WO2019148447A1 - 数据保护方法和数据保护装置 - Google Patents

Abstract

本申请提供了一种数据保护方法和数据保护装置。该数据保护方法中，低异常级别的第一运行空间中运行的第一处理模块请求修改内存的属性时，高异常级别的第二运行空间中运行的第二处理模块捕获该请求，并判断该内存是否为受保护的内存；若该内存为该受保护的内存，则高异常级别的第二运行空间中运行的第二处理模块拒绝这次修改。本申请提供的数据保护方法和数据保护装置。有助于提高数据的安全性。

Description

数据保护方法和数据保护装置 技术领域

本申请涉及电子设备领域，更具体地，涉及数据保护方法和数据保护装置。

背景技术

电子设备上的操作***中的运行数据都是使用内存进行存储。这些运行数据中有的重要是需要保护的，即不能被随意更改的。

一般来说，这些不可更改的数据被更改的话，会导致电子设备故障或者信息安全漏洞。例如，电子设备上的操行***中的重要数据被恶意更改的话，会导致操作***运行错误，从而导致电子设备故障或者信息安全漏洞。

现有的电子设备中，重要数据可以通过如下方式来保护：操作***将重要数据所在的内存的属性设置为只读，以保护这些重要数据不被恶意修改。

但这种保护方法的安全性较低。例如，恶意软件获取操作***的管理权限之后，就可以去掉操作***设置的内存的只读属性，从而可以修改这些重要数据。

因此，需要提出一种安全性更高的数据保护方法来保护数据。

发明内容

本申请提供了一种数据保护方法和数据保护装置，有助于提高数据的安全性。

第一方面，本申请提供了一种数据保护方法，该数据保护方法由数据保护装置执行，该数据保护装置中包括处理器执行单元和内存管理单元，处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，第二运行空间的异常级别高于第一运行空间的异常级别，该数据保护方法包括：

第一运行空间中运行的第一处理模块向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元向第二运行空间中运行的第二处理模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

第二运行空间中运行的第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的；

第二运行空间运行的第二处理模块向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

若第三消息用于指示修改第一内存的属性，则内存管理单元根据第一消息修改第一内存的属性；若第三消息用于指示不修改第一内存的属性，则内存管理单元拒绝修改第一内存的属性。

该数据保护方法中，由于第二运行空间的异常级别高于第一运行空间的异常级别，且第一运行空间中的第一处理模块需要修改内存的属性时，需要经过第二运行控制中的第二 处理模块的授权，这使得第一运行控制中的第一处理模块不能随意修改内存的属性，从而不能随意修改内存中的数据，最终有助于提高数据的安全性。

在第一种可能的实现方式中，第二运行空间中运行的第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，该数据保护方法还包括：

第一运行空间中的第一处理模块向第二运行空间中的第二处理模块发送第四消息，第四消息用于指示第一内存是否是受保护的；

第二运行空间中的第二处理模块根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

该实现方式中，可以由第一运行空间中的第一处理模块向第二运行空间中的第二处理模块指示哪些内存是受保护和/或哪些内存是不受保护的。

在一种可能的实现方式中，第二运行空间中运行的第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，该数据保护方法还包括：

第二运行空间中运行的第二处理模块确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

第二运行空间中运行的第二处理模块生成内存保护表，内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

该实现方式中，受保护的内存和/或不受保护的内存可以是预先确定的。

在一种可能的实现方式中，第一运行空间为内核空间，第一处理模块为操作***，所述第二超级管理空间为超级管理空间。其中，受保护的数据包括：操作***在编译阶段写入内存的常量数据，操作***在初始化阶段写入内存的常量数据。

在一种可能的实现方式中，数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

第二方面，本申请提供一种数据保护装置，该数据保护装置中包括处理器执行单元和内存管理单元，处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，第二运行空间的异常级别高于第一运行空间的异常级别，第一运行空间用于运行第一处理模块，第二运行空间用于运行第二处理模块。

第一处理模块用于向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元用于向第二处理模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

第二处理模块用于根据预先获取的内存保护表，确定第一内存是否是受保护的；

第二处理模块还用于向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

内存管理单元还用于：第三消息用于指示修改第一内存的属性时根据第一消息修改第一内存的属性，第三消息用于指示不修改第一内存的属性时拒绝修改第一内存的属性。

在一种可能的实现方式中，第一处理模块还用于向第二运行空间中的第二处理模块发送第四消息，第四消息用于指示第一内存是否是受保护的。

第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，第二处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：

确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

生成内存保护表，该内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，第一运行空间为内核空间，第一处理模块为操作***，第二运行空间为超级管理空间。其中，受保护的数据包括：操作***在编译阶段写入内存的常量数据，操作***在初始化阶段写入内存的常量数据。

在一种可能的实现方式中，数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

在一种可能的设计中，该数据保护装置为***芯片，该***芯片包括处理器和输出接口，该处理器包括处理器执行单元和内存管理单元，该输出接口用于在内存管理单元修改第一内存的属性时，向地址总线输出第一内存的物理地址。

可选地，该数据保护装置还可以包括存储器，该存储器用于存储器执行单元执行的程序代码、受保护的数据和不受保护的数据。

第三方面，本申请提供了一种计算机可读存储介质。该计算机可读存储介质中存储用于数据保护装置执行的程序代码。该程序代码包括用于执行第一方面或第一方面中任意一种可能的实现方式中的数据保护方法的指令。

第四方面，本申请提供了一种包含指令的计算机程序产品。当该计算机程序产品在数据保护装置上运行时，使得数据保护装置执行第一方面或第一方面中任意一种可能的实现方式中的数据保护方法。

第五方面，本申请提供了一种数据保护装置，该数据保护装置中包括处理器执行单元和内存管理单元，处理器执行单元划分的运行空间包括内核空间和超级管理空间，超级管理空间的异常级别高于内核空间的异常级别。

内核空间中运行的操作***用于向内存管理单元发送第一消息，第一消息用于请求修改第一内存的属性；

内存管理单元用于向超级管理空间中运行的关键数据保护模块发送第二消息，第二消息用于请求确定第一内存是否是受保护的；

关键数据保护模块用于根据预先获取的内存保护表，确定第一内存是否是受保护的；

关键数据保护模块还用于向内存管理单元发送第三消息，第三消息用于指示是否修改第一内存的属性；

内存管理单元还用于：第三消息用于指示修改第一内存的属性时根据第一消息修改第一内存的属性，第三消息用于指示不修改第一内存的属性时拒绝修改第一内存的属性。

在一种可能的实现方式中，操作***还用于向关键数据保护模块发送第四消息，第四 消息用于指示第一内存是否是受保护的。

关键数据保护模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：根据第四消息生成内存保护表，内存保护表用于记录受保护的内存和/或不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，关键数据保护模块根据预先获取的内存保护表，确定第一内存是否是受保护的之前，还用于：

确定第一内存用于存储受保护的数据或确定第一内存用于存储不受保护的数据；

生成内存保护表，该内存保护表用于记录第一内存为受保护的内存或用于记录第一内存为不受保护的内存，受保护的内存包括用于存储受保护的数据的内存，不受保护的内存包括用于存储不受保护的数据的内存。

在一种可能的实现方式中，受保护的数据包括：操作***在编译阶段写入内存的常量数据，操作***在初始化阶段写入内存的常量数据。

附图说明

图1是本申请实施例的异常级别的划分示意图；

图2是本申请实施例的MMU进行地址映射的示意流程图；

图3是本申请另一个实施例的数据保护装置的示意性结构图；

图4是本申请另一个实施例的数据保护装置的示意性结构图；

图5是本申请一个实施例的数据保护方法的示意性流程图；

图6是本申请另一个实施例的数据保护方法的示意性流程图；

图7是本申请另一个实施例的数据保护方法的示意性流程图；

图8是本申请另一个实施例的数据保护方法的示意性流程图；

图9是本申请一个实施例的数据保护装置的示意性结构图。

具体实施方式

可以应用本申请实施例的数据保护方法和数据保护装置的计算机可以是手机、平板电脑、服务器、个人电脑、网络路由器、可穿戴设备或交换机等电子设备。

该计算机中可以包括处理器和存储器。处理器也可以称为中央处理单元(central processing unit，CPU)或中央处理器。

该计算机中的处理器的一种示例为精简指令***(Advanced RISC Machines，ARM)处理器。该计算中的存储器的示例为随机存取存储器(random access memory，RAM)或闪存(Flash)。其中，RAM也可以称为主存或者内存。存储器具有访问权限属性，例如只读、可写、可执行和不可访问。

该计算机的处理器中使用了虚拟化技术。虚拟化技术可以隐藏该计算机中的底层物理硬件，从而可以让多个各自独立运行的操作***(operator system，OS)透明地使用和共享该计算机的硬件资源。简单地说，虚拟化技术可以使得该计算机能并发运行多个OS。

该计算机中的处理器为程序代码提供了不同的权限级别来访问该计算机中的资源，以保护该计算机中的数据和阻止该计算机中发生恶意行为，从而确保该计算机的安全。

例如，如图1所示，ARM处理器中可以定义四种异常级别(Exception levels，EL)，分别为EL0、EL1、EL2和EL3。其中，数值越大的异常级别的等级越高，数值越小的异常级别的等级越低。例如，EL0的等级低于EL1的等级，EL1的等级低于EL2的等级，EL2的等级低于EL3的等级。当然，也可以是数值越大的异常级别的等级越低，数值越小的异常界别的等级越高，本申请实施例对此不作限制。

不同等级的异常级别对应不同等级的运行空间。异常级别的划分或者说运行空间的划分为处理器中所有操作状态的软件提供了逻辑分离的执行权限。应理解，本申请所说的异常级别与计算机科学中常见的等级保护域相似并且支持等级保护域中涉及的概念。

运行在这四种异常级别中每种异常级别下的软件的示例如下。普通的用户应用程序运行在EL0对应的运行空间中；操作***内核，例如Linux或Windows，可以运行在EL1对应的运行空间中，操作***内核通常被认为具有特权；管理程序(hypervisor)运行在EL2对应的运行空间中；低级别的固件，例如安全监视器运行在EL3对应的运行空间中。hypervisor也可以称为超级管理器。

管理程序在使能状态下可以为一个或多个操作***内核提供虚拟化服务。

固件是处理器启动时运行的第一个东西。固件提供很多服务，例如，平台初始化、可信任操作***的安装以及安全监视器的命令的路由等。

一般来说，一个软件(例如用户的应用程序，操作***的内核或管理程序)占用一个单独的异常级别，或者说占用一个单独的运行空间。当然，也可以有例外。例如，内核管理程序，例如内核虚拟机(kernel virtual machine，KVM)，可以既运行在EL2对应的运行空间中，也可以运行在EL1对应的运行空间中。

该计算机的处理器中，CPU执行单元可以通过内存管理单元(memory management unit，MMU)来管理或访问存储器。例如，MMU可以执行地址映射以及提供内存访问授权等操作。

处理器中，不同异常级别对应的运行空间中运行的程序代码对存储器进行访问时，MMU进行不同的地址映射和不同的内存访问授权流程。

例如，如图2所示，MMU为异常级别为EL0的应用程序与异常级别为EL1的操作***执行两阶段的地址映射流程，为异常级别为EL3的管理程序和异常级别为EL4的安全监视器执行一个阶段的地址映射流程。

两阶段的地址映射流程中，在第一阶段，存储器的虚拟地址(virtual address，VA)转换为中间物理地址(immediate physical address，IPA)；在第二阶段，IPA被转换为物理地址(physical address，PA)。

第一阶段的地址转换中，MMU使用的转换表基址寄存器(translation table base registers，TTBR)的一种示例为TTBRn_EL1；第二阶段的地址转换中，MMU使用的转换表的基地址在虚拟化转化表基址寄存器(virtualization translation table base register，VTTBR)0_EL2中被指定。例如，在VTTBR0_EL2中指定存储器底部的一个连续的地址空间作为该转换表中的基地址。

一个阶段的地址映射流程中，MMU可以直接根据VA转换得到PA。其中，管理程序EL2和安全监督器EL3均有属于自己的一阶段转换的表格。管理程序EL2和安全监督器EL3通过各自对应的表格可以直接从虚拟地址转换到物理地址。管理程序EL2对应的转换 表的基地址在TTNR0_EL2中指定，安全监督器EL3对应的转换表的基地址在TTNR0_EL3中指定。在这两个寄存器中，分别指定了存储器底部的一个连续的、且大小可变的地址空间作为管理程序EL2和安全监督器EL3的转换地址表的基地址。

应理解，上述提到的TTBRn_EL1、TTNR0_EL2和TTNR0_EL3仅是一种示例，在不同的资料中可能会引用不同的名称。

在上述两个阶段的地址映射流程中，第一个阶段通常在操作***的控制下执行，第二个阶段通常在管理程序的控制下执行。

此处所述的在管理程序的控制下执行，可以理解为：管理程序确定可以访问该IPA或该IPA对应的VA时，才授权MMU进行IPA至PA的转换。

本申请实施例的数据保护方法主要是在上述第二个阶段的地址映射流程中，在管理程序的控制下实现的。具体地，计算机中预先存储内存保护表，该内存保护表中记录需要保护和/或不需要保护的存储器的地址信息，并在管理程序中添加处理模块，由该处理模块在内存保护表查询是否包括了操作***或应用程序请求修改访问属性的存储器的地址信息。若该处理模块查询内存保护表后确定被请求修改访问属性的存储器为受保护的存储器，则拒绝MMU修改该存储器的访问属性。

内存保护表的一个示例如表1所示。表1中，既记录了受保护的内存，也记录了不受保护的内存，第一列记录受保护的内存的虚拟地址，第二列记录不受保护的内存的虚拟地址。

表1内存保护表

受保护的内存的虚拟地址	不受保护的内存的虚拟地址
0x40000000-0x60000000	0x00000000-0x30000000

例如，计算机下载了恶意软件，或者浏览的网页中携带了恶意插件后，恶意软件或者

恶意插件对操作***发起攻击，获取操作***的管理权限，控制操作***将虚拟地址为0x41115000至0x41116000的内存的访问属性从可写修改为只读，以便于恶意软件或恶意插件修改该内存中的数据时时，管理程序在MMU对该存储器的地址进行第二阶段的映射的过程中，从内存保护表中查询获知该存储器是受保护的，从而拒绝MMU进行第二阶段的地址映射流程，即拒绝恶意软件或恶意插件的攻击，保护了存储器中的数据。

可选地，管理程序拒绝恶意软件或恶意插件修改存储器的访问属性后，还可以发出受保护存储器受到攻击的提示信息，例如，弹出显示框或发送警报声等。

下面以图3所示的数据保护装置300为例，介绍本申请提出的数据保护方法。应理解，图3示出的数据保护装置300仅是示例，本申请实施例的数据保护装置还可包括其他模块或单元，或者包括与图3中的各个模块的功能相似的模块，或者并非要包括图3中所有模块。

图3所示的数据保护装置300包括处理器310和存储器320。存储器可以与处理器310交换数据。

存储器320的一种示例为随机存取存储器(random access memory，RAM)。RAM也可以称为主存或者内存。存储器320的另一种示例为闪存(Flash)。应理解，后续实施例中的内存可以替换为闪存。

处理器310的一种示例为中央处理单元(central processing unit，CPU)。CPU也可以 称为中央处理器。

处理器310中可以包括CPU执行单元311和内存管理单元312。应理解，此处MMU集成在处理器310内只是一种示例，MMU也可以位于处理器310之外。

如图4所示，处理器310中定义了四种异常级别(exception level，EL)。或者可以说，CPU执行单元311执行的程序代码可以分为四种异常级别。这四个异常级别从低到高分别为EL0、EL1、EL2和EL3。EL0、EL1、EL2和EL3对应四个运行空间。

其中，EL0对应的运行空间为用户程序空间，用户程序空间用于运行用户程序。用户程序也可以称为应用程序。

EL1对应的运行空间为内核(kernel)空间，内核空间用于运行操作***(operating system，OS)。内核空间中运行的操作***也可以称为客户端(guest)操作***。

EL2对应的运行空间为超级管理空间。超级管理空间用于运行管理程序(hypervisor)。hypervisor也可以称为虚拟机监视器(virtual machine monitor)。hypervisor是一种运行在物理硬件和操作***之间的中间软件层,可允许多个操作***和应用程序共享一套基础物理硬件。

从***安全的角度来看，hypervisor的主要功能是内存管理和中断拦截，通过这两种方式，hypervisor可以很好地监控内核空间中的操作***的运行。

hypervisor可以通过MMU 312的两阶段(stage 2)内存映射功能来实现内存管理。MMU 312可以通过影子页表或EPT页表等技术来实现存储管理。

如图4所示，MMU 312接收到从用户程序空间或内核空间发送的VA后，在阶段1(stage-1)，可以将内核空间中的操作***或用户程序空间中的用户程序发送的地址映射到中间物理地址；在阶段2(stage-2)，可以将IPA映射到内存芯片的地址。

其中，内核空间中的操作***或用户程序空间中的用户程序发送的地址可以称为虚拟地址，或者说，操作***或用户程序可见的地址为VA；内存芯片的真实地址称为物理地址；VA映射至PA的过程中所使用的地址均可以称为IPA。

应注意的是，stage-2内存映射功能只对内核空间中运行的操作***和用户程序空间中的用户程序有效。也就是说，内核空间中运行的操作***和用户程序空间中的用户程序访问内存时才需要使用stage-2内存映射功能。

上面介绍的MMU 312的两阶段内存映射功能的实现方式仅是一种示例。MMU 312的两阶段内存映射功能的实现方式可以参考现有技术，此处不再赘述。

内存具有访问权限属性。为了描述方面，本申请实施例中将内存的访问权限属性简称为内存的属性。

内存的属性可以包括只读、可写、不可访问和可执行。其中，内存的属性为只读是指只能读取该内存中的内容，而不能修改该内存中的内容；内存的属性为可写是指即可以读取该内存中的内容，也可以修改该内存中的内容。

MMU 312接收内核空间中的操作***或用户程序空间中的用户程序发送的地址后，可以根据该地址所对应的内存的属性来访问该地址对应的内存中的内容。

例如，若内核空间中的操作***或用户程序空间中的用户程序请求MMU 312向某个地址对应的内存中写入数据，且该地址所对应的内存的属性为可写时，MMU 312将该地址映射到内存的物理地址后，将该物理地址发送到地址总线，以便于数据写到该内存中。

例如，若内核空间中的操作***或用户程序空间中的用户程序请求MMU 312向某个地址对应的内存中写入数据，但该地址所对应的内存的属性为只读时，MMU 312拒绝该请求。MMU 312拒绝该请求的一种示例为进行异常提示。

数据保护装置300中，内核空间中运行的操作***可以通过超级管理调用(hypervisor call，HVC)指令调用hypervisor。

EL4对应的安全监视(secure monitor)空间用于运行处理器的安全监控模块。

应理解，图4所示的处理器中的运行空间的划分仅是一种示例，处理器中可以划分更多或更少的运行空间，本申请对此不作限制。

本申请提出的数据保护方法主要包括：低异常级别的运行空间中运行的程序代码请求修改内存的属性时，高异常级别的运行空间中运行的程序代码捕获该请求，并判断该内存是否为受保护的内存；若该内存为该受保护的内存，则高异常级别的运行空间中运行的程序代码拒绝这次修改。

本申请一个实施例的数据保护方法的示意性流程图如图5所示。该数据保护方法可以由数据保护装置300执行。图5所示的数据保护方法包括S510、S520、S530、S540和S550。

应理解，图5示出了该数据保护方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图5中的各个操作的变形。此外，图5中的各个步骤可以按照与图5呈现的不同的顺序来执行，并且有可能并非要执行图5中的全部操作。

S510，第一运行空间中运行的处理模块向MMU发送第一消息，第一消息用于请求修改第一内存的属性。相应地，MMU接收该消息。

为了描述方便，第一运行空间中运行的该处理模块可以称为第一处理模块。第一内存是指第一消息请求修改属性的内存。

第一运行空间可以是图4中所示的用户程序空间或内核空间。第一运行空间为用户程序空间时，第一处理模块可以是用户程序；第一运行空间为内核空间时，第一处理模块可以是操作***。

第一消息中可以包括第一内存的VA和第一内存的目标属性。也就是说，第一消息用于请求MMU将第一内存的属性修改为目标属性。第一内存的目标属性可以包括只读、可写、可执行和不可访问中至少一种。

请求将第一内存的目标属性修改可写的第一消息的一种实例为set_memory_RW；请求将第一内存的目标属性修改只读的第一消息的一种实例为set_memory_RO。

S520，MMU向第二运行空间中运行的处理模块发送第二消息，第二消息用于请求该处理模块确定第一内存是否是受保护的，第二运行空间的异常级别高于第一运行空间的异常级别。相应地，第二运行空间中运行的处理模块接收第二消息。

为了描述方便，第二运行空间中运行的处理模块可以称为第二处理模块或者内核关键数据保护(kernel critical data protection)模块。第二处理模块或者内核关键数据保护模块可以是hypervisor中的处理模块。

第二运行空间可以为图4中所示的超级管理空间。

可选地，第二消息也可以理解为用于请求第二处理模块确定是否可以修改第一内存的属性，或者可以理解为用于请求第二处理模块确定第一内存中的数据是否是受保护的。

第二消息中可以包括第一内存的地址。例如，第二消息中可以包括第一内存的VA。

可选地，第二消息中包括的信息可以与第一消息中包括的信息相同。

S530，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，其中，内存保护表用于记录受保护的内存和/或不受保护的内存。

受保护的内存可以理解为存储了受保护的数据。受保护的数据可以包括以下至少一种数据：操作***的常量数据或操作***在运行过程中生成的需要保护的数据。操作***的常量数据可以包括以下至少一种数据：操作***在编译阶段出现的常量数据和操作***在初始化阶段出现的常量数据。

从另一个角度来说，受保护的内存的解释可以包括：该内存的属性不可以从只读、不可访问、可执行中任意一种修改为可写；不受保护的内存的解释可以包括：该内存的属性可以从任意属性修改为其他任意属性。

内存保护表记录受保护的内存和/或不受保护的内存的一种实现方式可以包括：内存保护表中记录受保护的内存的地址和/或不受保护的内存的地址。

例如，内存保护表中可以记录受保护的内存的VA地址和/或不受保护的内存的VA地址。

在一种可能的实现方式中，内存保护表中可以仅记录受保护的内存。这种实现方式中，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的受保护的内存中包括了第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护中记录的受保护的内存中不包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

在一种可能的实现方式中，内存保护表中可以仅记录不受保护的内存。这种实现方式汇总，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的不受保护的内存中不包括第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护中记录的不受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

在一种可能的实现方式中，内存保护表中可以既记录受保护的内存，也记录不受保护的内存。这种实现方式中，第二运行空间中运行的处理模块根据预先获取的内存保护表，确定第一内存是否是受保护的，可以包括：若内存保护表中记录的受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是受保护的；若内存保护表中记录的不受保护的内存中包括第一内存，则第二运行空间中运行的处理模块确定第一内存是不受保护的。

S540，第二运行空间中运行的处理模块向MMU发送第三消息，其中，第三消息用于指示MMU是否修改第一内存的属性。相应地，MMU接收第三消息。

例如，S530中，若第二处理模块确定第一内存是不受保护的，则第三消息用于指示MMU修改第一内存的属性；若第二处理模块确定第一内存是受保护的，则第三消息用于指示MMU不修改第一内存的属性。

S550，若第三消息用于指示MMU修改第一内存的属性，则MMU根据第一消息修改第一内存的属性；若第三消息用于指示MMU不修改第一内存的属性，则MMU拒绝修改第一内存的属性。

例如，若第三消息用于指示MMU修改第一内存的属性，且第一消息中包括第一内存 的地址和第一内存的目标属性，则MMU将第一内存的属性修改为目标属性。

例如，若第三消息用于指示MMU不修改第一内存的属性，则MMU可以向第一处理模块返回异常操作提示。

图5所示的数据保护方法中，由于低异常级别的运行空间中运行的处理模块不能修改搞特别级别的运行空间中的代码逻辑和功能，因此，在低异常级别的运行空间中的处理模块的权限被恶意程序或外部装置获取的情况下，依然可以保护需要保护的重要数据，从而可以提高数据的安全性。

例如，即使操作***管理员权限和账户被恶意程序获取的情况下，依然可以保护操作***中的重要数据，从而可以提高操作***中的数据的安全性。

本申请另一个实施例中，用于辅助保护数据的方法的示意性流程图如图6所示。图6所示的方法可以包括S610和S620。该方法可以由数据保护装置300执行。

应理解，图6示出了该方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图6中的各个操作的变形。此外，图6中的各个步骤可以按照与图6呈现的不同的顺序来执行，并且有可能并非要执行图6中的全部操作。

S610，第三运行空间中运行的处理模块向第二运行空间中运行的处理模块发送第四消息，第四消息用于指示第二内存是否应受到保护。相应地，第二运行空间中的处理模块接收第四消息。

其中，第三运行空间中可以是图4中所示的用户程序空间或内核空间。第二运行空间可以是图4中所示的超级管理空间。

可选地，第三运行空间与第一运行空间可以是同一运行空间。第二运行空间中运行的处理模块可以是第二处理模块或内核关键数据保护模块。

第四消息也可以理解为用于指示第二内存中存储的数据应受到保护，或者，可以理解为用于指示第二内存的属性不能从只读、可执行和不可访问中任意一种修改为可写，或者，可以理解为用于指示第二内存中存储的数据不应被修改。

应受到保护或不应被修改的数据可以包括以下至少一种数据：操作***在编译阶段存储到内存中的常量数据，操作***在初始化阶段存储到内存中的常量数据，操作***或用户程序在运行阶段存储到内存中且不能被修改的数据。

第四消息中可以包括第二内存的地址。例如，第四消息中可以包括第二内存的VA。

在一种可能的实现方式中，第三运行空间中运行的处理模块向第二运行空间中运行的处理模块发送第四消息可以包括：第三运行空间中运行的处理模块调用第二运行空间中运行的处理模块，并在调用时，通过接口将第四消息传递给第二运行空间中运行的处理模块。

例如，内核空间中运行的操作***可以通过HVC指令调用超级管理空间中运行的hypervisor，以便于hypervisor根据第四消息生成内存保护表。

S620，第二运行空间中运行的处理模块根据第四消息得到内存保护表，该内存保护表用于记录受保护和/或不受保护的内存。其中，第二运行空间的异常级别高于第三运行空间的异常级别。

例如，内存保护表仅用于记录受保护的内存时，若第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中；若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块不会将第二内存记录到 内存保护表中。

例如，内存保护表仅用于记录不受保护的内存时，若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中；若第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块不会将第二内存记录到内存保护表中。

例如，内存保护表既用于记录受保护的内存，又用于记录不受保护的内存时，若第四消息用于指示第二内存应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中，并标识第二内存为受保护的内存；若第四消息用于指示第二内存不应受保护，则第二运行空间中运行的处理模块可以将第二内存记录到内存保护表中，并标识第二内存为不受保护的内存。

本申请实施例的一个示例中包括：操作***在编译阶段将常量数据写入内存，且将该内存的属性标识为只读后，通过HVC指令调用hypervisor，将该内存记录为受保护的内存。

本申请实施例的另一个示例中包括：操作***在初始化阶段将常量数据写入内存，且将该内存的属性标识为只读后，通过HVC治疗调用hypervisor，将该内存记录为受保护的内存。

本申请实施例的另一个示例中包括：操作***在运行阶段将数据写入内存，且将该内存的属性标识为只读后，通过HVC治疗调用hypervisor，将该内存记录为受保护的内存。

在本申请的一个实施例中，S530中所使用的内存保护表可以通过图6所示的方法得到。换句话说，S530中所使用的内存保护表可以是S620中得到的内存保护表。

S530中所使用的内存保护表为S620中得到的内存保护表时，第二内存与第一内存可以是同一内存；第三运行空间与第一运行空间可以是相同的运行空间，也可以是不同的运行空间。

第三运行空间与第一运行空间是相同的运行空间时，第三运行空间中运行的处理模块与第一处理模块可以是相同的处理模块。例如，第一运行空间与第三运行空间均为内核空间，第三运行空间中运行的处理模块与第一处理模块均为操作***。

例如，操作***在编译阶段将常量数据或者在初始化阶段将常量数据或者在运行阶段将数据写入第一内存，且将第一内存的属性标识为只读后，可以通过HVC指令调用hypervisor，在内存保护表中记录第一内存为受保护的内存。这样，操作***向MMU发送第一消息，请求修改第一内存的属性时，MMU可以向hypervisor发送第二消息，请求hypervisor确定第一内存是否是受保护的。由于内存保护表中记录了第一内存是受保护的内存，因此，hypervisor指示MMU不能修改第一内存的属性。

第三运行空间与第一运行空间不是相同的运行空间的一种示例为：第一运行空间为用户程序空间，第三运行空间为内核空间，第一处理模块为操作***，第三运行空间中的处理模块为用户程序。

本申请又一个实施例中，用于辅助保护数据的方法的示意性流程图如图7所示。图7所示的方法可以包括S710和S720。该方法可以由数据保护装置300执行。

应理解，图7示出了该方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图7中的各个操作的变形。此外，图7中的各个步骤可以按照与图7呈现的不同的顺序来执行，并且有可能并非要执行图7中的全部操作。

S710，第二运行空间中运行的处理模块确定第三内存用于存储受保护的数据和/或第四内存用于存储不受保护的数据。

或者可以说，第二运行空间中运行的处理模块确定哪些内存用于存储受保护的数据和/或确定哪些内存用于存储不受保护的数据。用于存储受保护的数据的内存即为第三内存，用于存储不受保护的数据的内存即为第四内存。

第二运行空间可以是图4中所示的超级管理空间。

受保护的数据可以包括以下至少一种数据：操作***在编译阶段存储到内存中的常量数据，操作***在初始化阶段存储到内存中的常量数据，操作***或用户程序在运行阶段存储到内存中且不能被修改的数据。

可选地，第三内存和/或第四内存可以是第二运行空间中运行的处理模块根据预先配置的信息确定的，该预先配置的信息中记录第三内存用于存储受保护的数据和/或第四内存用于存储不受保护的数据。

或者可以说，该预先配置的信息中记录了哪些内存是用于存储受保护的数据的，和/或记录了哪些内存是用于存储不受保护的数据的。

例如，数据保护装置300中可以预先为内核空间中的操作***分配用于存储操作***的常量数据的内存。由于操作***的常量数据为需要保护的数据，因此，可以预先配置该内存为第三内存的信息。这样，第二运行空间中运行的处理模块可以根据该预先配置的信息确定出第三内存是用于存储受保护的数据的。

例如，该预先配置的信息中可以记录为操作***的常量数据分配的内存的VA。这样，第二运行空间中运行的处理模块可以根据该预先配置的信息确定该VA对应的内存是用于存储受保护的数据的，即该内存为第三内存。

S720，第二运行空间中运行的处理模块生成内存保护表，该内存保护表中记录第三内存为受保护的内存和/或第四内存为不受保护的内存。

例如，第二运行空间中运行的处理模块确定第三内存为用于存储受保护的数据的内存后，将第三内存记录到内存保护表中，并标识第三内存为受保护的内存。

例如，第二运行空间中运行的处理模块确定第四内存为用于存储不受保护的数据的内存后，将第四内存记录到内存保护表中，并标识第四内存为不受保护的内存。

在本申请的一个实施例中，S530中所使用的内存保护表可以通过图7所示的方法得到。换句话说，S530中所使用的内存保护表可以是S720中得到的内存保护表。

S530中所使用的内存保护表为S720中得到的内存保护表时，第三内存与第一内存可以是同一内存，或者第四内存与第一内存可以是同一内存。

例如，操作***在编译阶段将常量数据写入原先为该常量数据分配的第三内存，且操作***将第三内存的属性标识为只读后，hypervisor可以在内存保护表中记录第三内存为受保护的内存。这样，操作***向MMU发送第一消息，请求修改第三内存的属性时，MMU可以向hypervisor发送第二消息，请求hypervisor确定第三内存是否是受保护的。由于内存保护表中记录了第三内存是受保护的内存，因此，hypervisor指示MMU不能修改第三内存的属性。

本申请有一个实施例的数据保护方法的示意性流程图如图8所示。该数据保护方法包括S810和S820。

应理解，图8示出了该数据保护方法的步骤或操作，但这些步骤或操作仅是示例，本申请实施例还可以执行其他操作或者图8中的各个操作的变形。此外，图8中的各个步骤可以按照与图8呈现的不同的顺序来执行，并且有可能并非要执行图8中的全部操作。

S810，第四运行空间中的处理模块向第二运行空间中的处理模块发送第五消息，第五消息用于请求将第一数据写入第五内存，其中，第二运行空间的异常级别高于第四运行空间的异常级别。

第四运行空间可以是图4中所示的用户程序空间或内核空间，第二运行空间可以是图4中所示的超级管理空间。

第五消息中可以携带第一数据和第五内存的地址。例如，第五消息中可以携带第一数据和第五内存的VA。

第一数据可以包括以下至少一种数据：操作***在编译阶段的常量数据，操作***在初始化阶段的常量数据。

第五内存是用于存储第一数据的内存。

S820，第二运行空间中运行的处理模块根据第五消息，将第一数据写入第五内存。

本申请实施例中，由于第四运行空间中的处理模块需要经过比其异常级别高的第二运行空间中的处理模块来修改内存中的数据，也就是说，第四运行空间中的处理模块不能直接修改内存中的数据，因此，该方法是可以提高数据的安全性的。

此外，与图5中的方法相比，本申请实施例中的方法可以修改内存中的数据，因此灵活性更高。

本申请实施例中，可选地，第二运行空间中运行的处理模块可以在第五消息是预先规定的模块发送的情况下，才根据第五消息的请求，将第一数据写入第五内存，以进一步提高数据的安全性，从而提高操作***的安全性。

例如，仅在操作***的补丁程序通过HVC指令调用hypervisor的情况下，hypervisor才将第一数据写入第五内存。

也就是说，在本申请实施例的一种实现方式中，S820具体可以包括：第五消息由预先规定的处理模块向第二运行空间中运行的处理模块发送的情况下，第二运行空间中运行的处理模块根据第五消息的请求，将第一数据写入第五内存。

本申请另一个实施例中，图8所示的数据保护方法可以与图5至图7中至少一个所示的方法结合在一起使用。

例如，数据保护装置300可以通过图6和/或图7的方法生成内存保护表，然后可以通过图5所示的方法来判定内存是否是受保护，并可以通过图8所示的数据保护方法来修改数据。

若将图5所示的数据保护方法与图6所述的数据保护方法结合在一起使用，则第四运行空间与第一运行空间可以是同一个运行空间。

例如，第四运行空间与第一运行空间均可以为内核空间，第一运行空间中的处理模块可以是操作***，第四运行空间中的处理模块可以是操作***的补丁程序。

图9是本申请一个实施例的数据保护装置的示意性结构图。应理解，图9示出的数据保护装置900仅是示例，本申请实施例的数据保护装置还可包括其他模块或单元，或者包括与图9中的各个模块的功能相似的模块，或者并非要包括图9中所有模块。

数据保护装置900中包括处理器执行单元910和内存管理单元920，处理器执行单元910划分的运行空间包括第一运行空间911和第二运行空间912，第二运行空间的异常级别高于第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，第二运行控制用于运行第二处理模块。

数据保护装置900可以用于执行图4至图8中任意一个所示的数据保护方法中的数据保护装置执行的步骤。

例如，第一处理模块用于向内存管理单元920发送第一消息，所述第一消息用于请求修改第一内存的属性。

内存管理单元920用于向第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的。

第二处理模块用于根据预先获取的内存保护表，确定所述第一内存是否是受保护的。

第二处理模块向内存管理单元920发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性。

所述内存管理单元用于：在所述第三消息用于指示修改所述第一内存的属性时，根据所述第一消息修改所述第一内存的属性；在所述第三消息用于指示不修改所述第一内存的属性，拒绝修改所述第一内存的属性。

可选地，第一处理模块具体用于向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的。

所述第二处理模块具体用于根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，所述第二处理模块具体用于：确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。

可选地，所述第一运行空间为内核空间，所述第一处理模块为操作***；其中，所述受保护的数据包括：所述操作***在编译阶段写入内存的常量数据，所述操作***在初始化阶段写入内存的常量数据。

可选地，数据保护装置900中还可以包括存储器，该存储器用于存储处理器执行单元910执行的程序代码以及数据。

可选地，数据保护装置900可以为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单 元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (13)

1. 一种数据保护方法，其特征在于，所述数据保护方法由数据保护装置执行，所述数据保护装置中包括处理器执行单元和内存管理单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别；

   所述数据保护方法包括：

   所述第一运行空间中运行的第一处理模块向所述内存管理单元发送第一消息，所述第一消息用于请求修改第一内存的属性；

   所述内存管理单元向所述第二运行空间中运行的第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的；

   所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的；

   所述第二运行空间运行的所述第二处理模块向所述内存管理单元发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性；

   若所述第三消息用于指示修改所述第一内存的属性，则所述内存管理单元根据所述第一消息修改所述第一内存的属性；若所述第三消息用于指示不修改所述第一内存的属性，则所述内存管理单元拒绝修改所述第一内存的属性。
2. 根据权利要求1所述的数据保护方法，其特征在于，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

   所述第一运行空间中的所述第一处理模块向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的；

   所述第二运行空间中的所述第二处理模块根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。
3. 根据权利要求1所述的数据保护方法，其特征在于，所述第二运行空间中运行的所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，所述数据保护方法还包括：

   所述第二运行空间中运行的所述第二处理模块确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；

   所述第二运行空间中运行的所述第二处理模块生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。
4. 根据权利要求2或3所述的数据保护方法，其特征在于，所述第一运行空间为内核空间，所述第一处理模块为操作***，所述第二运行空间为超级管理空间；

   其中，所述受保护的数据包括：所述操作***在编译阶段写入内存的常量数据，所述 操作***在初始化阶段写入内存的常量数据。
5. 根据权利要求1至4中任一项所述的数据保护方法，其特征在于，所述数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。
6. 一种数据保护装置，其特征在于，包括：处理器执行单元和内存管理单元，所述处理器执行单元划分的运行空间包括第一运行空间和第二运行空间，所述第二运行空间的异常级别高于所述第一运行空间的异常级别，所述第一运行空间用于运行第一处理模块，所述第二运行空间用于运行第二处理模块；

   所述第一处理模块用于向所述内存管理单元发送第一消息，所述第一消息用于请求修改第一内存的属性；

   所述内存管理单元用于向所述第二处理模块发送第二消息，所述第二消息用于请求确定所述第一内存是否是受保护的；

   所述第二处理模块用于根据预先获取的内存保护表，确定所述第一内存是否是受保护的；

   所述第二处理模块还用于向所述内存管理单元发送第三消息，所述第三消息用于指示是否修改所述第一内存的属性；

   所述内存管理单元还用于：所述第三消息用于指示修改所述第一内存的属性时根据所述第一消息修改所述第一内存的属性，所述第三消息用于指示不修改所述第一内存的属性时拒绝修改所述第一内存的属性。
7. 根据权利要求6所述的数据保护装置，其特征在于，所述第一处理模块还用于向所述第二运行空间中的所述第二处理模块发送第四消息，所述第四消息用于指示所述第一内存是否是受保护的；

   所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，还用于：根据所述第四消息生成所述内存保护表，所述内存保护表用于记录受保护的内存和/或不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。
8. 根据权利要求6所述的数据保护装置，其特征在于，所述第二处理模块根据预先获取的内存保护表，确定所述第一内存是否是受保护的之前，还用于：

   确定所述第一内存用于存储受保护的数据或确定所述第一内存用于存储不受保护的数据；

   生成所述内存保护表，所述内存保护表用于记录所述第一内存为受保护的内存或用于记录所述第一内存为不受保护的内存，所述受保护的内存包括用于存储受保护的数据的内存，所述不受保护的内存包括用于存储不受保护的数据的内存。
9. 根据权利要求7或8所述的数据保护装置，其特征在于，所述第一运行空间为内核空间，所述第一处理模块为操作***；

   其中，所述受保护的数据包括：所述操作***在编译阶段写入内存的常量数据，所述操作***在初始化阶段写入内存的常量数据。
10. 根据权利要求6至9中任一项所述的数据保护装置，其特征在于，所述数据保护装置为手机、平板电脑、服务器、个人电脑、网络路由器或交换机。
11. 一种计算机存储介质，其特征在于，所述计算机可读存储介质中存储用于数据保 护装置执行的程序代码，所述程序代码包括用于执行权利要求1至5中任一项所述的数据保护方法的指令。
12. 一种芯片，其特征在于，所述芯片包括处理器，所述处理器用于执行如权利要求1至5中任一项所述的数据保护方法。
13. 一种计算机程序产品，其特征在于，所述计算机程序产品在数据保护装置上运行时，使得所述数据保护装置执行如权利要求1至5中任一项所述的数据保护方法。

Images