CN115277146A - 应用数据处理方法、装置、存储介质及电子设备 - Google Patents

Abstract

本发明公开了一种应用数据处理方法、装置、存储介质及电子设备。其中，该方法包括：利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；将加密数据返回至目标应用。本发明解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

Description

应用数据处理方法、装置、存储介质及电子设备

技术领域

本发明涉及数据处理技术领域，具体而言，涉及一种应用数据处理方法、装置、存储介质及电子设备。

背景技术

随着数字化时代的高速发展，互联网与人们的生活日益密切，对于用户数据的搜索和应用也越来越频繁，因而也存在由于用户数据泄露而引发的一系列风险。对于泄露数据的来源进行分析后发现，主要存在攻击泄漏数据，内部人员泄密数据以及自身权限等问题导致的数据泄露三种主要泄露途径。为了从根本上解决数据泄露的问题，则需要保证全链路数据安全，其中，全链路数据安全具体包括数据传输加密，数据处理加密，数据存储加密。

但是，全链路数据安全还涉及成本和安全的双重问题，安全方案复杂度与成本之间呈现线性递增关系。如果安全方案过于复杂，则需要耗费大量的部署成本；如果安全方案过于简单，则会产生数据泄漏，为数据安全带来负面影响。大型企业的数据中心，一般都不是完全密态存储数据，而大部分中小型企业的数据中心，考虑成本和技术实力，也不会考虑密态存储数据方式。因而，在设计安全方案时需要综合考虑部署成本和安全方案的复杂度，相关技术中的安全方案难以同时满足对于用户数据的安全要求和成本预算。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种应用数据处理方法、装置、存储介质及电子设备，以至少解决相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

根据本发明实施例的一个方面，提供了一种应用数据处理方法，包括：利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；将加密数据返回至目标应用。

根据本发明实施例的又一个方面，提供了一种应用数据处理方法，包括：接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，第一请求消息由第一设备上的目标应用发起并通过第一挎斗安全组件的验证，第一请求消息用于请求获取第二设备上存储的目标应用关联的目标数据；利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；将加密数据返回至第一挎斗安全组件。

根据本发明实施例的又一个方面，提供了一种应用数据处理方法，包括：获取第一设备上目标应用发起的请求消息，其中，请求消息用于请求对目标应用关联的目标数据执行目标操作；对请求消息进行应用鉴权与场景匹配，得到处理结果，其中，应用鉴权用于对目标应用的身份信息进行鉴权，场景匹配用于对目标数据的场景信息进行匹配；响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

根据本发明实施例的又一个方面，提供了一种应用数据处理装置，包括：拦截模块，用于利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；验证模块，用于利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；获取模块，用于响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；反馈模块，用于将加密数据返回至目标应用。

根据本发明实施例的又一个方面，提供了一种计算机可读存储介质，该计算机可读存储介质包括存储的程序，其中，在程序运行时控制计算机可读存储介质所在设备执行上述任意一项的应用数据处理方法。

根据本发明实施例的又一个方面，提供了一种电子设备，包括：处理器；以及存储器，与处理器连接，用于为处理器提供处理以下处理步骤的指令：利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；将加密数据返回至目标应用。

容易注意到的是，通过本申请实施例，利用第一设备上的第一挎斗安全组件拦截第一请求消息，进而利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果，随后响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，最后将加密数据返回至目标应用。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明其中一实施例的用于实现应用数据处理方法的计算机终端(或移动设备)的硬件结构框图；

图2是根据本发明其中一实施例的一种应用数据处理方法的流程图；

图3是根据本发明其中一实施例的一种安全组件系统的架构示意图；

图4是根据本发明其中一实施例的又一种应用数据处理方法的示意图；

图5是根据本发明其中一实施例的又一种应用数据处理方法的流程图；

图6是根据本发明其中一实施例的又一种应用数据处理方法的流程图；

图7是根据本发明其中一实施例的一种应用数据处理装置的结构框图；

图8是根据本发明其中一实施例的又一种应用数据处理装置的结构框图；

图9是根据本发明其中一实施例的又一种应用数据处理装置的结构框图；

图10是根据本发明其中一实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

数据加密：数据加密时一种将数据从明文(未加密)转换为密文(加密)的方法，用户可以使用加密密钥访问加密数据，使用解密密钥访问解密数据。

研发专用网络：一般是指各公司内部的研发网络，专用网络是与公网隔离的网络。在研发专业网络中，研发人员会开发创建各种应用来实现服务需求，然后通过服务网关，让各种前端、应用(Application，APP)以及小程序进行调用。

安全挎斗(sidecar)可信网络：在应用容器中部署一套挎斗安全组件，然后把多个应用容器的挎斗安全组件构建成一个安全网络，同时部署一个sidecar管理后台，用于提供安全服务、安全策略以及加解密配置，通过统一的接口下达策略和配置信息到每个应用的挎斗安全组件，从而保证应用可信和数据安全。

应用节点:公司研发人员为特定需求开发的后端应用，包括普通的后端应用，云一体应用。

数据节点：各企业开发的服务于特定需求的数据中心，能够提供用户信息、需求数据和生产数据等。

应用容器：部署应用的容器。

实施例1

相关技术中提供了一种安全框架的方案用以实现云原生全链路的数据安全，具体可以包括应用数据的在全链路上的数据保护，对于基础设计的依赖性较强，需要预先部署大量基础设计，从而难以控制成本，在实际中这种方式不具备可实施性。

根据本发明实施例，还提供了一种应用数据处理的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在本地部署的移动终端、计算机终端、物联网(Internet Of Things，IOT)设备终端、云端服务器或者类似的运算装置中执行，也可以在移动应用的客户端中进行实施。图1示出了一种用于实现应用数据处理方法的计算机终端(或移动设备)的硬件结构框图。如图1所示，计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

应当注意到的是，上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的应用数据处理方法对应的程序指令/数据存储装置，处理器通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用数据处理方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图1所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图1仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。

在上述运行环境下，本申请提供了如图2所示的应用数据处理方法。图2是根据本发明其中一实施例的一种应用数据处理方法的流程图。如图2所示，该方法包括如下步骤：

步骤S21，利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；

步骤S22，利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；

步骤S23，响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；

步骤S24，将加密数据返回至目标应用。

上述第一设备为应用节点所在集群设备，第二设备为数据节点所在集群设备。其中，应用节点中包括目标应用，例如，目标应用可以为特定需求开发的后端应用，具体包括普通的后端应用、云一体应用；数据节点主要用于对目标数据进行存储。目标数据可以为与用户相关的敏感隐私数据。

上述第一挎斗安全组件为应用节点所在集群设备的sidecar安全组件，上述第二挎斗安全组件为数据节点所在集群设备的sidecar安全组件。其中，sidecar安全组件可用于进行应用鉴权、场景校验以及对于目标数据进行加密与解密。sidecar安全组件可以部署于目标应用的容器层中，对于目标应用服务功能的影响较小，且对于基础设施的依赖性较弱，如无需依赖云安全的解决方案和套件，进而能够有效节约部署成本。

基于上述步骤S21至步骤S24，通过利用第一设备上的第一挎斗安全组件拦截第一请求消息，进而利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果，随后响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，最后将加密数据返回至目标应用。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

下面对上述实施例提供的应用数据处理方法进行进一步说明。

在一种可选的实施例中，上述实施例提供的应用数据处理方法还包括：

利用第一挎斗安全组件从第三设备获取配置信息，其中，配置信息用于对第一挎斗安全组件进行初始化配置。

上述第三设备为sidecar管理后台所在集群设备。配置信息可以包括目标应用关联的身份信息和场景信息、目标应用关联的密钥信息，密钥信息包括加密密钥和解密密钥。其中，场景信息用于表示目标应用的数据申请场景，例如，当目标应用的数据申请场景为申请手机号码时，可以利用场景信息验证目标应用获得的加密数据是否为手机号码；又例如，当目标应用的数据申请场景为申请身份证号码时，可以利用场景信息验证目标应用获得的加密数据是否为身份证号码；又例如，当目标应用的数据申请场景为申请个人征信信息时，可以利用场景信息验证目标应用获得的加密数据是否为个人征信信息。

具体的，第一挎斗安全组件所在容器启动部署，进而向sidecar管理后台拉取配置信息后，可以根据配置信息进行初始化配置。基于上述可选实施例，利用第一挎斗安全组件从第三设备获取配置信息，从而快速对应用节点的sidecar安全组件进行配置，以保证数据处理的安全性。

在一种可选的实施例中，上述实施例提供的应用数据处理方法还包括：

响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息，其中，第一挎斗安全组件部署在目标应用的应用容器层，提示信息用于提示目标应用无权访问第二设备。

基于上述可选实施例，通过第一挎斗安全组件部署在目标应用的应用容器层，进而响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息，从而能够及时直观地向目标应用提示校验失败结果，在保障数据安全性的同时，还易于部署，并且成本和运维成本低，覆盖场景广，能够便于进行用户进一步排查安全问题。

在一种可选的实施例中，上述实施例提供的应用数据处理方法还包括：

步骤S25，利用第一挎斗安全组件获取第二请求消息，其中，第二请求消息用于请求第一挎斗安全组件对加密数据进行解密；

步骤S26，利用第一挎斗安全组件对第二请求消息进行验证处理，得到第二验证结果；

步骤S27，响应于第二验证结果表明第二请求消息通过验证，利用第一挎斗安全组件对加密数据进行解密，得到目标数据；

步骤S28，将目标数据返回至目标应用。

基于上述步骤S25至步骤S28，通过利用第一挎斗安全组件获取第二请求消息，进而利用第一挎斗安全组件对第二请求消息进行验证处理，随后响应于第二验证结果表明第二请求消息通过验证，利用第一挎斗安全组件对加密数据进行解密，得到目标数据，最后将目标数据返回至目标应用，能够利用sidecar安全组件对目标数据进行解密，能够有效提升解密效率。

在一种可选的实施例中，配置信息包括：目标应用关联的身份信息和场景信息，利用第一挎斗安全组件对第一请求消息或第二请求消息进行验证处理包括以下至少之一：

利用第一挎斗安全组件基于身份信息对第一请求消息或第二请求消息进行应用鉴权；

利用第一挎斗安全组件基于场景信息对第一请求消息或第二请求消息进行场景匹配。

可选地，利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果包括：基于身份信息对第一请求消息进行应用鉴权，以及基于场景信息对第一请求消息进行场景匹配，得到第一验证结果。

可选地，利用第一挎斗安全组件对第二请求消息进行验证处理，得到第二验证结果包括：基于身份信息对第二请求消息进行应用鉴权，以及基于场景信息对第二请求消息进行场景匹配，得到第二验证结果。

具体的，基于身份信息对第一请求消息进行应用鉴权，从而确定目标应用对于加密数据是否具有访问权限；基于场景信息对第一请求消息进行场景匹配，从而确定第一请求消息中的场景信息与加密数据对应的场景信息是否一致。例如，当目标应用的数据申请场景为申请手机号码时，基于场景信息对第一请求消息进行场景匹配以确定目标应用获得的加密数据是否为手机号码；又例如，当目标应用的数据申请场景为申请身份证号码时，基于场景信息对第一请求消息进行场景匹配以确定目标应用获得的加密数据是否为身份证号码；又例如，当目标应用的数据申请场景为申请个人征信信息时，基于场景信息对第一请求消息进行场景匹配以确定验证目标应用获得的加密数据是否为个人征信信息。

具体的，基于身份信息对第二请求消息进行应用鉴权，从而确定目标应用对于加密数据是否具有解密权限；基于场景信息对第一请求消息进行场景匹配，从而确定第二请求消息中的场景信息与加密数据对应的场景信息是否一致。例如，当目标应用的数据申请场景为解密手机号码时，基于场景信息对第二请求消息进行场景匹配以确定目标应用获得的加密数据是否为手机号码；又例如，当目标应用的数据申请场景为解密身份证号码时，基于场景信息对第二请求消息进行场景匹配以确定目标应用获得的加密数据是否为身份证号码；又例如，当目标应用的数据申请场景为解密个人征信信息时，基于场景信息对第二请求消息进行场景匹配以确定验证目标应用获得的加密数据是否为个人征信信息。

基于上述可选实施例，通过基于身份信息对第一请求消息或第二请求消息进行应用鉴权，以及基于场景信息对第一请求消息或第二请求消息进行场景匹配，从而能够对目标应用的身份信息和场景信息进行校验，进一步保证数据的安全性。

在一种可选的实施例中，配置信息还包括：目标应用关联的密钥信息，在步骤S27，利用第一挎斗安全组件对加密数据进行解密，得到目标数据包括：

利用第一挎斗安全组件根据密钥信息对加密数据进行解密，得到目标数据。

在本申请实施例中，目标应用获取不到安全密钥，密钥仅可以在sidecar安全组件内存储，从而能够有效避免密钥被盗和泄漏。具体的，部署于第二设备上的第二挎斗安全组件可以使用每个应用对应的密钥对目标数据进行加密处理，进而可以实现应用级别的数据隔离，有效缩小了密钥被盗的影响范围。即使一个应用的密钥被盗，影响面是只能解密当前密钥对应应用的加密数据，而不能解密其他应用的加密数据。通过保证每个应用的密钥不被泄漏或者对每个应用进行密钥加固和轮转，能够很好的解决密钥安全，实现密钥隔离，进而保证目标数据的安全性。

在第一挎斗安全组件中可存储解密密钥，解密密钥可用于对加密数据进行解密，从而快速获取目标数据。本申请实施例对于目标数据的加密和解密都是在内存进行，使用对称加密算法，一次请求耗时在几毫秒内，解密性能比较好，解密操作是本地容器中的sidecar安全组件中进行，没有网络开销，能够显著提高系统稳定性。具体的，在解密时可以使用sidecar安全组件中的解密软件开发工具包(Software Development Kit，SDK)进行解密，目标应用无需发起解密请求到数据中心节点，而是直接在本地内存中进行解密，在减少网络通讯开销的同时还可以保障解密效率，提升了解密性能。本地解密技术更加高效稳定，能够减少不必要的通讯请求，提升解密效率，还可以优化应用侧的服务体验。

在本申请实施例中，可以利用sidecar安全组件通过身份鉴权和场景控制，以及加密解密技术，解决应用节点从数据中心获取的数据而造成的数据泄漏问题，从而保证通讯链路上的目标数据是密态，以及保证目标应用在需要使用敏感数据的场景，才会解密获取明文。同时对于加密数据的解密操作都是在sidecar安全组件里面，密钥不会在目标应用中存储，本地解密操作对应用节点是无感知的，从而能够很好地实现安全隔离。由于利用sidecar安全组件的加密操作和解密操作都在本地内存中进行实现，所以相比远程操作耗时时间短且更可控，解密性能更好，本地解密操作还可以很好地解决加密和解密影响目标应用的服务性能的问题。

下面结合附图对上述实施例的应用处理方法进行详细介绍。

图3是根据本发明其中一实施例的一种安全组件系统的架构示意图，如图3所示，该安全组件系统包括应用节点、应用节点对应的第一挎斗安全组件、数据节点、数据节点对应的第二挎斗安全组件以及安全管理平台。其中，安全管理平台主要用于各目标应用的入驻，应用密钥的下发，应用场景的申请以及密钥的管理和轮转。在下发应用密钥的同时，安全管理平台还可以对应用密钥进行二次加密，进一步的保障密钥安全。第一挎斗安全组件可以拦截应用节点发起的第一请求消息，基于身份信息对第一请求消息进行应用鉴权，以及基于场景信息对第一请求消息进行场景匹配，得到第一验证结果，进而基于第一验证结果判断第一请求消息是否通过验证。当第一请求消息没通过验证时，第一挎斗安全组件向应用节点返回提示信息，例如，对于第一请求消息的鉴权校验未通过。当第一请求消息通过验证时，第二挎斗安全组件对存储在数据节点中的目标数据进行加密，得到加密数据，进而将加密数据返回至应用节点。应用节点可以通过发起第二请求消息，从而利用第一挎斗安全组件对加密数据进行解密，从而获得目标数据。而对于无需加密的非敏感数据，应用节点可以直接向数据节点进行获取。

本申请实施例的应用数据处理方法能够应用于公司研发专用网络的各应用节点中，能够在后端应用和云一体应用获取目标数据时，保障全链路的数据安全。

本申请实施例的应用数据处理方法使用了sidecar安全组件，主要用于公司研发专用网络的应用节点从数据节点获取敏感数据的场景，其中，数据节点为没有完成密态存储的数据中心节点。sidecar安全组件可以对每一次的敏感数据请求，做应用鉴权，使用场景判断，并利用应用自身的密钥对请求的数据进行加密和解密操作，保证整个通讯链路上的数据是密态的，从根本上解决网络通讯的数据泄漏问题。此外，目标应用可以利用第一挎斗安全组件进行本地界面操作，能够在提升解密性能的同时减少对数据中心节点的请求次数，从而保证数据中心节点的稳定性，可靠性。

图4是根据本发明其中一实施例的又一种应用数据处理方法的示意图，如图4所示，该方法包括如下步骤：

步骤S401，发送配置信息的获取请求；

步骤S402，返回配置信息；

步骤S403，基于配置信息对第一挎斗安全组件进行初始化配置；

步骤S404，目标应用发起第一请求消息；

步骤S405，利用第一设备上的第一挎斗安全组件拦截第一请求消息；

步骤S406，基于身份信息对第一请求消息进行应用鉴权，以及基于场景信息对第一请求消息进行场景匹配，得到第一验证结果；

步骤S407，基于第一验证结果判断第一请求消息是否通过验证；

步骤S408，响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息；其中，提示信息用于提示目标应用无权访问第二设备；

步骤S409，响应于第一验证结果表明第一请求消息通过验证，发送目标数据的获取请求；

步骤S410，利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；

步骤S411，将加密数据返回至第一挎斗安全组件；

步骤S412，将加密数据返回至目标应用；

步骤S413，目标应用发起第二请求消息；

步骤S414，基于身份信息对第二请求消息进行应用鉴权，以及基于场景信息对第二请求消息进行场景匹配，得到第二验证结果；

步骤S415，响应于第二验证结果表明第二请求消息通过验证，利用密钥信息对加密数据进行解密，得到目标数据；

步骤S416，将目标数据返回至目标应用。

基于上述步骤S401至步骤S416，通过利用第一设备上的第一挎斗安全组件拦截第一请求消息，进而利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果，随后响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，最后将加密数据返回至目标应用。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的应用数据处理方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

根据本发明实施例，还提供了一种应用数据处理方法，图5是根据本发明实施例的又一种应用数据处理方法的流程图，如图5所示，所述方法包括：

步骤S51，接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，第一请求消息由第一设备上的目标应用发起并通过第一挎斗安全组件的验证，第一请求消息用于请求获取第二设备上存储的目标应用关联的目标数据；

步骤S52，利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；

步骤S53，将加密数据返回至第一挎斗安全组件。

基于上述步骤S51至步骤S53，通过接收第一设备上第一挎斗安全组件转发的第一请求消息，进而利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据，最后将加密数据返回至第一挎斗安全组件。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

实施例3

根据本发明实施例，还提供了一种应用数据处理方法，图6是根据本发明实施例的又一种应用数据处理方法的流程图，如图6所示，所述方法包括：

步骤S61，获取第一设备上目标应用发起的请求消息，其中，请求消息用于请求对目标应用关联的目标数据执行目标操作；

步骤S62，对请求消息进行应用鉴权与场景匹配，得到处理结果，其中，应用鉴权用于对目标应用的身份信息进行鉴权，场景匹配用于对目标数据的场景信息进行匹配；

步骤S63，响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

基于上述步骤S61至步骤S63，通过获取第一设备上目标应用发起的请求消息，进而对请求消息进行应用鉴权与场景匹配，得到处理结果，最后响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的请求消息进行应用鉴权与场景匹配，并在应用鉴权与场景匹配均成功时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

下面对上述实施例提供的应用数据处理方法进行进一步说明。

在一种可选的实施例中，在步骤S63，执行目标操作包括：

步骤S631，从第二设备获取加密数据；

步骤S632，将加密数据返回至目标应用。

基于上述步骤S631至步骤S632，通过从第二设备获取加密数据，进而将加密数据返回至目标应用，能够快速获取加密数据，

在一种可选的实施例中，在步骤S63，执行目标操作包括：

步骤S633，对加密数据进行解密，得到目标数据；

步骤S634，将目标数据返回至目标应用。

基于上述步骤S633至步骤S634，通过对加密数据进行解密，得到目标数据，进而将目标数据返回至目标应用，能够对加密数据进行高效解密。

实施例4

根据本发明实施例，还提供了一种用于实施方法实施例的应用数据处理装置，图7是根据本发明其中一实施例的一种应用数据处理装置的结构框图，如图7所示，该装置包括：

拦截模块701，用于利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；

验证模块702，用于利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；

获取模块703，用于响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；

反馈模块704，用于将加密数据返回至目标应用。

可选地，获取模块703还用于利用第一挎斗安全组件从第三设备获取配置信息，其中，配置信息用于对第一挎斗安全组件进行初始化配置。

可选地，反馈模块704还用于响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息，其中，第一挎斗安全组件部署在目标应用的应用容器层，提示信息用于提示目标应用无权访问第二设备。

可选地，获取模块703还用于利用第一挎斗安全组件获取第二请求消息，其中，第二请求消息用于请求第一挎斗安全组件对加密数据进行解密；验证模块702还用于利用第一挎斗安全组件对第二请求消息进行验证处理，得到第二验证结果；应用数据处理装置还包括：解密模块705，用于响应于第二验证结果表明第二请求消息通过验证，利用第一挎斗安全组件对加密数据进行解密，得到目标数据；反馈模块704还用于将目标数据返回至目标应用。

可选地，配置信息包括：目标应用关联的身份信息和场景信息，验证模块702还用于：利用第一挎斗安全组件基于身份信息对第一请求消息或第二请求消息进行应用鉴权；利用第一挎斗安全组件基于场景信息对第一请求消息或第二请求消息进行场景匹配。

可选地，配置信息还包括：目标应用关联的密钥信息，解密模块705还用于利用第一挎斗安全组件根据密钥信息对加密数据进行解密，得到目标数据。

此处需要说明的是，上述拦截模块701、验证模块702、获取模块703和反馈模块704对应于实施例1中的步骤S21至步骤S24，四个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中。

容易注意到的是，通过本申请实施例，利用第一设备上的第一挎斗安全组件拦截第一请求消息，进而利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果，随后响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，最后将加密数据返回至目标应用。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

实施例5

根据本发明实施例，还提供了一种用于实施方法实施例的应用数据处理装置，图8是根据本发明其中一实施例的又一种应用数据处理装置的结构框图，如图8所示，该装置包括：

接收模块801，用于接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，第一请求消息由第一设备上的目标应用发起并通过第一挎斗安全组件的验证，第一请求消息用于请求获取第二设备上存储的目标应用关联的目标数据；

加密模块802，用于利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；

反馈模块803，用于将加密数据返回至第一挎斗安全组件。

此处需要说明的是，上述接收模块801、加密模块802和反馈模块803对应于实施例2中的步骤S51至步骤S53，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例2所公开的内容。

容易注意到的是，通过本申请实施例，通过接收第一设备上第一挎斗安全组件转发的第一请求消息，进而利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据，最后将加密数据返回至第一挎斗安全组件。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

实施例6

根据本发明实施例，还提供了一种用于实施方法实施例的应用数据处理装置，图9是根据本发明其中一实施例的又一种应用数据处理装置的结构框图，如图9所示，该装置包括：

获取模块901，用于获取第一设备上目标应用发起的请求消息，其中，请求消息用于请求对目标应用关联的目标数据执行目标操作；

匹配模块902，用于对请求消息进行应用鉴权与场景匹配，得到处理结果，其中，应用鉴权用于对目标应用的身份信息进行鉴权，场景匹配用于对目标数据的场景信息进行匹配；

执行模块903，用于响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

可选地，执行模块903还用于：从第二设备获取加密数据；将加密数据返回至目标应用。

可选地，执行模块903还用于：对加密数据进行解密，得到目标数据；将目标数据返回至目标应用。

此处需要说明的是，上述获取模块901、匹配模块902和执行模块903对应于实施例3中的步骤S61至步骤S63，三个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例3所公开的内容。

容易注意到的是，通过本申请实施例，通过获取第一设备上目标应用发起的请求消息，进而对请求消息进行应用鉴权与场景匹配，得到处理结果，最后响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的请求消息进行验证处理，并在应用鉴权与场景匹配均成功时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

实施例7

本发明的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。本申请实施例所提供的方法实施例可以在本地部署的移动终端、计算机终端、物联网(Internet Of Things，IOT)设备终端、云端服务器或者类似的运算装置中执行，也可以在移动应用的客户端中进行实施。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用数据处理方法中以下步骤的程序代码：利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；将加密数据返回至目标应用。

在本实施例中，上述计算机终端还可以执行应用数据处理方法中以下步骤的程序代码：接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，第一请求消息由第一设备上的目标应用发起并通过第一挎斗安全组件的验证，第一请求消息用于请求获取第二设备上存储的目标应用关联的目标数据；利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；将加密数据返回至第一挎斗安全组件。

在本实施例中，上述计算机终端还可以执行应用数据处理方法中以下步骤的程序代码：获取第一设备上目标应用发起的请求消息，其中，请求消息用于请求对目标应用关联的目标数据执行目标操作；对请求消息进行应用鉴权与场景匹配，得到处理结果，其中，应用鉴权用于对目标应用的身份信息进行鉴权，场景匹配用于对目标数据的场景信息进行匹配；响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

可选地，图10是根据本发明实施例的一种计算机终端的结构框图。如图10所示，该计算机终端1000可以包括：一个或多个(图中仅示出一个)处理器1002、存储器1004、以及外设接口1006。

其中，存储器可用于存储软件程序以及模块，如本发明实施例中的应用数据处理方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用数据处理方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

可选的，上述处理器还可以执行如下步骤的程序代码：利用第一挎斗安全组件从第三设备获取配置信息，其中，配置信息用于对第一挎斗安全组件进行初始化配置。

可选的，上述处理器还可以执行如下步骤的程序代码：响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息，其中，第一挎斗安全组件部署在目标应用的应用容器层，提示信息用于提示目标应用无权访问第二设备。

可选的，上述处理器还可以执行如下步骤的程序代码：利用第一挎斗安全组件获取第二请求消息，其中，第二请求消息用于请求第一挎斗安全组件对加密数据进行解密；利用第一挎斗安全组件对第二请求消息进行验证处理，得到第二验证结果；响应于第二验证结果表明第二请求消息通过验证，利用第一挎斗安全组件对加密数据进行解密，得到目标数据；将目标数据返回至目标应用。

可选的，上述处理器还可以执行如下步骤的程序代码：利用第一挎斗安全组件基于身份信息对第一请求消息或第二请求消息进行应用鉴权；利用第一挎斗安全组件基于场景信息对第一请求消息或第二请求消息进行场景匹配。

可选的，上述处理器还可以执行如下步骤的程序代码：利用第一挎斗安全组件根据密钥信息对加密数据进行解密，得到目标数据。

可选的，上述处理器还可以执行如下步骤的程序代码：从第二设备获取加密数据；将加密数据返回至目标应用。

可选的，上述处理器还可以执行如下步骤的程序代码：对加密数据进行解密，得到目标数据；将目标数据返回至目标应用。

容易注意到的是，通过本申请实施例，利用第一设备上的第一挎斗安全组件拦截第一请求消息，进而利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果，随后响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，最后将加密数据返回至目标应用。

本申请实施例能够利用第一设备上的第一挎斗安全组件对目标应用发起的第一请求消息进行验证处理，并在第一请求消息通过验证时，从第二设备获取到由第二挎斗安全组件对目标数据进行加密处理后的加密数据，将加密数据返回至目标应用，即本申请实施例能够利用第一挎斗安全组件和第二挎斗安全组件实现数据传输加密、数据处理加密和数据存储加密，由此达到了在全链路中保障应用数据安全的目的，从而实现了提升应用数据的安全性以及降低部署成本的技术效果，进而解决了相关技术中的对于应用数据处理方式安全性低下且部署成本高的技术问题。

本领域普通技术人员可以理解，图10所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternetDevices，MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如，计算机终端1000还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图10所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例8

本发明的实施例还提供了一种计算机可读存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例所提供的应用数据处理方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，第一请求消息由第一设备上的目标应用发起，第一请求消息用于请求向第二设备获取目标应用关联的目标数据；利用第一挎斗安全组件对第一请求消息进行验证处理，得到第一验证结果；响应于第一验证结果表明第一请求消息通过验证，利用第一挎斗安全组件从第二设备获取加密数据，其中，加密数据由第二设备上的第二挎斗安全组件对目标数据进行加密处理后得到；将加密数据返回至目标应用。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：利用第一挎斗安全组件从第三设备获取配置信息，其中，配置信息用于对第一挎斗安全组件进行初始化配置。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：响应于第一验证结果表明第一请求消息未通过验证，利用第一挎斗安全组件向目标应用返回提示信息，其中，第一挎斗安全组件部署在目标应用的应用容器层，提示信息用于提示目标应用无权访问第二设备。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：利用第一挎斗安全组件获取第二请求消息，其中，第二请求消息用于请求第一挎斗安全组件对加密数据进行解密；利用第一挎斗安全组件对第二请求消息进行验证处理，得到第二验证结果；响应于第二验证结果表明第二请求消息通过验证，利用第一挎斗安全组件对加密数据进行解密，得到目标数据；将目标数据返回至目标应用。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：利用第一挎斗安全组件基于身份信息对第一请求消息或第二请求消息进行应用鉴权；利用第一挎斗安全组件基于场景信息对第二请求消息进行场景匹配。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：利用第一挎斗安全组件根据密钥信息对加密数据进行解密，得到目标数据。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，第一请求消息由第一设备上的目标应用发起并通过第一挎斗安全组件的验证，第一请求消息用于请求获取第二设备上存储的目标应用关联的目标数据；利用第二设备上的第二挎斗安全组件对目标数据进行加密处理，得到加密数据；将加密数据返回至第一挎斗安全组件。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：获取第一设备上目标应用发起的请求消息，其中，请求消息用于请求对目标应用关联的目标数据执行目标操作；对请求消息进行应用鉴权与场景匹配，得到处理结果，其中，应用鉴权用于对目标应用的身份信息进行鉴权，场景匹配用于对目标数据的场景信息进行匹配；响应于处理结果表明应用鉴权与场景匹配均成功，执行目标操作。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：从第二设备获取加密数据；将加密数据返回至目标应用。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：对加密数据进行解密，得到目标数据；将目标数据返回至目标应用。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (13)

1.一种应用数据处理方法，其特征在于，包括：

利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，所述第一请求消息由所述第一设备上的目标应用发起，所述第一请求消息用于请求向第二设备获取所述目标应用关联的目标数据；

利用所述第一挎斗安全组件对所述第一请求消息进行验证处理，得到第一验证结果；

响应于所述第一验证结果表明所述第一请求消息通过验证，利用所述第一挎斗安全组件从所述第二设备获取加密数据，其中，所述加密数据由所述第二设备上的第二挎斗安全组件对所述目标数据进行加密处理后得到；

将所述加密数据返回至所述目标应用。

2.根据权利要求1所述的应用数据处理方法，其特征在于，所述应用数据处理方法还包括：

利用所述第一挎斗安全组件从第三设备获取配置信息，其中，所述配置信息用于对所述第一挎斗安全组件进行初始化配置。

3.根据权利要求1所述的应用数据处理方法，其特征在于，所述应用数据处理方法还包括：

响应于所述第一验证结果表明所述第一请求消息未通过验证，利用所述第一挎斗安全组件向所述目标应用返回提示信息，其中，所述第一挎斗安全组件部署在所述目标应用的应用容器层，所述提示信息用于提示所述目标应用无权访问所述第二设备。

4.根据权利要求2所述的应用数据处理方法，其特征在于，所述应用数据处理方法还包括：

利用所述第一挎斗安全组件获取第二请求消息，其中，所述第二请求消息用于请求所述第一挎斗安全组件对所述加密数据进行解密；

利用所述第一挎斗安全组件对所述第二请求消息进行验证处理，得到第二验证结果；

响应于所述第二验证结果表明所述第二请求消息通过验证，利用所述第一挎斗安全组件对所述加密数据进行解密，得到所述目标数据；

将所述目标数据返回至所述目标应用。

5.根据权利要求4所述的应用数据处理方法，其特征在于，所述配置信息包括：所述目标应用关联的身份信息和场景信息，利用所述第一挎斗安全组件对所述第一请求消息或所述第二请求消息进行验证处理包括以下至少之一：

利用所述第一挎斗安全组件基于所述身份信息对所述第一请求消息或所述第二请求消息进行应用鉴权；

利用所述第一挎斗安全组件基于所述场景信息对所述第一请求消息或所述第二请求消息进行场景匹配。

6.根据权利要求4所述的应用数据处理方法，其特征在于，所述配置信息还包括：所述目标应用关联的密钥信息，利用所述第一挎斗安全组件对所述加密数据进行解密，得到所述目标数据包括：

利用所述第一挎斗安全组件根据所述密钥信息对所述加密数据进行解密，得到所述目标数据。

7.一种应用数据处理方法，其特征在于，包括：

接收第一设备上第一挎斗安全组件转发的第一请求消息，其中，所述第一请求消息由所述第一设备上的目标应用发起并通过所述第一挎斗安全组件的验证，所述第一请求消息用于请求获取第二设备上存储的所述目标应用关联的目标数据；

利用所述第二设备上的第二挎斗安全组件对所述目标数据进行加密处理，得到加密数据；

将所述加密数据返回至所述第一挎斗安全组件。

8.一种应用数据处理方法，其特征在于，包括：

获取第一设备上目标应用发起的请求消息，其中，所述请求消息用于请求对所述目标应用关联的目标数据执行目标操作；

对所述请求消息进行应用鉴权与场景匹配，得到处理结果，其中，所述应用鉴权用于对所述目标应用的身份信息进行鉴权，所述场景匹配用于对所述目标数据的场景信息进行匹配；

响应于所述处理结果表明所述应用鉴权与所述场景匹配均成功，执行所述目标操作。

9.根据权利要求8所述的应用数据处理方法，其特征在于，执行所述目标操作包括：

从第二设备获取加密数据；

将所述加密数据返回至所述目标应用。

10.根据权利要求9所述的应用数据处理方法，其特征在于，执行所述目标操作包括：

对所述加密数据进行解密，得到所述目标数据；

将所述目标数据返回至所述目标应用。

11.一种应用数据处理装置，其特征在于，包括：

拦截模块，用于利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，所述第一请求消息由所述第一设备上的目标应用发起，所述第一请求消息用于请求向第二设备获取所述目标应用关联的目标数据；

验证模块，用于利用所述第一挎斗安全组件对所述第一请求消息进行验证处理，得到第一验证结果；

获取模块，用于响应于所述第一验证结果表明所述第一请求消息通过验证，利用所述第一挎斗安全组件从所述第二设备获取加密数据，其中，所述加密数据由所述第二设备上的第二挎斗安全组件对所述目标数据进行加密处理后得到；

反馈模块，用于将所述加密数据返回至所述目标应用。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至10中任意一项所述的应用数据处理方法。

13.一种电子设备，其特征在于，包括：

处理器；以及

存储器，与所述处理器连接，用于为所述处理器提供处理以下处理步骤的指令：

利用第一设备上的第一挎斗安全组件拦截第一请求消息，其中，所述第一请求消息由所述第一设备上的目标应用发起，所述第一请求消息用于请求向第二设备获取所述目标应用关联的目标数据；

利用所述第一挎斗安全组件对所述第一请求消息进行验证处理，得到第一验证结果；

响应于所述第一验证结果表明所述第一请求消息通过验证，利用所述第一挎斗安全组件从所述第二设备获取加密数据，其中，所述加密数据由所述第二设备上的第二挎斗安全组件对所述目标数据进行加密处理后得到；

将所述加密数据返回至所述目标应用。

Images