CN115438352A - 数据处理方法、装置、设备和存储介质 - Google Patents

Abstract

本申请实施例提供了一种数据处理方法、装置、设备和存储介质，以提高数据安全。所述方法包括：接收远程访问请求，所述远程访问请求包括：隔离环境的环境描述数据和公钥；依据访问限制规则对所述环境描述数据进行验证；在确定所述隔离环境为可信任隔离环境的情况下，采用公钥对数据密钥进行加密，得到公钥加密密钥；发送所述公钥加密密钥，以便所述隔离环境可基于所述数据密钥进行数据的安全处理。不再需要可信任隔离环境通过HTTPS直接访问密钥管理***，从而避免导致数据密钥以及数据泄漏的风险，提高数据的安全性。

Description

数据处理方法、装置、设备和存储介质

技术领域

本申请涉及计算机技术领域，特别是涉及一种数据处理方法和装置、一种电子设备和一种存储介质。

背景技术

数据信任(DataTrust)是一种基于可信任执行环境的安全计算产品，用户使用数据密钥在用户域内对自有数据进行加密，并把加密后的数据密文上传到可信数据平台进行隐私计算，为了保证数据安全，该数据密钥只能在用户指定的可信任的安全隔离环境中才能对用户数据密文进行解密，并运行隐私计算。

用户可以通过存储规则授权指定账号，如自己的账号、计算平台的指定账户等，访问密钥管理***(Key Management System，KMS)的密钥服务，来解密用户数据密钥。被授权的指定账号通过访问密钥(Access Key，AK)或者安全令牌服务(Security Token Service，STS)的令牌(Token)访问KMS服务。

但是，通过上述方式访问KMS服务时，无法限定KMS只为被授权的指定服务、指定账号所指定的可信任的安全隔离环境提供密钥管理服务，可能导致数据密钥以及数据存在泄漏的风险。

发明内容

本申请实施例提供了一种数据处理方法，以提高数据安全。

相应的，本申请实施例还提供了一种数据处理装置、一种电子设备以及一种存储介质，用以保证上述方法的实现及应用。

为了解决上述问题，本申请实施例公开了一种数据处理方法，所述方法包括：接收远程访问请求，所述远程访问请求包括：隔离环境的环境描述数据和公钥；依据访问限制规则对所述环境描述数据进行验证；在确定所述隔离环境为可信任隔离环境的情况下，采用公钥对数据密钥进行加密，得到公钥加密密钥；发送所述公钥加密密钥，以便所述隔离环境可基于所述数据密钥进行数据的安全处理。

本申请实施例还公开了一种数据处理方法，所述方法包括：接收证明请求；依据所述证明请求生成签名数据；获取环境数据，采用所述环境数据和签名数据生成证明数据；接收公钥加密密钥；获取所述公钥对应的私钥，通过私钥对所述公钥加密密钥进行解密，得到对应的数据密钥，以基于所述数据密钥进行数据的安全处理。

本申请实施例还公开了一种数据处理方法，所述方法包括：确定验证参数，并依据所述验证参数生成环境证明请求；发送所述环境证明请求给隔离环境；接收环境证明数据，所述环境证明数据包括：验证签名、公钥和环境描述数据，所述验证签名依据所述验证参数和所述公钥对应的私钥确定；依据所述环境证明数据生成远程访问请求，发送所述远程访问请求给密钥管理***，以基于所述环境证明数据证明所述隔离环境为可信任隔离环境；接收公钥加密密钥，所述公钥加密密钥为验证所述隔离环境为可信任隔离环境的确定下、基于公钥和数据密钥生成的；发送所述公钥加密密钥到所述隔离环境。

本申请实施例还公开了一种数据处理方法，所述方法包括：生成远程证明请求，并发送所述远程证明请求给可信任隔离环境，所述远程证明请求包括证明参数；接收远程证明数据，所述远程证明数据包括：证明签名和远程环境数据，所述证明签名依据所述证明参数生成；在证明签名的验证通过后，依据本地密钥生成密钥加密请求，发送所述密钥加密请求；接收加密的数据密钥，所述加密的数据密钥依据本地密钥对数据加密生成；依据所述远程环境数据生成规则配置请求，发送所述规则配置请求，以配置访问权限规则，所述访问权限规则用于对确定授权访问的可信任隔离环境。

本申请实施例还公开了一种电子设备，其特征在于，包括：处理器；和存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如本申请实施例中任一项所述的方法。

本申请实施例还公开了一个或多个机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如本申请实施例中任一项所述的方法。

与现有技术相比，本申请实施例包括以下优点：

在本申请实施例中，用户可在访问权限规则中配置指定的可信任隔离环境，从而密钥管理***KMS可基于远程访问请求对隔离环境进行验证，在验证为可信任隔离环境后，将用户的数据密钥加密后传输给可信任隔离环境，使得可信任隔离环境能够基于该数据密钥进行用户数据密文的加解密以及运行隐私计算。在该方式下，不再需要可信任隔离环境通过HTTPS直接访问密钥管理***，从而避免导致数据密钥以及数据泄漏的风险，提高数据的安全性。

附图说明

图1是本申请实施例的一种数据服务***的结构示意图；

图2是本申请的一种访问规则配置方法实施例的步骤流程图；

图3是本申请实施例的一种访问控制方法的交互示意图；

图4是本申请的一种数据处理方法中密钥管理***侧的步骤流程图；

图5是本申请的一种数据处理方法中可信任隔离环境***侧的步骤流程图；

图6是本申请的一种数据处理方法中应用程序侧的步骤流程图；

图7是本申请的一种数据处理方法中应用程序侧的步骤流程图；

图8是本申请的一种数据处理装置实施例的结构框图；

图9是本申请的另一种数据处理装置实施例的结构框图；

图10是本申请一实施例提供的装置的结构示意图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

本申请实施例中可应用于远程数据服务场景中，如云计算场景等。在远程数据服务场景中提供基于可信任执行环境的安全处理。即用户使用数据密钥在用户域内对自有数据进行加密，并把加密后的数据密文上传到可信数据平台进行隐私计算，为了保证数据安全，该数据密钥只能在用户指定的可信任的安全隔离环境中才能对用户数据密文进行解密，并运行隐私计算。

参照图1，示出了本申请实施例的一种数据服务***的结构示意图。

该数据服务***包括：用户设备10、存储***20、密钥管理***30、计算服务***40和可信任隔离环境***50。

其中，用户设备10指的是用户的指定账户所登录的设备，其可为移动终端、个人计算机等终端设备。存储***20指的是提供数据存储服务的***，其可以存储数据以及进行访问管理配置等。存储***20可提供访问控制服务，其是管理用户身份与资源访问权限的服务。密钥管理***30用于提供密钥管理服务，其可以管理各用户的密钥以及针对密钥的鉴权等管理服务。计算服务***40指的是提供计算服务的***，其可为分布式***，通过各计算节点(或边缘计算节点)提供计算服务。用户可通过计算服务***40的计算节点进行数据计算处理。可信任隔离环境***50可提供可信任的安全隔离环境，可在安全隔离环境中提供对用户数据密文进行加、解密，并运行隐私计算。

本申请实施例中，用户可在访问权限规则中配置指定的可信任隔离环境，从而密钥管理***KMS可对隔离环境进行验证，在验证隔离环境为可信任隔离环境后，将用户的数据密钥加密后传输给可信任隔离环境，使得可信任隔离环境能够基于该数据密钥进行用户数据密文的加解密以及运行隐私计算。在该方式下，不再需要可信任隔离环境通过HTTPS(Hyper Text Transfer Protocol over SecureSocketLayer，安全的超文本传输协议通道)直接访问密钥管理***KMS，从而避免导致数据密钥以及数据泄漏的风险，提高数据的安全性。

用户可对访问权限规则进行配置。该访问权限规则指的是针对数据的访问权限进行控制的规则。其中可规定允许访问的可信任隔离环境、授权的指定账户等信息。从而后续可基于该访问权限规则确认账户以及可信任隔离环境的权限。

参照图2，示出了本申请的一种访问规则配置方法实施例的步骤流程图。

步骤202，用户设备依据证明参数生成远程证明请求。

所述证明参数可随机生成，如为一个随机字符串。在另外一些示例中，也可基于一定的规则，如生成指定数据量的随机字符串，或者按照某些规则生成证明参数等，本申请实施例对此不做限制。该证明参数用于生成签名数据，该远程证明请求用于请求可信任隔离环境提供证明材料，以便后续设置访问限制规则。

步骤204，用户设备发送所述远程证明请求给可信任隔离环境***。

步骤206，可信任隔离环境***依据所述证明参数生成证明签名。

在可信任隔离环境***中，可信任隔离环境对应有第一密钥，该第一密钥也可称为环境密钥对，该环境密钥对是可信任隔离环境的特定密钥对，可为绑定硬件的签名密钥对，如绑定CPU的签名密钥。可通过该环境密钥对对证明数据进行签名计算，如通过环境密钥对证明数据包含的随机字符串进行签名计算，得到对应的证明签名。其中，第一密钥可为非对称的密钥对，从而采用该密钥对的私钥对证明数据进行签名计算，得到证明签名。

步骤208，可信任隔离环境***获取隔离环境数据，并依据隔离环境数据和证明签名生成远程证明数据。

其中，隔离环境数据指的是描述可信任的安全隔离环境的数据，其可按照指定的数据结构、数据格式生成，本实施例对此不做限制。隔离环境数据包括：环境版本信息和环境运行状态信息。其中，环境版本信息指的是安全隔离环境对应的版本信息，如安全隔离环境的CPU版本信息等硬件版本信息、安全隔离环境中安全软件的版本信息等软件版本信息。环境运行状态信息指的是安全隔离环境的运行状态的信息等。还可包括可信任隔离环境的身份信息等。

步骤210，可信任隔离环境***发送远程证明数据给用户设备。

步骤212，用户设备对远程证明数据中的证明签名进行验证。

用户设备可通过相应的密钥对该证明签名进行签名验证，如上述第一密钥为非对称的密钥对，通过密钥对的私钥生成签名，相应可基于密钥对的公钥对证明签名进行验证。在签名通过验证后，可对远程证明数据中的隔离环境数据进行存储，以便后续基于该隔离环境数据进行访问权限规则的配置。其中，在一些实施例中，用户设备可存储可信任隔离环境的公钥，或者可信任隔离环境***通过其他方式传输该公钥给用户设备，如从采用从服务方拉取的方式等，本申请实施例对此不做限制。

步骤214，用户设备获取第二密钥，生成密钥加密请求。

步骤216，用户设备发送密钥加密请求给密钥管理***。

用户设备可在本地生成本地密钥，记为第二密钥，该第二密钥用于数据密钥的加解密处理，可为对称密钥。基于该第二密钥可生成密钥加密请求，用于请求密钥管理***对该用户的数据密钥进行加密。因此，该密钥加密请求还可包括用户身份信息，如用户标识等信息。

步骤218，密钥管理***采用该第二密钥对第三密钥进行加密，得到第四密钥。

步骤220，密钥管理***将第四密钥发送给用户设备。

密钥管理***基于该密钥加密请求可确定用户身份，从而获取该用户的数据密钥，也可称为第三密钥，该数据密钥为用户对数据进行加解密等保护的密钥。然后采用第二密钥对第三密钥进行加密，得到加密的数据密钥，可称为第四密钥，即数据加密密钥(DataEncryption Key，DEK)。

步骤222，用户设备发送规则配置请求给存储***。

用户设备可确定规则配置信息，并依据规则配置信息生成规则配置请求。该规则配置信息包括账户配置信息和访问配置信息。规则配置信息可依据用户的身份信息、隔离环境数据生成。其中，用户设备可通过登录指定账户进行访问权限规则的配置。

其中，可根据用户的身份信息配置账户配置信息，如配置授权访问的账户信息，以及授权访问的账户信息对应授权的资源信息等，如可以针对数据的读取、写入、类型等资源的权限。根据隔离环境数据配置访问配置信息，如授权的可信任隔离环境的身份信息、版本信息等。此外，还可配置用户对应的密钥等加密信息。

步骤224，存储***依据所述规则配置请求获取规则配置信息，基于所述规则配置信息配置访问权限规则。

基于规则配置信息可获取账户配置信息和访问配置信息等，从而基于该账户配置信息、访问配置信息等规则配置信息，进行访问权限规则的配置。其中，可配置授权访问的账户信息，如用户的指定账户，用户所使用计算服务的指定账户等。针对每个账户还可配置权限信息，确定该账户对资源的访问权限，如读取、写入、允许访问数据资源的类型等，具体可依据需求设置。还可基于访问配置信息配置授权访问的可信任隔离环境的信息，如环境的身份信息、版本信息以及密钥信息等。从而可基于该访问权限规则授权指定账户的访问，以及可信任隔离环境的处理等。

通过上述过程可实现对访问权限规则的配置，后续基于该访问权限规则进行访问控制，保证数据安全。因此，在配置好访问权限规则后，数据***可将访问权限规则发送给密钥管理***，密钥管理***可基于该访问权限规则进行访问控制。

用户也可将从密钥管理***接收的第四密钥发送给授权的指定账户，如计算服务***中计算节点为用户提供数据计算服务时，可登录相应的指定账户，可以发送第四密钥给指定账户，便于后续的数据处理。

在上述实施例的基础上，本申请实施例还提供了一种访问控制方法，密钥管理***KMS可对可信任隔离环境进行验证，在验证通过后将用户的数据密钥加密后传输给可信任隔离环境，使得可信任隔离环境能够基于该数据密钥进行用户数据密文的加解密以及运行隐私计算。

参照图3，示出了本申请实施例的一种访问控制方法的交互示意图。

步骤302，应用程序发送环境证明请求给可信任隔离环境***。

本实施例中应用程序可以理解为执行用户对应数据的处理的程序，如用户设备中的应用程序，计算服务***的计算节点中的应用程序等。应用程序可确定用于验证的验证参数，该验证参数可为随机数据，与上述用户设备的证明参数类似，可为一随机字符串，或者为基于一定的规则确定的数据。基于验证参数生成环境证明请求，发送环境证明请求给可信任隔离环境***。

步骤304，可信任隔离环境***确定环境密钥对(第一密钥)。

步骤306，可信任隔离环境***依据验证参数生成验证签名。

步骤308，可信任隔离环境***依据临时密钥对的公钥和环境描述数据，生成环境证明数据。

可信任隔离环境***可确定环境密钥对即第一密钥，该密钥对可为非对称密钥对，因此包括公钥(public key)和私钥(private key)。可信任隔离环境***还可依据环境证明请求中的验证参数生成验证签名。其中，可依据该环境密钥对中的私钥对该验证参数进行签名计算，得到对应的验证签名。还可生成临时密钥对，然后获取临时密钥对的公钥以及该可信任隔离环境***的环境描述数据，然后采用验证签名、临时密钥对的公钥和环境描述数据，生成环境证明数据。其中，环境描述数据与上述隔离环境数据类似，包括隔离环境的版本信息、身份信息等，用于对隔离环境进行验证。

步骤310，可信任隔离环境***发送环境证明数据给应用程序。

步骤312，应用程序采用临时密钥对的公钥、环境描述数据和验证签名生成远程访问请求。

应用程序接收到可信任隔离环境***反馈的环境证明数据后，可获取到临时密钥对的公钥、环境描述数据和验证签名，再获取用户对应的第四密钥，该第四密钥为加密的数据密钥。

步骤314，应用程序发送远程访问请求给密钥管理***。

步骤316，密钥管理***对所述公钥和环境描述数据进行验证。

密钥管理***可以基于环境密钥对的公钥对所述验证签名进行签名验证，在验证通过后，可以采用所述环境描述数据与访问权限规则进行匹配，确定该隔离环境是否为指定的可信任隔离环境。其中，可基于该环境描述数据与访问权限规则中可信任隔离环境的信息进行匹配，如身份信息、版本信息等，从而确定该环境数据所对应的环境是否为可信任隔离环境。此外，远程访问请求还可携带应用程序对应账户的身份信息，从而验证该账户是否是允许访问的账户。

步骤318，密钥管理***依据第四密钥得到第五密钥。

在确认为可信任隔离环境后，可以采用第二密钥(本地密钥)对第四密钥进行解密处理，得到第三密钥即数据密钥。然后采用临时密钥对的公钥对第三密钥进行加密处理，得到第五密钥，该第五密钥为公钥加密的数据密钥，也可称为公钥加密密钥。

步骤320，密钥管理***将第五密钥发送给应用程序。

步骤322，应用程序将第五密钥转发给可信任隔离环境***。

步骤324，可信任隔离环境***对所述第五密钥进行解密，得到第三密钥。

可信任隔离环境***可以采用临时密钥对的私钥对第五密钥进行解密，得到第三密钥。后续针对该用户的数据可基于第三密钥进行加解密处理。对可针对应用程序发送的数据，在可信任隔离环境***进行加解密处理，以及计算等处理，保证数据安全。

本申请实施例中，环境密钥对为基于隔离环境的硬件确定的密钥对，其为不变的密钥对，用于确定隔离环境。而临时密钥对是为数据处理所临时生成的密钥对，用于对本次所请求的数据密钥进行加解密，从而不同时期请求时采用不同的临时密钥对，能够进一步的保证数据密钥的安全。

综上，通过从隔离环境中导出的公钥和环境描述数据等远程证明材料，从密钥管理***导出使用该公钥加密的数据密钥，再导入可信任隔离环境用对应私钥进行解密，从而获得数据密钥，不必再从可信任隔离环境发起HTTPS链接，也解决了用户无法配置可信任隔离环境的身份的缺点，减少开发复杂度。

本申请实施例提供了一种数据处理方法，能够对隔离环境进行远程证明，在为可信任隔离环境后提供公钥加密密钥，从而保证数据安全。

参照图4，示出了本申请的一种数据处理方法中密钥管理***侧的步骤流程图。

步骤402，接收远程访问请求。

所述远程访问请求包括：隔离环境的环境描述数据和公钥。远程访问请求还可包括验证签名、加密数据密钥(第四密钥)以及账户的身份信息等。从而可依据账户的身份信息验证账户是否为授权访问的账户。

步骤404，依据访问限制规则对所述环境描述数据进行验证。

其中，可将环境描述信息中隔离环境的身份信息、版本信息等与访问限制规则对应的规则进行匹配，确定隔离环境为可信任隔离环境是否为可信任隔离环境。如果为可信任隔离环境，则继续执行后续步骤。如果不是可信任隔离环境，可拒绝该隔离环境。

步骤406，在确定所述隔离环境为可信任隔离环境的情况下，采用公钥对数据密钥进行加密，得到公钥加密密钥。

其中，该公钥为临时密钥对的公钥。所述采用公钥对数据密钥进行加密，得到公钥加密密钥，包括：获取加密的数据密钥；采用本地密钥对所述加密的数据密钥进行解密，得到数据密钥；采用所述公钥对所述数据密钥进行加密，得到公钥加密密钥。在密钥管理***中，数据密钥(第三密钥)是加密存储、传输的，可获取加密的数据密钥(第四密钥)，以及本地密钥(第二密钥)，采用本地密钥对加密的数据密钥进行解密，得到数据密钥(第三密钥)。然后采用该临时密钥对的公钥对数据密钥进行加密，得到公钥加密密钥(第五密钥)。

步骤408，发送所述公钥加密密钥，以便所述隔离环境可基于所述数据密钥进行数据的安全处理。

上述是访问限制规则设置完成后，针对数据密钥的加密管理以及传输等过程。该密钥管理***还可在访问限制规则的设置阶段加密的数据密钥。其中，接收密钥加密请求，所述密钥加密请求包括本地密钥；依据所述本地密钥对数据密钥进行加密，得到加密的数据密钥；加密的数据密钥给用户设备。

在上述实施例的基础上，还提供了一种应用于可信任隔离环境***侧的数据处理方法，能够提供可信任的隔离环境以及证明材料，并基于可信任的隔离环境为用户提供数据处理，保证数据安全。

参照图5，示出了本申请的一种数据处理方法中可信任隔离环境***侧的步骤流程图。

步骤502，接收证明请求。

步骤504，依据所述证明请求生成签名数据。

步骤506，获取环境数据，采用所述环境数据和签名数据生成证明数据。

针对隔离环境的证明材料的请求包括两种情况，一种是在设置访问限制规则阶段，针对授权访问的可信任隔离环境的证明数据，另一种是在数据处理阶段，针对隔离环境为可信任隔离环境的证明。

一个可选实施例中，所述证明请求包括：远程证明请求，所述远程证明请求包括：证明参数。所述依据所述证明请求生成签名数据，包括：确定环境密钥对，采用所述环境密钥对的私钥对所述证明参数进行签名处理，生成证明签名。其中，可基于密钥对的私钥对证明参数进行签名计算，得到证明签名。所述获取环境数据，采用所述环境数据和签名数据生成证明数据，包括：获取可信任隔离环境的隔离环境数据；采用所述证明签名和隔离环境数据生成远程证明数据，以基于所述环境证明请求设置访问限制规则。

另一个可选实施例中，述证明请求包括：环境证明请求，所述环境证明请求包括：验证参数；所述依据所述证明请求生成签名数据，包括：确定环境密钥对，采用所述环境密钥对的私钥对所述验证参数进行签名处理，生成验证签名；所述获取环境数据，采用所述环境数据和签名数据生成证明数据，包括：生成临时密钥对，获取隔离环境的环境描述数据和所述临时密钥对的公钥；采用所述验证签名、临时密钥对的公钥和环境描述数据生成环境证明数据，以通过所述环境证明数据证明所述隔离环境为可信任隔离环境。

步骤508，接收公钥加密密钥。

步骤510，获取所述公钥对应的私钥，通过私钥对所述公钥加密密钥进行解密，得到对应的数据密钥，以基于所述数据密钥进行数据的安全处理。

该公钥和私钥是一对临时生成的非对称密钥对，因此所获取的私钥是与公钥对应的临时密钥对的私钥。

在上述实施例的基础上，还提供了一种应用于应用程序侧的数据处理方法，能够提供可信任的隔离环境和密钥管理***之间的数据交互，便于可信任的隔离环境为用户提供数据处理，保证数据安全。该应用程序可为用户设备的应用程序，也可为计算服务***中计算节点的应用程序。

参照图6，示出了本申请的一种数据处理方法中应用程序侧的步骤流程图。

步骤602，确定验证参数，并依据所述验证参数生成环境证明请求。

步骤604，发送所述环境证明请求给隔离环境。

步骤606，接收环境证明数据，所述环境证明数据包括：验证签名、公钥和环境描述数据，所述验证签名依据所述验证参数和所述公钥对应的私钥确定。

步骤608，依据所述环境证明数据生成远程访问请求，发送所述远程访问请求给密钥管理***，以基于所述环境证明数据证明所述隔离环境为可信任隔离环境。

步骤610，接收公钥加密密钥，所述公钥加密密钥为验证所述隔离环境为可信任隔离环境的确定下、基于临时密钥对的公钥和数据密钥生成的。

步骤612，发送所述公钥加密密钥到所述隔离环境。

在上述实施例的基础上，还提供了一种应用于用户设备侧的数据处理方法，能够设置针对指定账户以及可信任的隔离环境的访问限制规则，便于可信任的隔离环境为用户提供数据处理，保证数据安全。

参照图7，示出了本申请的一种数据处理方法中应用程序侧的步骤流程图。

步骤702，生成远程证明请求，并发送所述远程证明请求给可信任隔离环境，所述远程证明请求包括证明参数。

步骤704，接收远程证明数据，所述远程证明数据包括：证明签名和远程环境数据，所述证明签名依据所述证明参数生成。

步骤706，在证明签名的验证通过后，依据本地密钥生成密钥加密请求，发送所述密钥加密请求。

步骤708，接收加密的数据密钥，所述加密的数据密钥依据本地密钥对数据加密生成。

步骤710，依据所述远程环境数据生成规则配置请求，发送所述规则配置请求，以配置访问权限规则，所述访问权限规则用于对确定授权访问的可信任隔离环境。

本申请实施例中，用户在访问权限规则中配置指定的可信任隔离环境的身份信息等隔离环境数据，密钥管理***通过对可信任隔离环境的远程证明技术验证应用程序提供的环境的证明材料是否匹配用户的访问权限规则，最终将用户的密钥通过可信任隔离环境的专属公钥加密后，传递至用户指定的可信任隔离环境。并由可信任隔离环境专属私钥进行解密。不再需要可信任隔离环境通过HTTPS直接访问密钥管理***。

并且，通过方式使得计算服务等各项网络服务的数据密钥的安全性也得到增强，由于密钥管理***在提供密钥服务时不仅要鉴别数据密钥的权限，还要远程证明隔离环境的身份信息等环境数据，确认其为可信任隔离环境，从而保证了隔离环境的安全性，即使数据密钥被非授权第三方得到也无法获得密钥管理服务。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

在上述实施例的基础上，本实施例还提供了一种数据处理装置，应用于密钥管理***侧的电子设备中。

参照图8，示出了本申请的一种数据处理装置实施例的结构框图，具体可以包括如下模块：

远程请求模块802，用于接收远程访问请求，所述远程访问请求包括：隔离环境的环境描述数据和公钥。

环境验证模块804，用于依据访问限制规则对所述环境描述数据进行验证。

密钥加密模块806，用于在确定所述隔离环境为可信任隔离环境的情况下，采用公钥对数据密钥进行加密，得到公钥加密密钥。

密钥发送模块808，用于发送所述公钥加密密钥，以便所述隔离环境可基于所述数据密钥进行数据的安全处理。

综上，用户可在访问权限规则中配置指定的可信任隔离环境，从而密钥管理***KMS可基于远程访问请求对隔离环境进行验证，在验证为可信任隔离环境后，将用户的数据密钥加密后传输给可信任隔离环境，使得可信任隔离环境能够基于该数据密钥进行用户数据密文的加解密以及运行隐私计算。在该方式下，不再需要可信任隔离环境通过HTTPS直接访问密钥管理***，从而避免导致数据密钥以及数据泄漏的风险，提高数据的安全性

其中，所述密钥加密模块806，用于获取加密的数据密钥；采用本地密钥对所述加密的数据密钥进行解密，得到数据密钥；采用所述公钥对所述数据密钥进行加密，得到公钥加密密钥。

所述远程请求模块802，还用于接收密钥加密请求，所述密钥加密请求包括本地密钥；所述密钥加密模块806，还用于依据所述本地密钥对数据密钥进行加密，得到加密的数据密钥；所述密钥发送模块808，还用于加密的数据密钥给用户设备。

在上述实施例的基础上，本实施例还提供了一种数据处理装置，应用于可信任隔离环境侧的电子设备中。

参照图9，示出了本申请的另一种数据处理装置实施例的结构框图，具体可以包括如下模块：

请求接收模块902，用于接收证明请求；

签名模块904，用于依据所述证明请求生成签名数据；

证明模块906，用于获取环境数据，采用所述环境数据和签名数据生成证明数据；

密钥处理模块908，用于接收公钥加密密钥；获取所述公钥对应的私钥，通过私钥对所述公钥加密密钥进行解密，得到对应的数据密钥，以基于所述数据密钥进行数据的安全处理。

一个可选实施例中，所述证明请求包括：远程证明请求，所述远程证明请求包括：证明参数；所述签名模块904，用于依据所述证明参数生成证明签名；所述证明模块906，用于获取可信任隔离环境的隔离环境数据；采用所述证明签名和隔离环境数据生成远程证明数据，以基于所述环境证明请求设置访问限制规则。

另一个可选实施例中，所述证明请求包括：环境证明请求，所述环境证明请求包括：验证参数；所述签名模块904，用于生成密钥对，采用所述密钥对的私钥对所述验证参数进行签名处理，生成验证签名；所述证明模块906，用于获取隔离环境的环境描述数据和所述密钥对的公钥；采用所述验证签名、公钥和环境描述数据生成环境证明数据，以通过所述环境证明数据证明所述隔离环境为可信任隔离环境。

在上述实施例的基础上，本实施例还提供了一种数据处理装置，应用于应用程序所在的电子设备中，如计算节点设备。

环境请求模块，用于确定验证参数，并依据所述验证参数生成环境证明请求；发送所述环境证明请求给隔离环境。。

远程访问模块，用于接收环境证明数据，所述环境证明数据包括：验证签名、公钥和环境描述数据，所述验证签名依据所述验证参数和所述公钥对应的私钥确定；依据所述环境证明数据生成远程访问请求，发送所述远程访问请求给密钥管理***，以基于所述环境证明数据证明所述隔离环境为可信任隔离环境。

密钥转发模块，用于接收公钥加密密钥，所述公钥加密密钥为验证所述隔离环境为可信任隔离环境的确定下、基于公钥和数据密钥生成的；发送所述公钥加密密钥到所述隔离环境。

在上述实施例的基础上，本实施例还提供了一种数据处理装置，应用于用户设备中。

请求模块，用于生成远程证明请求，并发送所述远程证明请求给可信任隔离环境，所述远程证明请求包括证明参数。接收远程证明数据，所述远程证明数据包括：证明签名和远程环境数据，所述证明签名依据所述证明参数生成。

加密模块，用于在证明签名的验证通过后，依据本地密钥生成密钥加密请求，发送所述密钥加密请求；接收加密的数据密钥，所述加密的数据密钥依据本地密钥对数据加密生成。

规则配置模块，用于依据所述远程环境数据生成规则配置请求，发送所述规则配置请求，以配置访问权限规则，所述访问权限规则用于对确定授权访问的可信任隔离环境。

本申请实施例中，用户在访问权限规则中配置指定的可信任隔离环境的身份信息等隔离环境数据，密钥管理***通过对可信任隔离环境的远程证明技术验证应用程序提供的环境的证明材料是否匹配用户的访问权限规则，最终将用户的密钥通过可信任隔离环境的专属公钥加密后，传递至用户指定的可信任隔离环境。并由可信任隔离环境专属私钥进行解密。不再需要可信任隔离环境通过HTTPS直接访问密钥管理***。

并且，通过方式使得计算服务等各项网络服务的数据密钥的安全性也得到增强，由于密钥管理***在提供密钥服务时不仅要鉴别数据密钥的权限，还要远程证明隔离环境的身份信息等环境数据，确认其为可信任隔离环境，从而保证了隔离环境的安全性，即使数据密钥被非授权第三方得到也无法获得密钥管理服务。

本申请实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在设备时，可以使得该设备执行本申请实施例中各方法步骤的指令(instructions)。

本申请实施例提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。本申请实施例中，所述电子设备包括终端设备、服务器(集群)等各类型的设备。

本公开的实施例可被实现为使用任意适当的硬件，固件，软件，或及其任意组合进行想要的配置的装置，该装置可包括终端设备、服务器(集群)等电子设备。图10示意性地示出了可被用于实现本申请中所述的各个实施例的示例性装置1000。

对于一个实施例，图10示出了示例性装置1000，该装置具有一个或多个处理器1002、被耦合到(一个或多个)处理器1002中的至少一个的控制模块(芯片组)1004、被耦合到控制模块1004的存储器1006、被耦合到控制模块1004的非易失性存储器(NVM)/存储设备1008、被耦合到控制模块1004的一个或多个输入/输出设备1010，以及被耦合到控制模块1004的网络接口1012。

处理器1002可包括一个或多个单核或多核处理器，处理器1002可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中，装置1000能够作为本申请实施例中所述终端设备、服务器(集群)等设备。

在一些实施例中，装置1000可包括具有指令1014的一个或多个计算机可读介质(例如，存储器1006或NVM/存储设备1008)以及与该一个或多个计算机可读介质相合并被配置为执行指令1014以实现模块从而执行本公开中所述的动作的一个或多个处理器1002。

对于一个实施例，控制模块1004可包括任意适当的接口控制器，以向(一个或多个)处理器1002中的至少一个和/或与控制模块1004通信的任意适当的设备或组件提供任意适当的接口。

控制模块1004可包括存储器控制器模块，以向存储器1006提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。

存储器1006可被用于例如为装置1000加载和存储数据和/或指令1014。对于一个实施例，存储器1006可包括任意适当的易失性存储器，例如，适当的DRAM。在一些实施例中，存储器1006可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。

对于一个实施例，控制模块1004可包括一个或多个输入/输出控制器，以向NVM/存储设备1008及(一个或多个)输入/输出设备1010提供接口。

例如，NVM/存储设备1008可被用于存储数据和/或指令1014。NVM/存储设备1008可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。

NVM/存储设备1008可包括在物理上作为装置1000被安装在其上的设备的一部分的存储资源，或者其可被该设备访问可不必作为该设备的一部分。例如，NVM/存储设备1008可通过网络经由(一个或多个)输入/输出设备1010进行访问。

(一个或多个)输入/输出设备1010可为装置1000提供接口以与任意其他适当的设备通信，输入/输出设备1010可以包括通信组件、音频组件、传感器组件等。网络接口1012可为装置1000提供接口以通过一个或多个网络通信，装置1000可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信，例如接入基于通信标准的无线网络，如WiFi、2G、3G、4G、5G等，或它们的组合进行无线通信。

对于一个实施例，(一个或多个)处理器1002中的至少一个可与控制模块1004的一个或多个控制器(例如，存储器控制器模块)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器1002中的至少一个可与控制模块1004的一个或多个控制器的逻辑封装在一起以形成***级封装(SiP)。对于一个实施例，(一个或多个)处理器1002中的至少一个可与控制模块1004的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器1002中的至少一个可与控制模块1004的一个或多个控制器的逻辑集成在同一模具上以形成片上***(SoC)。

在各个实施例中，装置1000可以但不限于是：服务器、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)等终端设备。在各个实施例中，装置1000可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，装置1000包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。

其中，检测装置中可采用主控芯片作为处理器或控制模块，传感器数据、位置信息等存储到存储器或NVM/存储设备中，传感器组可作为输入/输出设备，通信接口可包括包括网络接口。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本申请实施例是参照根据本申请实施例的方法、终端设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种数据处理方法和装置，一种电子设备和一种存储介质，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种数据处理方法，其特征在于，所述方法包括：

接收远程访问请求，所述远程访问请求包括：隔离环境的环境描述数据和公钥；

依据访问限制规则对所述环境描述数据进行验证；

在确定所述隔离环境为可信任隔离环境的情况下，采用公钥对数据密钥进行加密，得到公钥加密密钥；

发送所述公钥加密密钥，以便所述隔离环境可基于所述数据密钥进行数据的安全处理。

2.根据权利要求1所述的方法，其特征在于，所述采用公钥对数据密钥进行加密，得到公钥加密密钥，包括：

获取加密的数据密钥；

采用本地密钥对所述加密的数据密钥进行解密，得到数据密钥；

采用所述公钥对所述数据密钥进行加密，得到公钥加密密钥。

3.根据权利要求1所述的方法，其特征在于，还包括：

接收密钥加密请求，所述密钥加密请求包括本地密钥；

依据所述本地密钥对数据密钥进行加密，得到加密的数据密钥；

加密的数据密钥给用户设备。

4.一种数据处理方法，其特征在于，所述方法包括：

接收证明请求；

依据所述证明请求生成签名数据；

获取环境数据，采用所述环境数据和签名数据生成证明数据；

接收公钥加密密钥；

获取所述公钥对应的私钥，通过私钥对所述公钥加密密钥进行解密，得到对应的数据密钥，以基于所述数据密钥进行数据的安全处理。

5.根据权利要求4所述的方法，其特征在于，所述证明请求包括：远程证明请求，所述远程证明请求包括：证明参数；

所述依据所述证明请求生成签名数据，包括：依据所述证明参数生成证明签名；

所述获取环境数据，采用所述环境数据和签名数据生成证明数据，包括：

获取可信任隔离环境的隔离环境数据；

采用所述证明签名和隔离环境数据生成远程证明数据，以基于所述环境证明请求设置访问限制规则。

6.根据权利要求4所述的方法，其特征在于，所述证明请求包括：环境证明请求，所述环境证明请求包括：验证参数；

所述依据所述证明请求生成签名数据，包括：采用环境密钥对的私钥对所述验证参数进行签名处理，生成验证签名；

所述获取环境数据，采用所述环境数据和签名数据生成证明数据，包括：

生成临时密钥对，并获取隔离环境的环境描述数据；

采用所述验证签名、临时密钥对的公钥和环境描述数据生成环境证明数据，以通过所述环境证明数据证明所述隔离环境为可信任隔离环境。

7.一种数据处理方法，其特征在于，所述方法包括：

确定验证参数，并依据所述验证参数生成环境证明请求；

发送所述环境证明请求给隔离环境；

接收环境证明数据，所述环境证明数据包括：验证签名、公钥和环境描述数据，所述验证签名依据所述验证参数和所述公钥对应的私钥确定；

依据所述环境证明数据生成远程访问请求，发送所述远程访问请求给密钥管理***，以基于所述环境证明数据证明所述隔离环境为可信任隔离环境；

接收公钥加密密钥，所述公钥加密密钥为验证所述隔离环境为可信任隔离环境的确定下、基于公钥和数据密钥生成的；

发送所述公钥加密密钥到所述隔离环境。

8.一种数据处理方法，其特征在于，所述方法包括：

生成远程证明请求，并发送所述远程证明请求给可信任隔离环境，所述远程证明请求包括证明参数；

接收远程证明数据，所述远程证明数据包括：证明签名和远程环境数据，所述证明签名依据所述证明参数生成；

在证明签名的验证通过后，依据本地密钥生成密钥加密请求，发送所述密钥加密请求；

接收加密的数据密钥，所述加密的数据密钥依据本地密钥对数据加密生成；

依据所述远程环境数据生成规则配置请求，发送所述规则配置请求，以配置访问权限规则，所述访问权限规则用于对确定授权访问的可信任隔离环境。

9.一种电子设备，其特征在于，包括：处理器；和

存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如权利要求1-3中任一项所述的方法，或执行如权利要求4-6中任一项所述的方法，或执行如权利要求7所述的方法或执行如权利要求8所述的方法。

10.一个或多个机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如权利要求1-3中任一项所述的方法，或执行如权利要求4-6中任一项所述的方法，或执行如权利要求7所述的方法或执行如权利要求8所述的方法。

Images