WO2022001842A1 - 处理数据的方法、主机及装置 - Google Patents

Abstract

一种处理数据的方法、主机及装置，属于IT领域。所述主机包括程序运行环境（1）和第一隔离环境（2），程序运行环境（1）是主机工作在非安全模式下的环境，第一隔离环境（2）是主机工作在安全模式下的环境；程序运行环境（1）包括工作在非安全模式下的至少一个虚拟化实例（11），第一隔离环境（2）与程序运行环境（1）中的虚拟化实例（11）相对应；第一隔离环境（2）包括在安全模式下的操作系统和分配给第一隔离环境（2）的资源，资源包括第一隔离空间和处理器资源，第一隔离空间用于运行操作系统和安全处理程序，存储待处理数据，安全处理程序与虚拟化实例（11）中的程序对应，用于处理待处理数据，第一隔离空间与程序运行环境（1）隔离，能够提高处理数据的安全性。

Description

处理数据的方法、主机及装置

本申请要求于2020年6月28日提交的申请号为202010598730.1、发明名称为“一种安全硬件平台系统”的中国专利申请的优先权，以及于2020年9月29日提交中国专利局、申请号为202011051770.0、申请名称为“处理数据的方法、主机及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及互联网技术(internet technology，IT)领域，特别涉及一种处理数据的方法、主机及装置。

背景技术

虚拟机是指通过软件模块模拟的具有完整硬件系统功能且运行在一个环境中的完整计算机系统。也就说，虚拟机可以被看作为一个完整的计算机系统，可用来运行程序，通过运行该程序来处理待处理数据。

目前，对于某些程序和待处理数据，需要在一个安全性较高的运行环境中运行。然而，目前使用虚拟机来运行程序以及处理待数据，而虚拟机无法提供安全性较高的运行环境，可能降低数据处理的安全性。

例如，假设程序为转账程序，待处理数据包括需要转账的双方账号和转账额度等数据。虚拟机可以运行该转账程序，并根据待处理数据完成转账。在虚拟机中运行该转账程序来处理待处理数据，很容易发生信息泄漏，安全风险高。

发明内容

本申请提供了一种处理数据的方法、主机及装置，提高处理数据的安全性。所述技术方案如下：

第一方面，本申请提供了一种数据处理的主机，包括程序运行环境和第一隔离环境，程序运行环境是主机工作在非安全模式下的环境，第一隔离环境是主机工作在安全模式下的环境。程序运行环境包括工作在非安全模式下的至少一个虚拟化实例，其中，第一隔离环境与程序运行环境中的虚拟化实例相对应。第一隔离环境包括在安全模式下的操作系统和分配给第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及存储待处理数据，安全处理程序与该虚拟化实例中的程序对应，用于处理待处理数据，以实现该虚拟化实例中的程序的安全处理功能，第一隔离空间与程序运行环境隔离。

其中，由于主机包括程序运行环境和第一隔离环境，对于程序运行环境包括的虚拟化实例，该虚拟化实例对应的第一隔离环境包括在安全模式下的操作系统和资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及处理待处理数据，安全处理程序是该虚拟化实例调用的程序，待处理数据是运行安全处理程序所需 要的数据，第一隔离空间是在安全模式下被该主机保护的空间。这样第一隔离环境是一个安全性较高的环境，在该第一隔离环境中，运行安全处理程序，使用安全处理程序处理待处理数据，提高了处理数据的安全性。

在一种可能的实现方式中，程序运行环境用于提供运行虚拟化实例所需要的硬件资源和/或软件资源，第一隔离环境用于提供运行该安全处理程序所需要的硬件资源和/或软件资源。

在另一种可能的实现方式中，该主机还包括：第二隔离环境，第二隔离环境包括第一管理模块和第一隔离环境，第一管理模块用于管理第一隔离环境。这样可以将隔离环境分成第一隔离环境和第二隔离环境两层，在第二隔离环境中可以创建不同虚拟化实例对应的第一隔离环境，可以通过第一管理模块管理不同虚拟化实例对应的第一隔离环境，做到以虚拟化实例为粒度的管理，实现精细管理。

在另一种可能的实现方式中，第一隔离空间是仅供与该第一隔离空间对应的虚拟化实例通信的隔离运行环境，不能被其他的虚拟化实例访问。

在另一种可能的实现方式中，在主机切换到安全模式下，第一管理模块，用于接收任务信息，该任务信息包括该虚拟化实例的标识。第一管理模块，还用于根据该任务信息创建或分配虚拟化实例对应的第一隔离环境。这样可以通过任务信息触发第一管理模块创建或分配第一隔离环境。

在另一种可能的实现方式中，第一管理模块，用于接收安全监视器发送该任务信息，该任务信息是安全监视器在非安全模式下获取的信息。其中，安全监视器的安全等级较高，通过安全监视器将非安全模式下程序运行环境中的任务信息传递给安全模式下的第一管理模块，可以提高任务信息传递的安全性。

在另一种可能的实现方式中，该任务信息是程序运行环境中的第二管理模块在接收该虚拟化实例发送的调用请求时生成的，而安全监视器获取的该任务信息是第二管理模块输入的，这样可以通过安全监视器将任务信息安全地传递到第一管理模块。

在另一种可能的实现方式中，该任务信息还包括共享内存地址，第一管理模块，还用于根据该共享内存地址获取第一数据，第一数据包括安全运行程序和待处理数据，由于该共享内存为程序运行环境和第一隔离环境共享的内存，从而可以通过共享内存将非安全模式下程序运行环境中的第一数据传递到第一管理模块，以保证第一管理模块能够基于第一数据创建第一隔离环境。

在另一种可能的实现方式中，第一管理模块，还用于调整程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，这样可以保证第一隔离环境包括的资源量满足运行程序处理程序处理待处理数据的需求。

在另一种可能的实现方式中，第一管理模块释放程序运行环境中运行的虚拟化实例对应的第一隔离环境，这样可以释放出空闲的资源，以供其他虚拟化实例使用。

在另一种可能的实现方式中，第一管理模块，用于在第一隔离空间中运行该安全模式下的操作系统，通过操作系统运行该安全处理程序处理待处理数据，得到处理结果。这样可以通过第一隔离环境中的操作系统来运行安全处理程序并处理待处理数据，从而确保可以使用该第一隔离环境来运行安全处理程序，从而能够实现虚拟化实例与第一隔离环境一一对应。

在另一种可能的实现方式中，第一管理模块，还用于向程序运行环境传递处理结果，以及触发将主机的工作模式切换到非安全模式。这样保证位于程序运行环境中的该虚拟化实例能够得到处理结果。

在另一种可能的实现方式中，第一管理模块向安全监视器输入任务完成信息，安全监视器接收该任务完成信息，触发主机将工作模式切换到非安全模式。

在另一种可能的实现方式中，第一管理模块，还用于获取第二数据，第二数据包括状态信息和第一隔离空间中保存的数据，该状态信息用于描述第一隔离环境中操作系统的运行状态和安全处理程序的运行状态，第二数据用于在其他主机上恢复该虚拟化实例对应的第一隔离环境。第一管理模块，还用于向程序运行环境中的第二管理模块发送第二数据。如此可以在将该虚拟化实例迁移到其他主机，能够在其他主机继续运行该虚拟化实例，继续在第一隔离环境中使该安全处理程序处理待处理数据，实现了第一隔离环境与主机的硬件解耦。

在另一种可能的实现方式中，第二管理模块，用于向其他主机发送第二数据，以在其他主机上恢复虚拟化实例对应的第一隔离环境。如此可以在将该虚拟化实例迁移到其他主机，能够在其他主机继续运行该虚拟化实例，继续在第一隔离环境中使该安全处理程序处理待处理数据，实现了第一隔离环境与主机的硬件解耦。

在另一种可能的实现方式中，主机包括的第一隔离环境的数目为多个，该多个第一隔离环境中的每个第一隔离环境与程序运行环境中的虚拟化实例一一对应。如此使得不同虚拟化实例对应不同第一隔离环境，做到以虚拟化实例为粒度的管理，实现精细管理。

在另一种可能的实现方式中，第一管理模块为虚拟化管理程序Hypervisor。

第二方面，本申请提供了一种处理数据的方法，在所述方法中：在主机切换到安全模式下，接收任务信息，该任务信息包括虚拟化实例的标识，该虚拟化实例是程序运行环境中的工作在非安全模式下的虚拟化实例，程序运行环境是主机工作在非安全模式下的环境。根据该任务信息创建或分配该虚拟化实例对应的第一隔离环境，第一隔离环境是主机工作在安全模式下的环境，第一隔离环境包括在该安全模式下的操作系统和分配给第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理 程序，存储待处理数据，该安全处理程序与该虚拟化实例中的程序对应，用于处理待处理数据，以实现虚拟化实例中的该程序的安全处理功能，第一隔离空间与该程序运行环境隔离。

其中，由于在主机切换到安全模式下，根据该任务信息创建或分配该虚拟化实例对应的第一隔离环境，又由于第一隔离环境包括在该安全模式下的操作系统和分配给第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，存储待处理数据，第一隔离空间与该程序运行环境隔离，使得第一隔离环境是一个安全性较高的环境，这样在该虚拟化实例对应的第一隔离环境中，运行安全处理程序，使用安全处理程序处理待处理数据，提高了处理数据的安全性。

在一种可能的实现方式中，接收安全监视器发送任务信息，该任务信息是安全监视器在非安全模式下获取的信息。其中，安全监视器的安全等级较高，通过安全监视器将非安全模式下程序运行环境中的任务信息传递到安全模式下，可以提高任务信息传递的安全性。

在另一种可能的实现方式中，第一隔离空间是仅供与该第一隔离空间对应的虚拟化实例通信的隔离运行环境，不能被其他的虚拟化实例访问。

在另一种可能的实现方式中，该任务信息还包括共享内存地址，根据该共享内存地址获取第一数据，第一数据包括安全运行程序和待处理数据，该共享内存为程序运行环境和第一隔离环境共享的内存。由于该共享内存为程序运行环境和第一隔离环境共享的内存，从而可以通过共享内存将非安全模式下程序运行环境中的第一数据传递到安全模式下，以保证能够基于第一数据创建第一隔离环境。

在另一种可能的实现方式中，主机还包括第二隔离环境，第二隔离环境包括第一隔离环境。这样可以将隔离环境分成第一隔离环境和第二隔离环境两层，在第二隔离环境中可以创建不同虚拟化实例对应的第一隔离环境，可以管理不同虚拟化实例对应的第一隔离环境，做到以虚拟化实例为粒度的管理，实现精细管理。

在另一种可能的实现方式中，调整程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，这样可以保证第一隔离环境包括的资源量满足运行程序处理程序处理待处理数据的需求。

在另一种可能的实现方式中，释放程序运行环境中运行的虚拟化实例对应的第一隔离环境，这样可以释放出空闲的资源，以供其他虚拟化实例使用。

在另一种可能的实现方式中，在第一隔离空间中运行该安全模式下的操作系统，通过该操作系统运行该安全处理程序处理待处理数据，得到处理结果。这样可以通过第一隔离环境中的操作系统来运行安全处理程序并处理待处理数据，从而确保可以使用该第一隔离环境来运行安全处理程序，从而能够实现虚拟化实例与第一隔离环境一一对应。

在另一种可能的实现方式中，向程序运行环境传递该处理结果，以及触发将主机的工作 模式切换到非安全模式。这样保证位于程序运行环境中的该虚拟化实例能够得到处理结果。

在另一种可能的实现方式中，获取第二数据，第二数据包括状态信息和第一隔离空间中保存的数据，该状态信息用于描述第一隔离环境中操作系统的运行状态和安全处理程序的运行状态，第二数据用于在其他主机上恢复该虚拟化实例对应的第一隔离环境。如此可以在将该虚拟化实例迁移到其他主机，能够在其他主机继续运行该虚拟化实例，继续在第一隔离环境中使该安全处理程序处理待处理数据，实现了第一隔离环境与主机的硬件解耦。

在另一种可能的实现方式中，向其他主机发送第二数据，以在其他主机上恢复该虚拟化实例对应的第一隔离环境。如此可以在将该虚拟化实例迁移到其他主机，能够在其他主机继续运行该虚拟化实例，继续在第一隔离环境中使该安全处理程序处理待处理数据，实现了第一隔离环境与主机的硬件解耦。

在另一种可能的实现方式中，主机包括的第一隔离环境的数目为多个，该多个第一隔离环境中的每个第一隔离环境与程序运行环境中的虚拟化实例一一对应。如此使得不同虚拟化实例对应不同第一隔离环境，做到以虚拟化实例为粒度的管理，实现精细管理。

第三方面，本申请提供了一种数据处理的装置，用于执行第二方面或第二方面的任意一种可能的实现方式中的方法。具体地，所述装置包括用于执行第二方面或第二方面的任意一种可能的实现方式中的方法的单元。

第四方面，本申请提供了一种数据处理的装置，所述装置包括收发器、处理器和存储器。其中，所述收发器、所述处理器以及所述存储器之间可以通过内部连接相连。所述存储器用于存储程序、指令或代码，所述处理器用于执行所述存储器中的程序、指令或代码以及配合收发器，使得所述装置完成第二方面或第二方面的任意可能的实现方式中的方法的指令。

第五方面，本申请提供了一种计算机程序产品，所述计算机程序产品包括在计算机可读存储介质中存储的计算机程序，并且所述计算程序通过处理器进行加载来实现上述第二方面或第二方面任意可能的实现方式的方法的指令。

第六方面，本申请提供了一种计算机可读存储介质，用于存储计算机程序，所述计算机程序通过处理器进行加载来执行第二方面或第二方面任意可能的实现方式的方法的指令。

附图说明

图1是本申请实施例提供的一种系统架构示意图；

图2是本申请实施例提供的一种主机的结构示意图；

图3是本申请实施例提供的一种处理数据的方法流程图；

图4是本申请实施例提供的一种信息在主机的各模块之间的传递示意图；

图5是本申请实施例提供的一种处理数据的装置结构示意图；

图6是本申请实施例提供的另一种处理数据的装置结构示意图。

具体实施方式

下面将结合附图对本申请实施方式作进一步地详细描述。

参见图1，本申请实施例提供了一种系统架构，该系统架构包括至少一个主机，对于该至少一个主机中的任意两个主机，该两个主机之间可以建立有网络连接。

该系统架构可以应用于云场景或数据中心等场景下。例如，该系统架构中的主机可以为云场景包括的服务器或数据中心包括的服务器。

对于该至少一个主机中的每个主机，该主机中可以包括至少一个虚拟化实例，该主机可以为该至少一个虚拟化实例提供运行环境，以让每个虚拟化实例可以在该环境中运行。

该至少一个虚拟化实例包括虚拟机和/或容器等。

对于每个虚拟化实例，该虚拟化实例包括操作系统和程序，该程序可以提供服务。在该虚拟化实例中可运行操作系统，通过该操作系统运行该程序，从而使得该虚拟化实例提供该服务。

对于该至少一个虚拟化实例中的每个虚拟化实例，该虚拟化实例在运行时可能会调用某些安全处理程序来处理数据，以实现该程序的安全处理功能。

其中，该安全处理程序需要在安全性较高的环境中运行，以确保对数据处理的安全性，从而实现安全处理功能。安全处理功能是该程序需要实现的功能的子功能。或者，安全处理程序实现的操作是该程序需要实现的功能包括的一个或多个步骤。

例如，该虚拟化实例中的程序用于实现用户登录。在用户登录的过程中，该虚拟化实例在运行的过程中可能需要校验用户输入的密码，此时该虚拟化实例调用用于实现密码校验的安全处理程序来对用户输入的密码进行校验。或者，该虚拟化实例中的程序是一种金融类程序，在该虚拟化实例运行的过程中可能需要进行转账，此时该虚拟化实例调用用于实现转账的安全处理程序来进行转账，该安全处理程序所需要处理的数据包括转账的金额、输入的账户信息和输出的账户信息等。

在上述两个例子中，为了保证对密码校验的安全性或对转账的安全性，需要在一个安全性较高的环境下运行安全处理程序，以及使用安全处理程序来处理数据。

为了满足该需求，本申请实施例提供了如图2所示的主机，该主机包括：

程序运行环境1和第一隔离环境2，程序运行环境1是主机工作在非安全模式下的环境，第一隔离环境2是主机工作在安全模式下的环境。

其中，程序运行环境1包括工作在非安全模式下至少一个虚拟化实例，其中，第一隔离环境2与程序运行环境1中的虚拟化实例11相对应；

第一隔离环境2包括在安全模式下的操作系统和分配给第一隔离环境2的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及存储待处理数据，安全处理程序与该虚拟化实例11中的程序对应，用于处理待处理数据，以实现该虚拟化实例11中的该程序的安全处理功能，第一隔离空间与程序运行环境1隔离。

其中，程序运行环境1用于提供运行虚拟化实例所需要的硬件资源和/或软件资源，第一隔离环境1用于提供运行该安全处理程序所需要的硬件资源和/或软件资源。

该安全处理程序与该虚拟化实例11中的程序之间存在关联关系。例如，安全处理程序 是该虚拟化实例11中的程序调用的程序。安全处理程序实现的功能是该虚拟化实例11中的程序实现的功能的子功能，或者，安全处理程序实现的功能是该虚拟化实例11中的程序实现功能的一个或多个步骤。

第一隔离环境2包括的在安全模式下的操作系统与该安全处理程序相对应。例如，该操作系统是与该安全处理程序的程序类别相对应的操作系统。其中，该操作系统可以用于处理一类程序，而安全处理程序的程序类别与该操作系统相对应，使得该操作系统可以运行该安全处理程序。例如，该操作系统可用于处理窗口(windows)类别的程序，也就是说该安全处理程序的程序类别为windows。

该处理器资源包括占用该主机的处理器的时间片，和/或，输入/输出(input/output，I/O)接口等。时间片是一段时间，表示在该段时间内该主机的处理器用于运行第一隔离空间中的该操作系统和安全处理程序，以及处理待处理数据。

第一隔离空间是在安全模式下被该主机保护的空间。第一隔离空间与程序运行环境1隔离，使得程序运行环境1中除该虚拟化实例11之外的其他虚拟化实例无法与第一隔离空间通信。

该虚拟化实例11包括的操作系统和在安全模式下的该操作系统不同，该虚拟化实例11包括的操作系统在程序运行环境1中运行，而在安全模式下的该操作系统只能在该虚拟化实例11对应的第一隔离环境2中运行。

可选的，该主机可以包括多个第一隔离环境2，该多个第一隔离环境2中的每个第一隔离环境与程序运行环境1中的虚拟化实例一一对应。

其中，非安全模式和安全模式是主机工作的两种不同模式，也就是说主机可以工作在非安全模式或者工作在安全模式。

在安全模式下，该虚拟化实例11对应的第一隔离环境2与程序运行环境1是隔离的。在非安全模式下的程序运行环境1中运行的除该虚拟化实例11之外的其他各虚拟化实例是无法与安全模式下的该虚拟化实例11对应的第一隔离环境2通信。由于该虚拟化实例11对应的第一隔离环境2包括安全处理程序，用于运行该安全处理程序所需要的待处理数据以及在安全模式下的操作系统，这样可以在该虚拟化实例11对应的第一隔离环境2中，通过该操作系统运行安全处理程序，并使用安全处理程序处理待处理数据。这样实现在一个隔离且受保护的环境下，运行安全处理程序和处理待处理数据，从而提高对处理待处理数据的安全性。

可选的，参见图2，该主机还包括：第二隔离环境3，第二隔离环境3也是主机工作在安全模式下的环境；第二隔离环境3包括第一管理模块4和一个或多个第一隔离环境2，第一管理模块4用于管理每个第二隔离环境2。例如，第一管理模块4可用于创建每个第一隔离环境2。

其中，每个第一隔离环境2均是第二隔离环境3的子集。第二隔离环境3还包括第二隔离空间，第二隔离空间也是在安全模式下被该主机保护的空间，每个第一隔离环境2包括的第一隔离空间均位于第二隔离空间中。

其中，主机的存储空间被分为两部分，一部分称为称用户存储空间，另一部分称为第二隔离空间。用户存储空间属于程序运行环境1，位于程序运行环境1中的各虚拟化实例可以访问用户存储空间，但无法访问被主机保护的第二隔离空间。

可选的，参见图2，程序运行环境1还包括第二管理模块12，第二管理模块12用于管 理程序运行环境1。例如，第二管理模块12可用于管理工作在程序运行环境1中的各虚拟化实例。

由于第一管理模块4和第二管理模块12分别位于不同的环境下，以及分别工作在不同的模式下，即第一管理模块4位于第二隔离环境3下且工作在安全模式下，第二管理模块12位于程序运行环境1下且工作在非安全模式下，所以第一管理模块4和第二管理模块12不可直接进行通信，即两者之间不可直接进行信息传递。

为了能够使第一管理模块4和第二管理模块12之间可以传递信息，该主机还包括安全监视器5，安全监视器5在该主机中的安全等级较高，高于指定等级。第一管理模块4和第二管理模块12之间通过安全监视器5来传递信息。

使用安全监视器5来传递信息的过程可以为：

在主机工作在安全模式下，第一管理模块4将需要传递给第二管理模块12的信息输入到安全监视器5，安全监视器5触发主机切换到非安全模式下，并向第二管理模块12发送该信息。在该主机切换到非安全模式下，第二管理模块12接收该信息。或者，

在主机工作在非安全模式下，第二管理模块12将需要传递给第一管理模块4的信息输入到安全监视器5，安全监视器5触发主机切换到安全模式下，并向第一管理模块4发送该信息。在该主机切换到安全模式下，第一管理模块4接收该信息。

由于安全监视器5的安全等级较高，通常情况下安全监视器5在该主机中的安全等级可能最高，从而保证了第一管理模块4和第二管理模块12之间传递信息的安全性也较高。

对于该虚拟化实例11对应的第一隔离环境2，在本申请实施例中，可以采用如下两种方式在第二隔离环境3中创建该虚拟化实例11对应的第一隔离环境2。该两种方式分别为：

第一种方式，在该虚拟化实例11调用安全处理程序的情况下，在第二隔离环境2中创建该虚拟化实例11对应的第一隔离环境2。

在第一种方式中，主机先工作在非安全模式下，位于程序运行环境1中的该虚拟化实例11在需要调用安全处理程序时，向第二管理模块12发送调用请求。

第二管理模块12，用于接收该调用请求，生成任务信息，该任务信息包括该虚拟化实例11的标识，向主机的安全监视器5输入该任务信息。

安全监视器5，用于接收该任务信息，触发该主机切换到安全模式，并向第一管理模块4发送该任务信息。

第一管理模块4，用于在该主机切换到安全模式下，接收该任务信息，根据该任务信息创建该虚拟化实例11对应的第一隔离环境2。

在第一种方式中，该调用请求可以包括安全处理程序的程序标识和待处理数据，待处理数据是运行安全处理程序所需要的数据。例如，假设安全处理程序是一个实现转账功能的程序，待处理数据包括转账的金额、转出金额的账户信息和转入金额的账户信息等。

第二管理模块12，还用于在接收该调用请求后，根据安全处理程序的程序标识，获取安全处理程序，向共享内存中保存第一数据，第一数据包括安全处理程序和待处理数据。

其中，第二管理模块12向安全监视器5输入的任务信息还包括共享内存地址和资源量。

可选的，该资源量为第一隔离空间的容量。该任务信息还可以包括第一数据的数据量。

可选的，第一数据是一个数据包，该数据包的包头可以包括第一数据的数据量。

第一管理模块4，还用于根据该任务信息，从共享内存中获取第一数据，根据第一数据创建该虚拟化实例对应的第一隔离环境2。

第一管理模块4根据该任务信息包括的共享内存地址，从共享内存中获取第一数据。其中，在第一数据包括第一数据的数据量的情况下，第一管理模块4根据共享内存地址，在共享内存中的第一数据的包头中获取第一数据的数据量，根据该数据量从共享内存中获取第一数据。或者，在该任务信息包括第一数据的数据量的情况下，第一管理模块4根据共享内存地址和该数据量，从共享内存中获取第一数据。

对于第一种方式，接下来详细介绍了创建第一隔离环境2的完整过程。该完整过程包括如下(1-1)至(1-5)操作，可以为：

(1-1)，第二管理模块12接收该调用请求，该调用请求包括安全处理程序的程序标识和待处理数据。

(1-2)，第二管理模块12根据该安全处理程序的程序标识获取安全处理程序，对安全处理程序和待处理数据进行校验得到校验信息，采用该虚拟化实例11对应的第一私钥信息对待加密数据进行加密得到第一数据，待加密数据包括安全处理程序、待处理数据和该校验信息。

可选的，第二管理模块12还根据该虚拟化实例11调用的安全处理程序的程序类别，获取在安全模式下的操作系统，待加密数据还包括该操作系统。接下来，列举一种获取该操作系统的实现方式，该实现方式为：

在程序运行环境1中保存程序类别与操作系统的对应关系，该对应关系中的每条记录包括一个程序类别和在安全模式下的操作系统。所以第二管理模块12根据该虚拟化实例11调用的安全处理程序的程序类别，从该程序类别与操作系统的对应关系中获取在安全模式下的操作系统。

可选的，校验信息可以是对安全处理程序和待处理数据进行哈希运算，得到的哈希值。

可选的，在程序运行环境1中可以保存虚拟化实例的标识与第一私钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第一私钥信息。所以第二管理模块12获取该虚拟化实例11对应的第一私钥信息的操作，可以为：

第二管理模块12根据该虚拟化实例11的标识，从该虚拟化实例的标识与第一私钥信息的对应关系中获取该虚拟化实例11对应的第一私钥信息。

(1-3)，第二管理模块12在程序运行环境1包括的用户存储空间中分配共享内存，该共享内存的容量大于第一数据的数据量，向该共享内存中保存第一数据，生成任务信息，该任务信息包括该虚拟化实例11的标识和共享内存地址等信息，向主机的安全监视器5输入该任务信息。

(1-4)，安全监视器5接收到该任务信息，触发该主机切换到安全模式下，并向第一管理模块4发送该任务信息。

(1-5)，在该主机切换到安全模式下，第一管理模块4接收该任务信息，根据该任务信息获取在安全模式下的操作系统、该虚拟化实例11调用的安全处理程序和待处理数据，分配资源，该资源包括第一隔离空间和处理器资源，向第一隔离空间中保存该操作系统、安全处理程序和待处理数据，得到该虚拟化实例11对应的第一隔离环境2。

对于安全处理程序和待处理数据，接下来列举了一种第一管理模块4获取安全处理程序和待处理数据的实现实例。该实现实例可以为：

第一管理模块4根据该任务信息包括该虚拟化实例11的标识，获取该虚拟化实例11对应的第一公钥信息；根据该任务信息包括的共享内存地址，从共享内存中获取第一数据，使 用该虚拟化实例11对应的第一公钥信息，解密第一数据得到安全处理程序、待处理数据和校验信息；使用该检验信息对安全处理程序和待处理数据进行校验，如果校验通过，得到该虚拟化实例11调用的安全处理程序和待处理数据。如果校验不通过，则结束运行，或者，通过安全监视器5通知第二管理模块12，以使第二管理模块12重新向共享内存中保存第一数据。

对于该校验信息，在该校验信息为哈希值的情况下，第一管理模块4校验的过程，可以为：

第一管理模块4根据解密得到的安全处理程序和待处理数据计算哈希值，如果计算的哈希值与该校验信息相同，则检验通过，如果计算的哈希值与该校验信息不同，则校验未通过。

该虚拟化实例11对应的第一私钥信息和该虚拟化实例11对应的第一公钥信息是一对公私密钥对。第一管理模块4获取第一公钥信息的操作，可以为：

在第二隔离环境3中可以保存虚拟化实例的标识与第一公钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第一公钥信息。第一管理模块4根据该虚拟化实例11的标识，从该虚拟化实例的标识与第一公钥信息的对应关系中获取该虚拟化实例11对应的第一公钥信息。

对于在安全模式下的操作系统，第一管理模块4可以通过如下两种方式获取该操作系统，该两种方式分别为：

方式一，第一数据包括该操作系统，所以第一管理模块4对第一数据进行解密得到该操作系统。

方式二，第二隔离环境3中保存程序类别与操作系统的对应关系，该对应关系中的每条记录包括一个程序类别和在安全模式下的操作系统。所以第一管理模块4根据该虚拟化实例调用的安全处理程序的程序类别，从该程序类型与操作系统的对应关系中获取对应的操作系统。

第二种方式，事先在第二隔离环境3中创建至少一个第一隔离环境2。这样对于程序运行环境1中的该虚拟化实例11，在该虚拟化实例11调用安全处理程序时，可以在第二隔离环境2中为该虚拟化实例11分配第一隔离环境2。

在第二种方式中，对于该至少一个第一隔离环境2中的每个第一隔离环境，该第一隔离环境包括在安全模式下的操作系统和分配给该第一隔离环境的资源，该资源包括第一隔离空间，该第一隔离空间用于保存该操作系统。

其中，对于安全模式下的操作系统，包括该操作系统的第一隔离环境2的数目可以为一个或多个，在为多个的情况下，该多个第一隔离环境2中的每个第一隔离环境2包括的第一隔离空间的容量不同。例如，对于某个操作系统，可以事先创建三个包括该操作系统的第一隔离环境2，该三个第一隔离环境2中包括的第一隔离空间的容量分别为10G、8G和6G。

第二隔离环境3中包括不种程序类别对应的操作系统，对于每个操作系统，可以建立包括该操作系统的一个或多个第一隔离环境2。

在第二种方式中，在主机工作在非安全模式下，对于程序运行环境1中的虚拟化实例11，在该虚拟化实例11调用安全处理程序来处理待处理数据时，需要在第二隔离环境3中为该虚拟化实例11分配第一隔离环境2，该分配的过程包括(2-1)至(2-5)的操作，可以为：

(2-1)，该虚拟化实例11在需要调用安全处理程序时，向第二管理模块12发送调用请求，该调用请求包括安全处理程序的程序标识和待处理数据。

(2-2)，第二管理模块12接收该调用请求，在程序运行环境1包括的程序运行空间中创建共享内存，向共享内存保存第一数据，第一数据包括安全处理程序和待处理数据，生成任务信息，该任务信息包括该虚拟化实例的标识、共享内存地址和第一隔离空间的容量，向主机的安全监视器5输入该任务信息。

对于上述第一数据，第二管理模块12得到第一数据的操作，可以为：

第二管理模块12可以对安全处理程序和待处理数据进行校验得到校验信息，获取该虚拟化实例11对应的第一私钥信息，使用该第一私钥信息对待加密数据进行加密得到第一数据，待加密数据包括安全处理程序的程序标识、待处理数据和该校验信息。

(2-3)，安全监视器5接收该任务信息，触发该主机切换到安全模式，并向第一管理模块4发送该任务信息。

(2-4)，在该主机切换到安全模式下，第一管理模块4从安全监视器5中读取该任务信息，根据该任务信息包括的共享内存地址，从共享内存中获取该安全处理程序和待处理数据。

可选的，第一管理模块12从共享内存中获取到第一数据后，根据该虚拟化实例11的标识，获取该虚拟化实例11对应的第一公钥信息，使用该第一公钥信息对第一数据进行解密，得到安全处理程序、待处理数据和该校验信息，根据该校验信息对待处理数据和安全处理程序进行校验，如果检验通过，执行如下(2-5)的操作。

(2-5)，第一管理模块4根据该任务信息包括的第一隔离空间的容量和该安全处理程序的程序类别，分配事先创建的第一隔离环境2，将该安全处理程序和待处理数据保存到该第一隔离环境2包括的第一隔离空间中，以及为该第一隔离环境2分配处理器资源。

其中，分配的该第一隔离环境2包括的第一隔离空间的容量大于或等于该任务信息包括的第一隔离空间的容量。在执行操作(2-5)后，该第一隔离环境2中包括第一隔离空间和处理器资源，第一隔离空间中保存有在安全模式下的操作系统、该安全处理程序和待处理数据。

在上述第一种方式和第二种方式中，第一管理模块4可以建立不同虚拟化实例对应的第一隔离环境2，从而实现为不同虚拟化实例建立不同的第一隔离环境，实现更新精细化的管理。

其中，第一管理模块4还用于在该虚拟化实例11对应的第一隔离环境2中运行该操作系统，通过该操作系统运行安全处理程序处理待处理数据。

可选的，第一管理模块4可以通过如下(3-1)至(3-3)的操作，来处理待处理数据。该(3-1)至(3-3)的操作，分别为：

(3-1)：第一管理模块4在该虚拟化实例11对应的第一隔离空间2中运行该操作系统。

可选的，在第一隔离空间2中，启动该操作系统，在操作系统启动后，该主机的处理器可以开始运行该操作系统。

(3-2)：第一管理模块4通过该操作系统中启动用于运行安全处理程序的进程。

其中，在该操作系统被运行后，该操作系统可创建用于运行安全处理程序的进程。

(3-3)：通过该进程处理待处理数据，得到处理结果。

其中，该主机的处理器可以调用该进程，并运行该进程，在运行该进程时，处理待处理数据，得到处理结果。

可选的，在上述处理待处理数据过程中，第一管理模块4还用于调整该虚拟化实例11对应的第一隔离环境2包括的资源量。

该资源量可以包括第一隔离空间的容量。即在处理待处理数据的过程，第一管理模块4根据需要增加或减小第一隔离容量的容量。

可选的，在处理完待处理数据后，第一管理模块4，还用于释放该虚拟化实例11对应的第一隔离环境2。

在处理完待处理数据并得到处理结果后，第一管理模块4，还用于向程序运行环境2传递该处理结果，以及触发将该主机的工作模式切换到非安全模式。

这样在该主机切换到非安全模式下，第二管理模块12，还用于获取该处理结果，将该处理结果输入到该虚拟化实例11。

接下来，详细说明将该处理结果输入给该虚拟化实例11的完整过程，该完整过程包括如下(4-1)-(4-3)的操作，可以为：

(4-1)，第一管理模块4获取该虚拟化实例11对应的第二私钥信息，使用第二私钥信息对该处理结果进行加密，将该加密的处理结果保存到共享内存中，以及向安全监视器5输入任务完成信息，该任务完成信息包括该虚拟化实例11的标识、该共享内存地址和任务完成指示。

第一管理模块4获取第二私钥信息的操作，可以为：

在第二隔离环境3中可以保存虚拟化实例的标识与第二私钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第二私钥信息。第一管理模块4根据该虚拟化实例11的标识，从该虚拟化实例的标识与第二私钥信息的对应关系中获取该虚拟化实例11对应的第二私钥信息。

(4-2)，该安全监视器5接收该任务完成信息，触发该主机将工作模式切换到非安全模式，向第二管理模块12发送该任务完成信息。

(4-3)，在该主机切换到非安全模式下，第二管理模块12接收该任务完成信息，该任务完成信息包括该虚拟化实例11的标识、该共享内存地址和任务完成指示，在该任务完成指示的触发下，根据该虚拟化实例的标识获取该虚拟化实例11对应的第二公钥信息，根据该共享内存地址获取该加密的处理结果，使用第二公钥信息解密对该加密的处理结果进行解密，得到处理结果，向该虚拟化实例11输入该处理结果。

该虚拟化实例11对应的第二私钥信息和该虚拟化实例11对应的第二公钥信息是一对公私密钥对。第二管理模块12获取第二公钥信息的操作，可以为：

在程序运行环境1中可以保存虚拟化实例的标识与第二公钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第二公钥信息。第二管理模块12根据该虚拟化实例的标识，从该虚拟化实例的标识与第二公钥信息的对应关系中获取该虚拟化实例11对应的第二公钥信息。

可选的，在该虚拟化实例11对应的第一隔离环境2中，在使用安全处理程序处理待处理数据的过程中，可以将该虚拟化实例11从该主机上迁移到其他主机上。在将该虚拟化实例11迁移到其他主机时，也需要将该虚拟化实例11对应的第一隔离环境2迁移到其他主机上。在实现时：

第一管理模块4还用于获取第二数据，向第二管理模块12输入第二数据，第二数据包括状态信息和第一隔离空间2中保存的数据，该状态信息用于描述该操作系统的运行状态和该安全处理程序的运行状态。

第二管理模块12还用于向其他主机发送第二数据。这样其他主机接收第二数据，基于 第二数据恢复该虚拟化实例11对应的第一隔离环境2。

可选的，该状态信息包括该操作系统的当前运行状态和安全处理程序的当前运行状态。第一隔离空间中保存的数据包括该操作系统、安全处理程序和安全处理程序处理待处理数据的中间结果等内容。

接下来，列举了一种将第二数据输入给第二管理模块12的实现实例，该实现实例可以为：

第一管理模块4获取到第二数据后，向该共享内存保存第二数据，向安全监视器5输入迁移信息，该迁移信息包括该虚拟化实例11的标识、共享内存地址和迁移指示。

该安全监视器5接收该迁移信息，触发该主机将工作模式切换到非安全模式，向第二管理模块12发送该迁移信息。

在该主机切换到非安全模式，第二管理模块12接收迁移信息，在该迁移指示的触发下，根据该共享内存地址获取第二数据。

其中，其他主机同本申请实施例提供的主机一样，也包括程序运行环境和第二隔离环境。位于该程序运行环境中的第二管理模块接收第二数据，在该程序运行环境的用户存储空间中分配共享内存，向该共享内存中保存第二数据，向该其他主机的安全监视器输入恢复信息，该恢复信息包括该共享内存地址和恢复指示。

该安全监视器接收该恢复信息，触发该其他主机将工作模式切换到安全模式，向该第二隔离环境中的第一管理模块发送该恢复信息。

在该其他主机切换到安全模式后，位于该第二隔离环境中的第一管理模块接收该恢复信息，在该恢复指示的触发下，根据该共享内存地址从该共享内存中读取第二数据，根据第二数据恢复该虚拟化实例11对应的第一隔离环境。

可选的，上述第一管理模块4为虚拟化管理程序(Hypervisor)，第二管理模块12也一个Hypervisor。

在本申请实施例中，由于主机包括程序运行环境和第一隔离环境，对于程序运行环境包括的工作在非安全模式下的虚拟化实例，该虚拟化实例对应的第一隔离环境包括在安全模式下的操作系统和资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及处理待处理数据，安全处理程序是该虚拟化实例调用的程序，待处理数据是运行安全处理程序所需要的数据，第一隔离空间是在安全模式下被该主机保护的空间。这样在该虚拟化实例11对应的第一隔离环境中，运行安全处理程序，使用安全处理程序处理待处理数据，从而提高了处理数据的安全性。

参见图3，本申请提供了一种处理数据的方法，该方法可以应用于如图2所示的主机中，该方法包括：

步骤301：在该主机工作在非安全模式下，接收虚拟化实例11发送的调用请求，该调用请求包括该虚拟化实例11调用的安全处理程序的程序标识和待处理数据。

其中，该主机包括程序运行环境和第二隔离环境，程序运行环境包括至少一个虚拟化实例，该虚拟化实例11是该至少一个虚拟化实例中的任一个虚拟化实例。

参见图4，第二管理模块接收该虚拟化实例11发送的调用请求。

步骤302：向共享内存保存第一数据，向主机的安全监视器输入任务信息，该任务信息包括该虚拟化实例11的标识，以触发将该主机的工作模式切换到安全模式。

参见图4，第二管理模块向共享内存保存第一数据，向主机的安全监视器输入任务信息。

在本步骤中，根据安全处理程序的程序标识获取安全处理程序，对安全处理程序和待处理数据进行校验得到校验信息，采用该虚拟化实例11对应的第一私钥信息对待加密数据进行加密得到第一数据，待加密数据包括安全处理程序、待处理数据和该校验信息；根据第一数据的数据量在程序运行环境包括的用户存储空间中分配共享内存，该共享内存的容量大于第一数据的数据量，向该共享内存中保存第一数据，生成任务信息，该任务信息包括该虚拟化实例11的标识和共享内存地址，向主机的安全监视器输入该任务信息。

可选的，该任务信息还包括第一隔离空间的容量等信息。

可选的，待加密数据还包括在安全模式下的操作系统。也就是说，在加密待加密数据前，还根据该安全处理程序的程序类别，获取在安全模式下的操作系统。

获取该操作系统的操作，可以为：

该主机的程序运行环境中保存程序类别与操作系统的对应关系，该对应关系中的每条记录包括一个程序类别和该程序类别在安全模式下的操作系统。所以根据该安全处理程序的程序类别，从该程序类别与操作系统的对应关系中获取在安全模式下的操作系统。

可选的，校验信息可以是对安全处理程序和待处理数据进行哈希运算，得到的哈希值。

可选的，在程序运行环境中可以保存虚拟化实例11的标识与第一私钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第一私钥信息。所以获取该虚拟化实例11对应的第一私钥信息的操作，可以为：

根据该虚拟化实例11的标识，从该虚拟化实例的标识与第一私钥信息的对应关系中获取该虚拟化实例11对应的第一私钥信息。

其中，该主机的安全监视器接收该任务信息，触发该主机切换到安全模式，该安全监视器发送该任务信息。

步骤303：在主机切换到安全模式下，接收该安全监视器发送的任务信息，根据该任务信息创建或分配该虚拟化实例11对应的第一隔离环境。

参见图4，第一管理模块接收该任务信息，根据该任务信息从共享内存中获取第一数据，根据第一数据创建或分配该虚拟化实例11对应的第一隔离环境。

在第二隔离环境中未事先建立程序运行环境中的该虚拟化实例11对应的第一隔离环境的情况下，步骤303的操作可以为：

在主机切换到安全模式下，接收该任务信息，根据该任务信息包括该虚拟化实例11的标识，获取该虚拟化实例11对应的第一公钥信息；根据该任务信息包括的共享内存地址，从共享内存中获取第一数据，使用该虚拟化实例11对应的第一公钥信息，解密第一数据得到安全处理程序、待处理数据和校验信息；使用该检验信息对安全处理程序和待处理数据进行校验，如果校验通过，得到该虚拟化实例11调用的安全处理程序和待处理数据；获取在安全模式下与该安全处理程序的程序类别相对应的操作系统；分配第一隔离空间和处理器资源，第一隔离空间包括安全处理程序、待处理数据和该操作系统，从而创建该虚拟化实例11对应的第一隔离环境。

对于该校验信息，在该校验信息为哈希值的情况下，校验的过程，可以为：

根据解密得到的安全处理程序和待处理数据计算哈希值，如果计算的哈希值与该校验信息相同，则检验通过，如果计算的哈希值与该校验信息不同，则校验未通过。

该虚拟化实例11对应的第一私钥信息和该虚拟化实例11对应的第一公钥信息是一对公 私密钥对。获取第一公钥信息的操作，可以为：

在第二隔离环境中可以保存虚拟化实例的标识与第一公钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第一公钥信息。所以可以根据该虚拟化实例11的标识，从该虚拟化实例的标识与第一公钥信息的对应关系中获取该虚拟化实例11对应的第一公钥信息。

对于该操作系统，可以通过如下两种方式获取该操作系统，该两种方式分别为：

方式一，第一数据包括该操作系统，所以对第一数据进行解密得到该操作系统。

方式二，第二隔离环境中保存程序类别与操作系统的对应关系，该对应关系中的每条记录包括一个程序类别和该程序类别在安全模式下的操作系统。所以根据该安全处理程序的程序类别，从该程序类别与操作系统的对应关系中获取对应的操作系统。

在第二隔离环境中事先建立该虚拟化实例11对应的第一隔离环境的情况下，步骤303的操作可以为：

在主机切换到安全模式下，接收该任务信息，根据该任务信息包括的共享内存地址，从共享内存中获取第一数据，第一数据包括该安全处理程序、待处理数据和第一隔离空间的容量，根据该任务信息包括的第一隔离空间的容量和该安全处理程序的程序类别，分配事先创建的第一隔离环境，将该安全处理程序和待处理数据保存到该第一隔离环境包括的第一隔离空间中，以及为该第一隔离环境分配处理器资源。

可选的，从共享内存中获取到第一数据后，根据该虚拟化实例11的标识，获取该虚拟化实例11对应的第一公钥信息，使用该第一公钥信息对第一数据进行解密，得到安全处理程序、待处理数据和该校验信息，根据该校验信息对待处理数据和安全处理程序进行校验，检验通过，将该待处理数据和安全处理程序保存到该虚拟化实例11对应的第一隔离环境包括的第一隔离空间中。

步骤304：在该虚拟化实例11对应的第一隔离环境中运行该操作系统，通过该操作系统运行安全处理程序处理待处理数据。

可选的通过如下3041-3043的操作，来处理待处理数据。该3041-3043的操作，分别为：

3041：在第一隔离空间中运行该安全模式下的操作系统。

可选的，在第一隔离空间中，启动该操作系统，在操作系统启动后，该主机的处理器可以开始运行该操作系统。

3042：通过该操作系统中启动用于运行安全处理程序的进程。

该操作系统被运行后，创建用于运行安全处理程序的进程。

3043：通过该进程处理待处理数据，得到处理结果。

主机的处理器可以调用该进程，并运行该进程，在运行该进程时，处理待处理数据，得到处理结果。

可选的，在上述处理待处理数据过程中，可以调整该虚拟化实例11对应的第一隔离环境包括的资源量。

该资源量可以包括第一隔离空间的容量。即在处理待处理数据的过程，根据需要增加或减小第一隔离容量的容量。

可选的，在处理完待处理数据后，还可以释放该虚拟化实例11对应的第一隔离环境。

步骤305：在处理完待处理数据并得到处理结果后，向程序运行环境传递处理结果，以及触发将主机的工作模式切换到非安全模式。

在步骤305中，获取该虚拟化实例11对应的第二私钥信息，使用第二私钥信息对该处理结果进行加密，将该加密的处理结果保存到共享内存中，以及向安全监视器输入任务完成信息，该任务完成信息包括该虚拟化实例11的标识、该共享内存地址和任务完成指示。

可选的，获取第二私钥信息的操作，可以为：

在第二隔离环境中可以保存虚拟化实例的标识与第二私钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第二私钥信息。这样根据该虚拟化实例11的标识，从该虚拟化实例的标识与第二私钥信息的对应关系中获取该虚拟化实例11对应的第二私钥信息。

其中，该安全监视器接收该任务完成信息，触发该主机将工作模式切换到非安全模式，发送该任务完成信息。

步骤306：在主机切换到非安全模式下，接收该任务完成信息，根据该任务完成信息获取该处理结果，将该处理结果输入到该虚拟化实例11。

参见图4，第二管理模块接收该任务完成信息，根据任务完成信息从共享内存中获取该处理结果，将该处理结果输入到该虚拟化实例11。

在步骤306中，在主机切换到非安全模式下，接收该任务完成信息，该任务完成信息包括该虚拟化实例11的标识、该共享内存地址和任务完成指示，在该任务完成指示的触发下，根据该虚拟化实例11的标识获取该虚拟化实例11对应的第二公钥信息，根据该共享内存地址获取该加密的处理结果，使用第二公钥信息解密该加密的处理结果，根据该虚拟化实例11的标识向该虚拟化实例11输入该处理结果。

该虚拟化实例11对应的第二私钥信息和该虚拟化实例对应的第二公钥信息是一对公私密钥对。

在程序运行环境1中可以保存虚拟化实例的标识与第二公钥信息的对应关系，该对应关系中的每条记录包括一个虚拟化实例的标识和该虚拟化实例对应的第二公钥信息。所以可以根据该虚拟化实例11的标识，从该虚拟化实例的标识与第二公钥信息的对应关系中获取该虚拟化实例11对应的第二公钥信息。

可选的，在该虚拟化实例11对应的第一隔离环境中，在使用安全处理程序处理待处理数据的过程中，可以将该虚拟化实例11从该主机上迁移到其他主机上。在将该虚拟化实例11迁移到其他主机时，也需要将该虚拟化实例11对应的第一隔离环境迁移到其他主机上。可以通过如下步骤307至308的操作来实现。

步骤307：获取第二数据，第二数据包括状态信息和第一隔离空间中保存的数据，该状态信息用于描述该操作系统的运行状态和该安全处理程序的运行状态。

参见图4，第一管理模块获取第二数据，向该共享内存保存第二数据，向安全监视器输入迁移信息，该迁移信息包括该虚拟化实例11的标识、共享内存地址和迁移指示。该安全监视器接收该迁移信息，触发将该主机的工作模式切换到非安全模式，向第二管理模块发送该迁移信息。在该主机切换到非安全模式，第二管理模块接收迁移信息，在该迁移指示的触发下，根据该共享内存地址获取第二数据。

步骤308：向其他主机发送第二数据，以使其他主机基于第二数据恢复该虚拟化实例11对应的第一隔离环境。

参见图4，第二管理模块向其他主机发送第二数据。这样其他主机接收第二数据，基于第二数据恢复该虚拟化实例11对应的第一隔离环境。

其中，其他主机恢复第一隔离环境的操作可以为：

其他主机包括程序运行环境和第二隔离环境。其他主机的程序运行环境中的第二管理模块接收第二数据，在该程序运行环境的用户存储空间中分配共享内存，向该共享内存中保存第二数据，向该其他主机的安全监视器输入恢复信息，该恢复信息包括该共享内存地址和恢复指示。该安全监视器接收该恢复信息，触发该其他主机将工作模式切换到安全模式，向该第二隔离环境中的第一管理模块发送该恢复信息。在该其他主机切换到安全模式后，其他主机的第二隔离环境中的第一管理模块接收该恢复信息，在该恢复指示的触发下，根据该共享内存地址从该共享内存中读取第二数据，根据第二数据恢复该虚拟化实例11对应的第一隔离环境。

在本申请实施例中，由于在主机切换到安全模式下，接收任务信息并创建虚拟化实例11对应的第一隔离环境，这样使得主机包括程序运行环境和第一隔离环境，对于程序运行环境包括的工作在非安全模式下的虚拟化实例11，该虚拟化实例11对应的第一隔离环境包括在安全模式下的操作系统和分配给该第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及处理待处理数据，这样在第一隔离环境中，处理待处理数据，从而提高了处理待处理数据的安全性。

参见图5，本申请实施例提供了一种处理数据的装置500，所述装置500可以部署在图1、图2或图3所示实施例提供的主机上，包括：

接收单元501，用于在主机切换到安全模式下，接收任务信息，该任务信息包括虚拟化实例的标识，该虚拟化实例是程序运行环境中的虚拟化实例，该程序运行环境是主机工作在非安全模式下的环境；

处理单元502，用于根据该任务信息创建或分配该虚拟化实例对应的第一隔离环境，第一隔离环境是主机工作在安全模式下的环境，第一隔离环境包括在安全模式下的操作系统和分配给第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，存储待处理数据，该安全处理程序与该虚拟化实例中的程序对应，用于处理待处理数据，以实现该虚拟化实例中的所述程序的安全处理功能，第一隔离空间与该程序运行环境隔离。

可选的，处理单元502创建或分配第一隔离环境的详细过程，参见图3所示实施例中的步骤303中的相关内容，在此不再详细说明。

可选的，接收单元501，用于接收安全监视器发送该任务信息，该任务信息是安全监视器在非安全模式下获取的信息。

可选的，接收单元501接收任务信息的详细过程，参见图3所示实施例中的步骤301中的相关内容，在此不再详细说明。

可选的，该任务信息还包括共享内存地址，处理单元502，还用于：

根据共享内存地址获取第一数据，第一数据包括该安全运行程序和待处理数据，该共享内存为程序运行环境和第一隔离环境共享的内存。

可选的，处理单元502获取第一数据的详细过程，参见图3所示实施例中的步骤303中的相关内容，在此不再详细说明。

可选的，主机还包括第二隔离环境，第二隔离环境包括第一隔离环境。

可选的，处理单元502，还用于：

调整程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，或者，释放程序运行环境中运行的虚拟化实例对应的第一隔离环境。

可选的，处理单元502，还用于：

在第一隔离空间中运行该安全模式下的操作系统，通过该操作系统运行安全处理程序处理待处理数据，得到处理结果。

可选的，处理单元502得到的详细过程，参见图3所示实施例中的步骤304中的相关内容，在此不再详细说明。

可选的，处理单元502，还用于向程序运行环境传递处理结果，以及触发将主机的工作模式切换到非安全模式。

可选的，处理单元502传递处理结果的详细过程，参见图3所示实施例中的步骤305中的相关内容，在此不再详细说明。

可选的，处理单元502，还用于获取第二数据，第二数据包括状态信息和第一隔离空间中保存的数据，该状态信息用于描述第一隔离环境中操作系统的运行状态和该安全处理程序的运行状态，第二数据用于在其他主机上恢复该虚拟化实例对应的第一隔离环境。

可选的，处理单元502获取第二数据的详细过程，参见图3所示实施例中的步骤307中的相关内容，在此不再详细说明。

可选的，所述装置500还包括：

发送单元503，用于向其他主机发送所述第二数据，以在其他主机上恢复该虚拟化实例对应的第一隔离环境。

可选的，主机包括的第一隔离环境的数目为多个，该多个第一隔离环境中的每个第一隔离环境与程序运行环境中的虚拟化实例一一对应。

在本申请实施例中，由于接收单元在主机切换到安全模式下，接收任务信息，处理单元创建虚拟化实例对应的第一隔离环境，这样使得主机包括程序运行环境和第一隔离环境，对于程序运行环境包括的工作在非安全模式下的虚拟化实例，该虚拟化实例对应的第一隔离环境包括在安全模式下的操作系统和分配给该第一隔离环境的资源，该资源包括第一隔离空间和处理器资源，第一隔离空间用于运行该操作系统和安全处理程序，以及处理待处理数据，这样处理单元在第一隔离环境中，处理待处理数据，从而提高了处理待处理数据的安全性。

参见图6，本申请实施例提供了一种数据处理的装置600示意图。该装置600可以是上述任一实施例中的主机。该装置600包括至少一个处理器601，内部连接602，存储器603以及至少一个收发器604。

该装置600是一种硬件结构的装置，可以用于实现图5所述的装置500中的功能模块。例如，本领域技术人员可以想到图5所示的装置500中的处理单元502可以通过该至少一个处理器601调用存储器603中的代码来实现，图5所示的装置500中的接收单元501和发送单元502可以通过该收发器604来实现。

可选的，该装置600还可用于实现上述任一实施例中主机、主机中的第一管理模块和/或第二管理模块的功能。

可选的，上述处理器601可以是一个通用中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

上述内部连接602可包括一通路，在上述组件之间传送信息。可选的，内部连接602为单板或总线等。

上述收发器604，用于与其他设备或通信网络通信。

上述存储器603可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器603用于存储执行本申请方案的应用程序代码，并由处理器601来控制执行。处理器601用于执行存储器603中存储的应用程序代码，以及配合至少一个收发器604，从而使得该装置600实现本专利方法中的功能。

在具体实现中，作为一种实施例，处理器601可以包括一个或多个CPU，例如图6中的CPU0和CPU1。

在具体实现中，作为一种实施例，该装置600可以包括多个处理器，例如图6中的处理器601和处理器607。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (31)

1. 一种数据处理的主机，其特征在于，包括程序运行环境和第一隔离环境，所述程序运行环境是所述主机工作在非安全模式下的环境，所述第一隔离环境是所述主机工作在安全模式下的环境；

   所述程序运行环境包括工作在所述非安全模式下的至少一个虚拟化实例，其中，所述第一隔离环境与所述程序运行环境中的虚拟化实例相对应；

   所述第一隔离环境包括在所述安全模式下的操作系统和分配给所述第一隔离环境的资源，所述资源包括第一隔离空间和处理器资源，所述第一隔离空间用于运行所述操作系统和安全处理程序，以及存储待处理数据，所述安全处理程序与所述虚拟化实例中的程序对应，用于处理所述待处理数据，以实现所述虚拟化实例中的所述程序的安全处理功能，所述第一隔离空间与所述程序运行环境隔离。
2. 如权利要求1所述的主机，其特征在于，还包括：第二隔离环境，所述第二隔离环境包括第一管理模块和所述第一隔离环境，所述第一管理模块用于管理所述第一隔离环境。
3. 如权利要求2所述的主机，其特征在于，

   在主机切换到所述安全模式下，所述第一管理模块，用于接收任务信息，所述任务信息包括所述虚拟化实例的标识；

   所述第一管理模块，还用于根据所述任务信息创建或分配所述虚拟化实例对应的第一隔离环境。
4. 如权利要求3所述的主机，其特征在于，

   所述第一管理模块，用于接收安全监视器发送所述任务信息，所述任务信息是所述安全监视器在所述非安全模式下获取的信息。
5. 如权利要求3所述的主机，其特征在于，所述任务信息还包括共享内存地址，

   所述第一管理模块，还用于根据所述共享内存地址获取第一数据，所述第一数据包括所述安全运行程序和所述待处理数据，所述共享内存为所述程序运行环境和所述第一隔离环境共享的内存。
6. 如权利要求2至5任一项所述的主机，其特征在于，所述第一管理模块，还用于调整所述程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，或者，释放所述程序运行环境中运行的虚拟化实例对应的第一隔离环境。
7. 如权利要求2至6任一项所述的主机，其特征在于，

   所述第一管理模块，用于在所述第一隔离空间中运行所述安全模式下的操作系统，通过所述操作系统运行所述安全处理程序处理所述待处理数据，得到处理结果。
8. 如权利要求7所述的主机，其特征在于，

   所述第一管理模块，还用于向所述程序运行环境传递所述处理结果，以及触发将所述主机的工作模式切换到所述非安全模式。
9. 如权利要求2至8任一项所述的主机，其特征在于，

   所述第一管理模块，还用于获取第二数据，所述第二数据包括状态信息和所述第一隔离空间中保存的数据，所述状态信息用于描述所述第一隔离环境中操作系统的运行状态和所述安全处理程序的运行状态，所述第二数据用于在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境；

   所述第一管理模块，还用于向所述程序运行环境中的第二管理模块发送所述第二数据。
10. 如权利要求9所述的主机，其特征在于，

    所述第二管理模块，用于向所述其他主机发送所述第二数据，以在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境。
11. 如权利要求1至10任一项所述的主机，其特征在于，所述主机包括的第一隔离环境的数目为多个，所述多个第一隔离环境中的每个第一隔离环境与所述程序运行环境中的虚拟化实例一一对应。
12. 一种处理数据的方法，其特征在于，所述方法包括：

    在主机切换到安全模式下，接收任务信息，所述任务信息包括虚拟化实例的标识，所述虚拟化实例是程序运行环境中的虚拟化实例，所述程序运行环境是所述主机工作在非安全模式下的环境；

    根据所述任务信息创建或分配所述虚拟化实例对应的第一隔离环境，所述第一隔离环境是所述主机工作在所述安全模式下的环境，所述第一隔离环境包括在所述安全模式下的操作系统和分配给所述第一隔离环境的资源，所述资源包括第一隔离空间和处理器资源，所述第一隔离空间用于运行所述操作系统和安全处理程序，存储待处理数据，所述安全处理程序与所述虚拟化实例中的程序对应，用于处理所述待处理数据，以实现所述虚拟化实例中的所述程序的安全处理功能，所述第一隔离空间与所述程序运行环境隔离。
13. 如权利要求12所述的方法，其特征在于，所述接收任务信息，包括：

    接收安全监视器发送所述任务信息，所述任务信息是所述安全监视器在所述非安全模式下获取的信息。
14. 如权利要求12或13所述的方法，其特征在于，所述任务信息还包括共享内存地址，所述方法还包括：

    根据所述共享内存地址获取第一数据，所述第一数据包括所述安全运行程序和所述待处理数据，所述共享内存为所述程序运行环境和所述第一隔离环境共享的内存。
15. 如权利要求12至14任一项所述的方法，其特征在于，所述主机还包括第二隔离环 境，所述第二隔离环境包括所述第一隔离环境。
16. 如权利要求12至15任一项所述的方法，其特征在于，所述方法还包括：

    调整所述程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，或者，释放所述程序运行环境中运行的虚拟化实例对应的第一隔离环境。
17. 如权利要求12至16任一项所述的方法，其特征在于，所述方法还包括：

    在所述第一隔离空间中运行所述安全模式下的操作系统，通过所述操作系统运行所述安全处理程序处理所述待处理数据，得到处理结果。
18. 如权利要求17所述的方法，其特征在于，所述方法还包括：

    向所述程序运行环境传递所述处理结果，以及触发将所述主机的工作模式切换到所述非安全模式。
19. 如权利要求12至18任一项所述的方法，其特征在于，所述方法还包括：

    获取第二数据，所述第二数据包括状态信息和所述第一隔离空间中保存的数据，所述状态信息用于描述所述第一隔离环境中操作系统的运行状态和所述安全处理程序的运行状态，所述第二数据用于在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境。
20. 如权利要求19所述的方法，其特征在于，所述方法还包括：

    向所述其他主机发送所述第二数据，以在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境。
21. 如权利要求12至20任一项所述的方法，其特征在于，所述主机包括的第一隔离环境的数目为多个，所述多个第一隔离环境中的每个第一隔离环境与所述程序运行环境中的虚拟化实例一一对应。
22. 一种处理数据的装置，其特征在于，所述装置包括：

    接收单元，用于在主机切换到安全模式下，接收任务信息，所述任务信息包括虚拟化实例的标识，所述虚拟化实例是程序运行环境中的虚拟化实例，所述程序运行环境是所述主机工作在非安全模式下的环境；

    处理单元，用于根据所述任务信息创建或分配所述虚拟化实例对应的第一隔离环境，所述第一隔离环境是所述主机工作在所述安全模式下的环境，所述第一隔离环境包括在所述安全模式下的操作系统和分配给所述第一隔离环境的资源，所述资源包括第一隔离空间和处理器资源，所述第一隔离空间用于运行所述操作系统和安全处理程序，存储待处理数据，所述安全处理程序与所述虚拟化实例中的程序对应，用于处理所述待处理数据，以实现所述虚拟化实例中的所述程序的安全处理功能，所述第一隔离空间与所述程序运行环境隔离。
23. 如权利要求22所述的装置，其特征在于，所述接收单元，用于：

    接收安全监视器发送所述任务信息，所述任务信息是所述安全监视器在所述非安全模式 下获取的信息。
24. 如权利要求22或23所述的装置，其特征在于，所述任务信息还包括共享内存地址，所述处理单元，还用于：

    根据所述共享内存地址获取第一数据，所述第一数据包括所述安全运行程序和所述待处理数据，所述共享内存为所述程序运行环境和所述第一隔离环境共享的内存。
25. 如权利要求22至24任一项所述的装置，其特征在于，所述主机还包括第二隔离环境，所述第二隔离环境包括所述第一隔离环境。
26. 如权利要求22至25任一项所述的装置，其特征在于，所述处理单元，还用于：

    调整所述程序运行环境中运行的虚拟化实例对应的第一隔离环境包括的资源量，或者，释放所述程序运行环境中运行的虚拟化实例对应的第一隔离环境。
27. 如权利要求22至26任一项所述的装置，其特征在于，所述处理单元，还用于：

    在所述第一隔离空间中运行所述安全模式下的操作系统，通过所述操作系统运行所述安全处理程序处理所述待处理数据，得到处理结果。
28. 如权利要求27所述的装置，其特征在于，

    所述处理单元，还用于向所述程序运行环境传递所述处理结果，以及触发将所述主机的工作模式切换到所述非安全模式。
29. 如权利要求22至28任一项所述的装置，其特征在于，

    所述处理单元，还用于获取第二数据，所述第二数据包括状态信息和所述第一隔离空间中保存的数据，所述状态信息用于描述所述第一隔离环境中操作系统的运行状态和所述安全处理程序的运行状态，所述第二数据用于在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境。
30. 如权利要求29所述的装置，其特征在于，所述装置还包括：

    发送单元，用于向所述其他主机发送所述第二数据，以在所述其他主机上恢复所述虚拟化实例对应的第一隔离环境。
31. 如权利要求22至30任一项所述的装置，其特征在于，所述主机包括的第一隔离环境的数目为多个，所述多个第一隔离环境中的每个第一隔离环境与所述程序运行环境中的虚拟化实例一一对应。

Images