业务访问控制方法、装置、系统及计算机可读存储介质
技术领域
本申请涉及通信领域,具体涉及一种业务访问控制方法、装置、系统及计算机可读存储介质。
背景技术
随着安全边界、零信任等安全技术的发展,为了保证业务数据的安全性,同一主体,例如公司、服务运营商等所提供的不同业务往往会在不同的IDC(Internet DataCenter,数据中心)或者不同的云厂家部署不同的业务服务器,以实现物理资源或者云资源的隔离,这些不同的业务服务器相互独立,形成一个个的内网,业务服务器之间通过物理专线或者云专线进行连接,然后为所有的业务服务器部署统一的入口;来自终端的访问请求路由到入口处的交换设备之后,交换设备将该请求发送至任意的一个业务服务器(一般为主体设置的主业务服务器),业务服务器之间基于专线可以将访问请求发送至对应的业务服务器。
当前的业务访问系统至少存在技术问题:不同业务服务器之间需要部署物理专线或者云专线等通信专线,资源消耗大,部署成本高。
申请内容
本申请实施例提供一种业务访问控制方法、装置、系统及计算机可读存储介质,以解决当前业务访问系统需要在同一主体下不同业务服务器之间部署通信专线的技术问题。
为解决上述技术问题,本申请实施例提供以下技术方案:
本申请实施例提供一种业务访问控制方法,其包括:
展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
通过所述访问控制界面接收配置操作;
根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备。
本申请实施例提供一种业务访问控制方法,其包括:
获取待发送的第一业务访问请求对应的目标业务服务器;
获取所述目标业务服务器对应的目标交换设备;
根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
本申请实施例提供一种业务访问控制方法,其包括:
配置终端展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标交换设备的设备标识发送至控制服务器;
所述控制服务器基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备;
所述访问终端获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;
所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
本申请实施例提供一种业务访问控制装置,其包括:
展示模块,用于展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
接收模块,用于通过所述访问控制界面接收配置操作;
确定模块,用于根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
发送模块,用于将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备。
本申请实施例提供一种业务访问控制装置,其包括:
获取模块,用于获取待发送的第一业务访问请求对应的目标业务服务器;
调用模块,用于获取所述目标业务服务器对应的目标交换设备;
处理模块,用于根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
请求模块,用于发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
本申请实施例提供一种业务访问控制系统,其包括配置终端、控制服务器、交换设备以及业务服务器,其中:
所述业务服务器用于提供业务数据;
所述配置终端用于展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标业务服务器对应的目标交换设备发送至控制服务器;
所述控制服务器用于基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备;
所述访问终端用于获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;
所述目标交换设备用于接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
本申请实施例提供一种服务器,其包括处理器和存储器,存储器存储有多条指令,指令适于处理器进行加载,以执行上述方法中的步骤。
本申请实施例提供一种终端,其包括处理器和存储器,存储器存储有多条指令,指令适于处理器进行加载,以执行上述方法中的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行上述方法中的步骤。
本申请实施例提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中;计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述方法中的步骤。
本申请实施例提供了一种业务访问控制方法、装置、系统及计算机可读存储介质,在该方法中,配置终端首先为每个业务服务器配置对应的交换设备,之后用户在需要访问主体下的某些业务数据时,访问终端根据提供该业务数据的业务服务器对应的交换设备的设备标识对访问请求进行包装等处理,直接将访问请求路由到该业务服务器对应的交换设备,而该交换设备可以直接基于访问请求连接到对应的业务服务器获取业务数据后反馈到访问终端,完成了业务访问流程;基于本申请,同一主体下的不同业务服务器之间不需要进行访问请求的转发,进而也不需要部署通信专线,在解决了当前业务访问系统需要在同一主体下不同业务服务器之间部署通信专线的技术问题的同时,也使得主体暴露给访问终端的业务服务器更少,提高了业务服务器的安全性,例如不需要在基于云资源实现的业务服务器之间部署云专线,在降低了云资源消耗的同时,也提高了云的业务安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本申请实施例涉及的当前业务访问控制系统的组网示意图。
图1b是本申请实施例提供的业务访问控制系统的组网示意图。
图2是本申请实施例提供的业务访问控制方法的第一种流程示意图。
图3是本申请实施例提供的业务访问控制方法的第二种流程示意图。
图4是本申请实施例提供的业务访问控制方法的第三种流程示意图。
图5a至图5c是本申请实施例涉及的场景示意图。
图6a是本申请实施例提供的位于配置终端内的业务访问控制装置的结构示意图。
图6b是本申请实施例提供的位于访问终端内的业务访问控制装置的结构示意图。
图7是本申请实施例提供的电子设备的结构示意图。
图8a至图8b是本申请实施例涉及的界面示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请涉及的业务系统可以由IDC实现,也可以由云厂家提供,即业务系统可以通过云系统中的服务器实现,例如可以基于云技术进行业务数据的调度,保证资源的有效利用。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。在本申请中,云技术可以用于实现同一主体下的不同业务,例如某即时通讯应用(即一个主体)下的聊天业务、朋友圈业务、公众号业务、联系人业务、金融业务等,又例如某公司(即一个主体)下的开发桌面云业务、生产桌面云业务等。
图1a为本申请实施例涉及的当前业务访问控制系统的组网示意图,请参阅图1a,在当前的业务访问控制系统中,提供即时通讯服务的主体部署了一个统一的入口(即图1a中的交换设备a,交换设备a可以是单个网关或者网关集群),并为不同的业务分别部署了不同的业务服务器(包括图1a中的业务服务器b1、业务服务器b2、业务服务器b3等,交业务服务器可以是单个服务器或者服务器集群),不同的业务服务器之间通过通信专线(包括图1a中的物理专线c1和云专线c2等)连接以实现业务数据和访问请求的互通。
在图1a所示的系统架构下,来自访问终端d(包括安全边界技术中的内网设备和外网设备等)的访问请求中携带交换设备a对外的IP地址,访问请求被路由到交换设备a,交换设备a将访问请求发送至与其连接的业务服务器b1,业务服务器b1根据访问请求直接返回业务数据,或者通过通信专线转发至其他业务服务器(例如业务服务器b2、业务服务器b3等)以获取对应的业务数据后返回给访问终端d。
如本申请背景技术所述,图1a所示的方式需要在不同业务服务器之间部署通信专线,部署成本高,同时,所有的业务服务器都会暴露在访问终端的访问范围内,存在安全隐患。
为了解决上述问题,本申请实施例提供的业务访问控制系统的组网示意图如图1b所示,该系统可以包括用户侧设备以及服务侧设备,用户侧设备与服务侧设备通过各种交换设备13组成的互联网等方式连接,不再赘述,其中,用户侧设备包括多个终端11,服务侧设备包括多个服务器12;其中:
终端11包括但不局限于安装有各种业务应用的手机、平板等便携终端,以及电脑、查询机、广告机等固定终端,是用户可以使用并操作的服务端口,在本申请中,终端包括为运维人员提供配置功能的配置终端11a以及为用户提供业务功能的访问终端11b;
服务器12为用户提供各种业务服务以及控制管理,在本申请中,包括控制服务器12a、以及多个提供不同业务的业务服务器12b(包括图1b中的业务服务器12b1、业务服务器12b2以及业务服务器12b3)等,不同的业务服务器实现不同的业务功能;业务服务器12b可以是基于云资源或者IDC实现的单个服务器,也可以是服务器集群;
交换设备13包括各种交换机、路由器或者网关设备等,提供数据转发功能,在本申请中,交换设备13包括与各业务服务器12b对应的多个交换设备13a、交换设备13b以及交换设备13c等,其数量大于或者等于业务服务器12b的数量。
具体的,在本申请中,所述业务服务器12b用于提供业务数据;所述配置终端11a用于展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器,通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标业务服务器对应的目标交换设备发送至控制服务器;所述控制服务器12a用于基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备11b;所述访问终端11b用于获取待发送的第一业务访问请求对应的目标业务服务器,获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;所述目标交换设备13用于接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据后,反馈至访问终端11b。
基于该系统,同一主体下的不同业务服务器之间就不需要进行访问请求的转发,进而也不需要部署通信专线,在解决了当前业务访问系统需要在同一主体下不同业务服务器之间部署通信专线的技术问题的同时,也使得主体暴露给访问终端的业务服务器更少,提高了业务服务器的安全性。
需要说明的是,图1b所示的系统场景示意图仅仅是一个示例,本申请实施例描述的服务器以及场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
图2是本申请实施例提供的业务访问控制方法的第一种流程示意图,请参阅图2,该业务访问控制方法包括以下步骤:
201:配置终端进行业务配置。
在一种实施例中,在主体需要提供新的业务时,运维人员通过配置终端执行本步骤以进行IDC或者云资源的调用进而完成业务配置。
在一种实施例中,本步骤包括:展示用于配置业务服务器的业务配置界面;通过所述业务配置界面接收业务配置参数;发送所述业务配置参数至所述控制服务器,以使得所述控制服务器生成所述目标业务服务器。
在一种实施例中,配置终端展示如图8a所示的业务配置界面,运维人员在该界面中配置业务名称,例如“朋友圈”等,配置类别为域名或者URL(Uniform Resource Locator,统一资源定位器)地址,并完成对应的域名或者URL地址等通信标识的配置,之后进行端口的配置,在本申请中,为不同的业务配置不同的端口。基于该界面接收到的业务配置参数包括业务名称、类别以及对应的通信标识、通信端口等,然后发送至控制服务器完成业务配置生成该业务对应的业务服务器。
202:配置终端进行访问配置。
在一种实施例中,在完成新业务配置之后,或者需要调整现有业务服务器对应的交换设备时,运维人员通过配置终端执行本步骤以进行交换设备的调用进而完成访问配置。
在一种实施例中,本步骤包括:配置终端展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标业务服务器对应的目标交换设备的设备标识发送至控制服务器。
在一种实施例中,展示目标主体下目标业务服务器对应的访问控制界面的步骤,包括:从所述控制服务器获取所述目标业务服务器的候选交换设备;获取所述候选交换设备的展示内容;根据所述候选交换设备的展示内容,生成并展示所述访问控制界面。通过列表的方式展示后面交换设备,可以方便用户进行交换设备的选择进而快速完成配置。
在一种实施例中,配置操作包括选择操作和设置操作;所述确定所述目标业务服务器对应的目标交换设备的步骤,包括:根据所述选择操作,确定至少一个交换设备作为所述目标交换设备;根据所述设置操作,确定所述目标交换设备中各交换设备的通信参数。通信参数包括优先级信息和主备信息等,这样在本实施例中,可以为一个业务服务器配置多个交换设备,即为一个业务服务器配置一个或者多个网关组,可以实现网关组的优先级或者主备排序,这样可以实现交换设备的容灾。
在一种实施例中,所述通过所述访问控制界面接收配置操作的步骤,包括:基于所述访问控制界面中各候选交换设备的展示内容,接收所述选择操作;基于所述访问控制界面中目标交换设备的展示内容,接收所述设置操作。
在一种实施例中,配置终端展示如图8b所示的访问控制界面,在该界面中,包括候选的交换设备(以网关为例进行说明)列表,每个候选交换设备的展示内容包括交换设备的标识以及通信地址,用户通过该列表可以直接选择一个或者多个网关作为业务服务器的交换设备,并且,在该界面中的排序区域可以设备各网关或者网关组的优先级顺序或者主备信息等,完成各交换设备的通信信息的设置。
203:控制服务器基于所述目标业务服务器对应的目标交换设备的设备标识生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备。
在一种实施例中,控制服务器基于配置终端设置的各业务服务器对应的交换设备,生成访问控制参数,并发送至访问终端以及交换设备,访问控制参数包括至少包括业务服务器的标识和交换设备的设备标识之间的对应关系,业务服务器的标识包括业务服务器的唯一标识、业务名称、域名、URL等,交换设备的设备标识包括交换设备的唯一标识、IP等通信地址、名称等。
在一种实施例中,基于本步骤,访问终端和交换设备可以存储访问控制参数,该访问控制参数包括每个业务服务器对应的交换设备。
204:访问终端根据访问控制参数处理访问请求。
在一种实施例中,用户在需要使用业务数据时,例如需要访问公司的生成桌面云或者开发桌面云、获取某即时通讯应用提供的联系人数据、朋友圈数据时,可以通过访问终端实现本步骤。
在一种实施例中,本步骤包括:访问终端获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求。例如用户需要访问公司的生成桌面云时,生成访问生成桌面云的第一业务访问请求,然后访问终端根据提供该生成桌面云的业务服务器对应的交换设备的通信标识对第一业务访问请求进行封装等处理,得到第二业务访问请求,该第二业务访问请求会被直接路由至该业务服务器对应的交换设备。又例如用户需要获取朋友圈数据时,生成获取朋友圈数据的第一业务访问请求,然后访问终端根据提供该朋友圈数据的业务服务器对应的交换设备的通信标识对第一业务访问请求进行封装等处理,得到第二业务访问请求,该第二业务访问请求会被直接路由至该业务服务器对应的交换设备。
在一种实施例中,访问终端可以通过各种方式从控制服务器获取访问控制参数,例如可以通过以下方式中的一种获取:
向控制服务器发送配置查询请求;接收所述控制服务器基于所述配置查询请求返回的配置查询响应;解析所述配置查询响应,得到各对象下各业务服务器对应的交换设备的设备标识;
或者,接收控制服务器发送的配置更新信息;解析所述配置更新信息,得到各对象下各业务服务器对应的交换设备的设备标识;
或者,接收控制服务器发送的配置更新广播;基于所述配置更新广播从所述控制服务器获取配置更新信息;解析所述配置更新信息,得到各对象下各业务服务器对应的交换设备的设备标识。
本实施例提供了3种获取方式,可以预见的是,其他可以实现访问控制参数同步的方式都可以实现本步骤。
在一种实施例中,通信参数可以包括优先级参数或者主备参数等,那么对应的,目标交换设备包括通信参数中优先级不同的至少两个交换设备,或者包括通信参数中主备不同的至少两个交换设。
当目标交换设备包括通信参数中优先级不同的至少两个交换设备时,根据所述目标交换设备的通信标识处理所述第一业务访问请求的步骤,包括:使用高优先级交换设备的通信标识处理所述第一业务访问请求,并发送;若在预设时长后未接收到业务数据,则使用低优先级交换设备的通信标识处理所述第一业务访问请求,并发送。本实施例实现了访问终端基于交换设备的优先级选择交换设备,可以最大程度的保证交换设备的资源利用率。
当目标交换设备包括通信参数中主备不同的至少两个交换设时,根据所述目标交换设备的通信标识处理所述第一业务访问请求的步骤,包括:使用主用交换设备的通信标识处理所述第一业务访问请求,并发送;若在预设时长后未接收到业务数据,则使用备用交换设备的通信标识处理所述第一业务访问请求,并发送。本实施例基于交换设备的主备调用,实现了设备容灾。
在一种实施例中,预设时长可以是一个固定的时长值,例如2秒等,也可以根据访问的业务数据的类型动态设置,例如当访问的业务数据为联系人信息时,预设时长可以设置为1秒等,当访问的业务数据为朋友圈信息时,预设时长可以设置为4秒等。
205:目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
在一种实施例中,交换设备在接收到第二业务访问请求之后,根据访问控制参数,从对应的业务服务器获取业务数据,并返回给访问终端。
在本实施例中,配置终端首先为每个业务服务器配置对应的交换设备,之后用户在需要访问主体下的某些业务数据时,访问终端根据业务数据对应业务服务器的交换设备对访问请求进行包装等处理,直接将访问请求路由到该业务服务器对应的交换设备,而该交换设备可以直接基于访问请求连接到对应的业务服务器获取业务数据,这样同一主体下的不同业务服务器之间就不需要进行访问请求的转发,进而也不需要部署通信专线,在解决了当前业务访问系统需要在同一主体下不同业务服务器之间部署通信专线的技术问题的同时,也使得主体暴露给访问终端的业务服务器更少,提高了业务服务器的安全性。
本申请提供的访问控制方式可以运用到安全边界、零信任等安全技术场景中,下文将结合不同的场景进行说明。
场景1
本场景以业务访问控制系统运用在安全边界场景下为例进行说明。如图5a所示,在本场景中,访问终端可以包括位于安全边界外的终端A,也可以包括位于安全边界内的终端B,配置终端包括位于安全边界内的终端C,交换设备包括位于安全边界内的网关A、网关B和网关C,业务服务器包括位于安全边界内的服务器A、服务器B和服务器C,控制服务器包括位于安全边界内的服务器D等。在本申请中,不同业务服务器之间没有涉及通信专线,每个服务器都对应一个独立的网关。
图3是本申请实施例提供的业务访问控制方法的第二种流程示意图,请参阅图3,该业务访问控制方法包括以下步骤:
301:终端C进行业务配置。
在一种实施例中,在主体需要提供新的业务时,运维人员通过终端C执行本步骤以进行资源调用进而完成业务配置。
在一种实施例中,终端C展示如图8a所示的业务配置界面给运维人员,运维人员在该界面中配置业务名称,例如“朋友圈”、“开发桌面云”、“生产桌面云”等,配置类别为域名或者URL地址,并完成对应的域名或者URL地址等通信标识的配置,之后进行端口的配置,在本申请中,为不同的业务配置不同的端口。基于该界面接收到的业务配置参数包括业务名称、类别以及对应的通信标识、通信端口等,然后发送至控制服务器完成业务配置生成该业务对应的业务服务器。
通过多次执行本步骤,创建服务器A、服务器B、服务器C对应的3种业务。
302:终端C进行访问控制配置。
在一种实施例中,在完成新业务配置之后,或者需要调整现有业务服务器对应的交换设备时,运维人员通过终端C执行本步骤以进行网关调用进而完成访问配置。
在一种实施例中,终端C展示如图8b所示的访问控制界面,在该界面中,包括候选的交换设备(以网关为例进行说明)列表,每个候选交换设备的展示内容包括交换设备的标识以及通信地址,用户通过该列表可以直接选择一个或者多个网关作为业务服务器的交换设备,并且,在该界面中的排序区域可以设备各网关或者网关组的优先级顺序或者主备信息等,完成各交换设备的通信信息的设置。
例如,在本申请中,为服务器A配置网关A、为服务器B配置网关B、为服务器C配置网关C。
303:服务器D基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至终端A、终端B以及所有的网关。
在一种实施例中,服务器D基于配置终端设置的各业务服务器对应的交换设备,生成访问控制参数,并发送至访问终端以及交换设备。
在一种实施例中,基于本步骤,访问终端和交换设备可以存储访问控制参数,该访问控制参数包括每个业务服务器对应的网关。
304:终端A生成访问请求1。
在一种实施例中,分公司的员工,即外网用户在需要访问公司的生产桌面云时,可以通过终端A实现本步骤。具体的,终端A根据用户需要访问的数据“生产桌面云”确定对应的目标业务服务器为服务器A,进而根据终端A内存储的访问控制参数确定服务器A对应的目标交换设备为网关A,然后使用网关A的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求1,然后路由至网关A。
305:网关A对访问请求1进行安全性认证。
在一种实施例中,由于终端A位于安全边界外,网关A需要对访问请求1进行安全性认证,例如验证终端A是否是安全设备、使用终端A的用户是否是终端A的合法用户、访问请求1对应的业务数据是否是终端A的用户的访问权限内等。
若安全性认证通过,则执行步骤306,若安全性认证未通过,则向终端A返回认证失败响应。
306:网关A从服务器A获取业务数据,并发送至终端A。
在一种实施例中,当网关A对终端A的安全性认证通过时,从服务器A调用访问请求1对应的业务数据1,并发送至终端A,完成访问流程。
307:终端B生成访问请求2。
在一种实施例中,总公司的员工,即内网用户在需要访问公司的开发桌面云时,可以通过终端B实现本步骤。具体的,终端B根据用户需要访问的数据“开发桌面云”确定对应的目标业务服务器为服务器C,进而根据终端B内存储的访问控制参数确定服务器C对应的目标交换设备为网关C,然后使用网关C的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求2,然后路由至网关C。
308:网关C从服务器C获取业务数据,并发送至终端B。
在一种实施例中,由于终端B位于安全边界内,不需要对访问请求2进行安全性认证,网关C从服务器C调用访问请求2对应的业务数据2,并发送至终端B,完成访问流程。
本实施例以安全边界技术为应用场景对本发明进行了详细说明,基于本实施例,本申请可以应用于安全边界场景内的业务数据的访问,不同业务进行分类管理,安全管理,各网关通过采集器提供给不同业务进行流量安全分析。
场景2
本场景以业务访问控制系统运用在零信任场景下为例进行说明。如图5b所示,在本场景中,访问终端可以包括零信任终端A和零信任终端B,配置终端包括终端C,交换设备包括零信任网关A、零信任网关B和零信任网关C,业务服务器包括服务器A、服务器B和服务器C,控制服务器包括服务器D等,零信任终端A和零信任终端B中均设置有零信任代理端。在本申请中,不同业务服务器之间没有涉及通信专线,每个服务器都对应一个独立的零信任网关。
图4是本申请实施例提供的业务访问控制方法的第三种流程示意图,请参阅图4,该业务访问控制方法包括以下步骤:
401:终端C进行业务配置。
在一种实施例中,在主体需要提供新的业务时,运维人员通过终端C执行本步骤以进行资源调用进而完成业务配置。
在一种实施例中,终端C展示如图8a所示的业务配置界面给运维人员,运维人员在该界面中配置业务名称,例如“朋友圈”、“开发桌面云”、“生产桌面云”等,配置类别为域名或者URL地址,并完成对应的域名或者URL地址等通信标识的配置,之后进行端口的配置,在本申请中,为不同的业务配置不同的端口。基于该界面接收到的业务配置参数包括业务名称、类别以及对应的通信标识、通信端口等,然后发送至控制服务器完成业务配置生成该业务对应的业务服务器。
通过多次执行本步骤,创建服务器A、服务器B、服务器C对应的3种业务。
402:终端C进行访问控制配置。
在一种实施例中,在完成新业务配置之后,或者需要调整现有业务服务器对应的交换设备时,运维人员通过终端C执行本步骤以进行网关调用进而完成访问配置。
在一种实施例中,终端C展示如图8b所示的访问控制界面,在该界面中,包括候选的零信任网关列表,每个候选交换设备的展示内容包括零信任网关的标识以及通信地址,用户通过该列表可以直接选择一个或者多个零信任网关作为业务服务器的交换设备,并且,在该界面中的排序区域可以设备各零信任网关或者零信任网关组的优先级顺序或者主备信息等,完成各交换设备的通信信息的设置。
例如,在本申请中,为服务器A配置零信任网关A、为服务器B配置零信任网关B、为服务器C配置零信任网关C。
403:服务器D基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至零信任终端A、零信任终端B以及所有的零信任网关。
在一种实施例中,基于本步骤,零信任终端和零信任网关可以存储访问控制参数,该访问控制参数包括每个业务服务器对应的零信任网关。
404:零信任终端A生成访问请求1。
在一种实施例中,分公司的员工在需要访问公司的生产桌面云时,可以通过零信任终端A实现本步骤。具体的,零信任终端A根据用户需要访问的数据“生产桌面云”确定对应的目标业务服务器为服务器A,进而根据零信任终端A内存储的访问控制参数确定服务器A对应的目标交换设备为零信任网关A,然后使用零信任网关A的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求1,然后路由至零信任网关A。
在一种实施例中,本步骤包括:用户通过终端A内的零信任代理端在服务器D进行设备注册和授权,终端A内的零信任代理端进行安全基线加固,以及上传终端设备安全状态,用户通过终端A内的零信任代理端(或可信集成的浏览器)来设置本地应用层代理配置,指定特定资源的访问由应用层代理发至应用层代理网关中,即使用零信任网关A的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求1,然后路由至零信任网关A。
在一种实施例中,零信任终端的授权可以使用本地附近的服务器,可以使用终端本地同步存储的总控(即控制服务器,服务器D)的访问控制参数进行访问请求处理,也可以连接到总控进行访问请求处理。本实施例将访问控制参数同步存储到零信任终端本地,可以避免总控和二级网关节点通信质量差的问题。
405:零信任网关A对访问请求1进行安全性认证。
在一种实施例中,由于零信任网关A为零信任网关,需要通过安全控制中心(即服务器D)对访问请求1进行认证和鉴权。
若认证和鉴权通过,则执行步骤406,若未通过,则向零信任终端A返回失败响应。
在一种实施例中,零信任网关还提供流量采集功能,提供给不同的存储或者分析节点进行数据分析。
406:零信任网关A从服务器A获取业务数据,并发送至零信任终端A。
在一种实施例中,当零信任网关A对访问请求1的认证和鉴权通过时,将请求转发给服务器A,获取请求1对应的资源(即业务数据1),零信任网关A将资源转发给零信任终端A,完成资源请求。
407:零信任终端B生成访问请求2。
在一种实施例中,分公司的员工在需要访问公司的开发桌面云时,可以通过零信任终端B实现本步骤。具体的,零信任终端B根据用户需要访问的数据“开发桌面云”确定对应的目标业务服务器为服务器C,进而根据零信任终端B内存储的访问控制参数确定服务器C对应的目标交换设备为零信任网关C,然后使用零信任网关C的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求2,然后路由至零信任网关C。
在一种实施例中,本步骤包括:用户通过终端B内的零信任代理端在服务器D进行设备注册和授权,终端B内的零信任代理端进行安全基线加固,以及上传终端设备安全状态,用户通过终端B内的零信任代理端(或可信集成的浏览器)来设置本地应用层代理配置,指定特定资源的访问由应用层代理发至应用层代理网关中,即使用零信任网关C的IP地址等通信标识对终端触发的初始访问请求进行封装得到访问请求2,然后路由至零信任网关C。
408:零信任网关C对访问请求2进行安全性认证。
在一种实施例中,由于零信任网关C为零信任网关,需要通过安全控制中心(即服务器D)对访问请求2进行认证和鉴权。
若认证和鉴权通过,则执行步骤409,若未通过,则向零信任终端B返回失败响应。
409:零信任网关C从服务器C获取业务数据,并发送至零信任终端B。
在一种实施例中,当零信任网关C对访问请求2的认证和鉴权通过时,将请求转发给服务器C,获取请求2对应的资源(即业务数据2),零信任网关C将资源转发给零信任终端B,完成资源请求。
本实施例以零信任技术为应用场景对本发明进行了详细说明,基于本实施例,本申请可以应用于零信任场景内的业务数据的访问,减少专线成本,可以快速落地扩展通道,可以梳理内部业务流量,避免线路干扰。
针对零信任场景,本申请还提供了一些具体的运用场景。
同一个公司等主体在多云部署不同业务的场景:在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C均由云系统实现。
同一个公司等主体在云与自建IDC部署不同业务的场景:在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C的一部分由云系统实现,另外一部分由IDC实现。
同一个公司等主体在大量分散IDC或者云跨境部署不同业务的场景:在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C的一部分由云系统实现,另外一部分由部署在不同位置的IDC跨境实现。
同一个公司等主体在内外网进行不同业务流量控制的场景:在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C的一部分由部署在内网中的服务器实现,另外一部分由部署在外网中的服务器实现。
同一个公司等主体的内网中不同物理机房线路流量比较大,需要梳理控制,不同的业务走不同业务区流量的场景:在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C由内网中部署在不同物理机房的服务器实现。此场景如图5c所示,上面都是不同职场内的终端,下面一个内网包括两朵桌面云,不同的桌面云对应不同的系统,终端访问的时候通过访问控制参数指向到不同的零信任网关,避免左边的网关有流量要走到右边的云上面。在当前技术中,若出现左边的网关有流量要走到右边的云上面这一情况,需要核心交换增多一份流量,这个桌面云的流量又非常大,复制多一份,容易出现核心交换机流量瓶颈,本申请为不同云配置不同的云网关,可以有效避免流量的复制。
同一个公司等主体的不同业务渠道需要不同的入口控制的场景,比如企业内部系统的、外部系统、合作公司系统链路的、特殊的穿越跨境办公的通道;在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C由不同通道的服务器实现。
同一个公司等主体提供不同通道的场景,内网流量走向内网流量的网关,出口流量走出口流量的网关,在该场景中,图5b所示实施例中的服务器A、服务器B以及服务器C由不同通道的服务器实现。基于本实施例,出口流量可以进行上网行为管理分析,内网流量可以进行安全业务系统的分析,不同业务流量分开,便于进行不同场景的安全分析。例如,可以增加一个走普通出口流量的零信任网关通道到公网,公网出口可以进行恶意链接的处理,上网行为管理等。
相应的,图6a是本申请实施例提供的位于配置终端内的业务访问控制装置的结构示意图,请参阅图6a,该业务访问控制装置包括以下模块:
展示模块601,用于展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
接收模块602,用于通过所述访问控制界面接收配置操作;
确定模块603,用于根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
发送模块604,用于将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备。
在一种实施例中,展示模块601具体用于:从所述控制服务器获取所述目标业务服务器的候选交换设备;获取所述候选交换设备的展示内容;根据所述候选交换设备的展示内容,生成并展示所述访问控制界面。
在一种实施例中,确定模块603具体用于:根据所述选择操作,确定至少一个交换设备作为所述目标交换设备;根据所述设置操作,确定所述目标交换设备中各交换设备的通信参数。
在一种实施例中,接收模块602具体用于:基于所述访问控制界面中各候选交换设备的展示内容,接收所述选择操作;基于所述访问控制界面中目标交换设备的展示内容,接收所述设置操作。
在一种实施例中,展示模块601还用于展示用于配置业务服务器的业务配置界面;接收模块602还用于通过所述业务配置界面接收业务配置参数;发送模块604还用于发送所述业务配置参数至所述控制服务器,以使得所述控制服务器生成所述目标业务服务器。
相应的,图6b是本申请实施例提供的位于访问终端内的业务访问控制装置的结构示意图,请参阅图6b,该业务访问控制装置包括以下模块:
获取模块611,用于获取待发送的第一业务访问请求对应的目标业务服务器;
调用模块612,用于获取所述目标业务服务器对应的目标交换设备;
处理模块613,用于根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
请求模块614,用于发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
在一种实施例中,获取模块611还用于:向控制服务器发送配置查询请求;接收所述控制服务器基于所述配置查询请求返回的配置查询响应;解析所述配置查询响应,得到各对象下各业务服务器对应的交换设备的设备标识。
在一种实施例中,获取模块611还用于:接收控制服务器发送的配置更新信息;解析所述配置更新信息,得到各对象下各业务服务器对应的交换设备的设备标识。
在一种实施例中,获取模块611还用于:接收控制服务器发送的配置更新广播;基于所述配置更新广播从所述控制服务器获取配置更新信息;解析所述配置更新信息,得到各对象下各业务服务器对应的交换设备的设备标识。
在一种实施例中,处理模块613具体用于:使用高优先级交换设备的通信标识处理所述第一业务访问请求,并发送;若在预设时长后未接收到业务数据,则使用低优先级交换设备的通信标识处理所述第一业务访问请求,并发送。
在一种实施例中,处理模块613具体用于:使用主用交换设备的通信标识处理所述第一业务访问请求,并发送;若在预设时长后未接收到业务数据,则使用备用交换设备的通信标识处理所述第一业务访问请求,并发送。
相应的,本申请实施例还提供一种电子设备,该电子设备可以是服务器(包括上文中的控制服务器、交换设备、业务服务器等),也可以是终端(包括上文中的配置终端和访问终端等)。
如图7所示,该电子设备可以包括射频(RF,Radio Frequency)电路701、包括有一个或一个以上计算机可读存储介质的存储器702、输入单元703、显示单元704、传感器705、音频电路706、无线保真(WiFi,Wireless Fidelity)模块707、包括有一个或者一个以上处理核心的处理器708、以及电源709等部件。本领域技术人员可以理解,图7中示出的电子设备结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路701可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器708处理;另外,将涉及上行的数据发送给基站。存储器702可用于存储软件程序以及模块,处理器708通过运行存储在存储器702的软件程序以及模块,从而执行各种功能应用以及数据处理。输入单元703可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
显示单元704可用于显示由用户输入的信息或提供给用户的信息以及电子设备的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。
电子设备还可包括至少一种传感器705,比如光传感器、运动传感器以及其他传感器。音频电路706包括扬声器,扬声器可提供用户与电子设备之间的音频接口。
WiFi属于短距离无线传输技术,电子设备通过WiFi模块707可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图7示出了WiFi模块707,但是可以理解的是,其并不属于电子设备的必须构成,完全可以根据需要在不改变申请的本质的范围内而省略。
处理器708是电子设备的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器702内的软件程序和/或模块,以及调用存储在存储器702内的数据,执行电子设备的各种功能和处理数据,从而对手机进行整体监控。
电子设备还包括给各个部件供电的电源709(比如电池),优选的,电源可以通过电源管理系统与处理器708逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,电子设备还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,电子设备中的处理器708会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中,并由处理器708来运行存储在存储器702中的应用程序,从而实现以下功能:
展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
通过所述访问控制界面接收配置操作;
根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备以及交换设备。
或者实现以下功能:
获取待发送的第一业务访问请求对应的目标业务服务器;
获取所述目标业务服务器对应的目标交换设备;
根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
或者实现以下功能:
配置终端展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标交换设备的设备标识发送至控制服务器;
所述控制服务器基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备;
所述访问终端获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;
所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文的详细描述,此处不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以实现以下功能:
展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
通过所述访问控制界面接收配置操作;
根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备以及交换设备。
或者实现以下功能:
获取待发送的第一业务访问请求对应的目标业务服务器;
获取所述目标业务服务器对应的目标交换设备;
根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
或者实现以下功能:
配置终端展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标交换设备的设备标识发送至控制服务器;
所述控制服务器基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备;
所述访问终端获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;
所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种方法中的步骤,因此,可以实现本申请实施例所提供的任一种方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
同时,本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的方法。例如,实现以下功能:
展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;
通过所述访问控制界面接收配置操作;
根据所述配置操作,确定所述目标业务服务器对应的目标交换设备;
将所述目标交换设备的设备标识发送至控制服务器,以使得所述控制服务器生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备以及交换设备。
或者实现以下功能:
获取待发送的第一业务访问请求对应的目标业务服务器;
获取所述目标业务服务器对应的目标交换设备;
根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求;
发送所述第二业务访问请求,以使得所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
或者实现以下功能:
配置终端展示目标主体下目标业务服务器对应的访问控制界面,所述目标主体包括至少一个业务服务器;通过所述访问控制界面接收配置操作,根据所述配置操作,确定所述目标业务服务器对应的目标交换设备,将所述目标交换设备的设备标识发送至控制服务器;
所述控制服务器基于所述目标业务服务器对应的目标交换设备生成所述目标业务服务器对应的访问控制参数、并发送至访问终端以及交换设备;
所述访问终端获取待发送的第一业务访问请求对应的目标业务服务器;获取所述目标业务服务器对应的目标交换设备,根据所述目标交换设备的通信标识处理所述第一业务访问请求,得到处理后的第二业务访问请求,发送所述第二业务访问请求;
所述目标交换设备接收并根据所述第二业务访问请求从所述目标业务服务器获取所述第一业务访问请求对应的业务数据。
以上对本申请实施例所提供的一种业务访问控制方法、装置、系统及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。