一种数据管理方法及相关装置与流程

1.本技术涉及计算机技术领域，特别涉及一种数据管理方法；还涉及一种数据管理装置、设备以及计算机可读存储介质。


背景技术：

2.随着soc(system
‑
on
‑
a
‑
chip，片上系统)系统在数据中心等领域的广泛应用，soc系统的安全性也越来越受到关注。目前，现有soc系统中运行两套操作系统，一套操作系统用于管理敏感数据，一套操作系统用于运行应用程序。当应用程序需要敏感数据时，切换到另一套操作系统读取敏感数据，然后将敏感数据返回给应用程序。虽然应用程序无法访问敏感数据，但是敏感数据依旧暴露于ddr(double data rate，双倍速率)内存中，存在敏感数据直接被利用、泄露的风险。
3.因此，如何提高soc系统的安全性已成为本领域技术人员亟待解决的技术问题。


技术实现要素：

4.本技术的目的是提供一种数据管理方法，能够降低敏感数据泄露的风险，提高soc系统的安全性。本技术的另一个目的是提供一种数据管理装置、设备以及计算机可读存储介质，均具有上述技术效果。
5.为解决上述技术问题，本技术提供了一种数据管理方法，包括：
6.触发加解密机制；
7.当写入敏感数据时，生成并保存秘钥；
8.根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；
9.当读取所述敏感数据时，获取读请求地址对应的所述秘钥；
10.根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
11.可选的，所述触发加解密机制包括：
12.通过将敏感数据控制位设置为目标数值，触发所述加解密机制。
13.可选的，所述根据所述秘钥对所述敏感数据进行加密包括：
14.判断所述敏感数据的宽度是否达到预设数据宽度；
15.若所述敏感数据的宽度达到所述预设数据宽度，则直接根据所述秘钥对所述敏感数据进行加密；
16.若所述敏感数据的宽度未达到所述预设数据宽度，则将所述敏感数据补齐至所述预设数据宽度后，对补齐后的所述敏感数据进行加密。
17.可选的，将所述敏感数据补齐至所述预设数据宽度包括：
18.将所述敏感数据用零补齐至所述预设数据宽度。
19.可选的，生成秘钥前还包括：
20.判断写请求地址是否首次写入敏感数据；
21.若是首次写入敏感数据，则生成所述写请求地址对应的所述秘钥；
22.若不是首次写入敏感数据，则获取预先已生成的所述写请求地址对应的所述秘钥。
23.可选的，所述根据所述秘钥对所述敏感数据进行解密包括：
24.根据所述秘钥对预设数据宽度的所述敏感数据进行解密。
25.可选的，还包括：
26.在存储管理单元中配置所述敏感数据控制位。
27.为解决上述技术问题，本技术还提供了一种数据管理装置，包括：
28.触发模块，用于触发加解密机制；
29.秘钥生成模块，用于当写入敏感数据时，生成并保存秘钥；
30.加密模块，用于根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；
31.秘钥获取模块，用于当读取所述敏感数据时，获取读请求地址对应的所述秘钥；
32.解密模块，用于根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
33.为解决上述技术问题，本技术还提供了一种数据管理设备，包括：
34.存储器，用于存储计算机程序；
35.处理器，用于执行所述计算机程序时实现如上任一项所述的数据管理方法的步骤。
36.为解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述的数据管理方法的步骤。
37.本技术所提供的数据管理方法，包括：触发加解密机制；当写入敏感数据时，生成并保存秘钥；根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；当读取所述敏感数据时，获取读请求地址对应的所述秘钥；根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
38.可见，本技术所提供的数据管理方法，在写敏感数据对要写入的敏感数据进行加密后写入主存，在读敏感数据时，对要读取的敏感数据进行解密后返回，由此通过对敏感数据进行加解密操作，可以极大的降低敏感数据从存储器中泄露的风险，从而提高soc系统的安全性。
39.本技术所提供的数据管理装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
40.为了更清楚地说明本技术实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1为本技术实施例所提供的一种数据管理方法的流程示意图；
42.图2为本技术实施例所提供的一种数据管理装置的示意图；
43.图3为本技术实施例所提供的一种数据管理设备的示意图。
具体实施方式
44.本技术的核心是提供一种数据管理方法，能够降低敏感数据泄露的风险，提高soc系统的安全性。本技术的另一个核心是提供一种数据管理装置、设备以及计算机可读存储介质，均具有上述技术效果。
45.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
46.请参考图1，图1为本技术实施例所提供的一种数据管理方法的流程示意图，参考图1所示，该方法主要包括：
47.s101：触发加解密机制；
48.s102：当写入敏感数据时，生成并保存秘钥；
49.s103：根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；
50.具体的，可在cpu发出写敏感数据指令后，触发加解密机制，进而在触发加解密机制后，生成并保存秘钥。对于要写入的敏感数据，首先根据生成的秘钥对敏感数据进行加密，进而将加密后的敏感数据写入主存。
51.其中，在一种具体的实施方式中，根据所述秘钥对敏感数据进行加密的方式为：
52.判断所述敏感数据的宽度是否达到预设数据宽度；
53.若所述敏感数据的宽度达到所述预设数据宽度，则直接根据所述秘钥对所述敏感数据进行加密；
54.若所述敏感数据的宽度未达到所述预设数据宽度，则将所述敏感数据补齐至所述预设数据宽度后，对补齐后的所述敏感数据进行加密。
55.具体而言，预先约定进行加密操作的敏感数据的宽度，在对敏感数据进行加密之前，首先判断敏感数据的宽度是否达到了预先约定的宽度，即是否达到了预设数据宽度。如果敏感数据的宽度达到了预设数据宽度，则直接根据秘钥对敏感数据进行加密。如果敏感数据的宽度没有达到预设数据宽度，则首先对敏感数据进行补齐，使其达到预设数据宽度，并在补齐之后，再根据秘钥对补齐之后的敏感数据进行加密。
56.上述预设数据宽度可以为512bit。也就是说，如果敏感数据的宽度达到了512bit，则直接根据秘钥对敏感数据进行加密。如果敏感数据的宽度没有达到512bit，则首先对敏感数据进行补齐，使其达到512bit，并在补齐之后，再根据秘钥对补齐之后的敏感数据进行加密。
57.其中，对敏感数据进行补齐的方式可以为用零对敏感数据进行补齐。
58.可以明白的是，除采用上述补齐方式外，还可以采取其他方式进行补齐，本技术对此不做唯一限定。
59.进一步，在一种具体的实施方式中，生成秘钥前还包括：
60.判断写请求地址是否首次写入敏感数据；
61.若是首次写入敏感数据，则生成所述写请求地址对应的所述秘钥；
62.若不是首次写入敏感数据，则获取预先已生成的所述写请求地址对应的所述秘钥。
63.具体而言，本实施例中，在生成秘钥之前，会判断敏感数据要写入的地址是否首次写入敏感数据。如果是首次写入敏感数据，则表明该地址还没有对应的秘钥，此时需首先生成该地址的秘钥，进而根据所生成的秘钥进行数据加密。如果不是首次写入敏感数据，则表明该地址已存在对应的秘钥，此时不需要再生成秘钥，只需获取之前已生成的秘钥，并根据此秘钥进行数据加密即可。
64.结合写请求地址是否首次写入敏感数据以及敏感数据的宽度是否达到预设数据宽度，对敏感数据进行加密与存储的过程可以如下：
65.如果写请求地址是首次写入敏感数据，并且敏感数据的宽度达到了预设数据宽度，则生成秘钥，根据所生成的秘钥直接对敏感数据进行加密后，将加密后的敏感数据写入主存。
66.如果写请求地址是首次写入敏感数据，并且敏感数据的宽度没有达到预设数据宽度，则生成秘钥，并在将敏感数据补齐至预设数据宽度之后，根据所生成的秘钥对补齐之后的敏感数据进行加密，最后将加密后的敏感数据写入主存。
67.如果写请求地址不是首次写入敏感数据，并且敏感数据的宽度达到了预设数据宽度，则首先获取之前已生成的该写请求地址对应的秘钥，并根据读取的秘钥直接对敏感数据进行加密后，将加密后的敏感数据写入主存。
68.如果写请求地址不是首次写入敏感数据，并且敏感数据的宽度没有达到预设数据宽度，则首先获取之前已生成的该写请求地址对应的秘钥，以及该写请求地址中已经写入的预设数据宽度的敏感数据，根据读取的秘钥对已写入的敏感数据进行解密，并将敏感数据替换到已写入的预设数据宽度的敏感数据的相应的正确位置，然后再根据读取的秘钥对替换之后得到的预设数据宽度的敏感数据进行加密，最后将加密后的敏感数据写入主存。
69.s104：当读取所述敏感数据时，获取读请求地址对应的所述秘钥；
70.s105：根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
71.具体的，可在cpu发出读敏感数据指令后，触发加解密机制，在触发加解密机制之后，对于要读取的敏感数据，首先根据读请求地址，读取该读请求地址对应的秘钥，并从该读请求地址中读取敏感数据，进而根据读取到的秘钥对读取到的敏感数据进行解密后，返回解密后的敏感数据。
72.其中，在一种具体的实施方式中，所述根据所述秘钥对所述敏感数据进行解密包括：根据所述秘钥对预设数据宽度的所述敏感数据进行解密。
73.具体而言，对应于以预设数据宽度为单位进行数据加密与存储的实施方式，本实施例在读取加密数据时，相适应会从所述读请求地址读取所述预设数据宽度的所述敏感数据，进而根据秘钥对预设数据宽度的敏感数据进行解密。
74.例如，以512bit为单位进行数据加密与存储，那么在读取敏感数据时，就以512bit为单位读取敏感数据，进而根据秘钥对512bit的敏感数据进行解密。
75.上述写敏感数据时进行加密以及读敏感数据时进行解密的前提是触发加解密机制，对于触发加解密机制的具体实现方式，本技术不做限定，能够触发加解密机制即可。
76.在一种具体的实施方式中，触发加解密机制的方式可以为：
77.通过将敏感数据控制位设置为目标数值，触发加解密机制。
78.具体而言，预先可在存储管理单元中配置(增设)敏感数据控制位，并约定表征要进行敏感数据加解密时的该敏感数据控制位的数值即目标数值，进而当cpu发出写敏感数据请求或读敏感数据请求时，将该敏感数据控制位设置为该目标数值，实现触发加解密机制。
79.对于敏感数据控制位的具体位置、位数以及目标数值的具体值，本技术同样不做限定，可以进行差异性设置。
80.例如，敏感数据控制位为一位，目标数值为1。在不读写敏感数据时，该敏感数据控制为设置为0。当cpu发出写敏感数据请求或读敏感数据请求时，将该敏感数据控制位设置为1。
81.为实现申请所提供上述实施例所提供的管理方案，除在存储管理单元中增设敏感数据控制位外，还可以在cache与主存控制器之间增设主存安全访问模块。主存安全访问模块包括秘钥生成器与秘钥存储器。
82.基于上述设置，借助存储管理单元与主存安全访问模块实现本管理方案的具体实现过程可以如下：
83.当cpu发出写敏感数据请求时，存储管理单元将敏感数据控制位设置为目标数值，从而触发加解密机制。触发加解密机制之后，当敏感数据到达主存安全访问模块时，主存安全访问模块对敏感数据进行加密，并将加密后的敏感数据写入主存。对敏感数据进行加密与存储的过程参照上述实施例，本技术在此不做赘述。
84.当cpu发出读敏感数据请求时，存储管理单元将敏感数据控制位设置为目标数值，从而触发加解密机制。触发加解密机制之后，当读请求到达主存安全访问模块时，主存安全访问模块根据读请求地址查找相应的秘钥并读取敏感数据，最后根据所读取的秘钥对所读取的敏感数据进行解密，并将解密后的敏感数据返回。
85.综上所述，本技术所提供的数据管理方法，包括：触发加解密机制；当写入敏感数据时，生成并保存秘钥；根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；当读取所述敏感数据时，获取读请求地址对应的所述秘钥；根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。可见，本技术所提供的数据管理方法，在写敏感数据对要写入的敏感数据进行加密后写入主存，在读敏感数据时，对要读取的敏感数据进行解密后返回，由此通过对敏感数据进行加解密操作，可以极大的降低敏感数据从存储器中泄露的风险，从而提高soc系统的安全性。
86.本技术还提供了一种数据管理装置，下文描述的该装置可以与上文描述的方法相互对应参照。请参考图2，图2为本技术实施例所提供的一种数据管理装置的示意图，结合图2所示，该装置包括：
87.触发模块10，用于触发加解密机制；
88.秘钥生成模块20，用于当写入敏感数据时，生成并保存秘钥；
89.加密模块30，用于根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；
90.秘钥获取模块40，用于当读取所述敏感数据时，获取读请求地址对应的所述秘钥；
91.解密模块50，用于根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
92.在上述实施例的基础上，可选的，所述触发模块10具体用于：
93.通过将敏感数据控制位设置为目标数值，触发所述加解密机制。
94.在上述实施例的基础上，可选的，所述加密模块30包括：
95.判断单元，用于判断所述敏感数据的宽度是否达到预设数据宽度；
96.第一加密单元，用于若所述敏感数据的宽度达到所述预设数据宽度，则直接根据所述秘钥对所述敏感数据进行加密；
97.第二加密单元，用于若所述敏感数据的宽度未达到所述预设数据宽度，则将所述敏感数据补齐至所述预设数据宽度后，对补齐后的所述敏感数据进行加密。
98.在上述实施例的基础上，可选的，所述第二加密单元具体用于：
99.将所述敏感数据用零补齐至所述预设数据宽度。
100.在上述实施例的基础上，可选的，还包括：
101.判断模块，用于判断写请求地址是否首次写入敏感数据；
102.若是首次写入敏感数据，则所述秘钥生成模块20生成所述写请求地址对应的所述秘钥；
103.若不是首次写入敏感数据，则所述秘钥获取模块40获取预先已生成的所述写请求地址对应的秘钥。
104.在上述实施例的基础上，可选的，所述解密模块50具体用于：
105.根据所述秘钥对预设数据宽度的所述敏感数据进行解密。
106.在上述实施例的基础上，可选的，还包括：
107.配置模块，用于在存储管理单元中配置所述敏感数据控制位。
108.本技术所提供的数据管理装置，在写敏感数据对要写入的敏感数据进行加密后写入主存，在读敏感数据时，对要读取的敏感数据进行解密后返回，由此通过对敏感数据进行加解密操作，可以极大的降低敏感数据从存储器中泄露的风险，从而提高soc系统的安全性。
109.本技术还提供了一种数据管理设备，参考图3所示，该设备包括存储器1和处理器2。
110.存储器1，用于存储计算机程序；
111.处理器2，用于执行计算机程序实现如下的步骤：
112.触发加解密机制；当写入敏感数据时，生成并保存秘钥；根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；当读取所述敏感数据时，获取读请求地址对应的所述秘钥；根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
113.对于本技术所提供的设备的介绍请参照上述方法实施例，本技术在此不做赘述。
114.本技术还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时可实现如下的步骤：
115.触发加解密机制；当写入敏感数据时，生成并保存秘钥；根据所述秘钥对所述敏感数据进行加密，并将加密后的所述敏感数据写入主存；当读取所述敏感数据时，获取读请求
地址对应的所述秘钥；根据所述秘钥对所述敏感数据进行解密，并发送解密后的所述敏感数据。
116.该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
117.对于本技术所提供的计算机可读存储介质的介绍请参照上述方法实施例，本技术在此不做赘述。
118.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
119.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
120.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
121.以上对本技术所提供的数据管理方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围。