CN116049839B - 一种数据传输方法和电子设备 - Google Patents

Abstract

本申请实施例公开了一种数据传输方法和电子设备，涉及数据安全领域，能够提高数据跨设备传输后的安全性。该方法应用于第一终端设备，第一终端设备中设置有可信模块，可信模块包括可信任安全平台模组芯片和/或可信执行环境。方法包括：响应于接收到第二终端设备发送的数据访问策略，通过可信模块生成第一密钥以及第一密钥的访问策略。其中，第一密钥的访问策略由数据访问策略转换得到。将第一密钥发送至第二终端设备，以使第二终端设备通过第一密钥对待传输数据进行加密生成密文。响应于接收到第二终端设备发送的密文，通过可信模块执行第一密钥的访问策略。

Description

一种数据传输方法和电子设备

技术领域

本申请实施例涉及数据安全领域，尤其涉及一种数据传输方法和电子设备。

背景技术

随着信息技术的不断发展，电子设备存储的数据也越来越多。电子设备可以为数据设置访问策略，访客只能在访问策略所限定的范围内对该数据进行访问。其中，访问策略可以包括该数据能否复制，能否分享，该数据的可分享次数，可访问次数等等。然而，当设置有访问策略的数据被传输至其它电子设备后，该数据无法继续得到访问策略的保护。

相关技术中，可以在各电子设备中安装可以设置或执行访问策略的同一软件，以提高数据跨设备后的安全性。例如，电子设备1和电子设备2中均安装有可以设置或执行访问策略软件1。电子设备1可以通过软件1设置数据a的访问策略，并在设置完成后将该数据a发送至电子设备2。电子设备2可以通过软件1获取数据a的访问策略，并执行该访问策略以对数据a进行保护。

但是，软件会面临较大的篡改风险，发送数据的电子设备1无法判断对端接收数据的电子设备2中的软件是否可信，数据跨设备后所承担的安全性风险仍然较高。

发明内容

本申请实施例提供一种数据传输方法和电子设备，可以提高数据跨设备传输后的安全性。

为了达到上述目的，本申请实施例采用如下技术方案。

第一方面，提供一种数据传输方法，应用于第一终端设备，第一终端设备中设置有可信模块，可信模块包括可信任安全平台模组芯片和/或可信执行环境。方法包括：响应于接收到第二终端设备发送的数据访问策略，通过可信模块生成第一密钥以及第一密钥的访问策略。其中，第一密钥的访问策略由数据访问策略转换得到。将第一密钥发送至第二终端设备，以使第二终端设备通过第一密钥对待传输数据进行加密生成密文。响应于接收到第二终端设备发送的密文，通过可信模块执行第一密钥的访问策略。

基于该方案，第二终端设备将待传输数据传输至第一终端设备之前，会先向第一终端设备发送待传输数据的数据访问策略。第一终端设备将待传输数据的数据访问策略转换为可信模块中所生成的密钥的访问策略，然后将所生成的密钥发送至第二终端设备。第二终端设备会使用第一终端设备所发送的密钥将待传输数据加密后再发送至第一终端设备。如此，第一终端设备就可以通过密钥的访问策略对能够解密待传输数据的密钥进行保护，从而保护待传输数据。也就是说，第二终端设备在将待传输数据传输至第一终端设备后，待传输数据仍然可以通过第一终端设备的可信模块受到在第二终端设备中所设置的数据访问策略的保护，因此该数据传输方法的跨设备安全性较高。

在一种可能的设计中，数据访问策略中至少包括：访问次数，访问有效期，访问口令，访问软件。第一密钥的访问策略中至少包括：访问次数，访问有效期，访问口令，访问软件。响应于接收到第二终端设备发送的数据访问策略，通过可信模块生成第一密钥以及第一密钥的访问策略，包括：响应于接收到第二终端设备发送的数据访问策略，通过可信模块生成第一密钥。将数据访问策略中的访问次数作为第一密钥的访问策略中的访问次数。将数据访问策略中的访问有效期作为第一密钥的访问策略中的访问有效期。将数据访问策略中的访问口令作为第一密钥的访问策略中的访问口令。将数据访问策略中的访问软件作为第一密钥的访问策略中的访问软件。基于该方案，将数据访问策略中各项参数值对应地转换为第一密钥的各项参数值，可以使数据在第一终端设备中受到与第二终端设备中相同程度的保护，提高数据的跨设备安全性。

在一种可能的设计中，可信模块中预置有第二密钥。第二终端设备中预置有第二信任根证书。第一终端设备中预置有第一信任根证书。第一信任根证书和第二信任根证书相同。将第一密钥发送至第二终端设备之前，方法还包括：通过可信模块中预置的第二密钥对第一密钥以及第一密钥的访问策略进行验证，并在验证通过后，生成第一证书。通过第一信任根证书对第一证书进行签名。将第一密钥发送至第二终端设备，包括：将第一密钥以及签名后的第一证书发送至第二终端设备，以使第二终端设备通过第二信任根证书对签名后的第一证书进行验签，并在验签通过后使用第一密钥对待传输数据进行加密生成密文。基于该方案，通过两个终端设备中的信任根证书对第一密钥以及第一密钥的访问策略进行签名和验签，能够提高传输第一密钥和第一密钥的访问策略过程的安全性，从而提高数据的跨设备安全性。

在一种可能的设计中，第一证书包括第一密钥证书和第一策略证书。通过可信模块中预置的第二密钥对第一密钥以及第一密钥的访问策略进行验证，并在验证通过后，生成第一证书，包括：通过第二密钥对第一密钥进行签名和验签，并在验签通过后生成第一密钥证书。通过第二密钥对第一密钥的访问策略进行签名和验签，并在验签通过后生成第一策略证书。基于该方案，通过终端设备中的信任根证书对第一密钥以及第一密钥的访问策略分别进行签名和验签，分别生成第一密钥对应地第一密钥证书，以及第一密钥的访问策略对应地第一策略证书，有利于提高通过信任根证书签名和验签过程的准确性，从而提高数据的跨设备安全性。

在一种可能的设计中，通过可信模块执行第一密钥的访问策略，包括：响应于针对密文的访问请求，生成第一密钥的访问请求。在第一密钥的访问请求满足第一密钥的访问策略时，通过可信模块中的第一密钥对密文进行解密，并更新第一密钥的访问策略中的访问次数。基于该方案，通过可信模块执行第一密钥的访问策略，从而对第二终端设备发送的密文进行保护，有利于提高数据的跨设备安全性。

在一种可能的设计中，方法还包括：在第一密钥的访问请求不满足第一密钥的访问策略时，显示访问失败的提示。基于该方案，有利于用户直观获知访问结果。

在一种可能的设计中，第一密钥包括公钥和私钥。将第一密钥发送至第二终端设备，包括：将第一密钥的公钥发送至第二终端设备。基于该方案，通过公钥和私钥的配合对待传输数据进行加密和解密，有利于提高数据加密和解密过程的安全性，从而提高数据的跨设备安全性。

第二方面，提供一种数据传输方法，应用于第二终端设备，第二设备用于与第一终端设备进行数据传输。第一终端设备中设置有可信模块，可信模块包括可信任安全平台模组芯片和/或可信执行环境。方法包括：向第一终端设备发送待传输数据的数据访问策略，以使第一终端设备通过可信模块生成第一密钥以及第一密钥的访问策略。其中，第一密钥的访问策略由数据访问策略转换得到。响应于接收第一终端设备发送的第一密钥，通过第一密钥对待传输数据进行加密生成密文。将密文发送至第一终端设备，以使第一终端设备通过可信模块执行第一密钥的访问策略。

在一种可能的设计中，可信模块中预置有第二密钥。第二终端设备中预置有第二信任根证书。第一终端设备中预置有第一信任根证书。第一信任根证书和第二信任根证书相同。响应于接收第一终端设备发送的第一密钥，通过第一密钥对待传输数据进行加密生成密文，包括：响应于接收第一终端设备发送的第一密钥以及签名后的第一证书，通过第二信任根证书对签名后的第一证书进行验签。其中，第一证书为第一终端设备通过第二密钥对第一密钥以及第一密钥的访问策略验证通过后生成，签名后的第一证书为第一终端设备通过第一信任根证书对第一证书签名后得到。在验签通过后，通过第一密钥对待传输数据进行加密生成密文。

第三方面，提供一种电子设备，电子设备包括一个或多个处理器和一个或多个存储器。一个或多个存储器与一个或多个处理器耦合，一个或多个存储器存储有计算机指令。当一个或多个处理器执行计算机指令时，使得电子设备执行如第一方面任一项的数据传输方法。

第四方面，提供一种计算机可读存储介质，计算机可读存储介质包括计算机指令，当计算机指令运行时，执行如第一方面中任一项的数据传输方法。

第五方面，提供一种计算机程序产品，计算机程序产品中包括指令，当计算机程序产品在计算机上运行时，使得计算机可以根据指令执行如第一方面中任一项的数据传输方法。

应当理解的是，上述第三方面，第四方面，第五方面以及第六方面提供的技术方案，其技术特征均可对应到第二方面及其可能的设计中提供的数据传输方法，因此能够达到的有益效果类似，此处不再赘述。

附图说明

图1为一种数据传输方案的示意图；

图2为又一种数据传输方案的示意图；

图3为本申请实施例提供的一种终端设备300的结构示意图；

图4为本申请实施例提供的终端设备中所存储证书的示意图；

图5为本申请实施例提供的一种数据传输方法的示意图；

图6为本申请实施例提供的一种密钥验证过程的示意图；

图7为本申请实施例提供的一种第一密钥的访问策略示意图；

图8为本申请实施例提供的一种可信模块执行第一密钥的访问策略的示意图；

图9为本申请实施例提供的又一数据传输方法的示意图；

图10为本申请实施例提供的又一种数据传输方法的示意图；

图11为本申请实施例提供的一种电子设备的组成示意图；

图12为本申请实施例提供的一种芯片系统的组成示意图。

具体实施方式

本申请实施例中的“第一”、“第二”和“第三”等是用于区别不同对象，而不是用于限定特定顺序。此外，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

为了便于理解本申请实施例，下面先对本申请的应用背景予以介绍。

设置数据传输方案时，需要着重考虑数据的跨设备安全性。其中，数据的跨设备安全性是指数据由一电子设备传输至另一电子设备后的安全性。

请参考图1，为一种数据传输方案的示意图。如图1所示，手机对图片数据设置访问策略后，将该图片数据发送至平板。其中，访问策略可以包括该图片数据能否复制，能否分享，该图片数据的可分享次数，可访问次数等。

然而该图片数据被发送至平板后，就会失去手机中访问策略的保护。平板可以不受限制地访问，复制，备份，传播该图片数据。可以理解，该数据传输方案中，数据的跨设备安全性较低。

一些软件也具有设置或执行数据的访问策略的功能。由此，相关数据传输方案中，通过在不同的电子设备安装同一安全软件，使得数据在不同的电子设备中能够受到相同访问策略的保护，以提高数据的跨设备安全性。

示例性地，请参考图2，为又一种数据传输方案的示意图。如图2所示，手机中安装有安全软件1，平板中安装有安全软件2。安全软件1和安全软件2是不同类型的操作系统平台上的同一安全软件，具有同样的云端服务器。手机通过安全软件1为图片数据设置访问策略后，安全软件1可以将该图片数据的标识以及访问策略通过云端服务器同步至平板中的安全软件2。如此，平板在接收到手机发送的图片数据后，可以仍然采用安全软件1所设置的访问策略对该图片数据进行保护。

然而，软件会面临较大的篡改风险，发送数据的电子设备无法判断对端接收数据的电子设备中的软件是否可信，数据跨设备后所承担的安全性风险仍然较高。

为了解决上述问题，本申请实施例提供了一种数据传输方法，能够提高数据的跨设备安全性。

在本申请实施例中，电子设备，设备，终端设备等可以是指具有数据发送和接收能力的便携式终端，诸如手机，平板电脑，可穿戴设备(如智能手表)，车载设备。便携式终端的示例性实施例包括但不限于搭载或者其它操作系统的便携式终端。上述便携式终端也可以是诸如具有触敏表面(例如触控面板)的膝上型计算机(Laptop)等。还应当理解的是，在其他一些实施例中，上述终端也可以是具有触敏表面(例如触控面板)的台式计算机。作为一种示例，请参考图3，为本申请实施例提供的一种终端设备300的结构示意图。本申请实施例提供的数据传输方法均可应用于如图3所示的终端设备300中。

如图3所示，该终端设备300可以包括处理器301，显示屏303，通信模块302等。

其中，处理器301可以包括一个或多个处理单元，例如：处理器301可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processingunit， GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频流编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器301中。

控制器可以是终端设备300的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器301中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器301 中的存储器为高速缓冲存储器。该存储器可以保存处理器301刚用过或循环使用的指令或数据。如果处理器301需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器301的等待时间，因而提高了系统的效率。

在一些实施例中，处理器301可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuitsound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器301 接口(mobile industry processor interface，MIPI)，通用输入输出(general-purposeinput/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口311等。

终端设备300通过GPU，显示屏303，以及应用处理器301等实现显示功能。GPU为图像处理的微处理器，连接显示屏303和应用处理器301。GPU用于执行数学和几何计算，用于图形渲染。处理器301可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏303用于显示图像，视频流等。

通信模块302可以包括天线1，天线2，移动通信模块302A，和/或无线通信模块302B。以通信模块302同时包括天线1，天线2，移动通信模块302A和无线通信模块302B为例。

终端设备300的无线通信功能可以通过天线1，天线2，移动通信模块302A，无线通信模块302B，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。终端设备300中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块302A可以提供应用在终端设备300上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块302A可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块302A可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块302A还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块302A的至少部分功能模块可以被设置于处理器301中。在一些实施例中，移动通信模块302A的至少部分功能模块可以与处理器301的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器306A，受话器306B等)输出声音信号，或通过显示屏303显示图像或视频流。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器301，与移动通信模块302A 或其他功能模块设置在同一个器件中。

无线通信模块302B可以提供应用在终端设备300上的包括无线局域网(wirelesslocal area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth， BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术 (infrared，IR)等无线通信的解决方案。无线通信模块302B可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块302B经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器301。无线通信模块302B还可以从处理器301接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，终端设备300的天线1和移动通信模块302A耦合，天线2和无线通信模块302B耦合，使得终端设备300可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(codedivision multiple access，CDMA)，宽带码分多址(wideband code division multipleaccess，WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidounavigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellitesystem，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

如图3所示，在一些实现方式中，该终端设备300还可以包括外部存储器接口310，内部存储器304，通用串行总线(universal serial bus，USB)接口，充电管理模块312，电源管理模块313，电池314，音频模块306，扬声器306A，受话器306B，麦克风306C，耳机接口306D，传感器模块305，按键309，马达，指示器308，摄像头307，以及用户标识模块(subscriber identification module，SIM)卡接口等。

充电管理模块312用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块312可以通过USB接口311接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块312可以通过终端设备300的无线充电线圈接收无线充电输入。充电管理模块312为电池314充电的同时，还可以通过电源管理模块313为终端设备300供电。

电源管理模块313用于连接电池314，充电管理模块312与处理器301。电源管理模块 313接收电池314和/或充电管理模块312的输入，为处理器301，内部存储器304，外部存储器，显示屏303，摄像头307，和无线通信模块302B等供电。电源管理模块313还可以用于监测电池314容量，电池314循环次数，电池314健康状态(漏电，阻抗)等参数。在其他一些实施例中，电源管理模块313也可以设置于处理器301中。在另一些实施例中，电源管理模块313和充电管理模块312也可以设置于同一个器件中。

外部存储器接口310可以用于连接外部存储卡，例如Micro SD卡，实现扩展终端设备 300的存储能力。外部存储卡通过外部存储器接口310与处理器301通信，实现数据存储功能。例如将音乐，视频流等文件保存在外部存储卡中。

内部存储器304可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器301通过运行存储在内部存储器304的指令，从而执行终端设备300的各种功能应用以及数据处理。

内部存储器304还可以存储本申请实施例提供的数据传输方法对应的一个或多个计算机程序。

终端设备300可以通过音频模块306，扬声器306A，受话器306B，麦克风306C，耳机接口306D，以及应用处理器301等实现音频功能。例如音乐播放，录音等。

按键309包括开机键，音量键等。按键309可以是机械按键309。也可以是触摸式按键 309。终端设备300可以接收按键309输入，产生与终端设备300的用户设置以及功能控制有关的键信号输入。

指示器308可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口用于连接SIM卡。SIM卡可以通过插入SIM卡接口，或从SIM卡接口拔出，实现和终端设备300的接触和分离。终端设备300可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口可以同时插入多张卡。所述多张卡的类型可以相同，也可以不同。SIM卡接口也可以兼容不同类型的SIM卡。SIM卡接口也可以兼容外部存储卡。终端设备300通过SIM卡和网络交互，实现通话以及数据通信等功能。在一些实施例中，终端设备300采用eSIM，即：嵌入式SIM 卡。eSIM卡可以嵌在终端设备300中，不能和终端设备300分离。

终端设备300中的传感器模块305可以包括触摸传感器、压力传感器、陀螺仪传感器、气压传感器、磁传感器、加速度传感器、距离传感器、接近光传感器、环境光传感器、指纹传感器、温度传感器、骨传导传感器等部件，以实现对于不同信号的感应和/或获取功能。

在一些实施例中，终端设备300中可以设置TPM(Trusted Platform Module，可信任安全平台模组)芯片315。其中，TPM芯片315为符合TPM规范的安全芯片。TPM规范为TCG(Trusted Computing Group，可信赖计算组织)基于跨平台和操作环境所制定的可信赖电脑相关标准和规范。

TPM芯片具有产生密钥以及解密密钥的功能，能够对数据进行加密和解密，可有效地防止数据被非法用户访问。

在本申请实施例中，TPM芯片315中存储的每个密钥都有一个对应的父密钥，该存储的密钥会被父密钥加密保护。

也就是说，通过TPM芯片中存储的密钥1对数据进行加密后，若要对该加密后的数据进行解密，不仅需要密钥1，还需要TPM芯片提供密钥1的父密钥。因此即使该加密数据被传输至其它电子设备，若其它电子设备没有相应的TPM芯片，该加密数据也无法被解密。

在另一些实施例中，处理器301中包括一块存储有TEE(Trusted ExecutionEnvironment，可信执行环境)的存储区域316。TEE与终端设备300的系统运行环境隔离。TEE可以直接获取系统运行环境中的数据，但系统运行环境不能获取可信执行环境中的数据。

与TPM芯片类似，在本申请实施例中，TEE中存储的每个密钥也会被对应的父密钥加密保护。

为便于描述，下述说明中将TPM芯片和TEE统一称作可信模块，后续不再赘述。

可以理解的是，本实施例示意的结构并不构成对终端设备300的具体限定。在另一些实施例中，终端设备300可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

以上通过图3介绍了本申请实施例提供的终端设备的硬件结构。在本申请实施例提供的终端设备中，还会存储多个证书，下面对这些证书进行介绍。

请参阅图4，为本申请实施例提供的终端设备中所存储证书的示意图。如图4所示，终端设备401中可以存储PKI(Public Key Infrastructure，公开密钥基础设施)证书以及设备二级CA(Certificate Authority，证书认证机构)证书。其中，PKI证书和设备二级CA证书可以统一称作该终端设备401的信任根证书。

在一些实施例中，终端设备401的信任根证书由终端设备401的厂商在生产环境中注入。同一厂商或具有合作关系的不同厂商所生产的终端设备具有相同的信任根证书。

例如，厂商1生产的手机，平板以及PC(Personal Computer)具有相同的信任根证书。再例如，厂商1和厂商2具有合作关系，双方约定所生产的终端设备注入相同的信任根证书，则厂商1生产的手机和厂商2生产的PC具有相同的信任根证书。

信任根证书可以对数据进行签名或验签。示例性地，手机和平板具有相同的信任根证书，手机向平板发送数据之前，可以先对通过信任根证书对该数据进行签名。平板接收到该数据后，可以先通过信任根证书对该数据进行验签，如此以提高数据传输过程的安全性。

以上介绍了终端设备的硬件结构以及设备中所预置的证书。下面结合上述对硬件结构以及证书的介绍，对本申请实施例提供的数据传输方法进行说明。

需要说明的是，本申请实施例提供的数据传输方法应用于第一终端设备，该第一终端设备用于接收第二终端设备发送的数据访问策略。该第一终端设备中包括可信模块和第一信任根证书，该第二终端设备包括第二信任根证书。第一信任根证书和第二信任根证书相同。

请参考图5，为本申请实施例提供的一种数据传输方法的示意图。如图5所示，该方法包括S501-S507。

S501、响应于第二终端设备发送的数据访问策略，通过可信模块生成第一密钥。其中，数据访问策略为针对待传输数据设置。

其中，第一密钥为密钥对，该密钥对中可以包括第一公钥以及第一私钥。可以理解，通过第一公钥加密的数据可以通过第一私钥解密，通过第一私钥加密的数据可以通过第一公钥解密。

如上述，可信模块可以为TPM芯片或TEE。可信模块具有生成密钥的功能，具体地，可信模块可以生成一对匹配的公钥和私钥。

在本申请实施例中，可信模块中预置有第二密钥，其中第二密钥即前述父密钥。第二密钥可以为第一终端设备的厂商在生产环境下注入可信模块。可信模块生成密钥后，会使用第二密钥对该密钥以及该密钥的访问策略进行签名。后续使用该密钥时，可以通过第二密钥对该密钥的签名以及该密钥的访问策略的签名进行验证(也即验签)，并在验签通过后生成证书，以证明该密钥为可信模块中生成，该密钥的访问策略是在可信环境下生成。

可信模块为TPM芯片时，TPM芯片中还可以预置有第三密钥。第三密钥可以为TPM芯片的厂商在生产环境下注入TPM芯片。

第三密钥可以用于验证第二密钥的安全性。示例性地，请参考图6，为本申请实施例提供的一种密钥验证过程的示意图。TPM芯片生成第二密钥时，会通过第三密钥对第二密钥进行签名。后续使用第二密钥时，TPM芯片会通过第三密钥验证第二密钥的签名，并在验证通过后生成证书，以证明该第二密钥为TPM芯片中生成。

也就是说，可信模块为TPM芯片时，TPM芯片会通过第三密钥验证第二密钥的安全性，通过第二密钥验证后续生成的密钥，如第一密钥以及第一密钥的访问策略的安全性。

上述图6所示的TPM芯片生成第二密钥的过程由第一终端设备的厂商在生产环境中完成。也就是说，第一终端设备出厂时，其内置的TPM芯片中就已经存储了第二密钥。后续TPM芯片生成密钥时，会通过第二密钥对生成的密钥以及密钥的访问策略进行签名和验签，以证明密钥是在TPM芯片中生成，密钥的访问策略是在可信环境下生成。

可信模块为TEE时，TEE中预置有第二密钥。TEE生成密钥时，第二密钥会对生成的密钥以及对应密钥的访问策略进行签名和验签，并在验签通过后生成证书，以证明密钥是在TEE 中生成，该密钥的访问策略是在可信环境中生成。

S502、将数据访问策略转换为第一密钥的访问策略。

其中，数据访问策略可以包括访问次数，访问有效期，访问口令，访问软件等。访问次数代表对应数据能够被访问的次数。例如，数据访问策略中的访问次数为3次，则对应数据在被访问3次之后就无法继续被访问。对应数据是指上述数据访问策略所保护的数据。

访问有效期代表数据访问策略被执行后，对应数据可以被访问的时间期限。例如，数据访问策略中的访问有效期为6小时，则该数据访问策略被执行之后的6小时内，对应数据可以被访问；该数据访问策略被执行6小时之后，对应数据无法被访问。

访问口令代表访问对应数据需要输入的信息。例如，数据访问策略中的访问口令为123，则访客需要输入123才能够访问对应数据。若访客未输入访问口令或输入了错误的访问口令，则无法访问对应数据

访问软件代表访问对应数据所需要的软件。例如，访问软件为软件A，则访客需要通过软件A访问对应数据。若访客未通过软件A，则无法访问对应数据。

与数据访问策略类似，第一密钥的访问策略也包括访问次数，访问有效期，访问口令，访问软件等。第一终端设备将数据访问策略转换为第一密钥的访问策略具体可以包括：第一终端设备可以将数据访问策略中的访问次数作为第一密钥的访问策略中的访问次数，将数据访问策略中的访问有效期作为第一密钥的访问策略中的访问有效期，将数据访问策略中的访问口令作为第一密钥的访问策略中的访问有效期，将数据访问策略中的访问软件作为第一密钥的访问策略中的访问软件。

示例性地，以数据访问策略中的访问次数为3次，访问有效期为6小时，访问口令为123，访问软件为软件A为例。则第一终端设备执行第一密钥的访问策略后，第一密钥的访问策略中的访问次数也为3次，访问有效期也为6小时，访问口令也为123，访问软件也为软件A。

第一终端设备将数据访问策略转换为第一密钥的访问策略，并通过执行第一密钥的访问策略对第一密钥进行保护，从而对第二终端设备发送的数据访问策略所对应的数据进行保护，提高数据的跨设备安全性。

S503、通过可信模块中预置的第二密钥对第一密钥以及第一密钥的访问策略进行验证，并在验证通过后生成第一证书。

在本申请实施例中，可信模块生成第一密钥并通过上述S502设置了第一密钥的访问策略后，会通过第二密钥对第一密钥以及第一密钥的访问策略进行签名和验签，并在验签通过后生成第一证书，以证明第一密钥是在可信模块中生成的，第一密钥的访问策略是在可信环境下生成的。

示例性地，第一证书可以包括第一密钥证书和第一策略证书。第二密钥对第一密钥验证通过后生成第一密钥证书，以证明第一密钥是在可信模块中生成的。第二密钥对第一密钥的访问策略验证通过后生成第一策略证书，以证明第一密钥的访问策略是在可信环境下生成的。

S504、通过第一信任根证书对第一证书进行签名。

如图4的相关说明，第一信任根证书即为第一终端设备的信任根证书。

可以理解的是，由于第一信任根证书和第二信任根证书相同，第一信任根证书对第一证书的签名可以通过第二信任根证书验签。同理，第二信任根证书的签名也可以通过第二信任根证书验证。

作为一种示例，第一终端设备通过第一信任根证书对第一证书进行签名包括：第一终端设备通过第一信任根证书的公钥对第一证书进行加密。对应地，第二终端设备通过第二信任根证书对签名后的第一证书进行验签包括：第二终端设备通过第二信任根证书的私钥对加密后的第一证书进行解密。

在本申请实施例中，第一终端设备通过第一信任根证书对第一证书签名后，第二终端设备可以通过对第一证书进行验签来验证第一证书的安全性。具体地，第二终端设备对第一证书验签通过，则可以确定第一证书是可信的；第二终端设备对第一证书验签未通过，则可以确定第一证书是不可信的。

S505、将第一密钥的公钥以及签名后的第一证书发送至第二终端设备。

在本申请实施例中，第一终端设备将签名后的第一证书发送至第二终端设备，有利于提高数据传输过程的安全性。

S506、接收并存储第二终端设备发送的密文。其中，密文为第二终端设备通过第二信任根证书对第一证书验签通过后，通过第一密钥的公钥对待传输数据加密生成。

也就是说，第二终端设备接收到第一终端设备发送的签名后的第一证书后，会通过第二信任根证书对第一证书进行验签。在验签通过后，第二终端设备通过第一密钥的公钥对待传输数据进行加密生成密文，并将密文发送至第一终端设备。

如上述S504中的示例，第二终端设备通过第二信任根证书对签名后的第一证书进行验签包括：第二终端设备通过第二信任根证书的私钥对加密后的第一证书进行解密。

请参考图7，为本申请实施例提供的一种第一密钥的访问策略示意图。如图7所示，第一密钥的访问策略就可以包括访问口令，访问次数，访问有效期，访问软件等。其中访问次数可以由第一终端设备中的计数器或程序控制暂存器(program control register，PCR)记录，访问有效期可以由第一终端设备中的定时器或PCR记录。第一密钥的访问策略用于对第一密钥进行保护。第一密钥用于对密文进行保护。第一终端设备对第一密钥的访问策略签名后发送至第二终端设备。第二终端设备可以通过第二信任根证书对签名后的第一密钥进行验签。

S507、响应针对第一密钥的访问请求，通过可信模块执行第一密钥的访问策略。

在本申请实施例中，第一终端设备首先需要访问可信模块中第一密钥的私钥，然后通过第一密钥的私钥对密文进行解密，才可以访问到密文中的数据。

第一密钥的访问请求可以由访客在第一终端设备中发起。请参考图8，为本申请实施例提供的一种可信模块执行第一密钥的访问策略的示意图。如图8所示，第一终端设备可以提供密文的访问入口。第一终端设备可以响应于访客针对该访问入口的操作，生成针对第一密钥的访问请求，并将该针对第一密钥的访问请求发送至可信模块。可信模块判断该针对第一密钥的访问请求是否满足第一密钥的访问策略，若满足，则可以向第一终端设备提供第一密钥的私钥，以对密文进行解密。若不满足，则可以显示访问失败的提示。

第一终端设备接收到第一密钥的私钥后，就可以通过该第一密钥的私钥对密文进行解密，从而得到密文中的待传输数据。

如此，待传输数据被加密为密文发送至第二终端设备后，仍可以被TPM芯片或TEE中第一密钥的访问策略所保护，数据的跨设备安全性较高。

可以理解的是，第一密钥的访问策略是实时变化的。示例性地，以数据访问策略中的访问次数为3次，访问有效期为6小时，访问口令为123，访问软件为软件A为例。则第一终端设备将数据访问策略转换为第一密钥的访问策略后，访问有效期随时间逐渐减小。每当第一密钥被成功访问，访问次数都会减少1次，直至访问次数为0后即无法再对第一密钥进行访问。

以上S501-S507以第一终端设备的角度对本申请实施例所提供的数据传输方法进行了介绍。下面以第二终端设备的角度对本申请实施例提供的数据传输方法进行说明。

请参考图9，为本申请实施例提供的又一种数据传输方法的示意图。该方法应用于第二终端设备，如图9所示，该方法包括S901-S904。

S901、响应于接收针对待传输数据设置的数据访问策略，将该数据访问策略发送至第一终端设备。

在本申请实施例中，第二终端设备可以提供设置待传输数据的数据访问策略的界面，以接收用户的设置。在另一些实施例中，第二终端设备也可以提供多种数据访问策略的选项，以便于用户快捷地确定待传输数据的数据访问策略。

S902、响应于第一终端设备发送的第一密钥的公钥以及签名后的第一证书，通过第二信任根证书对签名后的第一证书进行验签。其中，第一密钥为第一终端设备中的可信模块生成。第一证书为第一终端设备通过可信模块中预置的第二密钥对第一密钥以及第一密钥的访问策略验证通过后生成。签名后的第一证书为第一终端设备通过第一信任根证书对第一证书签名后得到。第一密钥的访问策略由第一终端设备将数据访问策略转换得到。

S903、在验签通过后，通过第一密钥的公钥对待传输数据进行加密生成密文。

S904、将密文发送至第一终端设备，以使得第一终端设备接收并存储密文后，响应针对第一密钥的访问请求，通过可信模块执行第一密钥的访问策略。

可以理解的是，上述S901-S904所提供的技术方案，其技术特征均可对应到S501-S507 及其可能的设计中提供的数据传输方法，因此能够达到的有益效果类似，此处不再赘述。

以上S901-S904以第二终端设备的角度对本申请实施例所提供的数据传输方法进行了介绍。下面再通过介绍第一终端设备和第二终端设备之间的交互过程，对本申请实施例提供的数据传输方法进行说明。

请参考图10，为本申请实施例提供的又一种数据传输方法的示意图。如图10所示，该方法包括S1001-S1011。

S1001、第二终端设备响应于接收针对待传输数据设置的数据访问策略，将该数据访问策略发送至第一终端设备。

S1002、第一终端设备响应于第二终端设备发送的数据访问策略，通过可信模块生成第一密钥。

S1003、第一终端设备将数据访问策略转换为第一密钥的访问策略。

S1004、第一终端设备通过可信模块中预置的第二密钥对第一密钥以及第一密钥的访问策略进行验证，并在验证通过后生成第一证书。

S1005、第一终端设备通过第一信任根证书对第一证书进行签名。

S1006、第一终端设备将第一密钥的公钥以及签名后的第一证书发送至第二终端设备。

S1007、第二终端设备通过第二信任根证书对签名后的第一证书进行验签。

S1008、在验签通过后，第二终端设备通过第一密钥的公钥对待传输数据进行加密生成密文。

S1009、第二终端设备将密文发送至第一终端设备。

S1010、第一终端设备接收并存储第二终端设备发送的密文。

S1011、第一终端设备响应针对第一密钥的访问请求，通过可信模块执行第一密钥的访问策略。

可以理解的是，上述S1001-S1011所提供的技术方案，其技术特征均可对应到S501-S507 及其可能的设计中提供的数据传输方法，因此能够达到的有益效果类似，此处不再赘述。

请参考图11，为本申请实施例提供的一种电子设备1100的组成示意图。该电子设备1100 可以为上述示例中的任一种电子设备，例如，该电子设备1100可以为手机、电脑等。示例性的，如图11所示，该电子设备1100可以包括：处理器1101和存储器1102。该存储器1102 用于存储计算机执行指令。示例性的，在一些实施例中，当该处理器1101执行该存储器1102 存储的指令时，可以使得该电子设备1100执行上述实施例中电子设备的任一种功能，以实现以上示例中的任一种方法。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

图12示出了的一种芯片系统1200的组成示意图。该芯片系统1200可以设置于电子设备中。例如该芯片系统1200可以设置于手机中。示例性的，该芯片系统1200可以包括：处理器1201和通信接口1202，用于支持电子设备实现上述实施例中所涉及的功能。在一种可能的设计中，芯片系统1200还包括存储器，用于保存电子设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。需要说明的是，在本申请的一些实现方式中，该通信接口1202也可称为接口电路。

需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本申请实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机指令，当该计算机指令在终端设备上运行时，使得终端设备执行上述相关方法步骤实现上述实施例中的方法。

本申请实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中的方法。

另外，本申请的实施例还提供一种装置，这个装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使芯片执行上述各方法实施例中的方法。

其中，本申请实施例提供的终端设备、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

上述主要从电子设备的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对其中涉及的设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在上述实施例中的功能或动作或操作或步骤等，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包括这些改动和变型在内。

Claims (11)

1.一种数据传输方法，其特征在于，应用于第一终端设备，所述第一终端设备中设置有可信模块，所述可信模块包括可信任安全平台模组芯片和/或可信执行环境；所述方法包括：

响应于接收到第二终端设备发送的待传输数据的数据访问策略，通过所述可信模块生成第一密钥以及所述第一密钥的访问策略；其中，所述第一密钥的访问策略由所述数据访问策略转换得到；所述数据访问策略中至少包括：访问次数，访问有效期，访问口令，访问软件；

将所述第一密钥发送至所述第二终端设备，以使所述第二终端设备通过所述第一密钥对所述待传输数据进行加密生成密文，并将所述密文发送至所述第一终端设备；

响应于针对所述密文的访问请求，生成所述第一密钥的访问请求；

在所述第一密钥的访问请求满足所述第一密钥的访问策略时，通过所述可信模块中的第一密钥对所述密文进行解密。

2.根据权利要求1所述的方法，其特征在于，第一密钥的访问策略中至少包括：访问次数，访问有效期，访问口令，访问软件；

所述响应于接收到第二终端设备发送的数据访问策略，通过所述可信模块生成第一密钥以及所述第一密钥的访问策略，包括：

响应于接收到第二终端设备发送的数据访问策略，通过所述可信模块生成第一密钥；

将所述数据访问策略中的访问次数作为所述第一密钥的访问策略中的访问次数；

将所述数据访问策略中的访问有效期作为所述第一密钥的访问策略中的访问有效期；

将所述数据访问策略中的访问口令作为所述第一密钥的访问策略中的访问口令；

将所述数据访问策略中的访问软件作为所述第一密钥的访问策略中的访问软件。

3.根据权利要求1所述的方法，其特征在于，所述可信模块中预置有第二密钥；所述第二终端设备中预置有第二信任根证书；所述第一终端设备中预置有第一信任根证书；所述第一信任根证书和所述第二信任根证书相同；

所述将所述第一密钥发送至所述第二终端设备之前，所述方法还包括：

通过所述可信模块中预置的第二密钥对所述第一密钥以及所述第一密钥的访问策略进行验证，并在验证通过后，生成第一证书；

通过第一信任根证书对第一证书进行签名；

所述将所述第一密钥发送至所述第二终端设备，包括：

将所述第一密钥以及签名后的所述第一证书发送至所述第二终端设备，以使所述第二终端设备通过所述第二信任根证书对所述签名后的第一证书进行验签，并在验签通过后使用所述第一密钥对待传输数据进行加密生成密文。

4.根据权利要求3所述的方法，其特征在于，所述第一证书包括第一密钥证书和第一策略证书；

所述通过所述可信模块中预置的第二密钥对所述第一密钥以及所述第一密钥的访问策略进行验证，并在验证通过后，生成第一证书，包括：

通过所述第二密钥对所述第一密钥进行签名和验签，并在验签通过后生成第一密钥证书；

通过所述第二密钥对所述第一密钥的访问策略进行签名和验签，并在验签通过后生成第一策略证书。

5.根据权利要求3所述的方法，其特征在于，所述通过所述可信模块中的第一密钥对所述密文进行解密之后，所述方法还包括：

更新所述第一密钥的访问策略中的访问次数。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述第一密钥的访问请求不满足所述第一密钥的访问策略时，显示访问失败的提示。

7.根据权利要求1所述的方法，其特征在于，所述第一密钥包括公钥和私钥；

所述将所述第一密钥发送至所述第二终端设备，包括：

将所述第一密钥的公钥发送至所述第二终端设备。

8.一种数据传输方法，其特征在于，应用于第二终端设备，所述第二终端设备用于与第一终端设备进行数据传输；所述第一终端设备中设置有可信模块，所述可信模块包括可信任安全平台模组芯片和/或可信执行环境；所述方法包括：

向所述第一终端设备发送待传输数据的数据访问策略，以使所述第一终端设备通过所述可信模块生成第一密钥以及所述第一密钥的访问策略；其中，所述第一密钥的访问策略由所述数据访问策略转换得到；所述数据访问策略中至少包括：访问次数，访问有效期，访问口令，访问软件；

响应于接收所述第一终端设备发送的所述第一密钥，通过所述第一密钥对所述待传输数据进行加密生成密文；

将所述密文发送至所述第一终端设备，以使所述第一终端设备响应于针对所述密文的访问请求，生成所述第一密钥的访问请求，并在所述第一密钥的访问请求满足所述第一密钥的访问策略时，通过所述可信模块中的第一密钥对所述密文进行解密。

9.根据权利要求8所述的方法，其特征在于，所述可信模块中预置有第二密钥；所述第二终端设备中预置有第二信任根证书；所述第一终端设备中预置有第一信任根证书；所述第一信任根证书和所述第二信任根证书相同；

所述响应于接收所述第一终端设备发送的所述第一密钥，通过所述第一密钥对所述待传输数据进行加密生成密文，包括：

响应于接收所述第一终端设备发送的所述第一密钥以及签名后的第一证书，通过所述第二信任根证书对所述签名后的第一证书进行验签；其中，所述第一证书为所述第一终端设备通过所述第二密钥对所述第一密钥以及所述第一密钥的访问策略验证通过后生成，所述签名后的第一证书为所述第一终端设备通过所述第一信任根证书对所述第一证书签名后得到；

在验签通过后，通过所述第一密钥对所述待传输数据进行加密生成密文。

10.一种电子设备，其特征在于，所述电子设备包括一个或多个处理器和一个或多个存储器；所述一个或多个存储器与所述一个或多个处理器耦合，所述一个或多个存储器存储有计算机指令；

当所述一个或多个处理器执行所述计算机指令时，使得所述电子设备执行如权利要求1-7或权利要求8-9中任一项所述的数据传输方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机指令，当所述计算机指令运行时，执行如权利要求1-7或权利要求8-9中任一项所述的数据传输方法。