一種數據處理方法及數據處理裝置，涉及通信技術領域。方法應用于網絡設備的數據面OS，數據面OS包括非可信組件、中間組件和可信組件，非可信組件包括應用和數據面OS內核，可信組件包括可信計算基和關鍵資產組件，關鍵資產組件包括應用和數據面OS內核的用于提供安全服務的關鍵數據和/或關鍵代碼，中間組件用于可信組件與非可信組件的安全隔離，中間組件中包括第一系統指令，中間組件可以接收非可信組件發送的用于訪問可信組件的第一請求，執行第一系統指令從第一系統寄存器中獲取第一虛擬地址，根據第一虛擬地址將第一請求發送給可信組件，可信組件根據第一請求進行處理。有助于保護數據面OS的可信組件中的數據和/或代碼的完整性和私密性。

技術領域

本申請涉及通信技術領域，尤其涉及一種數據處理方法及數據處理裝置。

背景技術

目前，網絡設備包括數據面和控制面，數據面(data plane)主要完成數據的高速處理和轉發，控制面(control plane)用于控制和管理所有網絡協議的運行，提供數據面數據處理轉發前所必須的各種網絡信息和轉發查詢表項。

業內基于先進精簡指令集微處理器(advanced risc machine，ARM)，提出了圖1所示的數據面(data plane)操作系統(operating system，OS)架構。如圖1所示，數據面OS包括應用和管理應用的數據面OS內核，應用和數據面OS內核運行在同一層級(例如ARM-Av8的EL1層)，并使用同一內存管理單元(memory management unit，MMU)頁表(即運行在同一虛擬地址空間)進行管理。基于該數據面OS架構，在數據面OS運行過程中執行例如系統調用、或應用切換、或中斷處理等時，應用之間、應用與數據面OS內核之間將不存在低效的層級切換或MMU頁表切換，能夠實現高性能的數據面OS。

然而，圖1所示的數據面OS架構未設計安全隔離機制，會存在嚴重的安全隱患。如圖2所示，首先，該數據面OS可從外部網絡設備接收不可信數據，因此數據面OS會面臨廣泛的攻擊，攻擊者可從外部輸入惡意的數據來觸發漏洞，攻陷數據面OS的某個應用或者模塊。由于應用和數據面OS內核運行在同一層級，一旦單點被攻破(例如圖2中的應用2)，攻擊者就可以攻陷整個數據面OS。而數據面OS中包含一些不希望被攻擊的關鍵資產，例如圖2中應用1的關鍵資產和數據面OS內核的關鍵資產，該關鍵資產例如包括用于提供安全服務的關鍵數據和/或關鍵代碼。若數據面OS被攻陷，這些關鍵資產可能被泄露或篡改，造成極惡劣的安全影響。

因此，如何保護數據面OS的關鍵資產的完整性和私密性，仍為亟需解決的重要問題。

發明內容

本申請實施例提供一種數據處理方法及數據處理裝置，有助于保護數據面OS的關鍵資產的完整性和私密性。

第一方面，本申請實施例提供了一種數據處理方法，可以應用于網絡設備的數據面操作系統OS，所述數據面OS包括非可信組件、中間組件和可信組件，所述非可信組件包括應用和數據面OS內核，所述可信組件包括可信計算基和關鍵資產組件，所述關鍵資產組件包括所述應用和所述數據面OS內核的用于提供安全服務的關鍵數據和/或關鍵代碼，所述中間組件用于所述可信組件與所述非可信組件的安全隔離，所述中間組件中包括第一系統指令，所述第一系統指令用于從所述網絡設備的第一系統寄存器中獲取第一虛擬地址，所述第一虛擬地址用于指向所述可信組件，所述方法包括：所述中間組件接收所述非可信組件發送的第一請求，所述第一請求用于訪問所述可信組件；所述中間組件執行所述第一系統指令獲取所述第一虛擬地址，并根據所述第一虛擬地址，將所述第一請求發送給所述可信組件；所述可信組件根據所述第一請求進行處理。