数据访问请求的处理方法、装置、设备及可读存储介质与流程

1.本技术实施例涉及交通领域，特别涉及一种数据访问请求的处理方法、装置、设备及可读存储介质。


背景技术：

2.随着计算机技术的快速发展，越来越多的数据存储在服务器中。客户端通过网络访问服务器，可以快速便捷的获取到存储在服务器中的数据。
3.相关技术中，客户端获取存储在服务器中的数据时，客户端先向服务器发送数据访问请求，服务器接收到数据访问请求后，向客户端发送数据访问请求对应的数据，以使客户端成功获取到数据。由于部分数据较为敏感，重要性非常高，上述方式会造成这部分敏感数据的泄漏，影响数据安全性。


技术实现要素：

4.本技术实施例提供了一种数据访问请求的处理方法、装置、设备及可读存储介质，可用于解决敏感数据的泄漏问题，提高数据安全性，所述技术方案包括如下内容。
5.一方面，本技术实施例提供了一种数据访问请求的处理方法，所述方法包括：
6.获取客户端发送的数据访问请求，所述数据访问请求携带数据访问信息；
7.基于所述数据访问请求确定所述客户端对应的目标接入点；
8.响应于所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件，对所述数据访问请求进行处理。
9.另一方面，本技术实施例提供了一种数据访问请求的处理装置，所述装置包括：
10.获取模块，用于获取客户端发送的数据访问请求，所述数据访问请求携带数据访问信息；
11.确定模块，用于基于所述数据访问请求确定所述客户端对应的目标接入点；
12.处理模块，用于响应于所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件，对所述数据访问请求进行处理。
13.在一种可能的实现方式中，所述获取模块，还用于获取所述目标接入点对应的至少一个黑名单信息，所述黑名单信息是不允许访问服务器的请求所携带的信息；
14.所述确定模块，还用于响应于所述数据访问请求携带的数据访问信息不属于所述至少一个黑名单信息，确定所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件。
15.在一种可能的实现方式中，所述黑名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
16.在一种可能的实现方式中，所述获取模块，还用于获取所述目标接入点对应的至少一个白名单信息，所述白名单信息是允许访问服务器的请求所携带的信息；
17.所述确定模块，还用于响应于所述数据访问请求携带的数据访问信息属于所述至
少一个白名单信息，确定所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件。
18.在一种可能的实现方式中，所述白名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
19.在一种可能的实现方式中，所述数据访问请求携带的数据访问信息包括令牌信息；
20.所述获取模块，还用于获取所述数据访问请求携带的令牌信息所对应的加密信息，所述令牌信息是基于所述加密信息对所述客户端的互联网协议地址进行加密得到的；
21.所述确定模块，还用于响应于所述令牌信息对应的加密信息为所述目标接入点对应的加密信息，确定所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件。
22.在一种可能的实现方式中，所述处理模块，用于响应于所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件，且所述数据访问请求与所述客户端历史发送的数据访问请求之间的时间差大于或者等于目标时间差，对所述数据访问请求进行处理；或者，响应于所述数据访问请求携带的数据访问信息满足所述目标接入点对应的数据访问条件，且所述客户端历史发送的数据访问请求的次数小于或者等于目标次数，对所述数据访问请求进行处理。
23.在一种可能的实现方式中，所述确定模块，用于获取所述数据访问请求中携带的所述客户端的互联网协议地址；获取至少一个候选接入点对应的互联网协议地址区间；响应于所述至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含所述客户端的互联网协议地址，将所述目标候选接入点确定为所述客户端对应的目标接入点。
24.在一种可能的实现方式中，所述确定模块，用于获取网关记录的所述客户端对应的第一接入点；响应于所述至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含所述客户端的互联网协议地址，且所述目标候选接入点为所述第一接入点，将所述目标候选接入点确定为所述客户端对应的目标接入点。
25.在一种可能的实现方式中，所述处理模块，用于获取所述数据访问请求对应的反馈数据；过滤所述反馈数据中的目标数据，所述目标数据包括地理位置信息；将过滤后的反馈数据发送给所述客户端。
26.在一种可能的实现方式中，所述处理模块，用于确定所述数据访问请求携带的第一数据格式；确定所述反馈数据的第二数据格式；响应于所述第一数据格式与所述第二数据格式一致，则过滤所述反馈数据中的目标数据。
27.在一种可能的实现方式中，所述处理模块，用于确定所述反馈数据的数据量；响应于所述反馈数据的数据量小于或者等于目标数据量，则过滤所述反馈数据中的目标数据。
28.另一方面，本技术实施例提供了一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条程序代码，所述至少一条程序代码由所述处理器加载并执行，以使所述电子设备实现上述任一所述的数据访问请求的处理方法。
29.另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条程序代码，所述至少一条程序代码由处理器加载并执行，以使计算机实现上述任一所述的数据访问请求的处理方法。
30.另一方面，还提供了一种计算机程序或计算机程序产品，所述计算机程序或计算机程序产品中存储有至少一条计算机指令，所述至少一条计算机指令由处理器加载并执行，以使计算机实现上述任一所述的数据访问请求的处理方法。
31.本技术实施例提供的技术方案至少带来如下有益效果：
32.本技术实施例提供的技术方案当客户端发送的数据访问请求所携带的数据访问信息满足客户端的目标接入点所对应的数据访问条件时，对数据访问请求进行处理，通过接入点对应的数据访问条件管控客户端的数据访问请求，从而管控客户端访问的数据，降低敏感数据的泄漏情况，提高数据安全性。
附图说明
33.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1是本技术实施例提供的一种数据访问请求的处理方法的实施环境示意图；
35.图2是本技术实施例提供的一种数据访问请求的处理方法的流程图；
36.图3是本技术实施例提供的一种自动驾驶业务的框架图；
37.图4是本技术实施例提供的一种登录请求的处理示意图；
38.图5是本技术实施例提供的一种数据访问请求的处理流程图；
39.图6是本技术实施例提供的一种数据访问请求的处理装置的结构示意图；
40.图7是本技术实施例提供的一种终端设备的结构示意图；
41.图8是本技术实施例提供的一种服务器的结构示意图。
具体实施方式
42.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
43.图1是本技术实施例提供的一种数据访问请求的处理方法的实施环境示意图，如图1所示，该实施环境包括：终端设备101和服务器102。
44.终端设备101可以是智能手机、游戏主机、台式计算机、平板电脑、电子书阅读器、mp3(moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3)播放器、mp4(moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器和膝上型便携计算机中的至少一种。终端设备101用于执行本技术实施例提供的数据访问请求的处理方法。
45.服务器102可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器。服务器102可以通过有线或无线通信方式与终端设备101进行直接或间接地连接，本技术对此不加以限定。
46.本技术实施例的数据访问请求的处理方法可应用于智能交通系统中。智能交通系
统(intelligent traffic system，its)又称智能运输系统(intelligent transportation system)，是将先进的科学技术(信息技术、计算机技术、数据通信技术、传感器技术、电子控制技术、自动控制理论、运筹学、人工智能等)有效地综合运用于交通运输、服务控制和车辆制造，加强车辆、道路、使用者三者之间的联系，从而形成一种保障安全、提高效率、改善环境、节约能源的综合运输系统。
47.基于上述实施环境，本技术实施例提供了一种数据访问请求的处理方法，以图2所示的本技术实施例提供的一种数据访问请求的处理方法的流程图为例，该方法可由图1中的服务器102执行。如图2所示，该方法包括步骤s21至步骤s23。
48.步骤s21，获取客户端发送的数据访问请求，数据访问请求携带数据访问信息。
49.本技术实施例中的数据访问请求包括但不限于超文本传输协议(hyper text transfer protocol，http)请求，该数据访问请求是客户端发送的任意请求，例如，数据访问请求包括但不限于登录请求、数据下载请求、搜索请求等。
50.其中，数据访问请求中携带有数据访问信息，数据访问信息包括但不限于统一资源定位符(uniform resource locator，url)、域名、客户端的互联网协议(internet protocol，ip)地址、应用程序接口(application programming interface，api)、令牌信息等。
51.以http请求为例，http请求包括请求行、请求头和请求体。其中，请求行分为三个部分，分别为请求方法、请求地址和协议版本，其中，请求地址为url，请求头包括ip地址、api等。
52.步骤s22，基于数据访问请求确定客户端对应的目标接入点。
53.接入点是指使用无线局域网(wireless local area networks，wlan)的客户端接入网络的设备，示例性的，接入点可以为网卡等。
54.在一种可能的实现方式中，基于数据访问请求确定客户端对应的目标接入点，包括：获取数据访问请求中携带的客户端的互联网协议地址；获取至少一个候选接入点对应的互联网协议地址区间；响应于至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含客户端的互联网协议地址，将目标候选接入点确定为客户端对应的目标接入点。
55.示例性地，数据访问请求中携带有ip地址，该ip地址为客户端对应的ip地址，通过解析数据访问请求，获取客户端的ip地址。
56.在一种可能的实现方式中，一个候选接入点对应一个ip地址区间，通过将各个ip地址区间与客户端对应的ip地址进行匹配，确定包含客户端对应的ip地址的ip地址区间，确定出的ip地址区间所对应的候选接入点(即目标候选接入点)为目标接入点。
57.例如，候选接入点a对应的ip地址区间为1.1.1.0/24，即候选接入点a对应的ip地址区间为[1.1.1.0，1.1.1.24]；候选接入点b对应的ip地址区间为2.2.2.2/26，即候选接入点b对应的ip地址区间为[2.2.2.2，2.2.2.26]。当客户端对应的ip地址为1.1.1.1时，由于1.1.1.1属于[1.1.1.0，1.1.1.24]，因此，目标接入点为候选接入点a。
[0058]
可以理解的是，若至少一个候选接入点中不存在目标候选接入点的ip地址区间包含客户端对应的ip地址，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0059]
其中，响应于至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含客户端的互联网协议地址，将目标候选接入点确定为客户端对应的目标接入点，包括：获取网关记录的客户端对应的第一接入点；响应于至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含客户端的互联网协议地址，且目标候选接入点为第一接入点，将目标候选接入点确定为客户端对应的目标接入点。
[0060]
在一种可能的实现方式中，两个网络进行通信时需要通过网关进行通信。示例性的，网络a中的客户端需要将数据发送至网络b中的客户端时，网络a中的客户端将数据转发给网络a的网关，由网络a的网关将数据转发给网络b的网关，网络b的网关再将数据转发给网络b的客户端。其中，网关在通信的过程中，会记录客户端的接入点，在上述示例中，网络b的网关会记录网络a中的客户端的接入点。
[0061]
本技术实施例中，在获取客户端发送的数据访问请求时，网关会记录该客户端对应的第一接入点。将各个候选接入点的ip地址区间与客户端对应的ip地址进行匹配，确定包含客户端对应的ip地址的ip地址区间，确定出的ip地址区间所对应的候选接入点(即目标候选接入点)为第一接入点时，将第一接入点作为目标接入点。
[0062]
可以理解的是，若至少一个候选接入点中存在目标候选接入点的ip地址区间包含客户端对应的ip地址，且这个目标候选接入点不为第一接入点，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0063]
步骤s23，响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，对数据访问请求进行处理。
[0064]
前述已提及，数据访问请求中携带有url、域名、客户端的ip地址、api、令牌信息等。本技术实施例中的数据访问信息包括url、域名、客户端的ip地址、api、令牌信息中的至少一项。
[0065]
本技术实施例中，步骤s23至少包含如下所示的实现方式a1、实现方式a2和实现方式a3。
[0066]
实现方式a1，基于数据访问请求确定客户端对应的目标接入点之后，还包括：获取目标接入点对应的至少一个黑名单信息，黑名单信息是不允许访问服务器的请求所携带的信息；响应于数据访问请求携带的数据访问信息不属于至少一个黑名单信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0067]
其中，黑名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
[0068]
本技术实施例中，一个接入点可以配置有该接入点对应的黑名单文件，该黑名单文件中包含至少一个黑名单信息。将数据访问请求中携带的数据访问信息与各个黑名单信息进行匹配，若数据访问信息属于至少一个黑名单信息，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，可以向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限；若数据访问信息不属于至少一个黑名单信息，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，可以对数据访问请求进行处理。
[0069]
需要说明的是，数据访问信息为至少一个。当数据访问信息为至少两个时，若存在至少一个数据访问信息属于至少一个黑名单信息，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件；若各个数据访问信息均不属于至少一个黑名单
信息，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0070]
示例性的，数据访问信息为url和域名，至少一个黑名单信息包括域名1、域名2、url1、url2和url3。若url不为url1、url2和url3中的任一个，且域名为域名1，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件；若url不为url1、url2和url3中的任一个，且域名不为域名1和域名2中的任一个，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0071]
实现方式a2，基于数据访问请求确定客户端对应的目标接入点之后，还包括：获取目标接入点对应的至少一个白名单信息，白名单信息是允许访问服务器的请求所携带的信息；响应于数据访问请求携带的数据访问信息属于至少一个白名单信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0072]
其中，白名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
[0073]
本技术实施例中，一个接入点可以配置有该接入点对应的白名单文件，该白名单文件中包含至少一个白名单信息。将数据访问请求中携带的数据访问信息与各个白名单信息进行匹配，若数据访问信息属于至少一个白名单信息，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件；若数据访问信息不属于至少一个白名单信息，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，可以向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0074]
需要说明的是，数据访问信息为至少一个。当数据访问信息为至少两个时，若存在至少一个数据访问信息不属于至少一个白名单信息，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件；若各个数据访问信息均属于至少一个白名单信息，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0075]
实现方式a3，数据访问请求携带的数据访问信息包括令牌信息，基于数据访问请求确定客户端对应的目标接入点之后，还包括：获取数据访问请求携带的令牌信息所对应的加密信息，令牌信息是基于加密信息对客户端的互联网协议地址进行加密得到的；响应于令牌信息对应的加密信息为目标接入点对应的加密信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0076]
本技术实施例中，客户端基于加密信息对客户端的ip地址进行加密得到密文，基于密文生成数据访问请求，并发送该数据访问请求和加密信息。其中，加密信息包括密钥和加密算法，其中，加密算法可以为对称加密算法，也可以为非对称加密算法，在此不做限定。
[0077]
在接收到数据访问请求和加密信息后，基于加密信息对数据访问请求中携带的密码进行解密，得到客户端的ip地址。一方面，基于客户端的ip地址确定客户端对应的目标接入点，详见前文的相关描述，在此不再赘述。另一方面，确定加密信息是否为目标接入点对应的加密信息，若加密信息为目标接入点对应的加密信息，则确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件；若加密信息不为目标接入点对应的加密信息，则确定数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，可以向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0078]
可以理解的是，在实际应用时，实现方式a1、实现方式a2和实现方式a3可以任意的组合，组合后的实现原理与组合前的实现原理相类似，在此不再赘述。
[0079]
在一种可能的实现方式中，响应于数据访问请求携带的数据访问信息满足目标接
入点对应的数据访问条件，对数据访问请求进行处理，包括：响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且数据访问请求与客户端历史发送的数据访问请求之间的时间差大于或者等于目标时间差，对数据访问请求进行处理；或者，响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且客户端历史发送的数据访问请求的次数小于或者等于目标次数，对数据访问请求进行处理。
[0080]
本技术实施例中，客户端可以多次发送数据访问请求，每次接收到客户端发送的数据访问请求时，记录该数据访问请求的访问时间。对于当前接收到的客户端发送的数据访问请求，计算该数据访问请求与该客户端历史发送的数据访问请求之间的时间差(即访问时间的差值)。若数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且时间差大于或者等于目标时间差，则对数据访问请求进行处理；若数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，和/或，时间差小于目标时间差，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0081]
其中，目标时间差的数值大小不做限定。例如，目标时间差为半个小时。
[0082]
可以理解的，客户端历史发送的数据访问请求为至少一个，可以分别计算当前接收到的数据访问请求与该客户端历史发送的各个数据访问请求之间的时间差，以当数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且各个时间差均大于或者等于目标时间差时，则对数据访问请求进行处理，当数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，和/或，存在时间差小于目标时间差时，向客户端发送提示信息；也可以计算当前接收到的数据访问请求与该客户端历史发送的最后一个数据访问请求之间的时间差，以当数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且时间差大于或者等于目标时间差时，则对数据访问请求进行处理，当数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，和/或，时间差小于目标时间差时，向客户端发送提示信息。
[0083]
示例性地，还可以限定客户端发送数据访问请求的次数，当数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且客户端历史发送的数据访问请求的次数小于或者等于目标次数，则对数据访问请求进行处理；当数据访问请求携带的数据访问信息不满足目标接入点对应的数据访问条件，和/或客户端历史发送的数据访问请求的次数大于目标次数，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。其中，目标次数的具体数值不做限定，可以根据实际应用情况，灵活设置访问次数的大小。
[0084]
在一种可能的实现方式中，目标时间差可以是目标接入点对应的时间差，目标次数可以是目标接入点对应的次数。也就是说，一个接入点对应有该接入点的时间差、次数，任两个接入点对应的时间差可以相同，也可以不同，任两个接入点对应的次数可以相同，也可以不同。
[0085]
在一种可能的实现方式中，对数据访问请求进行处理，包括：获取数据访问请求对应的反馈数据；过滤反馈数据中的目标数据，目标数据包括地理位置信息；将过滤后的反馈数据发送给客户端。
[0086]
在对数据访问请求进行处理时，可以获取数据访问请求对应的反馈数据。为防止敏感数据的泄漏，保证数据的安全性，本技术实施例对反馈数据进行过滤，以将反馈数据中
的目标数据过滤掉，过滤后的反馈数据中不包含目标数据，并过滤后的反馈数据发送给客户端。
[0087]
其中，目标数据包括但不限于地理位置信息。示例性地，可根据不同的应用场景，灵活调整目标数据的具体信息。例如，对于地图场景，目标数据为地理位置信息、建筑信息等；对于医疗场景，目标数据为药物信息、疾病信息等。
[0088]
在一种可能的实现方式中，过滤反馈数据中的目标数据，包括：确定数据访问请求携带的第一数据格式；确定反馈数据的第二数据格式；响应于第一数据格式与第二数据格式一致，则过滤反馈数据中的目标数据。
[0089]
本技术实施例中，数据格式是描述数据保存在文件或记录中的规则。在实际应用时，数据格式包括但不限于字符形式的文本格式、二进制数据形式的压缩格式等。数据访问请求中携带有第一数据格式，当接收到数据访问请求对应的反馈数据时，检测反馈数据的第二数据格式。若第一数据格式与第二数据格式一致，则过滤反馈数据中的目标数据，并将过滤后的反馈数据发送至客户端；若第一数据格式与第二数据格式不一致，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0090]
在另一种可能的实现方式中，过滤反馈数据中的目标数据，包括：确定反馈数据的数据量；响应于反馈数据的数据量小于或者等于目标数据量，则过滤反馈数据中的目标数据。
[0091]
数据量是描述数据大小的信息，其单位不做限定，例如，数据量单位为千字节(kilobyte，kb)。本技术实施例中，确定反馈数据的数据量，当反馈数据的数据量小于或者等于目标数据量，则过滤反馈数据中的目标数据，并将过滤后的反馈数据发送至客户端；当反馈数据的数据量大于目标数据量，则向客户端发送提示信息，该提示信息用于提示客户端无数据访问权限。
[0092]
需要说明的是，提示信息除用于提示客户端无数据访问权限之外，还可以包含其他的信息，例如，提示信息用于提示客户端访问次数过多等。
[0093]
本技术实施例中，可以由服务器或者服务器集群执行步骤s21
‑
步骤s23。在一种可能的实现方式中，由代理服务器执行步骤s21
‑
步骤s23，代理服务器在执行对数据访问请求进行处理时，具体是将数据访问请求转发至目标服务器，由目标服务器获取数据访问请求对应的反馈数据并向代理服务器发送反馈数据，由代理服务器对反馈数据进行过滤。
[0094]
在实际应用时，在步骤s22中，确定出客户端对应的目标接入点之后，可以将数据访问请求转发至目标接入点对应的服务器，由目标接入点对应的服务器执行步骤s23，也就是说，采用多接入点管控各自接入点对应的数据访问请求，实现对请求的分流处理，提高响应速度。
[0095]
本技术实施例提供的技术方案是当客户端发送的数据访问请求所携带的数据访问信息满足客户端的目标接入点所对应的数据访问条件时，对数据访问请求进行处理，通过接入点对应的数据访问条件管控客户端的数据访问请求，从而管控客户端访问的数据，降低敏感数据的泄漏情况，提高数据安全性。
[0096]
上述从方法步骤的角度阐述了数据访问请求的处理方法，下面将结合一个具体的场景进行详细说明。以自动驾驶场景中，对服务器中的数据进行访问时，需要符合合规原则为例，对本技术实施例提供的方法进行举例说明。其中，合规原则对用户在不同的办公环境
下能访问的数据进行了约束。示例性地，在有严格物理管控的环境下，使用专用设备可以访问原始数据，在办公环境下，使用办公设备只能访问非敏感数据。
[0097]
例如，本技术实施例是基于网络代理技术实现的，如图3所示，图3是本技术实施例提供的一种自动驾驶业务的框架图。在自动驾驶业务中，用户可以使用办公设备，基于应用程序接口(如restful api，一种应用程序的api设计技术)安全访问计算机平台，用户也可以使用专用设备，基于网络安全访问计算机平台。计算机平台可以从存储平台中读取数据，也可以将数据存储至存储平台。
[0098]
在进行安全访问时，办公设备和专用设备先接入网络代理服务器(web proxy)，网络代理服务器通过容器即服务(containers as a service，caas)来实现基于容器的虚拟化来管理和部署容器、应用程序和集群。
[0099]
计算机平台包含用户门户(user portal)功能，user portal功能支持日常的开发运营(devops)和工作流(workflow)。devops是开发、技术运营和质量保障的交集；workflow是业务过程的部分或整体在计算机应用环境下的自动化。
[0100]
存储平台包含多个数据节点，每一个数据节点用于存储数据。
[0101]
其中，网络代理服务器是通过反向代理模块实现对数据访问请求的处理。反向代理模块是一种基于lua(一种脚本语言)技术、nginx(一种http和反向代理服务器)技术以及openresty(一种网络应用服务器)技术的模块，用于拦截数据访问请求，并监测数据访问请求携带的客户端的ip地址、域名、url以及api等，下面以数据访问请求为登录请求进行详细地举例说明。如图4所示，图4是本技术实施例提供的一种登录请求的处理示意图。反向代理模块对登录请求的处理过程包括四个阶段，分别为初始化阶段、重写访问阶段、数据阶段和登录阶段。
[0102]
初始化阶段是先初始化全局配置，再调用计时器。其中，初始化全局配置是通过执行init_by_lua*指令实现的，调用计时器是通过执行init_worker_by_lua*指令实现的，计时器用于定时拉取配置数据。
[0103]
重写访问阶段先获取登录请求，并判断登录请求是否安全，若登录请求安全，则赋予安全证书并执行变量初始化，若登录请求不安全，则执行变量初始化。在执行完变量初始化之后，执行转发重定向(即缓存)和登录请求访问控制。其中，赋予安全证书是通过执行ssl_certificate_by_lua*指令实现的，变量初始化是通过执行set_by_lua*指令实现的，转发重定向是通过执行rewrite_by_lua*指令实现的，登录请求访问控制是通过执行access_by_lua*指令实现的。本技术实施例中，登录请求访问控制是当登录请求到达反向代理模块时，反向代理模块对登录请求能否合法访问服务器进行控制，若合法，则转发至服务器，若不合法，则向客户端发送提示信息，以提示客户端无数据访问权限。
[0104]
数据阶段是先确定由谁产生反馈数据，若由服务器产生反馈数据，则接收反馈数据并执行增加头部信息和数据过滤；若由反向代理模块产生反馈数据，则执行生成反馈数据，并执行增加头部信息和数据过滤；若由其他设备(非服务器、非反向代理模块)产生反馈数据，则执行增加头部信息和数据过滤。其中，通过执行balancer_by_lua*指令，实现接收反馈数据，通过执行content_by_lua*指令，实现生成反馈数据，通过执行header_filter_by_lua*指令，实现增加头部信息，通过执行body_filter_by_lua*执行，实现数据过滤。本技术实施例中，header_filter_by_lua*指令可以对登录请求的反馈数据所对应的头部信
息做处理，该处理包括确定反馈数据的数据格式和数据量；body_filter_by_lua*可以对登录请求的反馈数据做过滤处理，如过滤掉反馈数据中的地理位置信息等。
[0105]
登录阶段主要是执行日志记录。日志记录是通过执行log_by_lua*指令实现的，log_by_lua*指令用于记录访问量、统计响应时间等信息。
[0106]
下面将结合图5对本技术实施例进行详细说明，图5是本技术实施例提供的一种数据访问请求的处理流程图。示例性地，该数据访问请求由网络代理服务器执行，网络代理服务器先获取客户端发送的数据访问请求，基于数据访问请求确定客户端对应的目标接入点，然后确定是否允许目标接入点访问服务器。其中，网络代理服务器中配置有接入点黑名单或者接入点白名单。当网络代理服务器中配置有接入点黑名单时，当目标接入点属于接入点黑名单，则不允许目标接入点访问服务器。当目标接入点不属于接入点黑名单，则允许目标接入点访问服务器。当网络代理服务器中配置有接入点白名单时，当目标接入点属于接入点白名单，则允许目标接入点访问服务器。当目标接入点不属于接入点白名单，则不允许目标接入点访问服务器。
[0107]
若不允许目标接入点访问服务器，则向客户端发送提示信息。若允许目标接入点访问服务器，则获取目标接入点的黑名单信息。
[0108]
若可以获取到目标接入点的黑名单信息，则确定数据访问请求携带的数据访问信息是否属于黑名单信息，若数据访问请求携带的数据访问信息属于黑名单信息，则向客户端发送提示信息。若数据访问请求携带的数据访问信息不属于黑名单信息，则向服务器发送数据访问请求。若不可以获取到目标接入点的黑名单信息，则获取目标接入点的白名单信息。
[0109]
若可以获取到目标接入点的白名单信息，则确定数据访问请求携带的数据访问信息是否属于白名单信息。若数据访问请求携带的数据访问信息属于白名单信息，则向服务器发送数据访问请求。若数据访问请求携带的数据访问信息不属于白名单信息，则向客户端发送提示信息；若不可以获取到目标接入点的白名单信息，说明目标接入点未配置黑名单信息和白名单信息，相当于目标接入点开启了透传策略，任何请求均可以转发给服务器，因此，向服务器发送数据访问请求。
[0110]
在向服务器发送数据访问请求之后，网络代理服务器还接收服务器发送的反馈数据，并过滤反馈数据中的目标数据，将过滤后的反馈数据发送给客户端。
[0111]
本技术实施例的实现方式，可见前述实施例的相关描述，在此不再赘述。
[0112]
图6所示为本技术实施例提供的一种数据访问请求的处理装置的结构示意图，如图6所示，该装置包括获取模块61、确定模块62和处理模块63。
[0113]
获取模块61，用于获取客户端发送的数据访问请求，数据访问请求携带数据访问信息。
[0114]
确定模块62，用于基于数据访问请求确定客户端对应的目标接入点。
[0115]
处理模块63，用于响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，对数据访问请求进行处理。
[0116]
在一种可能的实现方式中，获取模块61，还用于获取目标接入点对应的至少一个黑名单信息，黑名单信息是不允许访问服务器的请求所携带的信息。
[0117]
确定模块62，还用于响应于数据访问请求携带的数据访问信息不属于至少一个黑
名单信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0118]
在一种可能的实现方式中，黑名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
[0119]
在一种可能的实现方式中，获取模块61，还用于获取目标接入点对应的至少一个白名单信息，白名单信息是允许访问服务器的请求所携带的信息。
[0120]
确定模块62，还用于响应于数据访问请求携带的数据访问信息属于至少一个白名单信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0121]
在一种可能的实现方式中，白名单信息包括域名、统一资源定位符和应用程序接口中的任一项。
[0122]
在一种可能的实现方式中，数据访问请求携带的数据访问信息包括令牌信息。
[0123]
获取模块61，还用于获取数据访问请求携带的令牌信息所对应的加密信息，令牌信息是基于加密信息对客户端的互联网协议地址进行加密得到的。
[0124]
确定模块62，还用于响应于令牌信息对应的加密信息为目标接入点对应的加密信息，确定数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件。
[0125]
在一种可能的实现方式中，处理模块63，用于响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且数据访问请求与客户端历史发送的数据访问请求之间的时间差大于或者等于目标时间差，对数据访问请求进行处理；或者，响应于数据访问请求携带的数据访问信息满足目标接入点对应的数据访问条件，且客户端历史发送的数据访问请求的次数小于或者等于目标次数，对数据访问请求进行处理。
[0126]
在一种可能的实现方式中，确定模块62，用于获取数据访问请求中携带的客户端的互联网协议地址；获取至少一个候选接入点对应的互联网协议地址区间；响应于至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含客户端的互联网协议地址，将目标候选接入点确定为客户端对应的目标接入点。
[0127]
在一种可能的实现方式中，确定模块62，用于获取网关记录的客户端对应的第一接入点；响应于至少一个候选接入点中存在目标候选接入点的互联网协议地址区间包含客户端的互联网协议地址，且目标候选接入点为第一接入点，将目标候选接入点确定为客户端对应的目标接入点。
[0128]
在一种可能的实现方式中，处理模块63，用于获取数据访问请求对应的反馈数据；过滤反馈数据中的目标数据，目标数据包括地理位置信息；将过滤后的反馈数据发送给客户端。
[0129]
在一种可能的实现方式中，处理模块63，用于确定数据访问请求携带的第一数据格式；确定反馈数据的第二数据格式；响应于第一数据格式与第二数据格式一致，则过滤反馈数据中的目标数据。
[0130]
在一种可能的实现方式中，处理模块63，用于确定反馈数据的数据量；响应于反馈数据的数据量小于或者等于目标数据量，则过滤反馈数据中的目标数据。
[0131]
应理解的是，上述图6提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再
赘述。
[0132]
本技术实施例提供的技术方案是当客户端发送的数据访问请求所携带的数据访问信息满足客户端的目标接入点所对应的数据访问条件时，对数据访问请求进行处理，通过接入点对应的数据访问条件管控客户端的数据访问请求，从而管控客户端访问的数据，降低敏感数据的泄漏情况，提高数据安全性。
[0133]
图7示出了本技术一个示例性实施例提供的终端设备700的结构框图。该终端设备700可以是便携式移动终端，比如：智能手机、平板电脑、mp3播放器(moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3)、mp4(moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端设备700还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
[0134]
通常，终端设备700包括有：处理器701和存储器702。
[0135]
处理器701可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器701可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器701也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器701可以集成有gpu(graphics processing unit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器701还可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。
[0136]
存储器702可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器702还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器702中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器701所执行以实现本技术中方法实施例提供的数据访问请求的处理方法。
[0137]
在一些实施例中，终端设备700还可选包括有：外围设备接口703和至少一个外围设备。处理器701、存储器702和外围设备接口703之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口703相连。具体地，外围设备包括：射频电路704、显示屏705、摄像头组件706、音频电路707、定位组件708和电源709中的至少一种。
[0138]
外围设备接口703可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器701和存储器702。在一些实施例中，处理器701、存储器702和外围设备接口703被集成在同一芯片或电路板上；在一些其他实施例中，处理器701、存储器702和外围设备接口703中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不加以限定。
[0139]
射频电路704用于接收和发射rf(radio frequency，射频)信号，也称电磁信号。射频电路704通过电磁信号与通信网络以及其他通信设备进行通信。射频电路704将电信号转
换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路704包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路704可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：万维网、城域网、内联网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wireless fidelity，无线保真)网络。在一些实施例中，射频电路704还可以包括nfc(near field communication，近距离无线通信)有关的电路，本技术对此不加以限定。
[0140]
显示屏705用于显示ui(user interface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏705是触摸显示屏时，显示屏705还具有采集在显示屏705的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器701进行处理。此时，显示屏705还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏705可以为一个，设置在终端设备700的前面板；在另一些实施例中，显示屏705可以为至少两个，分别设置在终端设备700的不同表面或呈折叠设计；在另一些实施例中，显示屏705可以是柔性显示屏，设置在终端设备700的弯曲表面上或折叠面上。甚至，显示屏705还可以设置成非矩形的不规则图形，也即异形屏。显示屏705可以采用lcd(liquid crystal display，液晶显示屏)、oled(organic light
‑
emitting diode，有机发光二极管)等材质制备。
[0141]
摄像头组件706用于采集图像或视频。可选地，摄像头组件706包括前置摄像头和后置摄像头。通常，前置摄像头设置在终端的前面板，后置摄像头设置在终端的背面。在一些实施例中，后置摄像头为至少两个，分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种，以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及vr(virtual reality，虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中，摄像头组件706还可以包括闪光灯。闪光灯可以是单色温闪光灯，也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合，可以用于不同色温下的光线补偿。
[0142]
音频电路707可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波，并将声波转换为电信号输入至处理器701进行处理，或者输入至射频电路704以实现语音通信。出于立体声采集或降噪的目的，麦克风可以为多个，分别设置在终端设备700的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器701或射频电路704的电信号转换为声波。扬声器可以是传统的薄膜扬声器，也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时，不仅可以将电信号转换为人类可听见的声波，也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中，音频电路707还可以包括耳机插孔。
[0143]
定位组件708用于定位终端设备700的当前地理位置，以实现导航或lbs(location based service，基于位置的服务)。定位组件708可以是基于美国的gps(global positioning system，全球定位系统)、中国的北斗系统或俄罗斯的伽利略系统的定位组件。
[0144]
电源709用于为终端设备700中的各个组件进行供电。电源709可以是交流电、直流电、一次性电池或可充电电池。当电源709包括可充电电池时，该可充电电池可以是有线充
电电池或无线充电电池。有线充电电池是通过有线线路充电的电池，无线充电电池是通过无线线圈充电的电池。该可充电电池还可以用于支持快充技术。
[0145]
在一些实施例中，终端设备700还包括有一个或多个传感器710。该一个或多个传感器710包括但不限于：加速度传感器711、陀螺仪传感器712、压力传感器713、指纹传感器714、光学传感器715以及接近传感器716。
[0146]
加速度传感器711可以检测以终端设备700建立的坐标系的三个坐标轴上的加速度大小。比如，加速度传感器711可以用于检测重力加速度在三个坐标轴上的分量。处理器701可以根据加速度传感器711采集的重力加速度信号，控制显示屏705以横向视图或纵向视图进行用户界面的显示。加速度传感器711还可以用于游戏或者用户的运动数据的采集。
[0147]
陀螺仪传感器712可以检测终端设备700的机体方向及转动角度，陀螺仪传感器712可以与加速度传感器711协同采集用户对终端设备700的3d动作。处理器701根据陀螺仪传感器712采集的数据，可以实现如下功能：动作感应(比如根据用户的倾斜操作来改变ui)、拍摄时的图像稳定、游戏控制以及惯性导航。
[0148]
压力传感器713可以设置在终端设备700的侧边框和/或显示屏705的下层。当压力传感器713设置在终端设备700的侧边框时，可以检测用户对终端设备700的握持信号，由处理器701根据压力传感器713采集的握持信号进行左右手识别或快捷操作。当压力传感器713设置在显示屏705的下层时，由处理器701根据用户对显示屏705的压力操作，实现对ui界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
[0149]
指纹传感器714用于采集用户的指纹，由处理器701根据指纹传感器714采集到的指纹识别用户的身份，或者，由指纹传感器714根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时，由处理器701授权该用户执行相关的敏感操作，该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器714可以被设置在终端设备700的正面、背面或侧面。当终端设备700上设置有物理按键或厂商logo时，指纹传感器714可以与物理按键或厂商logo集成在一起。
[0150]
光学传感器715用于采集环境光强度。在一个实施例中，处理器701可以根据光学传感器715采集的环境光强度，控制显示屏705的显示亮度。具体地，当环境光强度较高时，调高显示屏705的显示亮度；当环境光强度较低时，调低显示屏705的显示亮度。在另一个实施例中，处理器701还可以根据光学传感器715采集的环境光强度，动态调整摄像头组件706的拍摄参数。
[0151]
接近传感器716，也称距离传感器，通常设置在终端设备700的前面板。接近传感器716用于采集用户与终端设备700的正面之间的距离。在一个实施例中，当接近传感器716检测到用户与终端设备700的正面之间的距离逐渐变小时，由处理器701控制显示屏705从亮屏状态切换为息屏状态；当接近传感器716检测到用户与终端设备700的正面之间的距离逐渐变大时，由处理器701控制显示屏705从息屏状态切换为亮屏状态。
[0152]
本领域技术人员可以理解，图7中示出的结构并不构成对终端设备700的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。
[0153]
图8为本技术实施例提供的服务器的结构示意图，该服务器800可因配置或性能不同而产生比较大的差异，可以包括一个或多个处理器(central processing units，cpu)
801和一个或多个的存储器802，其中，该一个或多个存储器802中存储有至少一条程序代码，该至少一条程序代码由该一个或多个处理器801加载并执行以实现上述各个方法实施例提供的数据访问请求的处理方法。当然，该服务器800还可以具有有线或无线网络接口、键盘以及输入输出接口等部件，以便进行输入输出，该服务器800还可以包括其他用于实现设备功能的部件，在此不做赘述。
[0154]
在示例性实施例中，还提供了一种计算机可读存储介质，该存储介质中存储有至少一条程序代码，该至少一条程序代码由处理器加载并执行，以使计算机实现上述任一种数据访问请求的处理方法。
[0155]
可选地，上述计算机可读存储介质可以是只读存储器(read
‑
only memory，rom)、随机存取存储器(random access memory，ram)、只读光盘(compact disc read
‑
only memory，cd
‑
rom)、磁带、软盘和光数据存储设备等。
[0156]
在示例性实施例中，还提供了一种计算机程序或计算机程序产品，该计算机程序或计算机程序产品中存储有至少一条计算机指令，该至少一条计算机指令由处理器加载并执行，以实现上述任一种数据访问请求的处理方法。
[0157]
应当理解的是，在本文中提及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
[0158]
上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
[0159]
以上所述仅为本技术的示例性实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。