CN115023920B - 股权激励系统中的数据处理的方法和装置 - Google Patents

Abstract

本申请实施例提供了一种股权激励系统中的数据处理的方法和装置，应用于股权激励系统，例如员工持股计划ESOP系统。第一设备获取包括至少一种数据类型和至少一种加密方式的对应关系的映射关系，并根据该映射关系确定第一数据的数据类型对应的第一加密方式，再根据该第一加密方式生成第一数据包，最后将该第一数据包发送给第二设备。这样第一设备根据不同的数据类型使用不同给的加密方式，使得第二设备根据加密标识进行解密得到第一数据。也就是说，本申请实施例通过对不同的数据类型进行了不同的加密方式，从而在不影响正常使用的前提下，提高了数据的安全性。

Description

股权激励系统中的数据处理的方法和装置

技术领域

本申请实施例涉及软件技术领域，并且更具体地，涉及一种股权激励系统中的数据处理的方法和装置。

背景技术

员工持股计划(Employee Stock Ownership Plan，ESOP)(又可以称为员工持股制度)是员工所有权的一种实现形式，是企业所有者与员工分享企业所有权和未来收益权的一种制度安排。由于长期激励系统中存储的都是公司授予员工长期激励的信息，属于非常机密的级别，不允许任何不相关的人员可以查询到，包括开发和运维人员。

传统方案中，通过一种对称加密的方式对数据进行加密。但是，在发生数据泄露时，通常秘钥和密文可能会一起泄露，或者秘钥在传输过程中也可能被截获。

因此，如何对敏感信息进行数据处理，以保证数据的安全性亟待解决。

发明内容

本申请实施例提供了一种股权激励系统中的数据处理的方法和装置，能够提高了数据的安全性。

第一方面，提供了一种股权激励系统中的数据处理的方法，该方法包括：获取映射关系，所述映射关系包括至少一种数据类型和至少一种加密方式的对应关系；根据所述映射关系，确定第一数据的第一数据类型对应的第一加密方式；根据所述第一加密方式，对所述第一数据进行加密得到第一密文；根据所述第一密文和所述第一加密方式，生成第一数据包；向所述股权激励系统中的第二设备发送所述第一数据包。

第一设备获取包括至少一种数据类型和至少一种加密方式的对应关系的映射关系，并根据该映射关系确定第一数据的数据类型对应的第一加密方式，再根据该第一加密方式生成第一数据包，最后将该第一数据包发送给第二设备。这样第一设备根据不同的数据类型使用不同给的加密方式，使得第二设备根据加密标识进行解密得到第一数据。也就是说，本申请实施例通过对不同的数据类型进行了不同的加密方式，从而在不影响正常使用的前提下，提高了数据的安全性。

在一种可能的实现方式中，所述第一加密方式为随机填充加密方式、非随机加密方式或长文本加密方式。

在一种可能的实现方式中，在所述第一加密方式为长文本加密方式的情况下，所述根据所述第一加密方式，对所述第一数据进行加密得到第一密文包括：通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为所述第一数据对应的秘钥；对所述第一秘钥进行加密得到第二密文；其中，所述根据所述第一密文和所述第一加密方式，生成第一数据包包括：根据所述第一密文、所述第一加密方式和所述第二密文，生成所述第一数据包。

在一种可能的实现方式中，在所述第一加密方式为随机填充加密方式的情况下，所述根据所述第一加密方式，对所述第一数据进行加密得到第一密文包括：通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为随机秘钥；其中，所述根据所述第一密文和所述第一加密方式，生成第一数据包包括：根据所述第一密文和所述第一加密方式，生成所述第一数据包。

在一种可能的实现方式中，在所述第一加密方式为非随机填充加密方式的情况下，所述根据所述第一加密方式，对所述第一数据进行加密得到第一密文包括：通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为固定秘钥；其中，所述根据所述第一密文和所述第一加密方式，生成第一数据包包括：根据所述第一密文和所述第一加密方式，生成所述第一数据包。

在一种可能的实现方式中，所述对所述第一秘钥进行加密得到第二密文包括：通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，其中，所述第二秘钥为所述第一设备和所述第二设备约定的秘钥。

在一种可能的实现方式中，所述对所述第一秘钥进行加密得到第二密文包括：通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，所述第二秘钥为所述第二设备中私钥对应的公钥。

在一种可能的实现方式中，在所述第一设备向所述第二设备发送所述第一数据包之前，还包括：所述第一设备拼接所述第一密文和所述第二密文得到所述第一数据包。

在一种可能的实现方式中，所述根据所述第一密文和所述第一加密方式，生成第一数据包包括：

将所述第一加密方式对应的加密标识作为前缀生成所述第一数据包

第二方面，提供了一种股权激励系统中的数据处理的方法，应用于所述股权激励系统中的第二设备，其特征在于，包括：接收来自所述股权激励系统中的第一设备发送的第一数据包，所述第一数据包包括第一密文和前缀；根据所述前缀对应的加密方式，对所述第一密文进行解密得到第一数据，所述加密方式为随机填充加密方式、非随机加密方式或长文本加密方式；对所述第一数据，进行数据处理。

第二设备接收来自第一设备的第一数据包，并根据该第一数据包的前缀确定加密方式，进而采用对应的解密方式进行解密。也就是说，本申请实施例通过对不同的数据类型进行了不同的加密方式，从而在不影响正常使用的前提下，提高了数据的安全性。

第三方面，提供了一种终端设备，包括处理器和存储器。该存储器用于存储计算机程序，该处理器用于调用并运行该存储器中存储的计算机程序，执行上述第一方面或第二方面中任一方面中的方法。

第四方面，提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序使得计算机执行上述第一方面至第二方面中的任一方面中的方法。

第五方面，提供了一种计算机程序产品，包括计算机程序指令，所述计算机程序指令使得计算机执行上述第一方面至第二方面中的任一方面中的方法。

第六方面，提供了一种计算机程序，当其在计算机上运行时，使得计算机执行上述第一方面至第二方面中的任一方面中的方法。

第七方面，提供了一种通信系统，该通信系统包括用于执行上述第一方面中的任一方面的装置和用于执行上述第二方面中的任一方面的装置。

通过上述技术方案，第一设备通过对第一秘钥对第一数据进行加密得到第一密文，以及对该第一秘钥进行加密得到第二密文，并将包括该第一密文和该第二密文的第一数据包发送给第二设备，使得第二设备解密第二密文得到第一秘钥后才能根据第一秘钥对第一密文进行解密得到该第一数据。这样保证了第一数据不会在开发、运维人员对数据库访问时查询到，从而提高了数据的安全性。

附图说明

图1是本申请实施例应用的一种加密流程的示意性图。

图2是本申请实施例提供的业务层与加解密服务通信的加密示意图。

图3是本申请实施例提供的一种基于数据包加密的示意图。

图4是本申请实施例提供的一种数据处理的方法的示意性流程图。

图5是本申请实施例提供的一种具体数据处理的方法的示意性流程图。

图6是根据本申请实施例提供的一种数据处理的装置的示意性框图。

图7是根据本申请实施例提供的一种数据处理的装置的示意性结构图。

图8是根据本申请实施例提供的另一种数据处理的装置的示意性框图。

图9是根据本申请实施例提供的另一种数据处理的装置的示意性结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。针对本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1示出了加密流程的示意图。数据加密发生在数据插入数据库(data base，DB)之前，加密后将密文存储在数据库中；解密数据发生在读取DB之后，将数据从DB取出后进行解密。

应理解，在下文示出的实施例中，第一、第二以及各种数字编号仅为描述方便进行的区分，并不用来限制本申请实施例的范围。

图2示出了业务层与加解密服务通信的加密示意图。业务层与加解密服务将对称密钥通过非对称加密的结果分发对称密钥，实现信息完整性验证。数据包包含被加密的内容和被加密的用于加密该内容的密钥。使用接收方的公钥来加密加密密钥，但这并不是必须的，也可以使用发送方和接收方预共享的对称密钥来加密。当接收方收到数据包时，先用私钥或预共享密钥解密，得到加密密钥，再用该密钥解密密文，获得原文。本实施例通过将加密数据的数据密钥封入数据包中存储、传递和使用，不再使用主密钥直接加解密数据。每条数据都存在进行数据加密的密钥，称之为data_key，data_key统一经过秘钥管理的密钥进行加密，随着数据保存在DB、缓存或者文件中。

例如，图3示出了一种基于数据包加密的示意图。

具体地，加密流程可以是ESOP端将明文字段发送给KMS端，KMS端生成秘钥，并根据该秘钥对明文字段进行加密得到密文字段，以及对该秘钥进行加密得到加密秘钥，最后将加密秘钥和密文字段一起发送给ESOP服务端；或者，加密流程还可以是ESOP端将用于加密明文字段的秘钥发送给KMS端，KMS端根据该秘钥对明文字段进行加密得到密文字段，以及对该秘钥进行加密得到加密秘钥，最后将加密秘钥和密文字段一起发送给ESOP服务端。

具体地，解密流程可以是ESOP服务端将加密秘钥和密文字段一起发送给KMS端，KMS端对加密秘钥进行解密得到解密后的秘钥，并根据解密后的秘钥对密文字段进行解密得到明文字段，最后将明文字段发送给ESOP。

图4示出了本申请实施例股权激励系统中的数据处理的方法的示意性流程图。

可以理解的是，本申请实施例的执行主体可以是第一设备，该第一设备可以是股权激励系统中的第一设备可以是业务方(ESOPservice)，即ESOP业务方的服务器设备。

401，获取映射关系，该映射关系包括至少一种数据类型和至少一种加密方式的对应关系。

本实施例中的数据类型和至少一种加密方式之间的映射关系如表1所示。本实施例中的加密方式包括但不限于随机填充加密、非随机填充加密、长文本加密和不加密。具体地，按照安全性能由强到弱的排序为：随机填充加密>非随机填充加密>长文本机密>不加密。其中，随机填充加密具有无法支持密文查询和大于4k的长文本加密耗时较长的缺点。因此，非随机填充加密和长文本加密比较常用。

表1

如表1所示，本实施例中的数据类型中，不涉及查询的字段包括：备注信息，通讯地址等等管理人员不会进行检索的信息；查询相关字段包括：用户姓名、证件号、电话号码等管理人员需要通过这些信息查询到数据；长度大于预设阈值的文本或文件包括：数据报表等各类excel文件，电子合同pdf文件；非敏感数据包括：各类配置项等。

在本申请一实施例中，前缀用于标识密文是用哪种方式加密的，就是数据加密完后，需要给他贴个标签，标明是用哪种方式加密的，这样解密时就知道用哪种方式解密。比如明文ABC，如果用填充加密方式进行加密，那么就需要发送给加密机两个信息一个是加密类型：填充加密，还有一个是明文：ABC。然后加密机加密后就会返回密文XXYYZZ，这时候就需要进行存储到数据库里，填充加密对应的标识密文为FUTU$001，就会存为FUTU$001XXYYZZ。如果改为使用非填充加密，那么加密机返回的密文就是SSDDFF。这时候存数据库就会存为FUTU$002SSDDFF。然后解密的时候，需要根据这个前缀告诉加密机用哪些方式解密。如果只传给对方密文XXYYZZ，并通知对方解密方式为填充解密，那么就能解密成功。如果只传给对方密文XXYYZZ，并通知对方解密方式是非填充解密，那么就会解密失败。

可选地，本申请实施例中的加密方式可以是前述表1中的四种加密方式中的任一种。

可选地，本申请实施例中的数据类型可以是表1中四种加密方式分别对应的数据类型。

可以理解的是，步骤401可以是第一设备自己生成的，也可以是用户设定的，还可以其他设备发送的指令指定的，本申请对此不进行限定。

还可以理解的是，对于表1中的不加密方式，相互双方可以直接明文交互，不需要进行加密。为方便描述，下述实施例中，以表1中除不加密数据之外的其他类型进行描述，但本申请并不限于此。

402，根据该映射关系，确定第一数据的第一数据类型对应的第一加密方式。

具体地，该第一设备在获取到第一数据的情况下，可以根据该映射关系，确定该第一数据的数据类型对应的第一加密方式。

在本申请一实施例中，在获取到第一数据之后，首先确定第一数据对应的数据类型，再基于数据类型从映射关系中确定其对应的加密方式。具体的，本实施例中确定数据类型的过程可以包括如下步骤：

确定所述第一数据对应的文本长度，并基于所述文本长度与预设阈值之间的对比结果，确定所述第一数据是否为一类数据，所述一类数据包括长度大于预设阈值的文本或文件；

基于第一目标字符类型，将所述第一目标字符类型与所述第一数据中的字符进行匹配，根据匹配结果判断所述第一数据中是否包含目标字段，若是，则所述第一数据为二类数据，所述第一目标字符类型包括姓名或者号码，所述二类数据包括索引或查询相关的字段。

403，根据该第一加密方式，对该第一数据进行加密得到第一密文。

在一种可能的实现方式中，若第一加密方式为长文本加密方式的情况下，步骤403具体可以是第一设备通过第一秘钥对第一数据进行加密得到第一密文，该第一秘钥为第一数据对应的秘钥。此外，该第一设备还对该第一秘钥进行加密得到第二密文。

具体地，针对不同用户的敏感信息，第一设备采用不同的秘钥。或者针对不同的公司采用不同的秘钥。也就是说，不同公司间采用不同的秘钥，不同用户采用不同的秘钥，使用这种方式来达到隔离的效果，保证公司只能拿到加解密自己的数据，用户也不能解密他人的数据。

可以理解的是，该第一数据可以是用户的敏感数据。例如，该敏感信息为员工的持股激励信息(即员工的期权与股票信息)。

可选地，第一设备对第一秘钥进行加密具体可以是该第一设备通过第二秘钥对该第一秘钥进行加密得到该第二密文。

可选地，该第二秘钥为该第一设备和第二设备预先约定的秘钥。

具体地，第一设备在和第二设备进行数据处理之前，预先约定相同的秘钥。这样第一设备可以通过和第二设备约定的秘钥对第一秘钥进行加密。也就是说，第一设备通过约定秘钥加密之后，第二设备通过约定秘钥才能解密。

可以理解的，本申请中的第二设备可以是服务端(KMSservice)。

可选地，该第一设备通过第二秘钥对该第一秘钥进行加密得到第二秘钥，该第二秘钥为该第二设备中私钥对应的公钥。

具体地，第一设备和第二设备之间可以设置一对公钥和私钥。其中，公钥和私钥是通过一种算法得到的一个秘钥对(即一个私钥和一个公钥)。向外界公开的称为“公钥”，自己保留的称为“私钥”。通过这种算法得到的秘钥对能保证在世界范围内是唯一的。也就是说，第一设备通过公钥对第一秘钥加密后，只有通过私钥才能解密。

在另一种可能的实现方式中，若该第一加密方式为随机填充加密方式的情况下，步骤403具体可以是第一设备通过第一秘钥对第一数据进行加密得到第一密文，该第一秘钥为随机秘钥。

在又一种可能的实现方式中，若该第一加密方式为非随机填充加密方式的情况下，步骤403具体可以是第一设备通过第一秘钥对第一数据进行加密得到第一密文，该第一密文为固定秘钥。

404，根据该第一密文和第一加密方式，生成第一数据包。

可选地，步骤404具体可以是该第一设备将第一加密方式对应的加密标识作为前缀生成该第一数据包。

例如，如前述，若第一加密方式为填充加密，填充加密对应的加密标识为FUTU$001，则对于第一密文XXYYZZ和填充加密方式生成的第一数据包为FUTU$001XXYYZZ；若第一加密方式为非填充方式，非填充加密对应的加密标识为FUTU$002，则对于第一密文SSDDFF和非填充加密方式生成的第一数据包为FUTU$002SSDDFF。

可以理解的是，该加密标识还可以是其他方式，本申请对此不进行限定。

需要说明的是，若该第一加密方式为长文本加密方式，长文本加密方式对应的加密方式为FUTU$TyThg4KnMMKH5G1n$，则需要根据第一密文、第二密文和该加密标识共同生成第一数据包。

在一种可能的实现方式中，密文和加密标识可以是通过拼接的方式生成数据包。

具体地，加密标识和第一密文可以是以加密标识在前，第一密文在后的方式进行拼接的。或者对于加密标识、第一密文和第二密文生成第一数据包的方式可以是加密标识在前，第二密文在后，第一密文在最后的方式进行拼接。例如，如图3所示，datakey在前，密文字段在后。

可以理解的是，第一数据包还可以是通过其他拼接方式生成，例如，嵌套，组合等。

示例性的，在将密文和加密标识嵌套的过程中，为了保证密文和加密标识的安全性，本实施例中可以基于第一数据和密文的数据属性计算对应的嵌入位置，之后基于该嵌入位置，将加密标识嵌入到密文中对应的位置处，例如，计算到对应的嵌入位置为n，则以密文的第一个字符开始，将加密标识增加到n位置处，并将密文中的n位置及其之后的字符往后推。具体的，本实施例中可以通过如下公式确定嵌入位置：

n＝size_cipmod(log2size_cip)

其中，size_cip表示密文的数据量，mod表示取余运算，n表示加密标识在密文中对应的嵌入位置。通过上述计算方式确定嵌入位置，以基于该嵌入位置将加密标识插入到密文中。进一步的，在对加密之后的数据进行解密时，可以基于同样的方式计算得到嵌入位置，之后提取加密密文，对加密密文进行解密之后再基于密钥对密文进行解密。通过上述方式提高了加密方式的安全性，进而提高了第一数据的安全性。

405，该第一设备向第二设备发送第一数据包。相应的，第二设备接收来自该第一设备的第一数据包，该第一数据包包括第一密文和前缀。

406，该第二设备根据该前缀对应的加密方式，对所述第一密文进行解密得到第一数据。

可选地，若该加密方式为长文本加密方式，则该第二设备通过第三秘钥对该第二密文进行解密得到该第一秘钥，该第二设备根据该第一秘钥对该第一秘钥进行解密得到第一数据。

可选地，该第三秘钥为该第二秘钥对应的秘钥。

在一种可能的实现方式中，该第三秘钥为该第一设备和该第二设备预先约定的秘钥。

在另一种可能的实现方式中，该第三秘钥为上述公钥对应的私钥。

407，该第二设备对该第一数据进行数据处理。

具体地，第二设备对第一数据进行数据处理可以是按照第一数据指示进行相应操作，也可以是将第一数据转发给其他设备，本申请对此不进行限定。

可选地，步骤407之后，该第二设备可以将对第一数据处理后得到的第二数据加密后发送给该第一设备。

本申请实施例中，第一设备获取包括至少一种数据类型和至少一种加密方式的对应关系的映射关系，并根据该映射关系确定第一数据的数据类型对应的第一加密方式，再根据该第一加密方式生成第一数据包，最后将该第一数据包发送给第二设备。这样第一设备根据不同的数据类型使用不同给的加密方式，使得第二设备根据加密标识进行解密得到第一数据。也就是说，本申请实施例通过对不同的数据类型进行了不同的加密方式，从而在不影响正常使用的前提下，提高了数据的安全性。

图5示出了本申请实施例的一种具体的数据处理的方法的示意性流程图。

可以理解的是，下述以第一设备为ESOPservice，第二设备为KMSservic为例进行说明，但本申请并不限于此。

在加密方式为长文本加密方式的情况下，ESOPservice与KMSservic预先约定通过RSA算法配对的公钥PUB和私钥PRI。KMSservic将私钥发送给ESOPservice，而将私钥自己保留且不对外暴露。

501，ESOPservice生成256bit长度的随机字符串，该随机字符串用于作为高级加密标准(Advanced Encryption Standard，AES)加密的秘钥K1；

502，ESOPservice构建需要加密的数据，具体结构为json字符串PLAIN；

503，ESOPservice通过秘钥K1对PLAIN进行加密得到密文CIPHER；

504，ESOPservice通过秘钥PUB对秘钥K1进行加密得到密文K2；

可以理解的是，本申请对步骤503和步骤504的先后顺序不进行限定。

505，ESOPservice将CIPHER和K2进行拼接，并发送给KMSservic；

506，KMSservic获取拼接后的CIPHER和K2；

507，KMSservic通过PUB对应的PRI对密文K2进行解密得到K1；

508，KMSservic通过K1对CIPHER进行解密得到PLAIN；

509，KMSservic对PLAIN进行数据处理得到PLAIN2；

510，KMSservic通过K1对PLAIN2进行加密得到CIPHER2，并将CIPHER2反馈给ESOPservice；

可以理解的是，KMSservic也可以继续对K1进行加密。例如，采用与ESOPservice约定的秘钥对K1进行加密。

511，ESOPservice使用K1对CIPHER2进行解密得到PLAIN2。

可以理解的是，若KMSservic对K1进行加密，则ESOPservice可以先解密K1，再根据K1对PLAIN2进行加密。

以上结合附图详细描述了本申请的具体实施方式，但是，本申请并不限于上述实施方式中的具体细节，在本申请的技术构思范围内，可以对本申请的技术方案进行多种简单变型，这些简单变型均属于本申请的保护范围。例如，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合，为了避免不必要的重复，本申请对各种可能的组合方式不再另行说明。又例如，本申请的各种不同的实施方式之间也可以进行任意组合，只要其不违背本申请的思想，其同样应当视为本申请所公开的内容。

还应理解，在本申请的各种方法实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。应理解这些序号在适当情况下可以互换，以便描述的本申请的实施例能够以除了在图示或描述的那些以外的顺序实施。

上文结合图1至图5，详细描述了本申请的方法实施例，下文结合图6至图9，详细描述本申请的装置实施例。

图6是本申请实施例的数据处理的装置600的示意性框图。如图6所示，所述数据处理的装置600可包括处理单元610和收发单元620。

该处理单元610，用于获取映射关系，所述映射关系包括至少一种数据类型和至少一种加密方式的对应关系；

该处理单元610，还用于根据所述映射关系，确定第一数据的第一数据类型对应的第一加密方式；

该处理单元610，还用于根据所述第一加密方式，对所述第一数据进行加密得到第一密文；

该处理单元610，还用于根据所述第一密文和所述第一加密方式，生成第一数据包；

该收发单元620，用于向所述股权激励系统中的第二设备发送所述第一数据包。

可选地，所述第一加密方式为随机填充加密方式、非随机加密方式或长文本加密方式。

可选地，在所述第一加密方式为长文本加密方式的情况下，该处理单元610具体用于：

通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为所述第一数据对应的秘钥；

对所述第一秘钥进行加密得到第二密文；

根据所述第一密文、所述第一加密方式和所述第二密文，生成所述第一数据包。

可选地，在所述第一加密方式为随机填充加密方式的情况下，该处理单元610具体用于：

通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为随机秘钥；

根据所述第一密文和所述第一加密方式，生成所述第一数据包。

可选地，在所述第一加密方式为非随机填充加密方式的情况下，该处理单元610具体用于：

通过第一秘钥对所述第一数据进行加密得到所述第一密文，所述第一秘钥为固定秘钥；

根据所述第一密文和所述第一加密方式，生成所述第一数据包。

可选地，该处理单元610具体用于：通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，其中，所述第二秘钥为所述第一设备和所述第二设备约定的秘钥。

可选地，该处理单元610具体用于：通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，所述第二秘钥为所述第二设备中私钥对应的公钥。

可选地，该处理单元610，还用于拼接所述第一密文和所述第二密文得到所述第一数据包。

可选地，该处理单元610，还用于将所述第一加密方式对应的加密标识作为前缀生成所述第一数据包。

应理解，装置实施例与方法实施例可以相互对应，类似的描述可以参照方法实施例。为避免重复，此处不再赘述。具体地，在该实施例中数据处理的装置600可以对应于执行本申请实施例的方法400的相应主体，并且数据处理的装置600中的各个模块的前述和其它操作和/或功能分别为了实现图4中的各个方法，或图4中的方法中的相应流程，为了简洁，在此不再赘述。

上文中结合附图从功能模块的角度描述了本申请实施例的装置和系统。应理解，该功能模块可以通过硬件形式实现，也可以通过软件形式的指令实现，还可以通过硬件和软件模块组合实现。具体地，本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成，结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。可选地，软件模块可以位于随机存储器，闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法实施例中的步骤。

如图7是本申请实施例提供的数据处理的装置700的示意性框图。

如图7所示，该数据处理的装置700可包括：

存储器710和处理器720，该存储器710用于存储计算机程序，并将该程序代码传输给该处理器720。换言之，该处理器720可以从存储器710中调用并运行计算机程序，以实现本申请实施例中的通信方法。

例如，该处理器720可用于根据该计算机程序中的指令执行上述方法400中的步骤，或方法500中的步骤。

在本申请的一些实施例中，该处理器720可以包括但不限于：

通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。

在本申请的一些实施例中，该存储器710包括但不限于：

易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

在本申请的一些实施例中，该计算机程序可以被分割成一个或多个模块，该一个或者多个模块被存储在该存储器710中，并由该处理器720执行，以完成本申请提供的编码方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述该计算机程序在该数据处理的装置900中的执行过程。

可选的，如图7所示，该数据处理的装置700还可包括：

收发器730，该收发器730可连接至该处理器720或存储器710。

其中，处理器720可以控制该收发器730与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器730可以包括发射机和接收机。收发器730还可以进一步包括天线，天线的数量可以为一个或多个。

应当理解，该数据处理的装置700中的各个组件通过总线系统相连，其中，总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

图8是本申请实施例的数据处理的装置800的示意性框图。如图8所示，所述数据处理的装置800可包括处理单元810和收发单元820。

该收发单元820，用于接收来自所述股权激励系统中的第一设备发送的第一数据包，所述第一数据包包括第一密文和前缀；

该处理单元810，用于根据所述前缀对应的加密方式，对所述第一密文进行解密得到第一数据，所述加密方式为随机填充加密方式、非随机加密方式或长文本加密方式；

该处理单元810，还用于对所述第一数据，进行数据处理。

可选的，该处理单元810还通过第三秘钥对第二密文进行解密得到所述第一秘钥，其中，所述第三秘钥为所述第二设备与所述第一设备约定的秘钥。

可选的，该处理单元810还用于通过第三秘钥对第二密文进行解密得到所述第一秘钥，其中，所述第三秘钥为与所述第一设备中公钥对应的私钥。

可选的，所述第一数据包为对所述第一密文和第二密文拼接得到的。

应理解，装置实施例与方法实施例可以相互对应，类似的描述可以参照方法实施例。为避免重复，此处不再赘述。具体地，在该实施例中数据处理的装置800可以对应于执行本申请实施例的方法400的相应主体，并且数据处理的装置800中的各个模块的前述和其它操作和/或功能分别为了实现图4中的各个方法，或图4中的方法中的相应流程，为了简洁，在此不再赘述。

上文中结合附图从功能模块的角度描述了本申请实施例的装置和系统。应理解，该功能模块可以通过硬件形式实现，也可以通过软件形式的指令实现，还可以通过硬件和软件模块组合实现。具体地，本申请实施例中的方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路和/或软件形式的指令完成，结合本申请实施例公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。可选地，软件模块可以位于随机存储器，闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等本领域的成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法实施例中的步骤。

如图9是本申请实施例提供的数据处理的装置900的示意性框图。

如图9所示，该数据处理的装置900可包括：

存储器910和处理器920，该存储器910用于存储计算机程序，并将该程序代码传输给该处理器920。换言之，该处理器920可以从存储器910中调用并运行计算机程序，以实现本申请实施例中的通信方法。

例如，该处理器920可用于根据该计算机程序中的指令执行上述方法400中的步骤，或方法500中的步骤。

在本申请的一些实施例中，该处理器920可以包括但不限于：

通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等等。

在本申请的一些实施例中，该存储器910包括但不限于：

易失性存储器和/或非易失性存储器。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

在本申请的一些实施例中，该计算机程序可以被分割成一个或多个模块，该一个或者多个模块被存储在该存储器910中，并由该处理器920执行，以完成本申请提供的编码方法。该一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述该计算机程序在该数据处理的装置900中的执行过程。

可选的，如图9所示，该数据处理的装置900还可包括：

收发器930，该收发器930可连接至该处理器920或存储器910。

其中，处理器920可以控制该收发器930与其他设备进行通信，具体地，可以向其他设备发送信息或数据，或接收其他设备发送的信息或数据。收发器930可以包括发射机和接收机。收发器930还可以进一步包括天线，天线的数量可以为一个或多个。

应当理解，该数据处理的装置900中的各个组件通过总线系统相连，其中，总线系统除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

根据本申请的一个方面，提供了一种数据处理的装置，包括处理器和存储器，该存储器用于存储计算机程序，该处理器用于调用并运行所述存储器中存储的计算机程序，使得所述编码器执行上述方法实施例的方法。

根据本申请的一个方面，提供了一种计算机存储介质，其上存储有计算机程序，该计算机程序被计算机执行时使得该计算机能够执行上述方法实施例的方法。或者说，本申请实施例还提供一种包含指令的计算机程序产品，该指令被计算机执行时使得计算机执行上述方法实施例的方法。

根据本申请的另一个方面，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述方法实施例的方法。

换言之，当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时，全部或部分地产生按照本申请实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如数字视频光盘(digital video disc，DVD))、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

应理解，在本申请实施例中，“与A对应的B”表示B与A相关联。在一种实现方式中，可以根据A确定B。但还应理解，根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其它信息确定B。

在本申请的描述中，除非另有说明，“至少一个”是指一个或多个，“多个”是指两个或多于两个。另外，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

还应理解，本申请实施例中出现的第一、第二等描述，仅作示意与区分描述对象之用，没有次序之分，也不表示本申请实施例中对设备个数的特别限定，不能构成对本申请实施例的任何限制。

还应理解，说明书中与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。

此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，该模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。例如，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。

以上仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以该权利要求的保护范围为准。

Claims (7)

1.一种股权激励系统中的数据处理的方法，应用于股权激励系统中的第一设备，其特征在于，包括：

获取映射关系，所述映射关系包括至少一种数据类型和至少一种加密方式的对应关系；

在第一数据的文本长度与预设阈值之间的对比结果为第一数据的文本长度大于所述预设阈值的情况下，所述第一数据的数据类型为一类数据；

在第一目标字符类型与第一数据中的字符的匹配结果为所述第一数据中包括目标字段的情况下，所述第一数据的数据类型为二类数据；

根据所述映射关系，确定第一数据的数据类型对应的第一加密方式；

当所述第一加密方式为随机填充加密方式时，通过第一秘钥对所述第一数据进行加密得到第一密文，所述第一秘钥为随机秘钥，将所述第一密文和所述第一加密方式对应的加密标识嵌套，生成第一数据包；

当所述第一加密方式为非随机填充加密方式时，通过第一秘钥对所述第一数据进行加密得到第一密文，所述第一秘钥为固定秘钥，将所述第一密文和所述第一加密方式对应的加密标识嵌套，生成第一数据包；

当所述第一加密方式为长文本加密方式时，通过第一秘钥对所述第一数据进行加密得到第一密文，所述第一秘钥为所述第一数据对应的秘钥；对所述第一秘钥进行加密得到第二密文，根据所述第一密文、所述第一加密方式对应的加密标识和所述第二密文嵌套，生成所述第一数据包；

其中所述加密标识嵌入到密文的嵌入位置由所述第一数据和密文的数据属性确定；

向所述股权激励系统中的第二设备发送所述第一数据包。

2.根据权利要求1所述的方法，其特征在于，所述对所述第一秘钥进行加密得到第二密文包括：

通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，其中，所述第二秘钥为所述第一设备和所述第二设备约定的秘钥。

3.根据权利要求1所述的方法，其特征在于，所述对所述第一秘钥进行加密得到第二密文包括：

通过第二秘钥对所述第一秘钥进行加密得到所述第二密文，所述第二秘钥为所述第二设备中私钥对应的公钥。

4.一种股权激励系统中的数据处理的方法，应用于所述股权激励系统中的第二设备，其特征在于，包括：

在第一数据的文本长度与预设阈值之间的对比结果为第一数据的文本长度大于所述预设阈值的情况下，所述第一数据的数据类型为一类数据；

在第一目标字符类型与第一数据中的字符的匹配结果为所述第一数据中包括目标字段的情况下，所述第一数据的数据类型为二类数据；

所述第一数据的数据类型和第一加密方式存在映射关系；

接收来自所述股权激励系统中的第一设备发送的第一数据包，所述第一数据包包括第一数据和密文的数据属性以及所述第一数据的加密标识；

其中加密标识嵌入到所述密文的嵌入位置由所述第一数据和密文的数据属性确定；

其中，根据所述加密标识确定第一加密方式，所述第一加密方式为随机填充加密方式、非随机加密方式或长文本加密方式；

根据所述加密方式对密文进行解密得到第一数据；

当所述第一加密方式为随机填充加密方式时，所述第一数据包是通过第一密文和所述加密方式对应的加密标识嵌套生成，其中所述第一密文是通过第一秘钥对所述第一数据进行加密生成，所述第一秘钥为随机秘钥；

当所述第一加密方式为非随机填充加密方式时，所述第一数据包是通过第一密文和所述加密方式对应的加密标识嵌套生成，其中，所述第一密文是通过第一秘钥对所述第一数据进行加密生成，所述第一秘钥为固定秘钥；当所述第一加密方式为长文本加密方式时，所述第一数据包是通过第一密文、所述加密方式对应的加密标识和第二密文嵌套生成，其中，所述第一密文是通过第一秘钥对所述第一数据进行加密生成，所述第二密文是通过对所述第一秘钥加密生成，所述第一秘钥为所述第一数据对应的秘钥。

5.一种数据处理的装置，包括用于执行如权利要求1至4中的任一项所述方法的模块。

6.一种数据处理的装置，其特征在于，包括处理器和存储器，所述存储器中存储有指令，所述处理器执行所述指令时，使得所述装置执行权利要求1至4任一项所述的方法。

7.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序或指令，当所述计算机程序或指令被处理器执行时，实现如权利要求1至4中任一项所述的方法。