一种基于隐私数据外发的管控方法及装置与流程

本说明书涉及信息安全
技术领域：
，尤其涉及一种基于隐私数据外发的管控方法及装置。
背景技术：
：小程序技术可以让用户在平台型应用上直接使用其他应用的服务，而无需下载其他应用，其中，其他应用以小程序的形式依托在该平台型应用上，可以享有该平台型应用上的用户。小程序在运行过程中需要调用用户的数据进行业务处理，其中用户的数据既包括一些常规数据，也包括一些对于用户来说价值很大的数据，例如用户的隐私数据。由于各个小程序获取的是平台型应用上的用户隐私数据，因此，对于平台型应用而言，如果不对小程序获取隐私数据的行为加以管控，无疑会产生严重的安全隐患。技术实现要素：针对上述技术问题，本说明书提供一种基于隐私数据外发的管控方法及装置，技术方案如下：根据本说明书的第一方面，提供一种基于隐私数据外发的管控方法，应用于平台型应用客户端，预先配置数据加工模块以及各小程序的外发权限；所述数据加工模块用于被小程序调用以对数据进行加工，且该加工模块无法加工数据中的特定信息；所述方法包括：在检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；所述特定信息至少包括该隐私数据的种类；将携带特定信息的隐私数据提供给该小程序；对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。根据本说明书的第二方面，提供一种基于隐私数据外发的管控装置，应用于平台型应用客户端，预先配置数据加工模块以及各小程序的外发权限；所述数据加工模块用于被小程序调用以对数据进行加工，且该加工模块无法加工数据中的特定信息；所述方法包括：特定信息添加模块，用于在检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；所述特定信息至少包括该隐私数据的种类；将携带特定信息的隐私数据提供给该小程序；特定信息检测模块，用于对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；外发行为管控模块，用于在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。采用上述方案，在接口处检测到隐私数据被获取时，可以对隐私数据进行处理，使其携带特定信息，由于预先配置了加工模块，使该加工模块无法加工特定信息，因此，即使小程序通过接口获取了隐私数据之后，调用了该加工模块对获取的隐私数据进行加工，也无法加工其中的特定信息。进而在网络出口处对小程序外发的数据进行拦截后，可以从该数据中检测到特定信息，在检测出来后，即可以根据该小程序的外发权限对该小程序的外发行为进行管控，保证了用户的隐私数据的安全。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。附图说明为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本说明书实施例的一种平台型应用与小程序的网络架构示意图；图2是本说明书实施例的一种隐私数据外发的管控方法的流程示意图；图3是本说明书实施例的另一种隐私数据外发的管控方法的流程示意图；图4是本说明书实施例的一种隐私数据外发的管控装置结构示意图；图5是本说明书实施例的另一种隐私数据外发的管控装置结构示意图；图6是用于配置本说明书实施例装置的一种设备的结构示意图。具体实施方式为了使本领域技术人员更好地理解本说明书实施例中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本说明书的一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于保护的范围。在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。平台型应用通常是指具有海量用户的平台，其他应用为了拓展业务或增加用户基数，通常会与平台型应用进行合作，以小程序的形式依托在该平台型应用上，享有该平台型应用的用户群体。小程序可以视为具有轻量运行数据的应用，为了减少小程序的数据开发量和数据维护量，平台型应用通常会将自身的一些复杂功能提供给各个小程序使用，即各个小程序无需在本地配置复杂的功能，可以通过平台型应用提供的接口调用平台型应用提供的复杂功能。同时，小程序在运行过程中，需要调用用户的数据进行业务处理，由于用户是平台型应用的用户，因此小程序也需要通过平台型应用提供的接口，获取用户的数据，其中，用户的数据既包括一些常规数据，也包括一些对于用户来说价值很大的数据，例如用户的隐私数据。因此，平台型应用作为管理方，如果不对各个小程序调用用户隐私数据的行为进行管控，无疑会产生严重的安全隐患。平台型应用客户端和小程序的架构示意图如图1所示，平台型应用上通常依托着多个小程序，平台型应用客户端通常负责管理用户的隐私数据，其中用户的隐私数据包括用户的位置信息、通讯录信息、设备信息、账户信息、交易信息等等。小程序通过平台型应用提供的接口调用用户的隐私数据，并且需要通过平台型应用提供的外发出口外发数据。目前，平台型应用对小程序获取用户隐私数据的管控方式为：允许用户自行设置小程序的权限，例如，在用户初次使用小程序时，以对话框的形式弹出提示信息，提示用户设置该小程序获取隐私数据的权限，例如，弹出包括“是否允许xx小程序访问通讯录”、“是否允许xx小程序访问地理位置”等提示信息，根据用户的操作，生成该小程序的权限。例如，对于“是否允许xx小程序访问通讯录”这一提示信息，用户选择“是”。则针对该小程序生成一条可以访问通信录的权限信息。在生成了小程序的权限后，即可以根据小程序的权限对小程序的隐私数据外发行为进行管控。在配置好权限后，在小程序与小程序服务端建立连接的网络出口，检测该小程序是否向该小程序服务端传输了隐私数据，进一步根据预先生成的该小程序的权限判断该小程序是否拥有调用该隐私数据的权限，进而做到对小程序获取隐私数据的管控。但是，这种方式存在的问题为：小程序在获取到隐私数据后，如果调用平台型应用的加工模块对获取的隐私数据进行进一步加工，例如对于隐私数据进行编码、拆分、混淆、加密等操作，然后将处理后的隐私数据再通过网络出口传输给该恶意小程序服务器，在网络出口处则无法检测出该隐私数据，进而就造成了隐私数据的泄露。针对以上问题，本说明书提出：预先配置小程序需要用来调用对数据进行加工的加工模块以及各小程序的外发权限，该加工模块用于被小程序调用以对数据进行加工，且该加工模块无法加工数据中的特定信息；在接口处检测到小程序通过调用隐私数据时，对隐私数据进行处理，以使隐私数据携带特定信息；在网络出口对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息，如果包含则进一步根据该小程序的外发权限，确定是否禁止该小程序本次外发数据。结合上述说明，本说明书提出了一种基于隐私数据外发的管控方法，该方法应用于平台型应用客户端，该方法具体为：预先配置数据加工模块以及各小程序的外发权限；结合上述图1以及上述说明可知，由于小程序通常是通过平台型应用提供复杂功能进行数据加工，因此，可以预先配置可以被小程序用来调用的加工模块，该加工模型可以被小程序调用执行数据加工功能，例如复杂的编码、拆分、混淆、加密等加工功能，配置后的加工模块，无法加工数据中的特定信息。另外，如果原本存在加工模块，则可以对原本已存在的加工模型进行调整，以使该加工模型无法加工数据中的特定信息。另外，也要预先配置各个小程序的外发权限，任一小程序的外发权限，用于描述该小程序是否具体外发各种隐私数据的权限。外发权限，可以是根据用户的输入进行配置，也可以在小程序入驻平台型应用时，根据小程序的基本功能，确定该小程序需要获取哪些用户的隐私数据，根据确定的信息，自动生成该小程序的外发权限。例如，以打车小程序为例，该打车小程序在执行业务处理时需要获取用户的位置信息以及账户信息，则可以根据确定的信息生成该打车小程序的外发权限，生成的外发权限可以如表1所示：隐私数据种类是否允许外发位置信息是账户信息是表1上述例子中，自动生成的外发权限中仅包括了允许该小程序外发的隐私数据种类，当然还可以是生成包括禁止该小程序外发的隐私数据种类的外发权限。本说明书对此不进行限定。在预先配置好各个小程序的外发权限以及加工模块后，即可以使用调用权限对目标小程序获取用户隐私数据的行为进行管控：本说明书的管控方法主要体现在两方面，结合上述图1，一方面在接口对隐私数据进行处理：检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；该特定信息包括该隐私数据的种类；处理完成后，即可以将携带特定信息的隐私数据提供给该小程序；本步骤中，由于小程序需要调用接口获取隐私数据，因此可以在接口处对所有被小程序获取的隐私数据都进行处理，以使隐私数据携带特定信息，该特定信息可以是用于标记该隐私数据的种类的标识。其中，可以是采用数据染色技术对隐私信息进行处理以添加特定信息，添加的特定信息无法被小程序感知或识别，因此并不会影响到小程序对于隐私数据的正常使用。在一个实施例中，可以是在隐私数据的字段最后增加不可见字符，该不可见字符用于标识该隐私数据的种类。通过上述方式，可以在开放给小程序获取隐私数据的接口处，对所有将要被小程序获取的隐私数据进行处理，以使小程序携带特定信息，并将携带有特定信息的隐私数据提供给小程序。另一方面，在网络出口处执行图2所示的管控方法：s201，对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；本步骤中，可以对所有小程序的外发数据都进行拦截，在拦截后进一步确定该外发数据中是否具有特定信息，其中，在特定信息为不可见字符时，可以对外发数据进行处理，以显示该外发数据中的不可见字符，然后基于处理后的外发数据，确定是否包含特定信息。可以理解的是在本步骤中仅是检测外发数据中是否存在特定信息，对于小程序外发的其他小程序的业务数据并不进行获取，即并不获知其他业务数据的具体内容，保证了小程序业务数据的隐私。在外发数据不包含特定信息的情况下，可以直接对该外发数据进行放行，即允许该小程序本次外发数据。在该外发数据包含特定信息的情况下，执行s202。s202，在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。在该外发数据包含特定信息，则可以获取确定该特定信息中的隐私数据的种类，由于预先配置了小程序的外发权限，因此可以根据外发权限确定是否禁止该小程序本次外发数据。以上述表1示出的外发权限为例，如果确定外发数据中包含的特定信息中，记录的隐私数据的种类为“位置信息”，则确定该小程序拥有外发该种位置信息的权限，因此可以允许该小程序本次外发数据。如果确定外发数据中包含的特定信息中，记录的隐私数据的种类为“通讯录数据”，则确定该小程序不具有外发通讯录数据的权限，则禁止该小程序本次外发数据。如图3所示，上述s201-s202的过程可以具体为：s301，确定外发数据中是否存在特定信息；如果是则执行s303，如果否，则执行s302。s302，在外发数据中不存在特定信息的情况下，说明外发数据中不存在隐私数据，因此可以允许该小程序本次外发数据。s303，在外发数据中存在特定信息的情况下，确定该小程序是否具有本次外发数据的权限；具体可以是根据该特征信息中包含的隐私数据的种类以及该小程序的外发权限进行确定，具体可以参照上述s202的描述。在确定具有权限的情况下，执行s302。在确定不具有权限的情况下，执行s304。s304，禁止该小程序本次外发数据。采用上述方案，在接口处检测到隐私数据被获取时，可以对隐私数据进行处理，使其携带特定信息，由于预先配置了加工模块，使该加工模块无法加工特定信息，因此，即使小程序通过接口获取了隐私数据之后，调用了该加工模块对获取的隐私数据进行加工，也无法加工其中的特定信息。进而在网络出口处对小程序外发的数据进行拦截后，可以从该数据中检测到特定信息，在检测出来后，即可以根据该小程序的外发权限对该小程序的外发行为进行管控，保证了用户的隐私数据的安全。考虑到有些恶意小程序会通过一些技术手段，将自身的身份进行隐藏，使平台型应用客户端在外发出口处无法检测出小程序的身份，进而无法根据该小程序的外发权限对其外发行为进行管控。为了解决上述问题，在接口处对隐私数据进行处理时，还可以在特定信息中添加该隐私数据的获取方，即获取该隐私数据的小程序的标识。相应的，在s202中，从特定信息中既可以获取隐私数据的种类，又可以获取该隐私数据的获取方标识，即获取该隐私数据的小程序标识，基于所述特定信息中的隐私数据的种类、小程序的标识、以及预先配置的该小程序标识对应的外发权限，确定是否禁止该小程序本次外发数据。采用上述方案，在接口处将隐私数据的获取方，即小程序的标识也添加到特定信息中，可以有效避免恶意小程序采用相关技术手段，对自己的身份进行隐藏逃避外发管控的情况，提高了隐私数据的安全性。在一个实施例中，平台型应用服务端可以在小程序的基本功能更新后，根据基本功能更新内容更新该小程序的外发权限。并将更新信息发送给平台型应用客户端，以使平台型应用客户端利用该更新信息，更新本地存储的小程序的外发权限，该更新信息可以用于指示何种小程序新增或删除对于某种隐私数据的外发权限。仍以打车小程序为例，例如该打车小程序新增了“添加紧急联系人”的基本功能，则可以相应的在该打车小程序的外发权限中新增允许外发通讯录信息的权限。或者在小程序关闭了某些基本功能后，则可以相应的删除允许该小程序对于某些隐私数据的外发权限。上述方式实现了小程序外发权限的动态更新，进而平台型应用客户端可以根据该动态更新的外发权限对小程序的外发行为进行管控。另外，考虑到平台型应用客户端本地的处理性能可能较差，因此，s202中的部分功能也可以由平台型应用服务端执行，即平台型应用客户端可以在确定该外发数据中包含特定信息的情况下，将特定信息中包含的隐私数据的种类、该小程序的标识上传直至平台型应用服务端，以使平台型应用服务端基于该隐私数据的种类、以及预先配置的该小程序的外发权限，生成外发控制指令；接收该外发控制指令，并基于该指令确定是否禁止该小程序外发该隐私数据。其中，平台型应用服务端也可以按照上述s202中的方式，确定是否禁止该小程序外发该隐私数据，并基于确定结果生成外发控制指令，并下发至客户端。采用本方式，不需要将外发权限和主要的外发权限管控功能部署在客户端，而是部署在服务端，减小了平台型应用客户端的压力。如图4所示，与前述一种基于隐私数据外发的管控方法相对应，本说明书还提供了一种基于隐私数据外发的管控装置，应用于平台型应用客户端，预先配置数据加工模块以及各小程序的外发权限；所述数据加工模块用于被小程序调用以对数据进行加工，且该加工模块无法加工数据中的特定信息；所述装置包括：特定信息添加模块410，用于在检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；所述特定信息至少包括该隐私数据的种类；将携带特定信息的隐私数据提供给该小程序；特定信息检测模块420，用于对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；外发行为管控模块430，用于在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。在一个实施例中，所述特定信息添加模块410，具体用于对该隐私数据增加不可见字符，所述不可见字符用于标识该隐私数据的种类；所述特定信息检测模块420，具体用于对外发数据进行处理，以显示该外发数据中的不可见字符；基于处理后的外发数据，确定是否包含特定信息。如图5所示，在一个实施例中，所述装置还包括外发权限更新模块440，用于利用从平台型应用服务端接收的更新信息，更新本地存储的小程序的外发权限。在一个实施例中，所述外发行为管控模块430，具体用于若确定该小程序不具有外发该种隐私数据的权限，则禁止该小程序外发该隐私数据。在一个实施例中，所述外发行为管控模块430，具体用于将所述特定信息中包含的隐私数据的种类、该小程序的标识上传直至平台型应用服务端，以使平台型应用服务端基于该隐私数据的种类、以及预先配置的该小程序的外发权限，生成外发控制指令；接收该外发控制指令，并基于该指令确定是否禁止该小程序本次外发数据。在一个实施例中，所述特定信息还包括获取该隐私数据的小程序的标识；所述外发行为管控模块430，具体用于在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类和小程序的标识、以及预先配置的该小程序标识对应的外发权限，确定是否禁止该小程序本次外发数据。上述设备中各个部件的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现前述的方法。该方法至少包括：在检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；所述特定信息至少包括该隐私数据的种类；将携带特定信息的隐私数据提供给该小程序；对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。图6示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。处理器1010可以采用通用的cpu(centralprocessingunit，中央处理器)、微处理器、应用专用集成电路(应用licationspecificintegratedcircuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。存储器1020可以采用rom(readonlymemory，只读存储器)、ram(randomaccessmemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述的方法。该方法至少包括：在检测到小程序发送隐私数据获取请求时，对该小程序所要获取的隐私数据进行处理，以使该隐私数据携带特定信息；所述特定信息至少包括该隐私数据的种类；将携带特定信息的隐私数据提供给该小程序；对小程序的外发数据进行拦截并确定该外发数据中是否包含特定信息；在该外发数据包含特定信息的情况下，基于所述特定信息中的隐私数据的种类、以及预先配置的该小程序的外发权限，确定是否禁止该小程序本次外发数据。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护范围。当前第1页12