CN109543463A - 数据安全访问方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本发明公开一种数据安全访问方法、装置、计算机设备及存储介质，应用在安全监控技术领域。该方法包括设置在隔离区的内网服务器执行的如下步骤：通过隔离区预留接口，获取负载均衡设备发送的数据访问请求，数据访问请求包括来源标识、访问类型标识、数据标识和格式标识；若访问类型标识为读取访问标识，则依据来源标识，确定设置在隔离区的目标数据库，获取与数据标识相对应的原始数据；若原始数据的数据格式与格式标识不对应，则采用设置在隔离区的格式转换工具对原始数据进行格式转换，获取目标数据，将目标数据发送给负载均衡设备，以转发给原始终端。该数据安全访问方法即可实现数据安全访问，又可提高批量获取特定格式的目标数据的获取效率。

Description

数据安全访问方法、装置、计算机设备及存储介质

技术领域

本发明涉及安全监控领域，尤其涉及一种数据安全访问方法、装置、计算机设备及存储介质。

背景技术

随着人工智能技术的发展，越来越多技术开始研发各种智能识别模型(包括但不限于声纹识别模型、语音识别模型和人脸识别模型)，并将这些智能识别模型应用到具体场景中，例如应用声纹识别模型进行密码验证或者应用人脸识别模型进行门禁控制等。在当前智能识别模型训练中，需要采集大量的模型训练数据(如语音训练数据或图像训练数据)，当前模型训练数据的获取主要通过爬取公开网站的网络资源进行获取，获取效率较慢而且获取到的模型训练数据的格式不一致，容易影响智能识别模型的训练效率和识别准确率。为了保障数据安全和业务发展，越来越多企业开发内网站，以使用户可以上传共享数据(包括但不限于预先采集到的语音训练数据或图像训练数据)，使用户可通过内网IP对应的内网客户端获取相应的共享数据，并限制内网IP以外的外网客户端的访问。但随着网络办公的普及，企业员工之间跨区域办公或者在家公办的情况越来越多，此时，无法通过内网站访问相应的共享数据，影响其办公效率。尤其在智能识别模型训练过程中，若将模型训练数据作为共享数据上传到内网站时，无法及时获取到相应的模型训练数据，影响模型训练的进度。

发明内容

本发明实施例提供一种数据安全访问方法、装置、计算机设备及存储介质，以解决当前获取特定格式的模型训练数据获取效率较慢的问题。

一种数据安全访问方法，包括设置在隔离区的内网服务器执行的如下步骤：

通过所述隔离区的预留接口，获取负载均衡设备发送的数据访问请求，所述数据访问请求包括来源标识、访问类型标识、数据标识和格式标识；

若所述访问类型标识为读取访问标识，则依据所述来源标识，确定设置在所述隔离区的目标数据库，并从所述目标数据库中获取与所述数据标识相对应的原始数据；

获取所述原始数据的数据格式，判断所述数据格式是否与所述格式标识相对应；

若所述数据格式与所述格式标识不对应，则采用设置在所述隔离区的格式转换工具对所述原始数据进行格式转换，获取与所述格式标识相对应的目标数据，将所述目标数据发送给所述负载均衡设备，以使所述负载均衡设备将所述目标数据转发给原始终端。

一种数据安全访问装置，包括：

数据访问请求获取模块，用于通过所述隔离区的预留接口，获取负载均衡设备发送的数据访问请求，所述数据访问请求包括来源标识、访问类型标识、数据标识和格式标识；

读取访问处理模块，用于若所述访问类型标识为读取访问标识，则依据所述来源标识，确定设置在所述隔离区的目标数据库，并从所述目标数据库中获取与所述数据标识相对应的原始数据；

数据格式判断模块，用于获取所述原始数据的数据格式，判断所述数据格式是否与所述格式标识相对应；

第一目标数据获取模块，用于若所述数据格式与所述格式标识不对应，则采用设置在所述隔离区的格式转换工具对所述原始数据进行格式转换，获取与所述格式标识相对应的目标数据，将所述目标数据发送给所述负载均衡设备，以使所述负载均衡设备将所述目标数据转发给原始终端。

一种数据安全访问方法，包括外网服务器执行的如下步骤：

获取外网客户端基于HTTPS协议发送的原始访问请求，所述原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识；

若所述目标URL为内网URL，则基于所述终端标识和所述原始令牌进行身份验证，在身份验证通过时，获取单位时间内所述终端标识对应的请求量；

若所述请求量不大于预设阈值，则生成外网标识，基于所述外网标识、所述访问类型标识、所述数据标识和所述格式标识生成数据访问请求；

将所述数据访问请求通过负载均衡设备发送给所述目标URL对应的内网服务器，并将所述负载均衡设备返回的目标数据发送给所述外网客户端。

一种数据安全访问装置，包括：

原始访问请求获取模块，用于获取外网客户端基于HTTPS协议发送的原始访问请求，所述原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识；

身份验证处理模块，用于若所述目标URL为内网URL，则基于所述终端标识和所述原始令牌进行身份验证，在身份验证通过时，获取单位时间内所述终端标识对应的请求量；

数据访问请求生成模块，用于若所述请求量不大于预设阈值，则生成外网标识，基于所述外网标识、所述访问类型标识、所述数据标识和所述格式标识生成数据访问请求；

外网访问处理模块，用于将所述数据访问请求通过负载均衡设备发送给所述目标URL对应的内网服务器，并将所述负载均衡设备返回的目标数据发送给所述外网客户端。

一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述数据安全访问方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述数据安全访问方法的步骤。

上述数据安全访问方法、装置、计算机设备及存储介质，内网服务器所接收的每一数据访问请求均是由负载均衡设备发送的，可保证每一内网服务器可接收到相对均衡的访问量，保证内网服务器的正常工作。若数据访问请求中的访问类型标识为读取访问标识，则依据其来源标识确定设置在隔离区的目标数据库，并从目标数据库中获取与数据标识相对应的原始数据，从而保证原始数据的安全性。内网服务器在识别到原始数据的数据格式与数据访问请求中的格式标识不对应时，采用设置在隔离区的格式转换工具对原始数据进行格式转换，以获取到目标数据，将目标数据通过负载均衡设备发送给原始终端，以使原始终端直接获取其所需数据格式的目标数据，无需在原始终端再进行格式转换，提高特定数据格式的目标数据的获取效率。并且，内网服务器、目标数据库和格式转换工作均设置在隔离区上，既可保证数据安全，又可使内网服务器可接收到内网客户端或者外网服务器上传的数据访问请求，以提高数据的获取效率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例中数据安全访问方法的一应用环境示意图；

图2是本发明一实施例中数据安全访问方法的一流程图；

图3是本发明一实施例中数据安全访问方法的另一流程图；

图4是本发明一实施例中数据安全访问方法的另一流程图；

图5是本发明一实施例中数据安全访问装置的一原理框图；

图6是本发明一实施例中数据安全访问装置的一原理框图；

图7是本发明一实施例中计算机设备的一示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供的数据安全访问方法，该数据安全访问方法可应用如图1所示的应用环境中。该数据安全访问方法应用在数据安全访问系统中，用于解决内网数据安全访问及格式转换问题。如图1所示，该数据安全访问系统包括设置在隔离区的内网服务器、格式转换工具、内网数据库和外网数据库，还包括设置在隔离区外的内网客户端、外网服务器、外网客户端和负载均衡设备。其中，内网客户端和外网客户端应用内网IP和外网IP的客户端，该客户端又称为用户端，是指与服务器相对应,为客户提供本地服务的程序。客户端可安装在但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备上。内网服务器和外网服务器应用内网IP和外网IP的服务器，该服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

其中，隔离区(demilitarized zone，以下简称DMZ,称“非军事化区”),通常是一个过滤的子网，DMZ在内部网络和外部网络之间构造了一个安全地带。网络设备开发商利用这一技术，开发出了相应的防火墙解决方案，称“非军事区结构模式”。DMZ是为了解决安装防火墙后外部网络不能访问内部网络的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。本实施例中，内网客户端应用在内部网络(即内网IP对应的网络)上，而外网客户端和外网服务器应用在外部网络上。

在一实施例中，如图2所示，提供一种数据安全访问方法，以该数据安全访问方法应用在图1中的内网服务器为例进行说明，具体包括设置在隔离区的内网服务器执行的如下步骤：

S201：通过隔离区的预留接口，获取负载均衡设备发送的数据访问请求，数据访问请求包括来源标识、访问类型标识、数据标识和格式标识。

其中，负载均衡设备是用于实现负载均衡的设备。负载均衡(即Load Balance)，是将负载(工作任务)进行平衡、分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。负载均衡设备不是基础网络设备，而是一种性能优化设备。对于网络应用而言，并不是一开始就需要负载均衡，当网络应用的访问量不断增长，单个处理单元无法满足负载需求时，网络应用流量将要出现瓶颈时，负载均衡才会起到作用。

本实施例中，负载均衡设备采用DNS+F5这一负载均衡系统。其中，DNS(DomainName System，域名系统)，万维网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。其中，通过域名进行DNS解析，最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上，使用端口号53。F5是应用交付网络(ADN)领域的全球领先厂商，主要提供广域流量负载均衡、链路负载均衡和本地流量负载均衡等产品。

该数据访问请求是用于访问内网服务器的请求，具体为内网客户端或外网服务器通过负载均衡设备转发的HTTP请求。内网服务器获取经过负载均衡设备转发的数据访问请求，使得每一内网服务器负载均衡，可保证每一内网服务器可接收相对均衡的访问量，保证内网服务器的正常工作。由于内网服务器设置有防止外网客户端访问的防火墙，以使外网客户端无法直接访问内网服务器，本实施例中内网服务器设置在隔离区内，并在隔离区上设置可接收HTTP请求的预留接口，以使内网服务器可接收通过负载均衡设备转发的HTTP请求，在保障数据安全的同时，可使内网服务器可接收内网客户端和外网服务器通过负载均衡设备转发的HTTP请求(即数据访问请求)。该HTTP请求中的请求参数包括来源标识、访问类型标识、数据标识和格式标识。

来源标识是用于区分该数据访问请求的原始来源的标识，在原始来源为外网客户端发起的数据访问请求中会携带有外网标识，而原始来源为内网客户端发起的数据访问请求中不会携带该外网标识，此时该数据访问请求携带有默认的内网标识。

访问类型标识是用于限定本次数据访问请求所需要进行访问的类型的标识。该访问类型标识包括读取访问标识和存储访问标识。该读取访问标识具体为HTTP请求中的GET标识，用于读取所需要进行访问的服务器对应的数据库中的数据。该存储访问标识为HTTP请求中的POST标识，用于向所需要进行访问的服务器对应的数据库中存储数据。

数据标识是用于限定本次数据访问请求所需获取的数据或者所需存储的数据的类型的标识。该数据标识具体可以为图像数据标识、语音数据标识或者文本数据标识。例如，可在该HTTP请求的请求参数中描述获取XX时间段XX客户的语音数据。

格式标识是用于限定本次数据访问请求所需获取的数据或者所需存储的数据的格式的标识。例如，在语音数据中,可以为arm或者wav格式。

如图1所示，设置在隔离区的内网服务器可接收内网客户端通过负载均衡器分配的数据访问请求，该数据访问请求中不携带有外网标识而是携带默认的内网标识，以使内网服务器了解该数据访问请求是内网客户端发送的请求。相应地，设置在隔离区的内网服务器还可接收外网服务器通过负载均衡器分配的数据访问请求，该数据访问请求中携带有外网标识，以使外网服务器了解该数据访问请求是外网服务器发送的请求。

S202：若访问类型标识为读取访问标识，则依据来源标识，确定设置在隔离区的目标数据库，并从目标数据库中获取与数据标识相对应的原始数据。

其中，目标数据库为本次数据访问请求可访问的数据库。本实施例中，内网服务器获取的数据访问请求为HTTP请求，可通过识别HTTP请求中的请求参数中是否携带有外网标识这一来源标识，来确定该数据访问请求的原始来源。HTTP是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器请求和应答的标准(TCP)，用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

具体地，若HTTP请求的请求参数中携带有外网标识，则确定该HTTP请求是外网服务器发送的请求，该外网服务器的IP地址与内网服务器的IP地址不对应。若HTTP请求的请求参数不携带有外网标识，则确定该HTTP请求是内网客户端发送的请求，该内网客户端的IP地址与内网服务器的IP地址对应。可以理解地，在访问类型标识为读取访问标识的情况下，内网服务器需依据该来源标识确定其原始来源，以便根据原始来源确定其可以访问的目标数据库，并从目标数据库中获取与数据标识相对应的原始数据，以保证原始数据的安全性。例如，若数据标识为语音数据标识，则从目标数据库中所有语音数据标识对应的语音数据作为原始数据。该原始数据为预先存储在目标数据库中的数据。

在一实施例中，步骤S202中，依据来源标识，确定设置在隔离区的目标数据库，包括：

(1)若来源标识为外网标识，则将设置在隔离区的外网数据库确定为目标数据库。

本实施例中，若来源标识为外网标识，则说明该数据访问请求是外网服务器发送的请求，由于外网服务器只能访问存储在外网数据库中的所有数据，因此，将设置在隔离区的外网数据库确定为目标数据库，以便从外网数据库中获取与数据标识相对应的原始数据。在来源标识为外网标识时，将设置在隔离区的外网数据库确定为目标数据库，既可使通过负载均衡设备转发的数据访问请求可访问到外网数据库中的原始数据，以实现数据共享，且使其只能访问外网数据库中的原始数据，以避免内网数据库中的数据被外网服务器访问，从而在一定程度上保障数据安全。

(2)若来源标识为内网标识，则将设置在隔离区的内网数据库和外网数据库确定为目标数据库。

其中，内网数据库用于存储内网客户端上传的数据，而外网数据库用于存储外网客户端通过外网服务器上传的数据。该内网数据库和外网数据库均设置在隔离区内，用于保障数据安全，使内网客户端和外网客户端均可以进行数据访问，而且实现内网数据与外网数据隔离，进一步保障内网数据的安全性。本实施例中，若来源标识为内网标识，则说明该数据访问请求是内网客户端发送的请求，由于内网客户端可以访问内网服务器中的所有数据，即可以访问存储在内网数据库和外网数据库中的所有数据，因此，将设置在隔离区的内网数据库和外网数据库均确定为目标数据库，以使内网客户端可以从目标数据库中获取到更多的原始数据，以提高数据获取效率。

S203：获取原始数据的数据格式，判断数据格式是否与格式标识相对应。

由于预先存储在目标数据库中的原始数据包含多种数据格式，例如，语音数据可以有wav格式和arm格式。而本次数据访问请求的请求参数中携带有格式标识，这一格式标识为本次数据访问请求所需获取的数据或者所需存储的数据的格式的标识，一般为满足某一种智能识别模型训练所需的数据格式。本实施例中，服务器通过判断原始数据的数据格式是否与数据访问请求中的格式标识相对应，以确定该原始数据是否为本次数据访问请求所需的数据，以便进行格式转换。

S204：若数据格式与格式标识不对应，则采用设置在隔离区的格式转换工具对原始数据进行格式转换，获取与格式标识相对应的目标数据，将目标数据发送给负载均衡设备，以使负载均衡设备将目标数据转发给原始终端。

其中，格式转换工具是用于实现数据之间格式转换的工具，该格式转换工具具体可以为FFMPEG格式转换工具或者gstreamer格式转换工具。该格式转换工具用于在内网服务器接收到数据访问请求时，可根据其携带的格式标识，将从目标数据库中获取的原始数据转换成其所需的数据格式的目标数据。该格式转换工具设置在隔离区内，以保证格式转换过程中的数据安全。

本实施例中，若原始数据的数据格式与数据访问请求中的格式标识不对应，内网服务器调用设置在隔离区的格式转换工具将原始数据转换成其所需的数据格式的目标数据，将该目标数据发送给负载均衡设备，以使负载均衡设备将目标数据发送给原始终端，以使原始终端直接获取其所需的目标数据，无需在原始终端再进行格式转换，提高特定数据格式的目标数据的获取效率。在目标数据为智能识别模型所需的模型训练数据时，可实现快速获取批量模型训练数据，并且无需在每一智能识别模型的训练过程中，在每一内网客户端逐一对模型训练数据进行格式转换，有助于加快智能识别模型的训练过程。该原始终端是指触发通过负载均衡设备发送本次数据访问请求给内网服务器的终端，于本实施例中，可以为内网客户端或者外网服务器。

具体地，格式转换工具设置有用于存储格式转换信息表，该格式转换信息表用于存储至少一个格式转换信息，每一格式转换信息包括转换函数标识、数据格式和格式标识。该转换函数标识是用于唯一识别转换函数的标识，具体为可实现将数据格式对应的原始数据转换成格式标识对应的目标数据的转换函数的标识。内网服务器在识别到数据格式与格式标识不对应时，查询设置在隔离区的格式转换工具中的格式转换信息表，获取与该数据格式和格式标识均匹配的转换函数标识，并执行该转换函数标识相对应的转换函数，以将数据格式对应的原始数据转换成格式标识对应的目标数据。可以理解地，在获取到目标数据之后，将该目标数据通过负载均衡设备转发给原始终端，以使原始终端通过一次访问，即可批量获取满足特定格式标识对应的目标数据，提高目标数据的获取效率。

本实施例所提供的数据安全访问方法中，内网服务器所接收的每一数据访问请求均是由负载均衡设备发送的，可保证每一内网服务器可接收到相对均衡的访问量，保证内网服务器的正常工作。若数据访问请求中的访问类型标识为读取访问标识，则依据其来源标识确定设置在隔离区的目标数据库，并从目标数据库中获取与数据标识相对应的原始数据，从而保证原始数据的安全性。内网服务器在识别到原始数据的数据格式与数据访问请求中的格式标识不对应时，采用设置在隔离区的格式转换工具对原始数据进行格式转换，以获取到目标数据，将目标数据通过负载均衡设备发送给原始终端，以使原始终端直接获取其所需数据格式的目标数据，无需在原始终端再进行格式转换，提高特定数据格式的目标数据的获取效率。并且，内网服务器、目标数据库和格式转换工作均设置在隔离区上，既可保证数据安全，又可使内网服务器可接收到内网客户端或者外网服务器上传的数据访问请求，以提高数据的获取效率。

在一实施例中，在获取负载均衡设备发送的数据访问请求的步骤之后，数据安全访问方法还包括如下步骤：

S205：若访问类型标识为存储访问标识，则将数据访问请求中携带的待存储数据，存储在设置在隔离区中的与来源标识相对应的存储数据库中。

本实施例中，隔离区中设置有用于存储外网服务器上传的数据的外网数据库和用于存储内网客户端上传的数据的内网数据库，该外网数据库和内网数据库与其来源标识相对应。在访问类型标识为存储访问标识的情况下，内网服务器根据其数据访问请求中的来源标识，将该数据访问请求中携带的待存储数据分别存储在外网数据库和内网数据库中，以实现对不同原始来源上传的待存储数据进行分别存储，以实现外网数据和内网数据的安全隔离。具体地，若数据访问请求中携带有外网标识这一来源标识时，将待存储数据存储在外网数据库中；若数据访问请求中不携带有外网标识这一来源标识时，将待存储数据存储在内网数据库中，以实现外网数据与内网数据的安全隔离。

在一实施例中，在判断数据格式是否与格式标识相对应的步骤之后，数据安全访问方法还包括如下步骤：

S206：若数据格式与格式标识相对应，则将原始数据作为目标数据，将目标数据发送给负载均衡设备，以使负载均衡设备将目标数据转发给原始终端。

本实施例中，若原始数据的数据格式与数据访问请求中的格式标识相对应，则说明本次数据访问请求所需获取的原始数据符合其所需数据的格式标识，是满足某一智能识别模型训练所需的数据格式，可以将该原始数据作为本次数据访问请求的目标数据，将该目标数据发送给负载均衡设备，以使负载均衡设备将目标数据发送给原始终端，以使原始终端获取其所需的目标数据，达到数据访问目的，以保证原始终端获取的目标数据的数据格式满足特定需求，如训练某一智能识别模型的需求。该原始终端是指触发通过负载均衡设备发送本次数据访问请求给内网服务器的终端，于本实施例中，可以为内网客户端或者外网服务器。

在一实施例中，如图3所示，在通过隔离区的预留接口，获取负载均衡设备发送的数据访问请求的步骤之前，数据安全访问方法还包括：

S301：获取内网客户端发送的信息配置请求，信息配置请求包括信息配置类型。

其中，信息配置请求是用于配置可访问设置在隔离区的内网服务器的请求。信息配置类型用于限定本次信息配置请求所需要配置的信息的类型。本实施例中，该信息配置类型包括外网配置和格式配置，其中，外网配置是用于配置可访问内网服务器的外网服务器，为外网服务器访问内网服务器提供技术支持，也对外网服务器的访问进行限制，从而保证数据安全。格式配置是用于配置设置在隔离区中的格式转换工具的格式转换信息，为后续通过隔离区的格式转换工具对数据进行格式转换提供技术支持。

具体地，用户可通过内网客户端向内网服务器发送该信息配置请求，以使内网服务器可获取该信息配置请求，从而进行信息配置。由于内网服务器中设置有防火墙，用于拦截外网客户端的访问，因此，信息配置过程只能通过内网客户端给内网服务器发送该信息配置请求，以实现信息配置。该内网服务器与内网客户端处于同一内网IP对应的内部网络下。

S302：基于信息配置类型，使内网客户端进入与信息配置类型相对应的信息配置界面。

信息配置界面是用于实现信息配置的界面。由于外网配置和格式配置所需配置的信息不同，使得内网服务器可基于信息配置类型的不同，使内网客户端进入与信息配置类型相对应的信息配置界面。该信息配置界面上可视化显示多个信息配置输入框，用户可在相应的信息配置输入框中输入相关参数，即可完成信息配置过程。

S303：若信息配置类型为外网配置，则获取内网客户端基于信息配置界面采集到的外网服务器的端口和IP地址，基于端口和IP地址，完成外网服务器与内网服务器的通信配置。

具体地，若信息配置类型为外网配置，则内网客户端显示的信息配置界面上需显示外网端口和IP地址的输入框，以便用户在该输入框分别输入需配置可访问内网服务器的外网服务器的端口和IP地址，并点击提交按钮，即可使内网服务器获取内网客户端基于信息配置界面采集到的外网服务器的端口和IP地址，以便基于该基于端口和IP地址，完成外网服务器与内网服务器的通信配置，使得该端口和IP地址对应的外网服务器可以访问内网服务器，并实现数据交换。

其中，软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O(基本输入输出)缓冲区。任何TCP/IP实现所提供的服务都是1-1023之间的端口号，这些端口号由IANA分配管理。其中，低于255的端口号保留用于公共应用；255到1023的端口号分配给各个公司，用于特殊应用；对于高于1023的端口号，称为临时端口号，IANA未做规定。HTTP 80，FTP 20/21，Telnet 23，SMTP25，DNS 53等。IP地址是指互联网协议地址(英语：Internet Protocol Address，又译为网际协议地址)，是IP Address的缩写。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

本实施例中，通过预先配置与内网服务器相连的外网服务器的端口和IP地址，为内网服务器与外网服务器通过相互通信相应提供技术基础，即若没有预先配置外网服务器的端口和IP地址的过程，就无法实现外网服务器和内网服务器相互访问的过程。而且，内网服务器设置在隔离区，该隔离区中预先设置有可接收HTTP请求的预留接口，该预留接口可接收经过外网配置确定的端口和IP地址对应的外网服务器发送的数据访问请求，从而为内网服务器可接收内网客户端或外网服务器通过负载均衡设备转发的数据访问请求提供技术支持，使设置在隔离区的内网服务器可同时满足内网访问和外网访问的需求。

S304：若信息配置类型为格式配置，则获取内网客户端基于信息配置界面采集到的格式转换工具的格式转换信息，基于格式转换信息，完成格式转换工具的格式配置。

具体地，若信息配置类型为格式配置，则内网客户端显示的信息配置界面上显示有需要进行格式转换的格式转换信息的输入框，具体包括转换函数标识对应的输入框、数据格式对应的输入框、格式标识的输入框和转换函数导入按钮。用户可通过点击该转换函数导入按钮导入可实现格式转换功能的转换函数，然后分别在对应的输入框中输入转换函数标识、数据格式和格式标识等信息，基于格式转换信息，完成格式转换工具的格式配置。在格式配置过程中，可配置f1这一转换函数标识，代表将arm这一数据格式转换成wav这一格式标识对应的格式转换信息；配置f2这一转换函数标识，代表将MP3这一数据格式转换成wav这一格式标识对应的格式转换信息等。在格式转换工具的格式配置过程中，提供不同的转换函数，每一种转换函数对应一转换函数标识，后续可根据该转换函数标识调用相应的转换函数进行格式转换。

本实施例所提供的数据安全访问方法中，通过预先配置与内网服务器相连的外网服务器的端口和IP地址，以使隔离区的预留接口可接收该端口和IP地址对应的外网服务器发送的数据访问请求，为内网服务器与外网服务器通过相互通信相应提供技术基础，即若没有预先配置外网服务器的端口和IP地址的过程，就无法实现外网服务器和内网服务器相互访问的过程。通过预先配置格式转换工具的格式转换信息，以便后续基于该格式转换信息，使得设置在隔离区的格式转换工具可根据该格式转换信息进行格式转换，以提高获取特定格式的数据的效率。

在一实施例中，如图4所示，该数据安全访问方法，包括外网服务器执行的如下步骤：

S401：获取外网客户端基于HTTPS协议发送的原始访问请求，原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识。

其中，原始访问请求是外网客户端给外网服务器发送的访问请求，该原始访问请求为HTTPS请求，以保证网络安全。HTTPS请求是具有安全性的SSL(Security SocketLayer)加密传输协议，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。目标URL是指本次原始访问请求最终要访问的网站的URL。本实施例中，目标URL可以为内网URL和外网URL，该内网URL具体为内网服务器所在的网站对应的URL，而外网URL为外网服务器所在的网站对应的URL。

终端标识是用于唯一识别某一客户端的标识(即APP_ID)。原始令牌是本次原始访问请求所携带的令牌(即APP_TOKEN)，是外网服务器生成了一串字符串，作为外网客户端请求的一个标识。当用户第一次通过外网客户端登录外网服务器后，基于用户名和密码进行身份验证后，外网服务器会生成一个令牌(即APP_TOKEN)，并反馈给外网客户端，以使外网客户端在后续的访问过程中携带这个令牌(即APP_TOKEN)即可进行访问，无需再次携带用户名和密码，以提高访问效率。简单的TOKEN是基于UID(用户唯一的身份标识)、TIME(当前时间的时间戳)和SIGN(签名，即TOKEN的前几位以哈希算法压缩成的一定长度的十六进制字符串,为防止token泄露)组成。

本实施例中，外网客户端基于HTTPS协议将原始访问请求发送给外网服务器，并且每一原始访问请求中携带有唯一的终端标识(即APP_ID)和原始令牌(APP_TOKEN)，以实现基于HTTPS+TOKEN的形式保证数据访问安全。

进一步地，外网服务器可获取经过与其相连的负载均衡设备转发的原始访问请求，使得每一外网服务器负载均衡，可保证每一外网服务器可接收相对均衡的访问量，保证外网服务器的正常工作。

S402：若目标URL为内网URL，则基于终端标识和原始令牌进行身份验证，在身份验证通过时，获取单位时间内终端标识对应的请求量。

单位时间是外网服务器预先设置的时间。具体地，若目标URL为内网URL，即外网服务器识别到原始访问请求中的目标URL指向访问内网服务器时，需基于该原始访问请求中的终端标识和原始令牌进行身份验证，以确定该原始访问请求是否为合法用户访问。在身份验证过程中，需验证该原始令牌是否与预先在外网服务器中生成并存储在外网服务器上的与该终端标识相对应的令牌相对应；若相对应，则身份验证通过；若不对应，则身份验证不通过，给外网客户端返回提醒信息。本实施例中，外网服务器在身份验证通过时，获取单位时间内该终端标识对应外网客户端发送的原始访问请求的请求量，即获取单位时间内，该终端标识对应的原始访问请求的数量，以便分析该原始访问请求是否属于暴力攻击引起的请求，从而保障数据访问安全。

S403：若请求量不大于预设阈值，则生成外网标识，基于外网标识、访问类型标识、数据标识和格式标识生成数据访问请求。

其中，预设阈值是外网服务器预先设置的阈值。具体地，若该终端标识对应的请求量大于预设阈值，则说明该原始访问请求可能为暴力攻击引起的请求，为了保障外网服务器和内网服务器的数据安全，外网服务器给外网客户端发送安全提示信息，以提示用户在预设时间内(如1周)禁止该终端标识对应的外网客户端访问目标URL对应的内网服务器，以保障数据安全。

相应地，若终端标识对应的请求量不大于预设阈值，则说明该原始访问请求为暴力攻击引起的请求的可能性极小，由于该原始访问请求是基于HTTPS+TOKEN进行加密和验证后的请求，比较安全，因此，可将该原始访问请求发送给内网服务器，以便访问内网服务器。为了区分访问内网服务器的请求来源，外网服务器在身份验证通过并且终端标识对应的请求量不大于预设阈值时，生成外网标识，并基于该外网标识、访问类型标识、数据标识和格式标识生成数据访问请求，该数据访问请求为HTTP请求，具体为上述实施例中的S201提及的数据访问请求。

本实施例中，外网服务器预先设置外网标识生成程序，该外网标识生成程序用于在身份验证通过且终端标识对应的请求量不大于预设阈值时，触发该外网标识生成程序获取到外网标识，以便基于该外网标识获取相应的数据访问请求。

S404：将数据访问请求通过负载均衡设备发送给目标URL对应的内网服务器，并将负载均衡设备返回的目标数据发送给外网客户端。

本实施例中，外网服务器将获取到的数据访问请求发送给与内网服务器相连的负载均衡设备，以使负载均衡设备将该数据访问请求发送给内网服务器，实现内网服务器的负载均衡。可以理解地，在外网服务器将该数据访问请求通过负载均衡设备发送给目标URL对应的内网服务器时，内网服务器执行上述实施例中步骤S201-S206的步骤，获取相应的目标数据，将目标数据通过负载均衡设备发送给外网服务器，以使外网服务器将该目标数据发送给外网客户端。

本实施例所提供的数据安全访问方法中，外网服务器在获取到外网客户端基于HTTPS协议发送的原始访问请求，由于HTTPS协议是基于SSL(Security Socket Layer)加密传输的协议，使其具有一定的安全性。然后，在原始访问请求中的目标URL为外网URL时，需先基于终端标识和原始令牌进行身份验证；并将该终端标识对应的请求量与预设阈值进行比较，以确定是否为暴力攻击；只有在身份验证通过且请求量不大于预设阈值，则认定该原始访问请求可以访问内网服务器，从而保证内网服务器中数据的安全性。此外，在在身份验证通过且请求量不大于预设阈值时，外网服务器生成外网标识，基于该外网标识、访问类型标识、数据标识和格式标识生成数据访问请求，以使该数据访问请求区别于通过内网客户端发送给的数据访问请求。最后，外网服务器通过与内网服务器相连的负载均衡设备将该数据访问请求发送给内网服务器，并获取内网服务器返回的目标数据，以实现外网客户端访问内网服务器，并保障数据访问安全。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

在一实施例中，提供一种数据安全访问装置，该数据安全访问装置与上述实施例中数据安全访问方法一一对应。如图5所示，该数据安全访问装置具体为设置在隔离区的内网服务器，具体包括包括数据访问请求获取模块501、读取访问处理模块502、数据格式判断模块503、第一目标数据获取模块504、存储访问处理模块505和第二目标数据获取模块506。各功能模块详细说明如下：

数据访问请求获取模块501，用于通过隔离区的预留接口，获取负载均衡设备发送的数据访问请求，数据访问请求包括来源标识、访问类型标识、数据标识和格式标识。

读取访问处理模块502，用于若访问类型标识为读取访问标识，则依据来源标识，确定设置在隔离区的目标数据库，并从目标数据库中获取与数据标识相对应的原始数据。

数据格式判断模块503，用于获取原始数据的数据格式，判断数据格式是否与格式标识相对应。

第一目标数据获取模块504，用于若数据格式与格式标识不对应，则采用设置在隔离区的格式转换工具对原始数据进行格式转换，获取与格式标识相对应的目标数据，将目标数据发送给负载均衡设备，以使负载均衡设备将目标数据转发给原始终端。

优选地，数据安全访问装置还包括存储访问处理模块505，用于若访问类型标识为存储访问标识，则将数据访问请求中携带的待存储数据，存储在设置在隔离区中的与来源标识相对应的存储数据库中。

优选地，数据安全访问装置还包括第二目标数据获取模块506，用于若数据格式与格式标识相对应，则将原始数据作为目标数据，将目标数据发送给负载均衡设备，以使负载均衡设备将目标数据转发给原始终端。

优选地，读取访问处理模块502包括第一目标数据库获取单元和第二目标数据库获取单元。

第一目标数据库获取单元，用于若来源标识为外网标识，则将设置在隔离区的外网数据库确定为目标数据库。

第二目标数据库获取单元，用于若来源标识为内网标识，则将设置在隔离区的内网数据库和外网数据库确定为目标数据库。

优选地，数据安全访问装置还包括信息配置请求获取单元、信息配置界面进入单元、外网配置处理单元和格式配置处理单元。

信息配置请求获取单元，用于获取内网客户端发送的信息配置请求，信息配置请求包括信息配置类型。

信息配置界面进入单元，用于基于信息配置类型，使内网客户端进入与信息配置类型相对应的信息配置界面。

外网配置处理单元，用于若信息配置类型为外网配置，则获取内网客户端基于信息配置界面采集到的外网服务器的端口和IP地址，基于端口和IP地址，完成外网服务器与内网服务器的通信配置。

格式配置处理单元，用于若信息配置类型为格式配置，则获取内网客户端基于信息配置界面采集到的格式转换工具的格式转换信息，基于格式转换信息，完成格式转换工具的格式配置。

在一实施例中，提供一种数据安全访问装置，该数据安全访问装置与上述实施例中数据安全访问方法一一对应。如图6所示，该数据安全访问装置具体为外网服务器，具体包括原始访问请求获取模块601、身份验证处理模块602、数据访问请求生成模块603和外网访问处理模块604。各功能模块详细说明如下：

原始访问请求获取模块601，用于获取外网客户端基于HTTPS协议发送的原始访问请求，原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识。

身份验证处理模块602，用于若目标URL为内网URL，则基于终端标识和原始令牌进行身份验证，在身份验证通过时，获取单位时间内终端标识对应的请求量。

数据访问请求生成模块603，用于若请求量不大于预设阈值，则生成外网标识，基于外网标识、访问类型标识、数据标识和格式标识生成数据访问请求。

外网访问处理模块604，用于将数据访问请求通过负载均衡设备发送给目标URL对应的内网服务器，并将负载均衡设备返回的目标数据发送给外网客户端。

关于数据安全访问装置的具体限定可以参见上文中对于数据安全访问方法的限定，在此不再赘述。上述数据安全访问装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于处理器执行计算机程序以实现该数据安全访问方法过程生成的数据，如目标数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据安全访问方法。

在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述实施例中数据安全访问方法的步骤，例如图2所示的步骤S201-S206，或者图3至图4中所示的步骤。或者，处理器执行计算机程序时实现数据安全访问装置这一实施例中的各模块/单元的功能，例如图5所示的数据访问请求获取模块501、读取访问处理模块502、数据格式判断模块503、第一目标数据获取模块504、存储访问处理模块505和第二目标数据获取模块50的功能，或者图6所示的原始访问请求获取模块601、身份验证处理模块602、数据访问请求生成模块603和外网访问处理模块604的功能。为避免重复，这里不再赘述。

在一实施例中，提供一计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中数据安全访问方法的步骤，例如图2所示的步骤S201-S206，或者图3至图4中所示的步骤，为避免重复，这里不再赘述。或者，该计算机程序被处理器执行时实现上述数据安全访问装置这一实施例中的各模块/单元的功能，例如图5所示的数据访问请求获取模块501、读取访问处理模块502、数据格式判断模块503、第一目标数据获取模块504、存储访问处理模块505和第二目标数据获取模块50的功能，或者图6所示的原始访问请求获取模块601、身份验证处理模块602、数据访问请求生成模块603和外网访问处理模块604的功能。为避免重复，这里不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims (10)

1.一种数据安全访问方法，其特征在于，包括设置在隔离区的内网服务器执行的如下步骤：

通过所述隔离区的预留接口，获取负载均衡设备发送的数据访问请求，所述数据访问请求包括来源标识、访问类型标识、数据标识和格式标识；

若所述访问类型标识为读取访问标识，则依据所述来源标识，确定设置在所述隔离区的目标数据库，并从所述目标数据库中获取与所述数据标识相对应的原始数据；

获取所述原始数据的数据格式，判断所述数据格式是否与所述格式标识相对应；

若所述数据格式与所述格式标识不对应，则采用设置在所述隔离区的格式转换工具对所述原始数据进行格式转换，获取与所述格式标识相对应的目标数据，将所述目标数据发送给所述负载均衡设备，以使所述负载均衡设备将所述目标数据转发给原始终端。

2.如权利要求1所述的数据安全访问方法，其特征在于，在所述获取负载均衡设备发送的数据访问请求的步骤之后，所述数据安全访问方法还包括如下步骤：

若所述访问类型标识为存储访问标识，则将所述数据访问请求中携带的待存储数据，存储在设置在所述隔离区中的与所述来源标识相对应的存储数据库中。

3.如权利要求1所述的数据安全访问方法，其特征在于，在所述判断所述数据格式是否与所述格式标识相对应的步骤之后，所述数据安全访问方法还包括如下步骤：

若所述数据格式与所述格式标识相对应，则将所述原始数据作为目标数据，将所述目标数据发送给所述负载均衡设备，以使所述负载均衡设备将所述目标数据转发给原始终端。

4.如权利要求1所述的数据安全访问方法，其特征在于，所述依据所述来源标识，确定设置在所述隔离区的目标数据库，包括：

若所述来源标识为外网标识，则将设置在所述隔离区的外网数据库确定为目标数据库；

若所述来源标识为内网标识，则将设置在所述隔离区的内网数据库和外网数据库确定为目标数据库。

5.如权利要求1所述的数据安全访问方法，其特征在于，在所述通过所述隔离区的预留接口，获取负载均衡设备发送的数据访问请求的步骤之前，所述数据安全访问方法还包括：

获取内网客户端发送的信息配置请求，所述信息配置请求包括信息配置类型；

基于所述信息配置类型，使所述内网客户端进入与所述信息配置类型相对应的信息配置界面；

若所述信息配置类型为外网配置，则获取所述内网客户端基于所述信息配置界面采集到的外网服务器的端口和IP地址，基于所述端口和所述IP地址，完成所述外网服务器与所述内网服务器的通信配置；

若所述信息配置类型为格式配置，则获取所述内网客户端基于所述信息配置界面采集到的格式转换工具的格式转换信息，基于所述格式转换信息，完成所述格式转换工具的格式配置。

6.一种数据安全访问方法，其特征在于，包括外网服务器执行的如下步骤：

获取外网客户端基于HTTPS协议发送的原始访问请求，所述原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识；

若所述目标URL为内网URL，则基于所述终端标识和所述原始令牌进行身份验证，在身份验证通过时，获取单位时间内所述终端标识对应的请求量；

若所述请求量不大于预设阈值，则生成外网标识，基于所述外网标识、所述访问类型标识、所述数据标识和所述格式标识生成数据访问请求；

将所述数据访问请求通过负载均衡设备发送给所述目标URL对应的内网服务器，并将所述负载均衡设备返回的目标数据发送给所述外网客户端。

7.一种数据安全访问装置，其特征在于，包括：

数据访问请求获取模块，用于通过所述隔离区的预留接口，获取负载均衡设备发送的数据访问请求，所述数据访问请求包括来源标识、访问类型标识、数据标识和格式标识；

读取访问处理模块，用于若所述访问类型标识为读取访问标识，则依据所述来源标识，确定设置在所述隔离区的目标数据库，并从所述目标数据库中获取与所述数据标识相对应的原始数据；

数据格式判断模块，用于获取所述原始数据的数据格式，判断所述数据格式是否与所述格式标识相对应；

第一目标数据获取模块，用于若所述数据格式与所述格式标识不对应，则采用设置在所述隔离区的格式转换工具对所述原始数据进行格式转换，获取与所述格式标识相对应的目标数据，将所述目标数据发送给所述负载均衡设备，以使所述负载均衡设备将所述目标数据转发给原始终端。

8.一种数据安全访问装置，其特征在于，包括：

原始访问请求获取模块，用于获取外网客户端基于HTTPS协议发送的原始访问请求，所述原始访问请求包括目标URL、终端标识、原始令牌、访问类型标识、数据标识和格式标识；

身份验证处理模块，用于若所述目标URL为内网URL，则基于所述终端标识和所述原始令牌进行身份验证，在身份验证通过时，获取单位时间内所述终端标识对应的请求量；

数据访问请求生成模块，用于若所述请求量不大于预设阈值，则生成外网标识，基于所述外网标识、所述访问类型标识、所述数据标识和所述格式标识生成数据访问请求；

外网访问处理模块，用于将所述数据访问请求通过负载均衡设备发送给所述目标URL对应的内网服务器，并将所述负载均衡设备返回的目标数据发送给所述外网客户端。

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述数据安全访问方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述数据安全访问方法的步骤。