# 存储安全

安全文件系统 (SFS) 用于存储敏感数据，例如密钥和生物识别数据。

## SFS

SFS 为受信任应用程序提供机密性、完整性和防回滚支持，并安全存储敏感数据。在 SFS 下创建或存储的任何文件都受到防回滚保护。SFS 功能：

- 为每个受信任的应用程序使用加密密钥，以确保文件的机密性。
- 使用每个受信任应用程序的 HMAC 密钥来验证文件的完整性。

加密密钥和 HMAC 密钥都是使用设备唯一密钥派生的，该密钥取决于设备的安全启动状态。SFS 防回滚保护默认开启。

当设备启用安全启动时，SFS 使用唯一的硬件密钥进行文件数据加密和解密，以确保它们彼此安全。

有关启用安全启动的信息，请参阅[启用安全启动部分](https://docs.qualcomm.com/doc/80-70017-11SC/topic/enable-secure-boot.html#enable-secure-boot)。

## RPMB

RPMB 是 UFS/eMMC 闪存上的物理分区。此分区用于存储敏感信息，只能从 Qualcomm TEE 访问。

要读取和写入 RPMB 分区，需要提供 RPMB 密钥。这是一个一次性过程，完成后无法覆盖或擦除。

请参阅[基于 RPMB 的 SFS 防回滚保护](https://docs.qualcomm.com/doc/80-70017-11SC/topic/configure.html#section-hcf-rmm-q1c)，以便配置和启用 RPMB。

对 RPMB 的每次访问都经过身份验证，允许主机以经过身份验证和回放保护的方式存储数据。

Last Published: Apr 27, 2025

[Previous Topic
安全启动](https://docs.qualcomm.com/bundle/publicresource/80-70017-11SC/topics/secure-boot.md) [Next Topic
存储加密](https://docs.qualcomm.com/bundle/publicresource/80-70017-11SC/topics/file-based-encryption.md)