一种数据处理方法及电子设备与流程

本技术涉及信息安全，具体涉及数据处理方法、装置、电子设备及存储介质。

背景技术：

1、随着互联网大数据的作用越来越重要，网络环境中的数据安全也备受关注。个人信息与数据保护作为网络环境治理体系的组成部分，也是构建良好网络秩序的重中之重。近年来出现的个人行踪记录遭售卖、信息被盗用、电商数据外泄、隐私信息刷屏等现象，表明大数据开发利用中的数据安全问题渐成隐患；拖数据、流量嗅探、数据跨主体流转安全防护等问题威胁着数据安全。因此，如何保障数据安全面临很大挑战。

2、现有技术中，通过可信鉴权机制完成服务调用方的身份认证以及针对服务调用方访问数据资源的访问控制策略验证，以确保请求是合法的正常请求，而不是非法的异常请求；并且，通过tls以及https传输层安全协议保障数据传输层的安全性。从而，可以一定程度上保护敏感数据，防止敏感数据泄露，也可以针对访问日志进行针对性的统计分析，排查追踪攻击行为。但是，应用层拖数据、流量嗅探、数据跨主体流转安全防护等仍是重大安全风险。

3、因此，如何解决应用层数据安全问题是需要解决的问题。

4、在所述背景技术部分公开的上述信息仅用于加强对本技术的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、本技术实施例提供的数据处理方法，解决了应用层数据安全风险较大的问题。

2、本技术实施例提供一种数据处理方法，应用于可信鉴权系统，包括：所述可信鉴权系统的可信统一控制面接收服务消费端发送的应用信息以及环境指纹信息；所述可信鉴权系统的可信统一控制面根据所述应用信息以及环境指纹信息生成应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；所述可信鉴权系统的可信统一控制面基于可信通道将所述应用层安全密钥发送给所述服务消费端以及所述服务提供端；其中，所述服务提供端基于所述应用层安全密钥对应用层秘密数据加密得到对应的应用层数据密文，所述服务消费端获得所述应用层数据密文后进行身份信息以及环境信息验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。

3、可选的，所述可信鉴权系统的可信统一控制面基于可信通道将所述应用层安全密钥发送给所述服务消费端以及所述服务提供端，包括：所述可信鉴权系统的可信统一控制面针对所述应用层安全密钥生成密文白盒形式的白盒数据；以及，将所述白盒数据发送给所服务消费端；所述服务消费端获得所述应用层数据密文后进行身份信息以及环境信息验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密，包括：所述服务消费端，将采集到的环境指纹信息、所述白盒数据以及所述应用层数据密文输入预设白盒算法，通过白盒检测验证后解密出所述应用层秘密数据。

4、可选的，还包括：所述可信鉴权系统的可信统一控制面根据所述应用信息以及所述环境指纹信息生成应用的应用身份信息；所述可信鉴权系统的可信统一控制面基于所述可信通道将所述应用身份信息发送给所述服务消费端；其中，所述服务消费端向服务提供端发起的可信数据请求中携带所述应用身份信息，以使所述服务提供端针对所述应用身份信息进行身份认证，并在身份认证通过后针对所述可信数据请求向所述服务消费端反馈对应的应用层数据密文。

5、可选的，还包括：所述可信鉴权系统的可信统一控制面，基于所述可信通道向所述服务提供端下发访问控制策略；其中，所述服务提供端，在身份认证通过后进行访问控制策略验证，并在访问控制策略验证通过后向所述服务消费端反馈对应的应用层数据密文。

6、可选的，还包括：接收服务消费端发送的可信数据请求；进行身份认证，身份认证通过之后进行访问控制策略验证，通过后针对所述可信数据请求反馈可信数据。

7、可选的，还包括：所述可信鉴权系统的可信统一控制面，基于所述可信通道向所述服务消费端下发针对指定数据字段的字段级别隐私保护策略；其中，所述字段级别隐私保护策略用于过滤解密得到的应用层秘密数据的字段，针对命中所述指定数据字段的字段数据进行隐私保护处理。

8、可选的，所述隐私保护处理，包括：通过字节码修改的方式修改或替换所述指定数据字段。

9、本技术实施例还提供一种数据处理方法，应用于服务消费端，包括：获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；向服务提供端发送可信数据请求，获取所述服务提供端针对所述可信数据请求反馈的基于所述应用层安全密钥加密的应用层数据密文；对所述服务消费端的身份信息以及环境信息进行验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。

10、可选的，还包括：获取所述可信鉴权系统基于可信通道发送的针对所述服务消费端的应用身份信息；在所述可信数据请求中携带将所述可信应用身份信息以及数字签名信息；其中，所述服务消费端向服务提供端发起的可信数据请求中携带所述应用身份信息，以使所述服务提供端针对所述应用身份信息进行身份认证，并在身份认证通过后针对所述可信数据请求向所述服务消费端反馈对应的应用层数据密文。

11、可选的，所述获取可信鉴权系统基于可信通道发送的应用层安全密钥，包括：采集所述服务消费端的环境指纹信息；通过密钥服务向所述可信鉴权系统的可信统一控制面上传所述服务消费端对应的应用信息以及所述环境指纹信息，并通过所述可信统一控制面拉取所述服务消费端对应的秘密文件；所述秘密文件包含密文白盒形式的白盒数据，所述白盒数据包含所述应用层安全密钥。

12、可选的，所述秘密文件包含应用层数据密文，所述应用层数据密文，基于所述应用层安全密钥对应用层秘密数据加密得到。

13、可选的，所述对所述服务消费端的身份信息以及环境信息进行验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密，包括：将所述应用层数据密文、所述白盒数据、所述环境指纹信息输入到预设白盒算法，通过所述预设白盒算法对所述服务消费端的环境信息进行白盒检测验证，验证通过后得到解密的应用层秘密数据。

14、可选的，还包括：所述服务消费端获取所述应用层秘密数据；或者，所述服务消费端直接或间接使用但不输出所述应用层秘密数据。

15、可选的，还包括：获取所述可信统一控制面下发的字段级别隐私保护策略和/或字段级别访问控策略；根据所述字段级别隐私保护策略过滤解密得到的应用层秘密数据的字段，针对命中所述字段级别隐私保护策略对应的指定数据字段的字段数据进行隐私保护处理；和/或，根据所述字段级别访问控制策略过滤解密得到的应用层秘密数据的字段，针对命中所述字段级别访问控制策略对应的指定数据字段的字段数据进行访问控制；其中，所述隐私保护处理，包括：通过字节码修改的方式修改和替换所述指定数据字段。

16、可选的，所述应用安全密钥根据环境指纹信息，用户信息和/或应用信息生成，并定期自动轮换。

17、本技术实施例还提供一种数据处理方法，应用于服务提供端，包括：获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为服务消费端与所述服务提供端之间的对称密钥；接收所述服务消费端发送的可信数据请求，针对所述可信数据请求根据所述应用层安全密钥加密应用层秘密数据得到对应的应用层数据密文；将所述应用层数据密文发送给所述服务消费端。

18、可选的，所述可信数据请求携带所述服务消费端的应用身份信息；所述针对所述可信数据请求根据所述应用层安全密钥加密应用层秘密数据得到对应的应用层数据密文，包括：针对所述应用身份信息进行身份认证；在身份认证通过后根据所述可信数据请求以及所述应用层安全密钥生成所述应用层数据密文。

19、可选的，还包括：获取所述可信鉴权系统基于所述可信通道发送的访问控制策略；身份认证通过之后进行访问控制策略验证；访问控制策略验证通过后针对所述可信数据请求生成所述应用层数据密文。

20、可选的：通过开关以及所述服务消费端的版本信息控制是否对应用层秘密数据加密。

21、本技术实施例还提供一种数据处理装置，包括：设备信息获取单元，用于所述可信鉴权系统的可信统一控制面接收服务消费端发送的应用信息以及环境指纹信息；密钥生成单元，用于所述可信鉴权系统的可信统一控制面根据所述应用信息以及环境指纹信息生成应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；密钥下发单元，所述可信鉴权系统的可信统一控制面基于可信通道将所述应用层安全密钥发送给所述服务消费端以及所述服务提供端；其中，所述服务提供端基于所述应用层安全密钥对应用层秘密数据加密得到对应的应用层数据密文，所述服务消费端获得所述应用层数据密文后进行身份信息以及环境信息验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。

22、本技术实施例还提供一种数据处理装置，包括：密钥获取单元，用于获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；调用请求单元，用于向服务提供端发送可信数据请求，获取所述服务提供端针对所述可信数据请求反馈的基于所述应用层安全密钥加密的应用层数据密文；解密单元，用于对所述服务消费端的身份信息以及环境信息进行验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。

23、本技术实施例还提供一种数据处理装置，包括：密钥获取单元，用于获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为服务消费端与所述服务提供端之间的对称密钥；加密单元，用于接收所述服务消费端发送的可信数据请求，针对所述可信数据请求根据所述应用层安全密钥加密应用层秘密数据得到对应的应用层数据密文；响应单元，用于将所述应用层数据密文发送给所述服务消费端。

24、本技术实施例还提供一种电子设备，包括：存储器，以及处理器；所述存储器用于存储计算机程序，所述计算机程序被所述处理器运行后，执行本技术实施例提供的所述方法。

25、本技术实施例还提供一种计算机存储介质，存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现本技术实施例提供的所述方法。

26、与现有技术相比，本技术具有以下优点：

27、本技术实施例提供的一种数据处理方法、装置、电子设备及存储介质，所述方法应用于可信鉴权系统，通过所述可信鉴权系统的可信统一控制面接收服务消费端发送的应用信息以及环境指纹信息；所述的可信统一控制面根据所述应用信息以及环境指纹信息生成应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；所述可信鉴权系统的可信统一控制面基于可信通道将所述应用层安全密钥发送给所述服务消费端以及所述服务提供端；其中，所述服务提供端基于所述应用层安全密钥对应用层秘密数据加密得到对应的应用层数据密文，所述服务消费端获得所述应用层数据密文后进行身份信息以及环境信息验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。通过应用层安全密钥对服务消费端与服务提供端之间进行应用层数据加密传输，在应用层构建安全可信的数据加密传输通道，从而解决应用层拖数据、流量嗅探、数据跨主体流转安全防护等数据安全问题。并且，将身份信息与环境绑定，提高了数据安全水位。进一步，还通过字段级别隐私保护策略实现应用层字段级隐私保护。

28、本技术实施例提供的另一种数据处理方法、装置、电子设备及存储介质，所述方法应用于服务消费端，通过获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为所述服务消费端与服务提供端之间的对称密钥；向服务提供端发送可信数据请求，获取所述服务提供端针对所述可信数据请求反馈的基于所述应用层安全密钥加密的应用层数据密文；对所述服务消费端的身份信息以及环境信息进行验证，验证通过之后根据所述应用层安全密钥对所述应用层数据密文解密。通过应用层安全密钥对服务消费端与服务提供端之间进行应用层数据加密传输，在应用层构建安全可信的数据加密传输通道，从而解决应用层拖数据、流量嗅探、数据跨主体流转安全防护等数据安全问题。进一步，还通过字段级别隐私保护策略实现应用层字段级隐私保护。

29、本技术实施例提供的另一种数据处理方法、装置、电子设备及存储介质，所述方法应用于服务提供端，通过获取可信鉴权系统基于可信通道发送的应用层安全密钥；其中，所述应用层安全密钥为服务消费端与所述服务提供端之间的对称密钥；接收所述服务消费端发送的可信数据请求，针对所述可信数据请求根据所述应用层安全密钥加密应用层秘密数据得到对应的应用层数据密文；将所述应用层数据密文发送给所述服务消费端。通过应用层安全密钥对服务消费端与服务提供端之间进行应用层数据加密传输，在应用层构建安全可信的数据加密传输通道，从而解决应用层拖数据、流量嗅探、数据跨主体流转安全防护等数据安全问题。进一步将身份信息与环境绑定验证，提高了数据安全水位。