WO2018161302A1

WO2018161302A1 - 数据处理方法、装置和系统

Info

Publication number: WO2018161302A1
Application number: PCT/CN2017/076117
Authority: WO
Inventors: 郭代飞; 刘锡峰
Original assignee: 西门子公司; 郭代飞
Priority date: 2017-03-09
Filing date: 2017-03-09
Publication date: 2018-09-13
Also published as: US11178114B2; CN110313147A; CN110313147B; EP3584990A1; US20210036995A1; EP3584990A4

Abstract

提供数据处理方法和装置以及系统。该数据处理方法，包括：获取一个本地客户网络(101)中的一个第一数据包；确定所述第一数据包中的敏感数据；将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；发送生成的所述第二数据包。

Description

数据处理方法、装置和系统

技术领域

本申请涉及数据处理领域，且具体地，涉及一种数据处理方法、装置和系统，用于对一个本地客户网络中的数据包中的敏感数据进行处理。

背景技术

在网络安全监视环境中，通常会在诸如一个工业系统的本地客户网络中或本地客户网络之外布署数据采集装置，用于采集本地客户网络中的数据包。比如，可以在本地客户网络中布署网络安全监视器(Network Security Monitor，NSM)进行数据包的采集和初步分析，NSM采集到的数据包再发送至用于进行网络安全监控的控制装置，比如：网络安全中心(Cyber Defense Center)，由该控制装置进行信息安全相关的处理。

然而，该数据采集装置采集到的数据包中可能包括敏感数据，比如：用户名、密码等个人敏感信息，报价、销售额等商业敏感信息，以及互联网协议(Internet Protocol，IP)地址等地址信息。对于不同的本地客户网络，敏感数据的定义可能不同。可根据本地客户网络的特点和安全要求等对敏感数据进行定义。无论敏感数据的定义如何，敏感数据若泄漏给第三方设备(比如：前述的CDC、用于对网络性能进行监控的性能管理中心等)，则会增大本地客户网络或网络中的用户被恶意攻击的风险。

因此，在将一个本地客户网络中的数据发送给第三方设备时，需要避免敏感数据的泄漏。

发明内容

本发明实施例提供一种数据处理方法，用于对一个本地客户网络中的数据包进行处理，以避免数据包中的敏感数据被泄漏。

根据第一方面，本发明实施例提供数据处理方法，包括：获取一个本地客户网络中的一个第一数据包；确定所述第一数据包中的敏感数据；将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；发送生成的所述第二数据包。

如此，可以将敏感数据进行掩码处理，掩码处理后的数据包即使被第三方设备获得，其中的敏感数据由于经过了掩码处理，其内容也不容易被第三方设备破解，从而使得敏感数据不被泄漏。

在一个实施例中，确定所述第一数据包中的敏感数据，包括：从已配置的一个敏感数据映射表中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，一个敏感数据映射表中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，该敏感数据映射信息包括用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。

如此，通过敏感数据映射表中的敏感数据映射信息，可确定第一数据包中是否包括敏感数据，且根据该映射表项中记录敏感数据定位信息，可在第一数据包中快速定位敏感数据。

该敏感数据定位信息可以包括明确的位置、位置特征、字段标识信息等指示位置的信息。

在一个实施例中，该方法还包括接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置；在所述敏感数据映射表中增加一个映射表项，在增加的映射表项中记录接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。

如此，可以根据接收到的敏感数据映射信息和敏感数据定位信息，来扩充敏感数据映射表，从而再利用扩充的敏感数据映射表来更广泛和准确地进行敏感数据的确定和掩码处理，进一步保证敏感数据不被泄漏。

在一个实施例中，该将所述第一数据包中的敏感数据进行掩码处理，包括：将所述第一数据包中的敏感数据进行替换；其中，在将所述第一数据包中的敏感数据进行替换之后，还包括：在所述敏感数据映射表中记录第一替换数据项，其中，所述第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

这种替换可以是所有的敏感数据都用相同的替换数据来替换，只是长度不同。比如：全都用固定格式的比特流替换。可选地，也可以用彼此不同的替换数据来替换。

这是第一种掩码处理的方案，即用一个替换数据来替换一个敏感数据，并在敏感数据映射表中记录该敏感数据、该替换数据以及二者之间的对应关系的第一替换数据项，从而在后续可根据替换数据来溯源原始的敏感数据。

在一个实施例中，在发送生成的所述第二数据包之后，还包括：接收回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定所述第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据来根据敏感数据映射表中记录的第一替换数据项来溯源原始的敏感数据。

在一个实施例中，将所述第一数据包中的敏感数据进行掩码处理，包括：将所述第一数据包中的敏感数据进行掩码运算；在将所述第一数据包中的敏感数据进行掩码运算之后，还包括：记录第一掩码运算项，其中，所述第一掩码运算项包括：对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。

这是第二种掩码处理的方案，即对敏感数据进行掩模运算以生成一个经过掩码运算后的敏感数据，并在敏感数据映射表中记录该敏感数据、该经过掩码运算后的敏感数据以及二者之间的对应关系的第一掩码运算项，从而在后续可根据经过掩码运算后的敏感数据来溯源原始的敏感数据。

在一个实施例中，该方法在发送生成的所述第二数据包之后，还包括：接收回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据来根据敏感数据映射表中记录的第一掩码运算项来进行逆掩码运算来溯源原始的敏感数据。

在一个实施例中，该方法还包括：生成一个掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；发送所述掩码处理标识。

该掩码处理标识是为了表示该第二数据包中包括了进行了掩码处理的敏感数据的，收到该第二数据包的设备或装置可基于该掩码处理标识来确定该第二数据包中包括了进行了掩码处理的敏感数据。

在此举例，掩码处理标识有两种形式：

1、掩码处理标识

用于标识所述第二数据包中包括了进行了掩码处理的敏感数据(比如，在第二数据包的预先约定的位置预留N位，N为正整数，该N位数据的一种取值表示第二数据包中包括进行了掩码处理的敏感数据，其他取值表示第二数据包中不包括进行了掩码处理的敏感数据)。

2、掩码处理标识

用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型(比如：敏感数据的数据类型为电子邮件地址类型、用户名/密码类型等)。而通过发送该掩码处理标识，则可以后续进行原始敏感数据的溯源。

在一个实施例中，发送所述掩码处理标识，包括：发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息，或将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

如此，可利用上述指示信息以及掩码处理标识来得知该对应的第二数据包中包括了进行了掩码处理的敏感数据，或者，可利用在该预设位置处发现的掩码处理标识来得知该第二数据包中包括了进行了掩码处理的敏感数据。

在第二方面，提供数据处理方法，包括：接收来自一个本地客户网络的一个第二数据包；获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据；根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。

如此，可以在接收到第二数据包时利用掩码处理标识获知该数据包中是否包括进行了掩码处理的敏感数据，以避免将进行了掩码处理的数据包作为没有敏感数据的数据包，也能够溯源该敏感数据。

在第三方面，提供数据处理方法，包括：接收来自一个本地客户网络的一个第二数据包；获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型；根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。

如此，可以在接收到第二数据包时利用掩码处理标识获知该数据包中包括进行了掩码处理的敏感数据的敏感数据类型，避免将进行了掩码处理的数据包作为没有敏感数据的数据包，也能够根据该敏感数据类型而溯源该敏感数据。

结合第二方面或第三方面，在一个实施例中，获取掩码处理标识，包括：接收所述掩码处理标识和一个指示信息，所述指示信息用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息确定所述掩码处理标识对应于所述第二数据包；或从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

通过相对应的掩码处理标识和指示信息，能够确定对应的第二数据包，或从预设位置处获取掩码处理标识，从而避免了一一搜索掩码处理标识和定位第二数据包。同时，基于指示信息而不是从用于管理敏感数据的敏感数据映射表中获取敏感信息，从而可避免从敏感数据映射表中直接获知原始的敏感数据，进一步保证了敏感数据不被泄漏。

结合第二方面、第二方面的任一实施例、第三方面、第三方面的任一实施例，在一个实施例中，该数据处理方法还包括：向一个敏感数据处理装置发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置用于对所述本地客户网络中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置确定一个数据包中包括的敏感数据，其中，该敏感数据映射信息包括用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。

如此，通过发送敏感数据映射信息和敏感数据定位信息，可以扩充敏感数据处理装置中的敏感数据映射表。这样，敏感数据处理装置根据扩充的敏感数据映射表，则可更广泛和准确地进行敏感数据的确定和掩码处理，进一步保证敏感数据不被泄漏。

其中，在向所述敏感数据处理装置发送所述敏感数据映射信息之前，还包括：接收来自所述本地客户网络的一个第三数据包；基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；确定所述第三数据包中包括的敏感数据未经过掩码处理；根据所述敏感数据来生成所述第三数据包的所述敏感数据映射信息以及对应于所述敏感数据映射信息的敏感数据定位信息；向所述敏感数据处理装置发送获取的所述敏感数据映射信息，并对应于发送的所述敏感数据映射信息向所述敏感数据处理装置发送生成的所述敏感数据定位信息。

如此，可基于已配置的敏感数据特征信息确定敏感数据和生成敏感数据映射信息和敏感数据定位信息。无需在敏感数据处理装置处进行该处理，以节省敏感数据处理装置的计算量。

在第四方面中，提供用于数据处理系统，包括：一个敏感数据处理装置，位于所述本地客户网络中或位于所述本地客户网络之外，用于：获取所述本地客户网络中的一个第一数据包，确定所述第一数据包中的敏感数据，将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包，以及发送生成的所述第二数据包；一个控制装置，所述控制装置位于本地客户网络中或位于所述本地客户网络之外，用于接收所述第二数据包。

如此，通过敏感数据处理装置，可以将敏感数据进行掩码处理，掩码处理后的数据包即使被第三方设备获得，其中的敏感数据由于经过了掩码处理，其内容也不容易被第三方设备破解，从而使得敏感数据不被泄漏。

该系统中，敏感数据处理装置的其他可选实现方式可参考第一方面或第一方面的任一实施例，控制装置的其他可选实现方式可参考第二方面、第二方面的任一实施例或第三方面、第三方面的任一实施例。

在第五方面中，提供敏感数据处理装置，其特征在于，包括：一个获取部件，被配置为获取一个本地客户网络中的一个第一数据包；一个确定部件，被配置为确定所述第一数据包中的敏感数据；一个生成部件，被配置为将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；一个发送部件，被配置为发送生成的所述第二数据包。

在一个实施例中，所述确定部件被具体配置为：从已配置的一个敏感数据映射表中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，一个敏感数据映射表中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，该敏感数据映射信息包括用于确定敏感数据的关键词信息；

该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。

在一个实施例中，所述获取部件还被配置为：接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置；所述确定部件还被配置为：在所述敏感数据映射表中增加一个映射表项，在增加的映射表项中记录所述获取部件接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。

如此，可以自学习敏感数据的敏感数据映射信息和敏感数据定位信息，来扩充敏感数据映射表，从而再利用扩充的敏感数据映射表来更广泛和准确地进行敏感数据的确定和掩码处理，进一步保证敏感数据不被泄漏。

在一个实施例中，所述生成部件被具体配置为：通过将所述第一数据包中的敏感数据进行替换来将所述第一数据包中的敏感数据进行掩码处理；所述生成部件还被配置为：在将所述第一数据包中的敏感数据进行替换之后，在一个敏感数据映射表中记录第一替换数据项，其中，所述第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

在一个实施例中，该敏感数据处理装置还包括：一个第一还原部件，被配置为：接收回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定所述第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

在一个实施例中，所述生成部件被具体配置为，通过将所述第一数据包中的敏感数据进行掩码运算来将所述第一数据包中的敏感数据进行掩码处理；所述生成部件还被配置为：在将所述第一数据包中的敏感数据进行掩码运算之后，记录第一掩码运算项，其中，所述第一掩码运算项包括：对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。

在一个实施例中，该敏感数据处理装置还包括一个第二还原部件，被配置为：接收回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

在一个实施例中，所述生成部件还被配置为：生成一个掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；所述发送部件还被配置为：发送所述掩码处理标识。

通过发送该掩码处理标识，则可以后续进行原始敏感数据的溯源。

在一个实施例中，所述发送部件被具体配置为：发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息，或将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

如此，可选地，可利用该指示信息以及掩码处理标识来得知该对应的第二数据包中包括了进行了掩码处理的敏感数据，或者，可利用在该预设位置处发现的掩码处理标识来得知该第二数据包中包括了进行了掩码处理的敏感数据。

该敏感数据处理装置的其他可选实现方式可参考第一方面、或第一方面的任一实施例。

在第六方面中，提供敏感数据处理装置，包括：至少一个处理器；以及至少一个存储器，与所述至少一个处理器耦合，其中，所述至少一个存储器还存储计算机可执行指令，其可在由至少一个处理器执行时进行如第一方面或第一方面任一实施例所述的数据处理方法。

在第七方面中，提供计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被至少一个处理器执行时，使所述至少一个处理器执行如第一方面或第一方面任一实施例所述的数据处理方法。

在第八方面中，提供控制装置，包括：接收部件，被配置为接收来自一个本地客户网络的一个第二数据包；获取部件，被配置为获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据；确定部件，被配置为根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。

如此，可以在接收到第二数据包时利用掩码处理标识获知该数据包中是否包括进行了掩码处理的敏感数据，避免将进行了掩码处理的数据包作为没有敏感数据的数据包，也能够溯源该敏感数据。

在第九方面中，提供控制装置，包括：一个接收部件，被配置为接收来自一个本地客户网络的一个第二数据包；一个获取部件，被配置为获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型；一个确定部件，被配置为根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。

结合第八方面或第九方面，在一个实施例中，所述获取部件被配置为：接收所述掩码处理标识和一个指示信息，所述指示信息用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息确定所述掩码处理标识对应于所述第二数据包；或从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

结合第八方面、第八方面的任一实施例、第九方面、第九方面的任一实施例，在一个实施例中，该控制装置还包括：一个发送部件，被配置为：向一个敏感数据处理装置发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置用于对所述本地客户网络中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置确定一个数据包中包括的敏感数据，其中，该敏感数据映射信息包括用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。

其中，所述接收部件还被配置为：在所述发送部件向所述敏感数据处理装置发送所述敏感数据映射信息之前，接收来自所述本地客户网络的一个第三数据包；所述确定部件还被配置为：基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；确定所述第三数据包中包括的敏感数据未经过掩码处理；获取所述第三数据包的所述敏感数据映射信息；对应于所述第三数据包中的所述敏感数据映射信息生成所述敏感数据定位信息。

在第十方面中，提供控制装置，包括：至少一个处理器；以及至少一个存储器，与所述至少一个处理器耦合，其中，所述至少一个存储器还存储计算机可执行指令，其可在由至少一个处理器执行时进行如第二方面、第二方面的任一实施例、第三方面、第三方面的任一实施例的数据处理方法。

在第十一方面中，计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被至少一个处理器执行时，使所述至少一个处理器执行如第二方面、第二方面的任一实施例、第三方面、第三方面的任一实施例的数据处理方法。

如此，综上，可以将敏感数据进行掩码处理，掩码处理后的数据包即使被第三方设备获得，其中的敏感数据由于经过了掩码处理，其内容也不容易被第三方设备破解，从而使得敏感数据不被泄漏。

附图说明

图1A-1D示出一个数据处理系统的几种可选实现方式的示意图，其中，该数据处理系统可应用于本发明的各个实施例。

图2示出应用本发明的各个实施例的数据处理系统的内部单元和模块的示意方框图。

图3示出根据本发明的一个实施例的数据处理方法的流程图。

图4示出根据本发明的一个实施例的敏感数据类型表中存储的数据类型的示意图。

图5示出根据本发明的一个实施例的用于对一个本地客户网络中的数据包的数据处理方法的流程图。

图6示出根据本发明的一个实施例的敏感数据处理装置的方框图。

图7示出根据本发明的一个实施例的控制装置的方框图。

图8示出根据本发明的另一个实施例的敏感数据处理装置的方框图。

图9示出根据本发明的另一个实施例的控制装置的方框图。

附图标记列表：

1客户端侧	2服务器侧
100数据处理系统	101本地客户网络	102敏感数据处理装置
103控制装置
1011网络数据流	1012系统日志	1013系统配置数据
1014网络配置数据	1015安全配置数据
1021敏感数据特征提取单元	1022敏感数据确定单元	1023敏感数据分析单元
1024掩码处理单元	1025事件处理单元	1026数据接收单元
1027第一安全通信模块	1028敏感数据映射表	1029敏感数据类型表
1031网络安全监测单元	1032敏感数据定位单元	1033第二安全通信模块
1034安全事件敏感数据查询单元	1035网络安全事件数据库	1036指示信息
10291IP地址模式	10292用户名/密码模式	10293银行账户模式
10294电话号码模式	10295身份证号码模式	10296敏感电子邮件模式
10297敏感文件模式	10298敏感配置信息模式	10299敏感命令模式
601获取部件	602确定部件	603生成部件
604发送部件	605第一还原部件	606第二还原部件
701接收部件	702获取部件	703确定部件
704发送部件	801处理器	802存储器
901处理器	902存储器

具体实施方式

如前所述，本地客户网络中的敏感数据若被泄漏给第三方设备，则可能增大本地客户网络被恶意攻击的风险。

本发明实施例中，通过对本地客户网络中的数据包中的敏感数据进行掩码处理，避免了敏感数据的泄漏，从而降低本地客户网络被攻击的风险，有效保证了本地客户网络的网络安全。

进一步地，为了降低本发明实施例中的对敏感数据进行掩码处理的敏感数据处理装置的处理负荷，实现快速的掩码处理，敏感数据处理装置可按照一个敏感数据映射表中记录的映射表项来定位一个数据包中的敏感数据。

进一步地，该敏感数据处理装置在进行掩码处理后，可记录被替换的数据或掩码运算方法，以便后续发生网络攻击等情况时，进行数据溯源。

进一步地，该敏感数据映射表中的映射表项可由敏感数据处理装置自学习来生成，或者由本发明实施例提供的控制装置来生成并发送给敏感数据处理装置，以扩充映射表项，便于后续更准确地确定敏感数据和进行掩码处理。

进一步地，敏感数据映射信息不仅进行敏感数据的处理，还对进行了敏感数据掩码处理的数据包加以标识，以便接收方根据该标识确定数据包进行了掩码处理。

为了使本发明实施例更容易被理解，下面对本发明实施例中涉及的一些描述加以解释。需要说明的是，这些解释不应视为对本发明所要求的保护范围的限定。

1、敏感数据

通常，本地客户网络的用户不希望敏感数据被泄漏给第三方或者远程的控制装置(比如：用于进行网络安全监控的网络安全中心服务器等)。此外，本地客户网络的运营者也可能不希望本地客户网络中的网络信息，比如：网络日志(log)中的一些信息、网络配置文件中的一些配置信息等被泄漏给第三方或者远程的控制装置。诸如上述的不希望被泄漏给第三方控制装置的数据，在本发明实施例中被称为“敏感数据”。敏感数据具体包括哪些内容可以预先定义，比如：本地客户网络的运营者预先定义哪些数据是敏感数据。上述敏感数据通常会包含在数据包中传输。当包含了这些敏感数据的数据包被第三方收到后，若不对这些敏感数据预先进行处理，第三方就可能获得这些敏感数据的内容，进而会威胁到本地客户网络的网络安全和用户的个人数据的安全。

在本发明实施例中，敏感数据由本地客户网络产生，会包含在本地客户网络的数据包中传输。可选地，敏感数据可包含在业务数据中，可包含在业务数据中的某个或某些字段，比如：用户名、密码、IP地址等。可选地，敏感数据可包含在网络日志中。可选地，敏感数据可包含在网络配置文件中。只要是来自于本地客户网络，涉及用户的隐私或本地客户网络的网络安全，均可视为敏感数据。敏感数据可由本地客户网络的运营者自行定义，根据自身的安全等级进行设定。敏感数据可来自本地客户网络中的控制装置、路由器、交换机等。需要说明的是，一个数据包中可能包括多个敏感数据，比如：同时包括用户名/密码以及电子邮件地址。

2、敏感数据映射表

在本发明的部分实施例中，敏感数据处理装置可通过敏感数据映射表确定一个数据包中的敏感数据，通过查表的方式可快速判断一个数据包中是否有敏感数据，以及若有敏感数据，快速获取数据包中的敏感数据。

该敏感数据映射表可位于敏感数据处理装置中。或该敏感数据映射表可位于敏感数据处理装置之外，但可由敏感数据处理装置获取。

敏感数据映射表中包括至少一个映射表项。

一个映射表项中记录如下信息：

1)一项敏感数据映射信息，以及

2)一项敏感数据定位信息，

这两项信息是相互对应的。

其中，敏感数据映射信息包括下列信息中的至少一种：

数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的标识信息，用于确定敏感数据的关键词信息等。

敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。

本发明实施例提供的敏感数据处理装置在收到一个数据包后，首先获取该数据包的敏感数据映射信息；然后根据获取的敏感数据映射信息查敏感数据映射表，找到与该数据包中的敏感数据映射信息匹配的映射表项，比如：该数据包中的敏感数据映射信息包括在该映射表项中的记录的敏感数据映射信息中；接下来根据该匹配的映射表项中的敏感数据定位信息确定接收到的该数据包中的敏感数据。

其中，敏感数据定位信息可包括但不限于下列信息中的至少一种：

1)敏感数据位于一个数据包中的具体位置的位置信息，比如：起始字节或起始比特(bit)、长度等；

2)若敏感数据存在于一个数据包中的一个字段中，则敏感数据定位信息可为该字段的字段标识。

3、替换数据项

在本发明的部分实施例中，敏感数据处理装置在对一个数据包中的敏感数据进行替换后，生成一个替换数据项，记录被替换的敏感数据和用于替换敏感数据的替换数据，记录的两个数据是相互对应的。

这样做的好处是便于原始数据的溯源。

比如：本发明实施例中，本地客户网络中的一个数据包经过敏感数据处理装置处理后，发给一个第三方的网络安全中心。网络安全中心根据收到的数据包发现安全异常行为，比如：在短时间内收到大量的源IP地址相同的数据包，推断可能发生网络攻击事件，但是这个源IP地址是经过了掩码处理的，网络安全中心并不知道真正的IP地址是什么。网络安全中心将该替换后的IP地址回传给敏感数据处理装置，敏感数据处理装置根据之前记录的替换数据项找到替换前的IP地址，实现了网络攻击的溯源。

可选地，在生成该替换数据项时可对应生成一个定时器，该定时器的长度可依据网络实际情况而定，比如20秒，该定时器超时时，该替换数据项被删除。这样可避免维护过多的替换数据项。

该定时器的长度可依据数据包的传输时延，网络安全中心的处理时延等而定。长度应足够网络安全中心进行安全事件的判断以及替换数据的回传。

替换数据项由本发明实施例中的敏感数据处理装置维护，可存储在敏感数据处理装置中，或存储在单独的存储设备中，亦或存储在其他的控制装置中。

4、掩码运算项

在本发明的部分实施例中，可对一个数据包中的敏感数据进行掩码运算，并记录一个掩码运算项。

其中，该掩码运算项可包括：

对上述进行掩码运算的数据包中的敏感数据进行掩码运算的掩码运算方法的信息；

上述进行了掩码运算后的数据包中的经过掩码运算后的敏感数据；以及

掩码运算方法的信息与经过掩码运算后的敏感数据之间的对应关系。

这样的掩码运算也是可以溯源的，即，从经过掩码运算后的敏感数据以及已知的掩码运算方法的信息，可以溯源到未经过掩码运算的原始敏感数据，以达到原始数据的溯源的目的。

具体的溯源的过程可以包括：在发送经过掩码运算后的数据包之后，还包括：接收回传的该数据包；获取该数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定对应的掩码运算项；按照确定的该掩码运算项还原该数据包中被替换的敏感数据。

5、敏感数据特征信息

可以通过确定原始数据中是否具有匹配的敏感数据特征信息来确定原始数据中是否存在敏感数据。

该敏感数据特征信息可存储在敏感数据类型表1029中，或者，该敏感数据特征信息可以数据库的形式组织。该敏感数据类型表1029或数据库中可包括但不限于图4所示的如下模式：IP地址模式10291、用户名/密码模式10292、银行账户模式10293、电话号码模式10294、身份证号码模式10295、敏感电子邮件(E-mail)模式10296、敏感文件模式10297、敏感配置信息模式10298、敏感命令模式10299等等，在此不一一举例。这些模式可定义敏感数据所满足的特征。比如：IP地址模式中可定义一个数据包的源地址或目的地址满足何种条件时，该数据包中包括敏感数据。或者可定义一个数据包中的用于描述用户名/密码的数据为敏感数据，等等。这种敏感数据特征信息也可以不断地被更新和配置，加以完善。

6、掩码处理标识

敏感数据处理装置可以在对敏感数据进行了掩码运算之后，利用掩码处理标识来表示一个数据包中的敏感数据是进行了掩码运算的，而非原始的敏感数据，同时也表示该进行掩码运算的数据是敏感数据，因为非敏感数据不需要进行掩码运算。

该掩码处理标识可以用于标识一个数据包中包括了进行了掩码处理的敏感数据。或者，该掩码处理标识可以用于标识一个数据包中的进行了掩码处理的敏感数据的数据类型。具体地，在此举例，掩码处理标识有两种形式：

1)掩码处理标识

2)掩码处理标识

敏感数据处理装置在生成了掩码处理标识之后，可以发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与一个数据包之间的对应关系的指示信息，或将所述掩码处理标识置于该数据包中的一个预设位置处发送，该预设位置位于进行掩码处理后的敏感数据中。

7、第一数据包、第二数据包和第三数据包

根据敏感数据是否经过了掩码处理等，对本发明实施例涉及的数据包加以区分，具体如下：

1)第一数据包

第一数据包来自本地客户网络、且发至敏感数据处理装置。该第一数据包中可能存在敏感数据，若存在敏感数据，则该敏感数据未经过掩码处理。

2)第二数据包

第二数据包是敏感数据处理装置对第一数据包中的敏感数据进行掩码处理后生成的数据包。

3)第三数据包

第三数据包也来自本地客户网络，其中包括未经过掩码处理的敏感数据，由本发明实施例提供的控制装置或敏感数据处理装置获取，并依据敏感数据特征信息确定该第三数据包中包括敏感数据，进一步确定该第三数据包的敏感数据映射信息和敏感数据定位信息。

现在将详细参照本发明的具体实施例，在附图中例示了本发明的例子。尽管将结合具体实施例描述本发明，但将理解，不是想要将本发明限于所述的实施例。相反，想要覆盖由所附权利要求限定的在本发明的精神和范围内包括的变更、修改和等价物。应注意，这里描述的方法步骤都可以由任何功能块或功能布置来实现，且任何功能块或功能布置可被实现为物理实体或逻辑实体、或者两者的组合。

系统实施例

图1A-1D示出应用本发明的各个实施例的数据处理系统100的几种可选实现方式的示意方框图。

首先，图1A示出应用本发明的一个实施例的数据处理系统100的示意方框图。

如图1A所示的数据处理系统100包括：

与本地客户网络101耦合的敏感数据处理装置102，以及

控制装置103。

其中，该控制装置103可为一个服务器。或者该控制装置可位于一个服务器中，为该服务器的一个组成部分。该服务器可为前述的CDC或性能管理中心等，可为一个远程的服务器。

如图1A所示，敏感数据处理装置102和控制装置103位于本地客户网络101之外。可选地，本地客户网络101和敏感数据处理装置102都处于客户端侧1，而控制装置103处于服务器侧2。

其中，在客户端/服务器(Client/Server)的网络架构下，客户端向服务器发送服务请求，请求服务器上的一个服务，服务器收到服务器请求后，向客户端提供服务。在图1A-图1C中，控制装置103作为一个服务器，或者控制装置103所在的服务器可提供服务，位于服务器侧2，本地客户网络101中的设备可以作为客户端请求服务，所以本地客户网络101位于客户端侧1。而敏感数据处理装置102既可如图1A和图1B所示，位于客户端侧1，也可如图1B所示，位于服务器侧2。

在数据处理系统100中，敏感数据处理装置102接收来自一个本地客户网络101的数据和信息，且获取来自所述本地客户网络101中的第一数据包；确定所述第一数据包中的敏感数据；将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；并向服务器侧2 的控制装置103发送生成的第二数据包。如此，可以将敏感数据进行掩码处理，掩码处理后的数据包即使被第三方设备获得，其中的敏感数据由于经过了掩码处理，其内容也不容易被第三方设备破解，从而使得敏感数据不被泄漏。

下面，对本发明实施例中确定敏感数据的方式、生成敏感数据映射表的方式、掩码处理的方式以及标记第一数据包中包括掩码处理标识的方式加以说明。

【确定敏感数据】

在一个实施例中，敏感数据处理装置102还可以从已配置的一个敏感数据映射表1028中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据。在一个实施例中，该敏感数据映射表1028可以存储在一个数据库中，换言之，该敏感数据映射表1028中的数据可以数据库的形式组织。其中，一个敏感数据映射表1028(如图2所示)中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，该敏感数据映射信息包括下列信息中的至少一种：数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的标识信息，用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。

敏感数据处理装置102通过敏感数据映射表1028中的敏感数据映射信息，可确定第一数据包中是否包括敏感数据，且根据该映射表项中记录敏感数据定位信息，可在第一数据包中快速定位敏感数据。

注意，该敏感数据映射表1028可以被存储在敏感数据处理装置102中，或者存储在每个数据处理装置之外，甚至是远程连接的服务器侧2，在此不做限制。

【敏感数据映射表的生成】

该敏感数据处理装置102可通过包括如下两种方式在内的多种方式获得敏感数据映射信息和敏感数据定位信息：

方式一

敏感数据处理装置102可从控制装置103或其他设备处接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置。

敏感数据处理装置102在所述敏感数据映射表1028中增加一个映射表项，在增加的映射表项中记录接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。

采用方式一，无需敏感数据处理装置102说给生成敏感数据定位信息和敏感数据映射信息，降低了敏感数据处理装置102的处理负荷。

若由控制装置103生成并向敏感数据处理装置102发送敏感数据映射信息和敏感数据定位信息，则控制装置103在发送这些信息之前，可接收来自所述本地客户网络101的一个第三数据包，基于前述的敏感数据特征信息确定所述第三数据包中包括敏感数据，并且确定所述第三数据包中包括的敏感数据未经过掩码处理(比如未收到与该第三数据包对应的掩码处理标识)。则控制装置103可基于该第三数据包生成敏感数据映射信息以及对应于所述敏感数据映射信息的敏感数据定位信息。控制装置103向敏感数据处理装置102发送生成的敏感数据映射信息和对应的敏感数据定位信息。

其中，该控制装置103(而非敏感数据处理装置102)基于敏感数据特征信息来判断第三数据包中是否包括，以及敏感数据在第三数据包中的位置，进而生成敏感数据映射信息和敏感数据定位信息。这样可以节省敏感数据处理装置102的计算量，且可与敏感数据处理装置102并行处理，以提高处理效率。

方式二

敏感数据处理装置102通过自学习的方式确定敏感数据映射信息和敏感数据定位信息。

比如：敏感数据处理装置102在收到一个来自本地客户网络101的数据包后，查敏感数据映射表1028，没有找到对应的映射表项。敏感数据处理装置102可根据图4所示的敏感数据特征信息来确定收到的数据包中是否存在敏感数据，进而生成敏感数据映射信息和敏感数据定位信息，并在敏感数据映射表1028中增加一个映射表项，将生成的敏感数据映射信息和敏感数据定位信息以及二者的对应关系记录在该增加的映射表项中。

如此，可以自学习敏感数据的敏感数据映射信息和敏感数据定位信息，来扩充敏感数据映射表1028，从而再利用扩充的敏感数据映射表1028来更广泛和准确地进行敏感数据的确定和掩码处理，进一步保证敏感数据不被泄漏。

【掩码处理】

该敏感数据处理装置102可通过包括如下两种方式在内的多种方式对第一数据包中的敏感数据进行掩码处理：

方式一

该敏感数据处理装置102可以通过将所述第一数据包中的敏感数据进行替换来将所述第一数据包中的敏感数据进行掩码处理。在将所述第一数据包中的敏感数据进行替换之后，敏感数据处理装置102可记录第一替换数据项(比如：在一个表中记录该第一替换数据项)，其中，所述第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

这种替换可以是所有的敏感数据都用相同的替换数据来替换，只是长度不同。比如：全都用固定格式的比特流替换。可选地，也可以用彼此不同的替换数据来替换。可选地，也可以用彼此不同的替换数据来替换。另外，替换数据可以是一般的信息或交织的信息。

方式一中，用一个替换数据来替换一个敏感数据，并在敏感数据映射表1028中记录该敏感数据、该替换数据以及二者之间的对应关系的第一替换数据项，从而在后续可根据替换数据来溯源原始的敏感数据。

对于掩码处理的方式一，该敏感数据处理装置102还可以在发送生成的所述第二数据包之后：接收从控制装置103回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定所述第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据来根据记录的第一替换数据项来溯源原始的敏感数据。

方式二

该敏感数据处理装置102可以通过如下来将所述第一数据包中的敏感数据进行掩码处理：将所述第一数据包中的敏感数据进行掩码运算；在将所述第一数据包中的敏感数据进行掩码运算之后，还包括：记录第一掩码运算项(比如在一个表中记录该第一掩码运算项)，其中，所述第一掩码运算项包括：对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。

在方式二中，敏感数据处理装置102对敏感数据进行掩模运算以生成一个经过掩码运算后的敏感数据，并记录该敏感数据、该经过掩码运算后的敏感数据以及二者之间的对应关系的第一掩码运算项，从而在后续可根据经过掩码运算后的敏感数据来溯源原始的敏感数据。

在一个实施例中，该敏感数据处理装置102还可以在发送第二数据包之后：接收从控制装置103回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据以及记录的第一掩码运算项来进行逆掩码运算来溯源原始的敏感数据。

【掩码处理标识】

在一个实施例中，该敏感数据处理装置102还可以：生成一个掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；向控制装置103发送所述掩码处理标识。该数据类型可以包括比如：IP地址、用户名/密码、银行账户、电话号码、身份证号码、敏感电子邮件地址、敏感文件、敏感配置信息、敏感命令等。

该掩码处理标识是为了表示该第二数据包中包括了进行了掩码处理的敏感数据的，控制装置103可基于该掩码处理标识来确定该第二数据包中包括了进行了掩码处理的敏感数据。

在此举例，掩码处理标识有包括如下两种方式在内的多种实现方式：

方式一

掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据(比如，在第二数据包的预先约定的位置预留N位，N为正整数，该N位数据的一种取值表示第二数据包中包括进行了掩码处理的敏感数据，其他取值表示第二数据包中不包括进行了掩码处理的敏感数据)。

方式二

掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型(比如：敏感数据的数据类型为电子邮件地址类型、用户名/密码类型等)。而通过发送该掩码处理标识，则可以后续进行原始敏感数据的溯源。控制装置103在收到该掩码处理标识后，还可确定是何种类型的敏感数据被进行了掩码处理，为控制装置103可能进行安全相关的处理提供信息。采用方式二，既可以保证敏感数据不被泄露，又能够提供敏感数据的数据类型，这样控制装置103在进行诸如网络安全事件扫描或网络性能管理时，即使不知道敏感数据的具体内容，但也能获知敏感数据的数据类型，便于进行网络安全事件扫描或网络性能管理。

【掩码处理标识的发送和接收】

方式一

该敏感数据处理装置102发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息1036。

对于方式一，相应地，控制装置103接收第二数据包、掩码处理标识和指示信息1036，根据所述指示信息1036确定所述掩码处理标识对应于所述第二数据包，进而可确定第二数据包中的敏感数据进行了掩码处理。

方式二

敏感数据处理装置102将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

对于方式二，相应地，控制装置103从所述第二数据包的第一位置处获取所述掩码处理标识，进而可确定第二数据包中的敏感数据进行了掩码处理。

实际上，该控制装置103可以对该第二数据包进行任何种类的处理，比如，性能统计、网络安全事件监测等。一种可能的情况是，该控制装置103通过监测第二数据包(可选地，还包括其他数据包)确定发生了网络安全事件，比如有黑客入侵、篡改、存在病毒程序等等。并且，控制装置103通过掩码处理标识确定第二数据包中包括进行了掩码处理的敏感数据。则控制装置103可将第二数据包回传给敏感数据处理装置102，并指示敏感数据处理装置102发生了网络安全事件。敏感数据处理装置102可将第二数据包中的敏感数据还原，并指示本地客户网络101：关联出该第二数据包发生了网络安全事件的原始信息。这样，本地客户网络101能够及时获知发生了网络安全事件并应对，比如：消除网络安全事件，移除病毒程序、更改某些用户名/密码，及时报案等等。

控制装置103可根据掩码处理标识确定第二数据包中包括进行了掩码处理的敏感数据，而不是直接获取敏感数据，进一步保证了敏感数据不被泄漏。

图1B-1D示出了敏感数据处理装置102和控制装置103的不同位置，但它们的操作是如上所述相同的，因此，在此不赘述其操作，而仅阐述位置的差异。

如图1B所示，与图1A不同的，敏感数据处理装置102位于服务器侧2，可避免敏感数据被泄漏给服务器侧2的控制装置103，且减轻了客户端侧1的处理负荷。

如图1C所示，与图1A不同的，敏感数据处理装置102位于本地客户网络101之内，如此更能保证本地客户网络101中的敏感数据在离开本地客户网络101之前就被掩码处理，而不会泄漏。

而如图1D所示，与图1A不同的，敏感数据处理装置102和控制装置103均位于客户端侧1，但敏感数据处理装置102位于本地客户网络101中，而控制装置103位于本地客户网络101之外。这样能够在客户端侧就执行敏感数据的各种处理(包括比如网络安全事件监测)，因此更能保证敏感数据不被泄漏。

图1A-图1D所示的数据处理系统100中，敏感数据处理装置102可以过滤本地客户网络101向控制装置103发送的敏感数据，以对敏感数据进行掩码处理，使得用户不需要担心从本地客户网络101中发出的个人和商业的敏感数据泄漏给控制装置103或任何第三方，而第三方或在此举例的控制装置103也能够对本地客户网络101中的数据包进行某种控制处理，比如网络安全监测等，来保证数据包的网络安全，还能在监测到网络安全事件之后，得知数据包中存在敏感数据，以便在本地客户网络101中还原该敏感数据。

图2示出应用本发明的各个实施例的数据处理系统100的内部单元和模块的示意方框图。其中，图2是以图1A的系统架构为例，控制装置103用于进行网络安全监控。

如图2所示，敏感数据处理装置102从本地客户网络101的至少一个客户端接收数据和/或信息，比如：

1)网络数据流1011，比如：用户数据、娱乐数据、商业数据等；

2)系统日志1012，可基于系统日志协议而获得系统日志；

3)系统配置数据1013；

4)网络配置数据1014；

5)安全配置数据1015，可用于配置网络安全事件监测。

敏感数据处理装置102可包括：

1)数据接收单元1026，用于从本地客户网络101的至少一个客户端收集和接收数据和信息(比如，第一数据包)。

在获取网络数据流时，敏感数据处理装置102的一个端口可以被配置为镜像模式，将网络数据流映射到该端口。数据接收单元1026将被附接到该端口，通过该端口获取网络数据流。

若采用前述的方式二生成敏感数据映射信息和敏感数据定位信息，即由敏感数据处理装置102通过自学习的方式生成上述两种信息。则敏感数据处理装置102还可包括敏感数据特征提取单元1021、敏感数据类型表1029和敏感数据分析单元1023。其中：

2)敏感数据类型表1029，用于记录前述的敏感数据特征信息；

敏感数据特征信息可能随着系统和网络应用数量的增加而增加。比如，当出现新的用户名/密码的格式，或出现新的工业网络协议时，可配置新的敏感数据特征信息，或者更新原有的敏感数据特征信息。

3)敏感数据特征提取单元1021，用于根据敏感数据类型表1029中的敏感数据特征信息，判断接收到的数据包(比如第三数据包)是否包括敏感数据；

4)敏感数据分析单元1023，用于在确定数据包中包括敏感数据时，生成敏感数据映射信息和敏感数据定位信息、并记录到敏感数据映射表 1028中，以扩充并更新敏感数据映射表1028。

其中，敏感数据特征提取单元1021和敏感数据分析单元1023可用来根据敏感数据类型表1029对数据接收单元1026收到的数据包(比如第三数据包)进行敏感数据的自学习，以扩充和更新敏感数据映射表1028。敏感数据特征提取单元1021可以过滤出具有敏感数据类型表1029中配置的敏感数据特征信息所描述特征的数据包，从数据包中提取具有该特征的数据为敏感数据。敏感数据分析单元1023用于对具有提取的敏感数据进行分析和学习，以找到敏感数据的其他特征，比如根据所述敏感数据生成敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，从而在所述敏感数据映射表1028中增加一个映射表项，在增加的映射表项中记录该敏感数据映射信息、该敏感数据定位信息，以及二者的对应关系。

若敏感数据处理装置102采用前述的方式一从控制装置103处接收敏感数据映射信息和敏感数据定位信息，则敏感数据类型表1029、敏感数据特征提取单元1021、敏感数据分析单元1023可位于控制装置103中，敏感数据特征提取单元1021对来自第二安全通信模块1033的第三数据包进行处理，比如：若第三数据包中不包括掩码处理标识，或包括的掩码处理标识指示第三数据包未经过掩码处理，而根据敏感数据类型表1029中定义的敏感数据特征信息确定该第三数据包中包括敏感数据，则发给敏感数据分析单元1023来确定该敏感数据对应的敏感数据映射信息和敏感数据定位信息，敏感数据分析单元1023将确定的敏感数据映射信息和敏感数据定位信息通过第二安全通信模块1033发送至敏感数据处理装置102。敏感数据处理装置102将收到的敏感数据映射信息和敏感数据定位信息以及二者的对应关系记录在敏感数据映射表1028中。

敏感数据处理装置102还可包括：

5)敏感数据确定单元1022，用于根据敏感数据映射表1028来快速确定一个数据包中的敏感数据。

6)掩码处理单元1024，用于对第一数据包中的敏感数据进行掩码处理。

比如：通过前述的方式一，将所述第一数据包中的敏感数据进行替换处理。可选地，在替换处理后，记录第一替换数据项(比如：在一个表中记录该第一替换数据项)，该第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

或者，通过前述的方式二，将第一数据包中的敏感数据进行掩码运算，用掩码运算后的敏感数据替换原敏感数据。可选地，在进行掩码处理后，记录第一掩码运算项，该第一掩码运算项包括：对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。

掩码处理单元1024将对第一数据包进行掩码处理后生成第二数据包，发送至第一安全通信模块1027。

敏感数据处理装置102还可包括：

7)第一安全通信模块1027，用于将来自掩码处理单元1024的第二数据包从本地客户网络101发送至控制装置103。

此外，敏感数据处理装置102还通过数据接收单元1026捕获网络流数据，并进行基本的网络安全扫描。敏感数据处理装置102可从捕获的网络流数据中滤除已知的恶意流数据和能够确定的正常流数据，得到可疑的网络流数据，并将得到的可以的网络流数据发给控制装置103。图2所示的例子中，控制装置103用于进行网络安全监控，其可对收到的来自敏感数据处理装置102的可以网络流数据进行网络安全事件分析。

或者，敏感数据处理装置102也可将捕获的所有网络流数据均发送给控制装置103进行网络安全事件分析。

对于上述任何一种情况，敏感数据处理装置102在向控制装置103发送网络流数据之前，可采用前述的方法对其中的敏感数据进行掩码处理，从而保证敏感数据不会泄露给本地客户网络101之外的第三方设备。

敏感数据处理装置102还可包括：

8)事件处理单元1025，用于通过第一安全通信模块1027接收来自控制装置103的回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定前述的第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

在另一实施例中，取代地，事件处理单元1025可操作为通过第一安全通信模块1027接收来自控制装置103的回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

控制装置103可包括：

1)第二安全通信模块1033，用于接收来自敏感数据处理装置102的第二数据包，可选地，还可用于接收前述的指示信息1036(该指示信息1036用于指示第二数据包与掩码处理标识的对应关系)。可选地，第二安全通信模块1033还可以向敏感数据处理装置102回传第二数据包。

2)敏感数据定位单元1032，用于根据指示信息1036确定一个掩码处理标识对应于第二数据包，或者用于所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

3)网络安全监测单元1031，用于根据网络安全事件数据库1035对来自敏感数据处理装置102的第二数据包进行网络安全事件监测。比如：可基于相关性分析和行为数据挖掘等来发现网络安全事件。得到的网络安全事件的监测结果可被存储在网络安全事件数据库1035中。

4)安全事件敏感数据查询单元1034，用于生成对安全事件通知和敏感数据查询的请求，并通过第二安全通信模块1033发送至敏感数据处理装置102，该通知和请求中可包括第二数据包所对应的掩码处理标识和/或第二数据包中经过掩码处理后的数据，或者也可直接回传第二数据包。该通知和请求可用于定位攻击目标、攻击源等。敏感数据处理装置102中的事件处理单元1025可还原敏感数据并定位攻击目标、攻击源等。比如：若发生用户名和密码的窃取的事件、或发生插入闪存以感染目标系统的事件，而敏感数据处理装置102将第一数据包中的用户名和密码作为敏感数据进行了掩码处理后生成了第二数据包。事件处理单元1025在收到回传的第二数据包后，对该敏感数据进行了还原，从而可定位攻击目标，进而可以对该攻击事件加以应对。

当然网络安全监测单元1031和敏感数据定位单元1032的执行处理的先后顺序可以改变。可以先监测到网络安全事件，再确定数据包中是否包括进行了掩码处理后的敏感数据。因为如果不出现网络安全事件，则可能无需定位敏感数据，只有出现网络安全事件的情况下，才可能需要知道与网络安全事件相关的数据包中是否存在进行了掩码处理后的敏感数据。这样可以减少处理数据量并提高处理速度。当然，也可以先确定数据包中是否包括进行了掩码处理后的敏感数据，再进行网络安全事件监测。

其中，敏感数据映射表1028位于敏感数据处理装置102处，控制装置103不会得知与敏感数据的实质内容相关的敏感数据映射表1028。这样，也保证了用户的敏感数据不会被泄漏。

当然，上述实施例是具体的应用于网络安全的敏感数据处理实例，但并非限制本发明为只能用于网络安全，也不限制本发明为只能包括上述描述的各个单元等。下面将介绍根据本发明的更通用的数据处理方法、装置的实施例。

方法实施例

图3示出根据本发明的一个实施例的数据处理方法300的流程图。

数据处理方法300包括：步骤S301，获取一个本地客户网络101中的一个第一数据包；步骤S302，确定所述第一数据包中的敏感数据；步骤S303，将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；步骤S304，发送生成的所述第二数据包。

在一个实施例中，该确定所述第一数据包中的敏感数据的步骤S302，包括：从已配置的一个敏感数据映射表1028中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，一个敏感数据映射表1028中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，该敏感数据映射信息包括下列信息中的至少一种：数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的标识信息，用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。

通过敏感数据映射表1028中的敏感数据映射信息，可确定第一数据包中是否包括敏感数据，且根据该映射表项中记录敏感数据定位信息，可在第一数据包中快速定位敏感数据该敏感数据定位信息可以包括明确的位置、位置特征、字段标识信息等指示位置的信息。

在一个实施例中，如果从已配置的一个敏感数据映射表1028中，确定不存在与所述第一数据包的敏感数据映射信息匹配的第一映射表项，可以不进行掩码处理。

但是，在另一个实施例中，确定所述第一数据包中的敏感数据的步骤S302，包括：如果从已配置的一个敏感数据映射表1028中，确定不存在与所述第一数据包的敏感数据映射信息匹配的第一映射表项，则：根据一个敏感数据类型表1029中定义的敏感数据特征信息，确定第一数据包中是否包括具有该敏感数据特征信息所描述特征的敏感数据。若包括，则将该确定的具有敏感数据特征信息的敏感数据作为第一数据包中的敏感数据。此外还可根据所述敏感数据生成敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，在所述敏感数据映射表1028中增加一个映射表项，在增加的映射表项中记录接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。

注意，该方法300中的敏感数据的确定以及敏感数据映射信息和敏感数据定位信息的生成可以在敏感数据处理装置102处或者在控制装置103处执行，在此不做限制。

在一个实施例中，该将所述第一数据包中的敏感数据进行掩码处理，包括：将所述第一数据包中的敏感数据进行替换；其中，在将所述第一数据包中的敏感数据进行替换之后，还包括：记录第一替换数据项(比如：在一个表中记录该第一替换数据项)，其中，所述第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

在一个实施例中，在发送生成的所述第二数据包的步骤S304之后，还包括：接收回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定所述第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据来根据敏感数据映射表1028中记录的第一替换数据项来溯源原始的敏感数据。

这是第二种掩码处理的方案，即对敏感数据进行掩模运算以生成一个经过掩码运算后的敏感数据，并在敏感数据映射表1028中记录该敏感数据、该经过掩码运算后的敏感数据以及二者之间的对应关系的第一掩码运算项，从而在后续可根据经过掩码运算后的敏感数据来溯源原始的敏感数据。

在一个实施例中，该方法300在发送生成的所述第二数据包的步骤S304之后，还包括：接收回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据来根据敏感数据映射表1028中记录的第一掩码运算项来进行逆掩码运算来溯源原始的敏感数据。

在一个实施例中，该方法300还包括：生成一个掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；发送所述掩码处理标识。

该掩码处理标识是为了表示该第二数据包中包括了进行了掩码处理的敏感数据的，收到该第二数据包的设备或装置可基于该掩码处理标识来确定该第二数据包中包括了进行了掩码处理的敏感数据。在此举例，掩码处理标识有两种形式：1、掩码处理标识用于标识所述第二数据包中包括了进行了掩码处理的敏感数据。2、掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型(比如：敏感数据的数据类型为电子邮件地址类型、用户名/密码类型等)。而通过发送该掩码处理标识，则可以后续进行原始敏感数据的溯源。

在一个实施例中，发送所述掩码处理标识，包括：发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息1036，或将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

如此，可利用接收到的用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息1036以及掩码处理标识来得知该对应的第二数据包中包括了进行了掩码处理的敏感数据，或者，可利用在该预设位置处发现的掩码处理标识来得知该第二数据包中包括了进行了掩码处理的敏感数据。

该方法的其他可选实现方式可参考前述的敏感数据处理装置102的实现，重复之处不再赘述。

图5示出根据本发明的一个实施例的数据处理方法500的流程图。

数据处理方法500包括：步骤S501，接收来自一个本地客户网络101的一个第二数据包；步骤S502，获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据；步骤S503，根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。

在一个替换实施例中，数据处理方法500包括：步骤S501，接收来自一个本地客户网络101的一个第二数据包；步骤S502，获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型；步骤S503，根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。

在一个实施例中，获取掩码处理标识的步骤S502，包括：接收所述掩码处理标识和一个指示信息1036，所述指示信息1036用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息1036确定所述掩码处理标识对应于所述第二数据包；或从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

通过相对应的掩码处理标识和指示信息1036，能够确定对应的第二数据包，或从预设位置处获取掩码处理标识，从而减少了一一搜索掩码处理标识和定位包括了进行掩码处理的敏感数据的第二数据包的成本。同时，基于指示信息1036而不是基于敏感数据映射表1028能保证不能从敏感数据映射表1028中直接看到原始的敏感数据，进一步保证了敏感数据不被泄漏。

在一个实施例中，该数据处理方法500还包括：向一个敏感数据处理装置102发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置102用于对所述本地客户网络101中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置102确定一个数据包中包括的敏感数据，其中，该敏感数据映射信息包括下列信息中的至少一种：数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的字段标识，用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。

在已存储敏感数据映射信息和敏感数据定位信息的情况下，该方法500还可以向敏感数据处理装置102发送敏感数据映射信息和敏感数据定位信息，而不需要在敏感数据处理装置102处存储这些信息，以节省敏感数据处理装置102的存储空间和计算量。

在一个实施例中，在向上述敏感数据处理装置102发送上述敏感数据映射信息之前，还包括：接收来自所述本地客户网络101的一个第三数据包；基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；确定所述第三数据包中包括的敏感数据未经过掩码处理；根据所述敏感数据来生成所述第三数据包的所述敏感数据映射信息以及对应于所述敏感数据映射信息的敏感数据定位信息；向所述敏感数据处理装置102发送获取的所述敏感数据映射信息，并对应于发送的所述敏感数据映射信息向所述敏感数据处理装置102发送生成的所述敏感数据定位信息。

如此，该数据处理方法500还可以在未存储敏感数据映射信息、敏感数据定位信息的情况下来基于已配置的敏感数据特征信息确定敏感数据和敏感数据映射信息和生成敏感数据定位信息，无需在敏感数据处理装置102处进行该处理，以节省敏感数据处理装置102的计算量。

如此，根据本发明的实施例，用户不需要担心个人和商业敏感数据泄漏，同时又保证了在对本地客户网络101中的数据进行控制处理。

该方法的其他可选实现方式可参考前述的控制装置103的实现，重复之处不再赘述。

装置实施例

图6示出根据本发明的一个实施例的敏感数据处理装置102的方框图。

敏感数据处理装置102包括：一个获取部件601，被配置为获取一个本地客户网络101中的一个第一数据包；一个确定部件602，被配置为确定所述第一数据包中的敏感数据；一个生成部件603，被配置为将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；一个发送部件604，被配置为发送生成的所述第二数据包。

在一个实施例中，所述确定部件602被具体配置为：从已配置的一个敏感数据映射表1028中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，一个敏感数据映射表1028中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，该敏感数据映射信息包括下列信息中的至少一种：数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的标识信息，用于确定敏感数据的关键词信息；

如此，通过敏感数据映射表1028中的敏感数据映射信息，可确定第一数据包中是否包括敏感数据，且根据该映射表项中记录敏感数据定位信息，可在第一数据包中快速定位敏感数据。

在一个实施例中，该获取部件601还被配置为：接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置；该确定部件602还被配置为：在所述敏感数据映射表1028中增加一个映射表项，在增加的映射表项中记录该获取部件601接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。

如此，可扩充敏感数据映射表1028，从而再利用扩充的敏感数据映射表1028来更广泛和准确地进行敏感数据的确定和掩码处理，进一步保证敏感数据不被泄漏。

在一个实施例中，所述生成部件603被具体配置为：通过将所述第一数据包中的敏感数据进行替换来将所述第一数据包中的敏感数据进行掩码处理；该生成部件603还被配置为：在将所述第一数据包中的敏感数据进行替换之后，记录第一替换数据项(比如：在一个表中记录该第一替换数据项)，其中，所述第一替换数据项包括：所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。

这是第一种掩码处理的方案，即用一个替换数据来替换一个敏感数据，并在敏感数据映射表1028中记录该敏感数据、该替换数据以及二者之间的对应关系的第一替换数据项，从而在后续可根据替换数据来溯源原始的敏感数据。

在一个实施例中，该敏感数据处理装置102还包括：一个第一还原部件605，被配置为：接收回传的所述第二数据包；获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；根据获取的替换数据确定所述第一替换项；按照所述第一替换项还原所述第一数据包中被替换的敏感数据。

如此，在溯源时，可根据替换数据以及记录的第一替换数据项来溯源原始的敏感数据。

在一个实施例中，所述生成部件603被具体配置为，通过将所述第一数据包中的敏感数据进行掩码运算来将所述第一数据包中的敏感数据进行掩码处理；所述生成部件603还被配置为：在将所述第一数据包中的敏感数据进行掩码运算之后，记录第一掩码运算项，其中，所述第一掩码运算项包括：对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。

在一个实施例中，该敏感数据处理装置102还包括一个第二还原部件606(取代第一还原部件605)，被配置为：接收回传的所述第二数据包；获取所述第二数据包中的经过掩码运算后的敏感数据；根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。

在一个实施例中，所述生成部件603还被配置为：生成一个掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；所述发送部件604还被配置为：发送所述掩码处理标识。

在一个实施例中，所述发送部件604被具体配置为：发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息1036，或将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

如此，可选地，可利用接收到的用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息1036以及掩码处理标识来得知该对应的第二数据包中包括了进行了掩码处理的敏感数据，或者，可利用在该预设位置处发现的掩码处理标识来得知该第二数据包中包括了进行了掩码处理的敏感数据。

图7示出根据本发明的一个实施例的控制装置103的方框图。

在一个方面中，提供控制装置103，包括：

一个接收部件701，被配置为接收来自一个本地客户网络101的一个第二数据包；

一个获取部件702，被配置为获取掩码处理标识；

一个确定部件703。

其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型，确定部件703，被配置为根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。或者，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据，确定部件703，被配置为根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。

在一个实施例中，所述获取部件702还被配置为：接收所述掩码处理标识和一个指示信息1036，所述指示信息1036用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息1036确定所述掩码处理标识对应于所述第二数据包；或从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。

在一个实施例中，该控制装置103还包括：一个发送部件704，被配置为：向一个敏感数据处理装置600发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置600用于对所述本地客户网络101中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置600确定一个数据包中包括的敏感数据，其中，该敏感数据映射信息包括下列信息中的至少一种：数据包协议类型，数据包协议版本号，数据包中包括的消息的消息类型，数据包中包括的字段的字段标识，用于确定敏感数据的关键词信息；该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。

在已存储敏感数据映射信息和敏感数据定位信息的情况下，该方法还可以向敏感数据处理装置600发送敏感数据映射信息和敏感数据定位信息，而不需要在敏感数据处理装置600处存储这些信息，以节省敏感数据处理装置600的存储空间和计算量。

在一个实施例中，所述接收部件701还被配置为：在所述发送部件704向所述敏感数据处理装置102发送所述敏感数据映射信息之前：接收来自所述本地客户网络101的一个第三数据包；所述确定部件703，还被配置为：基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；确定所述第三数据包中包括的敏感数据未经过掩码处理；获取所述第三数据包的所述敏感数据映射信息；对应于所述第三数据包中的所述敏感数据映射信息生成所述敏感数据定位信息。

如此，还可以在未存储敏感数据映射信息、敏感数据定位信息的情况下来基于已配置的敏感数据特征信息确定敏感数据和生成敏感数据映射信息和敏感数据定位信息，无需在敏感数据处理装置102处进行这种生成，以节省敏感数据处理装置102的计算量。

图7所示控制装置103的其他可选实现方式可参考前述的控制装置103的处理，重复指出不再赘述。

图8示出根据本发明的另一个实施例的敏感数据处理装置102的方框图。

在一个方面中，提供敏感数据处理装置102，包括：至少一个处理器801；以及至少一个存储器802，与所述至少一个处理器801耦合，其中，所述至少一个存储器802还存储计算机可执行指令，其可在由至少一个处理器801执行时前述的敏感数据处理装置102所执行的数据处理方法。

该敏感数据处理装置102的其他可选实现方式可参考前述的敏感数据处理装置102的实现，重复之处不再赘述。

图9示出根据本发明的另一个实施例的控制装置103的方框图。

在一个方面中，提供控制装置103，包括：至少一个处理器901；以及至少一个存储器902，与所述至少一个处理器901耦合，其中，所述至少一个存储器902还存储计算机可执行指令，其可在由至少一个处理器901执行前述的控制装置103所执行的数据处理方法。

该控制装置103的其他可选实现方式可参考前述的控制装置103的实现，重复之处不再赘述。

在本发明的各个实施例中，提出了用于标识敏感数据、且基于敏感数据类型表或敏感数据映射表从本地客户网络的数据中确定敏感数据、并进行掩码处理的方案。通常，比如，该敏感数据类型表中存储了与敏感数据相关的数据模式。而敏感数据映射表存储收集的与敏感数据相关的相关信息、协议、位置、关键词、属性等、以及进行了掩码处理的敏感数据。而上述提到的位置则实际上是敏感数据位于目标数据中的偏移量、比如敏感数据字段在网络数据包的头部或有效负荷中的位置。

本发明实施例可自适应地学习更新的数据模式，且可从新的敏感数据中学习更多的数据模式、比如所述敏感数据所在的数据包的至少一个应用层协议类型、所述敏感数据在所述数据包中的位置、所述敏感数据中的至少一个关键词、敏感数据的至少一个特定数据格式模式、数据长度和协议字段的敏感字段值中的至少一种，从而将这些数据模式记录到敏感数据映射表，并且以后可仅基于敏感数据映射表就可以进行敏感数据的检测。也就是说，可从敏感数据类型表学习并更新敏感数据映射表，并仅基于敏感数据映射表进行后续的敏感数据的检测，从而加快敏感数据检测的速度并减少计算量和计算时间。

从客户的系统和网络中收集的敏感数据将被遮蔽。因此，客户不需要担心个人和商业敏感数据泄漏。且能够收集类似于原始数据的数据，并从客户端侧1向中央的网络安全事件监测中心传输这种数据。还可以以与包含敏感信息的原始数据相同的方式来应对来自中央的网络安全事件监测中心发来的分析。如果在受监视的环境中有任何新的应用或网络协议出现，本发明的实施例也能够学习这种新的数据，并输出可以标识敏感数据的新数据模式。

本发明实施例可用于基于相关性分析和行为数据挖掘等来发现异常行为或攻击事件。得到的网络安全事件监测结果可被存储在安全事件数据库中，为了定位攻击目标、攻击源、或任何其他基于攻击行为的与敏感数据相关的处理，控制装置还可包括安全事件敏感数据查询，用于生成对安全事件通知和敏感数据查询的请求。而这些请求也可发送到客户网络的敏感数据处理装置，从而敏感数据处理装置中的事件处理单元可查询和定位被攻击的目标、受害者、或某个相关的敏感数据即，发生网络安全事件的主体，比如发生用户名和密码的窃取、或插入闪存以感染目标系统等等事件的某个客户端或用户。从而用户可以攻击安全事件监测结果而应对安全事件，且能够基于敏感数据映射表来恢复原始敏感数据。

计算机存储介质

本发明还提供了一种计算机存储介质，存储用于使一机器执行如本文所述的程序代码的审核方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机或CPU或MPU读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从控制装置103计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

以上各实施例中，硬件单元可以通过机械方式或电气方式实现。比如，一个硬件单元可以包括永久性专用的电路或逻辑如专门的处理器，FPGA或ASIC来完成相应操作。硬件单元还可以包括可编程逻辑或电路如通用处理器或其它可编程处理器，可以由软件进行临时的设置以完成相应操作。具体的实现方式机械方式、或专用的永久性电路、或者临时设置的电路可以基于成本和时间上的考虑来确定。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，基与上述多个实施例本领域技术人员可以知晓，可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例，这些实施例也在本发明的保护范围之内。

当然，上述的具体实施例仅是例子而非限制，且本领域技术人员可以根据本发明的构思从上述分开描述的各个实施例中合并和组合一些步骤和装置来实现本发明的效果，这种合并和组合而成的实施例也被包括在本发明中，在此不一一描述这种合并和组合。

注意，在本公开中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本发明的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本发明为必须采用上述具体的细节来实现。

本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

本公开中的步骤流程图以及以上方法描述仅作为例示性的例子并且不意图要求或暗示必须按照给出的顺序进行各个实施例的步骤。如本领域技术人员将认识到的，可以按任意顺序进行以上实施例中的步骤的顺序。诸如“其后”、“然后”、“接下来”等等的词语不意图限制步骤的顺序；这些词语仅用于引导读者通读这些方法的描述。此外，比如使用冠词“一个”、“一”或者“该”对于单数的要素的任何引用不被解释为将该要素限制为单数。

另外，本文中的各个实施例中的步骤和装置并非仅限定于某个实施例中实行，事实上，可以根据本发明的概念来结合本文中的各个实施例中相关的部分步骤和部分装置以构思新的实施例，而这些新的实施例也包括在本发明的范围内。

以上所述的方法的各个操作可以通过能够进行相应的功能的任何适当的手段而进行。该手段可以包括各种硬件和/或软件组件和/或模块，包括但不限于硬件的电路、专用集成电路ASIC或至少一个处理器。

可以利用被设计用于进行在此所述的功能的通用至少一个处理器、数字信号至少一个处理器DSP、ASIC、场可编程门阵列信号FPGA或其他可编程逻辑器件PLD、离散门或晶体管逻辑、离散的硬件组件或者其任意组合而实现或进行所述的各个例示的逻辑块、模块和电路。通用至少一个处理器可以是微至少一个处理器，但是作为替换，该至少一个处理器可以是任何商业上可获得的至少一个处理器、控制器、微控制器或状态机。至少一个处理器还可以实现为计算设备的组合，比如DSP和微至少一个处理器的组合，多个微至少一个处理器、与DSP核协作的至少一个存储器微至少一个处理器或任何其他这样的配置。

结合本公开描述的方法或算法的步骤可以直接嵌入在硬件中、至少一个处理器执行的软件模块中或者这两种的组合中。软件模块可以存在于任何形式的有形存储介质中。可以使用的存储介质的一些例子包括随机存取存储器RAM、只读存储器ROM、快闪存储器、EPROM存储器、EEPROM存储器、寄存器、硬碟、可移动碟、CD-ROM等。存储介质可以耦接到至少一个处理器以便该至少一个处理器可以从该存储介质读取信息以及向该存储介质写信息。在替换方式中，存储介质可以与至少一个处理器是整体的。软件模块可以是单个指令或者许多指令，并且可以分布在几个不同的代码段上、不同的程序之间以及跨过多个存储介质。

在此公开的方法包括用于实现所述的方法的至少一个存储器动作。方法和/或动作可以彼此互换而不脱离权利要求的范围。换句话说，除非指定了动作的具体顺序，否则可以修改具体动作的顺序和/或使用而不脱离权利要求的范围。

所述的功能可以按硬件、软件、固件或其任意组合而实现。如果以软件实现，功能可以作为至少一个存储器指令存储在切实的计算机可读介质上。存储介质可以是可以由计算机访问的任何可用的切实介质。通过例子而不是限制，这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光碟存储、磁碟存储或其他磁存储器件或者可以用于携带或存储指令或数据结构形式的期望的程序代码并且可以由计算机访问的任何其他切实介质。如在此使用的，碟disk和盘disc包括紧凑盘CD、激光盘、光盘、数字通用盘DVD、软碟和蓝光盘，其中碟通常磁地再现数据，而盘利用激光光学地再现数据。

因此，计算机程序产品可以进行在此给出的操作。比如，这样的计算机程序产品可以是具有有形存储和/或编码在其上的指令的计算机可读的有形介质，该指令可由至少一个存储器至少一个处理器执行以进行在此所述的操作。计算机程序产品可以包括包装的材料。

软件或指令也可以通过传输介质而传输。比如，可以使用诸如同轴电缆、光纤光缆、双绞线、数字订户线DSL或诸如红外、无线电或微波的无线技术的传输介质从网站、控制装置103或者其他远程源传输软件。

此外，用于进行在此所述的方法和技术的模块和/或其他适当的手段可以在适当时由用户终端和/或基站下载和/或其他方式获得。比如，这样的设备可以耦接到控制装置103以促进用于进行在此所述的方法的手段的传送。或者，在此所述的各种方法可以经由存储部件比如RAM、ROM、诸如CD或软碟等的物理存储介质提供，以便用户终端和/或基站可以在耦接到该设备或者向该设备提供存储部件时获得各种方法。此外，可以利用用于将在此所述的方法和技术提供给设备的任何其他适当的技术。

其他例子和实现方式在本公开和所附权利要求的范围和精神内。比如，由于软件的本质，以上所述的功能可以使用由至少一个处理器、硬件、固件、硬连线或这些的任意的组合执行的软件实现。实现功能的特征也可以物理地位于各个位置，包括被分发以便功能的部分在不同的物理位置处实现。而且，如在此使用的，包括在权利要求中使用的，在以“至少一个”开始的项的列举中使用的“或”指示分离的列举，以便比如“A、B或C的至少一个”的列举意味着A或B或C，或AB或AC或BC，或ABC即A和B和C。此外，措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。

可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外，本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而，所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本发明。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本发明的范围。因此，本发明不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本发明的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

Claims

数据处理方法，其特征在于，包括：

获取一个本地客户网络(101)中的一个第一数据包；

确定所述第一数据包中的敏感数据；

将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；

发送生成的所述第二数据包。
如权利要求1所述的方法，其特征在于，确定所述第一数据包中的敏感数据，包括：

从已配置的一个敏感数据映射表(1028)中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，

一个敏感数据映射表(1028)中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，

该敏感数据映射信息包括用于确定敏感数据的关键词信息；

该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。
如权利要求2所述的方法，其特征在于，还包括：

接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置；

在所述敏感数据映射表(1028)中增加一个映射表项，在增加的映射表项中记录接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。
如权利要求1～3任一项所述的敏感数据方法，其特征在于，

将所述第一数据包中的敏感数据进行掩码处理，包括：将所述第一数据包中的敏感数据进行替换；

在将所述第一数据包中的敏感数据进行替换之后，还包括：记录第一替换数据项，其中，所述第一替换数据项包括：

所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。
如权利要求4所述的敏感数据方法，其特征在于，在发送生成的所述第二数据包之后，还包括：

接收回传的所述第二数据包；

获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；

根据获取的替换数据确定所述第一替换项；

按照所述第一替换项还原所述第一数据包中被替换的敏感数据。
如权利要求1～3任一项所述的敏感数据方法，其特征在于，

将所述第一数据包中的敏感数据进行掩码处理，包括：将所述第一数据包中的敏感数据进行掩码运算；

在将所述第一数据包中的敏感数据进行掩码运算之后，还包括：记录第一掩码运算项，其中，所述第一掩码运算项包括：

对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。
如权利要求6所述的敏感数据方法，其特征在于，在发送生成的所述第二数据包之后，还包括：

接收回传的所述第二数据包；

获取所述第二数据包中的经过掩码运算后的敏感数据；

根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；

按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。
如权利要求1～7任一项所述的敏感数据方法，其特征在于，还包括：

生成一个掩码处理标识，其中，

所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者

所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；

发送所述掩码处理标识。
如权利要求8所述的敏感数据方法，其特征在于，发送所述掩码处理标识，包括：

发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息(1036)，或

将所述掩码处理标识置于所述第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。
数据处理方法，其特征在于，包括：

接收来自一个本地客户网络(101)的一个第二数据包；

获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据；

根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。
数据处理方法，其特征在于，包括：

接收来自一个本地客户网络(101)的一个第二数据包；

获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型；

根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。
如权利要求10或11所述的方法，其特征在于，获取掩码处理标识，包括：

接收所述掩码处理标识和一个指示信息(1036)，所述指示信息(1036)用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息(1036)确定所述掩码处理标识对应于所述第二数据包；或

从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。
如权利要求10～12任一项所述的方法，其特征在于，还包括：向一个敏感数据处理装置(102)发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置(102)用于对所述本地客户网络(101)中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，

一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置(102)确定一个数据包中包括的敏感数据，其中，

该敏感数据映射信息包括用于确定敏感数据的关键词信息；

该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。
如权利要求13所述的方法，其特征在于，在向所述敏感数据处理装置(102)发送所述敏感数据映射信息之前，还包括：

接收来自所述本地客户网络(101)的一个第三数据包；

基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；

确定所述第三数据包中包括的敏感数据未经过掩码处理；

获取所述第三数据包的所述敏感数据映射信息；

对应于所述第三数据包中的所述敏感数据映射信息生成所述敏感数据定位信息。
数据处理系统(100)，其特征在于，包括：

一个敏感数据处理装置(102)，位于一个本地客户网络(101)中或位于所述本地客户网络(101)之外，用于：获取所述本地客户网络(101)中的一个第一数据包，确定所述第一数据包中的敏感数据，将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包，以及发送生成的所述第二数据包；

一个控制装置(103)，所述控制装置(103)位于本地客户网络(101)中或位于所述本地客户网络(101)之外，用于接收所述第二数据包。
敏感数据处理装置(102)，其特征在于，包括：

一个获取部件(601)，被配置为获取一个本地客户网络(101)中的一个第一数据包；

一个确定部件(602)，被配置为确定所述第一数据包中的敏感数据；

一个生成部件(603)，被配置为将所述第一数据包中的敏感数据进行掩码处理后，由所述第一数据包生成第二数据包；

一个发送部件(604)，被配置为发送生成的所述第二数据包。
如权利要求16所述的敏感数据处理装置(102)，其特征在于，所述确定部件(602)被具体配置为：

从已配置的一个敏感数据映射表(1028)中，确定与所述第一数据包的敏感数据映射信息匹配的第一映射表项，并根据所述第一映射表项中记录的敏感数据定位信息，确定所述第一数据包中的敏感数据，其中，

一个敏感数据映射表(1028)中的一个映射表项记录了一项敏感数据映射信息、一项敏感数据定位信息，以及二者的对应关系，其中，

该敏感数据映射信息包括用于确定敏感数据的关键词信息；

该敏感数据定位信息用于指示包括该敏感数据映射信息的一个数据包中敏感数据在该数据包中的位置。
如权利要求17所述的敏感数据处理装置(102)，其特征在于，

所述获取部件(601)还被配置为：接收一项敏感数据映射信息和对应于所述敏感数据映射信息的一项敏感数据定位信息，接收的所述敏感数据映射信息未经过配置；

所述确定部件(602)还被配置为：在所述敏感数据映射表(1028)中增加一个映射表项，在增加的映射表项中记录所述获取部件(601)接收的该敏感数据映射信息、接收的该敏感数据定位信息，以及二者的对应关系。
如权利要求16～18任一项所述的敏感数据处理装置(102)，其特征在于，

所述生成部件(603)被具体配置为：通过将所述第一数据包中的敏感数据进行替换来将所述第一数据包中的敏感数据进行掩码处理；

所述生成部件(603)还被配置为：在将所述第一数据包中的敏感数据进行替换之后，在所述敏感数据映射表(1028)中记录第一替换数据项，其中，所述第一替换数据项包括：

所述第一数据包中被替换的敏感数据、用于替换所述第一数据包中的敏感数据的替换数据，以及二者之间的对应关系。
如权利要求19所述的敏感数据处理装置(102)，其特征在于，还包括：一个第一还原部件(605)，被配置为：

接收回传的所述第二数据包；

获取所述第二数据包中的用于替换所述第一数据包中的敏感数据的替换数据；

根据获取的替换数据确定所述第一替换项；

按照所述第一替换项还原所述第一数据包中被替换的敏感数据。
如权利要求16～18任一项所述的敏感数据处理装置(102)，其特征在于，

所述生成部件(603)被具体配置为：通过将所述第一数据包中的敏感数据进行掩码运算来将所述第一数据包中的敏感数据进行掩码处理；

所述生成部件(603)还被配置为：在将所述第一数据包中的敏感数据进行掩码运算之后，记录第一掩码运算项，其中，所述第一掩码运算项包括：

对所述第一数据包中的敏感数据进行掩码运算的掩码运算方法的信息、所述第二数据包中的经过掩码运算后的敏感数据，以及二者之间的对应关系。
如权利要求21所述的敏感数据处理装置(102)，其特征在于，还包括一个第二还原部件(606)，被配置为：

接收回传的所述第二数据包；

获取所述第二数据包中的经过掩码运算后的敏感数据；

根据获取的经过掩码运算后的敏感数据确定所述第一掩码运算项；

按照所述第一掩码运算项还原所述第一数据包中被替换的敏感数据。
如权利要求16～22任一项所述的敏感数据处理装置(102)，其特征在于，

所述生成部件(603)还被配置为：生成一个掩码处理标识，其中，

所述掩码处理标识用于标识所述第二数据包中是否包括了进行了掩码处理的敏感数据，或者

所述掩码处理标识用于标识所述第二数据包中的进行了掩码处理的敏感数据的数据类型；

所述发送部件(604)还被配置为：发送所述掩码处理标识。
如权利要求23所述的敏感数据处理装置(102)，其特征在于，所述发送部件(604)具体被配置为：

发送所述掩码处理标识，并在发送所述掩码处理标识时发送用于指示所述掩码处理标识与第二数据包之间的对应关系的指示信息(1036)，或

将所述掩码处理标识置于第二数据包中的第一位置处发送，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。
敏感数据处理装置(102)，其特征在于，包括：

至少一个处理器(801)；以及

至少一个存储器(802)，与所述至少一个处理器(801)耦合，

其中，所述至少一个存储器(802)还存储计算机可执行指令，其可在由至少一个处理器(801)执行时进行如权利要求1-9中任一所述的数据处理方法。
计算机可读介质，其特征在于，所述计算机可读介质上存储有计算机指令，所述计算机指令在被至少一个处理器执行时，使所述至少一个处理器执行如权利要求1-9中任一所述的数据处理方法。
控制装置(103)，其特征在于，包括：

一个接收部件(701)，被配置为接收来自一个本地客户网络(101)的一个第二数据包；

一个获取部件(702)，被配置为获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中包括进行了掩码处理的敏感数据；

一个确定部件(703)，被配置为根据所述掩码处理标识确定所述第二数据包中包括进行了掩码处理的敏感数据。
控制装置(103)，其特征在于，包括：

一个接收部件(701)，被配置为接收来自一个本地客户网络(101)的一个第二数据包；

一个获取部件(702)，被配置为获取掩码处理标识，其中，所述掩码处理标识用于标识所述第二数据包中进行了掩码处理的敏感数据的数据类型；

一个确定部件(703)，被配置为根据所述掩码处理标识确定所述第二数据包中进行了掩码处理的敏感数据的数据类型。
如权利要求27或28所述的控制装置(103)，其特征在于，所述获取部件(702)被具体配置为：

接收所述掩码处理标识和一个指示信息(1036)，所述指示信息(1036)用于指示所述掩码处理标识与第二数据包之间的对应关系，根据所述指示信息(1036)确定所述掩码处理标识对应于所述第二数据包；或

从所述第二数据包的第一位置处获取所述掩码处理标识，其中，所述第一位置为所述第二数据包中进行掩码处理后的敏感数据中的预设位置。
如权利要求27～29任一项所述的控制装置(103)，其特征在于，还包括：

一个发送部件(704)，被配置为：向一个敏感数据处理装置(102)发送一项敏感数据映射信息和一项敏感数据定位信息，并指示二者的对应关系，所述敏感数据处理装置(102)用于对所述本地客户网络(101)中的一个第一数据包中的敏感数据进行处理以生成所述第二数据包，其中，

一项敏感数据映射信息和该敏感数据映射信息对应的敏感数据定位信息用于所述敏感数据处理装置(102)确定一个数据包中包括的敏感数据，其中，

该敏感数据映射信息包括用于确定敏感数据的关键词信息；

该敏感数据定位信息用于指示一个包括该敏感数据映射信息的数据包中敏感数据在该数据包中的位置。
如权利要求30所述的控制装置(103)，其特征在于，

所述接收部件(701)还被配置为在所述发送部件(704)向所述敏感数据处理装置(102)发送所述敏感数据映射信息之前，接收来自所述本地客户网络(101)的一个第三数据包；

所述确定部件(703)，还被配置为：

基于已配置的一项敏感数据特征信息确定所述第三数据包中包括敏感数据；

确定所述第三数据包中包括的敏感数据未经过掩码处理；

获取所述第三数据包的所述敏感数据映射信息；

对应于所述第三数据包中的所述敏感数据映射信息生成所述敏感数据定位信息。
控制装置(103)，其特征在于，包括：

至少一个处理器(901)；以及

至少一个存储器(902)，与所述至少一个处理器(901)耦合，

其中，所述至少一个存储器(902)还存储计算机可执行指令，其可在由至少一个处理器(901)执行时进行如权利要求10～14中任一所述的数据处理方法。
计算机可读介质，其特征在于，所述计算机可读介质上存储有计算机指令，所述计算机指令在被至少一个处理器执行时，使所述至少一个处理器执行如权利要求10～14中任一所述的数据处理方法。