# 存储安全

安全文件系统 (SFS) 用于存储敏感数据，例如密钥和生物识别数据。

## SFS

SFS 为受信任应用程序提供机密性、完整性和防回滚支持，并安全存储敏感数据。在 SFS 下创建或存储的任何文件都受到防回滚保护。SFS 功能：

- 为每个受信任的应用程序使用加密密钥，以确保文件的机密性。
- 为每个受信任的应用程序使用 HMAC 密钥来验证文件的完整性。

加密密钥和 HMAC 密钥都是使用设备唯一密钥派生的，该密钥取决于设备的安全启动状态。SFS 防回滚保护默认开启。

当设备启用安全启动时，SFS 使用唯一的硬件密钥进行文件数据加密和解密，以确保它们彼此安全。

## RPMB

RPMB 是 UFS/eMMC 闪存上的物理分区。此分区用于存储敏感信息，只能从 Qualcomm TEE 访问。

要读取和写入 RPMB 分区，需要提供 RPMB 密钥。这是一个一次性过程，完成后无法覆盖或擦除。

对 RPMB 的每次访问都经过身份验证，允许主机以经过身份验证和回放保护的方式存储数据。

## 后续步骤

- 要了解下一个安全功能，请参阅[存储加密](https://docs.qualcomm.com/doc/80-70018-11SC/topic/file-based-encryption.html#file-based-encryption)。
- 要了解 TrustZone 和安全框架，请参阅[安全架构](https://docs.qualcomm.com/doc/80-70018-11SC/topic/architecture.html#architecture)。
- 要了解可用于与 Linux 和硬件交互的 API，请参阅[安全 API](https://docs.qualcomm.com/doc/80-70018-11SC/topic/interfaces.html#interfaces)。
- 要了解如何启用或禁用基于 RPMB 的 SFS 防回滚保护，请参阅[基于 RPMB 的 SFS 防回滚保护](https://docs.qualcomm.com/doc/80-70018-11SC/topic/enable-device-devcfg-from-qtee.html#section-enable-rpmb-based-sfs-antirollback-protection-label)

Last Published: Apr 29, 2025

[Previous Topic
安全启动](https://docs.qualcomm.com/bundle/publicresource/80-70018-11SC/topics/secure-boot.md) [Next Topic
存储加密](https://docs.qualcomm.com/bundle/publicresource/80-70018-11SC/topics/file-based-encryption.md)