CN111193698A - 数据处理方法、装置、终端及存储介质 - Google Patents
数据处理方法、装置、终端及存储介质 Download PDFInfo
- Publication number
- CN111193698A CN111193698A CN201910779389.7A CN201910779389A CN111193698A CN 111193698 A CN111193698 A CN 111193698A CN 201910779389 A CN201910779389 A CN 201910779389A CN 111193698 A CN111193698 A CN 111193698A
- Authority
- CN
- China
- Prior art keywords
- network data
- processing
- original network
- policy
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/566—Grouping or aggregating service requests, e.g. for unified processing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据处理方法、装置、终端及存储介质。其中方法包括:根据不同请求类型的网络数据的处理频率,确不同请求类型的网络数据所对应的处理级别;在原始网络数据的访问对象属于第一对象集合时,获取原始网络数据的请求类型,确定第一处理级别;向代理服务器发送策略拉取请求,执行云端的策略拉取操作,策略拉取请求携带所述第一处理级别标识;获得原始网络数据的目标访问策略,对原始网络数据进行加密处理和压缩处理,获得目标网络数据;利用代理服务器依据目标访问策略处理目标网络数据,可以实现云办公系统的灵活配置,提高网络安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种数据处理方法、装置、终端及存储介质。
背景技术
随着互联网的发展和办公自动化技术的发展,利用通信网络构建公共办公服务网络系统已经成为当前主要的办公自动化发展趋势,并且越来越多的中小企业把办公环境搬运到公有云上。然而,目前该类办公系统构成相对复杂,使用灵活性较差,涉及许多私有数据处理,面临较大的网络安全问题。
发明内容
本申请提供了一种数据处理方法、装置、终端及存储介质,可以实现办公系统的灵活配置,提高网络安全性。
第一方面,提供了一种数据处理方法,应用于用户终端,包括:
根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别;
获取原始网络数据,判断所述原始网络数据的访问对象是否属于第一对象集合;
在所述原始网络数据的访问对象属于所述第一对象集合的情况下,获取所述原始网络数据的请求类型,确定第一处理级别,所述第一处理级别为所述原始网络数据的请求类型所对应的处理级别;
向代理服务器发送策略拉取请求,执行云端的策略拉取操作,所述策略拉取请求携带所述第一处理级别标识;获得所述原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据;
利用所述代理服务器依据所述目标访问策略处理所述目标网络数据。
第二方面,提供了另一种数据处理方法,应用于代理服务器,所述方法包括:
接收来自用户终端的策略拉取请求,所述策略拉取请求携带第一处理级别标识;
向所述用户终端提供原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
通过云端加密隧道接收来自用户终端的目标网络数据,所述云端加密隧道基于安全传输层协议进行加密;
对所述目标网络数据进行解密处理和解压处理,获得所述原始网络数据;
向业务服务器发送所述原始网络数据,以使所述业务服务器处理所述原始网络数据。
第三方面,提供了一种数据处理装置,包括服务分级模块、判断模块、策略服务模块、处理模块和执行模块,其中:
所述服务分级模块,用于根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别;
所述判断模块,用于获取原始网络数据,判断所述原始网络数据的访问对象是否属于第一对象集合;
所述服务分级模块,还用于在所述原始网络数据的访问对象属于所述第一对象集合的情况下,获取所述原始网络数据的请求类型,确定第一处理级别,所述第一处理级别为所述原始网络数据的请求类型所对应的处理级别;
所述策略服务模块,用于向代理服务器发送策略拉取请求,执行云端的策略拉取操作,所述策略拉取请求携带所述第一处理级别标识;获得所述原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
所述处理模块,用于对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据;
所述执行模块,用于利用所述代理服务器依据所述目标访问策略处理所述目标网络数据。
第四方面,本申请实施例提供了另一种数据处理装置,包括传输模块、策略服务模块和处理模块,其中:
所述传输模块,用于接收来自用户终端的策略拉取请求,所述策略拉取请求携带第一处理级别标识;
所述策略服务模块,用于向所述用户终端提供原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
所述传输模块,还用于通过云端加密隧道接收来自用户终端的目标网络数据,所述云端加密隧道基于安全传输层协议进行加密;
所述处理模块,用于对所述目标网络数据进行解密处理和解压处理,获得所述原始网络数据;
所述传输模块还用于,向业务服务器发送所述原始网络数据,以使所述业务服务器处理所述原始网络数据。
第五方面,本申请实施例提供了一种终端,包括输入设备和输出设备,还包括:
处理器,适于实现一条或多条指令;以及,
计算机存储介质,所述计算机存储介质存储有一条或多条指令,所述一条或多条指令适于由所述处理器加载并执行如第一方面所述的数据处理方法。
第六方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质存储有一条或多条指令,所述一条或多条指令适于由处理器加载并执行如上述第一方面及其任一种可能的实现方式的步骤。
本申请通过根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别;获取原始网络数据,判断所述原始网络数据的访问对象是否属于第一对象集合;在所述原始网络数据的访问对象属于所述第一对象集合的情况下,获取所述原始网络数据的请求类型,确定第一处理级别,所述第一处理级别为所述原始网络数据的请求类型所对应的处理级别;向代理服务器发送策略拉取请求,执行云端的策略拉取操作,所述策略拉取请求携带所述第一处理级别标识;获得所述原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据;利用所述代理服务器依据所述目标访问策略处理所述目标网络数据,可以按照数据处理级别、基于不同策略进行数据处理,实现办公系统的灵活配置,提高数据处理效率和网络安全性。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1为本申请实施例提供的一种数据处理方法的流程示意图;
图2为本申请实施例提供的另一种数据处理方法的流程示意图;
图3为本申请实施例提供的一种流量劫持的数据处理流程示意图;
图4为本申请实施例提供的一种数据处理的具体时序流程示意图;
图5为本申请实施例提供的一种系统管理页面的局部示意图;
图6为本申请实施例提供的一种数据处理装置的结构示意图;
图7为本申请实施例提供的另一种数据处理装置的结构示意图;
图8为本申请实施例提供的一种终端的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
下面结合本申请实施例中的附图对本申请实施例进行描述。
请参阅图1,图1是本申请实施例提供的一种数据处理方法的流程示意图。
101、根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别。
本申请实施例中的执行主体可以为用户终端,具体实现中,上述用户终端即为一种终端设备,包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
具体的,上述网络数据可以是用户通过终端设备进行网络访问产生的数据,比如发生网络请求时产生的数据,一般的,在进行网络访问时需要确定访问对象,上述访问对象即本次网络访问请求的对象,可包括访问的网络地址、应用程序等。
本申请实施例中可以根据不同请求类型的网络数据的处理频率实现服务分级处理。具体的,主要根据处理频率的高低灵活设置数据处理策略,可包括数据处理通道、加密方法等。
在一种可选的实施方式中,用户终端可以记录第一时长周期内上述不同请求类型的网络数据的处理次数,获得上述第一时长周期内上述不同请求类型的网络数据的处理频率;
可选的,上述步骤101可包括:
根据上述第一时长周期内上述不同请求类型的网络数据的处理频率,确定第二时长周期内上述不同请求类型的网络数据所对应的处理级别。
其中,上述第一时长周期可以理解为已过去的一段时长周期,比如从某历史时间节点到当前时间节点的时长周期,比如历史2小时,或者21小时前-19小时前,可以根据需要进行设置,此处不做限制。具体的,可以周期性地统计上述第一时长周期内上述不同请求类型的网络数据的处理次数,获得各请求类型的网络数据的处理次数,再除以上述第一时长周期的时长,即可以获得上述第一时长周期内,不同请求类型的网络数据的处理频率。
进一步地,根据上述第一时长周期内上述不同请求类型的网络数据的处理频率,可以确定第二时长周期内上述不同请求类型的网络数据所对应的处理级别。
上述第二时长周期可以为未来的一段时长周期,可以是与上述第一时长周期相邻且在上述第一时长周期之后的时长周期。对于某一类型的网络数据,通过对其历史周期的处理频率统计,可以确定当前/未来的网络数据的处理级别,以实现通过不同策略分级处理数据。具体可以设置处理频率与处理级别的对应关系,通过上述确定的网络数据的处理频率,可以作为参考,可以确定该网络数据对应的处理级别。
上述步骤101可以周期性地执行,以实时调整设置不同请求类型的网络数据的处理级别,进行分级处理,以提高处理效率。
102、获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合。
具体的,上述原始网络数据可以是用户通过终端设备进行网络访问产生的数据,比如发生网络请求时产生的数据,一般的,在进行网络访问时需要确定访问对象,上述访问对象即本次网络访问请求的对象,可包括访问的网络地址、应用程序等。
本申请实施例中可以预先设置第一对象集合,上述第一对象集合中可以包括至少一个预设对象,比如为了维护网络安全,可以选取多个应用程序或者网页添加在上述第一对象集合中,以进行专有的网络访问策略处理。比如,选择的属于第一对象集合的应用程序可称之为可信应用,属于第一对象集合的网址可称之为可访问站点。
可选的,上述第一对象集合可以是由服务器端设置的,用户终端可以进行查询获取。即服务器端可以指定或修改上述可信应用和上述可访问站点。
在一种可选的实施方式中,上述判断上述原始网络数据的访问对象是否属于第一对象集合包括:
判断上述原始网络数据所请求访问的网络地址是否属于目标网络地址集合;若属于,上述原始网络数据的访问对象属于上述第一对象集合,若不属于,上述原始网络数据的访问对象不属于上述第一对象集合;或者,
判断产生上述原始网络数据的应用程序是否属于目标应用集合;若属于,上述原始网络数据的访问对象属于上述第一对象集合,若不属于,上述原始网络数据的访问对象不属于上述第一对象集合。
即可以通过设置上述目标网络地址集合来设置可访问站点,设置上述目标应用集合来设置可信应用。
对于产生的原始网络数据,可以通过数据识别确定该原始网络数据的访问对象。在本申请实施例中可以通过对数据包的特定标识字段确定该原始网络数据的访问对象(地址),比如通过该原始网络数据包的IP头确定原始网络数据的访问对象。进一步地,可以判断该原始网络数据的访问对象是否属于上述第一对象集合,若属于,则可以进行内部访问的数据处理,即执行步骤103。
可选的,若上述原始网络数据的访问对象不属于上述第一对象集合,不执行步骤103,可以直接与业务服务器进行通信,对上述原始网络数据进行处理,即可以理解为普通的直连外网的数据处理方式。
103、在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别。
在步骤101中可以确定不同的请求类型的网络数据与处理级别的对应关系,这些请求类型中可以包括上述原始网络数据的请求类型,从而可以先获取上述原始网络数据的请求类型,再依据上述不同的请求类型的网络数据与处理级别的对应关系,确定上述原始网络数据的请求类型所对应的处理级别,即上述第一处理级别。
在确定上述第一处理级别之后,可以执行步骤104。
104、向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识;获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略。
本申请实施例中涉及的代理服务器(Proxy Server)的功能是代理网络用户去取得网络信息。形象地说,它是网络信息的中转站,是个人网络和Internet服务商之间的中间代理机构,负责转发合法的网络信息,对转发进行控制和登记。
代理服务器最基本的功能是连接,此外还包括安全性、缓存、内容过滤、访问控制管理等功能。更重要的是,代理服务器是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联(OSI)模型的对话层。本申请实施例中的代理服务器可以是云服务器,可以在云端进行数据和访问策略等存储,以及与业务服务器连接。上述代理服务器可以为云服务器(Elastic Compute Service,ECS)。云服务器是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。其管理方式比物理服务器更简单高效。用户无需提前购买硬件,即可迅速创建或释放任意多台云服务器。
对于办公系统场景,可以给不同的组织架构和岗位设置不同的访问策略。使整个办公系统权限划分明确、更加规范化。
简单来说,云服务可以将企业所需的软硬件、资料都放到网络上,在任何时间、地点,使用不同的IT设备互相连接,实现数据存取、运算等目的。当前,常见的云服务有公共云(Public Cloud)与私有云(Private Cloud)两种。
上述公共云是最基础的服务,多个客户可共享一个服务提供商的系统资源,毋须架设任何设备及配备管理人员,便可享有专业的IT服务,这对于一般创业者、中小企来说,是一个降低成本的好方法。公共云还可细分为3个类别,包括Software-as-a-Service、SaaS(软件即服务)、Platform-as-a-Service,PaaS(平台即服务)及Infrastructure-as-a-Service,IaaS(基础设施即服务)。
在基于公有云的系统场景中的用户终端,可以通过设置的访问策略进行网络数据处理,以加强网络安全性。
上述第一处理级别标识用于代理服务器确定第一处理级别的访问策略,即上述目标访问策略,并向用户终端(客户端)提供。用户终端获得上述目标访问策略之后,可以执行步骤105和步骤106。
可选的,上述访问策略可以存储在云服务器中,对于不同的处理级别的数据访问请求,可以对应不同的访问策略,即不同情况下的网络数据可以拉取不同的访问策略进行处理。上述可以理解为,对于不同请求类型的网络数据,可以经过不同的数据通道、不同的加密方法、传输方式等,此处不做限制。
比如对于低频的身份认证和策略拉取可以采用https,高频的数据通道可安全传输层协议(TLS)加密。
上述超文本传输协议(HTTP)是一个简单的请求-响应协议,它通常运行在传输控制协议(TCP)之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应,请求和响应消息的头以ASCII码形式给出;而消息内容则具有一个类似MIME的格式。
本申请实施例中涉及的TLS用于在两个通信应用程序之间提供保密性和数据完整性,该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。通过服务分级处理可以提高数据处理的效率。
在步骤102之前,用户可以在用户终端上进行登录,登录成功之后,就可以使用上述可信应用,访问上述可访问站点。在一种可选的实施方式中,可以对不同的组织架构和岗位设置不同的访问策略。
操作系统是用户与计算机硬件系统之间的接口,用户通过操作系统的帮助,可以快速、有效和安全、可靠地操纵计算机系统中的各类资源,以处理自己的程序。为使用户能方便地使用操作系统,OS又向用户提供了如下两类接口:
(1)用户接口:操作系统专门为用户提供了“用户与操作系统的接口”,通常称为用户接口。该接口支持用户与OS之间进行交互,即由用户向OS请求提供特定的服务,而系统则把服务的结果返回给用户。
(2)程序接口:操作系统向编程人员提供了“程序与操作系统的接口”,简称程序接口,又称应用程序接口(Application Programming Interface,API)。应用程序接口(Application Programming Interface,API)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部工作机制的细节。系统和应用程序通过这个接口,可在执行中访问系统中的资源和取得OS的服务,大多数操作系统的程序接口是由一组系统调用(system call)组成,每一个系统调用都是一个能完成特定功能的子程序。
在一种可选的实施方式中,对于用户登录时获得的身份信息可以进行认证,即可以通过登录的应用程序对应的程序接口进行认证操作、生成访问信息。具体的,可以支持用户名密码、扫描登录、轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)等等多种认证方式,本申请实施例对此不作限制。
105、对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据。
对待传输的原始网络数据可以进行加密处理,以提高安全性。
具体的,可以采用TLS加密。TLS协议是可选的,必须配置客户端和服务器才能使用。本申请实施例中的用户终端为客户端,通过前期部署,一旦客户端和服务器都同意使用TLS协议,则可以通过使用一个握手过程协商出一个有状态的连接以传输网络数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:
当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和加密哈希函数),握手开始。
服务器从该列表中决定加密和散列函数,并通知客户端;
服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥;
客户端确认其颁发的证书的有效性;
为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密;
利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。
可选的,本申请实施例中还可以根据网络数据的处理级别区分使用其他加密算法与服务器通信,此处不做限制。
对原始网络数据还可以进行压缩处理,具体的,可以使用GZIP格式进行数据压缩。
HTTP协议上的GZIP编码是一种用来改进WEB应用程序性能的技术。大流量的WEB站点常常使用GZIP压缩技术来让用户感受更快的速度。一般WWW服务器中安装有该功能,当访问该服务器中的网站时,服务器中的这个功能可以将网页内容压缩后传输到来访的终端浏览器中显示。一般对纯文本内容可压缩到原大小的40%,以增加传输效率。
106、利用上述代理服务器依据上述目标访问策略处理上述目标网络数据。
基于上述描述,获得的目标网络数据可以使用适合的处理级别的访问策略进行传输、处理,而对于不同请求类型的网络数据,其对应的处理级别根据其历史处理频率可以周期性地改变,以适应实时的数据处理,合理分配资源,提高了整个系统的数据处理效率和智能性。
比如,在采用底层TLS高强度加密的通信隧道传输,保障了网络安全,以及对隧道传输的数据进行GZIP压缩,进一步提高了传输速率。
具体的,可以通过云端加密隧道向上述代理服务器地址发送包含上述目标网络数据的处理指令,其中,上述处理指令用于指示上述代理服务器向业务服务器转发上述原始网络数据,以及使上述业务服务器处理上述原始网络数据,上述云端加密隧道基于安全传输层协议进行加密。
通过前述访问策略的确定,即确定了进行本次网络数据处理的代理服务器,通过代理客户端端口,可以将目标网络数据的数据包转发到对应的代理服务器。即数据被劫持到代理客户端后,代理客户端可以对数据进行加密与压缩,然后转发到代理服务端,代理服务端对数据进行解密和解压,转发到业务服务器进行常规处理。
本申请实施例中的上述业务服务器可以为第三方业务服务系统的服务器,对于办公场景,可以包括但不限于办公自动化(Office Automation,OA)系统、消息与协作系统(比如电子邮件服务组件Exchange)、客户管理系统等系统的服务器。
在一种可选的实施方式中,对上述原始网络数据可以通过与上述类似的过程进行处理后的反馈,即对于访问请求或者身份认证等数据处理可以在业务服务器执行后通过相同的代理服务器与加密隧道返回结果至用户终端,以完成完整的网络访问或者身份认证等数据处理流程。
具体来讲,用户通过用户终端(客户端软件)进行登录之后,服务器端配置的可信应用(办公软件)和内部站点(可达区域)可以被劫持到本申请实施例中的加密隧道,以进行内网访问的数据处理。其他站点可以直接在本地访问互联网。比如访问预先设置的办公软件、访问公司私有资源可以通过加密隧道,保障内部数据、资源安全。
本申请实施例通过根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别,获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合,在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别,向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识,获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略,再对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据,以及利用上述代理服务器依据上述目标访问策略处理上述目标网络数据,可以按照数据处理级别、基于不同策略进行数据处理,其中,不同请求类型的网络数据可以根据其历史处理频率调整访问策略,以进行分级处理,实现办公系统的灵活配置,提高数据处理效率和网络安全性。
请参阅图2,图2是本申请实施例提供的另一种数据处理方法的流程示意图。图2所示的实施例中该方法可包括:
201、用户终端获取原始网络数据,判断上述原始网络数据所请求访问的网络地址是否属于目标网络地址集合。
本申请实施例中的执行主体可以为用户终端,具体实现中,上述用户终端即为一种终端设备,包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
具体的,在企业办公场景中可以部署多个上述用户终端,用户通过各自的用户终端进行办公,这些用户终端可以进行网络访问。对于企业的组织架构管理,可以通过组织架构树设置,可根据不同的部门和岗位设置不同的访问策略,可以细化到对每一个员工的权限设置。
同时,设置至少一个代理服务器,通过隧道地址进行部署,作为安全隧道服务端。代理服务器可以按区域部署,即不同的办公区设置不同的隧道地址。可选的,可以设置上述可信应用:使用可信应用才能访问到云端的办公系统,比如可以设置qq浏览器能访问云上办公系统,而360浏览器不行。可选的,还可以设置可访问的业务系统,即员工可访问的云上办公系统,不同的员工能访问的业务系统不一样,在网络层(访问策略)就进行权限控制,无需到应用层控制。
可选的,还可以部署入侵检测系统,发现有可疑行为,按用户和设备进行断连。整个系统的日志会上报到该入侵检测系统,它负责对整个办公环境进行实时监控,发现异常可以进行阻断和告警。
上述目标网络地址集合可以用于设置可访问站点,在发生网络访问请求时,若产生的上述原始网络数据的访问对象属于上述目标网络地址集合,则可以执行步骤202。若不属于上述目标网络地址集合,可以直接连接外网访问,也可以进行屏蔽。上述访问对象的确定和判断过程可以参考图1所示实施例中步骤101的具体描述,此处不再赘述。
202、上述用户终端根据上述原始网络数据的访问对象和上述用户终端的互联网协议地址确定处理上述原始网络数据的代理服务器,获取上述代理服务器地址。
系统管理员可以根据企业的组织架构配置不同组织的代理服务器的地址(隧道地址)、可信应用和可达区域。不同的区域公司可以配置不同的隧道地址,增加访问速度。基于部署好的网络架构,为不同的用户终端提供服务的代理服务器不同,通过用户终端的互联网协议地址和原始网络数据的访问对象,可以确定对应的代理服务器,获取该代理服务器的地址。上述确定和获取过程即依靠预设的访问策略确定,可以获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为原始网络数据的请求类型所对应的处理级别,再获取第一处理级别的访问策略(目标访问策略),可以在云端执行,其中,上述步骤可以参考图1所示实施例中步骤103的相关具体描述,此处不再赘述。
203、上述用户终端通过云端加密隧道向上述代理服务器地址发送包含上述目标网络数据的处理指令,上述处理指令用于指示上述代理服务器向业务服务器转发上述原始网络数据,以及使上述业务服务器处理上述原始网络数据,上述云端加密隧道基于安全传输层协议进行加密。
在确定处理该原始网络数据的代理服务器之后,可以通过云端加密隧道向上述代理服务器地址发送包含上述目标网络数据的处理指令,可以理解为,将数据进行流量劫持到内部的加密通道,进行处理。
其中,上述处理指令用于指示上述代理服务器向业务服务器转发上述原始网络数据,以及使上述业务服务器处理上述原始网络数据。
可选的,上述加密隧道可以采用底层安全传输层协议(TLS)进行高强度加密,安全无特征;使用GZIP格式进行数据压缩。即可以通过代理客户端对数据进行加密与压缩,然后将处理后的目标网络数据转发到上述代理服务器,可以参考图1所示实施例的步骤103中的具体描述,此处不再赘述。
在一种实施方式中,本申请实施例还提供了一种数据处理方法,应用于代理服务器,包括:
接收来自用户终端的策略拉取请求,上述策略拉取请求携带第一处理级别标识;
向上述用户终端提供原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略。
其中,上述代理服务器的上述数据处理方法在前述实施例中已经描述,此处不再赘述。
请参见图3,图3为本申请实施例提供的一种流量劫持的数据处理流程示意图。
图3中的数据A可以理解为原始数据包,原始数据包可以通过App创建Socket链接(标识1),在数据包增加TCP连接信息(标识2);
其中,套接字(Socket)是一个抽象层,应用程序可以通过它发送或接收数据,可对其进行像对文件一样的打开、读写和关闭等操作。套接字允许应用程序将I/O插入到网络中,并与网络中的其他应用程序进行通信。网络套接字是IP地址与端口的组合。
之后,数据包可以发送到协议栈,以增加IP头信息(标识3);
其中,图3中的WFP(Windows Filtering Platform)指的是一种驱动框架,是在WIN7以上系统中TDI的替代框架,提供了更加强大的内核网络数据包的过滤,拦截,修改等诸多功能。内核过滤引擎可以检查网络数据包是否命中过滤器的规则,命中时可以执行这些过滤器指定的动作,其中Callout为扩展WFP性能提供的一个功能,可以理解为一种过滤功能函数,可以根据需要添加Callout,以进行过滤设置。本申请实施例中Windows系统可以使用基于WFP的Callout功能对数据进行过滤,将可信应用的数据劫持到本地代理客户端,去掉IP头(标识4)。
进一步地,可以通过代理客户端端口,修改IP头后(标识5),将数据包转发到代理服务器端,即将IP头修改为代理服务器地址。
204、代理服务器通过云端加密隧道接收来自用户终端的目标网络数据。
具体的,上述原始网络数据所请求访问的网络地址属于目标网络地址集合的情况下,即原始网络数据可以被劫持到用户终端侧的代理客户端,走内部的加密隧道进行访问,以保证安全性。
205、上述代理服务器对上述目标网络数据进行解密处理和解压处理,获得上述原始网络数据。
相应地,代理服务器可以对目标网络数据进行解密和解压,再执行步骤206。
206、上述代理服务器向业务服务器发送上述原始网络数据,以使上述业务服务器处理上述原始网络数据。
本申请实施例中的上述业务服务器可以为第三方业务服务系统的服务器,对于办公场景,可以包括但不限于办公自动化(Office Automation,OA)系统、消息与协作系统(比如电子邮件服务组件Exchange)、客户管理系统等系统的服务器。由代理服务器转发的网络数据可以在业务服务器执行外网直接访问时类似的处理。
在一种可选的实施方式中,在上述步骤201之前,该方法还包括:
获取身份认证信息,确定第二处理级别,上述第二处理级别为身份认证的请求类型所对应的处理级别;
利用上述第二处理级别的应用程序接口和上述云服务器对上述身份认证信息进行认证操作,上述认证操作基于超文本传输协议进行双向加密;
在上述认证操作的结果为通过的情况下,生成并存储上述身份认证信息的访问信息和人机关系信息。
具体的,用户终端需要安装客户端软件,通过该客户端软件及其应用程序接口实现数据代理。即服务器端配置的可信应用(办公软件)和内部站点(可达区域)才会被劫持到加密隧道,进行内网访问。其他站点可直接在本地访问互联网。
上述客户端软件通过云服务器可以提供认证服务:负责对员工身份信息进行认证,具体可以支持用户名密码、扫描登录、LADP等等多种认证方式。通过认证服务可以生成用户的访问信息和人机关系。对于身份认证信息可以设置对应的第二处理级别,与图1所示实施例中的方法类似的,可以分级进行数据处理。可选的,可以设置多个应用程序接口以实现不同的数据处理服务,对于其中的身份认证服务,即可以使用第二处理级别的应用程序接口执行认证操作。
基于访问信息的解决方案通常可以在应用系统之间交换安全信息,在访问应用系统时,用户只需要主动进行第一次登录,并获得相应的访问信息,可称为访问票据(AccessTicket)。本申请实施例中,上述访问信息可以存放redis缓存、上述人机关系包括用户与用户终端的对应关系,可以存放数据库,如云数据库。
可选的,本申请实施例中的云服务器还可以部署入侵检测系统,员工的访问日志可以上报到该套入侵检测系统进行检测,在发现有可疑行为时,基于上述人机关系,按用户和设备进行断连,提高安全性。
进一步地,对上述原始网络数据可以通过与上述类似的过程进行处理后的反馈,即对于访问请求或者身份认证等数据处理可以在业务服务器执行后通过相同的代理服务器与加密隧道返回结果至用户终端,以完成完整的网络访问或者身份认证等数据处理流程。
本申请实施例还听提供了另一种数据处理方法,可应用于代理服务器,上述方法包括:
通过云端加密隧道接收来自用户终端的目标网络数据,上述云端加密隧道基于安全传输层协议进行加密;
对上述目标网络数据进行解密处理和解压处理,获得原始网络数据;
向业务服务器发送上述原始网络数据,以使上述业务服务器处理上述原始网络数据。
其中,上述代理服务器的执行方法已在图1和图2所示实施例中进行了相应描述,此处不再赘述。
本申请实施例还公开了一种数据处理系统,可以包括如前述实施例中描述的用户终端和代理服务器,上述用户终端与上述代理服务器通过局域网连接。其中,用户终端和代理服务器可以为一个或者多个,上述代理服务器可以与业务服务器进行交互。可选的,上述用户终端安装代理客户端,可以与代理服务器共同提供代理服务,上述代理服务器可以为云服务器,上述业务服务器中部署有第三方业务系统,可以为自动化办公系统。
为了更具体地对本申请实施例的方案进行描述,以一个办公场景为主要应用场景进行举例说明。
可以参见图4,图4为本申请实施例提供的一种数据处理的具体时序流程示意图。
如图4所示,用户终端安装了本地代理客户端:i_proxy客户端,用于实现数据代理处理。
本申请实施例中的客户端的安装服务与配置可以基于安全外壳(Secure Shell,SSH)协议实现,并在代理服务器(云服务器)的i_proxy管理后台生成访问策略,具体可根据办公场景中不同的组织架构和岗位设置。上述管理后台可以配置员工的访问策略,并对可疑员工进行手动断连。
图4中,可信应用:使用可信应用才能访问到云端的办公系统,具体可以在后台将办公软件的进程名字设置成可信应用才能访问云上的办公系统,比如可以设置qq浏览器能访问云上办公系统,而360浏览器不行。可达站点可以包括可访问的业务系统:员工可访问的云上办公系统,不同的员工能访问的业务系统不一样,在网络层就进行权限控制,无需到应用层控制。
SSH为建立在应用层基础上的安全协议,是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
传统的网络服务程序,如:FTP、PoP和Telnet,在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收终端传给服务器的数据,然后再冒充该终端把数据传给真正的服务器。服务器和终端之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。通过使用SSH,可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。
同时可以在客户端设置隧道地址,对应到安全隧道的代理服务器,隧道服务由客户端流量接收的代理服务器提供,对流量进行认证和转发。不通的企业的组织架构、办公场所不一样,可以根据不同情况配置隧道地址,比如可以按区域部署,不同的办公区设置不同的隧道地址,具体参见前述实施例,此处不再赘述。
在部署完毕后,员工使用i_proxy客户端就能安全的访问云端的办公系统。比如图中所示,用户可以通过扫描认证登录客户端,在认证请求在企业微信API审核后返回认证结果。
具体举例来讲,用户终端可以在开机时默认启动i_proxy,i_proxy会对登录态进行自动判断,如果访问票据未过期则可以自动登录,否则要求用户进行企业微信扫码登录。i_proxy登录成功之后,就可以使用可信应用,访问可访问站点。
图4中的心跳指的是心跳线程,客户端与云端管理后台可以通过心跳线程进行交互。后台运行的程序,有时会被需要定时输出信号,已确定程序运行正常。在Java开发中,可以通过多线程工具解决这一问题,用来实现这一功能的进程,即可被称为心跳线程或者心跳进程。上述云服务器提供的身份认证服务与策略服务可以通过双向https加密,具体可以参考前述实施例中的描述。
如图4中所示,用户触发网络请求时,产生原始网络数据,可以进行流量劫持,具体可以参考图3所示实施例中的相关描述,此处不再赘述。客户端可以对产生的网络数据进行智能探测,决定直连外网,或者走哪个更高速更稳定的隧道服务器。
对于请求办公系统的网络数据,如图4中所示,可以通过代理服务器的隧道服务向业务服务器(办公系统)发起请求,请求结果也通过相同渠道进行反馈,具体如前述实施例中的描述,此处不再赘述。
本申请实施例的数据处理系统在网卡进行驱动级别的流量劫持;系统部署的云服务可以分级处理,对于低频的身份认证和策略拉取采用https,而高频的通道采用TLS加密,保证数据传输和网络的安全;同时对隧道传输的数据进行GZIP压缩,提高传输效率,节省开销。上述方案易于部署,可支持安装包一键安装。
图5为本申请实施例提供的一种系统管理页面的局部示意图。如图5所示,对于本申请实施例中的数据处理的访问策略,可以根据不同的部门和岗位设置不同的、或者不同处理级别的访问策略,颗粒度可以控制到人。其中,在页面中的模块a可以使用下拉菜单选取部署隧道服务的公司,进而在页面中的模块c配置相应的可信应用与在页面中的模块d配置可访问系统(在应用时可以以站点网址识别),以及配置相应的代理服务器,即隧道服务地址,如图中模块b所示,可以根据需要进行添加修改,本申请实施例对上述页面的布局和设计不作限制。
通过上述配置可以实现不同区域公司的隧道服务,使用可信应用才能访问到云端的办公系统,比如可以设置qq浏览器能访问云上办公系统,而360浏览器不行。以及可访问系统限制了员工可访问的云上办公系统,不同的员工能访问的业务系统可以不一样,在网络层就进行权限控制,无需到应用层控制,简化了数据处理。建立内部数据处理的加密通道,可以保证数据和网络安全。
请参见图6,基于上述数据处理方法实施例的描述,本申请实施例还公开了一种数据处理装置600,可对应于上述用户终端,包括服务分级模块610、判断模块620、策略服务模块630、处理模块640和执行模块650,其中:
上述服务分级模块610,用于根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别;
上述判断模块620,用于获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合;
上述服务分级模块610,还用于在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别;
上述策略服务模块630,用于向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识;获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略;
上述处理模块640,用于对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据;
上述执行模块650,用于利用上述代理服务器依据上述目标访问策略处理上述目标网络数据。
在一种可能的实施方式中,上述服务分级模块610,还用于记录第一时长周期内上述不同请求类型的网络数据的处理次数,获得上述第一时长周期内上述不同请求类型的网络数据的处理频率;
上述服务分级模块610具体用于:
根据上述第一时长周期内上述不同请求类型的网络数据的处理频率,确定第二时长周期内上述不同请求类型的网络数据所对应的处理级别。
在一种可能实现的方式中,上述策略服务模块630,还用于:
根据上述原始网络数据的访问对象和上述用户终端的互联网协议地址确定处理上述原始网络数据的代理服务器,获取上述代理服务器地址;
上述执行模块650具体用于,通过云端加密隧道向上述代理服务器地址发送包含上述目标网络数据的处理指令,上述处理指令用于指示上述代理服务器向业务服务器转发上述原始网络数据,以及使上述业务服务器处理上述原始网络数据,上述云端加密隧道基于安全传输层协议进行加密。
在一种可能实现的方式中,上述处理模块640还用于:
上述获取上述代理服务器地址之后,上述对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据之前,修改上述原始网络数据的网络地址标识为上述代理服务器地址。
可选的,上述策略服务模块630还具体用于:
根据预设的访问对象与代理服务器地址的映射关系和预设的用户终端的互联网协议地址与代理服务器地址的映射关系,确定上述处理上述原始网络数据的代理服务器地址。
在一种可能实现的方式中,上述判断模块620具体用于:
判断上述原始网络数据所请求访问的网络地址是否属于目标网络地址集合;若属于,上述原始网络数据的访问对象属于上述第一对象集合,若不属于,上述原始网络数据的访问对象不属于上述第一对象集合;或者,
判断产生上述原始网络数据的应用程序是否属于目标应用集合;若属于,上述原始网络数据的访问对象属于上述第一对象集合,若不属于,上述原始网络数据的访问对象不属于上述第一对象集合。
可选的,上述代理服务器为云服务器;上述数据处理装置600还包括认证模块660,用于:
在上述获取原始网络数据之前,获取身份认证信息,确定第二处理级别,上述第二处理级别为身份认证的请求类型所对应的处理级别;
利用上述第二处理级别的应用程序接口和上述云服务器对上述身份认证信息进行认证操作,上述认证操作基于超文本传输协议进行双向加密;
在上述认证操作的结果为通过的情况下,生成并存储上述身份认证信息的访问信息和人机关系信息。
根据本申请的一个实施例,图1、图2所示的方法所涉及的用户终端执行的各个步骤均可以是由图6所示的数据处理装置600中的各个模块来执行的。
根据本申请的另一个实施例,图6所示的数据处理装置600中的各个模块可以分别或全部合并为一个或若干个另外的模块来构成,或者其中的某个(些)模块还可以再拆分为功能上更小的多个模块来构成,这可以实现同样的操作,而不影响本申请的实施例的技术效果的实现。上述模块是基于逻辑功能划分的,在实际应用中,一个模块的功能也可以由多个模块来实现,或者多个模块的功能由一个模块实现。在本申请的其它实施例中,基于终端也可以包括其它模块,在实际应用中,这些功能也可以由其它模块协助实现,并且可以由多个模块协作实现。
基于上述数据处理方法实施例的描述,本申请实施例还公开了另一种数据处理装置700,可对应前述实施例中的上述代理服务器。
请参见图7,数据处理装置700包括:包括传输模块710、策略服务模块720和处理模块730,其中:
上述传输模块710,用于接收来自用户终端的策略拉取请求,上述策略拉取请求携带第一处理级别标识;
上述策略服务模块720,用于向上述用户终端提供原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略;
上述传输模块710,还用于通过云端加密隧道接收来自用户终端的目标网络数据,上述云端加密隧道基于安全传输层协议进行加密;
上述处理模块730,用于对上述目标网络数据进行解密处理和解压处理,获得上述原始网络数据;
上述传输模块710还用于,向业务服务器发送上述原始网络数据,以使上述业务服务器处理上述原始网络数据。
根据本申请的一个实施例,图1和图2所示的方法所涉及的代理服务器(云服务器)执行的各个步骤均可以是由图7所示的数据处理装置700中的各个模块来执行的,此处不再赘述。
根据本申请的另一个实施例,图7所示的数据处理装置700中的各个模块可以分别或全部合并为一个或若干个另外的模块来构成,或者其中的某个(些)模块还可以再拆分为功能上更小的多个模块来构成,这可以实现同样的操作,而不影响本申请的实施例的技术效果的实现。上述模块是基于逻辑功能划分的,在实际应用中,一个模块的功能也可以由多个模块来实现,或者多个模块的功能由一个模块实现。在本申请的其它实施例中,基于终端也可以包括其它模块,在实际应用中,这些功能也可以由其它模块协助实现,并且可以由多个模块协作实现。
根据本申请的另一个实施例,可以通过在包括中央处理单元(CPU)、随机存取存储介质(RAM)、只读存储介质(ROM)等处理元件和存储元件的例如计算机的通用计算设备上运行能够执行如前述实施例中所示的相应方法所涉及的各步骤的计算机程序(包括程序代码),来构造如图6中所示的数据处理装置600,以及来实现本申请实施例的数据处理方法。上述计算机程序可以记载于例如计算机可读记录介质上,并通过计算机可读记录介质装载于上述计算设备中,并在其中运行。
本申请实施例中的数据处理装置600,可以根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别,获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合,在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别,向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识,获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略,再对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据,以及利用上述代理服务器依据上述目标访问策略处理上述目标网络数据,可以按照数据处理级别、基于不同策略进行数据处理,实现办公系统的灵活配置,提高数据处理效率和网络安全性。
基于上述方法实施例以及装置实施例的描述,本申请实施例还提供一种终端。请参见图8,该终端800至少包括处理器801、输入设备802、输出设备803以及计算机存储介质804。其中,终端内的处理器801、输入设备802、输出设备803以及计算机存储介质804可通过总线或其他方式连接。
计算机存储介质804可以存储在终端的存储器中,上述计算机存储介质604用于存储计算机程序,上述计算机程序包括程序指令,上述处理器801用于执行上述计算机存储介质804存储的程序指令。处理器801(中央处理器(Central Processing Unit,CPU))是终端的计算核心以及控制核心,其适于实现一条或多条指令,具体适于加载并执行一条或多条指令从而实现相应方法流程或相应功能;在一个实施例中,本申请实施例上述的处理器801可以用于进行一系列的处理,包括:根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别,获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合,在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别,向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识,获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略,再对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据,以及利用上述代理服务器依据上述目标访问策略处理上述目标网络数据,等等。
本申请实施例还提供了一种计算机存储介质(Memory),上述计算机存储介质是终端中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机存储介质既可以包括终端中的内置存储介质,当然也可以包括终端所支持的扩展存储介质。计算机存储介质提供存储空间,该存储空间存储了终端的操作系统。并且,在该存储空间中还存放了适于被处理器801加载并执行的一条或多条的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器;可选的还可以是至少一个位于远离前述处理器的计算机存储介质。
在一个实施例中,可由处理器801加载并执行计算机存储介质中存放的一条或多条指令,以实现上述实施例中的方法的相应步骤;具体实现中,计算机存储介质中的一条或多条指令可以由处理器801加载并执行前述方法实施例中用户终端可执行的任意步骤。
本申请实施例的终端800可以根据不同请求类型的网络数据的处理频率,确定上述不同请求类型的网络数据所对应的处理级别,获取原始网络数据,判断上述原始网络数据的访问对象是否属于第一对象集合,在上述原始网络数据的访问对象属于上述第一对象集合的情况下,获取上述原始网络数据的请求类型,确定第一处理级别,上述第一处理级别为上述原始网络数据的请求类型所对应的处理级别,向代理服务器发送策略拉取请求,执行云端的策略拉取操作,上述策略拉取请求携带上述第一处理级别标识,获得上述原始网络数据的目标访问策略,上述目标访问策略为上述第一处理级别的访问策略,再对上述原始网络数据进行加密处理和压缩处理,获得目标网络数据,以及利用上述代理服务器依据上述目标访问策略处理上述目标网络数据,可以按照数据处理级别、基于不同策略进行数据处理,实现办公系统的灵活配置,提高数据处理效率和网络安全性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,该模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。所显示或讨论的相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者通过该计算机可读存储介质进行传输。该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是只读存储器(read-onlymemory,ROM),或随机存储存储器(random access memory,RAM),或磁性介质,例如,软盘、硬盘、磁带、磁碟、或光介质,例如,数字通用光盘(digital versatile disc,DVD)、或者半导体介质,例如,固态硬盘(solid state disk,SSD)等。
Claims (12)
1.一种数据处理方法,其特征在于,应用于用户终端,所述方法包括:
根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别;
获取原始网络数据,判断所述原始网络数据的访问对象是否属于第一对象集合;
在所述原始网络数据的访问对象属于所述第一对象集合的情况下,获取所述原始网络数据的请求类型,确定第一处理级别,所述第一处理级别为所述原始网络数据的请求类型所对应的处理级别;
向代理服务器发送策略拉取请求,执行云端的策略拉取操作,所述策略拉取请求携带所述第一处理级别标识;获得所述原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据;
利用所述代理服务器依据所述目标访问策略处理所述目标网络数据。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
记录第一时长周期内所述不同请求类型的网络数据的处理次数,获得所述第一时长周期内所述不同请求类型的网络数据的处理频率;
所述根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别,包括:
根据所述第一时长周期内所述不同请求类型的网络数据的处理频率,确定第二时长周期内所述不同请求类型的网络数据所对应的处理级别。
3.根据权利要求1或2所述的方法,其特征在于,所述执行云端的策略拉取操作,获得所述原始网络数据的目标访问策略包括:
根据所述原始网络数据的访问对象和所述用户终端的互联网协议地址确定处理所述原始网络数据的代理服务器,获取所述代理服务器地址;
所述利用所述代理服务器依据所述目标访问策略处理所述目标网络数据包括:
通过云端加密隧道向所述代理服务器地址发送包含所述目标网络数据的处理指令,所述处理指令用于指示所述代理服务器向业务服务器转发所述原始网络数据,以及使所述业务服务器处理所述原始网络数据,所述云端加密隧道基于安全传输层协议进行加密。
4.根据权利要求3所述的方法,其特征在于,所述获取所述代理服务器地址之后,所述对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据之前,所述方法还包括:
修改所述原始网络数据的网络地址标识为所述代理服务器地址。
5.根据权利要求4所述的方法,其特征在于,所述根据所述访问对象和所述用户终端的互联网协议地址确定处理所述原始网络数据的代理服务器,包括:
根据预设的访问对象与代理服务器地址的映射关系和预设的用户终端的互联网协议地址与代理服务器地址的映射关系,确定所述处理所述原始网络数据的代理服务器地址。
6.根据权利要求4或5所述的方法,其特征在于,所述判断所述原始网络数据的访问对象是否属于第一对象集合包括:
判断所述原始网络数据所请求访问的网络地址是否属于目标网络地址集合;若属于,所述原始网络数据的访问对象属于所述第一对象集合,若不属于,所述原始网络数据的访问对象不属于所述第一对象集合;或者,
判断产生所述原始网络数据的应用程序是否属于目标应用集合;若属于,所述原始网络数据的访问对象属于所述第一对象集合,若不属于,所述原始网络数据的访问对象不属于所述第一对象集合。
7.根据权利要求4或5所述的方法,其特征在于,所述代理服务器为云服务器;
所述获取原始网络数据之前,所述方法还包括:
获取身份认证信息,确定第二处理级别,所述第二处理级别为身份认证的请求类型所对应的处理级别;
利用所述第二处理级别的应用程序接口和所述云服务器对所述身份认证信息进行认证操作,所述认证操作基于超文本传输协议进行双向加密;
在所述认证操作的结果为通过的情况下,生成并存储所述身份认证信息的访问信息和人机关系信息。
8.一种数据处理方法,其特征在于,应用于代理服务器,所述方法包括:
接收来自用户终端的策略拉取请求,所述策略拉取请求携带第一处理级别标识;
向所述用户终端提供原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
通过云端加密隧道接收来自用户终端的目标网络数据,所述云端加密隧道基于安全传输层协议进行加密;
对所述目标网络数据进行解密处理和解压处理,获得所述原始网络数据;
向业务服务器发送所述原始网络数据,以使所述业务服务器处理所述原始网络数据。
9.一种数据处理装置,其特征在于,包括服务分级模块、判断模块、策略服务模块、处理模块和执行模块,其中:
所述服务分级模块,用于根据不同请求类型的网络数据的处理频率,确定所述不同请求类型的网络数据所对应的处理级别;
所述判断模块,用于获取原始网络数据,判断所述原始网络数据的访问对象是否属于第一对象集合;
所述服务分级模块,还用于在所述原始网络数据的访问对象属于所述第一对象集合的情况下,获取所述原始网络数据的请求类型,确定第一处理级别,所述第一处理级别为所述原始网络数据的请求类型所对应的处理级别;
所述策略服务模块,用于向代理服务器发送策略拉取请求,执行云端的策略拉取操作,所述策略拉取请求携带所述第一处理级别标识;获得所述原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
所述处理模块,用于对所述原始网络数据进行加密处理和压缩处理,获得目标网络数据;
所述执行模块,用于利用所述代理服务器依据所述目标访问策略处理所述目标网络数据。
10.一种数据处理装置,其特征在于,包括传输模块、策略服务模块和处理模块,其中:
所述传输模块,用于接收来自用户终端的策略拉取请求,所述策略拉取请求携带第一处理级别标识;
所述策略服务模块,用于向所述用户终端提供原始网络数据的目标访问策略,所述目标访问策略为所述第一处理级别的访问策略;
所述传输模块,还用于通过云端加密隧道接收来自用户终端的目标网络数据,所述云端加密隧道基于安全传输层协议进行加密;
所述处理模块,用于对所述目标网络数据进行解密处理和解压处理,获得所述原始网络数据;
所述传输模块还用于,向业务服务器发送所述原始网络数据,以使所述业务服务器处理所述原始网络数据。
11.一种终端,包括输入设备和输出设备,其特征在于,还包括:
处理器,适于实现一条或多条指令;以及,
计算机存储介质,所述计算机存储介质存储有一条或多条指令,所述一条或多条指令适于由所述处理器加载并执行如权利要求1-7任一项所述的数据处理方法。
12.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有一条或多条指令,所述一条或多条指令适于由处理器加载并执行如权利要求1-7任一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910779389.7A CN111193698B (zh) | 2019-08-22 | 2019-08-22 | 数据处理方法、装置、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910779389.7A CN111193698B (zh) | 2019-08-22 | 2019-08-22 | 数据处理方法、装置、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111193698A true CN111193698A (zh) | 2020-05-22 |
| CN111193698B CN111193698B (zh) | 2021-09-28 |
Family
ID=70709021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910779389.7A Active CN111193698B (zh) | 2019-08-22 | 2019-08-22 | 数据处理方法、装置、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111193698B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111818038A (zh) * | 2020-07-01 | 2020-10-23 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据获取识别方法以及装置 |
| CN111901146A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 一种对象访问的控制方法和装置 |
| CN112182344A (zh) * | 2020-09-28 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 一种数据请求方法、装置、服务器及存储介质 |
| CN112616177A (zh) * | 2020-12-25 | 2021-04-06 | Oppo广东移动通信有限公司 | 网络控制方法、装置、存储介质以及终端 |
| CN113438215A (zh) * | 2021-06-11 | 2021-09-24 | 郑州阿帕斯数云信息科技有限公司 | 数据传输方法、装置、设备和存储介质 |
| CN113448709A (zh) * | 2021-06-30 | 2021-09-28 | 深圳鲲鹏无限科技有限公司 | 智能数据加速的方法、系统、路由器及云端服务器 |
| CN113810484A (zh) * | 2021-09-10 | 2021-12-17 | 深圳云之家网络有限公司 | 文件请求处理方法、装置、计算机设备和存储介质 |
| CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
| CN114172664A (zh) * | 2021-12-07 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 数据加密、数据解密方法、装置、电子设备及存储介质 |
| CN114726908A (zh) * | 2022-03-23 | 2022-07-08 | 阿里云计算有限公司 | 网络通信方法和系统、电子设备及计算机可读存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065059A (zh) * | 2009-11-16 | 2011-05-18 | 华为技术有限公司 | 安全访问控制方法、客户端及系统 |
| CN103440257A (zh) * | 2013-07-26 | 2013-12-11 | 苏州亿倍信息技术有限公司 | 一种数据访问处理的实现方法及系统 |
| WO2015010411A1 (zh) * | 2013-07-26 | 2015-01-29 | 苏州亿倍信息技术有限公司 | 一种数据访问处理方法及系统 |
| CN104657494A (zh) * | 2015-03-06 | 2015-05-27 | 四川智羽软件有限公司 | 一种网站数据库访问方法 |
| US20170078148A1 (en) * | 2015-09-14 | 2017-03-16 | Yoshiki Matsumoto | Data processing system, data processing control apparatus, and data processing control method |
| CN107241341A (zh) * | 2017-06-29 | 2017-10-10 | 北京五八信息技术有限公司 | 访问控制方法及装置 |
| CN107918911A (zh) * | 2016-10-10 | 2018-04-17 | 卡巴斯基实验室股份制公司 | 用于执行安全网上银行交易的系统和方法 |
| CN109543463A (zh) * | 2018-10-11 | 2019-03-29 | 平安科技(深圳)有限公司 | 数据安全访问方法、装置、计算机设备及存储介质 |
| CN109728989A (zh) * | 2017-10-31 | 2019-05-07 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及系统 |
-
2019
- 2019-08-22 CN CN201910779389.7A patent/CN111193698B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065059A (zh) * | 2009-11-16 | 2011-05-18 | 华为技术有限公司 | 安全访问控制方法、客户端及系统 |
| CN103440257A (zh) * | 2013-07-26 | 2013-12-11 | 苏州亿倍信息技术有限公司 | 一种数据访问处理的实现方法及系统 |
| WO2015010411A1 (zh) * | 2013-07-26 | 2015-01-29 | 苏州亿倍信息技术有限公司 | 一种数据访问处理方法及系统 |
| CN104657494A (zh) * | 2015-03-06 | 2015-05-27 | 四川智羽软件有限公司 | 一种网站数据库访问方法 |
| US20170078148A1 (en) * | 2015-09-14 | 2017-03-16 | Yoshiki Matsumoto | Data processing system, data processing control apparatus, and data processing control method |
| CN107918911A (zh) * | 2016-10-10 | 2018-04-17 | 卡巴斯基实验室股份制公司 | 用于执行安全网上银行交易的系统和方法 |
| CN107241341A (zh) * | 2017-06-29 | 2017-10-10 | 北京五八信息技术有限公司 | 访问控制方法及装置 |
| CN109728989A (zh) * | 2017-10-31 | 2019-05-07 | 中国电信股份有限公司 | 用于实现安全接入的方法、装置和系统 |
| CN109543463A (zh) * | 2018-10-11 | 2019-03-29 | 平安科技(深圳)有限公司 | 数据安全访问方法、装置、计算机设备及存储介质 |
| CN110012016A (zh) * | 2019-04-10 | 2019-07-12 | 山东师创云服务有限公司 | 混合云环境中资源访问控制的方法及系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901146B (zh) * | 2020-06-28 | 2023-07-18 | 北京可信华泰信息技术有限公司 | 一种对象访问的控制方法和装置 |
| CN111901146A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 一种对象访问的控制方法和装置 |
| CN111818038A (zh) * | 2020-07-01 | 2020-10-23 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据获取识别方法以及装置 |
| CN112182344A (zh) * | 2020-09-28 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 一种数据请求方法、装置、服务器及存储介质 |
| CN112182344B (zh) * | 2020-09-28 | 2023-09-15 | 腾讯科技(深圳)有限公司 | 一种数据请求方法、装置、服务器及存储介质 |
| CN112616177A (zh) * | 2020-12-25 | 2021-04-06 | Oppo广东移动通信有限公司 | 网络控制方法、装置、存储介质以及终端 |
| CN112616177B (zh) * | 2020-12-25 | 2023-07-21 | Oppo广东移动通信有限公司 | 网络控制方法、装置、存储介质以及终端 |
| CN113438215A (zh) * | 2021-06-11 | 2021-09-24 | 郑州阿帕斯数云信息科技有限公司 | 数据传输方法、装置、设备和存储介质 |
| CN113448709A (zh) * | 2021-06-30 | 2021-09-28 | 深圳鲲鹏无限科技有限公司 | 智能数据加速的方法、系统、路由器及云端服务器 |
| CN113810484A (zh) * | 2021-09-10 | 2021-12-17 | 深圳云之家网络有限公司 | 文件请求处理方法、装置、计算机设备和存储介质 |
| CN114095213B (zh) * | 2021-10-29 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
| CN114095213A (zh) * | 2021-10-29 | 2022-02-25 | 中国电子科技集团公司第三十研究所 | 一种网络访问控制策略管理系统 |
| CN114172664A (zh) * | 2021-12-07 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 数据加密、数据解密方法、装置、电子设备及存储介质 |
| CN114172664B (zh) * | 2021-12-07 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 数据加密、数据解密方法、装置、电子设备及存储介质 |
| CN114726908A (zh) * | 2022-03-23 | 2022-07-08 | 阿里云计算有限公司 | 网络通信方法和系统、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111193698B (zh) | 2021-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111193698B (zh) | 数据处理方法、装置、终端及存储介质 | |
| Schiller et al. | Landscape of IoT security | |
| US11722465B2 (en) | Password encryption for hybrid cloud services | |
| US10326762B2 (en) | Providing devices as a service | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| US8904477B2 (en) | Configuring and providing profiles that manage execution of mobile applications | |
| EP3633954B1 (en) | Providing virtualized private network tunnels | |
| US20230216685A1 (en) | Extending expiration of user sessions with authentication refresh | |
| Batalla et al. | Deployment of smart home management system at the edge: mechanisms and protocols | |
| JP2018525858A (ja) | モバイルプラットフォーム用のマイクロvpnトンネリング | |
| US10341350B2 (en) | Actively identifying and neutralizing network hot spots | |
| US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
| CN111756751A (zh) | 报文传输方法、装置及电子设备 | |
| US11557016B2 (en) | Tracking image senders on client devices | |
| US20200092264A1 (en) | End-point assisted gateway decryption without man-in-the-middle | |
| US10601788B2 (en) | Interception of secure shell communication sessions | |
| CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| US11784973B2 (en) | Edge-based enterprise network security appliance and system | |
| CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、系统及电子设备 | |
| US12010112B2 (en) | Remote secured console over a secured connection for inoperable virtual machine | |
| US20230308434A1 (en) | Remote secured console over a secured connection for inoperable virtual machine | |
| CN118057762A (zh) | 数据采集方法、装置、相关设备和程序产品 | |
| CN117640211A (zh) | 可信安全网络系统、会话建立方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |