应用于虚拟化的TEE的数据处理方法、装置和设备与流程

本技术涉及大数据，尤其涉及一种应用于虚拟化的tee的数据处理方法、装置和设备。

背景技术：

1、tee(trust execute environment)是一个可信执行环境，通常是一块独立的硬件来存储安全级别较高的数据。

2、相关技术中，可以将可信执行环境tee应用于虚拟化的平台上，并通过虚拟化平台，来实现虚拟操作系统和可信执行环境tee之间的数据通信。但是，现有的虚拟操作系统和可信执行环境tee之间的数据通信方式，无法完成虚拟操作系统的恢复出厂设置，影响了虚拟操作系统的性能。

技术实现思路

1、本技术提供一种应用于虚拟化的tee的数据处理方法、装置和设备，用以解决虚拟化的可信执行环境tee中，无法实现虚拟操作系统的恢复出厂设置，进而影响了虚拟操作系统的性能的技术问题。

2、第一方面，本技术提供一种应用于虚拟化的tee的数据处理方法，该方法应用于电子设备，电子设备中部署有可信执行环境tee，该方法包括：

3、接收虚拟操作系统发起的第一数据清除请求，并对所述第一数据清除请求进行解密处理，得到第二数据清除请求；其中，所述第二数据清除请求表征请求清除可信执行环境tee中的至少部分用户数据；

4、确定与所述第二数据清除请求相匹配的第一数据标识信息；其中，所述第一数据标识信息表征所述第二数据清除请求所请求清除的用户数据对应的数据头；

5、基于所述第一数据标识信息，确定待清除数据，并对所述可信执行环境tee中的所述待清除数据进行清除处理，得到数据清除结果；其中，所述数据清除结果表征是否清除完成所述可信执行环境tee中的用户数据。

6、一个示例中，在接收所述虚拟操作系统发起的第一数据清除请求之前，所述方法还包括：

7、生成密钥对；其中，所述密钥对中包括公钥和私钥；

8、将所述公钥发送至所述虚拟操作系统，使所述虚拟操作系统在发起第三数据清除请求之后，对所述第三数据清除请求进行加密处理，得到所述第一数据清除请求。

9、一个示例中，对所述第一数据清除请求进行解密处理，得到第二数据清除请求，包括：

10、在接收所述虚拟操作系统发起的第一数据清除请求之后，基于所述私钥对所述第一数据清除请求进行解密处理，得到请求解密结果；

11、若所述请求解密结果表征解密成功，则基于所述请求解密结果，确定所述第二数据清除请求。

12、一个示例中，所述请求解密结果中包括目标进程信息；其中，所述目标进程信息表征所述处理第二数据清除请求的进程；所述基于所述请求解密结果，确定所述第二数据清除请求，包括：

13、若所述目标进程信息符合预设进程要求，则确定所述请求解密结果中所包括的请求相关信息；其中，所述请求相关信息表征请求清除的用户数据；

14、基于所述请求相关信息，确定所述第二数据清除请求。

15、一个示例中，所述方法还包括：

16、若所述请求解密结果表征解密不成功，则生成告警提示信息，并终止本次数据清除任务；其中，所述告警提示信息表征所述第一数据清除请求为非法请求。

17、一个示例中，在接收所述虚拟操作系统发起的第一数据清除请求之前，所述方法还包括：

18、响应于数据存储操作，确定待存储数据，并确定所述待存储数据的初始数据类型；其中，所述初始数据类型表征所述待存储数据的来源；

19、将与所述初始数据类型相匹配的第二数据标识信息，确定为所述待存储数据的数据头，得到目标存储数据；其中，所述第二数据标识信息用于标识所述待存储数据的来源；

20、将所述目标存储数据，存储至所述可信执行环境tee中。

21、一个示例中，所述第一数据清除请求为客户端应用程序发起的请求；对所述可信执行环境tee中的所述待清除数据进行清除处理，得到数据清除结果，包括：

22、在所述可信执行环境tee中确定与所述客户端应用程序相匹配的可信任应用程序；

23、通过虚拟化调用接口，调用所述可信任应用程序，对所述待清除数据进行清除处理，得到所述数据清除结果。

24、一个示例中，在调用所述可信任应用程序，对所述待清除数据进行清除处理之前，所述方法还包括：

25、对所述虚拟化调用接口进行身份校验，并在所述虚拟化调用接口身份校验通过之后，调用所述可信任应用程序，对所述待清除数据进行清除处理。

26、第二方面，本技术提供一种应用于虚拟化的tee的数据处理装置，包括：

27、请求接收单元，用于接收虚拟操作系统发起的第一数据清除请求，并对所述第一数据清除请求进行解密处理，得到第二数据清除请求；其中，所述第二数据清除请求表征请求清除可信执行环境tee中的至少部分用户数据；

28、第一确定单元，用于确定与所述第二数据清除请求相匹配的第一数据标识信息；其中，所述第一数据标识信息表征所述第二数据清除请求所请求清除的用户数据对应的数据头；

29、第二确定单元，用于基于所述第一数据标识信息，确定待清除数据；

30、数据清除单元，用于对所述可信执行环境tee中的所述待清除数据进行清除处理，得到数据清除结果；其中，所述数据清除结果表征是否清除完成所述可信执行环境tee中的用户数据。

31、一个示例中，该装置还包括：

32、请求加密模块，用于在接收所述虚拟操作系统发起的第一数据清除请求之前，生成密钥对；其中，所述密钥对中包括公钥和私钥；

33、将所述公钥发送至所述虚拟操作系统，使所述虚拟操作系统在发起第三数据清除请求之后，对所述第三数据清除请求进行加密处理，得到所述第一数据清除请求。

34、一个示例中，请求接收单元，包括：

35、解密模块，用于在接收所述虚拟操作系统发起的第一数据清除请求之后，基于所述私钥对所述第一数据清除请求进行解密处理，得到请求解密结果；

36、若所述请求解密结果表征解密成功，则基于所述请求解密结果，确定所述第二数据清除请求。

37、一个示例中，所述请求解密结果中包括目标进程信息；其中，所述目标进程信息表征所述处理第二数据清除请求的进程。

38、此时，请求接收单元，包括：

39、请求确定模块，用于若所述目标进程信息符合预设进程要求，则确定所述请求解密结果中所包括的请求相关信息；其中，所述请求相关信息表征请求清除的用户数据；

40、基于所述请求相关信息，确定所述第二数据清除请求。

41、一个示例中，请求接收单元，还包括：

42、告警模块，用于若所述请求解密结果表征解密不成功，则生成告警提示信息，并终止本次数据清除任务；其中，所述告警提示信息表征所述第一数据清除请求为非法请求。

43、一个示例中，该装置还包括：

44、数据存储模块，用于在接收所述虚拟操作系统发起的第一数据清除请求之前，响应于数据存储操作，确定待存储数据，并确定所述待存储数据的初始数据类型；其中，所述初始数据类型表征所述待存储数据的来源；

45、将与所述初始数据类型相匹配的第二数据标识信息，确定为所述待存储数据的数据头，得到目标存储数据；其中，所述第二数据标识信息用于标识所述待存储数据的来源；

46、将所述目标存储数据，存储至所述可信执行环境tee中。

47、一个示例中，所述第一数据清除请求为客户端应用程序发起的请求。

48、此时，数据清除单元，包括：

49、数据清除模块，用于在所述可信执行环境tee中确定与所述客户端应用程序相匹配的可信任应用程序；

50、通过虚拟化调用接口，调用所述可信任应用程序，对所述待清除数据进行清除处理，得到所述数据清除结果。

51、一个示例中，数据清除单元，包括：

52、身份验证模块，用于在调用所述可信任应用程序，对所述待清除数据进行清除处理之前，对所述虚拟化调用接口进行身份校验，并在所述虚拟化调用接口身份校验通过之后，调用所述可信任应用程序，对所述待清除数据进行清除处理。

53、第三方面，本技术提供一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器；

54、所述存储器存储计算机执行指令；

55、所述处理器执行所述存储器存储的计算机执行指令，以实现第一方面所述的方法。

56、第四方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现第一方面所述的方法。

57、第五方面，本技术提供一种计算机程序产品，所述计算机程序产品包括：计算机执行指令，所述计算机执行指令存储在可读存储介质中，电子设备的至少一个处理器可以从所述可读存储介质读取所述计算机执行指令，所述至少一个处理器执行所述计算机执行指令，使得电子设备执行第一方面所述的方法。

58、本技术提供的应用于虚拟化的tee的数据处理方法、装置和设备，可以在接收虚拟操作系统发起的第一数据清除请求之后，可以先对第一数据清除请求进行解密处理，得到第二数据清除请求，此时，可以通过对虚拟操作系统发起的第一数据清除请求进行解密处理，并在解密成功之后，根据解密处理得到的第二数据清除请求进行数据清除，可以保证接收到的第一数据清除请求的合法性，避免用户数据受到非法入侵，保证了用户数据的安全。之后，可以通过确定与第二数据清除请求相匹配的第一数据标识信息，来确定待清除数据，从而将可信执行环境tee中的待清除数据进行清除处理，不仅实现了虚拟操作系统的恢复出厂设置，还可以有效保证清除处理的准确性，避免由于误清除，导致系统数据被清除，进而影响应用程序的正常运行。