CN115357930A - 数据删除方法和电子设备 - Google Patents

Abstract

本申请公开了一种数据删除方法，属于通信领域。该方法包括：接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息；响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

Description

数据删除方法和电子设备

技术领域

本申请属于通信领域，具体涉及一种数据删除和电子设备

背景技术

目前，电子设备(例如手机)中存储了大量的隐私数据，若用户的手机遗失或弃用时，则需求将用户的隐私数据进行删除，以防用户隐私数据泄露。

因此，为了解决上述问题，可以通过对电子设备进行恢复出厂设置处理。

然而，上述方法中，由于电子设备在进行恢复出厂设置处理时所需时间较长，且仅限在充电时才能进行，因此，并不适用与手机遗失的应用场景，如此，电子设备处理隐私数据的效率较低且灵活性较差。

发明内容

本申请实施例的目的是提供一种数据删除，能够提升电子设备处理隐私数据的效率和灵活性较。

第一方面，本申请实施例提供了一种数据删除方法，该方法包括：接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息；响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

第二方面，本申请实施例提供了一种数据删除装置，该装置包括：接收模块和删除模块；接收模块，用于接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息。删除模块，用于响应于接收模块接收的第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

第三方面，本申请实施例提供了一种电子设备，该电子设备包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。

第四方面，本申请实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。

第五方面，本申请实施例提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如第一方面所述的方法。

第六方面，本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如第一方面所述的方法。

在本申请实施例中，电子设备可以接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息；响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。由于电子设备可以接收用于指示电子设备删除目标数据的第一指令，并根据第一指令中包括的目标数据的标记信息，从RPMB中删除目标数据，或者从UDA和RPMB中删除目标数据。因此，即使在用户的电子设备丢失的情况下，也可以对电子设备的隐私数据进行快速地远程删除处理，如此，提升了电子设备处理隐私数据的效率，提升了电子设备处理隐私数据的灵活性。

附图说明

图1是本申请实施例提供的一种电子设备的存储系统架构图；

图2是本申请实施例提供的一种数据删除方法的流程图；

图3是本申请实施例提供的一种数据存储方法系统架构图之一；

图4是本申请实施例提供的一种数据存储方法系统架构图之二；

图5是本申请实施例提供的一种数据删除方法系统架构图之一；

图6是本申请实施例提供的一种数据删除方法系统架构图之二；

图7是本申请实施例提供的一种数据删除装置的结构示意图

图8是本申请实施例提供的一种电子设备的硬件结构示意图之一；

图9是本申请实施例提供的一种电子设备的硬件结构示意图之二。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合附图，通过具体的实施例及其应用场景对本申请实施例提供的数据删除方法进行详细地说明。

当用户的电子设备(例如手机)丢失或被盗时，如何能在第一时间快速、高效且安全的远程删除手机上的敏感信息，或者，在用户的手机需求弃用或转让时，如何确保用户的敏感信息已经安全删除，从而使得即使在其他用户获得该手机之后，也无法获取其中的用户敏感信息是急需解决的问题。

然而，目前多数电子设备(移动终端)使用NAND闪存。一个NAND闪存一般由一个或多个闪存芯片组成；一个闪存芯片由一个或多个die或逻辑单元号(Logical Unit Number，LUN)组成；一个die或LUN由多个plane组成；一个plane由多个block组成；一个block由多个page组成；一个page由多个cell组成。其中，cell是闪存执行数据存储的任务的最小工作单位。闪存根据每个cell内可存储的数据量分成单层单元(Single Level Cell，SLC)(1bit/cell)、多层单元((Multi Level Cell，MLC)(2bit/Cell)、三层单元(Triple Level Cell，TLC)(3bit/Cell)和4层单元(Quad-level cells，QLC)(4bit/Cell)，成本依次降低，容量依次增大，耐用度也依次降低。

闪存中的数据具有三种基本操作：读、写和擦除。读写是page的最小操作单位，擦除是block的最小操作单元。一个闪存有擦除次数限制，理论上，一个闪存的擦除次数为1,000,000。出于性能考虑，NAND闪存通常采用“异地更新”的方式将更新后的数据写入空闲存储页面，而不是原始数据所在的存储页面，只是将原始数据所在的存储页面标记为无效，供后续的垃圾回收(Garbage Collection，GC)时才做物理删除。因此，在NAND闪存做垃圾回收之前，原来的旧数据仍然是存储在闪存上的，攻击者可以通过磁盘读取工具获得用户数据。而传统HDD采用的“就地更新”操作(即将更新后的数据直接覆盖(overwrite)/替换原始数据)，其并不适合NAND闪存。

然而，NAND闪存的“异地更新”会在闪存上生成许多无效数据，从而导致更严重的安全威胁，因此，研究NAND闪存上的数据安全删除尤为重要。

目前，闪存可以包括4个分区：BOOT(boot分区)、通用分区(General PurposePartition，GPP)、重放保护内存块(Replay Protected Memory Block，RPMB)和用户分区(User Data Area，UDA)。

其中，BOOT主要用于系统启动，GPP主要用于存储系统或者用户数据但是，GPP在芯片出厂时，通常不存在，需要主动进行配置后，才会存在，通常情况下，不会为电子设备配置GPP，RPMB主要用于保存安全相关的数据，如密钥、指纹、安全支付相关等数据；UDA主要用于存储系统和用户数据。

本申请实施例提供的数据删除方法主要为了使得电子设备中的数据可以进行数据安全删除，数据安全删除是指：数据删除后，攻击者既不能恢复已删除的数据，也不能获得有关这些数据的任何信息。然而，由于存储系统的复杂性，实现这种数据安全删除是一项具有挑战性的任务。现代存储系统通常由多层组成(例如图1)，在其中一层中执行删除操作通常无法完全安全删除数据，因为可能会在其他层中存在数据泄漏。例如，从应用“照片”里删除一张选定的照片，该删除操作并不能保证所删除的照片真的变得不可访问。在接收到应用“照片”(属于应用层)发出的删除请求后，系统可以简单地修改文件系统层中的元数据(例如，更改块分配表并使被删除的数据无效)，以使照片看起来已经在应用层中被删除。然而，实际内容仍然保存在物理存储介质层中，攻击者可以通过一些工具来恢复物理存储介质中的数据。因此，数据安全删除要求确保所删除的内容在存储系统的每一层都不可访问。

本申请实施例提供的数据删除方法可以基于手机删除UDA分区和RPMB，由于RPMB空间小，目前最大只有16M，因此，其他无法存放的重要敏感数据将会存储在RPMB以外的UDA区，例如，用于指纹认证的指纹模板，其小部分的数据存储在RPMB，而大部分数据存储在UDA区。因此，在手机丢失或被盗时，需要对RPMB中的密钥和指纹等信息进行物理擦除，同时还需要对UDA中的重要数据进行物理擦除。

图1示出了一种电子设备的存储系统架构图，如图1所示，电子设备的存储系统架构图中的各层模块功能如下：

物理存储介质(物理介质)

物理存储介质可以用于存储数据，例如HDD或NAND闪存，其中，物理存储介质始终通过控制器访问。

控制器

控制器的基本功能是将物理存储介质上的数据格式(如电压)转换为上层可以理解的另一种格式(如二进制值)。控制器可以提供标准化且定义明确的硬件接口，例如集成设备电路(Advanced Technology Attachment，ATA)和小型计算机系统接口(SmallComputer System Interface，SCSI)，允许从物理存储介质读取数据或将数据写入物理存储介质。由于HDD采用就地更新，因此其控制器通常会将逻辑块地址一致地映射到物理存储介质上的某个存储位置。相反，由于NAND闪存出于性能考虑，采用异地更新，通常通过FTL或特定于闪存的文件系统进行管理。

设备驱动程序

设备驱动程序可以通过以软件的形式公开一个通用的简单接口来整合对不同类型硬件的访问。块设备驱动程序接口允许读取和写入逻辑地址中的块。块设备驱动程序可以在HDD控制或由FTL封装的NAND闪存上使用。

内存技术设备(Memory Technology Device，MTD)

内存技术设备是另一种设备驱动程序，可以用于直接访问原始NAND闪存。内存技术设备允许读取和写入，但在写入之前必须擦除块，这是在大粒度下发生的。

未分类的块图像(Unsorted block images，UBI)

未分类的块图像是另一个访问闪存的接口，它构建在内存技术设备接口之上，可以对使用原始闪存的部分方面进行简化。

文件系统

文件系统负责通过设备驱动程序提供的接口组织物理存储介质上可用块之间的逻辑数据序列。其中包括：(1)构建在块设备之上的块文件系统，例如FAT32、EXT4和NTFS；(2)建立在MTD设备之上的闪存文件系统，例如YAFFS(Yet Another Flash File System)；(3)UBI文件系统(Unsorted Block Image File System，UBIFS)构建在UBI设备之上。

应用层

应用层可以为用户提供一个界面。

目前，为了确保用户手机中的敏感数据可以进行安全删除，多通过以下五种方式进行实现：

第一种方法：销毁存储介质

例如通过熔炼将存储介质熔化成液态金属，或通过粉碎将存储介质粉碎成无法重建的小块废金属等，使得存储介质上的数据无法恢复。

然而，该方法仅适用于用户弃用手机的应用场景，但并不适用于用户的手机转让、手机丢失或被盗的应用场景。

第二种方法：恢复出厂设置

针对恢复出厂设置的方法，目前包括两种方案

方案a、使用Android SecureWipePartition()安全擦除功能，即discard命令+覆写0。

然而，通过方案a对手机进行恢复出厂设置时，实测128GB手机恢复出产设置耗时10分钟。

方案b、使用UFS提供的purge功能实现purge操作安全擦除。

然而，通过方案b对手机进行恢复出厂设置时，其物理擦除耗时较长；且使用该功能需要修改UFS一个全局配置，并且该配置对整个存储系统稳定性可能造成影响，因此，目前该技术领域并不多用purge进行数据安全擦除操作。

由于对手机进行恢复出厂设置的方法的操作时间较长，甚至还限制只有在手机充电情况下才能进行该操作，因此其不适用于手机被盗或丢失的应用场景。

第三种方法：覆盖(overwrite)/替换敏感数据

例如将敏感数据生成随机数，并将该随机数写入敏感数据的存储空间，以实现覆盖/替换敏感数据，进而无法从存储介质上恢复敏感数据；不同组织对覆盖/替换次数有不同的标准，例如NIST建议至少对存储介质进行覆盖/替换3次([T.Grance,M.Stevens,andM.Myers,“Guide to Selecting Information Security Products,”chapter 5.9:MediaSanitizing.National Institute of Standards and Technology(NIST),October2003])，而Peter Gutmann开发了一种35次数据覆盖/替换方案([P.Gutmann,“SecureDeletion of Data from Magnetic and Solid-StateMemory,”In Proceedings of theSixth USENIX UNIX Security Symposium,pages 77–90,San Jose,CA,July 1996.USENIXAssociation.])。

然而，由于HDD是基于磁性并能支持“就地更新”的性质，而因为出于性能考虑，NAND闪存通常采用“异地更新”的方式将更新后的数据写入空闲存储页面，而不是原始数据所在的存储页面，只是将原始数据所在的存储页面标记为无效，供后续的垃圾回收(GC)时才做物理删除，因此，在NAND闪存做垃圾回收之前，原来的旧数据仍然是存储在闪存上的，攻击者可以通过工具获得用户数据。如此，该覆盖/替换数据方法仅适用于HDD的传统存储介质，并不适用于目前移动终端的NAND闪存，更不适用于手机丢失或被盗的应用场景。

第四种方法：对敏感数据进行加密存储

例如在需要删除指定的敏感数据时，只需要覆盖/替换加密敏感数据所对应的密钥即可。

然而，与上述第三种方法相同，该方法不适用于目前移动终端NAND闪存的数据安全删除，更不适用于手机丢失或被盗的应用场景。

第五种方法：对敏感数据进行加密存储

例如在需要删除指定的敏感数据时，仅取消与加密敏感数据所对应密钥的关联。

然而，目前针对手机上的闪存，Android系统所使用的基于文件的加密(FileBased Encryption，FBE)就是采用该方案。基于fscrypt的FBE，fscrypt有两个ioctl函数(即FS_IOC_REMOVE_ENCRYPTION_KEY和FS_IOC_REMOVE_ENCRYPTION_KEY_ALL_USERS)可供虚拟文件系统(Virtual File System，VFS)及上层应用调用，用于删除由ioctl函数FS_IOC_ADD_ENCRYPTION_KEY添加到keyring的密钥，但是该函数所删除的密钥并不一定立即从物理存储介质中删除，而是需要等到存储控制器进行垃圾回收(GC)该密钥所在的块时，该密钥才可能从存储介质中进行物理删除。因此，该方法不适用于手机丢失或被盗的应用场景，也不适用于手机弃用或转让的应用场景。

为了实现手机丢失或被盗时可以立即安全删除用户敏感信息，本申请实施例提供了一种数据安全删除方法，由于敏感数据以明文存储后，即使后续对其进行加密存储，也不能确保原来未加密的敏感数据的安全性，因此，对用户敏感数据在第一时间进行加密存储；由于NAND闪存数据的物理擦除是基于块(block)进行操作的，因此，将重要信息(如加密密钥或与密钥生成相关的信息、文件元数据等)存储到闪存里相对比较集中的块，如此，在手机被盗或丢失的情况下，可以立即物理擦除存有上面提到的重要信息的块，由于重要信息所占空间较小，物理擦除时所需的时间也少；因此，在无法获得正确的解密密钥，即使其他攻击者获得了用户手机，也不能解密得到用户敏感信息；并且在弃用或转让手机时，用户除了物理擦除重要信息外，还可以对整个闪存进行恢复出厂设置甚至物理擦除。

因此，在手机被盗或丢失的情况下，由于用户敏感数据已经进行加密存储，为了高效、快速地远程销毁用户敏感数据，可以立即物理删除上面提到的包括敏感数据的加密密钥、或与加密密钥生成相关的信息等重要信息，因此，由于不能获得正确的解密密钥，攻击者即使获得了用户手机，也不能解密得到用户的敏感信息。同时，若用户需求弃用或转让手机时，用户可以通过电子设备对敏感数据的加密密钥、或与加密密钥生成相关的信息等重要信息进行物理删除，还可以对整个闪存进行恢复出厂设置甚至物理删除闪存上的所有数据。

本申请实施例提供一种数据删除方法，应用于电子设备，图2示出了本申请实施例提供的一种数据删除方法的流程图。如图2所示，本申请实施例提供的数据删除方法可以包括下述的步骤201和步骤202。

步骤201、电子设备接收第一指令。

本申请实施例中，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息。

本申请实施例中，若电子设备接收到用户在目标设备发送的删除目标数据的第一指令，则电子设备可以根据第一指令中包括的目标数据的标记信息，对目标数据进行删除。

可选地，本申请实施例中，上述第一指令可以为与电子设备为不同设备的目标设备发送的，或者，上述第一指令可以为与电子设备为同一个设备的目标设备发送的，即若用户的电子设备丢失或不在用户可获取范围内，则用户可以通过与电子设备为不同设备的目标设备，并登陆终端管理服务器，以向电子设备发送第一指令，从而可以使得电子设备对敏感数据执行远程安全删除操作(例如本申请实施例提供的调用文件系统的数据安全删除函数：fs_secure_deletion(...,flag_I)，其中flag_I为目标数据的标记信息)，为了确保安全性，该操作的逻辑功能在TEE中实现(例如：secure deletion TA)。或者，用户可以对电子设备(即目标设备)进行操作，以触发电子设备进行数据安全删除。

需要说明的是，本申请实施例的方法不适用于手机丢失或被盗时且手机不联网的情况。

本申请实施例中，为了快速、高效且安全地删除闪存上的用户敏感数据，本申请实施例在电子设备的应用层中在创建和存储加密密钥或与密钥生成相关的信息时，需要在文件元数据中增加一个属性标签(目标数据的标记信息)；并在应用层增加数据安全删除逻辑模块。在文件系统层进行存储加密密钥或与密钥生成相关的信息时，需要在相应的函数上增加一个属性标签、同时分配固定的存储逻辑地址；并需增加一个数据安全删除函数。在设备驱动层进行存储加密密钥或与密钥生成相关的信息时，需要在相应的函数上增加一个标记信息；并需增加一个数据安全删除函数。在闪存转换层(FTL)进行存储加密密钥或与密钥生成相关的信息时，需要在相应的函数上增加一个属性标签、需增加一个数据安全删除函数、增加重要信息映射表、支持出发闪存物理删除的命令；并能标记物理块为存储重要信息的块等。

步骤202、电子设备响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据。

其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

可选地，本申请实施例中，目标数据还包括：数据属性信息，数据属性信息用于标识敏感数据的属性，数据属性信息包括以下至少一项：文件大小、文件权限、文件时间戳、扩展属性、配置信息；数据属性信息与密钥信息同时存储于目标存储区域。

可选地，在本申请实施例提供的第一种实现方式中，上述步骤202中的“根据第一指令中的标记信息，从目标存储区域中删除目标数据”具体可以通过下述的步骤202a至步骤202c实现。

步骤202a、在目标数据存储于RPMB的情况下，电子设备根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息。

本申请实施例中，电子设备可以通过TEE中的secure deletion TA向RPMB发送物理删除消息请求，即RPMB Purge/Sanitizer Enabler Request消息。

需要说明的是，UFS4.0及以后的协议使用Purge命令，eMMC5.1及以后的协议使用Sanitizer命令。

图3示出了一种本申请实施例提供的数据删除方法系统架构图，如图3所示，本申请实施例提供的数据删除方法可以通过图3示出的系统架构对数据进行删除。

步骤202b、电子设备通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器。

本申请实施例中，电子设备可以通过RPMB内核驱动程序(即RPMB kernel driver)和文件操作接口(即REE File Operation Interface)将物理删除消息请求发送到RPMB监听器(即REE侧的RPMB Listener)。

步骤202c、电子设备通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除目标数据。

本申请实施例中，电子设备可以通过RPMB经由UFS(即REE侧的eMMC/UFS)的控制模块，从RPMB中删除目标数据。

可选地，本申请实施例中，电子设备可以通过RPMB监听者经由文件系统UFS的控制模块，将闪存中的RPMB分区中存储的目标数据进行物理删除。

可选地，本申请实施例中，在RPMB分区完成物理删除目标数据后，会将RPMBPurge/Sanitizer Enabler Response消息经由原路返回到secure deletion TA。

需要说明的是，上述整个操作过程中，需要经由的各个模块都需增强，从而支持传输RPMB Purge/Sanitizer Enabler Request消息和相应的Response消息。

可选地，在本申请实施例提供的第二种实现方式中，目标数据包括第一目标数据和第二目标数据；上述步骤202中的“根据第一指令中的标记信息，从目标存储区域中删除目标数据”具体可以通过下述的步骤202d实现。

步骤202d、在目标数据存储于RPMB和UDA的情况下，电子设备根据第一指令中的标记信息，从RPMB中删除第一目标数据，并从UDA中删除第二目标数据。

本申请实施例中，若目标数据存储于RPMB和UDA的情况下，电子设备需要根据第一指令中的标记信息，分别从RPMB中删除第一目标数据，并从UDA中删除第二目标数据。

可选地，本申请实施例中，上述步骤202d中的“根据第一指令中的标记信息，从RPMB中删除第一目标数据”具体可以通过下述的步骤202d1至步骤202d3实现。

步骤202d1、电子设备根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息。

步骤202d2、电子设备通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器。

步骤202d3、电子设备通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除第一目标数据。

需要说明的是，步骤201d1至步骤202d3的具体实现过程可以参考上述步骤202a至步骤202c，此处不再赘述。

可选地，本申请实施例中，上述步骤202d中的“从UDA中删除第二目标数据”具体可以通过下述的步骤202d4和步骤202d5实现。

步骤202d4、电子设备根据第一指令中的标记信息，通过文件系统层的第一删除模块和设备驱动层的第二删除模块，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址。

本申请实施例中，电子设备可以根据第一指令中的标记信息，通过文件系统层的第一删除模块和设备驱动层的第二删除模块，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址，从而使得电子设备可以根据目标虚拟地址对第二目标数据进行删除。

可选地，本申请实施例中，本申请实施例中，电子设备可以根据第一指令中的标记信息，通过文件系统层的第一删除函数和设备驱动层的第二删除函数，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址，从而使得电子设备可以根据目标虚拟地址对第二目标数据进行删除。

需要说明的是，第一删除模块/函数和第二删除模块/函数中包括标记信息，该标记信息用于确定存储有第二目标数据的目标数据块。

可选地，本申请实施例中，电子设备可以通过文件系统层的预设删除函数和设备驱动层的预设删除函数，根据第一指令和目标数据的标记信息，寻址所有存有第二目标数据的固定逻辑页号LPN，以得到目标虚拟地址。

示例性地，文件系统层的预设删除函数可以为：fs_secure_deletion(...,flag_I)；设备驱动层的预设删除函数可以为：block_secure_deletion(...,flag_I)。

可选地，本申请实施例中，电子设备可以在可信执行环境TEE中增加一个逻辑功能模块，(例如安全删除可信应用程序，即secure deletion TA)，该逻辑模块能接收远程服务器上的安全删除指令，以支持用户在丢失手机或手机被盗时，用户通过登录终端管理服务器，远程地执行用户重要数据的安全删除操作。

需要说明的是，该远程执行安全删除需要电子设备处于联网状态。

可选地，本申请实施例中，电子设备可以在应用层增加一个系统管理功能(例如本申请实施例提供的安全删除客户端，secure deletion Client)，以支持用户在弃用或转让旧手机时，可以执行其重要数据的安全删除操作，同时在执行此操作时，需要通过TEE中的secure deletion TA的认证和授权，以防止对敏感数据的误删。

步骤202d5、电子设备通过闪存转换层的预设删除模块，根据目标虚拟地址和标记信息，从闪存转换层的目标映射表中确定存储有第二目标数据的目标数据块，并删除目标数据块中的第二目标数据。

本申请实施例中，电子设备在得到目标虚拟地址之后，可以通过闪存转换层的预设删除模块，根据目标虚拟地址和标记信息，从闪存转换层的目标映射表中确定存储有第二目标数据的目标数据块，并删除目标数据块中的第二目标数据。

示例性地，闪存转换层的预设删除模块可以为：ftl_secure_deletion(...,flag_I)。

需要说明的是，第三删除模块/函数中包括标记信息。

可选地，本申请实施例中，电子设备可以分别在文件系统层(例如本申请实施例的ext4+fscrypt)、设备驱动层、闪存转换层各新增一个函数/模块，如本申请实施例提供的文件系统层的删除函数/模块(fs_secure_deletion(...,flag_I))、设备驱动层的删除函数/模块(block_secure_deletion(...,flag_I))、闪存转换层的删除函数/模块(ftl_secure_deletion(...,flag_I))，从而使得电子设备可以根据新增的删除模块，对第二目标数据进行删除。

可选地，本申请实施例中，上述步骤202d5中的“删除目标数据块中的第二目标数据”具体可以通过下述的步骤a或步骤b实现。

步骤a、电子设备通过控制器启动垃圾回收，并对目标数据块进行回收。

可选地，本申请实施例中，电子设备可以在闪存转换层修改垃圾回收(GC)功能，使得闪存转换层的删除函数(ftl_secure_deletion(...,flag_I))可以触发GC主动回收带有标记信息的目标数据块。

步骤b、电子设备通过控制器调用硬件物理删除命令，从目标数据块中删除第二目标数据。

可选地，本申请实施例中，电子设备可以在闪存转换层调用硬件物理删除命令(例如secure erase,secure trim,sanitize,purge等)，使得删除函数(ftl_secure_deletion(...,flag_I))能根据目标映射表主动触发闪存物理删除命令的调用，从而可以从目标数据块汇总删除第二目标数据。

需要说明的是，物理删除命令的名称，与闪存的厂家、eMMC的版本相关)。

图4示出了一种本申请实施例提供的数据删除方法系统架构图，如图4所示，本申请实施例提供的数据删除方法可以通过图4示出的系统架构图对数据进行删除。

如图4所示，本申请实施例提供的数据删除方法可以通过下述的步骤11至步骤14实现。

步骤11、电子设备在TEE中增加一个逻辑功能模块，示例性地，在TEE中增加安全删除TA，即：在secure deletion TA。

步骤12、在电子设备接收到用户对重要敏感数据(即：第二目标数据)执行安全删除操作，即：第一指令(secure deletion Client)，且该第一指令经过相关认证和授权(例如：authentication and authorization in secure deletion TA)的情况下，根据第一指令中的flag_I，调用：fs_secure_deletion(...,flag_I)，即文件系统层的删除模块。

步骤13、电子设备在文件系统层调用：block_secure_deletion(...,flag_I)，即设备驱动层的删除模块，并根据flag_I，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址。

步骤14、电子设备在设备驱动层调用：ftl_secure_deletion(...,flag_I)，即闪存转换层的删除模块，并根据flag_I，在目标映射表中确定存储有第二目标数据的目标数据块，并对目标数据块执行：通过控制器启动垃圾回收，以对目标数据块进行回收；或者，执行通过控制器调用硬件物理删除命令，从目标数据块中删除第二目标数据，以分别从软件闪存转换层(software FTL)和硬件闪存转换层对第二目标数据进行删除。

本申请实施例提供一种数据删除方法，在本申请实施例中，电子设备可以接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息；响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。由于电子设备可以接收用于指示电子设备删除目标数据的第一指令，并根据第一指令中包括的目标数据的标记信息，从RPMB中删除目标数据，或者从UDA和RPMB中删除目标数据。因此，即使在用户的电子设备丢失的情况下，也可以对电子设备的隐私数据进行远程删除处理，如此，提升了电子设备处理隐私数据的效率，提升了电子设备处理隐私数据的灵活性。

可选地，本申请实施例中，目标数据包括加密处理后的密钥信息；本申请实施例提供的数据删除方法还包括下述的步骤301和步骤302。

步骤301、电子设备对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。

可选地，本申请实施例中，在电子设备的敏感数据第一次产生的情况下，可以采用已有的加密密钥或与密钥生成相关的信息对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，或者，系统相关功能(如密钥或密钥素材生成功能：key/key_material generation process)可以会为该敏感数据的加密密钥生成一个加密密钥或与密钥生成相关的信息(如随机数、初始化向量、时间戳、文件标识等)。

可选地，本申请实施例中，电子设备可以采用已有的加密系统，例如与ext4/F2FS/UBIFS集成在一起的fscrypt、或者位于VFS和ext4/F2FS/UBIFS之间的eCryptfs、EncFS、gocryptfs等对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密。

可选地，本申请实施例中，电子设备的系统相关功能(如密钥或密钥素材生成功能：key/key_material generation process)从可信执行环境TEE的Keymaster获得相关密钥对上述敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密。

需要说明的是，由于目前的加密文件系统，并不支持文件的元数据加密，因此，在此只能对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项等进行加密。

步骤302、电子设备将加密处理后的密钥信息存储在目标存储区域。

其中，生成加密密钥的密钥素材包括以下至少一项：一个随机数，初始化向量、时间戳以及文件标识。

本申请实施例中，在生成加密处理后的密钥信息之后，电子设备可以将加密处理后的密钥信息存储在目标存储区域。

可选地，本申请实施例中，在电子设备需求将加密处理后的密钥信息以文件方式进行存储时，在加密处理后的密钥信息中增加一个标记信息(属性标签(如flag_I))，并通过ext4/F2FS/UBIFS+fscrypt(例如ext4索引节点inode数据结构中的预留字段)和设备驱动层将加密处理后的密钥信息传递到闪存转换层(Flash Translation Layer，FTL)，并通过FTL将加密处理后的密钥信息和属性标签存储在内存中。

图5示出了一种本申请实施例提供的数据存储方法系统架构图，如图5所示，电子设备可以将加密处理后的密钥信息按照图5提供的系统架构进行加密存储，以便后续能进行快速、高效地进行物理删除。

如图5所示，本申请实施例提供的数据存储方法可以通过下述的步骤21至步骤26实现。

步骤21、电子设备可以在TEE中增加一个逻辑功能模块，示例性地，在TEE中增加密钥信息存储TA，即：Keymaster TA。

步骤22、电子设备在应用层通过系统相关功能，例如：key/key_materialgeneration process，从TEE的Keymaster中获取相关密钥对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。

步骤23、电子设备通过系统相关功能，例如：key/key_material generationprocess，根据flag_I(即标记信息)和文件系统层的预设写入模块，生成并调用write_to_fs([encrypted]key/random/IV，...，flag_I)，即：第一写入模块，以对加密处理后的密钥信息进行存储。

步骤24、电子设备在文件系统层根据flag_I和设备驱动层的预设写入模块，生成并调用write_to_block([encrypted]key/random/IV,...,flag_I))，即：第三写入模块，以对加密处理后的密钥信息进行存储，并根据flag_I，从固定的逻辑页号LPN中为加密处理后的密钥信息分配目标虚拟地址。

步骤25、电子设备在设备驱动层根据flag_I和闪存转换层的预设写入模块，生成并调用write_to_ftl([encrypted]key/random/IV,...,flag_I)，即：第二写入模块，以对加密处理后的密钥信息进行存储。

步骤26、电子设备在闪存转换层中建立目标映射表，然后根据flag_I，在目标映射表中，为加密处理后的密钥信息分配目标数据块，并将加密处理后的密钥信息存储在目标映射表中的目标数据块。

需要说明的是，上述加密处理后的密钥信息均采用图5提供的系统架构图进行存储。

本申请实施例中，由于敏感数据以明文存储后，即使后续对其进行加密存储，也不能确保原来未加密的敏感数据的安全性；因此，在用户敏感数据第一时间产生时便立即进行加密，得到加密处理后的密钥信息，并将加密处理后的密钥信息存储至目标存储区域，从而可以提升数据存储的安全性，并在用户需求删除数据时，快速高效地对敏感数据进行物理删除。

可选地，在本申请实施例提供的第一种实现方式中，上述步骤301具体可以通过下述的步骤301a至步骤301c实现。

步骤301a、电子设备在应用层启动可信执行环境中的应用层的对应的可信应用程序。

本申请实施例中，若一个应用程序(例如APP1)需求将与其关联的密钥信息、敏感数据等重要信息存储在RPMB，则可以启动可信执行环境(Trusted ExecutionEnvironment，TEE)中对应的可信应用程序(Trusted Application，TA)(例如第一TA)。

图6示出了一种本申请实施例提供的数据存储方法系统架构图，如图6所示，电子设备可以将目标数据按照图6提供的系统架构进行加密存储，以便后续能进行快速、高效地进行物理删除。

步骤301b、电子设备基于应用层的对应可信应用程序调用RPMB对应的可信应用程序，将敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项从应用层发送至RPMB的可信应用程序。

本申请实施例中，电子设备可以通过第一TA调用用于读写RPMB的可信应用程序(例如第二TA)，以将敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项从应用层发送至RPMB，然后可以通过第二TA调用加密模块对第一TA发送的数据进行计算封装，从而可以将敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项发送至RPMB的可信应用程序。

步骤301c、电子设备通过RPMB对应的可信应用程序对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。

本申请实施例中，电子设备在RPMB的可信应用程序接收到敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项之后，可以通过RPMB对应的可信应用程序对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息，从而电子设备可以对加密处理后的密钥信息进行存储。

可选地，在本申请实施例提供的第一种实现方式中，目标数据至少部分存储于RPMB，上述步骤302具体可以通过下述的步骤302a至步骤302c实现。

步骤302a、电子设备通过RPMB对应的可信应用程序，将加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序发送给RPMB监听器。

可选地，本申请实施例中，电子设备可以通过RPMB对应的可信应用程序和文件操作系统命令(REE文件操作系统命令)，将加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序(即RPMB kernel driver)发送给位于REE侧的RPMB监听器(即RPMBlistener)，从而触发电子设备对加密处理后的密钥信息进行存储。

步骤302b、电子设备通过RPMB监听器，将加密处理后的密钥信息和文件操作系统命令发送给UFS。

可选地，本申请实施例中，电子设备在通过RPMB监听器接收到加密处理后的密钥信息和文件操作系统命令之后，可以通过REE侧的RPMB listener将加密处理后的密钥信息和文件操作系统命令转发给eMMC/UFS。

步骤302c、电子设备通过UFS基于文件操作系统命令，将加密处理后的密钥信息存储至RPMB。

可选地，本申请实施例中，电子设备在通过UFS接收到加密处理后的密钥信息以及文件操作系统命令之后，可以通过UFS基于文件操作系统命令，从而触发电子设备将加密处理后的密钥信息存储至RPMB

可选地，在本申请实施例提供的第一种实现方式中，目标数据至少部分存储于UDA，上述步骤302具体可以通过下述的步骤302d至步骤302h实现。

步骤302d、电子设备根据标记信息和文件系统层的预设写入模块，调用第一写入模块。

其中，第一写入模块包括标记信息。

本申请实施例中，在目标数据的至少部分存储于UDA的情况下，电子设备可以根据标记信息和文件系统层的预设写入模块，调用第一写入模块，以使得电子设备将目标数据的至少部分进行传输，即对加密处理后的密钥信息进行传输。

可选地，本申请实施例中，电子设备根据标记信息和文件系统层的预设写入函数，调用第一写入函数。

示例性地，文件系统层的预设写入函数可以为：write_to_fs([encrypted]key/random/IV,…)。

示例性地，第一写入函数可以为：write_to_fs([encrypted]key/random/IV,…,flag_I)。

可选地，本申请实施例中，电子设备可以根据标记信息和文件系统层的预设写入函数，生成第一写入函数，即在文件系统层的预设函数中增加一个输入参数：flag_I，以生成第一写入函数，使得该第一写入函数可以与其他需要存储的数据进行区分。

步骤302e、电子设备通过第一写入模块，将加密处理后的密钥信息，从应用层发送至文件系统层。

本申请实施例中，电子设备可以调用第一写入模块，从而可以通过第一写入模块，将加密处理后的密钥信息，从应用层发送至文件系统层。

可选地，本申请实施例中，电子设备通过第一写入函数，将加密处理后的密钥信息，从应用层发送至文件系统层。

可选地，本申请实施例中，电子设备的系统相关功能(例如：密钥或密钥素材生成功能，key/key_material generation process)会调用第一写入函数/模块，即基于标记信息与文件系统的预设写入函数生成的写入函数/模块(即write_to_fs([encrypted]key/random/IV,...,flag_I))，将加密处理后的密钥信息从应用层发送至文件系统层，以对加密处理后的密钥信息进行存储。

步骤302f、电子设备根据标记信息，从文件系统层中的逻辑页号LPN中为加密处理后的密钥信息分配目标虚拟地址。

本申请实施例中，电子设备可以根据目标记信息，从文件系统层的逻辑页号LPN中为加密处理后的密钥信息分配合适的虚拟地址，即目标虚拟地址，该逻辑页号LPN可以是连续的，也可以是非连续的。

可选地，本申请实施例中，ext4/F2FS/UBIFS+fscrypt通过文件系统层分配给目标数据的逻辑页号LPN是固定的，但固定的逻辑页号LPN可以是连续，也可以是不连续。

步骤302g、电子设备将加密处理后的密钥信息和目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层。

本申请实施例中，电子设备在根据标记信息，从文件系统层中的逻辑页号LPN中为加密处理后的密钥信息分配目标虚拟地址之后，可以将加密处理后的密钥信息和目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层。

可选地，本申请实施例中，电子设备可以根据标记信息和闪存转换层的预设写入函数，将加密处理后的密钥信息和目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层。

可选地，本申请实施例中，上述步骤302g具体可以通过下述的步骤302g1至步骤302g4实现。

步骤302g1、电子设备根据标记信息和设备驱动层的预设写入模块，调用第三写入模块。

其中，第三写入模块包括标记信息。

可选地，本申请实施例中，电子设备根据标记信息和设备驱动层的预设写入模块，调用第三写入模块，以使得电子设备将加密处理后的密钥信息和目标虚拟地址进行传输。

可选地，本申请实施例中，电子设备根据标记信息和设备驱动层的预设写入函数，调用第三写入函数。

可选地，本申请实施例中，电子设备可以根据标记信息和设备驱动层的预设写入函数，生成第三写入函数，即在设备驱动层的预设函数中增加一个输入参数：flag_I，以生成第三写入函数，该第三写入函数可以与其他需要存储的数据进行区分。

示例性地，设备驱动层的预设写入函数可以为：

write_to_block([encrypted]key/random/IV,…)。

示例性地，第一写入函数可以为：

write_to_block([encrypted]key/random/IV,…,flag_I)。

可选地，本申请实施例中，电子设备的系统相关功能(例如：密钥或密钥素材生成功能，key/key_material generation process)会调用第二写入函数/模块，即基于标记信息与设备驱动层的预设写入函数生成的写入函数/模块(即write_to_block([encrypted]key/random/IV,...,flag_I))，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层，以从设备驱动层发送至闪存转换层。

步骤302g2、电子设备通过第三写入模块，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层。

本申请实例中，电子设备在根据标记信息和设备驱动层的预设写入模块，调用第三写入模块之后，可以通过第三写入模块，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层。

步骤302g3、电子设备根据标记信息和闪存转换层的预设写入模块，调用第二写入模块。

本申请实施例中，电子设备在通过第三写入模块，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层之后，可以根据标记信息和闪存转换层的预设写入模块，调用第二写入模块。

可选地，本申请实施例中，电子设备根据标记信息和闪存转换层的预设写入函数，调用第二写入函数。

可选地，本申请实施例中，电子设备可以根据标记信息和闪存转换层的预设写入函数，生成第二写入函数，即在闪存转换层的预设函数中增加一个输入参数：flag_I，以生成第二写入函数。

步骤302g4、电子设备通过第二写入模块，将加密处理后的密钥信息和目标虚拟地址从设备驱动层发送至闪存转换层。

本申请实施例中，电子设备在根据标记信息和闪存转换层的预设写入模块，调用第二写入模块之后，可以通过第二写入模块，将加密处理后的密钥信息和目标虚拟地址从设备驱动层发送至闪存转换层。

可选地，本申请实施例中，电子设备的系统相关功能(例如：密钥或密钥素材生成功能，key/key_material generation process)会调用第二写入函数/模块，即基于标记信息与闪存转换层的预设写入函数生成的第二写入函数/模块write_to_ftl([encrypted]key/random/IV,...,flag_I))，并加密处理后的密钥信息和目标虚拟地址从设备驱动层发送至闪存转换层，以对加密处理后的密钥信息和目标虚拟地址进行存储。

步骤302h、电子设备在闪存转换层中建立目标映射表，通过第二写入模块，将加密处理后的密钥信息存储在目标映射表中的目标数据块中。

其中，第二写入模块为闪存转换层对应的写入模块，第二写入模块中包括标记信息；标记信息用于确定目标数据块。

本申请实施例中，电子设备可以在闪存转换层中建立目标映射表，并通过第二写入模块，将接收到的加密处理后的密钥信息存储在目标映射表中的目标数据块中，以对加密处理后的密钥信息存储进行存储。

可选地，本申请实施例中，电子设备闪存转换层中建立目标映射表，并通过第二写入函数，将加密处理后的密钥信息存储在目标映射表中的目标数据块中。

可选地，本申请实施例中，电子设备可以根据第二写入函数/模块中的flag_I，在闪存转换层中建立一个目标映射表，用于管理闪存中所有存储敏感数据(例如第一数据和第一信息)的物理块(例如第一数据块)，该目标信息映射表中包括以下至少一项：逻辑页号(Logical Page Number，LPN)、逻辑块号(Logical Block Number，LBN)、物理块号(Physical Block Number，PBN)、目标数据的标记信息(flag_I)等。

可选地，本申请实施例中，该目标映射表可以存储在闪存中，其可以称之为物理块或重要信息物理块(其是一种map block，其它已有几种物理块有data/log/free/dirtyblocks)。

需要说明的是，在电子设备的系统启动时，上述目标映射表会缓存在内存中。

可选地，本申请实施例中，FTL根据写入第二写入函数/模块(例如write_to_ftl([encrypted]key/random/IV,...,flag_I))中的flag_I，在目标映射表中，寻找合适的物理块block，然后按照已有的方式写入新数据或更新现有的数据；若发生物理块的地址变更，需要将新的物理块号同步到该目标映射表中，同时该新的物理块的元数据状态值更改为flag_I。

可选地，本申请实施例中，在物理块(block)元数据的状态值增加一个，即属性标签flag_I(其它已有状态值是：regular,sequentially written,randomly written,，还有其它系统自定义的system specific purposes)。

需要说明的是，若FTL的地址映射采用混合模式(hybrid FTL)，则在FTL是page-level或block-level的情况下，该目标映射表的中包括的信息会有所不同。

本申请实施例提供的数据删除方法，执行主体可以为数据删除装置。本申请实施例中以数据删除装置执行数据删除方法为例，说明本申请实施例提供的数据删除装置。

图7示出了本申请实施例中涉及的数据删除装置的一种可能的结构示意图。如图7所示，该数据删除装置40可以包括：接收模块41和删除模块42。

其中，接收模块41，用于接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息。删除模块42，用于响应于接收模块41接收的第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

本申请实施例提供一种数据删除装置，由于电子设备可以接收用于指示电子设备删除目标数据的第一指令，并根据第一指令中包括的目标数据的标记信息，从RPMB中删除目标数据，或者从UDA和RPMB中删除目标数据。因此，即使在用户的电子设备丢失的情况下，也可以对电子设备的隐私数据进行删除处理，如此，提升了电子设备处理隐私数据的效率，提升了电子设备处理隐私数据的灵活性。

在一种可能实现的方式中，目标数据包括加密处理后的密钥信息；数据删除装置40还包括：加密模块和存储模块。加密模块，用于对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。存储模块，用于将加密处理后的密钥信息存储在目标存储区域。其中，生成加密密钥的密钥素材包括以下至少一项：一个随机数，初始化向量、时间戳以及文件标识。

在一种可能实现的方式中，删除模块42，具体用于在目标数据存储于RPMB的情况下，根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息；通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器；通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除目标数据。

在一种可能实现的方式中，删除模块42，具体用于在目标数据存储于RPMB和UDA的情况下，根据第一指令中的标记信息，从RPMB中删除第一目标数据，并从UDA中删除第二目标数据。

在一种可能实现的方式中，删除模块42，具体用于根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息；通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器；通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除第一目标数据。

在一种可能实现的方式中，删除模块42，具体用于根据第一指令中的标记信息，通过文件系统层的第一删除模块42和设备驱动层的第二删除模块42，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址；通过闪存转换层的预设删除模块42，根据目标虚拟地址和标记信息，从闪存转换层的目标映射表中确定存储有第二目标数据的目标数据块，并删除目标数据块中的第二目标数据。

在一种可能实现的方式中，删除模块42，具体用于通过控制器启动垃圾回收，并对目标数据块进行回收；或者，通过控制器调用硬件物理删除命令，从目标数据块中删除第二目标数据。

在一种可能实现的方式中，加密模块，具体用于在应用层启动可信执行环境中的应用层的对应的可信应用程序；基于应用层的对应可信应用程序调用RPMB对应的可信应用程序，将敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项从应用层发送至RPMB的可信应用程序；通过RPMB对应的可信应用程序对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息；

在一种可能实现的方式中，目标数据至少部分存储于RPMB，存储模块，具体用于通过RPMB对应的可信应用程序，将加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序发送给RPMB监听器；通过RPMB监听器，将加密处理后的密钥信息和文件操作系统命令发送给UFS；通过UFS基于文件操作系统命令，将加密处理后的密钥信息存储至RPMB。

在一种可能实现的方式中，目标数据至少部分存储于UDA，存储模块，具体用于根据标记信息和文件系统层的预设写入模块，调用第一写入模块，第一写入模块包括标记信息；通过第一写入模块，将加密处理后的密钥信息，从应用层发送至文件系统层；根据标记信息，从文件系统层中的逻辑页号LPN中为加密处理后的密钥信息分配目标虚拟地址；将加密处理后的密钥信息和目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层；在闪存转换层中建立目标映射表，并通过第二写入模块，将加密处理后的密钥信息存储在目标映射表中的目标数据块中，第二写入模块为闪存转换层对应的写入模块，第二写入模块中包括标记信息；标记信息用于确定目标数据块。

在一种可能实现的方式中，存储模块，具体用于根据标记信息和设备驱动层的预设写入模块，调用第三写入模块，第三写入模块包括标记信息；通过第三写入模块，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层；根据标记信息和闪存转换层的预设写入模块，调用第二写入模块；通过第二写入模块，将加密处理后的密钥信息和目标虚拟地址从设备驱动层发送至闪存转换层。

在一种可能实现的方式中，目标数据还包括：数据属性信息，数据属性信息用于标识敏感数据的属性，数据属性信息包括以下至少一项：文件大小、文件权限、文件时间戳、扩展属性、配置信息；数据属性信息与密钥信息同时存储于目标存储区域。

本申请实施例中的数据删除装置可以是电子设备，也可以是电子设备中的部件，例如集成电路或芯片。该电子设备可以是终端，也可以为除终端之外的其他设备。示例性的，电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(Mobile Internet Device，MID)、增强现实(augmented reality，AR)/虚拟现实(virtualreality，VR)设备、机器人、可穿戴设备、超级移动个人计算机(ultra-mobile personalcomputer，UMPC)、上网本或者个人数字助理(personal digital assistant，PDA)等，还可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(personalcomputer，PC)、电视机(television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的数据删除装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的数据删除装置能够实现图1至图6的方法实施例实现的各个过程，为避免重复，这里不再赘述。

可选地，如图8所示，本申请实施例还提供一种电子设备500，包括处理器501和存储器502，存储器502上存储有可在所述处理器501上运行的程序或指令，该程序或指令被处理器501执行时实现上述数据删除方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，本申请实施例中的电子设备包括上述所述的移动电子设备和非移动电子设备。

图9为实现本申请实施例的一种电子设备的硬件结构示意图。

该电子设备100包括但不限于：射频单元101、网络模块102、音频输出单元103、输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、以及处理器110等部件。

本领域技术人员可以理解，电子设备100还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器110逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图9中示出的电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

其中，处理器110，用于接收第一指令，第一指令用于指示电子设备删除目标数据；第一指令中包括目标数据的标记信息，并响应于第一指令，根据第一指令中的标记信息，从目标存储区域中删除目标数据；其中，目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

本申请实施例提供一种电子设备，由于电子设备可以接收用于指示电子设备删除目标数据的第一指令，并根据第一指令中包括的目标数据的标记信息，从RPMB中删除目标数据，或者从UDA和RPMB中删除目标数据。因此，即使在用户的电子设备丢失的情况下，也可以对电子设备的隐私数据进行删除处理，如此，提升了电子设备处理隐私数据的效率，提升了电子设备处理隐私数据的灵活性。

可选地，本申请实施例中，目标数据包括加密处理后的密钥信息；处理器110，用于对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。存储器109，用于将加密处理后的密钥信息存储在目标存储区域。其中，生成加密密钥的密钥素材包括以下至少一项：一个随机数，初始化向量、时间戳以及文件标识。

可选地，本申请实施例中，处理器110，具体用于在目标数据存储于RPMB的情况下，根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息；通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器；通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除目标数据。

可选地，本申请实施例中，处理器110，具体用于在目标数据存储于RPMB和UDA的情况下，根据第一指令中的标记信息，从RPMB中删除第一目标数据，并从UDA中删除第二目标数据。

可选地，本申请实施例中，处理器110，具体用于根据第一指令中的标记信息，通过可信执行环境中的可信应用程序向RPMB发送物理删除请求消息；通过RPMB内核驱动程序和文件操作接口将物理删除消息请求发送给RPMB监听器；通过RPMB监听者经由文件系统UFS的控制模块，从RPMB中删除第一目标数据。

可选地，本申请实施例中，处理器110，具体用于根据第一指令中的标记信息，通过文件系统层的第一处理器110和设备驱动层的第二处理器110，从文件系统层中的固定逻辑页号LPN中对第二目标数据进行寻址，得到目标虚拟地址；通过闪存转换层的预设处理器110，根据目标虚拟地址和标记信息，从闪存转换层的目标映射表中确定存储有第二目标数据的目标数据块，并删除目标数据块中的第二目标数据。

可选地，本申请实施例中，处理器110，具体用于通过控制器启动垃圾回收，并对目标数据块进行回收；或者，通过控制器调用硬件物理删除命令，从目标数据块中删除第二目标数据。

可选地，本申请实施例中，处理器110，具体用于在应用层启动可信执行环境中的应用层的对应的可信应用程序；基于应用层的对应可信应用程序调用RPMB对应的可信应用程序，将敏感数据的加密密钥、生成加密密钥的密钥素材中任何一项从应用层发送至RPMB的可信应用程序；通过RPMB对应的可信应用程序对敏感数据的加密密钥、生成加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息；

可选地，本申请实施例中，目标数据至少部分存储于RPMB，存储器109，具体用于通过RPMB对应的可信应用程序，将加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序发送给RPMB监听器；通过RPMB监听器，将加密处理后的密钥信息和文件操作系统命令发送给UFS；通过UFS基于文件操作系统命令，将加密处理后的密钥信息存储至RPMB。

可选地，本申请实施例中，目标数据至少部分存储于UDA，存储器109，具体用于根据标记信息和文件系统层的预设写入模块，调用第一写入模块，第一写入模块包括标记信息；通过第一写入模块，将加密处理后的密钥信息，从应用层发送至文件系统层；根据标记信息，从文件系统层中的逻辑页号LPN中为加密处理后的密钥信息分配目标虚拟地址；将加密处理后的密钥信息和目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层；在闪存转换层中建立目标映射表，并通过第二写入模块，将加密处理后的密钥信息存储在目标映射表中的目标数据块中，第二写入模块为闪存转换层对应的写入模块，第二写入模块中包括标记信息；标记信息用于确定目标数据块。

可选地，本申请实施例中，存储器109，具体用于根据标记信息和设备驱动层的预设写入模块，调用第三写入模块，第三写入模块中包括标记信息；通过第三写入模块，将加密处理后的密钥信息和目标虚拟地址从文件系统层发送至设备驱动层；根据标记信息和闪存转换层的预设写入模块，调用第二写入模块；通过第二写入模块，将加密处理后的密钥信息和目标虚拟地址从设备驱动层发送至闪存转换层。

可选地，本申请实施例中，目标数据还包括：数据属性信息，数据属性信息用于标识敏感数据的属性，数据属性信息包括以下至少一项：文件大小、文件权限、文件时间戳、扩展属性、配置信息；数据属性信息与密钥信息同时存储于目标存储区域。

应理解的是，本申请实施例中，输入单元104可以包括图形处理器(GraphicsProcessing Unit，GPU)1041和麦克风1042，图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元106可包括显示面板1061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板1061。用户输入单元107包括触控面板1071以及其他输入设备1072中的至少一种。触控面板1071，也称为触摸屏。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器109可以包括易失性存储器或非易失性存储器，或者，存储器109可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本申请实施例中的存储器109包括但不限于这些和任意其它适合类型的存储器。

处理器110可包括一个或多个处理单元；可选的，处理器110集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器110中。

本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述数据删除方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述数据删除方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。

本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如上述数据删除方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims (26)

1.一种数据删除方法，应用于电子设备，其特征在于，包括：

接收第一指令，所述第一指令用于指示所述电子设备删除目标数据；所述第一指令中包括所述目标数据的标记信息；

响应于所述第一指令，根据所述第一指令中的标记信息，从目标存储区域中删除所述目标数据；其中，所述目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

2.根据权利要求1所述的方法，其特征在于，所述目标数据包括加密处理后的密钥信息；所述方法还包括：

对敏感数据的加密密钥、生成所述加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息；

将所述加密处理后的密钥信息存储在所述目标存储区域；

其中，所述生成所述加密密钥的密钥素材包括以下至少一项：一个随机数，初始化向量、时间戳以及文件标识。

3.根据权利要求1所述的方法，其特征在于，所述根据所述第一指令中的标记信息，从目标存储区域中删除所述目标数据，包括：

在所述目标数据存储于所述RPMB的情况下，根据所述第一指令中的标记信息，通过所述可信执行环境中的可信应用程序向所述RPMB发送物理删除请求消息；

通过所述RPMB内核驱动程序和文件操作接口将所述物理删除消息请求发送给所述RPMB监听器；

通过所述RPMB监听者经由文件系统UFS的控制模块，从所述RPMB中删除所述目标数据。

4.根据权利要求1所述的方法，其特征在于，所述目标数据包括第一目标数据和第二目标数据；所述根据所述第一指令中的标记信息，从目标存储区域中删除所述目标数据，包括：

在所述目标数据存储于所述RPMB和所述UDA的情况下，根据所述第一指令中的标记信息，从所述RPMB中删除所述第一目标数据，并从所述UDA中删除所述第二目标数据。

5.根据权利要求4所述的方法，其特征在于，所述根据所述第一指令中的标记信息，从所述RPMB中删除所述第一目标数据，包括：

根据所述第一指令中的标记信息，通过所述可信执行环境中的可信应用程序向所述RPMB发送物理删除请求消息；

通过所述RPMB内核驱动程序和文件操作接口将所述物理删除消息请求发送给所述RPMB监听器；

通过所述RPMB监听者经由文件系统UFS的控制模块，从所述RPMB中删除所述第一目标数据。

6.根据权利要求4所述的方法，其特征在于，所述从所述UDA中删除所述第二目标数据，包括：

根据所述第一指令中的标记信息，通过文件系统层的第一删除模块和设备驱动层的第二删除模块，从所述文件系统层中的固定逻辑页号LPN中对所述第二目标数据进行寻址，得到目标虚拟地址；

通过闪存转换层的预设删除模块，根据所述目标虚拟地址和所述标记信息，从所述闪存转换层的目标映射表中确定存储有所述第二目标数据的目标数据块，并删除所述目标数据块中的所述第二目标数据。

7.根据权利要求6所述的方法，其特征在于，所述删除所述目标数据块中的所述第二目标数据，包括：

通过控制器启动垃圾回收，并对所述目标数据块进行回收；

或者，

通过控制器调用硬件物理删除命令，从所述目标数据块中删除所述第二目标数据。

8.根据权利要求2所述的方法，其特征在于，所述对敏感数据的加密密钥、生成所述加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息，包括：

在应用层启动可信执行环境中的应用层的对应的可信应用程序；

基于所述应用层的对应可信应用程序调用所述RPMB对应的可信应用程序，将所述敏感数据的加密密钥、生成所述加密密钥的密钥素材中任何一项从所述应用层发送至所述RPMB的可信应用程序；

通过所述RPMB对应的可信应用程序对所述敏感数据的加密密钥、生成所述加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。

9.根据权利要求2所述的方法，其特征在于，所述目标数据至少部分存储于所述RPMB，

所述将所述加密处理后的密钥信息存储在所述目标存储区域，包括：

通过所述RPMB对应的可信应用程序，将所述加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序发送给RPMB监听器；

通过所述RPMB监听器，将所述加密处理后的密钥信息和所述文件操作系统命令发送给UFS；

通过所述UFS基于所述文件操作系统命令，将所述加密处理后的密钥信息存储至所述RPMB。

10.根据权利要求2所述的方法，其特征在于，所述目标数据至少部分存储于所述UDA，

所述将所述加密处理后的密钥信息存储在所述目标存储区域，包括：

根据所述标记信息和文件系统层的预设写入模块，调用第一写入模块，所述第一写入模块包括所述标记信息；

通过所述第一写入模块，将所述加密处理后的密钥信息，从应用层发送至文件系统层；

根据所述标记信息，从所述文件系统层中的逻辑页号LPN中为所述加密处理后的密钥信息分配目标虚拟地址；

将所述加密处理后的密钥信息和所述目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层；

在所述闪存转换层中建立目标映射表，通过第二写入模块，将所述加密处理后的密钥信息存储在所述目标映射表中的目标数据块中；所述第二写入模块为所述闪存转换层对应的写入模块；所述第二写入模块中包括所述标记信息；所述标记信息用于确定所述目标数据块。

11.根据权利要求10所述的方法，其特征在于，所述将所述加密处理后的密钥信息和所述目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层，包括：

根据所述标记信息和设备驱动层的预设写入模块，调用第三写入模块，所述第三写入模块包括所述标记信息；

通过所述第三写入模块，将所述加密处理后的密钥信息和所述目标虚拟地址从所述文件系统层发送至所述设备驱动层；

根据所述标记信息和所述闪存转换层的预设写入模块，调用所述第二写入模块；

通过所述第二写入模块，将所述加密处理后的密钥信息和所述目标虚拟地址从所述设备驱动层发送至所述闪存转换层。

12.根据权利要求2所述的方法，其特征在于，所述目标数据还包括：数据属性信息，所述数据属性信息用于标识所述敏感数据的属性，所述数据属性信息包括以下至少一项：文件大小、文件权限、文件时间戳、扩展属性、配置信息；所述数据属性信息与所述密钥信息同时存储于所述目标存储区域。

13.一种数据删除装置，其特征在于，包括：接收模块和删除模块；

所述接收模块，用于接收第一指令，所述第一指令用于指示所述电子设备删除目标数据；所述第一指令中包括所述目标数据的标记信息；

所述删除模块，用于响应于所述接收模块接收的所述第一指令，根据所述第一指令中的标记信息，从目标存储区域中删除所述目标数据；其中，所述目标存储区域包括：重放保护内存块RPMB，或者，用户分区UDA和重放保护内存块RPMB。

14.根据权利要求13所述的装置，其特征在于，所述目标数据包括加密处理后的密钥信息；所述装置还包括：加密模块和存储模块；

所述加密模块，用于对敏感数据的加密密钥、生成所述加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息；

所述存储模块，用于将所述加密处理后的密钥信息存储在所述目标存储区域；

其中，所述生成所述加密密钥的密钥素材包括以下至少一项：一个随机数，初始化向量、时间戳以及文件标识。

15.根据权利要求13所述的装置，其特征在于，所述删除模块，具体用于在所述目标数据存储于所述RPMB的情况下，根据所述第一指令中的标记信息，通过所述可信执行环境中的可信应用程序向所述RPMB发送物理删除请求消息；通过所述RPMB内核驱动程序和文件操作接口将所述物理删除消息请求发送给所述RPMB监听器；通过所述RPMB监听者经由文件系统UFS的控制模块，从所述RPMB中删除所述目标数据。

16.根据权利要求13所述的装置，其特征在于，所述删除模块，具体用于在所述目标数据存储于所述RPMB和所述UDA的情况下，根据所述第一指令中的标记信息，从所述RPMB中删除所述第一目标数据，并从所述UDA中删除所述第二目标数据。

17.根据权利要求16所述的装置，其特征在于，所述删除模块，具体用于根据所述第一指令中的标记信息，通过所述可信执行环境中的可信应用程序向所述RPMB发送物理删除请求消息；通过所述RPMB内核驱动程序和文件操作接口将所述物理删除消息请求发送给所述RPMB监听器；通过所述RPMB监听者经由文件系统UFS的控制模块，从所述RPMB中删除所述第一目标数据。

18.根据权利要求16所述的装置，其特征在于，所述删除模块，具体用于根据所述第一指令中的标记信息，通过文件系统层的第一删除模块和设备驱动层的第二删除模块，从所述文件系统层中的固定逻辑页号LPN中对所述第二目标数据进行寻址，得到目标虚拟地址；通过闪存转换层的预设删除模块，根据所述目标虚拟地址和所述标记信息，从所述闪存转换层的目标映射表中确定存储有所述第二目标数据的目标数据块，并删除所述目标数据块中的所述第二目标数据。

19.根据权利要求18所述的装置，其特征在于，所述删除模块，具体用于通过控制器启动垃圾回收，并对所述目标数据块进行回收；或者，通过控制器调用硬件物理删除命令，从所述目标数据块中删除所述第二目标数据。

20.根据权利要求14所述的装置，其特征在于，所述加密模块，具体用于在应用层启动可信执行环境中的应用层的对应的可信应用程序；基于所述应用层的对应可信应用程序调用所述RPMB对应的可信应用程序，将所述敏感数据的加密密钥、生成所述加密密钥的密钥素材中任何一项从所述应用层发送至所述RPMB的可信应用程序；通过所述RPMB对应的可信应用程序对所述敏感数据的加密密钥、生成所述加密密钥的密钥素材中的任何一项进行加密，以形成加密处理后的密钥信息。

21.根据权利要求14所述的装置，其特征在于，所述目标数据至少部分存储于所述RPMB，所述存储模块，具体用于通过所述RPMB对应的可信应用程序，将所述加密处理后的密钥信息和文件操作系统命令通过RPMB内核驱动程序发送给RPMB监听器；通过所述RPMB监听器，将所述加密处理后的密钥信息和所述文件操作系统命令发送给UFS；通过所述UFS基于所述文件操作系统命令，将所述加密处理后的密钥信息存储至所述RPMB。

22.根据权利要求14所述的装置，其特征在于，所述目标数据至少部分存储于所述UDA，

所述存储模块，具体用于根据所述标记信息和文件系统层的预设写入模块，调用第一写入模块，所述第一写入模块包括所述标记信息；通过所述第一写入模块，将所述加密处理后的密钥信息，从应用层发送至文件系统层；根据所述标记信息，从所述文件系统层中的逻辑页号LPN中为所述加密处理后的密钥信息分配目标虚拟地址；将所述加密处理后的密钥信息和所述目标虚拟地址从文件系统层经由设备驱动层发送至闪存转换层；在所述闪存转换层中建立目标映射表，并通过第二写入模块，将所述加密处理后的密钥信息存储在所述目标映射表中的目标数据块中，所述第二写入模块为所述闪存转换层对应的写入模块；所述第二写入模块中包括所述标记信息；所述标记信息用于确定所述目标数据块。

23.根据权利要求22所述的装置，其特征在于，所述存储模块，具体用于根据所述标记信息和设备驱动层的预设写入模块，调用第三写入模块，所述第三写入模块包括所述标记信息；通过所述第三写入模块，将所述加密处理后的密钥信息和所述目标虚拟地址从所述文件系统层发送至所述设备驱动层；根据所述标记信息和所述闪存转换层的预设写入模块，调用所述第二写入模块；通过所述第二写入模块，将所述加密处理后的密钥信息和所述目标虚拟地址从所述设备驱动层发送至所述闪存转换层。

24.根据权利要求14所述的装置，其特征在于，所述目标数据还包括：数据属性信息，所述数据属性信息用于标识所述敏感数据的属性，所述数据属性信息包括以下至少一项：文件大小、文件权限、文件时间戳、扩展属性、配置信息；所述数据属性信息与所述密钥信息同时存储于所述目标存储区域。

25.一种电子设备，其特征在于，包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1至12任一项所述的数据删除方法的步骤。

26.一种可读存储介质，其特征在于，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如权利要求1至12任一项所述的数据删除方法的步骤。

Images