数据处理方法、装置及设备与流程

1.本技术涉及数据安全领域，尤其涉及一种数据处理方法、装置及设备。


背景技术：

2.在目前的硬件设计中，主流的计算机往往采用在主处理器(例如，arm处理器)上运行主系统以实现基本功能，然后再连接一个或多个子处理器(例如，mcu处理器)以通过子处理器上运行的子系统实现扩展或专用功能。
3.然而，子处理器上的子系统通常不具备较高的安全设计和处理能力，无法确保与主处理器上的主系统进行安全的数据传输，从而产生安全隐患。


技术实现要素：

4.基于此，本技术提供一种数据处理方法、装置及设备。
5.根据本技术实施例第一方面，提供一种数据处理方法，该方法包括：第一系统获取待发送至第二系统的第一传输数据；基于安全系统，对第一传输数据进行加密处理，以获得第二传输数据；第一系统将第二传输数据发送至第二系统；和/或第一系统接收第二系统发送的第三传输数据；基于安全系统，对第三传输数据进行解密处理，以获得第四传输数据，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
6.根据本技术实施例一实施方式，对第一传输数据进行加密处理，和/或对第三传输数据进行解密处理，包括：第一系统获得安全系统发送的安全处理工具；基于安全处理工具，确定加密规则和/或解密规则；以及第一系统基于加密规则，对第一传输数据进行加密处理，和/或第一系统基于解密规则，对第二传输数据进行解密处理。
7.根据本技术实施例一实施方式，该方法还包括：响应于获得输入指令或者满足预设条件，第一系统获得或更新安全处理工具。
8.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，和/或对第三传输数据进行解密处理包括：第一系统将第一传输数据和/或第三传输数据发送至安全系统；以及接收安全系统返回的第二传输数据和/或第四数据，第二传输数据为通过安全系统进行加密处理的第一传输数据，第四传输数据为通过安全系统进行解密处理的第三传输数据。
9.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，和/对第三传输数据进行解密处理，包括：在第一传输数据和/或第三传输数据满足第一预设筛选规则的情况下，对第一传输数据进行加密处理和/或对第三传输数据进行解密处理，其中，第一预设筛选规则包括以下至少一项：第一传输数据和/或第二传输数据的数据量在指定的范围内；第一传输数据和/或第二传输数据的用途为在指定的用途范围内；第一传输数据和/或第二传输数据的属性满足指定条件。
10.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，
和/对第三传输数据进行解密处理，包括：在满足第二预设筛选条件的情况下，第一系统将第一传输数据和/或第三传输数据发送至安全系统，并接收安全系统返回的第二传输数据和/第四传输数据；在不满足第二预设筛选条件的情况下，第一系统对第一传输数据进行加密处理获得第二传输数据，和/或第一系统对第三传输数据进行解密处理获得第四传输数据。
11.根据本技术实施例第二方面，提供一种数据处理方法，该方法包括：第二系统接收第一系统发送的第二传输数据；基于安全系统，对第二传输数据进行解密处理，以获取第一传输数据；第二系统对第一传输数据进行数据处理，以获得到第三传输数据；基于安全系统，对第三传输数据进行加密处理，以获得第四传输数据；第二系统将第四传输数据返回至第一系统，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
12.根据本技术实施例第三方面，提供一种数据处理装置，该装置包括：待传输数据获取模块，用于第一系统获取待发送至第二系统的第一传输数据；第一加密处理模块，用于基于安全系统，对第一传输数据进行加密处理，以获得第二传输数据；第一数据发送模块，用于第一系统将第二传输数据发送至第二系统；和/或第一数据接收模块，用于第一系统接收第二系统发送的第三传输数据；第一解密模块，用于基于安全系统，对第三传输数据进行解密处理，以获得第四传输数据，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
13.根据本技术实施例第四方面，提供一种数据处理装置，该装置包括：第二数据接收模块，用于第二系统接收第一系统发送的第二传输数据；第二解密处理模块，用于基于安全系统，对第二传输数据进行解密处理，以获取第一传输数据；数据处理模块，用于第二系统对第一传输数据进行数据处理，以获得到第三传输数据；第二加密处理模块，用于基于安全系统，对第三传输数据进行加密处理，以获得第四传输数据；第二数据发送模块，用于第二系统将第四传输数据返回至第一系统，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
14.根据本技术实施例第五方面，提供一种电子设备，包括第一处理器和第二处理器，第一处理器与第二处理器连接，其中，第一处理器上运行有第一系统和安全系统，第一系统应用上述第一系统执行的任一项的数据处理方法，对与第二处理器上的第二系统之间的传输数据进行安全处理，第二系统应用上述第二系统执行的任一项的数据处理方法，对与第一系统之间的传输数据进行安全处理。
15.根据本技术实施例第六方面，提供一种计算机存储介质，存储介质包括一组计算机可执行指令，当指令被执行时用于执行上述任一项的数据安全处理方法。
16.本技术实施例提供一种数据安全处理方法、装置及系统。该方法主要应用于第一处理器连接有第二处理器的电子设备中，在第一处理器上的第一系统与第二处理器上的第二系统进行数据传输时，使用第一处理器上独立于第一系统的安全系统，对传输数据进行安全处理(例如，加密和/解密)。如此，可确保第一系统和第二系统之间传输数据的安全性和可靠性，避免有非法系统冒充第二系统攻击第一系统，或盗取第一系统与第二系统之间
的传输数据。
17.需要理解的是，本技术的实施并不需要实现上面的全部有益效果，而是特定的技术方案可以实现特定的技术效果，并且本技术的其他实施方式还能够实现上面未提到的有益效果。
附图说明
18.通过参考附图阅读下文的详细描述，本技术示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本技术的若干实施方式，其中：
19.在附图中，相同或对应的标号表示相同或对应的部分。
20.图1为本技术一实施例的硬件架构示意图；
21.图2为本技术一实施例的系统架构示意图；
22.图3为本技术一实施例数据安全处理方法在第一系统端的实现流程之一示意图；
23.图4为本技术一实施例数据安全处理方法在第二系统端的实现流程示意图；
24.图5为本技术一实施例数据安全处理方法在第一系统端的实现流程之二示意图；
25.图6为本技术另一实施例的硬件架构示意图；
26.图7为本技术另一实施例的系统架构示意图；
27.图8为本技术另一实施例数据安全处理方法的交互过程示意图；
28.图9为本技术实施例第一系统端数据安全处理装置的结构示意图；
29.图10为本技术实施例第二系统端数据安全处理装置的结构示意图。
具体实施方式
30.为使本技术的目的、特征、优点能够更加的明显和易懂，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而非全部实施例。基于本技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获取的所有其他实施例，都属于本技术保护的范围。
31.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
32.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
33.本技术实施例数据安全处理方法主要应用于图1所示的硬件架构中。如图1所示，该硬件架构包括：第一处理器101和至少一个第二处理器102。其中，第一处理器101上运行第一系统以实现基本功能，而第二处理器102上运行第二系统以实现扩展或专用功能。
34.第一系统和第二系统是独立的两个系统，第一系统通过向第二系统发送传输数据以控制第二系统完成相应的功能；第二系统也可以向第一系统发送传输数据，以实现对第一系统功能的调用和与第一系统的数据交换等。在申请实施例中，第一系统和第二系统之间发送和接收的传输数据是广泛意义上的数据，包括信号、指令、请求和待处理的具体内容等数据。
35.在本技术的一些实施例中，第二处理器102可以通过插槽或接口连接的方式，设置在第一处理器101所在的主板，与第一处理器101共同设置在一台电子设备内。
36.在本技术的另一些实施例中，第二处理器102和第一处理器101还可以分别设置在不同的两台电子设备内，第一处理器101设置在主设备(例如，计算机主机)内，第二处理器102设置在与主设备连接的子设备(例如，计算机外设)内，通过子设备与主设备之间的连接接口和通信线路与第一处理器101进行数据传输。
37.图2示出了本技术实施例实现数据安全处理方法所采用的系统架构。如图2所示，本技术实施例在第一处理器的第一系统201和第二处理器的第二系统202之间引入了一个安全系统203。
38.当第一系统201拟向第二系统202发送传输数据时，首先与安全系统203进行交互，以对待发送的传输数据进行加密处理，之后将加密处理后的传输数据发送至第二系统202。
39.第二系统202接收到加密处理后的传输数据后，也会首先与安全系统203进行交互，以对接收到的传输数据进行解密处理；之后，使用安全处理后的传输数据，完成第一系统所请求的数据处理得到数据结果；然后，与安全系统203进行交互以对数据结果进行相应的加密处理，得到加密处理后的数据结果，并将加密后的数据结果返回给第一系统201。
40.之后，第一系统201接收到加密处理后的数据结果后，也会首先与安全系统203进行交互，以对接收到的数据结果进行相应的解密处理得到数据结果。
41.反之亦然，当第二系统202拟向第一系统201发送传输数据时，首先与安全系统203进行交互，以对待发送的传输数据进行加密处理，之后将加密处理后的传输数据发送至第一系统201；第一系统201接收到加密处理后的传输数据后，也会首先与安全系统203进行交互，以对接收到的传输数据进行解密处理，之后根据解密处理后的传输数据，完成第二系统所请求的操作。
42.在本技术实施例中，安全系统203是第一处理器上运行的另一个系统(例如，arm处理器中自带的trustzone系统，或intel sgx(intel software guard extensions)系统等)，该安全系统与第一处理器上运行的第一系统相互独立。如此，无需引入新的安全硬件，即可实现第一系统和第二系统之间的安全数据传输。
43.具体地，图3示出了第一处理器上运行的第一系统向第二处理器上运行的第二系统拟发送传输数据时，实现数据安全处理方法的主要流程，如图3所示，该方法包括：
44.操作310，第一系统获取待发送至第二系统的第一传输数据；
45.其中，第一传输数据通常为未经加密的明文数据。
46.操作320，基于安全系统，对第一传输数据进行加密处理，以获得第二传输数据；
47.在本技术实施例中，并不限定加密处理的具体实现方式。可以是藉由安全系统对第一传输数据进行加密处理，然后将加密处理后得到的第二传输数据返回给第一系统；也可以是由第一系统使用安全系统提供的安全处理工具，例如密钥、签名、证书等，在第一系
统中进行加密处理直接得到第二传输数据。
48.经过加密处理所获得的第二传输数据，通常为密文数据。
49.操作330，第一系统将第二传输数据发送至第二系统。
50.图4示出了第二处理器上运行的第二系统在接收到第一处理器上运行的第一系统所发送的传输数据时，实现安全处理方法的主要流程，如图4所示，该方法包括：
51.操作410，第二系统接收第一系统发送的第二传输数据；
52.其中，第二传输数据，通常为经过加密处理的密文数据。
53.操作420，基于安全系统，对第二传输数据进行解密处理，以获取第一传输数据；
54.在本技术实施例中，并不限定解密处理的具体实现方式。可以是藉由安全系统对第二传输数据进行解密处理，然后将解密处理后得到的第一传输数据返回给第一系统；也可以是由第一系统使用安全系统提供的安全处理工具，例如密钥、签名、证书等，在第一系统中进行解密处理直接得到第一传输数据。
55.经过解密处理所得到的第一传输数据，通常为明文数据。
56.操作430，第二系统对第一传输数据进行数据处理，以获得到第三传输数据；
57.其中，第三传输数据为数据处理后得到的结果数据，是明文数据。
58.操作440，基于安全系统，对第三传输数据进行加密处理，以获得第四传输数据；
59.其中，第四传输数据，是对第三传输数据进行加密处理后得到的密文数据。
60.操作450，第二系统将第四传输数据返回至第一系统。
61.图5示出了第一处理器上运行的第一系统接收到第二处理器上运行的第二系统发送的传输数据时，实现数据安全处理方法的主要流程，如图5所示，该方法包括：
62.操作510，第一系统接收第二系统发送的第三传输数据；
63.其中，第二系统发送至第一系统的第三传输数据往往都是加密后的密文数据，是不能直接使用的。
64.操作520，基于安全系统，对第三传输数据进行解密处理，以获得第四传输数据。
65.其中，解密处理主要指对接收到的密文数据进行解密。
66.需要说明的是图1至图5所示的本技术实施例，仅为本技术数据安全处理方法的一个基本实施例，实施者可以在此基础上进行扩展和细化以获得更多的实施例。示例性地：
67.根据本技术实施例一实施方式，对第一传输数据进行加密处理，和/或对第三传输数据进行解密处理，包括：第一系统获得安全系统发送的安全处理工具；基于安全处理工具，确定加密规则和/或解密规则；以及第一系统基于加密规则，对第一传输数据进行加密处理，和/或第一系统基于解密规则，对第二传输数据进行解密处理。
68.其中，安全处理工具包括密钥、证书、随机数和/或签名等。第一系统利用安全系统提供的安全处理工具，进行加密处理，可减少安全系统的工作负荷，使得安全系统更专注于安全处理工具的管理和维护，从而使得安全处理的效率更高速度更快。
69.加密规则和/或解密规则主要指如何使用安全处理工具进行加密处理和/或解密处理的规则。例如，第一系统和第二系统在进行加密处理和/或解密处理之前，首先要通过证书进行认证，判断对方是否是可信任的系统；生成可以用于加密处理和/或解密处理的密钥对；使用密钥对和随机数对数据进行加密处理和/或解密处理；使用签名对加密处理和/或解密处理后的数据进行签名等等。
70.根据本技术实施例一实施方式，该方法还包括：响应于获得输入指令或者满足预设条件，第一系统获得或更新安全处理工具。
71.其中，输入指令指用于获得或更新安全处理工具的指令，可以是命令行指令，也可以是通过图形界面发出的指令。
72.预设条件包括第一系统或第二系统的安全状态发生改变时，例如访问控制权限发生改变、安全级别发生改变、用户口令发生改变等；未找到预存的安全处理工具(例如密钥、签名、随机数和/或证书等)，或安全处理工具已过期；第一处理器的电子设备的功能和/或配置发生变化等。
73.该安全处理工具是第一系统和第二系统的数量对应的，第一系统和每一个第二系统对应一套密钥、随机数和/或证书等。当第一系统连接有多个第二系统时，则需要设置多套密钥、随机数和/或证书等。
74.如此可确保对传输数据的安全处理是实时有效的且可靠的。
75.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，和/或对第三传输数据进行解密处理包括：第一系统将第一传输数据和/或第三传输数据发送至安全系统；以及接收安全系统返回的第二传输数据和/或第四数据，第二传输数据为通过安全系统进行加密处理的第一传输数据，第四传输数据为通过安全系统进行解密处理的第三传输数据。
76.在本实施方式中，是通过安全系统进行加密处理的，主系统无需了解安全处理的实现细节，可确保安全处理实现细节的隐秘性，更为安全。
77.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，和/对第三传输数据进行解密处理，包括：在第一传输数据和/或第三传输数据满足第一预设筛选规则的情况下，对第一传输数据进行加密处理和/或对第三传输数据进行解密处理，其中，第一预设筛选规则包括以下至少一项：第一传输数据和/或第二传输数据的数据量在指定的范围内；第一传输数据和/或第二传输数据的用途为在指定的用途范围内；第一传输数据和/或第二传输数据的属性满足指定条件。
78.其中，第一预设筛选规则，主要用于从传输数据中筛选出需要进行加密处理和/或解密处理的传输数据。
79.在本实施方式中，并不会对所有的传输数据进行安全处理。仅传输数据满足第一预设筛选规则的情况下，才会对传输数据进行安全处理。例如，传输数据的数据量适于进行加密处理的情况下；传输数据的用途为安全性要求就要高的用途时，比如关机指令，密钥数据等；传输数据的属性，比如安全级别达到中高安全级别等。如此，可进一步提高安全处理的效率，节省计算资源。
80.根据本技术实施例一实施方式，基于安全系统，对第一传输数据进行加密处理，和/对第三传输数据进行解密处理，包括：在满足第二预设筛选条件的情况下，第一系统将第一传输数据和/或第三传输数据发送至安全系统，并接收安全系统返回的第二传输数据和/第四传输数据；在不满足第二预设筛选条件的情况下，第一系统对第一传输数据进行加密处理获得第二传输数据，和/或第一系统对第三传输数据进行解密处理获得第四传输数据。
81.其中，第二预设筛选规则用于从加密处理和/或解密处理的传输数据中，进一步筛
选出安全级别较高，需要有安全处理进行加密处理和/或解密处理的传输数据。
82.在本实施方式中，根据第二预设筛选规则，将安全级别较高，需要有安全处理进行加密处理和/或解密处理的传输数据交由安全系统处理；而对于安全级别不高，但仍需要有安全处理进行加密处理和/或解密处理的传输数据，由第一系统进行加密处理和/或解密处理。
83.如此，实现分层安全处理，可有效利用安全系统的安全性和隐秘性对安全级别较高的传输数据进行更为安全的加密处理和/或解密处理；还能通过第一系统来处理安全级别不高的传输数据，节约安全系统的算力，从而使安全系统的利用更为高效。
84.图6至图8示出了本技术另一实施例利用arm trustzone技术实现数据安全处理方法的具体实现方式。
85.其中，arm trustzone技术是系统范围的安全方法，与arm cortex
tm-a处理器紧密集成，并通过axi总线和特定的trustzone系统ip块在系统中进行扩展。这一技术提供了能够支持完全可信执行环境(tee)以及安全感知应用程序和安全服务的平台，通常用于保护安全内存、加密块、键盘和屏幕等外设，以确保上述固件免遭软件攻击。
86.在本技术实施例中，创造性地想到利用这一技术来保护与主处理器上的主系统与子处理器上的子系统之间的数据传输。
87.图6示出了本技术实施例所采用的具体硬件架构。
88.如图6所示，在本技术实施例中，第一处理器为计算机主处理器601，主处理器601为一集成了arm处理器的片上系统芯片(system on chip，soc)；与第一处理器连接的第二处理器为与主处理器601连接的子处理器602，子处理器602为一微处理单元(microcontroller unit，mcu)，该mcu可与外设(图中未示出)连接并控制外设完成增强功能。
89.图7示出了本技术实施例所采用的系统架构。
90.如图7所示，在本技术实施例中，第一系统为计算机主处理器(arm soc)上的主系统701，为片上系统芯片中集成的内核操作系统；第二系统为子处理器(mcu)上的子系统702，为微处理器上集成的嵌入式系统；安全系统为主处理器(arm soc)上的安全系统703，为arm soc自带的tee系统。
91.如图7所示，为了实现本技术数据安全处理方法，在本实施例中，在主系统701内部署了一个专用于与子系统702进行交互的客户端应用程序7011，由客户端应用程序7011集中管理对子系统702的数据发送和接收；将子处理器设置为tee系统保护的硬件，并在子系统702内添加了数据加/解密程序7022以进行数据的加解密。
92.当主系统701与子系统702之间传输的数据符合预设筛选规则时，例如，“数据安全级别”这一属性的值大于3(表示中高安全级别)，则通过专用安全ipc驱动7013发送至安全系统703进行安全处理，得到安全处理后的数据。
93.当主系统701与子系统702之间传输的数据不符合预设筛选规则时，例如，“数据安全级别”这一属性的值小于等于3(表示低安全级别)，则可以通过通用驱动7012直接发送给子系统703。
94.而子系统703则通过数据收发程序7021会对接收到的符合预设筛选规则的数据进行检测，若数据为非加密数据，则返回错误信息，不再进行后续处理，以确保发送至子系统
的符合预设筛选规则的数据都是经过加密处理的。从而进一步提高系统的安全性。
95.若数据为加密数据，则通过数据加/解密程序7022进行解密操作，并对解密后的数据然后再经过数据处理程序7072进行后续处理得到数据处理结果数据；之后，再通过数据加/解密程序7022对结果数据进行加密、由数据收发程序7021将加密后的结果数据发送至客户端应用程序7011。
96.其中，安全系统703中设置有：已信任的操作系统的解决方案7032，用于与主系统701或子系统702进行交互；已信任的应用程序7031，用于进行安全处理，例如数据的加解密，数据密钥、证书和签名的管理和维护等。而图7中灰点格式填充的程序，包括：专用安全ipc驱动、已信任的应用程序7031、已信任的操作系统的解决方案7032、子系统702上的数据收发程序7021、数据加解密程序7022和数据处理程序7023都属于受安全系统703tee的安全保护区域。
97.具体地，主系统701通过客户端应用程序(client application)7011发起对子系统702的访问时，执行图8所示的以下步骤：
98.步骤8010，客户端应用程序7011通过专用安全ipc驱动7013，与安全系统703进行通信，请求数据加密；
99.步骤8020，安全系统703通过已信任的应用程序7031检查tee的安全存储(secure storage)，确定主系统和子系统的安全机制是否已激活，若否，则激活安全机制；
100.其中，安全机制包括加载密码算法、安全存储密钥及随机数等。
101.步骤8030，安全系统703对数据进行加密；
102.步骤8040，安全系统703将加密后的数据并返回给客户端应用程序7011；
103.步骤8050，客户端应用程序7011获得加密数据；
104.步骤8060，客户端应用程序7011向子系统702发送加密数据；
105.步骤8070，子系统702通过数据收发程序7021接收加密数据；
106.步骤8080，子系统702通过数据加/解密程序7022请求安全系统，对传输数据进行解密和认证；
107.步骤8090，安全系统703返回解密后的传输数据；
108.步骤8100，子系统702接收解密后的传输数据，经过数据处理程序7072进行后续处理得到数据处理结果数据；
109.步骤8110，子系统702通过数据加/解密程序7022请求安全系统，对结果数据进行加密；
110.步骤8120，安全系统703返回加密后的结果数据；
111.步骤8130，子系统702接收加密后的结果数据；
112.步骤8140，子系统702通过数据收发程序7021返回加密后的结果数据至客户端应用程序7011。
113.其中，数据收发程序7021会对接收到的符合预设筛选规则的数据进行检测，若数据未非加密数据，则返回错误信息，不再进行后续处理，以确保发送至子系统的符合预设筛选规则的数据都是经过加密处理的。从而进一步提高系统的安全性。
114.反之亦然，如果主系统701通过客户端应用程序7011向子系统702请求数据时，则由子系统702将被请求的数据通过数据加/解密程序7022对结果数据进行加密、由数据收发
程序7021将加密后的被请求数据发送至客户端应用程序7011；而客户端应用程序7011则通过专用安全ipc驱动7013，与已信任的应用程序7031(trusted application)进行通信，完成数据解密。
115.在本技术实施例中，为了实现上述数据安全处理方法，特意开发专用安全总线驱动并部署到安全系统703中，同时开发了客户端应用程序7011和已信任的应用程序7031，以处理数据安全处理请求。
116.在本技术实施例中，在对传输数据进行加密的过程中，还分别在主系统和子系统中使用了随机数，该随机数作为安全机制的一部分用于加解密的过程中。该随机数会在系统开机、唤醒和运行过程中，由主系统或子系统分别触发随机数的重新生成、同步、废止(revocation)等，可进一步提高数据安全处理的安全性和可靠性。
117.在本技术实施例中，所有的数据安全处理均在tee的安全保护区域中实现，对外界是透明的，不可见的，因此更为安全。而基于trustzone架构对子系统的数据进行有效的加密管理，还可有效降低子系统设计复杂度，同时提升整个系统的安全性。
118.进一步地，本技术实施例还提供一种数据处理装置，如图9所示，该装置包括：待传输数据获取模块901，用于第一系统获取待发送至第二系统的第一传输数据；第一加密处理模块902，用于基于安全系统，对第一传输数据进行加密处理，以获得第二传输数据；第一数据发送模块903，用于第一系统将第二传输数据发送至第二系统；和/或第一数据接收模块904，用于第一系统接收第二系统发送的第三传输数据；第一解密模块905，用于基于安全系统，对第三传输数据进行解密处理，以获得第四传输数据，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
119.根据本技术实施例一实施方式，第一加密处理模块902包括：安全处理工具获取子模块，用于第一系统获得安全系统发送的安全处理工具；加密规则确定子模块，用于基于安全处理工具，确定加密规则；加密处理子模块，用于以及第一系统基于加密规则，对第一传输数据进行加密处理。
120.根据本技术实施例一实施方式，第一解密模块905包括：安全处理工具获取子模块，用于第一系统获得安全系统发送的安全处理工具；解密规则确定子模块，用于基于安全处理工具，确定解密规则；解密处理子模块，用于以及第一系统基于解密规则，对第二传输数据进行解密处理。
121.根据本技术实施例一实施方式，该装置90还包括：安全处理工具管理模块，用于响应于获得输入指令或者满足预设条件，第一系统获得或更新安全处理工具。
122.根据本技术实施例一实施方式，第一加密处理模块902包括：数据发送子模块，用于第一系统将第一传输数据发送至安全系统；数据接收子模块，用于接收安全系统返回的第二传输数据，第二传输数据为通过安全系统进行加密处理的第一传输数据。
123.根据本技术实施例一实施方式，第一解密处理模块905包括：数据发送子模块，用于第一系统将第三传输数据发送至安全系统；数据接收子模块，用于以及接收安全系统返回的第四数据，第四传输数据为通过安全系统进行解密处理的第三传输数据。
124.根据本技术实施例一实施方式，第一加密处理模块902和/或第一解密处理模块905具体用于：在第一传输数据和/或第三传输数据满足第一预设筛选规则的情况下，对第
一传输数据进行加密处理和/或对第三传输数据进行解密处理，其中，第一预设筛选规则包括以下至少一项：第一传输数据和/或第二传输数据的数据量在指定的范围内；第一传输数据和/或第二传输数据的用途为在指定的用途范围内；第一传输数据和/或第二传输数据的属性满足指定条件。
125.根据本技术实施例一实施方式，第一加密处理模块902和/或第一解密处理模块905具体用于：在满足第二预设筛选条件的情况下，第一系统将第一传输数据和/或第三传输数据发送至安全系统，并接收安全系统返回的第二传输数据和/第四传输数据；在不满足第二预设筛选条件的情况下，第一系统对第一传输数据进行加密处理获得第二传输数据，和/或第一系统对第三传输数据进行解密处理获得第四传输数据。
126.进一步地，本技术实施例还提供一种数据安全处理装置，如图10所示，该装置100包括：第二数据接收模块1001，用于第二系统接收第一系统发送的第二传输数据；第二解密处理模块1002，用于基于安全系统，对第二传输数据进行解密处理，以获取第一传输数据；数据处理模块1003，用于第二系统对第一传输数据进行数据处理，以获得到第三传输数据；第二加密处理模块1004，用于基于安全系统，对第三传输数据进行加密处理，以获得第四传输数据；第二数据发送模块1005，用于第二系统将第四传输数据返回至第一系统，其中，第一系统运行于第一处理器；第二系统运行于第二处理器；第一处理器与第二处理器相连接；安全系统运行于第一处理器，且安全系统独立于第一系统。
127.此外，本技术实施例还提供一种电子设备，如图1所示，包括：第一处理器101和第二处理器102，第一处理器101与第二处理器102连接，其中，第一处理器101上运行有第一系统和安全系统，第一系统应用上述第一系统执行的任一项的数据处理方法，对与第二处理器102上的第二系统之间的传输数据进行安全处理，第二系统应用上述第二系统执行的任一项的数据处理方法，对与第一系统之间的传输数据进行安全处理。
128.此外，本技术实施例还提供一种计算机存储介质，存储介质包括一组计算机可执行指令，当指令被执行时用于执行上述任一项的数据安全处理方法。
129.这里需要指出的是：以上针对数据安全处理装置实施例的描述、以上针对数据安全处理系统实施例的描述和以上针对计算机存储介质实施例的描述，与前述方法实施例的描述是类似的，具有同前述方法实施例相似的有益效果，因此不做赘述。对于本技术对数据安全处理装置实施例的描述、对数据安全处理系统实施例的描述和对计算机存储介质实施例的描述尚未披露的技术细节，请参照本技术前述方法实施例的描述而理解，为节约篇幅，因此不再赘述。
130.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
131.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个装置，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相
互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
132.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
133.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以利用硬件的形式实现，也可以利用硬件加软件功能单元的形式实现。
134.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储介质、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
135.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例方法的全部或部分。而前述的存储介质包括：移动存储介质、rom、磁碟或者光盘等各种可以存储程序代码的介质。
136.以上，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。