CN111756718B - 终端及访问方法、系统、服务器和计算机可读存储介质 - Google Patents
终端及访问方法、系统、服务器和计算机可读存储介质 Download PDFInfo
- Publication number
- CN111756718B CN111756718B CN202010552610.8A CN202010552610A CN111756718B CN 111756718 B CN111756718 B CN 111756718B CN 202010552610 A CN202010552610 A CN 202010552610A CN 111756718 B CN111756718 B CN 111756718B
- Authority
- CN
- China
- Prior art keywords
- data
- terminal
- server
- network
- configuration interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种终端的访问方法,所述终端的访问方法包括以下步骤:获取终端待发送的第一数据;将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。本发明还公开一种终端、服务器、访问系统和计算机可读存储介质。本发明终端内的数据安全性较高。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种终端及访问方法、系统、服务器和计算机可读存储介质。
背景技术
随着智能化设备的普及,人们越来越依赖于智能化终端以进行日常工作以及生活。
无论是企业以及个人,都会重视终端的数据安全。但是终端一般是暴露于互联网环境,终端中存储的私密数据,如企业数据或者生活数据也将直接暴露于互联网,导致终端存在数据泄漏的隐患,终端内的数据安全性低。
发明内容
本发明的主要目的在于提供一种终端及访问方法、系统、服务器和计算机可读存储介质,旨在解决终端内的数据安全性低的问题。
为实现上述目的,本发明提供一种终端的访问方法,所述终端的访问方法包括以下步骤:
获取终端待发送的第一数据;
将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
在一实施例中,所述获取终端待发送的第一数据的步骤包括:
截取所述终端待发送的第三数据;
获取所述终端对应的身份信息以及校验信息;
根据所述身份信息、所述校验信息以及所述第三数据获取所述第一数据。
在一实施例中,所述截取所述终端待发送的第三数据的步骤之后,还包括:
确定所述第三数据是否为预设类型的数据;
在确定所述第三数据为预设类型的数据,将所述第三数据发送至所述终端访问的网络;
在确定所述第三数据不为预设类型的数据,执行所述获取所述终端对应的身份信息以及校验信息的步骤。
在一实施例中,所述获取终端待发送的第一数据的步骤之前,还包括:
在确定所述终端未连接网络,或者所述终端连接的网络不为受信用的网络,执行所述获取终端待发送的第一数据的步骤。
在一实施例中,所述获取终端待发送的第一数据的步骤之前,还包括:
输出第一配置界面;
在检测到所述第一配置界面的受信用的网络的配置完成信息,向所述服务器发送第二配置界面,所述第二配置界面为完成受信用的网络配置后的所述第一配置界面;
保存受信用的网络的网络信息,其中,所述服务器对所述终端验证通过后,向所述终端发送信息以使所述终端保存所述网络信息。
在一实施例中,所述将第一数据发送至服务器的步骤包括:
在至少两个服务器中,确定与所述终端匹配的目标服务器,其中,所述目标服务器与所述终端之间的距离最近,或者,所述目标服务器与所述终端之间的传输速度最大;
将所述第一数据发送至所述目标服务器。
在一实施例中,所述将所述第一数据发送至服务器的步骤之前,还包括:
输出第三配置界面,所述第三配置界面包括至少两个待选定的数据安全程序;
在检测基于所述第三配置界面的选定操作,将所述第四配置界面发送至所述服务器,以供所述服务器将所述第四配置界面中选定的数据安全程序与所述终端进行关联存储,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面。
为实现上述目的,本发明还提供一种终端的访问方法,所述终端的访问方法包括以下步骤:
接收终端发送的第一数据;
根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据;
将所述第二数据发送至所述终端访问的网络。
在一实施例中,所述根据一个或多个数据安全程序删除所述第一数据中的敏感数据得到第二数据的步骤包括:
根据所述第一数据获取所述终端的校验信息、身份信息以及第三数据;
在根据所述校验信息验证所述第三数据未被篡改,根据所述身份信息确定所述终端对应的目标数据安全程序;
根据所述目标数据安全程序删除所述第三数据中的敏感数据得到第二数据。
在一实施例中,所述接收终端发送的第一数据步骤之前,还包括:
接收所述终端发送的受信用的网络的配置请求,向所述终端反馈第一配置界面;
接收第二配置界面,根据所述第二配置界面获取受信用的网络的网络信息,所述第二配置界面为受信用的网络配置完成后的所述第一配置界面;
在所述终端验证通过后,将所述网络信息与所述终端关联存储,并向所述终端发送信息以使所述终端保存所述网络信息。
在一实施例中,所述根据一个或多个数据安全程序删除所述第一数据中的敏感数据得到第二数据的步骤之前,还包括:
接收所述终端发送的数据安全程序的配置请求,向所述终端反馈第三配置界面;
接收所述终端发送的第四配置界面,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面;
根据所述第四配置界面获取所述终端对应的数据安全程序,并将所述终端对应的数据安全程序与所述终端关联存储。
为实现上述目的,本发明还提供一种终端,所述终端包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如上所述的终端的访问方法的各个步骤。
为实现上述目的,本发明还提供一种服务器,所述服务器包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如上所述的终端的访问方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有访问程序,所述访问被处理器执行时实现如上所述的终端的访问方法的各个步骤。
为实现上述目的,本发明还提供一种访问系统,所述访问系统包括一个或多核服务器以及一个或多个终端,所述终端与所述服务器通信连接,其中,
所述终端,用于获取终端待发送的第一数据,并将所述第一数据发送至服务器;
所述服务器,用于接收终端发送的第一数据,并根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
本发明实施例提出的终端及访问方法、系统、服务器和计算机可读存储介质,获取终端待发送的第一数据,并将第一数据发送至服务器,使得服务器通过数据安全程序对第一数据中的敏感数据进行删除得到第二数据,最终将第二数据发送至终端访问的网络。由于终端在访问网络前,会将数据发送至服务器,使得服务器将数据中敏感数据删除,从而避免终端内的私密数据因访问的网络而泄密,终端内的数据安全性较高。
附图说明
图1是本发明实施例方案涉及的终端/服务器的硬件结构示意图;
图2为本发明终端的访问方法一种实施例的流程示意图;
图3为本发明终端的访问方法另一种实施例中步骤S10的细化流程示意图;
图4为本发明终端的访问方法另一种实施例中步骤S10的细化流程示意图;
图5为本发明终端的访问方法另一种实施例中步骤S10的细化流程示意图;
图6为本发明终端的访问方法另一种实施例中步骤S20的细化流程示意图;
图7为本发明终端的访问方法另一种实施例的流程示意图;
图8为本发明为本发明终端的访问方法对应的应用场景的示意图;
图9为本发明中终端访问系统的整体模块示意图;
图10为本发明终端的访问方法另一种实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:获取终端待发送的第一数据;将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
由于终端在访问网络前,会将数据发送至服务器,使得服务器将数据中敏感数据删除,从而避免终端内的私密数据因访问的网络而泄密,终端内的数据安全性较高。
如图1所示,图1是本发明实施例方案涉及的终端/服务器的硬件结构示意图。
如图1所示,本发明实施例方案涉及是终端以及服务器,终端可为移动的设备,如手机、笔记本等,终端中装载有BYOD(Bring Your Own Device)程序,该程序与服务器通信连接,且用户通过BYOD程序在服务器注册且登录注册的账号后,BYOD程序在后台的状态为运行状态处于运行中。服务器可为ISSP(Internet Security Service Platform,上网安全服务平台)。ISSP可与终端所属群组一一对应,例如,终端所述群组为企业,则企业内的所有成员的终端(企业内员工的终端全部在服务器完成注册)对应一个ISSP。ISSP中包括至少一个数据安全程序,数据安全程序可用于企业内的终端的流量数据的管理,避免企业内部数据泄漏。数据安全程序可由企业的对应的管理终端在ISSP上设置,数据安全程序也可以是默认的。服务器以及终端可以包括:处理器1001,例如CPU,通信总线1002,存储器1003。其中,通信总线1002用于实现这些组件之间的连接通信。存储器1003可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1003可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对终端/服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1003中可以包括操作系统和访问程序。
在图1所示的终端/服务器中,处理器1001可以用于调用存储器1003中存储的调节程序,并执行以下操作:
获取终端待发送的第一数据;
将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
截取所述终端待发送的第三数据;
获取所述终端对应的身份信息以及校验信息;
根据所述身份信息、所述校验信息以及所述第三数据获取所述第一数据。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
确定所述第三数据是否为预设类型的数据;
在确定所述第三数据为预设类型的数据,将所述第三数据发送至所述终端访问的网络;
在确定所述第三数据不为预设类型的数据,执行所述获取所述终端对应的身份信息以及校验信息的步骤。
在一实施例中,所述获取终端待发送的第一数据的步骤之前,还包括:
在确定所述终端未连接网络,或者所述终端连接的网络不为受信用的网络,执行所述获取终端待发送的第一数据的步骤。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
输出第一配置界面;
在检测到所述第一配置界面的受信用的网络的配置完成信息,向所述服务器发送第二配置界面,所述第二配置界面为完成受信用的网络配置后的所述第一配置界面;
保存受信用的网络的网络信息,其中,所述服务器对所述终端验证通过后,向所述终端发送信息以使所述终端保存所述网络信息。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
在至少两个服务器中,确定与所述终端匹配的目标服务器,其中,所述目标服务器与所述终端之间的距离最近,或者,所述目标服务器与所述终端之间的传输速度最大;
将所述第一数据发送至所述目标服务器。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
输出第三配置界面,所述第三配置界面包括至少两个待选定的数据安全程序;
在检测基于所述第三配置界面的选定操作,将所述第四配置界面发送至所述服务器,以供所述服务器将所述第四配置界面中选定的数据安全程序与所述终端进行关联存储,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
接收终端发送的第一数据;
根据一个或多个数据安全程序删除所述第一数据中的敏感数据得到第二数据;
将所述第二数据发送至所述终端访问的网络。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
根据所述第一数据获取所述终端的校验信息、身份信息以及第三数据;
在根据所述校验信息验证所述第三数据未被篡改,根据所述身份信息确定所述终端对应的目标数据安全程序;
根据所述目标数据安全程序删除所述第三数据中的敏感数据得到第二数据。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
接收所述终端发送的受信用的网络的配置请求,向所述终端反馈第一配置界面;
接收第二配置界面,根据所述第二配置界面获取受信用的网络的网络信息,所述第二配置界面为受信用的网络配置完成后的所述第一配置界面;
在所述终端验证通过后,将所述网络信息与所述终端关联存储,并向所述终端发送信息以使所述终端保存所述网络信息。
在一实施例中,处理器1001可以调用存储器1003中存储的访问程序,还执行以下操作:
接收所述终端发送的数据安全程序的配置请求,向所述终端反馈第三配置界面;
接收所述终端发送的第四配置界面,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面;
根据所述第四配置界面获取所述终端对应的数据安全程序,并将所述终端对应的数据安全程序与所述终端关联存储。
基于上述硬件构建,提出本发明终端的访问方法的各个实施例。
参照图2,本发明第一实施例提供一种终端的访问方法,所述终端的访问方法包括以下步骤:
步骤S10,获取终端待发送的第一数据;
在本实施例中,执行主体为终端。终端中存储有私密数据,私密数据可以是用户的生活数据或者工作数据,终端为具有数据处理能力的设备,终端可为手机、笔记本等便携式终端,或者终端还可以是不方便携带的终端。
终端上装载有BYOD程序,BYOD程序可以将终端访问网络所需发送的数据引流至服务器,通过服务器对数据进行安全防护,再将安全防护后的数据发送至终端所需访问的网络。终端在装载BYOD程序后,需要在服务器上进行注册,注册成功后,服务器会保存终端的身份信息,且为终端配置账号,账号与身份信息关联。身份信息可以是服务器为终端配置的编号等唯一标识,也可以是终端的设备标识。终端可以个人的形式向服务器注册,也可以以群组的形式向服务器进行注册。以下对终端注册进行详细的说明。
终端在下载BYOD程序对应的客户端后,打开BYOD程序,终端会显示一个认证页面,用于终端在服务器上的注册。用户在认证页面上输入用户名、密码以及注册方式,注册方式可为个体注册以及群组注册。认证页面上的按钮被点击后,即可视为终端向服务器发送认证请求。此时,服务器接收终端发送的认证页面,通过认证页面获取用户名、密码以及注册方式,再为终端配置身份信息,根据注册方式将用户名、密码以及身份信息关联保存,最后向终端发出认证成功的提示信息,使得终端可以基于用户名以及密码打开BYOD程序。BYOD程序打开后,会在后台一直运行。在终端需要访问网络时,BYOD程序会获取终端待发送的第一数据。第一数据即为终端访问网络所需发送至网络的数据。
步骤S20,将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
终端通过BYOD程序将第一数据引流至服务器,也即将第一数据发送至服务器。服务器上设置有至少一个数据安全程序,数据安全程序用于对数据进行审计以及防护,也即服务器设置一个或者一个以上的数据安全程序。服务器在得到第一数据后,将第一数据输入至所设置的数据安全程序中,从而使得数据安全程序对第一数据进行审计以及防护,并将第一数据中的敏感数据删除。敏感数据可以企业数据或者用户的私人数据。数据安全程序可以通过第一数据中的预设字段确定第一数据中是否含有敏感数据,还可检测第一数据中的来源是否为终端的私密程序或者第一数据的来源是否为企业程序。
数据安全程序会将第一数据中的敏感数据进行删除得到第二数据,再将第二数据发送至终端访问的网络,从而使得网络将数据发送至终端所需访问的地址。例如,终端访问百度,则网络将第二数据发送至百度浏览器。需要说明的是,终端内的BYOD通过透传技术将第一数据发送至服务器。通过透传技术可将基本原封不动的第一数据透传至服务器。
在本实施例提供的技术方案中,获取终端待发送的第一数据,并将第一数据发送至服务器,使得服务器通过数据安全程序对第一数据中的敏感数据进行删除得到第二数据,最终将第二数据发送至终端访问的网络。由于终端在访问网络前,会将数据发送至服务器,使得服务器将数据中敏感数据删除,从而避免终端内的私密数据因访问的网络而泄密,终端内的数据安全性较高。
参照图3,图3为本发明终端的访问方法的第二实施例,基于第一实施例,所述步骤S10包括:
步骤S11,截取所述终端待发送的第三数据;
在本实施例中,终端在截取数据后,会对数据进行处理,再将处理后的数据发送至服务器。终端在需要访问网络时,会有原始数据向网络发送,终端通过抓包技术对原始数据进行截取,原始数据即为第三数据。而抓包技术与终端的操作系统的类型相对应。
对于操作系统为windows的终端而言,终端采用Windows驱动技术,可抓取所有二层(链路层)、三层(IP层)以上的所有协议数据。Windows驱动技术可以以开源windivert为例,Windivert原理依据匹配条件,将符合条件的数据包捕获,其中可以进行匹配的条件如下图。BYOD程序设置好WinDivert的匹配条件为抓取所有数据包,选择Field为ip、ipv6后调用WinDivert提供的API接口即可获取对应的数据报文,数据报文即为第三数据。
| Field | Description |
| out bouns | Is outbound?(only valid for WINDIVERT_LAYER_NETWORK) |
| inbbound | Is inbound?(only valid for WINDIVERT_LAYER_NETWORK) |
| ifIdx | Interface index |
| subIfIdx | Sub-interface index |
| loopback | Is loopback packet? |
| impostor | Is impostor packet? |
| ip | IsIPv4? |
| ipv6 | Is IPv6? |
| icmp | Is ICMP? |
| icmpv6 | Is ICMPv6? |
| tcp | Is TCP? |
| udp | Is UDP? |
| ip.* | IPv4 fields(see WINDIVERT_IPHDR) |
| ipv6.* | IPv6 fields(see WINDIVERT_IP V6HDR) |
| icmp.* | ICMP fields(see WINDIVERT_ICMPHDR) |
| icmpv6.* | ICMPV6 fields(see WINDIVERT_ICMPV6HDR) |
| tcp.* | TCP fields(see WINDIVERT-TCPHDR) |
| tcp.PayloadLength | The TCP payload length |
| udp.* | UDP fields(see WINDIVERT-UDPHDR) |
| udp.PayloadLength | The UDP payload length |
对于非windows的终端而言,抓包技术采用本地HTTP代理,可抓取所有HTTP/HTTPS协议的数据。BYOD客户端在内部实现一个HTTP代理服务器,IP地址为127.0.0.1(代表本地地址),端口随机。相关软件(如浏览器)主动设置或由BYOD客户端强制设置其HTTP代理配置,指向BYOD客户端内部的HTTP代理服务器。
步骤S12,获取所述终端对应的身份信息以及校验信息;
步骤S13,根据所述身份信息、所述校验信息以及所述第三数据获取所述第一数据。
终端截取第三数据后,再获取身份信息以及校验信息,最后通过校验信息、身份信息以及BYOD协议对第三数据进行处理得到第一数据。具体的,终端按照获取一个CRC校验字段(校验信息),以防止第三数据被篡改,保护数据安全;终端再获取一个BYOD-KEY字段,BYOD-KEY字段表征终端的身份,即可视为终端的身份信息,BYOD-KEY字段为服务器为终端配置的,并存储在服务器以及BYOD程序内。终端将CRC校验字段以及BYOD-KEY字段放入至第三数据中,并进行加密得到第一数据。
服务器在接收到第一数据后,对第一数据进行解密得到第三数据、校验信息以及身份信息。服务器通过校验信息与预存的校验信息进行比对,若一致,则可确定第三数据未被篡改。服务器再根据身份信息确定终端对应的用户在服务器所购买的目标数据安全程序,再将第三数据一一输入至各个目标数据安全程序中,以进行敏感数据的删除,从而得到第二数据。服务器最后将第二数据发送至终端访问的网络。
在本实施例提供的技术方案中,终端截取第三数据,且获取校验信息以及身份信息,从而根据校验信息、身份信息以及第三数据生成第一数据,使得服务器根据第一数据确定终端所对应的目标数据安全程序,从而准确在第三数据中删除用户所设定的敏感数据。
参照图4,图4为本发明终端的访问方法的第三实施例,基于第二实施例,所述步骤S11之后,还包括:
步骤S14,确定所述第三数据是否为预设类型的数据;
步骤S15,在确定所述第三数据为预设类型的数据,将所述第三数据发送至所述终端访问的网络;
步骤S16,在确定所述第三数据不为预设类型的数据,执行所述获取所述终端对应的身份信息以及校验信息的步骤。
在本实施例中,终端并不会将任何类型的数据发送至服务器。例如,音视频数据。终端可以设置预设类型的数据。在终端截取到第三数据后,对第三数据进行分析,若是第三数据全部为预设类型的数据时,则直接将第三数据发送至终端访问的网络。而在当第三数据包含有不是预设类型的数据时,则需要对第三数据进行处理,也即获取校验信息以及身份信息,从而根据校验信息以及身份信息对第三数据进行处理得到第一数据。
在本实施例提供的技术方案中,终端在截取第三数据后,确定第三数据是否为预设类型的数据,若是,则直接将第三数据发送至网络,若否,则将第三数据处理成第一数据,以通过服务器对第一数据进行敏感数据的删除,避免终端内的私密数据泄露。
参照图5,图5为本发明终端的访问方法的第四实施例,基于第一至第三中任一实施例,所述步骤S10包括:
步骤S17,在确定所述终端未连接网络,或者所述终端连接的网络不为受信用的网络,获取终端待发送的第一数据。
在本实施例中,终端可为群组中成员的终端。群组可为企业,也即终端为企业员工的终端。企业内自身设置有局域网,该局域网可设置数据安全程序,例如,防火墙等。终端在群组的内网中,传输的数据是安全,无需担心私密数据的泄露。而在当员工离开公司后,终端的网络环境变为互联网,则存在私密数据的泄露。对此,终端通过BYOD程序实时检测终端所处的网络环境,在当终端未连接网络,即可确定终端离开群组的内网,终端有私密数据泄露的隐患。私密数据为用户的工作数据,工作数据例如业务数据、业绩数据、以及公司内部培训数据等。对此,终端实时获取待发送的第一数据,再将第一数据发送至服务器,以供服务器将第一数据中的敏感数据删除。
此外,终端可通过BYOD程序设置受信用的网络,若终端连接的网络不为受信用的网络时,即可判定终端有私密数据的泄露的隐患。因此,在终端连接的网络不为受信用的网络,也即非信用网络时,再实时将待发送的第一数据发送至服务器。
用户可以通过终端设置受信用的网络,在终端连接受信用的网络下,无需将待发送的第一数据发送至服务器。具体的,终端通过BYOD程序向服务器发送受信用网络的配置请求,使得服务器反馈第一配置界面,也即终端显示第一配置界面。用户可以在第一配置界面上输入受信用的网络的网络信息。若完成网络信息的输入,即可点击第一配置界面上的完成按钮,此时,终端即检测到第一配置界面的受信用的网络的配置完成信息,终端再将第二配置界面发送至服务器,第二配置界面为完成受信用的网络配置后的第一配置界面。服务器接收到第二配置界面后,从第二配置界面中获取受信用的网络的网络信息,网络信息包括SSID(Service Set Identifier,服务集标识)以及密码。服务器验证终端,若验证通过后,即可向终端发送信息使得终端通过第二配置界面保存网络信息。服务器验证终端是通过验证终端的身份信息是否被存储,若被存储,即可确定终端对应的用户为租户,也即终端在服务器上进行了数据安全服务的付费购买,且终端进行了注册。
参照图6,图6为本发明终端的访问方法的第五实施例,基于第一至第四中任一实施例,所述步骤S20包括:
步骤S21,在至少两个服务器中,确定与所述终端匹配的目标服务器,其中,所述目标服务器与所述终端之间的距离最近,或者,所述目标服务器与所述终端之间的传输速度最大;
步骤S22,将所述第一数据发送至所述目标服务器。
在本实施例中,服务器为多个,也即服务器的数量为至少两个。服务器可视为一个云节点,各个云节点构成ISSP平台。BYOD程序可以获取终端的位置,从而根据位置确定距离终端最近的服务器以作为与终端匹配的目标服务器。距离终端最近的目标服务器,可减少终端耗费的流量。此外,BYOD程序可以获取终端与各个服务器之间的传输速度,将传输速度最大的服务器作为目标服务器,从而保证终端的访问速度。可以理解的是,终端在多个服务器中确定与终端匹配的目标服务器,再将第一数据发送至目标服务器,目标服务器与终端之间的距离最近,或者,目标服务器与终端之间的传输速度最大。
在本实施例提供的技术方案中,终端在至少两个服务器中确定目标服务器,从而将第一数据发送至目标服务器,减少终端所耗费的流量或者保证终端的访问速度。
参照图7,图7为本发明终端的访问方法的第六实施例,基于第一至第五中任一实施例,所述步骤S20之前,还包括:
步骤S30,输出第三配置界面,所述第三配置界面包括至少两个待选定的数据安全程序;
步骤S40,在检测基于所述第三配置界面的选定操作,将第四配置界面发送至所述服务器,以供所述服务器将所述第四配置界面中选定的数据安全程序与所述终端进行关联存储,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面。
在本实施例中,用户可以为终端配置数据安全程序。具体的,终端可以显示第三配置界面,第三配置界面包括至少两个待选的数据安全程序。用户可基于第三配置界面选定数据安全程序。终端在检测到第三配置界面的选定操作,即可确定用户完成了数据安全程序的选择,终端再将第四配置界面发送至服务器,第四配置界面即为完成选定操作的第三配置界面。服务器在接收到第四配置界面后,从第四配置界面中获取选的的数据安全程序,再将数据安全程序与终端的身份信息进行关联保存,使得服务器在接收到该终端的数据时,识别终端的身份信息,将数据一一输入至身份信息关联的各个数据安全程序内以进行敏感数据的删除。当然,终端所选定的数据安全程序需要进行付费,若服务器接收到支付服务器关于数据安全程序的使用许可费的支付完成信息后,再将数据安全程序与身份信息进行关联存储。
在本实施例提供的技术方案中,终端输出第三配置界面,以供用户配置终端数据的数据安全程序,从而使得服务器能够去除第一数据中用户所设定的敏感数据。
基于上述终端的访问方法的各个实施例,对本发明的应用场景进行说明。
参照图8,图8为本发明终端的访问方法对应的应用场景的示意图。
ISSP包括ISSP运营平台以及ISSP租户平台。ISSP运营平台提供后台管理云节点,后台管理云节点即为图8中所示的云状结构。ISSP运营平台设置ISSP管理员,ISSP管理员使用ISSP运营平台,以提供ISSP整体的后台管理以及租户管理功能。ISSP管理员具有后台管理以及租户管理的权限。后台管理即为对网络拓扑等系统管理事项进行管理,而租户管理即为租户的授权、租户创建删除等。ISSP租户平台由租户使用,例如,租户A管理员以及租户B管理员。ISSP租户平台作为租户登陆ISSP的统一入口,负责租户晕业务的集中管理与实现。ISSP提供状态总览以及配置管理权限,状态总览权限为查看租户整体云业务的状态信息。配置管理权限为租户进行整体业务的配置,例如,租户A以及租户B在云节点中配置数据安全程序vAC(Virtual Internet Access Management,云端虚拟AC)、vAF(防火墙)、vSIP(Virtual Internet Security Intelligence Platform,安全感知平台)以及vSSL VPN(安全套层协议建立远程安全访问通道的虚拟专用网络技术)四个数据安全程序。
笔记本租户A、台式电脑租户A以及手机租户B直接访问互联网,存在泄漏私密数据的风险,因此,对上述终端(笔记本、台式电脑以及手机)上装载BYOD客户端。在终端暴露于互联网下,终端中的BYOD客户端将需要访问互联网的数据引流至ISSP中的ISSP分流器,通过ISSP分流器将数据发送至终端租户所对应的数据安全程序中进行数据的审计等防护,最终将进行敏感数据删除的信息发送至互联网中。
参照图9,图9为本发明中终端访问系统的整体模块示意图。其中,虚线框表示ISSP,DP(DisplayPort,显示接口)。ISSP具有以下功能:
1、ISSP实现一个高并发的TCP(Transmission Control Protocol,传输控制协议)网络服务器,打通各组件间的数据通信,以及实现相应的业务功能;
2、ISSP通过管理对应的SockFd(SockFd为创建套接字Socket返回的值),完成租户平台、BYOD客户端、BYOD控制台三者相互之间的数据转发;
3、ISSP还可实现多Socket的管理,对Socket进行角色关联,以及转发相关角色间的业务数据;
4、实现TCP数据代理,所以由租户平台实现数据的代理转发,通过TCP协议交互数据;
5、通过在数据报文携带角色身份信息(客户端、控制台),来识别流量的身份。
本发明还提供一种终端的访问方法。
参照图10,图10为本发明终端的访问方法的第七实施例,所述终端的访问方法,还包括:
步骤S100,接收终端发送的第一数据;
步骤S200,根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据;
步骤S300,将所述第二数据发送至所述终端访问的网络。
在本实施例中,执行主体为服务器。服务器对于终端发送的第一数据进行敏感数据的删除,得到第二数据,再将第二数据发送至终端所需访问的网络。具体流程参照上述实施例的描述,在此不再进行赘述。
此外,服务器还涉及受信用的网络的配置,具体为:接收所述终端发送的受信用的网络的配置请求,向所述终端反馈第一配置界面;接收第二配置界面,根据所述第二配置界面获取受信用的网络的网络信息,所述第二配置界面为受信用的网络配置完成后的所述第一配置界面;在所述终端验证通过后,将所述网络信息与所述终端关联存储,并向所述终端发送信息以使所述终端保存所述网络信息。
服务器还涉及终端的数据安全程序的配置,具体为:接收所述终端发送的数据安全程序的配置请求,向所述终端反馈第三配置界面;接收所述终端发送的第四配置界面,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面;根据所述第四配置界面获取所述终端对应的数据安全程序,并将所述终端对应的数据安全程序与所述终端关联存储。
服务器还涉及对第一数据中第三数据的校验,具体为:根据所述第一数据获取所述终端的校验信息、身份信息以及第三数据;在根据所述校验信息验证所述第三数据未被篡改,根据所述身份信息确定所述终端对应的目标数据安全程序;根据所述目标数据安全程序删除所述第三数据中的敏感数据得到第二数据。上述流程的详细说明参照上述实施例的描述,在此不再进行赘述。
在本实施例提供的技术方案中,服务器接收终端发送的第一数据,服务器通过数据安全程序对第一数据中的敏感数据进行删除得到第二数据,最终将第二数据发送至终端访问的网络。由于终端在访问网络前,会将数据发送至服务器,使得服务器将数据中敏感数据删除,从而避免终端内的私密数据因访问的网络而泄密,终端内的数据安全性较高。
本发明还提供一种终端,所述终端包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如上实施例所述的终端的访问方法的各个步骤。
本发明还提供一种服务器,所述服务器包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如上实施例所述的终端的访问方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有访问程序,所述访问被处理器执行时实现如上实施例所述的终端的访问方法的各个步骤。
本发明还提供一种访问系统,所述访问系统包括一个或多个服务器以及一个或多个终端,所述终端与所述服务器通信连接,其中,
所述终端,用于获取终端待发送的第一数据,并将所述第一数据发送至服务器;
所述服务器,用于接收终端发送的第一数据,并根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (15)
1.一种终端的访问方法,其特征在于,所述终端的访问方法包括以下步骤:
获取终端待发送的第一数据,所述第一数据为所述终端访问网络所需发送至网络的数据;
将所述第一数据发送至服务器,其中,所述服务器通过至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
2.如权利要求1所述的终端的访问方法,其特征在于,所述获取终端待发送的第一数据的步骤包括:
截取所述终端待发送的第三数据;
获取所述终端对应的身份信息以及校验信息;
根据所述身份信息、所述校验信息以及所述第三数据获取所述第一数据。
3.如权利要求2所述的终端的访问方法,其特征在于,所述截取所述终端待发送的第三数据的步骤之后,还包括:
确定所述第三数据是否为预设类型的数据;
在确定所述第三数据为预设类型的数据,将所述第三数据发送至所述终端访问的网络;
在确定所述第三数据不为预设类型的数据,执行所述获取所述终端对应的身份信息以及校验信息的步骤。
4.如权利要求1所述的终端的访问方法,其特征在于,所述获取终端待发送的第一数据的步骤之前,还包括:
在确定所述终端未连接网络,或者所述终端连接的网络不为受信用的网络,执行所述获取终端待发送的第一数据的步骤。
5.如权利要求4所述的终端的访问方法,其特征在于,所述获取终端待发送的第一数据的步骤之前,还包括:
输出第一配置界面;
在检测到所述第一配置界面的受信用的网络的配置完成信息,向所述服务器发送第二配置界面,所述第二配置界面为完成受信用的网络配置后的所述第一配置界面;
保存受信用的网络的网络信息,其中,所述服务器对所述终端验证通过后,向所述终端发送信息以使所述终端保存所述网络信息。
6.如权利要求1所述的终端的访问方法,其特征在于,所述将第一数据发送至服务器的步骤包括:
在至少两个服务器中,确定与所述终端匹配的目标服务器,其中,所述目标服务器与所述终端之间的距离最近,或者,所述目标服务器与所述终端之间的传输速度最大;
将所述第一数据发送至所述目标服务器。
7.如权利要求1-5任一项所述的终端的访问方法,其特征在于,所述将所述第一数据发送至服务器的步骤之前,还包括:
输出第三配置界面,所述第三配置界面包括至少两个待选定的数据安全程序;
在检测基于所述第三配置界面的选定操作,将第四配置界面发送至所述服务器,以供所述服务器将所述第四配置界面中选定的数据安全程序与所述终端进行关联存储,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面。
8.一种终端的访问方法,其特征在于,所述终端的访问方法包括以下步骤:
接收终端发送的第一数据,所述第一数据为所述终端访问网络所需发送至网络的数据;
根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据;
将所述第二数据发送至所述终端访问的网络。
9.如权利要求8所述的终端的访问方法,其特征在于,所述根据一个或多个数据安全程序删除所述第一数据中的敏感数据得到第二数据的步骤包括:
根据所述第一数据获取所述终端的校验信息、身份信息以及第三数据;
在根据所述校验信息验证所述第三数据未被篡改,根据所述身份信息确定所述终端对应的目标数据安全程序;
根据所述目标数据安全程序删除所述第三数据中的敏感数据得到第二数据。
10.如权利要求8所述的终端的访问方法,其特征在于,所述接收终端发送的第一数据步骤之前,还包括:
接收所述终端发送的受信用的网络的配置请求,向所述终端反馈第一配置界面;
接收第二配置界面,根据所述第二配置界面获取受信用的网络的网络信息,所述第二配置界面为受信用的网络配置完成后的所述第一配置界面;
在所述终端验证通过后,将所述网络信息与所述终端关联存储,并向所述终端发送信息以使所述终端保存所述网络信息。
11.如权利要求8-10任一项所述的终端的访问方法,其特征在于,所述根据一个或多个数据安全程序删除所述第一数据中的敏感数据得到第二数据的步骤之前,还包括:
接收所述终端发送的数据安全程序的配置请求,向所述终端反馈第三配置界面;
接收所述终端发送的第四配置界面,所述第四配置界面为完成数据安全程序的选定操作的所述第三配置界面;
根据所述第四配置界面获取所述终端对应的数据安全程序,并将所述终端对应的数据安全程序与所述终端关联存储。
12.一种终端,其特征在于,所述终端包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如权利要求1-7任一项所述的终端的访问方法的各个步骤。
13.一种服务器,其特征在于,所述服务器包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的访问程序,所述访问程序被所述处理器执行时实现如权利要求8-11任一项所述的终端的访问方法的各个步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有访问程序,所述访问被处理器执行时实现如权利要求1-11任一项所述的终端的访问方法的各个步骤。
15.一种访问系统,其特征在于,所述访问系统包括一个或多核服务器以及一个或多个终端,所述终端与所述服务器通信连接,其中,
所述终端,用于获取终端待发送的第一数据,所述第一数据为所述终端访问网络所需发送至网络的数据,并将所述第一数据发送至服务器;
所述服务器,用于接收终端发送的第一数据,并根据至少一个数据安全程序删除所述第一数据中的敏感数据得到第二数据,且将所述第二数据发送至所述终端访问的网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010552610.8A CN111756718B (zh) | 2020-06-15 | 2020-06-15 | 终端及访问方法、系统、服务器和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010552610.8A CN111756718B (zh) | 2020-06-15 | 2020-06-15 | 终端及访问方法、系统、服务器和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111756718A CN111756718A (zh) | 2020-10-09 |
| CN111756718B true CN111756718B (zh) | 2022-09-30 |
Family
ID=72676294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010552610.8A Active CN111756718B (zh) | 2020-06-15 | 2020-06-15 | 终端及访问方法、系统、服务器和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756718B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113221147B (zh) * | 2021-05-27 | 2023-05-23 | 安天科技集团股份有限公司 | 数据包处理方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008040223A1 (fr) * | 2006-09-18 | 2008-04-10 | Jie Bai | Procédé de filtrage de données nocives transférées entre un terminal et un hôte de destination dans un réseau |
| WO2014047168A1 (en) * | 2012-09-18 | 2014-03-27 | Citrix Systems, Inc. | Mobile device management and security |
| CN103733663A (zh) * | 2011-08-10 | 2014-04-16 | 高通股份有限公司 | 用于在移动装置上提供安全虚拟环境的方法和设备 |
| US9609025B1 (en) * | 2015-11-24 | 2017-03-28 | International Business Machines Corporation | Protection of sensitive data from unauthorized access |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9785794B2 (en) * | 2013-12-12 | 2017-10-10 | Citrix Systems, Inc. | Securing sensitive data on a mobile device |
| CN106060796B (zh) * | 2016-06-01 | 2018-12-25 | 宇龙计算机通信科技(深圳)有限公司 | 终端的备份销毁方法和装置 |
-
2020
- 2020-06-15 CN CN202010552610.8A patent/CN111756718B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008040223A1 (fr) * | 2006-09-18 | 2008-04-10 | Jie Bai | Procédé de filtrage de données nocives transférées entre un terminal et un hôte de destination dans un réseau |
| CN103733663A (zh) * | 2011-08-10 | 2014-04-16 | 高通股份有限公司 | 用于在移动装置上提供安全虚拟环境的方法和设备 |
| WO2014047168A1 (en) * | 2012-09-18 | 2014-03-27 | Citrix Systems, Inc. | Mobile device management and security |
| CN104798355A (zh) * | 2012-09-18 | 2015-07-22 | 思杰系统有限公司 | 移动设备管理和安全 |
| US9609025B1 (en) * | 2015-11-24 | 2017-03-28 | International Business Machines Corporation | Protection of sensitive data from unauthorized access |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111756718A (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10284603B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US7861285B2 (en) | System, method and computer program product for authenticating users using a lightweight directory access protocol (LDAP) directory server | |
| US10110638B2 (en) | Enabling dynamic authentication with different protocols on the same port for a switch | |
| US8141143B2 (en) | Method and system for providing remote access to resources in a secure data center over a network | |
| US8683565B2 (en) | Authentication | |
| US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
| US8005983B2 (en) | Rule-based routing to resources through a network | |
| US7636936B2 (en) | Administration of protection of data accessible by a mobile device | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| US20150295892A1 (en) | Automatic certificate enrollment in a special-purpose appliance | |
| US20020004847A1 (en) | System for performing remote operation between firewall-equipped networks or devices | |
| US20060021020A1 (en) | Method for directly connecting an inherently secure computer to a private network element | |
| JP2016530814A (ja) | 大量のvpn接続を遮断するためのゲートウェイデバイス | |
| IL180404A (en) | Method and systems for routing data packets from endpoint to gate | |
| CN110071806A (zh) | 基于接口校验的数据处理的方法和系统 | |
| US11855993B2 (en) | Data shield system with multi-factor authentication | |
| US20220150703A1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| CN111756718B (zh) | 终端及访问方法、系统、服务器和计算机可读存储介质 | |
| KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| CN109905402B (zh) | 基于ssl vpn的sso登录方法和装置 | |
| US20200177544A1 (en) | Secure internet gateway | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| US20080022366A1 (en) | Enterprise access configuration | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| US8185642B1 (en) | Communication policy enforcement in a data network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |