一种数据访问方法、装置、存储介质及电子设备

技术领域

本发明涉及计算机技术，尤其涉及一种数据访问方法、装置、存储介质及电子设备。

背景技术

近年来，随着互联网的高速发展，密态数据存储成为数据存储平台的常见存储方式，也是数据安全与防数据泄露的重要保障。

相关技术中，针对需要加密存储的数据仅采用数据加密密钥进行简单加密，而忽略了数据加密密钥的安全存储问题，这使得加密后的数据缺少足够安全的保护机制，加密数据的安全性受到了挑战。

发明内容

本说明书实施例提供一种数据访问方法，在对加密后的目标数据进行数据访问时，通过设置访问权限验证，只有通过访问权限验证才来获取目标数据对应的数据密钥，提升了针对加密数据的访问安全性。

根据上述发明目的，本说明书实施例提出了一种数据访问方法，所述方法包括：

接收请求者对目标数据的访问请求，所述访问请求包括所述目标数据对应的数据标识以及权限验证信息；

根据所述数据标识查找并获取所述目标数据对应的权限验证规则以及数据密钥密文，所述数据密钥密文通过对数据密钥加密后得到；

基于所述权限验证规则对所述权限验证信息进行访问权限验证；

在所述访问权限验证验证通过时，获取所述数据密钥密文对应的解密密钥，并基于所述解密密钥对所述数据密钥密文进行解密处理，得到数据密钥；

基于所述数据密钥解密并访问所述目标数据。

进一步地，在一些实施方式中，所述基于所述权限验证规则对所述权限验证信息进行访问权限验证之前，还包括：

基于所述权限验证规则对应的数字签名验证所述权限验证规则是否被篡改；

若确定所述权限验证规则未被篡改，则执行所述基于所述权限验证规则对所述权限验证信息进行访问权限验证的步骤。

进一步地，在一些实施方式中，所述根据所述数据标识查找并获取所述目标数据对应的权限验证规则以及数据密钥密文，包括：

根据所述数据标识在第一存储空间查找并获取所述目标数据对应的数据摘要信息和数据密钥密文；

根据所述数据摘要信息在第二存储空间查找并获取所述目标数据对应的权限验证规则。

进一步地，在一些实施方式中，所述根据所述数据摘要信息在第二存储空间查找并获取所述目标数据对应的权限验证规则，包括：

根据所述数据摘要信息中的元信息标识查找并获取所述目标数据对应的数据元信息，所述数据元信息至少包括所述目标数据对应的数据持有者的第二身份标识；

基于所述数据元信息对应的数字签名验证所述数据元信息是否被篡改；

若确定所述数据元信息未被篡改，则根据所述第二身份标识查找并获取所述权限验证规则。

进一步地，在一些实施方式中，所述权限验证信息包括所述请求者对应的第一身份标识和针对所述目标数据的目标任务类型；

所述基于所述权限验证规则对所述权限验证信息进行访问权限验证，包括：

获取所述权限验证规则中的身份标识集合和任务类型集合，所述身份标识集合包括允许访问所述目标数据的至少一个身份标识，所述任务类型集合包括允许访问所述目标数据的至少一个任务类型；

在所述第一身份标识位于所述身份标识集合中且所述目标任务类型位于所述任务类型集合中时，确定所述访问权限验证验证通过。

本说明书实施例还提出了一种数据加密存储方法，包括：

响应于对目标数据的数据加密指令，基于数据密钥加密所述目标数据得到加密数据；

获取加密密钥，基于所述加密密钥加密所述数据密钥，得到数据密钥密文；

获取数据持有者上传的所述目标数据对应的权限验证规则，所述权限验证规则用于对针对目标数据的访问请求进行权限验证，通过所述权限验证可获得所述加密密钥对应的解密密钥，所述解密密钥用于解密所述数据密钥密文；

将所述加密数据、所述数据密钥密文以及所述权限验证规则关联存储。

进一步的，在一些实施方式中，所述获取数据持有者上传的所述目标数据对应的权限验证规则之后，还包括：

为所述访问控制规则添加数字签名。

进一步的，在一些实施方式中，所述获取数据持有者上传的所述目标数据对应的权限验证规则之前，还包括：

获取数据持有者上传的所述目标数据对应的数据元信息，所述数据元信息至少包括所述数据持有者的第二身份标识；

为所述数据元信息添加数字签名；

所述将所述加密数据、所述数据密钥密文以及所述权限验证规则关联存储，包括：

将所述加密数据、所述数据密钥密文、所述数据元信息以及所述权限验证规则关联存储。

进一步的，在一些实施方式中，所述将所述加密数据、所述数据密钥密文、所述数据元信息以及所述权限验证规则关联存储，包括：

将所述加密数据和所述数据密钥密文在第一存储空间关联存储；

将所述数据元信息和所述权限验证规则在第二存储空间关联存储。

进一步的，在一些实施方式中，所述权限验证规则至少包括所述目标数据对应的身份标识集合和任务类型集合，所述身份标识集合包括允许访问所述目标数据的至少一个身份标识，所述任务类型集合包括允许访问所述目标数据的至少一个任务类型。

本说明书实施例还提出了一种数据访问装置，包括：

请求接收模块，用于接收请求者对目标数据的访问请求，所述访问请求包括所述目标数据对应的数据标识以及权限验证信息；

信息查找模块，用于根据所述数据标识查找并获取所述目标数据对应的权限验证规则以及数据密钥密文，所述数据密钥密文通过对数据密钥加密后得到；

权限验证模块，用于基于所述权限验证规则对所述权限验证信息进行访问权限验证；

密钥解密模块，用于在所述访问权限验证验证通过时，获取所述数据密钥密文对应的解密密钥，并基于所述解密密钥对所述数据密钥密文进行解密处理，得到数据密钥；

数据访问模块，用于基于所述数据密钥解密并访问所述目标数据。

本说明书实施例还提出了一种数据加密存储装置，包括：

数据加密模块，用于响应于对目标数据的数据加密指令，基于数据密钥加密所述目标数据得到加密数据；

密钥加密模块，用于获取加密密钥，基于所述加密密钥加密所述数据密钥，得到数据密钥密文；

规则上传模块，用于获取数据持有者上传的所述目标数据对应的权限验证规则，所述权限验证规则用于对针对目标数据的访问请求进行权限验证，通过所述权限验证可获得所述加密密钥对应的解密密钥，所述解密密钥用于解密所述数据密钥密文；

数据存储模块，用于将所述加密数据、所述数据密钥密文以及所述权限验证规则关联存储。

本说明书实施例还提供一种计算机程序产品，所述计算机程序产品存储有至少一条指令，所述至少一条指令适于由处理器加载并执行上述的方法步骤。

本说明书实施例还提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序适于由处理器加载并执行上述的方法的步骤。

本说明书实施例还提供一种电子设备，包括：处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法的步骤。

采用本说明书实施例提供的数据访问方法，首先接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息，然后根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，其中，数据密钥密文通过对数据密钥加密后得到，再基于权限验证规则对权限验证信息进行访问权限验证，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥，最后基于数据密钥解密并访问目标数据，即在对加密后的目标数据进行数据访问时，通过设置访问权限验证，只有通过访问权限验证才来获取目标数据对应的数据密钥，进而提升了针对加密数据的访问安全性，且数据密钥经过二次加密，进一步提高了加密数据的安全性。

附图说明

图1为本说明书实施例提供了一种数据访问方法的流程示意图；

图2为本说明书实施例提供的一种数据访问方法的流程示意图；

图3为本说明书实施例提供的一种数据加密存储方法的流程示意图；

图4为本说明书实施例提供的一种数据加密存储方法的流程示意图；

图5为本说明书实施例提供的一种基于Spark集群数据存储的系统架构图；

图6为本说明书实施例提供的一种数据访问装置的结构示意；

图7为本说明书实施例提供的一种数据访问装置的结构示意图；

图8为本说明书实施例提供的一种数据加密存储装置的结构示意图；

图9为本说明书实施例提供的一种数据加密存储装置的结构示意图；

图10为本说明书实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本说明书的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本说明书保护的范围。

数据需要互联互通，才能发挥它作为生产要素的重要性，保护数据的持有权、使用权不被侵害，是数据要素流通的重要前提。

在大数据密态化时代，保护数据的持有权意味着：数据存储必需是密态化的，数据的原始持有者加密数据，只有持有者自己或者经过持有者授权的其他机构才能访问数据，数据持有者指定数据访问规则，约束自己的数据可以被哪些机构或者应用使用；保护数据的使用权意味着：对于某个密文数据，只有经过权限验证的机构或者应用才能访问，其他没有通过权限验证的场景都不能访问数据。

基于此，本说明书实施例提供一种数据访问方法，首先接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息，然后根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，其中，数据密钥密文通过对数据密钥加密后得到，再基于权限验证规则对权限验证信息进行访问权限验证，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥，最后基于数据密钥解密并访问目标数据，即在对加密后的目标数据进行数据访问时，通过设置访问权限验证，只有通过访问权限验证才来获取目标数据对应的数据密钥，进而提升了针对加密数据的访问安全性，且数据密钥经过二次加密，进一步提高了加密数据的安全性，使得数据的持有权和使用权均得到了良好的保护。

请参见图1，为本说明书实施例提供了一种数据访问方法的流程示意图。在本说明书实施例中，所述数据访问方法应用于数据访问装置或配置有数据访问装置的电子设备。下面将针对图1所示的流程进行详细的阐述，所述数据访问方法具体可以包括以下步骤：

S102，接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息；

其中，目标数据可以为目标数据的数据持有者预先存储的加密后的数据。

在本说明书一个或多个实施例中，当请求者需要对目标数据发起访问时，首先发起针对目标数据的访问请求，访问请求至少包括目标数据对应的数据标识以及权限验证信息。

其中，数据标识可以为用于索引目标数据的唯一标识，用于在存放目标数据的存储空间查找目标数据，权限验证信息用于验证请求者是否具有针对目标数据的访问权限。

在本说明书一个或多个实施例中，权限验证信息至少包括请求者对应的第一身份标识和针对目标数据的目标任务类型。

S104，根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，数据密钥密文通过对数据密钥加密后得到；

其中，权限验证规则为数据持有者在存储目标数据时所设置的验证规则，权限验证规则用于对请求者是否有访问权限进行权限验证，验证通过时，确定请求者具有对目标数据的访问权限，当验证不通过时，确定请求者不具有对目标数据的访问权限。数据密钥为用于解密目标数据以使请求者访问目标数据的密钥。

需要说明的是，在本说明书实施例中，目标数据经数据密钥加密后存储在指定存储空间，数据密钥在加密目标数据后被加密为数据密钥密文，想要解密并访问目标数据首先需要解密数据密钥密文得到数据密钥，以基于数据密钥解密并访问目标数据。

在本说明书一个或多个实施例中，在得到访问请求后，根据访问请求中携带的数据标识查找对应的目标数据，进而根据目标数据得到目标数据对应的权限验证规则以及数据密钥密文。

可选的，在本说明书一个或多个实施例中，加密后的目标数据、数据密钥密文以及权限验证规则可以关联存储于同一存储空间。当加密后的目标数据、数据密钥密文以及权限验证规则可以关联存储于同一存储空间时，根据访问请求中携带的数据标识可在该存储空间查找得到对应的目标数据，进而根据目标数据和数据密钥密文以及权限验证规则的关联信息查找得到目标数据对应的权限验证规则以及数据密钥密文。

可选的，在本说明书一个或多个实施例中，加密后的目标数据、数据密钥密文以及权限验证规则存储于不同存储空间。根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，可以包括：根据数据标识在第一存储空间查找并获取目标数据对应的数据摘要信息和数据密钥密文，然后根据数据摘要信息在第二存储空间查找并获取目标数据对应的权限验证规则。即，目标数据、数据摘要信息和数据密钥密文关联存储于第一存储空间，权限验证规则存储于第二存储空间，通过数据摘要信息可在第二存储空间查找目标数据对应的权限验证规则。

可选的，根据数据摘要信息在第二存储空间查找并获取目标数据对应的权限验证规则，可以包括：根据数据摘要信息中的元信息标识查找并获取目标数据对应的数据元信息，数据元信息至少包括目标数据对应的数据持有者的第二身份标识，基于数据元信息对应的数字签名验证数据元信息是否被篡改，若确定数据元信息未被篡改，则根据第二身份标识查找并获取权限验证规则。

可以理解的是，数据摘要信息中携带有与目标数据对应的数据元信息的元信息标识，根据元信息标识可在第二存储空间查找得到目标数据对应的数据元信息，在确定数据元信息未被篡改的情况下，根据数据元信息中的第二身份标识在第二存储空间查找并获取权限验证规则。其中，数据元信息中包括目标数据的数据持有者的第二身份标识，确保数据元信息未被篡改，可有效保护目标数据的持有者的持有权。

S106，基于权限验证规则对权限验证信息进行访问权限验证；

在本说明书一个或多个实施例中，在获取得到目标数据对应的权限验证规则之后，根据权限验证规则对访问请求中的权限验证信息进行访问权限验证。

一种可行的实施方式中，权限验证信息包括请求者对应的第一身份标识，权限验证规则中包括身份标识集合，身份标识集合包括允许访问目标数据的至少一个身份标识。基于权限验证规则对权限验证信息进行访问权限验证，具体可以为：判断第一身份标识是否位于身份标识集合中，当第一身份标识位于身份标识集合中时，确定访问权限验证通过，当第一身份标识不位于身份标识集合时，确定访问权限验证未通过。

一种可行的实施方式中，权限验证信息包括请求者要对目标数据做的目标任务类型，权限验证规则包括任务类型集合，任务类型集合包括允许访问目标数据的至少一个任务类型。基于权限验证规则对权限验证信息进行访问权限验证，具体可以为：判断目标任务类型是否位于任务类型集合中，当目标任务类型位于任务类型集合中时，确定访问权限验证通过，当目标任务类型不位于任务类型集合时，确定访问权限验证未通过。

一种可行的实施方式中，权限验证信息包括请求者对应的第一身份标识和针对目标数据的目标任务类型。其中，目标任务类型可以为修改任务、删除任务、添加任务等。

具体的，获取权限验证规则中的身份标识集合和任务类型集合，身份标识集合包括允许访问目标数据的至少一个身份标识，任务类型集合包括允许访问目标数据的至少一个任务类型，在第一身份标识位于身份标识集合中且目标任务类型位于任务类型集合中时，确定访问权限验证验证通过。若第一身份标识不位于身份标识集合中或目标任务类型不位于任务类型集合中时，确定访问权限验证未通过。

可选的，在本说明书一个或多个实施例中，在基于权限验证规则对权限验证信息进行访问权限验证之前，还包括：基于权限验证规则对应的数字签名验证权限验证规则是否被篡改，若确定权限验证规则未被篡改，则基于权限验证规则对权限验证信息进行访问权限验证。

S108，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥；

在本说明书一个或多个实施例中，在确定访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥。数据密钥用于解密目标数据以使请求者访问目标数据。

S110，基于数据密钥解密并访问目标数据。

在本说明书一个或多个实施例中，首先接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息，然后根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，其中，数据密钥密文通过对数据密钥加密后得到，再基于权限验证规则对权限验证信息进行访问权限验证，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥，最后基于数据密钥解密并访问目标数据，即在对加密后的目标数据进行数据访问时，通过设置访问权限验证，只有通过访问权限验证才来获取目标数据对应的数据密钥，进而提升了针对加密数据的访问安全性，且数据密钥经过二次加密，进一步提高了加密数据的安全性。

请参见图2，为本说明书实施例提供的一种数据访问方法的流程示意图。如图2所示，所述方法包括如下步骤：

S202，接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息；

步骤S202请参见本说明书另一实施例中对步骤S102的详细描述，在此不再赘述。

S204，根据数据标识在第一存储空间查找并获取目标数据对应的数据摘要信息和数据密钥密文；

需要说明的是，在本说明书一个或多个实施例中，目标数据为数据持有者上传的经过数据密钥加密的数据，数据密钥密文为对数据密钥二次加密后得到的密文，数据摘要信息为目标数据对应的摘要信息。数据摘要信息可以包括目标数据的内容摘要、目标数据的数据名称、目标数据的数据持有者ID、目标数据的创建时间等。

在本说明书一个或多个实施例中，目标数据、数据摘要信息和数据密钥密文一同被存储在第一存储空间，根据目标数据对应的数据标识可在第一存储空间查找得到目标数据、数据摘要信息和数据密钥密文。

S206，根据数据摘要信息在第二存储空间查找并获取目标数据对应的权限验证规则；

需要说明的是，在本说明书实施例中，目标数据对应的权限验证规则存储于第二存储空间。这使得权限验证规则和目标数据分开存储，进一步提高了数据安全性。

在本说明书一个或多个实施例中，数据摘要信息中可以包括用于在第二存储空间查找权限验证规则的唯一标识，通过该唯一标识可在第二存储空间查找并获取目标数据对应的权限验证规则。例如，唯一标识可以为数据持有者身份标识，通过数据持有者身份标识在第二存储空间查找并获取目标数据对应的权限验证规则。

可选的，一个实施例中，根据数据摘要信息中的元信息标识查找并获取目标数据对应的数据元信息，数据元信息至少包括目标数据对应的数据持有者的第二身份标识，基于数据元信息对应的数字签名验证数据元信息是否被篡改，若确定数据元信息未被篡改，则根据第二身份标识查找并获取权限验证规则。

需要说明的是，数据元信息和权限验证规则一同存储在第二存储空间，根据数据摘要信息中的元信息标识可在第二存储空间查找并获取得到目标数据对应的数据元信息，在确保数据元信息未被篡改的情况下可根据数据元信息中携带的第二身份标识查找并获取权限验证规则。

可以理解的是，数据元信息包括目标数据对应的数据持有者的第二身份标识，通过为数据元信息添加数字签名来检验数据元信息是否被篡改，即可避免数据元信息中的数据持有者的第二身份标识被篡改，以保护目标数据的持有权以及安全性。例如，在数据元信息中的数据持有者的第二身份标识被篡改时，禁止访问目标数据。

S208，基于权限验证规则对应的数字签名验证权限验证规则是否被篡改；

需要说明的是，权限验证规则为数据持有者在对目标数据加密存储时同步上传的验证规则，权限验证规则用于对申请访问目标数据的访问请求进行访问权限验证。

在本说明书一个或多个实施例中，数据持有者在上传权限验证规则时为权限验证规则设置有数字签名，在根据访问请求获取得到权限验证规则后，首先根据权限验证规则的数字签名检测权限验证规则是否被篡改。

可以理解的是，若权限验证规则被篡改，则表明目标数据的存储系统可能存在攻击风险，不满足权限验证规则的访问请求想要非法获取目标数据的使用权，目标数据处于非安全状态；若权限验证规则未被篡改，则表明可以按照正常验证规则进行访问权限验证。因此，在权限验证规则被篡改时，可以中断所有操作并禁止访问目标数据，以保证目标数据的安全性，确保目标数据的使用权不被侵犯。

S210，若确定权限验证规则未被篡改，则获取权限验证规则中的身份标识集合和任务类型集合，身份标识集合包括允许访问目标数据的至少一个身份标识，任务类型集合包括允许访问目标数据的至少一个任务类型；

可以理解的是，若权限验证规则未被篡改，则根据权限验证规则对访问请求中的权限验证信息进行访问权限验证。在本说明书实施例中，权限验证规则包括身份标识集合和任务类型集合，身份标识集合包括允许访问目标数据的至少一个身份标识，任务类型集合包括允许访问目标数据的至少一个任务类型。

身份标识集合用于限制只有符合身份标识集合的请求者才可以访问目标数据，身份标识集合可以包括至少一个机构、公司或个人的身份标识；任务类型集合用于限制针对目标数据的任务操作类型必须符合任务类型集合中所规定的任务类型。

S212，在第一身份标识位于身份标识集合中且目标任务类型位于任务类型集合中时，确定访问权限验证验证通过；

其中，第一身份标识为权限验证信息中所包含的身份标识，其可以表示向目标数据发起访问的机构或个人的身份。目标任务类型为权限验证信息中所包含的任务类型信息，目标任务类型表示此次针对目标数据的访问请求需要对目标数据进行的任务操作类型。例如，目标任务类型可以为对目标数据的修改操作、引用操作、增加操作等任务类型。

在本说明书一个或多个实施例中，只有当访问请求中携带的请求者的第一身份标识属于身份标识集合中所设定的身份标识，且访问请求中携带的针对目标数据的操作类型属于任务类型集合中所设定的任务类型时，才确定该访问请求通过访问权限验证，可以访问目标数据。

S214，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥；

需要说明的是，为保证目标数据的安全性，在目标数据的加密存储过程中，首先基于数据密钥对目标数据进行加密，然后获取加密密钥对数据密钥进行二次加密，得到数据密钥密文，以避免将数据密钥明文存储，不利于目标数据的安全存储。

在本说明书一个或多个实施例中，在确定访问权限验证通过后，获取用于解密数据密钥密文的解密密钥，基于解密密钥对数据密钥密文进行解密处理，得到数据密钥。

在本说明书一个或多个实施例中，用于加密数据密钥从而得到数据密钥密文的加密密钥和用于解密数据密钥密文的解密密钥可以为相同密钥。当使用对称加密算法对数据密钥进行加密和解密时，加密密钥和解密密钥为相同密钥，当使用非对称加密算法对数据密钥进行加密和解密时，加密密钥和解密密钥为相对的不同密钥。

一种可行的实施方式中，加密密钥和解密密钥可以独立存储于其他存储空间，实现密钥和密文的物理存储隔离，进一步提高安全性。

S216，基于数据密钥解密并访问目标数据。

在本说明书一个或多个实施例中，首先接收请求者对目标数据的访问请求，访问请求包括目标数据对应的数据标识以及权限验证信息，然后根据数据标识查找并获取目标数据对应的权限验证规则以及数据密钥密文，并根据权限验证规则中预设置的数字签名查验权限验证规则是否被篡改，可以避免权限验证规则被篡改导致的目标数据存储风险，在确定权限验证规则未被篡改之后再基于权限验证规则对权限验证信息进行访问权限验证，在访问权限验证验证通过时，获取数据密钥密文对应的解密密钥，并基于解密密钥对数据密钥密文进行解密处理，得到数据密钥，最后基于数据密钥解密并访问目标数据，即在对加密后的目标数据进行数据访问时，通过设置访问权限验证，只有通过访问权限验证才来获取目标数据对应的数据密钥，进而提升了针对加密数据的访问安全性，且数据密钥经过二次加密，进一步提高了加密数据的安全性。

请检测图3，为本说明书实施例提供了一种数据加密存储方法的流程示意图。在本说明书实施例中，所述数据加密存储方法应用于数据加密存储装置或配置有数据加密存储装置的电子设备。下面将针对图3所示的流程进行详细的阐述，所述数据加密存储方法具体可以包括以下步骤：

S302，响应于对目标数据的数据加密指令，基于数据密钥加密目标数据得到加密数据；

在本说明书一个或多个实施例中，目标数据的数据持有者在对目标数据进行存储时，可选择是否对目标数据进行加密。当数据持有者选择对目标数据进行加密时，数据持有者发起对目标数据的数据加密指令，数据加密存储装置响应于数据持有者的数据加密指令，生成用于加密目标数据的数据密钥，并利用数据密钥加密目标数据得到加密数据。加密数据即指加密后的目标数据。

S304，获取加密密钥，基于加密密钥加密数据密钥，得到数据密钥密文；

在本说明书一个或多个实施例中，在基于数据密钥加密目标数据得到加密数据之后，获取用于加密数据密钥的加密密钥，并基于加密密钥加密数据密钥得到数据密钥密文。

S306，获取数据持有者上传的目标数据对应的权限验证规则，权限验证规则用于对针对目标数据的访问请求进行权限验证，通过权限验证可获得加密密钥对应的解密密钥，解密密钥用于解密数据密钥密文；

在本说明书一个或多个实施例中，在基于数据密钥加密目标数据得到加密数据以及基于加密密钥加密数据密钥得到数据密钥密文之后，数据持有者可通过规则写入工具为目标数据添加对应的权限验证规则，权限验证规则用于针对目标数据的访问请求进行权限验证，通过权限验证可获得加密密钥对应的解密密钥，解密密钥用于解密数据密钥密文。

可选的，权限验证规则至少包括目标数据对应的身份标识集合和任务类型集合，身份标识集合包括允许访问目标数据的至少一个身份标识，任务类型集合包括允许访问目标数据的至少一个任务类型。

可选的，在获取得到数据持有者上传的权限验证规则之后，为权限验证规则添加数字签名，以在根据权限验证规则进行访问权限验证时检查权限验证规则是否被篡改，避免权限验证规则被篡改导致的目标数据使用权受到破坏，以至于目标数据不再安全。

可选的，一个实施例中，在获取数据持有者上传的权限验证规则之前，获取数据持有者上传的所述目标数据对应的数据元信息，数据元信息至少包括数据持有者的第二身份标识，并为数据元信息添加数字签名。在本说明书实施例中，数据元信息用于保护目标数据的持有权不被破坏，数据元信息包括数据持有者的第二身份标识，通过为数据元信息添加数字签名，可以避免数据元信息中数据持有者的身份标识被篡改，从而保证数据持有者对目标数据的持有权不被破坏。

S308，将加密数据、数据密钥密文以及权限验证规则关联存储。

在本说明书一个或多个实施例中，在生成加密数据、数据密钥密文以及权限验证规则之后，将加密数据、数据密钥密文以及权限验证规则关联存储。

可以理解的是，加密数据为加密后的目标数据，数据密钥密文为加密后的数据密钥，权限验证规则用于对申请访问目标数据的访问请求进行访问权限验证。当接收到针对目标数据的访问请求时，首先基于权限验证规则对访问请求中携带的权限验证信息进行访问权限验证，在访问权限验证通过后，获取用于解密数据密钥密文的解密密钥，基于解密密钥解密数据密钥密文得到数据密钥，最后基于数据密钥解密加密数据得到目标数据，从而实现对目标数据的访问。

在本说明书实施例中，在对目标数据进行加密存储时，首先基于数据密钥加密目标数据得到加密数据，然后对数据密钥进行加密得到数据密钥密文，避免将数据密钥明文存储，提升目标数据的存储安全性，以及为目标数据设置权限验证规则，只有符合权限验证规则的访问请求才可访问目标数据，保护目标数据的使用权和访问安全性。

请参见图4，为说明书实施例提供的一种数据加密存储方法的流程示意图。如图4所示，所述方法包括如下步骤：

S402，响应于对目标数据的数据加密指令，基于数据密钥加密目标数据得到加密数据；

在本说明书一个或多个实施例中，目标数据的数据持有者在对目标数据进行存储时，可选择是否对目标数据进行加密。当数据持有者选择对目标数据进行加密时，数据持有者发起对目标数据的数据加密指令，数据加密存储装置响应于数据持有者的数据加密指令，生成用于加密目标数据的数据密钥，并利用数据密钥加密目标数据得到加密数据。加密数据即指加密后的目标数据。

S404，获取加密密钥，基于加密密钥加密数据密钥，得到数据密钥密文；

在本说明书一个或多个实施例中，在基于数据密钥加密目标数据得到加密数据之后，获取用于加密数据密钥的加密密钥，并基于加密密钥加密数据密钥得到数据密钥密文。

S406，获取数据持有者上传的目标数据对应的数据元信息，数据元信息至少包括数据持有者的第二身份标识；

具体的，获取数据持有者上传的所述目标数据对应的数据元信息，数据元信息至少包括数据持有者的第二身份标识，并为数据元信息添加数字签名。在本说明书实施例中，数据元信息用于保护目标数据的持有权不被破坏，数据元信息包括数据持有者的第二身份标识，通过为数据元信息添加数字签名，可以避免数据元信息中数据持有者的身份标识被篡改，从而保证数据持有者对目标数据的持有权不被破坏。

一种可行的实施方式中，数据元信息可以包括：目标数据的数据名称标识、数据持有者标识、目标数据的内容摘要等。

S408，获取数据持有者上传的目标数据对应的权限验证规则，权限验证规则用于对针对目标数据的访问请求进行权限验证，通过权限验证可获得加密密钥对应的解密密钥，解密密钥用于解密数据密钥密文；

在本说明书一个或多个实施例中，在基于数据密钥加密目标数据得到加密数据以及基于加密密钥加密数据密钥得到数据密钥密文之后，数据持有者可通过规则写入工具为目标数据添加对应的权限验证规则，权限验证规则用于针对目标数据的访问请求进行权限验证，通过权限验证可获得加密密钥对应的解密密钥，解密密钥用于解密数据密钥密文。

可选的，权限验证规则至少包括目标数据对应的身份标识集合和任务类型集合，身份标识集合包括允许访问目标数据的至少一个身份标识，任务类型集合包括允许访问目标数据的至少一个任务类型。

可选的，在获取得到数据持有者上传的权限验证规则之后，为权限验证规则添加数字签名，以在根据权限验证规则进行访问权限验证时检查权限验证规则是否被篡改，避免权限验证规则被篡改导致的目标数据使用权受到破坏，以至于目标数据不再安全。

S410，将加密数据、数据密钥密文、数据元信息以及权限验证规则关联存储。

在本说明书一个或多个实施例中，在生成加密数据、数据密钥密文、数据元信息以及权限验证规则之后，将加密数据、数据密钥密文、数据元信息以及权限验证规则关联存储。

可以理解的是，加密数据为加密后的目标数据，数据密钥密文为加密后的数据密钥，数据元信息用于保护目标数据的持有权不被破坏，权限验证规则用于对申请访问目标数据的访问请求进行访问权限验证。当接收到针对目标数据的访问请求时，首先基于访问请求中携带的数据标识查找数据元信息，在确保数据元信息未被篡改时，确定目标数据的持有权未被破坏，基于权限验证规则对访问请求中携带的权限验证信息进行访问权限验证，在访问权限验证通过后，获取用于解密数据密钥密文的解密密钥，基于解密密钥解密数据密钥密文得到数据密钥，最后基于数据密钥解密加密数据得到目标数据，从而实现对目标数据的访问。

可选的，一个实施例中，将加密数据和数据密钥密文在第一存储空间关联存储，将数据元信息和权限验证规则在第二存储空间关联存储。

在本说明书实施例中，在对目标数据进行加密存储时，首先基于数据密钥加密目标数据得到加密数据，然后对数据密钥进行加密得到数据密钥密文，避免将数据密钥明文存储，提升目标数据的存储安全性，并上传数据元信息，通过为数据元信息设置数字签名来避免数据元信息被篡改，将数据元信息的篡改验证作为数据访问流程中的验证环节，以保护目标数据的持有权，以及为目标数据设置权限验证规则，只有符合权限验证规则的访问请求才可访问目标数据，保护目标数据的使用权和访问安全性。

数据需要互联互通，才能发挥它作为生产要素的重要性；保护数据的持有权、使用权不被侵害，是数据要素流通的重要前提。结合《数据安全法》、《个人信息保护法》等法律法规要求，行业对网络与数据安全的诉求以及技术成熟度，整个数据流通领域即将告别数据明文时代，进入数据密态时代。《可信密态计算白皮书》指出了数据密态时代的三个发展阶段，在阶段二定义了大数据密态化的要求，明确了大数据平台从明文计算迈进密文计算、持有权与使用权分离等要求。

Spark作为广泛使用的分布式计算引擎，基于Spark设计密态化的大数据平台，实现数据持有权和使用权分离的权限控制引擎，是提高Spark计算引擎中数据安全的关键环节。

请参见图5，为本说明书实施例提供的一种基于Spark集群数据存储的系统架构图。如图5所示，系统架构包括Spark集群和权限控制引擎，权限控制引擎用于对Spark集群中对目标数据的访问请求进行访问权限验证。

Spark集群包括Spark Job Server、Spark Cluster、策略引擎客户端以及第一存储空间。其中，策略引擎客户端为运行在Spark executor进程中的程序文件，策略引擎客户端负责与权限控制引擎中的策略引擎服务端进行通信，以保护用于加密目标数据的数据密钥和进行访问权限验证；第一存储空间用于存储加密后的目标数据、数据密钥密文、数据摘要信息等。

权限控制引擎包括规则提交工具、策略引擎服务端、密钥中心、第二存储空间等。其中，规则提交工具用于由目标数据的数据持有者上传目标数据对应的权限验证规则，策略引擎服务端用于和策略引擎客户端进行通信，密钥中心用于提供加密数据密钥的加密密钥，第二存储空间用于存储权限验证规则以及数据元信息。

一个数据加密存储的实施例中，目标数据的数据持有者发起对目标数据的数据加密指令，在Spark集群中基于数据密钥加密目标数据得到加密数据，加密数据为加密后的目标数据，然后策略引擎客户端将数据密钥发送至策略引擎服务端，策略引擎服务端从密钥中心获取用于加密数据密钥的加密密钥，并在权限控制引擎中基于加密密钥对数据密钥加密得到数据密钥密文，并将数据密钥密文通过策略引擎服务端发送至策略引擎客户端，将加密后的目标数据和数据密钥密文一通存储在第一存储空间。然后目标数据的数据持有者可通过权限控制引擎中的规则提交工具上传目标数据对应的权限验证规则，并将权限验证规则存储在第二存储空间，以及上传目标数据对应的数据元信息，将数据元信息存储在第二存储空间。

一个数据访问的实施例中，加密后的目标数据存储在第一存储空间、对数据密钥加密后的数据密钥密文存储在第一存储空间，目标数据对应的权限验证规则存储在第二存储空间以及目标数据对应的数据元信息存储在第二存储空间。当请求者发起对目标数据的访问请求时，Spark executor进程根据访问请求中的数据标识在第一存储空间查找并获取加密后的目标数据以及数据密钥密文，然后通过策略引擎客户端将数据密钥密文以及访问请求中携带的权限验证信息发送至策略引擎服务端。策略引擎服务端首先在第二存储空间查找目标数据对应的数据元信息，验证数据元信息是否被篡改，在确定数据元信息未被篡改的情况下，根据权限验证规则对访问请求中的权限验证信息进行访问权限验证，并在确定访问权限验证通过时，策略引擎服务端从密钥中心获取用于解密数据密钥密文的解密密钥，基于解密密钥对数据密钥密文进行解密，得到数据密钥。然后策略引擎服务端将数据密钥发送至策略引擎客户端，Spark executor进程基于数据密钥解密目标数据并访问。

可以理解的是，数据元信息至少包括数据持有者的第二身份标识，并为数据元信息添加数字签名。数据元信息用于保护目标数据的持有权不被破坏，数据元信息包括数据持有者的第二身份标识，通过为数据元信息添加数字签名，可以避免数据元信息中数据持有者的身份标识被篡改，从而保证数据持有者对目标数据的持有权不被破坏。对数据密钥进行加密得到数据密钥密文，避免将数据密钥明文存储，提升目标数据的存储安全性，以及为目标数据设置权限验证规则，只有符合权限验证规则的访问请求才可访问目标数据，保护目标数据的使用权和访问安全性。

请参见图6，为本说明书实施例提供的一种数据访问装置的结构示意图。如图6所示，该数据访问装置1可以通过软件、硬件或者两者的结合实现成为电子设备的全部或一部分。根据一些实施例，该数据访问装置1包括请求接收模块11、信息查找模块12、权限验证模块13、密钥解密模块14以及数据访问模块15，具体包括：

请求接收模块11，用于接收请求者对目标数据的访问请求，所述访问请求包括所述目标数据对应的数据标识以及权限验证信息；

信息查找模块12，用于根据所述数据标识查找并获取所述目标数据对应的权限验证规则以及数据密钥密文，所述数据密钥密文通过对数据密钥加密后得到；

权限验证模块13，用于基于所述权限验证规则对所述权限验证信息进行访问权限验证；

密钥解密模块14，用于在所述访问权限验证验证通过时，获取所述数据密钥密文对应的解密密钥，并基于所述解密密钥对所述数据密钥密文进行解密处理，得到数据密钥；

数据访问模块15，用于基于所述数据密钥解密并访问所述目标数据。

可选的，请参见图7，为本说明书实施例提供的一种数据访问装置的结构示意图。如图7所示，所述装置还包括篡改验证模块16，具体用于：

基于所述权限验证规则对应的数字签名验证所述权限验证规则是否被篡改；

若确定所述权限验证规则未被篡改，则执行所述基于所述权限验证规则对所述权限验证信息进行访问权限验证的步骤。

可选的，所述信息查找模块12，具体用于：

根据所述数据标识在第一存储空间查找并获取所述目标数据对应的数据摘要信息和数据密钥密文；

根据所述数据摘要信息在第二存储空间查找并获取所述目标数据对应的权限验证规则。

可选的，所述信息查找模块12在执行所述根据所述数据摘要信息在第二存储空间查找并获取所述目标数据对应的权限验证规则时，具体用于：

根据所述数据摘要信息中的元信息标识查找并获取所述目标数据对应的数据元信息，所述数据元信息至少包括所述目标数据对应的数据持有者的第二身份标识；

基于所述数据元信息对应的数字签名验证所述数据元信息是否被篡改；

若确定所述数据元信息未被篡改，则根据所述第二身份标识查找并获取所述权限验证规则。

可选的，所述权限验证信息包括所述请求者对应的第一身份标识和针对所述目标数据的目标任务类型，所述权限验证模块13，具体用于：

获取所述权限验证规则中的身份标识集合和任务类型集合，所述身份标识集合包括允许访问所述目标数据的至少一个身份标识，所述任务类型集合包括允许访问所述目标数据的至少一个任务类型；

在所述第一身份标识位于所述身份标识集合中且所述目标任务类型位于所述任务类型集合中时，确定所述访问权限验证验证通过。

上述装置实施例与方法实施例相对应，具体说明可以参见方法实施例部分的描述，此处不再赘述。装置实施例是基于对应的方法实施例得到，与对应的方法实施例具有同样的技术效果，具体说明可参见对应的方法实施例。

请参见图8，为本说明书实施例提供的一种数据加密存储装置的结构示意图。如图8所示，该数据加密存储装置2可以通过软件、硬件或者两者的结合实现成为电子设备的全部或一部分。根据一些实施例，该数据加密存储装置2包括数据加密模块21、密钥加密模块22、规则上传模块23、数据存储模块24，具体包括：

数据加密模块21，用于响应于对目标数据的数据加密指令，基于数据密钥加密所述目标数据得到加密数据；

密钥加密模块22，用于获取加密密钥，基于所述加密密钥加密所述数据密钥，得到数据密钥密文；

规则上传模块23，用于获取数据持有者上传的所述目标数据对应的权限验证规则，所述权限验证规则用于对针对目标数据的访问请求进行权限验证，通过所述权限验证可获得所述加密密钥对应的解密密钥，所述解密密钥用于解密所述数据密钥密文；

数据存储模块24，用于将所述加密数据、所述数据密钥密文以及所述权限验证规则关联存储。

可选的，所述规则上传模块23，还用于：

为所述访问控制规则添加数字签名。

可选的，请参见图9，为本说明书实施例提供的一种数据加密存储装置的结构示意图。如图9所示，所述装置还包括元信息上传模块25，具体用于在获取数据持有者上传的所述目标数据对应的权限验证规则之前：

获取数据持有者上传的所述目标数据对应的数据元信息，所述数据元信息至少包括所述数据持有者的第二身份标识；

为所述数据元信息添加数字签名；

所述数据存储模块24，具体用于：

将所述加密数据、所述数据密钥密文、所述数据元信息以及所述权限验证规则关联存储。

可选的，所述数据存储模块24，在执行所述将所述加密数据、所述数据密钥密文、所述数据元信息以及所述权限验证规则关联存储时，具体用于：

将所述加密数据和所述数据密钥密文在第一存储空间关联存储；

将所述数据元信息和所述权限验证规则在第二存储空间关联存储。

可选的，所述权限验证规则至少包括所述目标数据对应的身份标识集合和任务类型集合，所述身份标识集合包括允许访问所述目标数据的至少一个身份标识，所述任务类型集合包括允许访问所述目标数据的至少一个任务类型。

上述装置实施例与方法实施例相对应，具体说明可以参见方法实施例部分的描述，此处不再赘述。装置实施例是基于对应的方法实施例得到，与对应的方法实施例具有同样的技术效果，具体说明可参见对应的方法实施例。

本说明书实施例还提供的一种计算机存储介质，所述计算机存储介质可以存储有多条指令，所述指令适于由处理器加载并执行如上述图1～图5所示实施例的所述方法，具体执行过程可以参见图1～图5所示实施例的具体说明，在此不进行赘述。

本说明书还提供的一种计算机程序产品，该计算机程序产品存储有至少一条指令，所述至少一条指令由所述处理器加载并执行如上述图1～图5所示实施例的所述方法，具体执行过程可以参见图1～图5所示实施例的具体说明，在此不进行赘述。

本说明书实施例还提供了图10所示的电子设备的结构示意图。如图10，在硬件层面，该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，以实现上述的语音活动检测方法。

当然，除了软件实现方式之外，本说明书并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等，目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书的实施例可提供为方法、系统、或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本说明书的实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书的权利要求范围之内。