WO2016146046A1 - 数据访问方法及装置 - Google Patents

Abstract

本发明公开了一种数据访问方法，包括步骤：在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；当检测到终端在预设位置范围内时，与所述终端建立连接；在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。本发明还公开了一种数据访问装置。本发明实现主动控制数据的访问，提高数据的安全性。

Description

数据访问方法及装置 技术领域

本发明涉及终端信息处理技术领域，尤其涉及数据访问方法及装置。

背景技术

随着移动互联网技术和智能手机的快速发展，移动办公因其具有方便携带资料、灵活办公，可行性高的优点，越来越普及，使得智能手机中储存的企业机密数据逐渐增多。一旦手机丢失或通过手机访问企业机密数据被第三方软件拦截，会造成企业机密数据的泄露，给企业带来不必要的损失。

现在很多企业对移动办公有着严格的策略，比如要求远程锁定手机、设置远程擦除数据等。其中：

远程锁定手机可以在不小心丢失手机后，通过第三方手机发一个预先设定好的代码给遗失的手机，遗失手机根据所述代码完成手机的锁定，禁止对手机的访问和操作。但在这种锁定方式下，用电脑对手机进行刷机后，这些防护功能都将形同虚设，企业机密数据就会泄漏；

设置远程擦除数据是在智能手机中设置了Exchange邮箱同步，在手机丢失时，可在邮局管理面板上远程清除手机设备的所有数据，把手机设备恢复到出厂设置状态，防止数据外泄。但是远程数据擦除只能清除手机内存中的数据，不能清除存储卡上保存的数据。

在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种数据访问方法及装置，旨在解决在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。

为实现上述目的，本发明实施例提供的一种数据访问方法，包括步骤：在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；当检测到终端在预设位置范围内时，与所述终端建立连接；在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。

优选地，所述检测终端是否在预设位置范围内的步骤包括：检测所述终端是否接入预设热点；在检测到所述终端接入预设热点时，判定所述终端在预设位置范围内。

优选地，所述当检测到终端在预设位置范围内时，与所述终端建立连接的步骤包括：当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否登录成功；在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；通过所述身份信息与所述终端建立连接。

优选地，所述根据所述身份信息与终端建立连接的步骤之后，还包括：当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。

优选地，获取所述访问请求对应的加密数据及密钥的步骤包括：在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限信息；根据所获取的访问权限判断所述终端是否具有所述加密数据的访问权限；在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥；在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息。

此外，为实现上述目的，本发明实施例还提供一种数据访问装置，包括：检测模块，设置为在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；建立模块，设置为当检测到终端在预设位置范围内时，与所述终端建立连接；获取模块，设置为在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；处理模块，设置为将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。

优选地，所述检测模块包括检测单元和判断单元，所述检测单元，设置为检测所述终端是否接入预设热点；所述判定单元，设置为在检测到所述终端接入预设热点时，判定所述终端在预设位置范围内。

优选地，所述建立模块包括确定单元和建立单元，所述确定单元，还设置为当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否登录成功；还设置为在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；所述建立单元，设置为通过所述身份信息与所述终端建立连接。

优选地，数据访问装置还包括：控制模块，设置为当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；所述断开模块，设置为在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。

优选地，所述获取模块包括获取单元、提示单元和判断单元，所述获取单元，设置为在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限；所述提示单元，设置为在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息；所述判断单元，设置为根据所获取的访问权限判断所述终端是否具有所述加密 数据的访问权限；所述获取单元，还设置为在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥。

相对现有技术，本发明实施例通过检测终端在预设位置范围内，接收加密数据的访问请求，与终端建立连接，并获取所述访问请求对应的加密数据及密钥，将所述加密数据及密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示。有效避免在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。使得在检测到终端在预设位置范围内时，主动控制数据的访问，在终端丢失或被第三方软件拦截时数据不易泄露，提高了数据的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明数据访问方法的第一实施例的流程示意图；

图2为图1中步骤S10一实施例的流程示意图；

图3为本发明数据访问方法的第二实施例的流程示意图；

图4为本发明数据访问方法的第三实施例的流程示意图；

图5为本发明数据访问装置的第一实施例的功能模块示意图；

图6为图5中检测模块一实施例的细化功能模块示意图；

图7为图5中建立模块一实施例的细化功能模块示意图；

图8为本发明数据访问装置的第二实施例的功能模块示意图；

图9为图5中获取模块一实施例的细化功能模块示意图。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例的主要解决方案是：在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；当检测到终端在预设位置范围内时，与所述终端建立连接；在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。通过检测终端在预设位置范围内，接收加密数据的访问请求，与终端建立连接，并获取所述访问请求对应的加密数据及密钥，将所述加密数据及密钥发送至终端，以供终端根据所述密钥解密所述加密数 据并显示。有效避免在现有的数据安全防护方式下，无法主动控制数据的访问，导致终端在丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。使得在检测到终端在预设位置范围内时，主动控制数据的访问，在终端丢失或被第三方软件拦截时数据不易泄露，提高了数据的安全性。

由于在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差。

基于上述问题，本发明提供一种数据访问方法。

参照图1，图1为本发明数据访问方法的第一实施例的流程示意图。

在一实施例中，所述数据访问方法包括：

步骤S10，在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；

为了保证特殊数据的安全，在特定地点对数据进行访问可以提高数据的安全性。所述特殊数据包括但不限于加密数据、机密数据或私人数据或企业数据、商业秘密等数据。在需要访问加密数据时，检测访问加密数据的用户是否在特定地点，即服务器在接收到加密数据的访问请求时，检测终端是否在预设位置范围内。

所述服务器保存所述访问请求对应的加密数据、用户的基本信息、用户所具有的权限，记录用户在何时何地访问的数据，保存与用户身份相关的密钥，为了保证密钥的安全性，可以将管理密钥的服务器单独部署。

具体的，参照图2，所述检测终端是否在预设位置范围内的过程包括：

步骤S11，检测所述终端是否接入预设热点；

步骤S12，在所述终端接入预设热点时，判定所述终端在预设位置范围内。

所述预设热点可以是Wi-Fi热点等供用户接入该热点与互联网通信的热点，预设热点的覆盖范围可以根据用户的需要设置。所述预设热点的接入方式可以采用Wi-Fi、蓝牙、NFC等连接方式。在本实施例所述预设热点的接入优选为蓝牙、NFC。以采用NFC的接入方式接入预设的Wi-Fi热点为例，当具有NFC功能的终端放在预设的NFC智能终端托架上时，具有NFC功能的终端通过感应托架上的NFC标签，与所述预设的Wi-Fi热点连接。

所述服务器在侦测到所述终端未接入所述预设热点时，判定终端未在预设位置范围内，即所述访问请求对应用户未在允许访问数据的特定地点内。在本发明其他实施例中，所述检测终端是否在预设位置范围内的过程包括：提前预存预设位置，例如，公司的位置等，获取终端的位置，在终端的位置与所述预设位置匹配时，判定所述终端在预设位置范围内；在终端的位置与所述预设位置不匹配时，判定所述终端不在预设位置范围内。也还可以采取其他本领域技术人员公知的方式来判定所述终端是否在预设位置范围内，在此不再一一举例。

步骤S20，当检测到终端在预设位置范围内时，与所述终端建立连接；

所述连接可以是心跳连接，通过建立TCP协议或UDP协议来打通服务器与所述终端的数据传输通道。所述服务器接收终端发送的数据包，若所述服务器在一定时间内(2秒或3秒)响应终端发送的数据包，则判断所述服务器与所述终端建立连接成功，打通与所述终端的数据传输通道。在本发明的其他实施例中，也可以采用其他协议来建立所述连接，打通与所述终端的数据传输通道。

步骤S30，在与所述终端建立连接时，获取所述访问请求对应的加密数据及密钥；

在与所述终端建立连接时，获取所述访问请求对应的加密数据及所述加密数据的密钥，通过所述密钥解密所述加密数据。所述密钥与所述访问请求对应的用户的身份信息关联，所述身份信息可以是：例如，用户的帐号、访问时间戳等，根据用户的需要设置。所述时间戳是文件属性里创建、修改、访问文件的时间。所述时间戳是一个经加密后形成的凭证文档，先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后，再对该文件加密(数字签名)。所述Hash编码是Hash编码算法，即哈希编码算法，哈希编码算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希编码算法都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。可以用于快速查找和加密算法。

步骤S40，将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。

所述服务器在获取到所述加密数据及密钥后，将所述加密数据及密钥发送终端，所述终端根据所述密钥解密所述加密数据得到目标数据，并在终端屏幕上显示所述目标数据。所述加密解密数据的方式可以采用公开的安全散列算法SHA、RSA算法、数据加密标准DES等其他加密解密算法，根据系统的性能设置。在本发明其他实施例中，当通过终端访问加密数据后，若终端不在预设位置范围内，则控制终端清除缓存的加密数据，并断开与所述终端的连接，取消所述终端访问所述加密数据的权限，即，只有在终端处于预设位置范围内时才有访问加密数据的权限，才可访问加密数据。

本实施例通过检测终端在预设位置范围内，接收加密数据的访问请求，与终端建立连接，并获取所述访问请求对应的加密数据及密钥，将所述加密数据及密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示。有效避免在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。使得在检测到终端在预设位置范围内时，主动控制数据的访问，在终端丢失或被第三方软件拦截时数据不易泄露，提高了数据的安全性。

参照图3，图3为本发明数据访问方法的第二实施例的流程示意图。基于上述数据访问方法的第一实施例，所述步骤S20包括：

步骤S21，当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否 登录成功；

当检测到所述终端在预设位置范围内时，所述服务器确定所述访问请求对应的用户是否登录成功，所述用户可以通过如下登录方式完成登录操作，例如，可以通过接收密码、语音或人脸识别登录等登录方式的登录，所述登录方式根据用户的需要设置及/或系统的性能设置。所述登录方式以人脸识别登录为例，所述服务器当检测到所述终端在预设位置范围内时，开启终端的工作客户端，所述工作客户端包含用户日常工作需要用到的功能，包括邮件、通讯录、文件查看、功能审批等。在开启终端的工作客户端时，开启终端的相机，以供终端获取所述访问请求对应的用户的人脸图像，将所述人脸图像与预存的人脸图像匹配，确定所述人脸图像与预存的人脸图像的相似度，确定所述相似度是否达到预设阈值。在所述相似度达到预设阈值时，确定所述访问请求对应的用户成功登录。所述预设阈值可以是80％、90％等根据用户的需要及/或系统的性能设置。在所述相似度未达到预设阈值时，发出所述访问请求对应的用户登录失败的提示信息，控制终端进入锁定模式，锁定当前工作客户端的操作界面，并截止客户端数据的访问操作，防止数据的丢失或泄露等，进一步提高数据的安全性。

步骤S22，在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；

步骤S23，通过所述身份信息与所述终端建立连接。

所述建立连接是所述服务器在所述访问请求对应的用户登录成功时，确定所述用户的身份信息，通过所述身份信息建立与所述终端的连接。

进一步地，为了进一步有效防止数据的丢失，提高数据的安全性，在所述步骤S23之后还包括：

步骤S24，当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；

步骤S25，在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。

所述服务器在检测到终端未在预设位置范围内时，即所述访问请求对应的用户离开热点的覆盖范围后，控制终端清除与所述身份信息对应的缓存数据，并自动断开与所述终端的连接。通过在终端离开预设位置范围后，控制终端清除在终端本地保存的数据，防止终端在其他位置接入不安全热点时，导致数据丢失的问题，进一步提高了数据访问的安全性。

本实施例在检测到所述终端在预设位置范围内时，判断所述访问请求对应的用户是否成功登录，在所述访问请求对应的用户成功登录时，与所述终端建立连接，所述终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据。实现准确、有效地确认访问加密数据用户的身份，并且侦测到所述终端在离开热点覆盖范围内，自动清除缓存数据，防止数据的泄漏，进一步地提高了数据访问的安全性。

参照图4，图4为本发明数据访问方法的第三实施例的流程示意图。基于上述数据访问方法的第二实施例，所述步骤S30包括：

步骤S31，在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限；

步骤S32，根据所述权限判断所述终端是否具有所述加密数据的访问权限；

步骤S33，在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥；

步骤S34，在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息。

在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限，所述访问权限包括哪些终端或哪些用户可以访问所述加密数据，即包括可以访问所述加密数据的白名单，或者黑名单。在获取所述加密数据的访问权限后，根据所获取的访问权限确定所述终端是否在所述访问权限的白名单内，若在所述白名单内，则判断所述终端具有所述加密数据的访问权限；若不在所述白名单内，则判断所述终端不具有所述加密数据的访问权限。判断所述终端是否具有所述加密数据的访问权限的过程也还可以是：根据所获取的访问权限确定所述终端是否在所述访问权限的黑名单内，若在所述黑名单内，则判断所述终端不具有所述加密数据的访问权限；若不在所述黑名单内，则判断所述终端具有所述加密数据的访问权限。判断所述终端是否具有所述加密数据的访问权限的过程也还可以是：根据所述权限信息判断在预设时间内是否响应所述访问请求，若在预设时间内响应所述访问请求，则判断所述终端具有所述加密数据的访问权限；若在预设时间内未响应所述访问请求，则判断所述终端未具有所述加密数据的访问权限，发出所述终端无权限访问所述加密数据的提示信息。所述预设时间可以是3秒、4秒等，所述提示方式可以是语音、文字、图片等方式。

本实施例在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限信息，并判断所述终端是否具有所述加密数据的访问权限，在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥。通过获取访问权限和密钥能够切实保证数据的安全。

本发明进一步提供一种数据访问装置。

参照图5，图5为本发明数据访问装置的第一实施例的功能模块示意图。

在一实施例中，所述数据访问装置包括：检测模块10、建立模块20、获取模块30及处理模块40。

所述检测模块10，设置为在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；

为了保证特殊数据的安全，在特定地点对数据进行访问可以提高数据的安全性。所述特殊数据包括但不限于加密数据、机密数据或私人数据或企业数据、商业秘密等数据。在需要 访问加密数据时，检测访问加密数据的用户是否在特定地点，即服务器在接收到加密数据的访问请求时，检测终端是否在预设位置范围内。

所述服务器保存所述访问请求对应的加密数据、用户的基本信息、用户所具有的权限，记录用户在何时何地访问的数据，保存与用户身份相关的密钥，为了保证密钥的安全性，可以将管理密钥的服务器单独部署。

具体的，参照图6，所述检测模块10包括检测单元11和判定单元12，

所述检测单元11，设置为检测所述终端是否接入预设热点；

所述判定单元12，设置为在所述终端接入预设热点时，判定所述终端在预设位置范围内。

所述预设热点可以是Wi-Fi热点等供用户接入该热点与互联网通信的热点，预设热点的覆盖范围可以根据用户的需要设置。所述预设热点的接入方式可以采用Wi-Fi、蓝牙、NFC等连接方式。在本实施例所述预设热点的接入优选为蓝牙、NFC。以采用NFC的接入方式接入预设的Wi-Fi热点为例，当具有NFC功能的终端放在预设的NFC智能终端托架上时，具有NFC功能的终端通过感应托架上的NFC标签，与所述预设的Wi-Fi热点连接。

所述服务器在侦测到所述终端未接入所述预设热点时，判定终端未在预设位置范围内，即所述访问请求对应用户未在允许访问数据的特定地点内。在本发明其他实施例中，所述检测终端是否在预设位置范围内的过程包括：提前预存预设位置，例如，公司的位置等，获取终端的位置，在终端的位置与所述预设位置匹配时，判定所述终端在预设位置范围内；在终端的位置与所述预设位置不匹配时，判定所述终端不在预设位置范围内。也还可以采取其他本领域技术人员公知的方式来判定所述终端是否在预设位置范围内，在此不再一一举例。

所述建立模块20，设置为当检测到终端在预设位置范围内时，与所述终端建立连接；

所述连接可以是心跳连接，通过建立TCP协议或UDP协议来打通服务器与所述终端的数据传输通道。所述服务器接收终端发送的数据包，若所述服务器在一定时间内(2秒或3秒)响应终端发送的数据包，则判断所述服务器与所述终端建立连接成功，打通与所述终端的数据传输通道。在本发明的其他实施例中，也可以采用其他协议来建立所述连接，打通与所述终端的数据传输通道。

所述获取模块30，设置为在与所述终端建立连接时，获取所述访问请求对应的加密数据及密钥；

在与所述终端建立连接时，获取所述访问请求对应的加密数据及所述加密数据的密钥，通过所述密钥解密所述加密数据。所述密钥与所述访问请求对应的用户的身份信息关联，所述身份信息可以是：例如，用户的帐号、访问时间戳等，根据用户的需要设置。所述时间戳是文件属性里创建、修改、访问文件的时间。所述时间戳是一个经加密后形成的凭证文档，先将需要加时间戳的文件用Hash编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入 了收到文件摘要的日期和时间信息后，再对该文件加密(数字签名)。所述Hash编码是Hash编码算法，即哈希编码算法，哈希编码算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希编码算法都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。可以用于快速查找和加密算法。

所述处理模块40，设置为将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。

所述服务器在获取到所述加密数据及密钥后，将所述加密数据及密钥发送终端，所述终端根据所述密钥解密所述加密数据得到目标数据，在终端屏幕上显示所述目标数据。所述加密解密数据的方式下可以采用公开的安全散列算法SHA、RSA算法、数据加密标准DES等其他加密解密算法，根据系统的性能设置。在本发明其他实施例中，当通过终端访问加密数据后，若终端不在预设位置范围内，则控制终端清除缓存的加密数据，并断开与所述终端的连接，取消所述终端访问所述加密数据的权限，即，只有在终端处于预设位置范围内时才有访问加密数据的权限，才可访问加密数据。

本实施例通过检测终端在预设位置范围内，接收加密数据的访问请求，与终端建立连接，并获取所述访问请求对应的加密数据及密钥，将所述加密数据及密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示。有效避免在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。使得在检测到终端在预设位置范围内时，主动控制数据的访问，在终端丢失或被第三方软件拦截时数据不易泄露，提高了数据的安全性。

进一步地，参照图7，所述建立模块20包括确定单元21和建立单元22；参考图8，所述数据访问装置还包括控制模块50和断开模块60。

所述确定单元21，设置为当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否登录成功；

当检测到所述终端在预设位置范围内时，所述服务器确定所述访问请求对应的用户是否登录成功，所述用户可以通过如下登录方式完成登录操作，例如，可以通过接收密码、语音或人脸识别登录等登录方式的登录，所述登录方式根据用户的需要设置及/或系统的性能设置。所述登录方式以人脸识别登录为例，所述服务器当检测到所述终端在预设位置范围内时，开启终端的工作客户端，所述工作客户端包含用户日常工作需要用到的功能，包括邮件、通讯录、文件查看、功能审批等。在开启终端的工作客户端时，开启终端的相机，以供终端获取所述访问请求对应的用户的人脸图像，将所述人脸图像与预存的人脸图像匹配，确定所述人脸图像与预存的人脸图像的相似度，确定所述相似度是否达到预设阈值。在所述相似度达到预设阈值时，确定所述访问请求对应的用户成功登录。所述预设阈值可以是80％、90％等根据用户的需要及/或系统的性能设置。在所述相似度未达到预设阈值时，发出所述访 问请求对应的用户登录失败的提示信息，控制终端进入锁定模式，锁定当前工作客户端的操作界面，并截止客户端数据的访问操作，防止数据的丢失或泄露等，进一步提高数据的安全性。

所述确定单元21，还设置为在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；

所述建立单元22，设置为根据所述身份信息与所述终端建立连接；

所述建立连接是所述服务器在所述访问请求对应的用户登录成功时，确定所述用户的身份信息，通过所述身份信息建立与所述终端的连接。

所述控制模块50，设置为当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；

所述断开模块60，设置为在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。

所述服务器在检测到终端未在预设位置范围内时，即所述访问请求对应的用户离开热点的覆盖范围后，控制终端清除与所述身份信息对应的缓存数据，并自动断开与所述终端的连接。通过在终端离开预设位置范围后，控制终端清除在终端本地保存的数据，防止终端在其他位置接入不安全热点时，导致数据丢失的问题，进一步提高了数据访问的安全性。

本实施例在检测到所述终端在预设位置范围内时，判断所述访问请求对应的用户是否成功登录，在所述访问请求对应的用户成功登录时，与所述终端建立连接，所述终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据。实现准确、有效地确认访问加密数据用户的身份，并且侦测到所述终端在离开热点覆盖范围内，自动清除缓存数据，防止数据的泄漏，进一步地提高了数据访问的安全性。

进一步地，参照图9，所述获取模块30包括获取单元31、判断单元32和提示单元33，

所述获取单元31，设置为在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限；

所述判断单元32，设置为根据所获取的访问权限判断所述终端是否具有所述加密数据的访问权限；

所述获取单元31，还设置为在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥；

所述提示单元33，设置为在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息。

在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限，所述访问权限包括哪些终端或哪些用户可以访问所述加密数据，即包括可以访问所述加密数据的白名 单，或者黑名单。在获取所述加密数据的访问权限后，根据所获取的访问权限确定所述终端是否在所述访问权限的白名单内，若在所述白名单内，则判断所述终端具有所述加密数据的访问权限；若不在所述白名单内，则判断所述终端不具有所述加密数据的访问权限。判断所述终端是否具有所述加密数据的访问权限的过程也还可以是：根据所获取的访问权限确定所述终端是否在所述访问权限的黑名单内，若在所述黑名单内，则判断所述终端不具有所述加密数据的访问权限；若不在所述黑名单内，则判断所述终端具有所述加密数据的访问权限。判断所述终端是否具有所述加密数据的访问权限的过程也还可以是：根据所述权限信息判断在预设时间内是否响应所述访问请求，若在预设时间内响应所述访问请求，则判断所述终端具有所述加密数据的访问权限；若在预设时间内未响应所述访问请求，则判断所述终端未具有所述加密数据的访问权限，发出所述终端无权限访问所述加密数据的提示信息。所述预设时间可以是3秒、4秒等，所述提示方式可以是语音、文字、图片等方式。

本实施例在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限信息，并判断所述终端是否具有所述加密数据的访问权限，在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥。通过获取访问权限和密钥能够切实保证数据的安全。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

工业实用性

本发明实施例通过检测终端在预设位置范围内，接收加密数据的访问请求，与终端建立连接，并获取所述访问请求对应的加密数据及密钥，将所述加密数据及密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示。有效避免在现有的数据安全防护方式下，无法主动控制数据的访问，在终端丢失或被第三方软件拦截时容易导致数据泄露，使得数据的安全性差的问题。使得在检测到终端在预设位置范围内时，主动控制数据的访问，在终端丢失或被第三方软件拦截时数据不易泄露，提高了数据的安全性。

Claims (10)

1. 一种数据访问方法，包括步骤：

   在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；

   当检测到终端在预设位置范围内时，与所述终端建立连接；

   在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；

   将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。
2. 如权利要求1所述的数据访问方法，其中，所述检测终端是否在预设位置范围内的步骤包括：

   检测所述终端是否接入预设热点；

   在检测到所述终端接入预设热点时，判定所述终端在预设位置范围内。
3. 如权利要求1所述的数据访问方法，其中，所述当检测到终端在预设位置范围内时，与所述终端建立连接的步骤包括：

   当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否登录成功；

   在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；

   通过所述身份信息与所述终端建立连接。
4. 如权利要求3所述的数据访问方法，其中，所述根据所述身份信息与终端建立连接的步骤之后，还包括：

   当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；

   在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。
5. 如权利要求1至4中任一项所述的数据访问方法，其中，所述获取所述访问请求对应的加密数据及密钥的步骤包括：

   在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限；

   根据所获取的访问权限判断所述终端是否具有所述加密数据的访问权限；

   在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥；

   在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息。
6. 一种数据访问装置，包括：

   检测模块，设置为在接收到加密数据的访问请求时，检测终端是否在预设位置范围内；

   建立模块，设置为当检测到终端在预设位置范围内时，与所述终端建立连接；

   获取模块，设置为在与所述终端建立连接后，获取所述访问请求对应的加密数据及密钥；

   处理模块，设置为将所述加密数据及所述密钥发送至终端，以供终端根据所述密钥解密所述加密数据并显示解密后的加密数据。
7. 如权利要求6所述的数据访问装置，其中，所述检测模块包括检测单元和判断单元，

   所述检测单元，设置为检测所述终端是否接入预设热点；

   所述判定单元，设置为在检测到所述终端接入预设热点时，判定所述终端在预设位置范围内。
8. 如权利要求6所述的数据访问装置，其中，所述建立模块包括确定单元和建立单元，

   所述确定单元，还设置为当检测到所述终端在预设位置范围内时，确定所述访问请求对应的用户是否登录成功；还设置为在所述访问请求对应的用户登录成功时，确定所述用户的身份信息；

   所述建立单元，设置为通过所述身份信息与所述终端建立连接。
9. 如权利要求6至8中任一项所述的数据访问装置，其中，数据访问装置还包括：控制模块，设置为当检测到终端未在预设位置范围内时，控制终端清除与所述身份信息对应的缓存数据；

   所述断开模块，设置为在检测到终端清除与所述身份信息对应的缓存数据后，断开与所述终端的连接。
10. 如权利要求9所述的数据访问装置，其中，所述获取模块包括获取单元、判断单元和提示单元，

    所述获取单元，设置为在与所述终端建立连接时，获取所述访问请求对应的加密数据的访问权限；

    所述判断单元，设置为根据所获取的访问权限判断所述终端是否具有所述加密数据的访问权限；

    所述获取单元，还设置为在所述终端具有所述加密数据的访问权限时，获取所述访问请求对应的加密数据及密钥；

    所述提示单元，设置为在所述终端未具有所述加密数据的访问权限时，发出所述终端无权限访问所述加密数据的提示信息。

Images