数据处理方法、装置、安全芯片、存储介质及计算机设备制造方法及图纸

本发明专利技术公开了一种数据处理方法、装置、安全芯片、存储介质及计算机设备。该方法包括：接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；确定可信存储空间的剩余空间达到预设阈值，其中，该可信存储空间存储一个或多个既有对象；从既有对象中，选择一个或多个第二对象；从可信存储空间中移出该一个或多个第二对象；为第一对象分配可信存储空间。通过本发明专利技术，达到了最大限度使用可信存储空间，使得与安全芯片关联的可信存储空间得到适应扩展的技术效果，进而解决了在相关技术中，存在可信存储空间不能满足使用需求的技术问题。

【技术实现步骤摘要】
数据处理方法、装置、安全芯片、存储介质及计算机设备
本专利技术涉及计算机领域，具体而言，涉及一种数据处理方法、装置、安全芯片、存储介质及计算机设备。
技术介绍
可信计算是在计算和通信系统中使用基于硬件安全模块支持下的计算，以提高系统整体的安全性。可信计算基于国际可信计算组(TrustedComputingGroup，简称为TCG)/可信平台模块(TrustedPlatformModel，简称为TPM)的可信标准完成。TCG/TPM可信标准是：以可信芯片(也称之为安全芯片，例如，TPM，可信平台控制模块(TrustedPlatformControlModel，简称为TPCM)等)为可信根，系统启动时逐级对系统所包括的设备或者应用进行度量，从而最终完成从起点到应用、网络的信任传递过程。除了可信度量之外，TPM还提供了可信存储的功能，在TPM的芯片内部的非易失性存储(Non-Volatile，简称为NV)空间存储证书、密钥等敏感数据。但在可信芯片的物理实体硬件中，所限于芯片尺寸、功耗、成本等限制，能够提供的可信NV空间大小有限(最大到百K)，且持久化对象的数量支持也比较少(最大到10个)。当业务需要使用较大的可信空间或较多的持久化对象时，无法直接使用TPM硬件内部的预置空间；而且，在云环境下，一个物理TPM实体需要提供给多个虚拟用户使用，但一个物理TPM实体的可信NV空间完全无法满足多个虚拟用户的使用要求。因此，在相关技术中，存在可信存储空间不能满足使用需求的问题。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种数据处理方法、装置、安全芯片、存储介质及计算机设备，以至少解决在相关技术中，存在可信存储空间不能满足使用需求的技术问题。根据本专利技术实施例的一个方面，提供了一种数据处理方法，包括：接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间存储一个或多个既有对象；从所述既有对象中，选择一个或多个第二对象；从所述可信存储空间中移出所述一个或多个第二对象；为所述第一对象分配可信存储空间。根据本专利技术的另一方面，提供了一种数据处理装置，包括：接收模块，用于接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；确定模块，用于确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间存储一个或多个既有对象；选择模块，用于从所述既有对象中，选择一个或多个第二对象；移出模块，用于从所述可信存储空间中移出所述一个或多个第二对象；分配模块，用于为所述第一对象分配可信存储空间。根据本专利技术的一方面，提供了一种安全芯片，包括上述所述的数据处理装置。根据本专利技术的另一方面，提供了一种存储介质，所述存储介质存储有程序，其中，在所述程序被处理器运行时控制所述处理器执行上述任意一项所述的数据处理方法。根据本专利技术的还一方面，提供了一种计算机设备，包括：存储器和处理器，所述存储器存储有计算机程序；所述处理器，用于执行所述存储器中存储的计算机程序，所述计算机程序运行时使得所述处理器执行上述任意一项所述的数据处理方法。根据本专利技术的还一方面，还提供了一种数据处理方法，包括：接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间已存储一个或多个既有对象；从所述既有对象中，选择一个或多个第二对象；采用所述安全芯片的存储根密钥对所述一个或多个第二对象进行加密，获得加密密文；对所述加密密文进行转存；为所述第一对象分配可信存储空间。根据本专利技术的再一方面，还提供了一种可信对象存储方法，包括：接收在与安全芯片关联的可信存储空间创建第一可信对象的创建请求；确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间存储一个或多个既有可信对象；从所述既有可信对象中，选择一个或多个第二可信对象；从所述可信存储空间中移出所述一个或多个第二可信对象；为所述第一可信对象分配可信存储空间。在本专利技术实施例中，采用在可信存储空间的剩余空间达到预设阈值时，从可信存储空间存储的既有对象中选择一个或多个第二对象移出该可信存储空间，并为新的创建请求对应的第一对象分配可信存储空间，达到了最大限度使用可信存储空间，使得与安全芯片关联的可信存储空间得到适应扩展的技术效果，进而解决了在相关技术中，存在可信存储空间不能满足使用需求的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1示出了一种用于实现数据处理方法的计算机终端的硬件结构框图；图2是本专利技术实施例所基于的TCG/TPM可信标准的信任链传递流程图；图3是本专利技术实施例所基于的TPM持久化密钥层次结构的示意图；图4是根据本专利技术实施例1的数据处理方法的流程图；图5是根据本专利技术实施例1的数据处理方法的应用场景的示意图；图6是根据本专利技术实施例1的可选的数据处理方法的流程图；图7是根据本专利技术实施例1的可信对象存储方法的流程图；图8是根据本专利技术实施例1的TPM的NV存储扩展的架构示意图；图9是根据本专利技术实施例的NV空间对象快表的示意图；图10是根据本专利技术实施例的内存空间对象快表的示意图；图11是根据本专利技术实施例2的数据处理装置的结构框图；图12是根据本专利技术实施例2的安全芯片的结构框图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：可信计算(TrustedComputing):国际可信计算组(TrustedComputingGroup，简称为TCG)开发和推广的技术，在计算和通信系统中使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。使用可信计算，计算机将一直以预期的方式运行，这些行为将由计算机硬本文档来自技高网...

【技术保护点】
1.一种数据处理方法，其特征在于，包括：/n接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；/n确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间存储一个或多个既有对象；/n从所述既有对象中，选择一个或多个第二对象；/n从所述可信存储空间中移出所述一个或多个第二对象；/n为所述第一对象分配可信存储空间。/n

【技术特征摘要】
1.一种数据处理方法，其特征在于，包括：
接收在与安全芯片关联的可信存储空间创建第一对象的创建请求；
确定所述可信存储空间的剩余空间达到预设阈值，其中，所述可信存储空间存储一个或多个既有对象；
从所述既有对象中，选择一个或多个第二对象；
从所述可信存储空间中移出所述一个或多个第二对象；
为所述第一对象分配可信存储空间。


2.根据权利要求1所述的方法，其特征在于，所述一个或多个第二对象包括以下至少之一：
占用的空间等于或大于所述第一对象的既有对象；
未访问时间大于预定未访问时长的既有对象；
访问频率低于预定访问频率的既有对象。


3.根据权利要求1所述的方法，其特征在于，
从所述可信存储空间中移出所述一个或多个第二对象包括：采用所述安全芯片的存储根密钥对所述一个或多个第二对象进行加密，获得加密密文；对所述加密密文进行转存；
或者，
从所述可信存储空间中移出所述一个或多个第二对象包括：删除所述一个或多个第二对象。


4.根据权利要求3所述的方法，其特征在于，对所述加密密文进行转存包括以下至少之一：
将所述加密密文转存至可信存储空间中；
将所述加密密文转存至非可信存储空间中。


5.根据权利要求1所述的方法，其特征在于，在从所述可信存储空间中移出所述一个或多个第二对象之后，还包括：
将所述一个或多个第二对象在磁盘中备份。


6.根据权利要求1所述的方法，其特征在于，在为所述第一对象分配可信存储空间之后，还包括：
在所述可信存储空间创建所述第一对象，在可信存储空间对象快表中生成所述第一对象在所述可信存储空间中的对象条目信息，并将所述可信存储空间对象快表中所述一个或多个第二对象的对象条目信息删除。


7.根据权利要求6所述的方法，其特征在于，所述可信存储空间中的对象条目信息包括以下至少之一：
对象索引号，对象大小，最近一次访问对象的时间间隔，访问对象的次数，对象的生命周期。


8.根据权利要求1所述的方法，其特征在于，还包括：
接收对象访问请求，其中，所述对象访问请求中携带有待访问对象的索引；
判断所述待访问对象是否在可信存储空间中，在判断结果为是的情况下，从所述可信存储空间中访问所述待访问对象。


9.根据权利要求8所述的方法，其特征在于，在判断所述待访问对象是否在所述可信存储空间中之后，还包括：
在判断结果为否的情况下，确定所述待访问对象的非可信存储空间，在所述可信存储空间的剩余空间达到所述预设阈值，从所述可信存储空间移出既有对象后，从所述非可信存储空间将所述待访问对象存入所述可信存储空间，并从所述可信存储空间中执行对所述待访问对象的访问。


10.根据权利要求9所述的方法，其特征在于，从所述非可信存储空间将所述待访问对象存入所述可信存储空间包括：
采用安全芯片的存储根密钥对从所述非可信存储空间存储的加密密文进行解密，获得所述待访问对象；<...

【专利技术属性】
技术研发人员：肖鹏，付颖芳，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY