数据处理方法和装置及系统与流程

本发明涉及信息安全领域，具体而言，涉及一种数据处理方法和装置及系统。

背景技术

数据的安全保存一直就是很多公司所关注的问题，由于一次删除的文件很有可能被数据恢复得到原数据，因而现有的技术方案中，对于保存在客户端的数据进行安全清除时，采取的方法大多是删除后覆盖写，然后多次循环该操作，以降低数据被恢复的概率。

按照现有技术方案，通过多次循环删除后覆盖写的操作，理论上循环次数越多，数据被恢复的可能性越小，但是次数越多就会导致数据清除的性能降低，特别是对于比较大的文件。如果客户端数量比较多时，要安全清除一份数据，就需要在每个客户端都要执行相同的操作，工作量巨大。而且该技术方案的安全性也无法从理论角度进行验证。

针对相关技术中数据清除方法效率低的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明的主要目的在于提供一种数据处理方法和装置及系统，以解决数据清除方法效率低的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种数据处理方法，该方法包括：获取待发送到客户端的明文数据和为所述明文数据分配的id；通过所述分配的id对应的密钥为所述待发送到客户端的明文数据进行加密，得到加密数据；将所述加密数据发送到所述客户端。

进一步地，在将所述加密数据发送到所述客户端之后，所述方法还包括：接收所述客户端发送的查询请求，其中，所述查询请求中携带有所述加密数据的id；根据所述加密数据的id查询对应的密钥；将所述加密数据的id对应的密钥发送到所述客户端。

进一步地，将所述加密数据的id对应的密钥发送到所述客户端包括：根据预设的加密规则对所述加密数据的id对应的密钥进行加密，得到加密后的密钥；发送所述加密后的密钥到所述客户端。

进一步地，将所述加密数据发送到所述客户端之后，所述方法还包括：在所述加密数据符合数据清除条件的情况下，将所述加密数据的id对应的密钥删除。

为了实现上述目的，根据本发明的一个方面，提供了一种数据处理方法，该方法包括：接收加密数据；对所述加密数据进行解析，得到所述加密数据的id值；根据所述加密数据的id值向服务器查询对应的密钥；基于所述密钥在内存中对所述加密数据进行解密，得到解密后的明文数据。

进一步地，在得到解密后的明文数据之后，所述方法还包括：在所述明文数据使用完成之后，将所述明文数据从内存中删除。

进一步地，在根据所述加密数据的id值向服务器查询对应的密钥包括：根据所述加密数据的id值向服务器查询得到加密后的密钥；根据预设的加密规则对所述加密后的密钥进行解密，得到明文密钥；其中，基于所述明文密钥在内存中对所述加密数据进行解密。

为了实现上述目的，根据本发明的另一方面，还提供了一种数据处理系统，该系统包括服务器，获取待发送到客户端的明文数据和为所述明文数据分配的id；通过所述分配的id对应的密钥为所述待发送到客户端的明文数据进行加密，得到加密数据；将所述加密数据发送到所述客户端，客户端，用于接收加密数据；对所述加密数据进行解析，得到所述加密数据的id值；根据所述加密数据的id值向服务器查询对应的密钥；基于所述密钥在内存中对所述加密数据进行解密，得到解密后的明文数据。

为了实现上述目的，根据本发明的另一方面，还提供了一种数据处理装置，该装置包括：获取单元，用于获取待发送到客户端的明文数据和为所述明文数据分配的id；加密单元，用于通过所述分配的id对应的密钥为所述待发送到客户端的明文数据进行加密，得到加密数据；发送单元，用于将所述加密数据发送到所述客户端。

为了实现上述目的，根据本发明的另一方面，还提供了一种数据处理装置，该装置包括：接收单元，用于接收加密数据；解析单元，用于对所述加密数据进行解析，得到所述加密数据的id值；查询单元，用于根据所述加密数据的id值向服务器查询对应的密钥；解密单元，用于基于所述密钥在内存中对所述加密数据进行解密，得到解密后的明文数据。

为了实现上述目的，根据本发明的另一方面，还提供了一种存储介质，包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备本发明所述的数据处理方法。

为了实现上述目的，根据本发明的另一方面，还提供了一种处理器，用于运行程序，其中，所述程序运行时执行本发明所述的数据处理方法。

本发明通过获取待发送到客户端的明文数据和为明文数据分配的id；通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；将加密数据发送到客户端，解决了数据清除方法效率低的问题，进而达到了提高数据清除方法的效率的效果。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的数据处理系统的示意图；

图2是根据本发明第一实施例的数据处理方法的流程图；

图3是根据本发明第二实施例的数据处理方法的流程图；

图4是根据本发明第一实施例的数据处理装置的示意图；以及

图5是根据本发明第二实施例的数据处理装置的示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例提供了一种数据处理系统。

图1是根据本发明实施例的数据处理系统的示意图，如图1所示，该系统包括服务器和客户端。

服务器01，获取待发送到客户端的明文数据和为明文数据分配的id；通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；将加密数据发送到客户端，

客户端02，用于接收加密数据；对加密数据进行解析，得到加密数据的id值；根据加密数据的id值向服务器查询对应的密钥；基于密钥在内存中对加密数据进行解密，得到解密后的明文数据。

服务器将数据下发到客户端前，要将明文数据进行加密得到加密数据，加密过程中采用的加密方法：首先为明文数据分配id，然后根据明文数据的id对应的密钥为该明文数据进行加密，id和密钥可以是预先绑定存储的，也可以是根据明文数据临时生成和分配的，根据id可以查询到该id对应的密钥，以对加密数据进行解密。数据加密后发送到客户端。

客户端接收到加密数据之后，从加密数据中可以解析出id，根据id向服务器查询对应的密钥，得到密钥后直接在内存中对加密数据进行解密，得到解密后的明文数据，由于是直接在内存中解密，这样，在明文数据使用完成之后，可以直接删除文件，删除后数据无法恢复，即使数据被恢复，由于是加密数据，只能恢复到密文数据，无法获得密钥，也不能对该密文数据进行识别，因而可以仅将数据删除，无需再进行额外的擦除操作即可实现数据的安全清除，相比于现有技术中的数据清除方法，提高了数据清除的效率。

在本发明实施例中，整个系统可以分为三部分，两个服务器和客户端，服务器可以包括密钥管理服务器和数据服务器，两个服务器可以集中到一个服务器中，也可以作为两个独立的服务器，其中，密钥管理服务器负责管理密钥相关的数据，数据服务器首先调用密钥管理服务器生成一个密钥和一个唯一的id值，该密钥和id值保存在密钥管理服务器，其中密钥是密文保存，然后数据服务器使用该密钥对下发的数据进行加密，再将密文数据和id值下发给客户端，客户端收到密文数据后保存。

客户端要使用保存的数据时，首先根据密文数据对应的id值从密钥管理服务器获取该密文数据对应的密钥，然后使用该密钥在内存中对密文数据进行解密得到明文数据，使用完之后直接从内存在删除。

在需要对客户端的数据进行安全清除时(例如，每隔一段时间进行数据清除)，只需要在数据服务器根据该数据对应的id调用密钥管理服务器将该id对应的密钥删除即可。由于密钥被删除，因此客户端存储的密文数据将无法被解密，从而达到数据安全清除的目的。

本发明实施例提供了一种数据处理方法。

图2是根据本发明第一实施例的数据处理方法的流程图，如图2所示，该方法包括以下步骤：

步骤s102：获取待发送到客户端的明文数据和为明文数据分配的id；

步骤s104：通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；

步骤s106：将加密数据发送到客户端。

该实施例采用获取待发送到客户端的明文数据和为明文数据分配的id；通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；将加密数据发送到客户端，解决了数据清除方法效率低的问题，进而达到了提高数据清除方法的效率的效果。

本发明实施例的技术方案是服务器执行的，在本发明实施例中，服务器获取将数据下发到客户端前，要将明文数据进行加密得到加密数据，加密过程中采用的加密方法：首先为明文数据分配id，然后根据明文数据的id对应的密钥为该明文数据进行加密，id和密钥可以是预先绑定存储的，也可以是根据明文数据临时生成和分配的，根据id可以查询到该id对应的密钥，以对加密数据进行解密。数据加密后发送到客户端。

客户端接收到加密数据之后，从加密数据中可以解析出id，根据id向服务器查询对应的密钥，得到密钥后直接在内存中对加密数据进行解密，得到解密后的明文数据，由于是直接在内存中解密，这样，在明文数据使用完成之后，可以直接删除文件，删除后数据无法恢复，即使数据被恢复，由于是加密数据，只能恢复到密文数据，无法获得密钥，也不能对该密文数据进行识别，因而可以仅将数据删除，无需再进行额外的擦除操作即可实现数据的安全清除。

可选地，在将加密数据发送到客户端之后，接收客户端发送的查询请求，其中，查询请求中携带有加密数据的id；根据加密数据的id查询对应的密钥；将加密数据的id对应的密钥发送到客户端。

可选地，将加密数据的id对应的密钥发送到客户端包括：根据预设的加密规则对加密数据的id对应的密钥进行加密，得到加密后的密钥；发送加密后的密钥到客户端。

客户端根据加密数据中解析得到的id查询服务器中存储的与该id对应的密钥，然后将该密钥发送到客户端，客户端用于根据密钥对加密数据进行解密。作为一种优选方式，密钥的本身也是加密保存和传输的，密钥的加密规则是服务器和客户端都知晓的，例如，根据预设号的规则加密，传输过程中即使密钥被窃取到，窃取者也无法知晓密钥本身是什么内容，不能用来对客户端的数据进行解密，可以进一步增加数据的安全性，也有利于数据的安全清除。

可选地，将加密数据发送到客户端之后，在加密数据符合数据清除条件的情况下，将加密数据的id对应的密钥删除。

数据清除条件可以是预先设置好的条件，例如，时间条件或数量条件，每隔一定时间将数据清除，每积累到一定的数量将数据清除，对于客户端来说，数据清除可以是在数据使用完成后即清除。数据清除条件可以根据具体应用场景进行调整。

图3是根据本发明第二实施例的数据处理方法的流程图，如图3所示，该数据处理方法包括：

步骤s202：接收加密数据；

步骤s204：对加密数据进行解析，得到加密数据的id值；

步骤s206：根据加密数据的id值向服务器查询对应的密钥；

步骤s208：基于密钥在内存中对加密数据进行解密，得到解密后的明文数据。

该实施例采用接收加密数据；对所述加密数据进行解析，得到所述加密数据的id值；根据所述加密数据的id值向服务器查询对应的密钥；基于所述密钥在内存中对所述加密数据进行解密，得到解密后的明文数据，解决了数据清除方法效率低的问题，进而达到了提高数据清除方法的效率的效果。

本发明实施例的技术方案是客户端执行的，在本发明实施例中，客户端接收到加密数据之后，从加密数据中可以解析出id，根据id向服务器查询对应的密钥，得到密钥后直接在内存中对加密数据进行解密，得到解密后的明文数据，由于是直接在内存中解密，这样，在明文数据使用完成之后，可以直接删除文件，删除后数据无法恢复，即使数据被恢复，由于是加密数据，只能恢复到密文数据，无法获得密钥，也不能对该密文数据进行识别，因而可以仅将数据删除，无需再进行额外的擦除操作即可实现数据的安全清除，相比于现有技术中的数据清除方法，提高了数据清除的效率。

可选地，在得到解密后的明文数据之后，在明文数据使用完成之后，将明文数据从内存中删除。数据的解密是在客户端的内存中完成的，在数据解密使用之后即可从内存中删除，由于整个过程是在内存中的，数据无法被恢复，由于内存里的文件无法被恢复，相比于相关技术中的将文件保存在缓存中，更能够起到对数据的保护作用，在数据清除时，也可以直接删除无需多次擦除，提高了数据清除效率。

可选地，在根据加密数据的id值向服务器查询对应的密钥包括：根据加密数据的id值向服务器查询得到加密后的密钥；根据预设的加密规则对加密后的密钥进行解密，得到明文密钥；其中，基于明文密钥在内存中对加密数据进行解密。

密钥本身也是加密的，密钥的传输过程也是加密的，客户端得到加密后的密钥后将密钥解密，得到密钥，再用密钥对加密数据进行解密，提高密钥传输的安全性。

需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例提供了一种数据处理装置，该装置可以用于执行本发明实施例的数据处理方法。

图4是根据本发明第一实施例的数据处理装置的示意图，如图4所示，该装置包括：

获取单元10，用于获取待发送到客户端的明文数据和为明文数据分配的id；

加密单元20，用于通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；

发送单元30，用于将加密数据发送到客户端。

该实施例采用获取单元10，用于获取待发送到客户端的明文数据和为明文数据分配的id；加密单元20，用于通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；发送单元30，用于将加密数据发送到客户端，从而解决了数据清除方法效率低的问题，进而达到了提高数据清除方法的效率的效果。

图5是根据本发明第二实施例的数据处理装置的示意图，如图5所示，该装置包括：

接收单元40，用于接收加密数据；

解析单元50，用于对加密数据进行解析，得到加密数据的id值；

查询单元60，用于根据加密数据的id值向服务器查询对应的密钥；

解密单元70，用于基于密钥在内存中对加密数据进行解密，得到解密后的明文数据。

该实施例采用接收单元40，用于接收加密数据；解析单元50，用于对加密数据进行解析，得到加密数据的id值；查询单元60，用于根据加密数据的id值向服务器查询对应的密钥；解密单元70，用于基于密钥在内存中对加密数据进行解密，得到解密后的明文数据，从而解决了数据清除方法效率低的问题，进而达到了提高数据清除方法的效率的效果。

所述数据处理装置包括处理器和存储器，上述获取单元、加密单元、发送单元、接收单元和解析单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来提高数据清除方法的效率。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)，存储器包括至少一个存储芯片。

本发明实施例提供了一种存储介质，其上存储有程序，该程序被处理器执行时实现所述数据处理方法。

本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述数据处理方法。

本发明实施例提供了一种设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：获取待发送到客户端的明文数据和为明文数据分配的id；通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；将加密数据发送到客户端。本文中的设备可以是服务器、pc、pad、手机等。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：获取待发送到客户端的明文数据和为明文数据分配的id；通过分配的id对应的密钥为待发送到客户端的明文数据进行加密，得到加密数据；将加密数据发送到客户端。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。