CN109726593A - 一种数据沙盒的实现方法及装置 - Google Patents

一种数据沙盒的实现方法及装置 Download PDF

Info

Publication number
CN109726593A
CN109726593A CN201811650123.4A CN201811650123A CN109726593A CN 109726593 A CN109726593 A CN 109726593A CN 201811650123 A CN201811650123 A CN 201811650123A CN 109726593 A CN109726593 A CN 109726593A
Authority
CN
China
Prior art keywords
data
service
agent
sandbox
acquisition request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811650123.4A
Other languages
English (en)
Other versions
CN109726593B (zh
Inventor
张惠亮
刘胜
吴锋海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Union Mobile Pay Co Ltd
Original Assignee
Union Mobile Pay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Union Mobile Pay Co Ltd filed Critical Union Mobile Pay Co Ltd
Priority to CN201811650123.4A priority Critical patent/CN109726593B/zh
Publication of CN109726593A publication Critical patent/CN109726593A/zh
Application granted granted Critical
Publication of CN109726593B publication Critical patent/CN109726593B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例提供一种数据沙盒的实现方法及装置,应用于部署在代理商网络中的数据沙盒,数据沙盒与代理商内网服务器、数据源外网服务器均具有网络连接,该方法包括:通过数据源的前置服务接收数据服务请求,该数据服务请求中包括用户请求的服务类型,若执行服务类型对应的数据处理需要从数据源获取数据,使用加密传输协议向数据源外网服务器发送第一数据获取请求,并将数据源外网服务器返回的数据输入数据代理服务进行数据处理。如此,在数据处理需要从数据源获取数据时,数据代理服务可以直接从数据源获取到需要的数据,从而有效降低业务复杂度和业务风险,避免代理商直接从数据源获取数据所可能导致的法律合规问题。

Description

一种数据沙盒的实现方法及装置
技术领域
本申请涉及计算机技术及数据处理技术领域,尤其涉及一种数据沙盒的实现方法及装置。
背景技术
随着大数据技术的蓬勃发展,很多企业都知道数据对于提升自身业务带来的巨大推动作用。因此,数据源企业在满足法律规定的条件下,会给社会上的终端商户提供与终端商的客户有关的各种服务,以满足终端商户和他们的客户的各种需求。
数据源企业为了增加收益,一般会在直营方式之外,采用代理的方式扩大业务范围。现有技术中,代理商的系统一般直接接入数据源企业的查询接口,终端商户通过访问代理商的接口间接访问数据源企业的接口,获取与他们的客户有关的数据信息,进而执行相关的业务。由于数据源对外提供终端商户的客户的数据时,需要取得客户的授权,而实际应用中终端商户的客户一般会授权终端商户从数据源企业直接获取自己的相关信息,但是不太会授权代理商从数据源企业获取自己相关信息然后再发送给终端商户,因此,代理商直接访问数据源企业的数据面临很多业务推广的法律合规问题。
发明内容
本申请实施例提供一种数据沙盒的实现方法及装置,用以解决代理商无法取得获取数据源数据的授权而无法提供数据代理服务的问题。
第一方面,本申请实施例提供一种数据沙盒的实现方法,该方法应用于部署在代理商网络中的数据沙盒,所述数据沙盒与代理商内网服务器、数据源外网服务器均具有网络连接,且所述数据沙盒中运行有数据源的前置服务和代理商的数据代理服务,所述方法包括:
通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型;
若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求;
接收所述数据源外网服务器根据所述第一数据获取请求发送的数据,将得到的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理只需要从代理商获取数据,所述方法还包括:
通过所述前置服务进行数据校验后,向所述代理内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
将所述加密数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理需要从数据源获取数据,同时还需要从代理商获取数据,所述方法还包括:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
将所述数据源外网服务器根据所述第一数据获取请求发送的数据和所述加密数据一起输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,所述方法还包括:
通过所述前置服务对所述数据处理结果进行校验,若所述数据处理结果符合所述服务类型对应的结果校验规则,则将所述数据处理结果发送给用户。
可选地,所述通过前置服务接收所述数据服务请求之后,还包括:
将所述数据服务请求发送至所述数据代理服务,以通过所述数据代理服务确定执行所述服务类型对应的数据处理需要从代理商获取数据还是从数据源获取数据;
所述发送第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据,包括:
通过所述前置服务发送所述第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据。
可选地,所述数据沙盒被配置为只能上传数据或文件,不能下载数据或文件。
可选地,所述数据源网络中还部署有堡垒机,所述堡垒机用于对登录所述数据沙盒执行的命令操作进行记录和审计。
第二方面,本申请实施例提供一种数据沙盒的实现装置,该装置部署在代理商网络中,所述装置与代理商内网服务器、数据源外网服务器均具有网络连接,且所述装置中运行有数据源的前置服务和代理商的数据代理服务,该装置包括:
收发模块,用于通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型;
所述收发模块,还用于若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求;以及接收所述数据源外网服务器根据所述第一数据获取请求发送的数据;
处理模块,用于将得到的所述数据源外网服务器根据所述第一数据获取请求发送的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理只需要从代理商获取数据,所述收发模块还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块还用于:
将所述加密数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理需要从数据源获取数据,同时还需要从代理商获取数据,所述收发模块还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块还用于:
将所述数据源外网服务器根据所述第一数据获取请求发送的数据和所述加密数据一起输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,所述处理模块还用于:
通过所述前置服务对所述数据处理结果进行校验;
所述收发模块还用于:
若所述数据处理结果符合所述服务类型对应的结果校验规则,则将所述数据处理结果发送给用户。
可选地,所述收发模块通过前置服务接收所述数据服务请求之后,还于:
将所述数据服务请求发送至所述数据代理服务,以通过所述数据代理服务确定执行所述服务类型对应的数据处理需要从代理商还是数据源获取数据;
通过所述前置服务发送所述第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据。
可选地,所述装置被配置为只能上传数据或文件,不能下载数据或文件。
可选地,所述数据源网络中还部署有堡垒机,所述堡垒机用于对登录所述数据沙盒执行的命令操作进行记录和审计。
第二方面,本申请实施例提供一种计算机可读存储介质,所述计算机存储介质中存储有计算机可读指令,当计算机读取并执行所述计算机可读指令时,使得计算机执行上述第一方面中任一种可能的设计中的方法、或执行上述第二方面中任一种可能的设计中的方法。
第四方面,本申请实施例提供一种计算机程序产品,当计算机读取并执行所述计算机程序产品时,使得计算机执行上述第一方面中任一种可能的设计中的方法、或执行上述第二方面中任一种可能的设计中的方法。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面所介绍的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例适用的一种系统架构图;
图2为本申请实施例提供的一种数据沙盒的实现方法的流程示意图;
图3为本申请实施例提供的数据沙盒的实现方法中需要从数据源获取数据时的流程示意图;
图4为本申请实施例提供的数据沙盒的实现方法中需要从数据源和代理商获取数据时的流程示意图;
图5为本申请实施例提供的一种数据沙盒的实现装置的结构示意图;
图6为本申请实施例提供的一种数据沙盒的实现装置的另一结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
请参阅图1所示,为本申请实施例适用的一种系统架构图。该系统中包括数据沙盒、代理商内网服务器、数据源外网服务器和用户。进一步地,该系统中还可包括位于数据沙盒之外的堡垒机、防火墙等网络设施(图1中暂未示出)。
数据沙盒,也称数据沙箱,是部署在代理商网络中的虚拟系统程序,它与代理商内网服务器、数据源外网服务器均具有网络连接。通过在代理商网络中部署堡垒机,数据沙盒可以被配置为只能上传数据或文件,但不能下载数据或文件。也就是说,数据沙盒内的所有数据都是封闭的,不能通过网页或者服务器访问的方式下载,从而有效确保数据沙盒内的数据安全。
具体的,数据沙盒中可以运行有数据源的前置服务和代理商的数据代理服务。数据源的前置服务可以是一台由数据源控制的前置服务器,其中包括用于执行不同功能的多个模块,或者数据源的前置服务也可以是多台由数据源控制的功能相互独立的前置服务器,本申请对此不做具体限制。在一种可能的设计中,可以为前置服务设置ROOT权限密码,该密码仅由数据源掌握,数据源可通过堡垒机登录,访问数据沙盒内的前置服务。
而数据代理服务可以是由代理商控制的黑盒服务器,用于执行代理商的业务处理逻辑,其对内封装了所有代理商业务处理的细节,对外保留与前置服务、数据源外网服务器等模块或设备交互的接口。一般来说,数据代理服务可执行多种类型的数据处理业务,其中每一类型的数据处理业务可通过一个服务类型来标识,而且数据代理服务中可存储各个服务类型与该服务类型对应的数据处理业务所需要的原始数据之间的对应关系。在一种可能的设计中,也可以为数据代理服务设置相应的ROOT密码,该密码仅由代理商掌握,代理商可通过堡垒机登录,访问数据沙盒内的数据代理服务。例如,可以对数据代理服务内的业务处理逻辑进行修改等操作。
数据源外网服务器,为数据源对外提供数据服务的服务器。由于数据沙盒部署在代理商网络环境中,数据源外网服务器只能远程地通过网络与数据沙盒通信,因此该服务器被称为“外网”服务器,也可称为数据源公网服务器。
代理商内网服务器,为代理商对外提供数据服务和数据代理服务的服务器,由于数据沙盒部署在代理商网络环境中,因此该服务器被称为“内网”服务器。
用户,代表使用代理商提供的数据代理服务的终端商户,该终端商户可以是企业用户也可以是个人用户,本申请对此不作具体限定。终端商户可通过各种类型的终端设备(如智能手机、平板电脑、个人计算机、笔记本型计算机等)与数据沙盒建立网络连接,与数据沙盒进行通信。例如,某一商户可以通过在个人计算机上运行的浏览器应用程序或客户端应用程序访问数据沙盒,获取需要的数据和信息。
堡垒机,设置在数据沙盒的外部,可以对数据沙盒中执行的所有命令操作进行记录和审计,对登录前置服务或数据代理服务进行的数据上传和下载进行权限管理,以确保数据沙盒内的数据安全。
请参阅图2所示,为本申请实施例提供的一种数据沙盒的实现方法,该方法可由在代理商网络中部署的数据沙盒来执行。如图2所示,该方法包括如下步骤:
步骤S201:通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型。
步骤S202:若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求。
步骤S203:接收所述数据源外网服务器根据所述第一数据获取请求发送的数据,将得到的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
由此可知,考虑到实际应用中终端商户的客户一般会授权终端商户从数据源企业直接获取自己的相关信息,但是不太会授权代理商从数据源企业获取自己相关信息然后再发送给终端商户。鉴于此,本申请实施例中,数据沙盒可通过由数据源控制的前置服务接收用户的数据服务请求,然后再将数据服务请求发送给运行在数据沙盒内的数据代理服务。在用户请求的数据处理需要从数据源获取数据时,数据代理服务可以直接从数据源获取到所需要的数据,而不需要由代理商去获取数据源的数据后再输入到数据代理服务中,如此,终端商户只需要获得客户允许从数据源获取数据的授权即可,从而有效降低业务复杂度和业务风险,避免代理商直接从数据源获取数据所可能导致的法律合规问题。
本申请实施例中,数据沙盒在和数据源外网服务器进行通信时,还可使用加密传输协议,例如超文本传输安全协议(hypertext transfer protocol secure,HTTPS)来传输上述第一数据获取请求和数据源外网服务器根据该第一数据获取请求返回的数据,从而进一步地提高数据安全性,避免数据传输过程中的数据泄露,确保数据源的数据安全。
在一种可能的设计中,第一数据获取请求中可包括执行用户请求的数据处理所需要的数据类型,以告知数据源外网服务器执行用户请求的数据处理需要其提供哪些的原始数据,如此,数据源外网服务器在接收到该第一数据获取请求后,可将请求的数据发送给数据沙盒。在另一种可能的设计中,第一数据获取请求中也可以包括用户请求的服务类型,相应地,在数据源外网服务器中可存储有数据代理服务对外提供的各种服务类型,以及每种服务类型对应的数据处理过程所需要的原始数据之间的对应关系,如此,数据源外网服务器在接收到该第一数据获取请求后,可根据第一数据获取请求中携带的服务类型,判断出需要提供哪些数据,然后将请求的数据发送给数据沙盒。或者,在其它设计中,第一数据获取请求中可以同时包括用户请求的服务类型和执行该服务类型的数据处理过程需要的数据类型,以便数据源外网服务器校验该第一数据获取请求是否合法,然后再执行发送数据的操作。
在执行用户请求的数据处理只需要从代理商获取数据时,如图3中步骤S301至步骤S307中所示,数据沙盒可在通过前置服务进行数据校验后,向代理商内网服务器发送第二数据获取请求,接收代理商内网服务器根据该第二数据获取请求发送的加密数据,然后在将得到的加密数据输入到数据代理服务进行数据处理,得到数据处理结果。
同第一数据获取请求类似,第二数据获取请求同样具有上述三种可行的设计方式,相应地,代理商内网服务器中也可存储有各个数据代理服务对外提供的各种服务类型,以及每种服务类型对应的数据处理过程中所需要的原始数据之间的对应关系,为了简洁,这里不再赘述。
在执行用户请求的数据处理需要从代理商获取数据时,一方面,数据沙盒向代理商内网服务器发送第一数据获取请求前,可通过由数据源控制的前置服务进行数据校验,从而可确保不会将数据沙盒内数据源的数据泄露给代理商内网服务器,有效提高数据源的数据安全性;另一方面,数据沙盒可接收代理商内网服务器根据第一数据获取请求发送的加密数据,从而可确保数据沙盒内由数据源控制的前置服务不会获取到代理商的明文数据,有效提高代理商的数据安全性。如此,采用本申请实施例提供的技术方案,尽管数据沙盒内既存在数据源的数据,也存在代理商的数据,但是其中一方的数据都不会泄露给另一方,从而可有效确保双方数据的价值,降低数据泄露的风险。
进一步地,考虑到数据沙盒部署在代理商网络中,数据沙盒在和代理商内网服务进行通信时,传输过程本身是安全的,因此可以使用加密传输协议,也可以使用不加密的传输协议,本申请实施例中对此不作具体限定。
在执行用户请求的数据处理需要从数据源和代理商都获取数据时,如图4中步骤S401至步骤S407中所示,数据沙盒可以分别向数据源外网服务器发送第一数据获取请求,向代理商内网服务器发送第二数据获取请求。然后,分别接收数据源外网服务器根据第一数据获取请求发送的数据,以及代理商内网服务器根据第二数据获取请求发送的加密数据。进而,将这两部分数据输入到数据代理服务中进行数据处理,得到数据处理结果。
需要注意的是,在这一场景下,数据沙盒和数据源外网服务器之间进行通信时则需使用加密传输协议传输上述第一数据获取请求和数据源外网服务器根据该第一数据获取请求返回的数据,以确保远程传输的数据安全。数据沙盒向代理商内网服务器发送第二数据获取请求之前,需要通过数据沙盒中由数据源控制的前置服务的数据校验,以避免将数据沙盒内的数据源的数据泄露给代理商内网服务器,以提高数据源的数据安全性。但本申请实施例对数据沙盒与代理商内网服务器之间通信时是否使用加密传输协议不作具体限制。应理解,数据沙盒可以同时发送该第一数据获取请求和第二数据获取请求,也可以先发送其中一个数据获取请求再发送另一个数据获取请求,本申请实施例对此不做具体限定。
通过上述内容可知,本申请实施例中的数据沙盒可以从数据源和代理商分别获取数据,然后将两部分数据进行数据融合,再进行数据处理。在这一过程中,数据沙盒可在保护数据源和代理商各自数据隐私的前提下,将二者数据的融合在一起进行数据合作建模,从而使得数据沙盒内可支持更加多样化、更有针对性的数据代理服务,满足用户的数据需求,提高用户体验,增加数据源数据的价值,提升数据源的收益。
本申请实施例中,在数据代理服务得出数据处理结果之后,数据沙盒还可通过前置服务对数据处理结果进行校验,若数据处理结果符合用户请求的服务类型对应的结果校验规则,然后再将数据处理结果发送给用户,从而有效提高用户体验。
下面以数据沙盒内的前置服务为三台独立的前置服务器为例来详细说明本申请中的技术方案。
结合图1所示的数据沙盒的结构,该数据沙盒内包括三台由数据源控制的前置服务器,分别称为前置服务器1、前置服务器2和前置服务器3。其中,前置服务器1一端与用户的终端设备具有网络连接,另一端与数据沙盒内的数据代理服务具有网络连接,所有用户都只能先访问数据沙盒内的前置服务器1。也就是说,数据沙盒可通过前置服务器1接收用户发送的数据服务请求,然后再将该数据服务请求转发给数据代理服务,以使数据代理服务根据该数据服务请求中携带的服务类型,确定执行用户请求的数据处理需要从代理商获取数据,还是从数据源获取数据,还是需要从代理商和数据源获取数据。在一种可能的设计中,前置服务器1可检查用户发送的数据服务请求是否有效,例如,前置服务器1可以检查数据服务请求的源IP地址是否为允许访问数据代理服务的IP地址,如果该源IP地址为允许访问数据代理服务的IP地址,则认为数据服务请求有效,否则为无效。若数据服务请求有效,前置服务器1再将数据服务请求转发至数据代理服务。
前置服务器2一端与数据代理服务具有网络连接,另一端与数据源外网服务器具有网络连接。数据代理服务接收到前置服务器1转发的数据服务请求后,若确定执行用户请求的数据处理需要从数据源获取数据,则数据代理服务可通过该前置服务器2将第一数据获取请求发送给数据源外网服务器,并接收数据源外网服务器根据该第一数据获取请求发送的数据,进行相应的数据处理,得到数据处理结果。其中,由于前置服务器2和代理商内网服务器之间通信是通过网络进行远程通信,因此传输过程采用HTTPS协议,以提升传输过程的数据安全。
前置服务器3一端与数据代理服务具有网络连接,另一端与代理商内网服务器具有网络连接。数据代理服务接收到前置服务器1转发的数据服务请求后,若确定执行用户请求的数据处理需要从代理商获取数据,则数据代理服务可经过前置服务器3的数据校验(也称数据过滤后),通过该前置服务器3向代理商内网服务器发送第二数据获取请求。前置服务器3将该第二数据获取请求发送给代理商内网服务器后,可接收代理商内网服务器根据第二数据获取请求发送的加密数据,然后再将接收到的加密数据发送给数据代理服务,以进行相应地数据处理,得到数据处理结果。其中,前置服务器3和代理商内网服务器之间通信时可采用HTTPS协议,也可以采用HTTP协议,本申请对此不作限制。
数据代理服务接收到前置服务器1转发的数据服务请求,若确定执行用户请求的数据处理需要从代理商和数据源两处获取数据时,可按照上述方法流程一边通过前置服务器2将第二数据获取请求发送给数据源外网服务器,另一边通过前置服务器3将第一数据获取请求发送给代理商内网服务器,然后数据代理服务可通过双方返回的数据和加密数据进行数据处理,得到数据处理结果。
最后,数据代理服务可通过前置服务器1将数据处理结果发送给用户,前置服务器1在接收到数据代理服务发送的数据处理结果后,可判断该数据处理结果是否符合用户请求该服务类型的数据处理对应的结果校验规则,若符合结果校验规则,则将数据处理结果发送给用户,若不符合结果校验规则,则说明数据处理过程出现了错误,可向数据代理结果返回错误信息。
基于同样的发明构思,本申请实施例还提供一种数据沙盒的实现装置,该装置部署在数据源网络中,它与数据源外网服务器、代理商内网服务器之间均具有网络连接,且该装置中运行有数据源的前置服务和代理商的数据代理服务。请参阅图5,为本申请实施例提供的数据沙盒的实现装置的结构示意图,该装置500包括收发模块510和处理模块520。
收发模块510,用于通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型;
所述收发模块510,还用于若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求;以及接收所述数据源外网服务器根据所述第一数据获取请求发送的数据;
处理模块520,用于将得到的所述数据源外网服务器根据所述第一数据获取请求发送的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理只需要从代理商获取数据,所述收发模块510还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块520还用于:
将所述加密数据输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,若执行所述服务类型对应的数据处理需要从数据源获取数据,同时还需要从代理商获取数据,所述收发模块510还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块520还用于:
将所述数据源外网服务器根据所述第一数据获取请求发送的数据和所述加密数据一起输入所述数据代理服务进行数据处理,得到数据处理结果。
可选地,所述处理模块520还用于:
通过所述前置服务对所述数据处理结果进行校验;
所述收发模块510还用于:
若所述数据处理结果符合所述服务类型对应的结果校验规则,则将所述数据处理结果发送给用户。
可选地,所述收发模块510通过前置服务接收所述数据服务请求之后,还于:
将所述数据服务请求发送至所述数据代理服务,以通过所述数据代理服务确定执行所述服务类型对应的数据处理需要从代理商还是数据源获取数据;
通过所述前置服务发送所述第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据。
可选地,所述装置被配置为只能上传数据或文件,不能下载数据或文件。
可选地,所述数据源网络中还部署有堡垒机,所述堡垒机用于对登录所述数据沙盒执行的命令操作进行记录和审计。
请参阅图6,为本申请实施例提供的数据沙盒的实现装置的另一结构示意图。如图6所示,该数据沙盒的实现装置600可以包括处理器610,存储器620、和通信接口630。可选地,该数据沙盒的实现装置600还可包括输入设备640、输出设备650和总线660。其中,处理器610、存储器620、通信接口630以及输入设备640、输出设备660通过总线650相互连接。存储器620用于存储程序指令或数据,处理器610用于调用存储器620中存储的程序指令,按照获得的程序执行上述任一种方法。
处理器可以包括中央处理器(center processing unit,CPU)或其他通用处理器,存储器可以包括只读存储器(ROM)和随机存取存储器(RAM)。其中,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
本申请实施例还提供一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一种方法。所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
本申请实施例还提供一种计算机程序产品,当计算机读取并执行所述计算机程序产品时,使得计算机执行上述任一种方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或两个以上其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或两个以上流程和/或方框图一个方框或两个以上方框中指定的功能的步骤。
尽管已描述了本发明的可选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (16)

1.一种数据沙盒的实现方法,其特征在于,所述方法应用于部署在代理商网络中的数据沙盒,所述数据沙盒与代理商内网服务器、数据源外网服务器均具有网络连接,且所述数据沙盒中运行有数据源的前置服务和代理商的数据代理服务,所述方法包括:
通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型;
若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求;
接收所述数据源外网服务器根据所述第一数据获取请求发送的数据,将得到的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
2.根据权利要求1所述的方法,其特征在于,若执行所述服务类型对应的数据处理只需要从代理商获取数据,所述方法还包括:
通过所述前置服务进行数据校验后,向所述代理内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
将所述加密数据输入所述数据代理服务进行数据处理,得到数据处理结果。
3.根据权利要求1所述的方法,其特征在于,若执行所述服务类型对应的数据处理需要从数据源获取数据,同时还需要从代理商获取数据,所述方法还包括:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
将所述数据源外网服务器根据所述第一数据获取请求发送的数据和所述加密数据一起输入所述数据代理服务进行数据处理,得到数据处理结果。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
通过所述前置服务对所述数据处理结果进行校验,若所述数据处理结果符合所述服务类型对应的结果校验规则,则将所述数据处理结果发送给用户。
5.根据权利要求4所述的方法,其特征在于,所述通过前置服务接收所述数据服务请求之后,还包括:
将所述数据服务请求发送至所述数据代理服务,以通过所述数据代理服务确定执行所述服务类型对应的数据处理需要从代理商获取数据还是从数据源获取数据;
所述发送第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据,包括:
通过所述前置服务发送所述第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据。
6.根据权利要求5所述的方法,其特征在于,所述数据沙盒被配置为只能上传数据或文件,不能下载数据或文件。
7.根据权利要求5所述的方法,其特征在于,所述数据源网络中还部署有堡垒机,所述堡垒机用于对登录所述数据沙盒执行的命令操作进行记录和审计。
8.一种数据沙盒的实现装置,其特征在于,所述装置部署在代理商网络中,所述装置与代理商内网服务器、数据源外网服务器均具有网络连接,且所述装置中运行有数据源的前置服务和代理商的数据代理服务,所述装置包括:
收发模块,用于通过所述前置服务接收用户发送的数据服务请求,所述数据服务请求中包括用户请求的服务类型;
所述收发模块,还用于若执行所述服务类型对应的数据处理需要从数据源获取数据,则使用加密传输协议向所述数据源外网服务器发送第一数据获取请求;以及接收所述数据源外网服务器根据所述第一数据获取请求发送的数据;
处理模块,用于将得到的所述数据源外网服务器根据所述第一数据获取请求发送的数据输入所述数据代理服务进行数据处理,得到数据处理结果。
9.根据权利要求8所述的装置,其特征在于,若执行所述服务类型对应的数据处理只需要从代理商获取数据,所述收发模块还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块还用于:
将所述加密数据输入所述数据代理服务进行数据处理,得到数据处理结果。
10.根据权利要求9所述的装置,其特征在于,若执行所述服务类型对应的数据处理需要从数据源获取数据,同时还需要从代理商获取数据,所述收发模块还用于:
通过所述前置服务进行数据校验后,向所述代理商内网服务器发送第二数据获取请求;
接收所述代理商内网服务器根据所述第二数据获取请求发送的加密数据;
所述处理模块还用于:
将所述数据源外网服务器根据所述第一数据获取请求发送的数据和所述加密数据一起输入所述数据代理服务进行数据处理,得到数据处理结果。
11.根据权利要求8至10中任一项所述的装置,其特征在于,所述处理模块还用于:
通过所述前置服务对所述数据处理结果进行校验;
所述收发模块还用于:
若所述数据处理结果符合所述服务类型对应的结果校验规则,则将所述数据处理结果发送给用户。
12.根据权利要求11所述的装置,其特征在于,所述收发模块通过前置服务接收所述数据服务请求之后,还于:
将所述数据服务请求发送至所述数据代理服务,以通过所述数据代理服务确定执行所述服务类型对应的数据处理需要从代理商还是数据源获取数据;
通过所述前置服务发送所述第一数据获取请求和接收所述数据源外网服务器根据所述第一数据获取请求发送的数据。
13.根据权利要求12所述的装置,其特征在于,所述装置被配置为只能上传数据或文件,不能下载数据或文件。
14.根据权利要求12所述的装置,其特征在于,所述数据源网络中还部署有堡垒机,所述堡垒机用于对登录所述数据沙盒执行的命令操作进行记录和审计。
15.一种数据沙盒的实现装置,其特征在于,包括至少一个处理器,所述至少一个处理器与至少一个存储器耦合:
所述至少一个处理器,用于执行所述至少一个存储器中存储的计算机程序或指令,以使得所述数据沙盒的实现装置执行如权利要求1至7中任一项所述的方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序或指令,当计算机读取并执行所述计算机程序或指令时,使得计算机执行如权利要求1至7中任一项所述的方法。
CN201811650123.4A 2018-12-31 2018-12-31 一种数据沙盒的实现方法及装置 Active CN109726593B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811650123.4A CN109726593B (zh) 2018-12-31 2018-12-31 一种数据沙盒的实现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811650123.4A CN109726593B (zh) 2018-12-31 2018-12-31 一种数据沙盒的实现方法及装置

Publications (2)

Publication Number Publication Date
CN109726593A true CN109726593A (zh) 2019-05-07
CN109726593B CN109726593B (zh) 2021-02-23

Family

ID=66298007

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811650123.4A Active CN109726593B (zh) 2018-12-31 2018-12-31 一种数据沙盒的实现方法及装置

Country Status (1)

Country Link
CN (1) CN109726593B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615254A (zh) * 2022-03-25 2022-06-10 医渡云(北京)技术有限公司 远程连接方法、装置及系统、存储介质、电子设备
CN114679301A (zh) * 2022-03-01 2022-06-28 北京明朝万达科技股份有限公司 一种利用安全沙箱对数据湖数据进行存取的方法和系统

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110004698A1 (en) * 2009-07-01 2011-01-06 Riverbed Technology, Inc. Defining Network Traffic Processing Flows Between Virtual Machines
CN102487378A (zh) * 2010-12-01 2012-06-06 中铁信息工程集团有限公司 一种用于保障信息安全的前置安全系统
CN103699479A (zh) * 2012-09-27 2014-04-02 百度在线网络技术(北京)有限公司 一种沙盒测试环境构建系统及构建方法
CN104683493A (zh) * 2013-11-29 2015-06-03 晶睿通讯股份有限公司 穿透网络地址转换的方法与连线中介系统
US20150244787A1 (en) * 2014-02-21 2015-08-27 Andrew T. Fausak Front-end high availability proxy
CN105678165A (zh) * 2016-01-29 2016-06-15 博雅网信(北京)科技有限公司 一种移动端的沙盒化键盘系统及其数据传输方法
CN105868389A (zh) * 2016-04-15 2016-08-17 北京思特奇信息技术股份有限公司 一种基于mongoDB的数据沙盒实现方法及系统
CN106406980A (zh) * 2016-09-06 2017-02-15 青岛海信传媒网络技术有限公司 一种虚拟机的部署方法和装置
CN106657232A (zh) * 2016-09-29 2017-05-10 山东浪潮商用系统有限公司 一种分布式服务器架构及其服务方法
CN106779891A (zh) * 2016-12-26 2017-05-31 贵州电网有限责任公司信息中心 一种电子发票从企业erp到互联网的安全传递系统及方法
CN107395445A (zh) * 2011-11-15 2017-11-24 Nicira股份有限公司 具有中间盒的网络架构
CN107566533A (zh) * 2017-10-26 2018-01-09 南威软件股份有限公司 一种基于nas实现的内外网文件共享系统
CN108462731A (zh) * 2017-02-20 2018-08-28 阿里巴巴集团控股有限公司 数据代理方法、装置以及电子设备

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110004698A1 (en) * 2009-07-01 2011-01-06 Riverbed Technology, Inc. Defining Network Traffic Processing Flows Between Virtual Machines
CN102487378A (zh) * 2010-12-01 2012-06-06 中铁信息工程集团有限公司 一种用于保障信息安全的前置安全系统
CN107395445A (zh) * 2011-11-15 2017-11-24 Nicira股份有限公司 具有中间盒的网络架构
CN103699479A (zh) * 2012-09-27 2014-04-02 百度在线网络技术(北京)有限公司 一种沙盒测试环境构建系统及构建方法
CN104683493A (zh) * 2013-11-29 2015-06-03 晶睿通讯股份有限公司 穿透网络地址转换的方法与连线中介系统
US20150244787A1 (en) * 2014-02-21 2015-08-27 Andrew T. Fausak Front-end high availability proxy
CN105678165A (zh) * 2016-01-29 2016-06-15 博雅网信(北京)科技有限公司 一种移动端的沙盒化键盘系统及其数据传输方法
CN105868389A (zh) * 2016-04-15 2016-08-17 北京思特奇信息技术股份有限公司 一种基于mongoDB的数据沙盒实现方法及系统
CN106406980A (zh) * 2016-09-06 2017-02-15 青岛海信传媒网络技术有限公司 一种虚拟机的部署方法和装置
CN106657232A (zh) * 2016-09-29 2017-05-10 山东浪潮商用系统有限公司 一种分布式服务器架构及其服务方法
CN106779891A (zh) * 2016-12-26 2017-05-31 贵州电网有限责任公司信息中心 一种电子发票从企业erp到互联网的安全传递系统及方法
CN108462731A (zh) * 2017-02-20 2018-08-28 阿里巴巴集团控股有限公司 数据代理方法、装置以及电子设备
CN107566533A (zh) * 2017-10-26 2018-01-09 南威软件股份有限公司 一种基于nas实现的内外网文件共享系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
吴俣: "基于沙盒技术的 Windows 文件系统虚拟化实现", 《中国优秀硕士学位论文全文数据库信息科技辑(月刊)》 *
赵丽 等: "计算机免疫系统中沙盒主机的构建", 《大连理工大学学报》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679301A (zh) * 2022-03-01 2022-06-28 北京明朝万达科技股份有限公司 一种利用安全沙箱对数据湖数据进行存取的方法和系统
CN114679301B (zh) * 2022-03-01 2023-10-20 北京明朝万达科技股份有限公司 一种利用安全沙箱对数据湖数据进行存取的方法和系统
CN114615254A (zh) * 2022-03-25 2022-06-10 医渡云(北京)技术有限公司 远程连接方法、装置及系统、存储介质、电子设备
CN114615254B (zh) * 2022-03-25 2023-09-29 医渡云(北京)技术有限公司 远程连接方法、装置及系统、存储介质、电子设备

Also Published As

Publication number Publication date
CN109726593B (zh) 2021-02-23

Similar Documents

Publication Publication Date Title
US11282074B2 (en) Automated application programming interface (API) system and method
US11222312B2 (en) Method and system for a secure registration
US20220116372A1 (en) System and method for providing controlled application programming interface security
US20220166844A1 (en) Integration framework and user interface for embedding transfer services into applications
US10171455B2 (en) Protection of application passwords using a secure proxy
US10484385B2 (en) Accessing an application through application clients and web browsers
CN105359486B (zh) 使用代理安全访问资源
CN104737175B (zh) 计算机实施的方法及系统、计算机可读媒体
US8613055B1 (en) Methods and apparatus for selecting an authentication mode at time of issuance of an access token
CN109726592A (zh) 一种数据沙盒的处理方法及装置
KR101242175B1 (ko) 신뢰기관과의 연계를 통해 부인방지 기능을 제공하는 전화인증용 단말을 이용한 E-Business 거래에서의 전화인증방법, 그리고 신뢰기관과의 연계를 통해 부인방지 기능을 제공하는 전화인증용 단말을 이용한 E-Business 거래에서의 전화인증프로그램을 기록한 컴퓨터로 판독가능한 기록매체
US11295379B2 (en) Virtual storage system and method of sharing electronic documents within the virtual storage system
CN112583834B (zh) 一种通过网关单点登录的方法和装置
CN103795690A (zh) 一种云访问控制的方法、代理服务器和系统
CN106464497A (zh) 利用低延迟会话聚合框架体系发放、传送和管理令牌的方法和系统
TW201909072A (zh) 電子帳戶的掛失、解掛、業務管理方法、裝置及設備
CN112437078A (zh) 文件存储方法、装置、设备及计算机可读存储介质
CN116170234B (zh) 一种基于虚拟账号认证的单点登录方法和系统
US11405398B2 (en) Information processing apparatus, information processing system, and information processing method
CN109726593A (zh) 一种数据沙盒的实现方法及装置
CN107887003A (zh) 基于SaaS的医学影像处理方法
CN109462600A (zh) 访问应用的方法、用户设备、登录服务器和存储介质
KR102094938B1 (ko) 블록체인 기반의 콘텐츠 유통 방법 및 이를 수행하기 위한 장치
CN113779522B (zh) 一种授权处理方法、装置、设备及存储介质
US20220318420A1 (en) Platform for unsupervised machine learning training on unseeable user generated assets

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant