元，用于根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

可选的，所述配置单元，具体用于：

获取设定的应用或者数据名称；

根据所述应用或者数据名称提取所要存储的安全数据；

设置所述安全数据所需的安全等级以及生命周期。

可选的，所述第一确定单元，具体用于；

判断所述数据大小与硬件加密芯片的存储空间的大小；

当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；

当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。

可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；

所述第二确定单元，具体用于：

当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；

当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。

可选的，所述动态管理单元，用于：

实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；

当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。

依据本发明的一个方面，提供一种数据安全存储方法，包括：

配置安全数据的属性信息；其中，所述属性信息包括安全等级以及生命周期；

在对所述安全数据进行存储时，根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

可选的，所述配置安全数据的属性信息，具体包括：

获取设定的应用或者数据名称；

根据所述应用或者数据名称提取所要存储的安全数据；

设置所述安全数据所需的安全等级以及生命周期。

可选的，所述根据数据大小和所述安全等级确定所述安全数据存储于所述可信执行环境TEE还是硬件加密芯片；

判断所述数据大小与硬件加密芯片的存储空间的大小；

当所述数据大小大于所述存储空间，则将所述安全数据存储于所述可信执行环境TEE中；

当所述数据大小小于或者等于所述存储空间，则判断所述安全级别是否为TEE级别，并当判定为TEE级别，将所述安全数据存储于所述可信执行环境TEE中，否则将所述安全数据存储于所述硬件加密芯片中。

可选的，所述安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级；所述生命周期分为永久存储和非永久存储；

根据所述安全等级和所述生命周期确定将所述安全数据存储于所述可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域，具体包括：

当所述安全等级为最高级或者所述生命周期为永久存储时，则将所述安全数据存储于所述固态存储区域中；

当所述安全等级为存储级且所述生命周期为非永久存储时，则所述安全数据存储于所述动态存储区域中。

可选的，所述方法还包括：

实时监测所述可信执行环境/硬件加密芯片的动态存储区域的安全数据；

当所述安全数据满足预设数据使用规则或者接收到对所述安全数据的操作指令，则对所述安全数据进行动态存储管理。

本发明所提出的数据安全存储方法及装置，通过软件和硬件结合的方式，设置多个存储区域以及多个安全等级，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。通过采用本发明能充分的利用高安全等级的硬件加密芯片存储空间，又能根据实际情况将加密应用范围推得更加广泛，在实际的产品应用上有较强的应用意义。

附图说明

图1为实现本发明各个实施例一可选的移动终端的硬件结构示意图；

图2为本发明实施例中数据安全存储装置的结构原理框图；

图3为本发明一具体实施例中数据安全存储装置的结构原理框图；

图4为本发明实施例中数据安全存储方法的流程图；

图5为本发明一具体实施例中数据安全存储方法的流程图；

图6为本发明一具体实施例中数据安全存储方法的流程图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此，"模块"与"部件"可以混合地使用。

移动终端可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。

图1为实现本发明各个实施例一可选的移动终端的硬件结构示意图。

移动终端100可以包括用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。

无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信系统或网络之间的无线电通信。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。

广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括TV广播信号、无线电广播信号、数据广播信号等等。而且，广播信号可以进一步包括与TV或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供，并且在该情况下，广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在，例如，其可以以数字多媒体广播(DMB)的电子节目指南(EPG)、数字视频广播手持(DVB-H)的电子服务指南(ESG)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地，广播接收模块111可以通过使用诸如多媒体广播-地面(DMB-T)、数字多媒体广播-卫星(DMB-S)、数字视频广播-手持(DVB-H)，前向链路媒体(MediaFLO@)的数据广播系统、地面数字广播综合服务(ISDB-T)等等的数字广播系统接收数字广播。广播接收模块111可以被构造为适合提供广播信号的各种广播系统以及上述数字广播系统。经由广播接收模块111接收的广播信号和/或广播相关信息可以存储在存储器160(或者其它类型的存储介质)中。

移动通信模块112将无线电信号发送到基站(例如，接入点、节点B等等)、外部终端以及服务器中的至少一个和/或从其接收无线电信号。这样的无线电信号可以包括语音通话信号、视频通话信号、或者根据文本和/或多媒体消息发送和/或接收的各种类型的数据。

无线互联网模块113支持移动终端的无线互联网接入。该模块可以内部或外部地耦接到终端。该模块所涉及的无线互联网接入技术可以包括WLAN(无线LAN)(Wi-Fi)、Wibro(无线宽带)、Wimax(全球微波互联接入)、HSDPA(高速下行链路分组接入)等等。

短程通信模块114是用于支持短程通信的模块。短程通信技术的一些示例包括蓝牙^TM、射频识别(RFID)、红外数据协会(IrDA)、超宽带(UWB)、紫蜂^TM等等。

位置信息模块115是用于检查或获取移动终端的位置信息的模块。位置信息模块的典型示例是GPS(全球定位系统)。根据当前的技术，GPS模块115计算来自三个或更多卫星的距离信息和准确的时间信息并且对于计算的信息应用三角测量法，从而根据经度、纬度和高度准确地计算三维当前位置信息。当前，用于计算位置和时间信息的方法使用三颗卫星并且通过使用另外的一颗卫星校正计算出的位置和时间信息的误差。此外，GPS模块115能够通过实时地连续计算当前位置信息来计算速度信息。

A/V输入单元120用于接收音频或视频信号。A/V输入单元120可以包括相机121和麦克风122，相机121对在视频捕获模式或图像捕获模式中由图像捕获装置获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元151上。经相机121处理后的图像帧可以存储在存储器160(或其它存储介质)中或者经由无线通信单元110进行发送，可以根据移动终端的构造提供两个或更多相机121。麦克风122可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风接收声音(音频数据)，并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由移动通信模块112发送到移动通信基站的格式输出。麦克风122可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。

用户输入单元130可以根据用户输入的命令生成键输入数据以控制移动终端的各种操作。用户输入单元130允许用户输入各种类型的信息，并且可以包括键盘、锅仔片、触摸板(例如，检测由于被接触而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等等。特别地，当触摸板以层的形式叠加在显示单元151上时，可以形成触摸屏。

感测单元140检测移动终端100的当前状态，(例如，移动终端100的打开或关闭状态)、移动终端100的位置、用户对于移动终端100的接触(即，触摸输入)的有无、移动终端100的取向、移动终端100的加速或减速移动和方向等等，并且生成用于控制移动终端100的操作的命令或信号。例如，当移动终端100实施为滑动型移动电话时，感测单元140可以感测该滑动型电话是打开还是关闭。另外，感测单元140能够检测电源单元190是否提供电力或者接口单元170是否与外部装置耦接。

接口单元170用作至少一个外部装置与移动终端100连接可以通过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。识别模块可以是存储用于验证用户使用移动终端100的各种信息并且可以包括用户识别模块(UIM)、客户识别模块(SIM)、通用客户识别模块(USIM)等等。另外，具有识别模块的装置(下面称为"识别装置")可以采取智能卡的形式，因此，识别装置可以经由端口或其它连接装置与移动终端100连接。接口单元170可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端和外部装置之间传输数据。

另外，当移动终端100与外部底座连接时，接口单元170可以用作允许通过其将电力从底座提供到移动终端100的路径或者可以用作允许从底座输入的各种命令信号通过其传输到移动终端的路径。从底座输入的各种命令信号或电力可以用作用于识别移动终端是否准确地安装在底座上的信号。输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号(例如，音频信号、视频信号、警报信号、振动信号等等)。输出单元150可以包括显示单元151、音频输出模块152、警报单元153等等。

显示单元151可以显示在移动终端100中处理的信息。例如，当移动终端100处于电话通话模式时，显示单元151可以显示与通话或其它通信(例如，文本消息收发、多媒体文件下载等等)相关的用户界面(UI)或图形用户界面(GUI)。当移动终端100处于视频通话模式或者图像捕获模式时，显示单元151可以显示捕获的图像和/或接收的图像、示出视频或图像以及相关功能的UI或GUI等等。

同时，当显示单元151和触摸板以层的形式彼此叠加以形成触摸屏时，显示单元151可以用作输入装置和输出装置。显示单元151可以包括液晶显示器(LCD)、薄膜晶体管LCD(TFT-LCD)、有机发光二极管(OLED)显示器、柔性显示器、三维(3D)显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看，这可以称为透明显示器，典型的透明显示器可以例如为TOLED(透明有机发光二极管)显示器等等。根据特定想要的实施方式，移动终端100可以包括两个或更多显示单元(或其它显示装置)，例如，移动终端可以包括外部显示单元(未示出)和内部显示单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和触摸输入面积。

音频输出模块152可以在移动终端处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将无线通信单元110接收的或者在存储器160中存储的音频数据转换音频信号并且输出为声音。而且，音频输出模块152可以提供与移动终端100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出模块152可以包括扬声器、蜂鸣器等等。

警报单元153可以提供输出以将事件的发生通知给移动终端100。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或视频输出之外，警报单元153可以以不同的方式提供输出以通知事件的发生。例如，警报单元153可以以振动的形式提供输出，当接收到呼叫、消息或一些其它进入通信(incomingcommunication)时，警报单元153可以提供触觉输出(即，振动)以将其通知给用户。通过提供这样的触觉输出，即使在用户的移动电话处于用户的口袋中时，用户也能够识别出各种事件的发生。警报单元153也可以经由显示单元151或音频输出模块152提供通知事件的发生的输出。

存储器160可以存储由控制器180执行的处理和控制操作的软件程序等等，或者可以暂时地存储己经输出或将要输出的数据(例如，电话簿、消息、静态图像、视频等等)。而且，存储器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和音频信号的数据。

存储器160可以包括至少一种类型的存储介质，存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等等。而且，移动终端100可以与通过网络连接执行存储器160的存储功能的网络存储装置协作。

控制器180通常控制移动终端的总体操作。例如，控制器180执行与语音通话、数据通信、视频通话等等相关的控制和处理。另外，控制器180可以包括用于再现(或回放)多媒体数据的多媒体模块181，多媒体模块181可以构造在控制器180内，或者可以构造为与控制器180分离。控制器180可以执行模式识别处理，以将在触摸屏上执行的手写输入或者图片绘制输入识别为字符或图像。

电源单元190在控制器180的控制下接收外部电力或内部电力并且提供操作各元件和组件所需的适当的电力。

这里描述的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施，这里描述的实施方式可以通过使用特定用途集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理装置(DSPD)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施，在一些情况下，这样的实施方式可以在控制器180中实施。对于软件实施，诸如过程或功能的实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施，软件代码可以存储在存储器160中并且由控制器180执行。

至此，己经按照其功能描述了移动终端。下面，为了简要起见，将描述诸如折叠型、直板型、摆动型、滑动型移动终端等等的各种类型的移动终端中的滑动型移动终端作为示例。因此，本发明能够应用于任何类型的移动终端，并且不限于滑动型移动终端。

如图1中所示的移动终端100可以被构造为利用经由帧或分组发送数据的诸如有线和无线通信系统以及基于卫星的通信系统来操作。

基于上述移动终端硬件结构，提出本发明移动终端和方法各个实施例。

本发明的思路在于通过软件和硬件结合的方式，设置多个存储区域以及多个安全等级。具体地，本发明中设计出三种环境，包括REE(普通安全执行环境)，TEE(可信执行环境)，硬件加密芯片(SE)。在每种执行环境中，增加一定控制机制，从而使存储区域的利用率最大最佳，保证安全数据有效存储，解决硬件存储空间不足的问题。下面对本发明的数据安全存储装置进行详细介绍，如图2所示，具体包括如下：

配置单元31，用于配置安全数据的属性信息；其中，属性信息包括安全等级以及生命周期；

第一确定单元32，用于在对安全数据进行存储时，根据数据大小和安全等级确定安全数据存储于可信执行环境TEE还是硬件加密芯片；

第二确定单元33，用于根据安全等级和生命周期确定将安全数据存储于可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

本发明所提出的数据安全存储装置，通过软件和硬件结合的方式，，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。

下面结合具体实施例对本发明的技术方案进行详细说明。

配置单元31，用于配置安全数据的属性信息；其中，属性信息包括安全等级以及生命周期。

其中，在普通安全执行环境REE配置安全数据的所有属性信息。具体地，如图3所示，普通安全执行环境REE包括存储授权单元，存储数据生成单元，安全等级生成单元，生命周期生成单元；其中，

存储授权单元，用于在移动终端中设置可以进行安全存储的应用或者数据，例如可以对QQ应用进行安全存储，或者可以对指纹数据进行安全存储。通过配置可授权安全存储的应用或者数据的名称，来提取具体所要加密的数据信息。

存储数据生成单元，用于根据存储授权单元授权的应用或者数据名称将需要进行安全存储的数据提取出来。

安全等级生成单元，用于设定安全数据的安全等级。这里，在设定时，需要满足移动终端自身规则，也就是移动终端厂商所限定规则。当然，也可以是用户设定的并且满足移动终端厂商所限定规则。可选的，设定的安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级。其中，对于存储级还可以设定多个级别。

生命周期生成单元，用于设定安全数据的生命周期。这里的生命周期主要分为两种：一种是永久性的；另一种是非永久性的，例如设定存储时间(如一年等)或者设定使用次数(如5次)等等。

第一确定单元32，用于在对安全数据进行存储时，根据数据大小和安全等级确定安全数据存储于可信执行环境TEE还是硬件加密芯片。

第一确定单元32位于可信执行环境TEE中，当接收到传入的安全数据后，获取安全数据的数据大小以及配置的相应的属性信息。

其中，第一确定单元32在确定安全数据存储于可信执行环境TEE还是硬件加密芯片时，具体用于：

判断数据大小与硬件加密芯片的存储空间的大小；

当数据大小大于存储空间，则说明硬件加密芯片的存储空间不够，直接将安全数据存储于可信执行环境TEE中；

当数据大小小于或者等于存储空间，则需要进一步根据安全级别信息判断是存储于可信执行环境TEE还是硬件加密芯片。

上述提及的安全级别信息可知分为TEE级别和硬件级别两种，因此当判定安全级别为TEE级别，将安全数据存储于可信执行环境TEE；当判定安全级别为硬件级别时，则将安全数据存储于硬件加密芯片中。

可知，通过根据数据大小和安全级别可以准确区别数据的存放位置，保证存储区域的合理利用。

第二确定单元33，用于根据安全等级和生命周期确定将安全数据存储于可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

基于图3可知，本发明中在可信执行环境和硬件加密芯片中分别设置了固态存储区域和动态存储区域。当确定安全数据在可信执行环境或者硬件加密芯片中存储之后，需要进一步区分安全数据是存放于固态存储区域还是动态存储区域。

具体地，第二确定单元33在判定安全数据是存放于固态存储区域还是动态存储区域时，需要结合安全等级和生命周期两个因素来确定。

上述提及的安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级，也就是可信执行环境或者硬件加密芯片中需要区分安全数据是最高级和存储级。而生命周期分为永久存储和非永久存储。因此，第二确定单元33，在判断存放于固态存储区域还是动态存储区域时，具体用于：

当安全等级为最高级或者生命周期为永久存储时，则将安全数据存储于固态存储区域中；

当安全等级为存储级且生命周期为非永久存储时，则安全数据存储于动态存储区域中。

可知，本实施例中，固态存储区域的满足条件作为优选条件，当安全等级和生命周期其中一个任意一个满足时，则直接将安全数据存储于固态存储区域中，保证数据的安全性。而当两个条件都不满足时，则说明数据要求的存储环境安全性不高，则将安全数据在动态存储区域进行存储即可。

可选的，一实施例中，可信执行环境/硬件加密芯片中均设置有动态管理单元，用于：

实时监测可信执行环境/硬件加密芯片的动态存储区域的安全数据；

当安全数据满足预设数据使用规则或者接收到对安全数据的操作指令，则对安全数据进行动态存储管理。

通过在可信执行环境/硬件加密芯片中设置动态管理单元，可以根据预设的使用对动态存储区域中的数据进行有效整合。例如，如定期对使用频率不高或使用频率逐渐降低的安全数据进行降低安全等级的处理，或者接受到移动终端发送的相应数据安全属性变更的请求，根据属性变更请求可对数据进行降级和删除处理。可知，本发明中通过对动态存储区域进行监控处理，可以保证可信执行环境和硬件加密芯片中的存储利用率，确保硬件存储空间可以得到有效利用。

本发明实施例提供一种数据安全存储方法，如图4所示，具体包括如下步骤：

步骤501，配置安全数据的属性信息；其中，属性信息包括安全等级以及生命周期。

其中，在普通安全执行环境REE配置安全数据的所有属性信息。具体地，

在移动终端中设置可以进行安全存储的应用或者数据，例如可以对QQ应用进行安全存储，或者可以对指纹数据进行安全存储。通过配置可授权安全存储的应用或者数据的名称，来提取具体所要加密的数据信息。

根据存授权的应用或者数据名称将需要进行安全存储的数据提取出来。

设定安全数据的安全等级。这里，在设定时，需要满足移动终端自身规则，也就是移动终端厂商所限定规则。当然，也可以是用户设定的并且满足移动终端厂商所限定规则。可选的，设定的安全等级包括硬件最高级、硬件存储级、TEE最高级、TEE存储级。

设定安全数据的生命周期。这里的生命周期主要分为两种：一种是永久性的；另一种是非永久性的，例如设定存储时间(如一年等)或者设定使用次数(如5次)等等。

步骤502，在对安全数据进行存储时，根据数据大小和安全等级确定安全数据存储于可信执行环境TEE还是硬件加密芯片。

当TEE接收到REE传入的安全数据后，获取安全数据的数据大小以及配置的相应的属性信息。

其中，在确定安全数据存储于可信执行环境TEE还是硬件加密芯片时，具体包括：

判断数据大小与硬件加密芯片的存储空间的大小；

当数据大小大于存储空间，则说明硬件加密芯片的存储空间不够，直接将安全数据存储于可信执行环境TEE中；

当数据大小小于或者等于存储空间，则需要进一步根据安全级别信息判断是存储于可信执行环境TEE还是硬件加密芯片。

上述提及的安全级别信息可知分为TEE级别和硬件级别两种，因此当判定安全级别为TEE级别，将安全数据存储于可信执行环境TEE；当判定安全级别为硬件级别时，则将安全数据存储于硬件加密芯片中。可知，通过根据数据大小和安全级别可以准确区别数据的存放位置，保证存储区域的合理利用。

步骤503，根据安全等级和生命周期确定将安全数据存储于可信执行环境/硬件加密芯片的固态存储区域还是动态存储区域。

确定安全数据在可信执行环境或者硬件加密芯片中存储之后，需要进一步区分安全数据是存放于固态存储区域还是动态存储区域。

具体地，在判定安全数据是存放于固态存储区域还是动态存储区域时，需要结合安全等级和生命周期两个因素来确定，具体包括：

当安全等级为最高级或者生命周期为永久存储时，则将安全数据存储于固态存储区域中；

当安全等级为存储级且生命周期为非永久存储时，则安全数据存储于动态存储区域中。

可知，本实施例中，固态存储区域的满足条件作为优选条件，当安全等级和生命周期其中一个任意一个满足时，则直接将安全数据存储于固态存储区域中，保证数据的安全性。而当两个条件都不满足时，则说明数据要求的存储环境安全性不高，则将安全数据在动态存储区域进行存储即可。

可选的，一实施例中，该方法还包括：

实时监测可信执行环境/硬件加密芯片的动态存储区域的安全数据；

当安全数据满足预设数据使用规则或者接收到对安全数据的操作指令，则对安全数据进行动态存储管理。

预设数据使用规则可以有多种，例如定期对使用频率不高或使用频率逐渐降低的安全数据进行降低安全等级的处理，主要根据数据使用情况对数据的属性进行更改。或者接受到移动终端发送的相应数据安全属性变更的请求，根据属性变更请求可对数据进行降级和删除处理。可知，本发明中通过对动态存储区域进行监控处理，可以保证可信执行环境和硬件加密芯片中的存储利用率，确保硬件存储空间可以得到有效利用。

本发明一具体实施例提供一种数据安全存储方法，如图5所示，具体包括

步骤601，用户在移动终端的普通安全执行环境REE中配置指纹应用为安全数据，根据用户所需名称提取所需的指纹数据；

步骤602，对指纹数据设置安全级别和安全周期。这里，设置安全级别为TEE最高级以及安全周期为永久存储；

步骤603，可信执行环境TEE获取安全数据后，判断数据大小小于硬件安全芯片的存储空间，则进一步地获取安全级别。

步骤604，安全级别为TEE最高级、永久存储，则将安全数据存储于可信执行环境TEE的固态存储区域中。

基于上述可知，本发明采用软件和硬件结合的方式，通过设定指纹数据的安全级别和安全周期，有效提高了移动终端数据存储效率，保证有限的SE内存空间。

本发明一具体实施例提供一种数据安全存储方法，如图6所示，具体包括如下步骤：

步骤701，用户在移动终端的普通安全执行环境REE中配置QQ应用的数据为安全数据，根据应用名称提取应用所包括的数据信息；

步骤702，对QQ应用数据设置安全级别和安全周期。这里，设置安全级别为硬件存储级3级以及安全周期为3年。其中，该实施例中，存储级包括3级，且3级别存储级的最高级。

步骤703，可信执行环境TEE获取安全数据后，判断数据大小小于硬件安全芯片的存储空间，则进一步地获取安全级别。

步骤704，安全级别为硬件存储级且安全周期为非永久的，则将安全数据存储于硬件加密芯片的动态存储区域中。

步骤705，检测硬件加密芯片的动态存储区域中QQ应用数据的使用情况，当QQ应用数据的使用频率为半年一次时，则将硬件存储级降为2级。

步骤706，检测到用户将QQ应用设为非安全数据时，则将QQ应用从硬件加密芯片的动态存储区域中删除。

基于上述可知，本发明实施例所提供的数据安全存储方法，有效提高硬件加密安全手机的存储效率，对有限的硬件存储空间进行最大的程度使用，从而实现将有限的存储空间应用到“无限的”安全应用上去，有效保证数据的存储安全。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。