数据处理方法、系统及电子设备与流程

本发明涉及计算机技术领域，尤其涉及一种数据处理方法、系统及电子设备。

背景技术：

智能影像管理服务，为影像数据的终端厂商、个人设备厂商等，提供一站式影像数据的存储、管理和智能分析平台，其典型功能包括内容分析和检索能力、完整智能内容管理能力(例如照片人脸分组)和实时内容处理加工能力(例如ppt等格式转换)。

现有技术中，为了提供丰富的功能，该智能影像管理服务通常会引入业界领先厂家的软件(即第三方软件)能力。

发明人在实现本发明的过程中，发现现有技术至少存在如下缺陷：引入的第三方软件可能会在运行期间把数据写入外部，带来数据隐私泄露的问题。

技术实现要素：

本发明实施例提供一种数据处理方法、系统及电子设备，以避免出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

一方面，本发明实施例提供一种数据处理方法，包括：部署在专有网络vpc内的软件模块发起写数据请求，所述写数据请求中包括待写入云服务平台中的数据和待访问的资源；所述专有网络vpc根据预设的安全组策略，将所述写数据请求发送至对应的安全隧道；所述安全隧道根据白名单列表和所述待访问的资源，将所述写数据请求发送至云服务平台中，所述白名单列表中包括允许访问的云服务平台中的资源。

另一方面，本发明实施例还提供一种数据处理系统，包括：专有网络vpc、安全隧道和云服务平台，所述专有网络vpc中部署有软件模块；所述软件模块，用于发起写数据请求，所述写数据请求中包括待写入云服务平台中的数据和待访问的资源；所述专有网络vpc，用于根据预设的安全组策略，将所述写数据请求发送至对应的所述安全隧道；所述安全隧道，用于根据白名单列表和所述待访问的资源，将所述写数据请求发送至所述云服务平台中，所述白名单列表中包括允许访问的云服务平台中的资源。

另一方面，本发明实施例还提供一种电子设备，包括：存储器，用于存储程序；处理器，耦合至所述存储器，用于执行所述程序，以用于：控制部署在专有网络vpc内的软件模块发起写数据请求，所述写数据请求中包括待写入云服务平台中的数据和待访问的资源；控制所述专有网络vpc根据预设的安全组策略，将所述写数据请求发送至对应的安全隧道；控制所述安全隧道根据白名单列表和所述待访问的资源，将所述写数据请求发送至云服务平台中，所述白名单列表中包括允许访问的云服务平台中的资源。

本发明实施例提供的数据处理方法、系统及电子设备，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1为本发明实施例提供的数据处理方法的部署架构图；

图2为本发明提供的数据处理方法一个实施例的流程示意图；

图3为本发明提供的数据处理方法又一个实施例的流程示意图；

图4为本发明提供的数据处理系统一个实施例的结构示意图；

图5为图4所示的数据处理系统的部署架构图；

图6为本发明提供的数据处理系统又一个实施例的结构示意图；

图7为本发明提供的电子设备一个实施例的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

相关术语说明：

专有网络，virtualprivatecloud，简称vpc。是用户基于云服务平台创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离。用户可以在自己创建的专有网络内创建和管理云产品实例，例如云服务器(elasticcomputeservice，简称ecs)实例、负载均衡(serverloadbalancer，简称slb)实例和云数据库(relationaldatabaseservice，简称rds)实例等。

软件模块，本发明实施例中特指部署在专有网络vpc内的，用于提供待写入到云服务平台中的数据的软件模块，具体可以是用户自身研发的软件模块，也可以是其他厂家研发的第三方软件模块。

第三方软件模块，部署在专有网络vpc内的其他厂家的软件模块，例如独立软件开发商(independentsoftwarevendors，简称isv)软件模块，特指专门从事软件开发、生产、销售和服务的厂家。

安全组，securitygroup，是一个逻辑上的分组，是一种虚拟防火墙，是由同一个地域(region)内具有相同安全保护需求并相互信任的实例组成，可用于设置单台或多台ecs实例的网络访问控制，是重要的网络安全隔离手段。

网络代理模块，用于提供网络代理服务，是一种特殊的网络服务，允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。

白名单列表，在电脑系统里，有很多软件都应用到了黑白名单规则，操作系统、防火墙、杀毒软件、邮件系统、应用软件等，凡是涉及到控制方面几乎都应用了黑白名单规则。白名单启用后，被列入到白名单列表中的请求(或ip地址、ip包、邮件、病毒、url地址等)才能通过。本发明中安全隧道的白名单列表中包括允许访问的云服务平台中的资源。

下面对本发明的技术原理进行说明：

图1为本发明实施例提供的数据处理方法的部署架构图。如图1所示，云账户资源包括专有网络vpc、安全隧道和云服务平台，专有网络vpc中部署有软件模块，例如独立开发商软件isv软件模块。软件模块发起写数据请求，该写数据请求中包括待写入云服务平台中的数据和待访问的资源。专有网络vpc根据预设的安全组策略，将该写数据请求发送至对应的安全隧道。安全隧道根据白名单列表和待访问的资源，确定是否将写数据请求发送至云服务平台中，白名单列表中包括允许访问的云服务平台中的资源。若待访问的资源位于白名单列表中，则将写数据请求发送至云服务平台中，云服务平台执行写数据请求，将待写入云服务平台中的数据写入待访问的资源中，并返回请求成功的响应。若待访问的资源不位于白名单列表中，则拒绝将写数据请求发送至云服务平台中，并返回请求错误的响应。

综上，本发明实施例提供的数据处理方法，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

上述实施例是对本发明实施例的技术原理的说明，为了本领域技术人员能够清楚、准确地理解本发明的技术方案，下面将结合附图及具体实施例对本发明的技术方案进行详细的描述。

实施例一

图2为本发明提供的数据处理方法一个实施例的流程示意图。本发明实施例的数据处理方法可应用于图1所示的数据处理系统中。如图2所示，本发明实施例的数据处理方法，具体可包括：

s201，部署在专有网络vpc内的软件模块发起写数据请求，写数据请求中包括待写入云服务平台中的数据和待访问的资源。

具体的，部署在专有网络vpc内的软件模块，通过专有网络vpc发起写数据请求，该写数据请求中包括待写入云服务平台中的数据和待访问的资源。

s202，专有网络vpc根据预设的安全组策略，将写数据请求发送至对应的安全隧道。

具体的，预先设置安全组策略为允许所有的入访问，限制所有的出访问(即写数据请求)，只允许从安全隧道写出。专有网络vpc根据预设的安全组策略，将软件模块发起的写数据请求发送至指定的安全隧道。专有网络vpc根据预设的安全组策略限制软件模块的出访问(即写数据请求)到指定的安全隧道，即限制了数据写出通道，从而保证了软件模块能够正常运行。

s203，安全隧道根据白名单列表和待访问的资源，将写数据请求发送至云服务平台中，白名单列表中包括允许访问的云服务平台中的资源。

具体的，安全隧道中预先配置有白名单列表，白名单列表中包括允许访问的云服务平台中的资源。安全隧道接收到专有网络vpc发送的写数据请求后，读取白名单列表，将白名单列表和写数据请求中的待访问的资源进行比较，从而确定是否将写数据请求发送至云服务平台中。

本发明实施例的数据处理方法，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

实施例二

图3为本发明提供的数据处理方法又一个实施例的流程示意图。本发明实施例的数据处理方法为图2所示实施例的数据处理方法的一种具体实施方式，可应用于图1所示的数据处理系统中。如图3所示，在图2所示实施例的基础上，本发明实施例的数据处理方法具体可包括：

s301，部署在专有网络vpc内的软件模块发起写数据请求，写数据请求中包括待写入云服务平台中的数据和待访问的资源。

s302，专有网络vpc根据预设的安全组策略，将写数据请求发送至对应的安全隧道。

具体的，步骤s301-s302与图2所示实施例中的步骤s201-s202相同，此处不再赘述。

图2所示实施例中的步骤s203具体可包括以下步骤s303-s305。

s303，安全隧道判断待访问的资源是否位于白名单列表中。若是，则继续执行步骤s304；若否，则执行步骤s305。

s304，安全隧道将写数据请求发送至云服务平台中。

s305，安全隧道拒绝将写数据请求发送至云服务平台中。

具体的，安全隧道除拒绝将写数据请求发送至云服务平台中外，还可以返回请求错误的响应。

进一步的，步骤s304之后，本发明实施例的数据处理方法还可以包括以下步骤：

s306，云服务平台执行写数据请求，将待写入云服务平台中的数据写入待访问的资源中。

具体的，云服务平台接收到安全隧道发送的写数据请求后，执行写数据请求，将写数据请求中的待写入云服务平台中的数据写入待访问的资源中。数据写入成功后，还可以返回请求成功的响应。

进一步的，安全隧道具体可包括网络代理模块和控制模块。对应的，图2所示实施例中的步骤s203具体可包括以下步骤：网络代理模块调用对应的控制模块；控制模块读取安全隧道白名单列表，并根据白名单列表和待访问的资源，将写数据请求发送至云服务平台中。

其中，安全隧道还可指定审计软件模块的访问记录。控制模块还可以对写数据请求进行高级协议安全检测(支持七层协议检测)，例如http/https/ftp等协议的检测，分析协议定义的字段，并按字段进行控制。控制模块可以对写数据请求进行深度包检测，即对写数据请求包进行内容检测，比如检测出http传输的是图片，判断请求的内容是否为敏感内容，比如涉恐，从而实现更细粒度的控制。

进一步的，待访问的资源具体可包括但不限于以下资源中的任意一种或多种：对象存储(例如s3存储桶)、表存储和数据库存储(例如dynamodb)等数据处理和存储系统。

本发明实施例的数据处理方法，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

实施例三

图4为本发明提供的数据处理系统一个实施例的结构示意图。图5为图4所示的数据处理系统的部署架构图。本发明实施例的数据处理系统可用于执行实施例一的数据处理方法。如图4、图5所示，本发明实施例的数据处理系统具体可包括专有网络vpc41、安全隧道42和云服务平台43，专有网络vpc41中部署有软件模块44。

软件模块44，用于发起写数据请求，写数据请求中包括待写入云服务平台43中的数据和待访问的资源。

专有网络vpc41，用于根据预设的安全组策略，将写数据请求发送至对应的安全隧道42。

安全隧道42，用于根据白名单列表和待访问的资源，将写数据请求发送至云服务平台43中，白名单列表中包括允许访问的云服务平台43中的资源。

具体的，本发明实施例中的各组件实现其功能的具体过程可参见实施例一中的相关描述，此处不再赘述。

本发明实施例的数据处理系统，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

实施例四

图6为本发明提供的数据处理系统又一个实施例的结构示意图。图1为图6所示的数据处理系统的部署架构图。本发明实施例的数据处理系统，为实施例三的数据处理系统的一种具体实施方式，可用于执行实施例二的数据处理方法。如图1、图6所示，在实施例三的基础上，本发明实施例的数据处理系统具体可包括专有网络vpc41、安全隧道42和云服务平台43，专有网络vpc41中部署有软件模块44，安全隧道42具体可包括网络代理模块61和控制模块62。

网络代理模块61，用于调用对应的控制模块62。

控制模块62，用于读取安全隧道白名单列表，并根据白名单列表和待访问的资源，将写数据请求发送至云服务平台中。

进一步的，云服务平台43具体可用于：执行写数据请求，将待写入云服务平台43中的数据写入待访问的资源中。

进一步的，安全隧道42具体用于：判断待访问的资源是否位于白名单列表中；若是，则将写数据请求发送至云服务平台43中。

进一步的，待访问的资源具体可包括但不限于以下资源中的任意一种或多种：对象存储(例如s3存储桶)、表存储和数据库存储(例如dynamodb)等数据处理和存储系统。

具体的，本发明实施例中的各组件实现其功能的具体过程可参见实施例二中的相关描述，此处不再赘述。

本发明实施例的数据处理系统，通过限制部署在专有网络vpc内的软件模块的出访问(即写数据请求)到指定的安全隧道，该指定的安全隧道限制vpc内的软件模块只能访问云服务平台中预配置的云资源，从而保证了数据始终在云账户资源内，避免了出现第三方软件在运行期间，把数据写入外部导致数据隐私泄漏的问题。

实施例五

以上描述了数据处理系统的内部功能和结构，图7为本发明实施例提供的电子设备的结构示意图，如图7所示，实际中，上述实施例中的数据处理系统可实现为一种电子设备，可以包括：存储器71和处理器72。

存储器71，用于存储程序。

除上述程序之外，存储器71还可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令，例如线上购物平台、线上电商平台、电话簿数据，消息，图片，视频等。

存储器71可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

处理器72，耦合至存储器71，用于执行存储器71中的程序，以用于：

控制部署在专有网络vpc内的软件模块发起写数据请求，写数据请求中包括待写入云服务平台中的数据和待访问的资源；

控制专有网络vpc根据预设的安全组策略，将写数据请求发送至对应的安全隧道；

控制安全隧道根据白名单列表和待访问的资源，将写数据请求发送至云服务平台中，白名单列表中包括允许访问的云服务平台中的资源。

上述的具体处理操作已经在前面实施例中进行了详细说明，在此不再赘述。

进一步，如图4所示，电子设备还可以包括：通信组件73、电源组件74、音频组件75、显示器76等其它组件。图4中仅示意性给出部分组件，并不意味着电子设备只包括图4所示组件。

通信组件73被配置为便于电子设备和其他设备之间有线或无线方式的通信。电子设备可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件73经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件73还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

电源组件74，为电子设备的各种组件提供电力。电源组件74可以包括电源管理系统，一个或多个电源，及其他与为电子设备生成、管理和分配电力相关联的组件。

音频组件75被配置为输出和/或输入音频信号。例如，音频组件75包括一个麦克风(mic)，当电子设备处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器71或经由通信组件73发送。在一些实施例中，音频组件75还包括一个扬声器，用于输出音频信号。

显示器76包括屏幕，其屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与触摸或滑动操作相关的持续时间和压力。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。