(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210520569.5 (22)申请日 2022.05.12 (71)申请人 北京百度网讯科技有限公司 地址 100085 北京市海淀区上地十街10号 百度大厦2层 (72)发明人 钱毅　郑泽　奚宁伟　钟嘉烽　 (74)专利代理 机构 北京市汉坤律师事务所 11602 专利代理师 姜浩然　吴丽丽 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 数据处理方法、 装置、 电子设备和计算机可 读存储介质 (57)摘要 本公开提供了一种数据处理方法、 装置、 电 子设备、 计算机可读存储介质和计算机程序产 品， 涉及计算机技术领域， 尤其涉及数据安全技 术领域。 实现方案为： 获取由服务器利用第一密 钥加密的加密数据； 从服务器获取第一密钥以及 被允许访问加密数据的第一应用程序的第一标 识； 将加密数据映射到虚拟目录中； 响应于接收 到第二应用程序通过虚拟目录对加密数据的访 问请求， 基于第一标识和第二应用程序的第二标 识， 对第二应用程序进行验证； 以及响应于第一 标识与第二标识相匹配， 利用第一密钥对加密数 据进行解密， 以使第二应用程序能够访问经解密 的数据。 权利要求书2页 说明书10页 附图6页 CN 114861207 A 2022.08.05 CN 114861207 A 1.一种数据处 理方法， 应用于客户端， 所述方法包括： 获取由服 务器利用第一密钥加密的加密数据； 从所述服务器获取所述第一密钥以及被允许访问所述加密数据的第一应用程序的第 一标识； 将所述加密数据映射到虚拟目录中； 响应于接收到第 二应用程序通过所述虚拟目录对所述加密数据的访问请求， 基于所述 第一标识和所述第二应用程序的第二标识， 对所述第二应用程序进行验证； 以及 响应于所述第 一标识与所述第 二标识相匹配， 利用所述第 一密钥对所述加密数据进行 解密， 以使所述第二应用程序能够 访问经解密的数据。 2.根据权利要求1所述的方法， 其中， 从所述服务器获取所述第 一密钥以及被允许访问 所述加密数据的第一应用程序的第一标识包括： 从所述服务器接收访 问策略信息， 其中， 所述访 问策略信息是由所述服务器利用第二 密钥， 对所述第一密钥以及所述第一标识两者进行加密获得的； 以及 利用所述第 二密钥对所述访问策略信 息进行解密， 以获取所述第 一密钥以及所述第 一 标识。 3.根据权利要求2所述的方法， 其中， 所述客户端包括密钥芯片， 并且其中， 利用所述第 二密钥对所述访问策略信息进行解密包括： 利用预制在所述密钥芯片中的第二密钥对所述访问策略信息进行解密。 4.根据权利要求1所述的方法， 其中， 将所述加密数据映射到所述虚拟目录中包括： 将存储在源目录 中的所述加密数据映射到所述虚拟目录中， 所述虚拟目录具有与 所述 源目录相同的目录结构。 5.根据权利要求1至4中任一项所述的方法， 还包括： 在将所述加密数据映射到所述虚 拟目录中之前， 接收由所述服务器基于用户输入的第 一配置信 息修改的第 二配置信 息， 所述第 一配置 信息和所述第二配置信息用于指示部署第二应用程序所需的数据访问路径； 以及 基于所述第二配置信息， 对所述客户端进行配置， 以使所述第二应用程序能够通过所 述虚拟目录对所述加密数据发出访问请求。 6.根据权利要求1至4中任一项所述的方法， 还 包括： 将所述第一密钥以及所述第一标识存 储至所述 客户端本地。 7.根据权利要求1至4中任一项所述的方法， 还 包括： 响应于所述第 一标识与所述第 二标识不匹配， 将所述加密数据发送至所述第 二应用程 序。 8.根据权利要求1至4中任一项所述的方法， 其中， 所述第 一标识是第 一数字签名， 并且 所述第二标识是第二数字签名。 9.一种数据处 理装置， 应用于客户端， 所述装置包括： 第一获取 单元， 被配置为获取由服 务器利用第一密钥加密的加密数据； 第二获取单元， 被配置为从所述服务器获取所述第 一密钥以及被允许访问所述加密数 据的第一应用程序的第一标识； 映射单元， 被配置为将所述加密数据映射到虚拟目录中；权　利　要　求　书 1/2 页 2 CN 114861207 A 2验证单元， 被配置为响应于接收到第 二应用程序通过所述虚拟目录对所述加密数据的 访问请求， 基于所述第一标识和所述第二应用程序的第二标识， 对所述第二应用程序进行 验证； 以及 解密单元， 被配置为响应于所述第一标识与所述第二标识相匹配， 利用所述第一密钥 对所述加密数据进行解密， 以使所述第二应用程序能够 访问经解密的数据。 10.根据权利要求9所述的装置， 其中， 所述第二获取 单元被进一 步配置为： 从所述服务器接收访 问策略信息， 其中， 所述访 问策略信息是由所述服务器利用第二 密钥， 对所述第一密钥以及所述第一标识两者进行加密获得的； 以及 利用所述第 二密钥对所述访问策略信 息进行解密， 以获取所述第 一密钥以及所述第 一 标识。 11.根据权利要求10所述的装置， 其中， 所述客户端包括密钥芯片， 并且其中， 所述第二 获取单元被进一 步配置为： 利用预制在所述密钥芯片中的第二密钥对所述访问策略信息进行解密。 12.根据权利要求9所述的装置， 其中， 所述映射单 元被进一 步配置为： 将存储在源目录 中的所述加密数据映射到所述虚拟目录中， 所述虚拟目录具有与 所述 源目录相同的目录结构。 13.根据权利要求9至12中任一项所述的装置， 还包括配置单元， 所述配置单元被配置 为： 在将所述加密数据映射到所述虚拟目录中之前， 接收由所述服务器基于用户输入的第 一配置信 息修改的第 二配置信 息， 所述第 一配置 信息和所述第二配置信息用于指示部署第二应用程序所需的数据访问路径； 以及 基于所述第二配置信息， 对所述客户端进行配置， 以使所述第二应用程序能够通过所 述虚拟目录对所述加密数据发出访问请求。 14.根据权利要求9至12中任一项所述的装置， 还 包括： 存储单元， 被配置为将所述第一密钥以及所述第一标识存 储至所述 客户端本地。 15.根据权利要求9至12中任一项所述的装置， 还 包括： 发送单元， 被配置为响应于所述第一标识与所述第二标识不匹配， 将所述加密数据发 送至所述第二应用程序。 16.根据权利要求9至12中任一项所述的装置， 其中， 所述第 一标识是第 一数字签名， 并 且所述第二标识是第二数字签名。 17.一种电子设备， 包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑8中任一项所述的方法。 18.一种存储有计算机指令的非瞬时计算机可读存储介质， 其中， 所述计算机指令用于 使所述计算机执 行根据权利要求1 ‑8中任一项所述的方法。 19.一种计算机程序产品， 包括计算机程序， 其中， 所述计算机程序在被处理器执行时 实现权利要求1 ‑8中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114861207 A 3