数据保护方法及装置的制造方法

数据保护方法及装置的制造方法
【专利摘要】本公开提供了数据保护方法及装置，其中，所述方法包括：接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；根据所述目标数据标识确定与所述目标数据对应的目标密钥；根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。本公开中，第一终端接收到服务器发送的数据保护指令后对目标密钥执行密钥销毁操作。通过上述过程，可以快速确保所述第一终端上的所述目标数据禁止被访问，确保用户数据安全，且提高了保护用户数据安全的速度。
【专利说明】
数据保护方法及装置
技术领域
[0001 ]本公开涉及通信领域，尤其涉及数据保护方法及装置。
【背景技术】
[0002]相关技术中，一旦用户的终端，例如手机丢失，则可以通过远程擦除该终端上的数据的方式来确保用户数据安全。但是，擦除数据的方式需要的时间较长，且非法用户可以通过强制重启该终端的方式终止该擦除数据的过程。因此，不能真正确保用户数据安全。

【发明内容】

[0003]有鉴于此，本公开提供了数据保护方法及装置，以解决相关技术中的不足。
[0004]根据本公开实施例的第一方面，提供一种数据保护方法，用于第一终端，所述方法包括:
[0005]接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0006]根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0007]根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0008]可选地，所述根据所述目标数据标识确定与所述目标数据对应的目标密钥，包括:
[0009]查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述目标数据标识对应的所述目标密钥的目标密钥标识；
[0010]根据所述目标密钥标识查找所述目标密钥所在的目标文件。
[0011 ]可选地，所述根据所述数据保护指令对所述目标密钥执行密钥销毁操作，包括:
[0012]根据所述数据保护指令执行删除所述目标文件的文件删除操作。
[0013]可选地，所述根据所述数据保护指令对所述目标密钥执行密钥销毁操作，包括:
[0014]根据所述数据保护指令对所述目标文件中的所述目标密钥进行密钥修改操作；
[0015]其中，所述密钥修改操作包括以下操作中的一项:
[0016]修改所述目标密钥中的字符的排列顺序的字符重排序操作、在所述目标密钥中增加第一目标字符的字符增加操作和在所述目标密钥中删除第二目标字符的字符删除操作。
[0017]根据本公开实施例的第二方面，提供一种数据保护方法，用于服务器，所述方法包括:
[0018]接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0019]当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0020]发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0021 ]可选地，所述发送所述数据保护指令到所述第一终端，包括:
[0022]根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识；
[0023]根据所述目标终端标识发送所述数据保护指令到所述第一终端。
[0024]可选地，所述根据所述目标终端标识发送所述目标数据保护指令到所述第一终端，包括:
[0025]根据所述目标终端标识检测所述第一终端是否接入网络；
[0026]当根据所述目标终端标识检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。
[0027]根据本公开实施例的第三方面，提供一种数据保护装置，用于第一终端，所述装置包括:
[0028]指令接收模块，被配置为接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0029]密钥确定模块，被配置为根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0030]执行模块，被配置为根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0031]可选地，所述密钥确定模块包括:
[0032]第一查找子模块，被配置为查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述目标数据标识对应的所述目标密钥的目标密钥标识；
[0033]第二查找子模块，被配置为根据所述目标密钥标识查找所述目标密钥所在的目标文件。
[0034]可选地，所述执行模块包括:
[0035]文件删除子模块，被配置为根据所述数据保护指令执行删除所述目标文件的文件删除操作。
[0036]可选地，所述执行模块包括:
[0037]密钥修改子模块，被配置为根据所述数据保护指令对所述目标文件中的所述目标密钥进行密钥修改操作；
[0038]其中，所述密钥修改操作包括以下操作中的一项:
[0039]修改所述目标密钥中的字符的排列顺序的字符重排序操作、在所述目标密钥中增加第一目标字符的字符增加操作和在所述目标密钥中删除第二目标字符的字符删除操作。
[0040]根据本公开实施例的第四方面，提供一种数据保护装置，用于服务器，所述装置包括:
[0041]请求接收模块，被配置为接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0042]指令生成模块，被配置为当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0043]指令发送模块，被配置为发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0044]可选地，所述指令发送模块包括:
[0045]确定子模块，被配置为根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识；
[0046]指令发送子模块，被配置为根据所述目标终端标识发送所述数据保护指令到所述第一终端。
[0047]可选地，所述指令发送子模块包括:
[0048]检测单元，被配置为根据所述目标终端标识检测所述第一终端是否接入网络；
[0049]指令发送单元，被配置为当根据所述目标终端标识检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。
[0050]根据本公开实施例的第五方面，提供一种数据保护装置，包括:
[0051]处理器；
[0052]用于存储处理器可执行指令的存储器；
[0053]其中，所述处理器被配置为:
[0054]接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0055]根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0056]根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0057]根据本公开实施例的第六方面，提供一种数据保护装置，包括:
[0058]处理器；
[0059]用于存储处理器可执行指令的存储器；
[0060]其中，所述处理器被配置为:
[0061]接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0062]当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0063]发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0064]本公开的实施例提供的技术方案可以包括以下有益效果:
[0065]本公开实施例中，第一终端可以在接收到服务器发送的用于保护目标数据的数据保护指令后，根据所述数据保护指令中携带的所述目标数据的目标数据标识来确定与所述目标数据对应的目标密钥。本公开中可以通过对所述目标密钥执行密钥销毁操作，来禁止所述目标数据被访问。通过上述过程，可以快速确保所述第一终端上的所述目标数据禁止被访问，确保用户数据安全，且提高了保护用户数据安全的速度。
[0066]本公开实施例中，第一终端可以根据接收到的数据保护指令对目标密钥所在的目标文件执行文件删除操作，或者可以对所述目标密钥进行密钥修改操作。可选地，所述密钥修改操作可以是修改所述目标密钥中的字符的排列顺序的字符重排序操作，或者在所述目标密钥中增加第一目标字符的字符增加操作，或者在所述目标密钥中删除第二目标字符的字符删除操作。由于目标密钥不存在或验证未通过时，所述目标数据禁止被访问，因此可以通过上述密钥销毁操作快速禁止非法用户访问所述第一终端上的所述目标数据，从而确保用户数据安全。
[0067]本公开实施例中，用户可以在丢失第一终端等情况时，通过第二终端发送数据保护请求到服务器，由服务器对该数据保护请求中携带的用于表征所述用户身份合法性的认证信息进行认证，认证通过后，生成数据保护指令，进而发送到所述第一终端。避免非法用户对第一终端的目标数据进行访问限制，确保了用户数据安全。进一步地，由所述第一终端根据该数据保护指令对目标密钥执行密钥销毁操作，快速确保所述第一终端上的目标数据禁止被访问。
[0068]本公开实施例中，第一终端预先绑定了目标账号，当用户通过第二终端向服务器发送数据保护请求时，服务器可以根据该数据保护请求中携带的所述目标账号确定所述第一终端的目标终端标识，从而根据所述目标终端标识将生成的数据保护指令发送给所述第一终端。实现简便，可用性高。
[0069]本公开实施例中，服务器在检测到第一终端已经接入网络后，立即发送数据保护指令到所述第一终端。如果所述服务器检测到所述第一终端尚未接入网络，则可以进行等待，直到检测到所述第一终端接入网络时，再发送所述数据保护指令到所述第一终端。实现简便，可用性高。
[0070]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
【附图说明】
[0071]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
[0072]图1是本公开根据一示例性实施例示出的一种数据保护方法流程图；
[0073]图2是本公开根据一示例性实施例示出的另一种数据保护方法流程图；
[0074]图3是本公开根据一示例性实施例示出的另一种数据保护方法流程图；
[0075]图4是本公开根据一示例性实施例示出的一种数据保护装置框图；
[0076]图5是本公开根据一示例性实施例示出的另一种数据保护装置框图；
[0077]图6是本公开根据一示例性实施例示出的另一种数据保护装置框图；
[0078]图7是本公开根据一示例性实施例示出的另一种数据保护装置框图；
[0079]图8是本公开根据一示例性实施例示出的另一种数据保护装置框图；
[0080]图9是本公开根据一示例性实施例示出的另一种数据保护装置框图；[0081 ]图10是本公开根据一示例性实施例示出的另一种数据保护装置框图；
[0082]图11是本公开根据一示例性实施例示出的一种用于数据保护装置的一结构示意图；
[0083]图12是本公开根据一示例性实施例示出的另一种用于数据保护装置的一结构示意图。
【具体实施方式】
[0084]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0085]在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0086]应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0087]本公开实施例提供的数据保护方法可以用于第一终端，例如，智能手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)等。如图1所示，图1是根据一示例性实施例示出的一种数据保护方法，包括以下步骤:
[0088]在步骤101中，接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识。
[0089]本公开实施例中，为了确保磁盘和系统的数据安全，所述第一终端已经预先开启了安全启动和全磁盘加密的功能。另外，为了确保可以接收到所述数据保护指令，所述第一终端已经预先绑定目标账号，且已经开启了丢失后允许用户查找该终端的查找功能。所述服务器可以是云服务器。
[0090]本步骤中，用户在确定需要对所述第一终端上的目标数据进行保护时，例如所述第一终端丢失，为了避免非法用户获取所述目标数据，需要对所述目标数据进行保护时，所述用户可以通过第二终端发送数据保护请求到所述服务器。其中，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识。
[0091 ]所述服务器根据所述数据保护请求中携带的所述认证信息，对用户身份的合法性进行认证，认证通过后生成数据保护指令并根据所述目标账号确定第一终端的目标终端标识，从而将所述数据保护指令发送给所述第一终端。所述数据保护指令中至少包括所述目标数据的目标数据标识。可选地，所述目标数据为所述第一终端上的存储设备所存储的至少部分涉及到用户隐私的数据和/或所述第一终端系统内的至少部分系统数据。
[0092]考虑到当前无法通过物理连接的方式向所述第一终端发送所述数据保护指令，因此可选地，所述第一终端可以通过已经接入的网络，例如无线保真(Wire I ess Fidelity，WIFI)网络或数据传输网络，来接收所述数据保护指令。
[0093]在步骤102中，根据所述目标数据标识确定与所述目标数据对应的目标密钥。
[0094]本公开实施例中，目标密钥可以是所述第一终端的系统密钥，或者是所述第一终端的用户针对所述目标数据单独设置的私有密钥。
[0095]本步骤中，可选地，所述第一终端可以查找预存的数据标识和密钥标识之间的对应关系列表，从而获取与所述目标数据标识对应的目标密钥标识。进一步地，可以根据所述目标密钥标识，查找所述第一终端上存储的文件。所述终端已经预先记录了密钥标识和文件信息的对应关系列表，因此，可以根据所述目标密钥标识确定所述目标密钥所在的所述目标文件的目标文件信息。所述目标文件信息包括所述目标文件所在位置的位置信息和所述目标文件的文件标识。
[0096]在步骤103中，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0097]本公开实施例中，所述目标密钥是与所述目标数据对应的固定的一串字符串，一旦所述目标密钥不存在或所述目标密钥的内容发生改变，所述第一终端上的数据就无法访问，也就使得所述第一终端上的所述目标数据禁止被访问。因此，可以通过查找到的所述目标文件信息，即所述目标文件的所述位置信息和所述文件标识，快速查找到所述目标文件，进而对所述目标文件中的所述目标密钥执行所述密钥销毁操作，从而快速禁止所述目标数据被访问。
[0098]本步骤中，可选地，可以通过以下方式中的任意一种对所述目标文件中的所述目标密钥执行所述密钥销毁操作。
[0099]第一种方式，可以通过执行文件删除操作来实现所述密钥销毁操作。
[0100]所述第一终端可以在根据所述位置信息和所述文件标识查找到所述目标文件后，删除所述目标文件，从而实现所述密钥销毁操作。
[0101]第二种方式，可以通过执行密钥修改操作来实现所述密钥销毁操作。
[0102]此种方式中，所述第一终端可以不必删除所述目标文件，而是在查找到所述目标密钥所在的所述目标文件后，对所述目标密钥进行所述密钥修改操作以达到销毁所述目标密钥的目的。
[0103]可选地，所述第一终端可以通过打乱所述目标密钥中的字符的排列顺序，即通过字符重排序操作来销毁之前的所述目标密钥。
[0?04] 例如，之前的目标密钥为abcdefg，则所述第一终端打乱后的新密钥为bdefagc。
[0105]或者，所述第一终端可以通过在所述目标密钥中增加第一目标字符的字符增加操作来销毁之前的所述目标密钥。当然，所述第一目标字符的数目也可以为多个，即增加字符串到所述目标密钥中。增加的位置可以在所述目标密钥中的任意位置。
[0106]例如，之前的目标密钥为abcdefg，则执行所述字符增加操作后得到的新密钥为abcmndefgltο
[0107]或者，所述第一终端还可以通过在所述目标密钥中删除第二目标字符的字符删除操作来销毁之前的所述目标密钥。当然，所述第二目标字符的数目也可以为多个。删除的所述第二目标字符可以位于所述目标密钥中的任意位置。
[0108]例如，之前的目标密钥为abcdefg，则执行所述字符删除操作后得到的新密钥为beef ο
[0109]上述实施例中，由于执行密钥销毁操作的速度较快，因此，可以快速禁止所述第一终端上的所述目标数据被访问，确保用户数据安全，且提高了保护用户数据安全的速度。
[0110]本公开实施例提供的另一种数据保护方法可以用于服务器，可选地，所述服务器为云服务器。如图2所示，图2是根据一示例性实施例示出的另一种数据保护方法，包括以下步骤:
[0111]在步骤201中，接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识。
[0112]本公开实施例中，可选地，所述用户可以在确定需要保护所述目标数据时，例如所述用户丢失了所述第一终端时，通过第二终端登录相应的网站或账户管理平台，输入用于表征所述用户身份合法性的认证信息以及预先绑定所述第一终端的目标账号，并点击相应的确认需要对所述目标数据进行保护的虚拟按键。
[0113]进一步地，由所述第二终端发送携带所述目标账号、所述认证信息和需要保护的目标数据的目标数据标识的数据保护请求到所述服务器。所述目标数据可以是所述第一终端上的存储设备所存储的至少部分涉及到用户隐私的数据和/或所述第一终端系统内的至少部分系统数据。可选地，所述第二终端可以通过WIFI网络或数据传输网络发送所述数据保护请求到所述服务器。所述服务器按照相关技术接收所述数据保护请求。
[0114]在步骤202中，当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识。
[0115]本步骤中，所述服务器在接收到所述数据保护请求后，可以先对所述数据保护请求中携带的所述认证信息进行认证。所述服务器在对所述认证信息认证通过后，按照相关技术根据所述数据保护请求生成所述数据保护指令，所述数据保护指令中至少携带所述目标数据标识。
[0116]在步骤203中，发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0117]本步骤中，所述服务器生成所述数据保护指令后，由于所述第一终端已经预先绑定目标账号，因此，所述服务器可以通过查找预存的账号信息与终端标识之间的对应关系列表，根据所述数据保护请求中携带的所述目标账号来确定所述第一终端的目标终端标识。
[0118]进一步地，所述服务器根据所述目标终端标识按照相关技术检测所述第一终端是否已经接入网络。当所述第一终端已经接入网络后，所述服务器可以直接通过所述网络发送所述数据保护指令到所述第一终端。所述第一终端接收到所述数据保护指令后，立即根据所述目标数据标识确定与所述目标数据对应的目标密钥，进而对所述目标密钥执行密钥销毁操作。一旦所述目标密钥不存在或所述目标密钥的内容发生改变，所述第一终端上的所述目标数据就无法被访问，从而实现了快速禁止所述目标数据被访问的目的。
[0119]如果所述服务器检测到所述第一终端尚未接入网络，则所述服务器可以控制所述数据保护指令处于等待发送状态，并定期检测所述第一终端是否接入网络。一旦检测到所述第一终端接入网络，则立即通过所述网络发送所述数据保护指令到所述第一终端。
[0120]上述实施例中，用户可以在丢失第一终端等情况时，通过第二终端发送数据保护请求到服务器，由服务器根据该数据保护请求生成数据保护指令，进而发送到所述第一终端。所述第一终端根据该数据保护指令对目标密钥执行密钥销毁操作，确保所述第一终端上的目标数据禁止被访问。可用性高，且确保了用户数据安全。
[0121]如图3所示，图3是根据一示例性实施例示出的另一种数据保护方法，包括以下步骤:
[0122]在步骤301中，第二终端发送请求保护第一终端上的目标数据的数据保护请求到服务器。
[0123]本步骤中，所述用户在确定需要对所述目标数据进行保护时，可以按照相关技术通过所述第二终端发送所述数据保护请求到所述服务器。可选地，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识。
[0124]在步骤302中，所述服务器对所述数据保护请求中携带的所述认证信息进行认证。
[0125]本步骤中，所述服务器在接收到所述数据保护请求后，对其中携带的所述认证信息按照相关技术进行认证，如果认证通过，则继续执行步骤303，否则可以返回认证不通过的通知消息到所述第二终端。
[0126]在步骤303中，所述服务器在对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令。
[0127]本步骤中，所述服务器可以按照相关技术生成所述数据保护指令，所述数据保护指令中至少携带所述目标数据标识。
[0128]在步骤304中，根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识。
[0129]本步骤中，所述服务器已经预存了所述对应关系列表，在认证通过后，查找该对应关系列表，从而确定预先绑定了所述目标账号的所述第一终端的目标终端标识。
[0130]在步骤305中，所述服务器根据所述目标终端标识检测所述第一终端是否接入网络。
[0131]本步骤中，如果所述服务器检测到所述第一终端已经接入网络，则继续执行步骤306，否则需要定期再次检测所述第一终端是否接入网络。
[0132]在步骤306中，所述服务器检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。
[0133]在步骤307中，所述第一终端在接收到所述数据保护指令后，查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述数据保护指令中携带的所述目标数据标识对应的所述目标密钥的目标密钥标识。
[0134]在步骤308中，根据所述目标密钥标识查找所述目标密钥所在的目标文件。
[0135]在步骤309中，对所述目标文件中的所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0136]本步骤中，可选地，所述第一终端可以删除所述目标密钥所在的所述目标文件，或者通过对所述目标密钥进行修改操作来销毁所述目标密钥，从而禁止所述目标数据被访问。
[0137]上述实施例中，用户可以在丢失第一终端等情况时，通过第二终端发送数据保护请求到服务器，所述服务器在接收到用户通过第二终端发送的数据保护请求后，对其中携带的用于表征所述用户身份合法性的认证信息进行认证，所述服务器在认证通过后，才根据该数据保护请求生成数据保护指令并发送到第一终端。避免非法用户对第一终端的目标数据进行访问限制，确保了用户数据安全。进一步地，所述服务器在检测到第一终端已经接入网络后，可以立即发送数据保护指令到所述第一终端。如果所述服务器检测到所述第一终端尚未接入网络，则可以进行等待，直到检测到所述第一终端接入网络时，再发送所述数据保护指令到所述第一终端。实现简便，可用性高。所述第一终端接收到服务器发送的数据保护指令后对目标密钥执行密钥销毁操作。通过上述过程，可以快速确保所述第一终端上的所述目标数据禁止被访问，确保用户数据安全，且提高了保护用户数据安全的速度。
[0138]与前述方法实施例相对应，本公开还提供了装置的实施例。
[0139]如图4所示，图4是本公开根据一示例性实施例示出的一种数据保护装置框图，包括:指令接收模块410、密钥确定模块420和执行模块430。
[0140]其中，所述指令接收模块410，被配置为接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0141 ]所述密钥确定模块420，被配置为根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0142]所述执行模块430，被配置为根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0143]如图5所示，图5是本公开根据一示例性实施例示出的另一种数据保护装置框图，该实施例在前述图4所示实施例的基础上，所述密钥确定模块420包括:第一查找子模块421和第二查找子模块422。
[0144]其中，所述第一查找子模块421，被配置为查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述目标数据标识对应的所述目标密钥的目标密钥标识；
[0145]所述第二查找子模块422，被配置为根据所述目标密钥标识查找所述目标密钥所在的目标文件。
[0146]如图6所示，图6是本公开根据一示例性实施例示出的另一种数据保护装置框图，该实施例在前述图4所示实施例的基础上，所述执行模块430包括:文件删除子模块431。
[0147]其中，所述文件删除子模块431，被配置为根据所述数据保护指令执行删除所述目标文件的文件删除操作。
[0148]如图7所示，图7是本公开根据一示例性实施例示出的另一种数据保护装置框图，该实施例在前述图4所示实施例的基础上，所述执行模块430包括:密钥修改子模块432。
[0149]其中，所述密钥修改子模块432，被配置为根据所述数据保护指令对所述目标文件中的所述目标密钥进行密钥修改操作；
[0150]其中，所述密钥修改操作包括以下操作中的一项:
[0151]修改所述目标密钥中的字符的排列顺序的字符重排序操作、在所述目标密钥中增加第一目标字符的字符增加操作和在所述目标密钥中删除第二目标字符的字符删除操作。
[0152]如图8所示，图8是本公开根据一示例性实施例示出的另一种数据保护装置框图，包括:请求接收模块510、指令生成模块520和指令发送模块530。
[0153]其中，所述请求接收模块510，被配置为接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0154]所述指令生成模块520，被配置为当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0155]所述指令发送模块530，被配置为发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0156]如图9所示，图9是本公开根据一示例性实施例示出的另一种数据保护装置框图，该实施例在前述图8所示实施例的基础上，所述指令发送模块530包括:确定子模块531和指令发送子模块532。
[0157]其中，所述确定子模块531，被配置为根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识；
[0158]所述指令发送子模块532，被配置为根据所述目标终端标识发送所述数据保护指令到所述第一终端。
[0159]如图10所示，图10是本公开根据一示例性实施例示出的另一种数据保护装置框图，该实施例在前述图9所示实施例的基础上，所述指令发送子模块532包括:检测单元5321和指令发送单元5322。
[0160]其中，所述检测单元5321，被配置为根据所述目标终端标识检测所述第一终端是否接入网络；
[0161]所述指令发送单元5322，被配置为当根据所述目标终端标识检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。
[0162]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0163]相应的，本公开还提供一种数据保护装置，包括:
[0164]处理器；
[0165]用于存储处理器可执行指令的存储器；
[0166]其中，所述处理器被配置为:
[0167]接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0168]根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0169]根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0170]图11是根据一示例性实施例示出的一种数据保护装置的结构示意图。如图11所示，根据一示例性实施例示出的一种数据保护装置1100，该装置1100可以是计算机，移动电话，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等终端。
[0171]参照图11，装置1100可以包括以下一个或多个组件:处理组件1101，存储器1102，电源组件110 3，多媒体组件1104，音频组件110 5，输入/输出(I /0)的接口 1106，传感器组件1107，以及通信组件1108。
[0172]处理组件1101通常控制装置1100的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件1101可以包括一个或多个处理器1109来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件1101可以包括一个或多个模块，便于处理组件1101和其它组件之间的交互。例如，处理组件1101可以包括多媒体模块，以方便多媒体组件1104和处理组件1101之间的交互。
[0173]存储器1102被配置为存储各种类型的数据以支持在装置1100的操作。这些数据的示例包括用于在装置1100上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器1102可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPR0M)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。
[0174]电源组件1103为装置1100的各种组件提供电力。电源组件1103可以包括电源管理系统，一个或多个电源，及其它与为装置1100生成、管理和分配电力相关联的组件。
[0175]多媒体组件1104包括在所述装置1100和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件1104包括一个前置摄像头和/或后置摄像头。当装置1100处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
[0176]音频组件1105被配置为输出和/或输入音频信号。例如，音频组件1105包括一个麦克风(MIC)，当装置1100处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1102或经由通信组件1108发送。在一些实施例中，音频组件1105还包括一个扬声器，用于输出音频信号。
[0177]I/O接口 1102为处理组件1101和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
[0178]传感器组件1107包括一个或多个传感器，用于为装置1100提供各个方面的状态评估。例如，传感器组件1107可以检测到装置1100的打开/关闭状态，组件的相对定位，例如所述组件为装置1100的显示器和小键盘，传感器组件1107还可以检测装置1100或装置1100—个组件的位置改变，用户与装置1100接触的存在或不存在，装置1100方位或加速/减速和装置1100的温度变化。传感器组件1107可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件1107还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件1107还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
[0179]通信组件1108被配置为便于装置1100和其它设备之间有线或无线方式的通信。装置1100可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件1108经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件1108还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其它技术来实现。
[0180]在示例性实施例中，装置1100可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其它电子元件实现，用于执行上述方法。
[0181]在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器1102，上述指令可由装置1100的处理器1109执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是R0M、随机存取存储器(RAM)、CD-R0M、磁带、软盘和光数据存储设备等。
[0182]其中，当所述存储介质中的指令由所述处理器执行时，使得装置1100能够执行一种数据保护方法，包括:
[0183]接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识；
[0184]根据所述目标数据标识确定与所述目标数据对应的目标密钥；
[0185]根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。
[0186]相应的，本公开还提供一种数据保护装置，包括:
[0187]处理器；
[0188]用于存储处理器可执行指令的存储器；
[0189]其中，所述处理器被配置为:
[0190]接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0191]当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0192]发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0193]如图12所示，图12是根据一示例性实施例示出的一种数据保护装置1200的一结构示意图。
[0194]例如，装置1200可以被提供为服务器，例如云服务器。参照图12，装置1200包括处理组件1222，其进一步包括一个或多个处理器，以及由存储器1232所代表的存储器资源，用于存储可由处理组件1222的执行的指令，例如应用程序。存储器1232中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1222被配置为执行指令，以执行上述数据保护方法。
[0195]装置1200还可以包括一个电源组件1226被配置为执行装置1200的电源管理，一个有线或无线网络接口 1250被配置为将装置1200连接到网络，和一个输入输出(I/O)接口1258。装置1200可以操作基于存储在存储器1232的操作系统，例如Android、10S、WindowsServerTM,Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM或类似。
[0196]其中，当所述存储器1232中的指令由所述处理组件1222执行时，使得装置1200能够执行另一种数据保护方法，包括:
[0197]接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识；
[0198]当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识；
[0199]发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
[0200]本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或者惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。
[0201]以上所述仅为本公开的较佳实施例而已，并不用以限制本公开，凡在本公开的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本公开保护的范围之内。
【主权项】
1.一种数据保护方法，用于第一终端，其特征在于，所述方法包括: 接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识； 根据所述目标数据标识确定与所述目标数据对应的目标密钥； 根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标数据标识确定与所述目标数据对应的目标密钥，包括: 查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述目标数据标识对应的所述目标密钥的目标密钥标识； 根据所述目标密钥标识查找所述目标密钥所在的目标文件。3.根据权利要求2所述的方法，其特征在于，所述根据所述数据保护指令对所述目标密钥执行密钥销毁操作，包括: 根据所述数据保护指令执行删除所述目标文件的文件删除操作。4.根据权利要求2所述的方法，其特征在于，所述根据所述数据保护指令对所述目标密钥执行密钥销毁操作，包括: 根据所述数据保护指令对所述目标文件中的所述目标密钥进行密钥修改操作； 其中，所述密钥修改操作包括以下操作中的一项: 修改所述目标密钥中的字符的排列顺序的字符重排序操作、在所述目标密钥中增加第一目标字符的字符增加操作和在所述目标密钥中删除第二目标字符的字符删除操作。5.一种数据保护方法，用于服务器，其特征在于，所述方法包括: 接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识； 当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识； 发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。6.根据权利要求5所述的方法，其特征在于，所述发送所述数据保护指令到所述第一终端，包括: 根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识； 根据所述目标终端标识发送所述数据保护指令到所述第一终端。7.根据权利要求6所述的方法，其特征在于，所述根据所述目标终端标识发送所述目标数据保护指令到所述第一终端，包括: 根据所述目标终端标识检测所述第一终端是否接入网络； 当根据所述目标终端标识检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。8.一种数据保护装置，用于第一终端，其特征在于，所述装置包括: 指令接收模块，被配置为接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识； 密钥确定模块，被配置为根据所述目标数据标识确定与所述目标数据对应的目标密钥； 执行模块，被配置为根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。9.根据权利要求8所述的装置，其特征在于，所述密钥确定模块包括: 第一查找子模块，被配置为查找预存的数据标识和密钥标识之间的对应关系列表，获取与所述目标数据标识对应的所述目标密钥的目标密钥标识； 第二查找子模块，被配置为根据所述目标密钥标识查找所述目标密钥所在的目标文件。10.根据权利要求9所述的装置，其特征在于，所述执行模块包括: 文件删除子模块，被配置为根据所述数据保护指令执行删除所述目标文件的文件删除操作。11.根据权利要求9所述的装置，其特征在于，所述执行模块包括: 密钥修改子模块，被配置为根据所述数据保护指令对所述目标文件中的所述目标密钥进行密钥修改操作； 其中，所述密钥修改操作包括以下操作中的一项: 修改所述目标密钥中的字符的排列顺序的字符重排序操作、在所述目标密钥中增加第一目标字符的字符增加操作和在所述目标密钥中删除第二目标字符的字符删除操作。12.一种数据保护装置，用于服务器，其特征在于，所述装置包括: 请求接收模块，被配置为接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识； 指令生成模块，被配置为当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识； 指令发送模块，被配置为发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。13.根据权利要求12所述的装置，其特征在于，所述指令发送模块包括: 确定子模块，被配置为根据所述数据保护请求中携带的所述目标账号，查找预存的账号信息和终端标识之间的对应关系列表，确定预先绑定所述目标账号的所述第一终端的目标终端标识； 指令发送子模块，被配置为根据所述目标终端标识发送所述数据保护指令到所述第一终端。14.根据权利要求13所述的装置，其特征在于，所述指令发送子模块包括: 检测单元，被配置为根据所述目标终端标识检测所述第一终端是否接入网络； 指令发送单元，被配置为当根据所述目标终端标识检测到所述第一终端已经接入网络时，通过所述网络发送所述数据保护指令到所述第一终端。15.一种数据保护装置，其特征在于，包括: 处理器； 用于存储处理器可执行指令的存储器； 其中，所述处理器被配置为: 接收服务器发送的用于保护目标数据的数据保护指令，所述数据保护指令中至少包括所述目标数据的目标数据标识； 根据所述目标数据标识确定与所述目标数据对应的目标密钥； 根据所述数据保护指令对所述目标密钥执行密钥销毁操作，以使所述目标数据禁止被访问。16.一种数据保护装置，其特征在于，包括: 处理器； 用于存储处理器可执行指令的存储器； 其中，所述处理器被配置为: 接收用户通过第二终端发送的请求保护第一终端上的目标数据的数据保护请求，所述数据保护请求中至少携带所述用户当前在所述第二终端上登录的目标账号、用于表征所述用户身份合法性的认证信息和需要保护的目标数据的目标数据标识； 当对所述认证信息认证通过后，根据所述数据保护请求生成数据保护指令，所述数据保护指令中至少携带所述目标数据标识； 发送所述数据保护指令到所述第一终端，以使所述第一终端根据所述目标数据标识确定与所述目标数据对应的目标密钥后，根据所述数据保护指令对所述目标密钥执行密钥销毁操作，禁止所述目标数据被访问。
【文档编号】G06F21/62GK106066968SQ201610371649
【公开日】2016年11月2日
【申请日】2016年5月30日 公开号201610371649.3, CN 106066968 A, CN 106066968A, CN 201610371649, CN-A-106066968, CN106066968 A, CN106066968A, CN201610371649, CN201610371649.3
【发明人】王江少, 杨冬东, 程洋, 冯静敏
【申请人】北京小米移动软件有限公司