CN112153130A - 一种业务资源访问方法和装置 - Google Patents

一种业务资源访问方法和装置 Download PDF

Info

Publication number
CN112153130A
CN112153130A CN202010961678.1A CN202010961678A CN112153130A CN 112153130 A CN112153130 A CN 112153130A CN 202010961678 A CN202010961678 A CN 202010961678A CN 112153130 A CN112153130 A CN 112153130A
Authority
CN
China
Prior art keywords
gateway
access
resource
service
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010961678.1A
Other languages
English (en)
Inventor
吴岳廷
蔡东赟
胡松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010961678.1A priority Critical patent/CN112153130A/zh
Publication of CN112153130A publication Critical patent/CN112153130A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种业务资源访问方法和装置;本发明实施例在向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识,该访问服务器可以为云服务器,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,安全访问待访问业务资源;该方案可以大大提升业务资源访问的访问效率。

Description

一种业务资源访问方法和装置
技术领域
本发明涉及通信技术领域,具体涉及一种业务资源访问方法和装置。
背景技术
近年来,随着互联网技术的飞速发展,互联网中的资源也越来越多。对于一些比较重要的业务资源,为了保证访问的安全性,往往只有在特定的范围内才能范围。在无域名服务器的情况下,现有的安全访问业务资源的方法主要通过部署网关限定访问资源的网络地址,比如网络协议(Internet Protocol,IP),地址用户在访问该资源时通过基于IP地址的轮询来实现网关服务寻址,当IP地址在网关设定范围的IP地址时,才可以通过网关安全访问该资源。
在对现有技术的研究和实践过程中,本发明的发明人发现对于访问地址轮询来访问业务资源时,通过访问地址不断的去连接不同的网关,直到连通位置,当网关数量较多且性能不一致时,就需要盲目的逐一去连接,增加了网关的连接时延,从而导致网络延迟较高,因此,大大影响了业务资源访问的访问效率。
发明内容
本发明实施例提供一种业务资源访问方法和装置,可以提高业务资源访问的访问效率。
一种业务资源访问方法,包括:
向访问服务器发送业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识;
接收所述访问服务器返回的访问票据和所述资源标识对应的网关信息,所述网关信息包括网关集群中网关之间的连接顺序;
获取所述网关集群在预设时间段内的历史连接记录;
根据所述历史连接记录,对所述网关之间的连接顺序进行调整;
基于所述访问票据和调整连接顺序后的网关集群,访问所述待访问业务资源。
可选的,本发明实施例还提供另一种业务资源访问方法,包括:
接收业务终端发送的业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识和访问信息;
根据所述访问信息,生成所述待访问业务资源的访问票据,并获取所述资源标识对应的网关配置信息,所述网关配置信息包括候选网关和所述候选网关的连接顺序;
根据所述身份信息,在所述网关配置信息中确定出用于访问所述待访问业务资源的网关集群和所述网关集群中网关之间的初始连接顺序;
根据所述网关集群的当前连接信息,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序;
将所述访问票据和网关信息发送至所述业务终端,使得所述业务终端通过所述网关集群访问所述待访问业务资源,所述网关信息包括所述网关集群中网关之间的连接顺序。
相应的,本发明实施例提供一种业务资源访问装置,包括:
第一发送单元,用于向访问服务器发送业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识;
第一接收单元,用于接收所述访问服务器返回的访问票据和所述资源标识对应的网关信息,所述网关信息包括网关集群中网关之间的连接顺序;
获取单元,用于获取所述网关集群在预设时间段内的历史连接记录;
第一调整单元,用于根据所述历史连接记录,对所述网关之间的连接顺序进行调整;
访问单元,用于基于所述访问票据和调整连接顺序后的网关集群,访问所述待访问业务资源。
可选的,本发明实施例还提供另一种业务资源访问装置,包括:
第二接收单元,用于接收业务终端发送的业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识和访问信息;
生成单元,用于根据所述访问信息,生成所述待访问业务资源的访问票据,并获取所述资源标识对应的网关配置信息,所述网关配置信息包括候选网关和所述候选网关的连接顺序;
确定单元,用于根据所述身份信息,在所述网关配置信息中确定出用于访问所述待访问业务资源的网关集群和所述网关集群中网关之间的初始连接顺序;
第二调整单元,用于根据所述网关集群的当前连接信息,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序;
第二发送单元,用于将所述访问票据和网关信息发送至所述业务终端,使得所述业务终端通过所述网关集群访问所述待访问业务资源,所述网关信息包括所述网关集群中网关之间的连接顺序。
可选的,在一些实施例中,所述第一调整单元,具体可以用于在所述历史连接记录中提取出所述网关集群中网关的连接时延;对所述连接时延进行排序,得到所述网关的连接时延排序结果;根据所述连接时延排序结果,对所述网关之间的连接顺序进行调整。
可选的,在一些实施例中,所述第一调整单元,具体可以用于根据所述网关集群中网关之间的连接顺序,确定所述网关的当前连接排序结果;将所述当前连接排序结果和连接时延排序结果进行融合,得到所述网关的目标连接排序结果;根据所述目标连接排序结果,对所述网关之间的连接顺序进行调整。
可选的,在一些实施例中,所述访问单元,具体可以用于根据所述网关调整后的连接顺序,在所述网关集群中筛选出目标网关,所述目标网关为连接所述待访问业务资源对应的业务服务器的网关;向所述目标网关发送访问票据和业务资源访问请求,以通过所述目标网关连接所述业务服务器;当所述目标网关未连通所述业务服务器时,返回所述根据所述网关集群调整后的连接顺序,在所述网关集群中筛选出目标网关的步骤,直至所述目标网关连通所述业务服务器为止,通过所述目标网关访问所述待访问业务资源。
可选的,在一些实施例中,所述访问单元,具体可以用于对所述目标网关连接所述业务服务器的连接时延进行统计,得到所述网关集群的当前连接时延信息;根据所述当前连接时延信息,对所述网关集群的历史连接记录进行更新。
可选的,在一些实施例中,所述第一发送单元,具体可以用于获取所述待访问业务资源的访问信息,并在所述访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识;根据所述身份信息和资源地址,确定所述待访问业务资源的资源标识;基于所述进程标识,采集所述访问进程的进程信息;将所述访问信息、资源标识和进程信息添加至所述业务资源访问请求。
可选的,在一些实施例中,所述第一发送单元,具体可以用于获取所述身份信息对应的资源配置信息;对所述资源配置信息进行解析,得到所述身份信息对应的许可业务资源信息;当所述许可业务资源信息中包括所述资源地址时,在所述许可业务资源信息中筛选出所述待访问业务资源的资源标识。
可选的,在一些实施例中,所述第二调整单元,具体可以用于获取所述网关集群的当前连接信息和所述网关集群中网关的性能配置信息;在所述当前连接信息中读取所述网关的连接数量和负载信息,并根据所述性能配置信息、连接数量和负载信息,确定所述网关的连接权重;根据所述连接权重,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序。
可选的,在一些实施例中,所述业务资源访问装置还可以包括配置单元,所述配置单元,具体可以用于在配置终端显示网关配置页面,所述网关配置页面包括添加网关控件;响应于针对所述添加网关控件的触发操作,在所述配置终端显示网关编辑页面,所述网关编辑页面包括网关参数输入控件;获取通过所述网关输入参数控件输入的网关参数,以生成待配置网关信息;采用所述资源标识对应的待访问业务资源对所述待配置网关信息进行配置,得到所述资源标识对应的网关配置信息。
可选的,在一些实施例中,所述配置单元,具体可以用于根据所述待配置网关信息,在所述配置终端创建资源配置页面,所述资源配置页面包括资源参数录入接口和所述待配置网关信息对应的网关列表;接收所述资源参数录入接口录入的资源参数和所述网关列表中选择的网关集群,所述资源参数包括所述资源标识;根据所述网关集群,在所述配置终端创建网关排序页面,所述网关排序页面包括所述网关集群中网关的排序控件;响应于针对所述排序控件的触发操作时,确定所述网关集群中网关之间的初始连接顺序;根据所述网关之间的初始连接顺序,对所述资源标识对应的待访问业务资源进行配置,得到所述资源标识对应的网关配置信息。
可选的,在一些实施例中,所述配置单元,具体可以用于根据所述网关配置信息,在所述配置终端创建资源管理页面,所述资源管理页面包括访问用户列表和所述网关配置信息对应的许可业务资源列表;接收在所述访问用户列表中选择的访问用户和在所述许可业务资源列表中选择的许可业务资源;将所述访问用户的身份信息与所述许可业务资源进行匹配,以得到所述身份信息对应的资源配置信息,并将所述资源配置信息发送至业务终端。
可选的,在一些实施例中,所述业务资源访问装置还可以包括检测单元,所述检测单元,具体可以用于根据预设检测策略,对所述访问进程的进程信息进行检测,以确定所述访问进程的类型;当所述访问进程为恶意进程时,向所述业务终端发送提示信息,使得所述业务终端终止对所述待访问业务资源的访问。
此外,本发明实施例还提供一种电子设备,包括处理器和存储器,所述存储器存储有应用程序,所述处理器用于运行所述存储器内的应用程序实现本发明实施例提供的业务资源访问方法。
此外,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本发明实施例所提供的任一种业务资源访问方法中的步骤。
本发明实施例在向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源;由于该方案可以根据网关集群的历史连接记录,对网关集群的网关之间的连接顺序进行动态调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的业务资源访问方法的场景示意图;
图2是本发明实施例提供的业务资源访问方法中的业务终端的场景示意图;
图3是本发明实施例提供的业务资源访问系统的总体结构示意图
图4是本发明实施例提供的业务资源访问方法的第一流程示意图;
图5是本发明实施例提供的访问进程的进程信息的示意图;
图6是本发明实施例提供的通过目标网关访问待访问资源的流程示意图;
图7是本发明实施例提供的业务资源访问方法的第二流程示意图;
图8是本发明实施例提供的网关配置页面的示意图;
图9是本发明实施例提供的网关编辑页面的示意图;
图10是本发明实施例提供的资源配置页面的示意图;
图11是本发明实施例提供的网关排序页面的示意图;
图12是本发明实施例提供的资源管理页面的示意图;
图13是本发明实施例提供的检测进程信息的流程示意图;
图14是本发明实施例提供的业务资源访问的第三流程示意图;
图15是本发明实施例提供的第一业务资源访问装置的结构示意图;
图16是本发明实施例提供的第二业务资源访问装置的第一结构示意图;
图17是本发明实施例提供的第二业务资源访问装置的第二结构示意图;
图18是本发明实施例提供的第二业务资源访问装置的第三结构示意图;
图19是本发明实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种业务资源访问方法、装置和计算机可读存储介质。其中,该业务资源访问装置可以集成在电子设备中,该电子设备可以是服务器,也可以是终端等设备。具体的,本发明实施例提供适用于第一电子设备的业务资源访问装置(为了区分可以称为第一业务资源访问装置)中,以及适用于第第二电子设备的业务资源访问装置(为了区分可以称为第二业务资源访问装置)。其中,第一电子设备可以为终端等设备,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。第二电子设备可以为服务器等网络侧设备,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
本发明实施例将第一电子设备为终端,第二电子设备为服务器为例,其中为了对业务资源进行配置的配置终端,第一电子设备可以为业务终端,为了区别业务资源对应的业务服务器,第二电子设备可以为访问服务器,来介绍业务资源访问方法。
例如,参见图1,本发明实施例提供了业务资源访问系统包括业务终端10、访问服务器20、网关30和待访问业务资源对应的业务服务器40等;业务终端10与访问服务器20之间通过网络连接,比如,可以通过有效或无线网络连接等,其中,业务资源访问装置集成在业务终端,比如,以客户端的形式集成在业务终端中。
其中,业务终端10,可以用于向访问服务器发送业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识,然后,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源,具体可以如图2所示。
其中,业务资源可以理解为业务服务器存储的互联网资源,比如,可以为某个网址或域名对应的网页、视频、音频、或文本等资源。
其中,业务终端访问待访问业务资源的方式有多种,比如,业务终端10可以从访问服务器中获取访问待访问业务资源的访问票据和网关信息,根据访问票据和网关信息,访问待访问业务资源。具体的,业务终端10可以向访问服务器20发送业务资源访问请求;访问服务器具体可以用于:
接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序。
其中,对于业务资源的访问,通过业务终端和访问服务器作为业务资源访问系统,提供安全访问业务资源的访问方法,主要是通过零信任的访问代理和网关集群为访问主体通过业务资源访问请求访问待访问业务资源提供统一入口,业务终端和访问服务器为统一入口提供鉴权操作,只有通过鉴权的业务资源访问请求才能由零信任的访问代理转发给网关集群中的访问网关,通过访问网关代理实际业务资源的访问,实现访问主体通过统一入口了解访问客体,实现业务资源的访问,具体可以如图3所示。所谓访问主体可以理解为在网络中,发起访问的一方,访问内网业务资源的人/设备/应用。相对于的访问客体可以为在网络中,被访问的一方,即企业内网业务资源,数据,开发测试环境,运维环境等等。
以下分别进行详细说明。需要说明的是,以下实施例的描述顺序不作为对实施例优选顺序的限定。
本实施例将从第一业务资源访问装置的角度进行描述,该第一业务资源访问装置具体可以集成在电子设备中,该电子设备可以是终端等设备;其中,该终端可以包括平板电脑、笔记本电脑、以及个人计算机(PC,Personal Computer)、可穿戴设备、虚拟现实设备或其他可以访问业务资源的智能设备等设备。
一种业务资源访问方法,包括:
向访问服务器发送业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源。
如图4所示,该业务资源访问方法的具体流程如下:
101、向访问服务器发送业务资源访问请求。
其中,业务资源访问请求携带待访问业务资源的资源标识。
例如,接收访问用户通过客户端触发生成的业务资源访问请求,然后,直接将业务资源访问请求直接发送至访问服务器。当业务资源访问请求中携带的信息内存较大时,还可以间接将业务资源访问请求中携带的信息发送至访问服务器,比如,将业务资源访问请求中携带的待访问业务资源的资源标识、访问信息和访问进程的进程信息等信息存在至第三方数据库中,将存储地址添加至业务资源访问请求中,将添加存储地址的业务资源访问请求发送至访问服务器,使得访问服务器在接收到业务资源访问请求之后,根据业务资源访问请求中携带的存储地址,在第三方数据库中获取到待访问业务资源的资源标识、访问信息和访问进程的进程信息等信息。
其中,访问服务器即可以单一部署的方式适应中型企事业单位和政府,也可以通过分布式级联部署方式适应大型企业集团和多级垂直政府电子政务系统。通常为了保障义务资源访问系统的稳定云顶,采取零信任核心服务异地多活的方案,业务资源访问系统中核心业务和基础业务可以部署在访问服务器的总控节点,各个不同的业务部署在不同的二级节点中,总控节点通过集群部署实现自身的可用性,访问服务器的总控节点与不同业务节点之间实现配置和数据同步。其中,访问服务器的总控节点部署核心的基础服务,可以为心跳服务,策略同步服务,设备管控服务等。总控节点将配置和数据定期同步给各业务节点,各业务节点有数据和配置需要更改,则通知总控节点去修改,总控节点修改完之后同步给各业务节点即可,用于实现访问服务器中各个节点之间的数据和配置同步。
可选的,在向访问服务器发送业务资源访问请求之前,还可以确定访问用户访问的待访问业务资源的资源标识,以及采集访问待访问业务资源的访问进程的进程信息,并将待访问业务资源的资源标识和访问进程的进程信息添加至业务资源访问请求中,因此,业务资源访问方法还可以包括:
获取待访问业务资源的访问信息,并在访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识,根据身份信息和资源地址,确定待访问业务资源的资源标识,基于进程标识,采集访问进程的进程信息,将访问信息、资源标识和进程信息添加至业务资源访问请求。具体可以如下:
(1)获取待访问业务资源的访问信息,并在访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识。
例如,当用户通过客户端中的应用发起针对待访问业务资源的业务资源访问请求,采用访问代理劫持到该业务资源访问请求,在业务资源访问请求中获取到待访问业务资源的访问信息。比如,访问代理向第一业务资源访问装置发起鉴权请求用于申请访问票据,并将业务资源访问请求转发至第一业务资源访问装置,第一业务资源访问装置获取业务资源访问请求中携带的访问信息。在访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识,比如,在访问信息中识别出访问用户的身份标识、源端口、源IP或者域名等作为访问用户的身份信息,在访问信息中识别出目的IP或者域名、以及目的端口作为待访问业务资源的资源地址,在访问信息中识别出应用对应的访问进程的PID作为进程标识。
其中,访问代理可以理解为通过TUN/TAP虚拟网卡劫持设备流量来进行加密通讯,实现远程访问。
(2)根据身份信息和资源地址,确定待访问业务资源的资源标识。
例如,可以获取身份信息对应的资源配置信息,比如,接收服务器发送的管理员配置的访问用户的资源配置信息,在访问用户的资源配置信息中筛选出身份信息对应的资源配置信息。对资源配置信息进行解析,比如,在资源配置信息中识别出该身份信息对应的可访问的业务资源列表,将该身份信息可访问的业务资源列表作为许可业务资源信息。当许可业务资源信息中包括资源地址时,在许可业务资源信息中筛选出待访问业务资源的资源标识,比如,将待访问业务资源的目的IP、域名或目的端口与可访问的业务资源列表中的业务资源的目的IP、域名或目的端口进行匹配,当匹配成功时,在可访问的业务资源列表中筛选出匹配成功的业务资源对应的身份标识号(Identity document,ID)作为待访问业务资源的资源标识。
(3)基于进程标识,采集访问进程的进程信息。
例如,根据访问进程的进程标识,采集访问进程的进程信息,比如,可以采集访问进程的MD5、访问进程的哈希值、进程路径、进程最近修改时间、版权信息、签名信息和证书链详细信息,其中证书链详细信息包括:摘要算法、根证书名称、根证书序列号、根证书到期时间、中级证书名称、中级证书序列号、中级证书到期时间、签名证书名称、签名证书序列号、签名证书到期时间、签名状态、签名人姓名、时间戳、签名验证错误信息。将采集的这些进程的信息作为访问进程的进程信息,以访问进程A为例,具体的进程信息可以如图5所示。
(4)将访问信息、资源标识和进程信息添加至业务资源访问请求。
例如,可以直接将访问信息、资源标识和进程信息添加至业务资源访问请求。当访问信息、资源标识和进程信息内存较大时,还可以间接将访问信息、资源标识和进程信息添加至业务资源访问请求,比如,将访问信息、资源标识和进程信息存储至第三方数据库中,然后,将存储地址添加至业务资源访问请求。
102、接收访问服务器返回的访问票据和资源标识对应的网关信息。
其中,网关信息包括网关集群中网关之间的连接顺序。访问票据可以为访问待访问业务资源的访问凭证,在访问票据中还可以包括该访问凭证的最大使用次数和访问凭证的访问时效等信息。
例如,当访问服务器接收到第一业务资源访问装置发送的业务资源访问请求之后,对访问用户的访问信息和进程信息进行验证,比如,对访问用户的身份进行验证,对第一业务资源访问装置对应的业务终端的硬件信息和设备安全状态进行验证,根据进程信息,检测访问是否属于恶意进程,是否存在漏洞。当验证成功后,访问服务器就会将访问票据和资源标识对应的网关信息发送给第一业务资源访问装置,第一业务资源访问装置就可以接收到访问服务器返回的访问票据和资源标识对应的网关信息。
103、获取网关集群在预设时间段内的历史连接记录。
例如,从访问代理设备中获取全部网关连接的历史连接记录集合,在网关信息中读取出网关集群中网关的网关标识或网关地址,根据网关标识或网关地址,在网关的历史连接记录集合中筛选出预设时间段内每个网关的历史连接记录,比如,可以历史连接记录集合中筛选出在网关标识或网关地址对应的网关在当前时间之前的10分钟、半小时或者其他时间段内连通待访问业务资源对应的业务服务器的连接记录,譬如,网关是否连接成功该业务服务器,连接成功的网关的连接时延为多少,就可以得到网关集群在预设时间段内的历史连接记录。
104、根据历史连接记录,对网关之间的连接顺序进行调整。
例如,可以对历史连接记录提取出网关集群中网关的连接时延,对连接时延进行排序,得到网关的连接时延排序结果,根据连接时延排序结果,对网关之间的连接顺序进行调整,具体可以如下:
(1)在历史连接记录中提取出网关集群中网关的连接时延。
例如,在历史连接记录中提取网关集群中每个网关在预设时间段内连接待访问业务资源的连接时延,比如,在历史连接记录中提取出网关在10分钟、半小时或者其他时间段内连通待访问业务资源对应的业务服务器产生的连接时延,该连接时延可以为从网关开始连接业务服务器到成功连通该业务服务器之间延迟的时间。
(2)对连接时延进行排序,得到网关的连接时延排序结果。
例如,对网关集群中网关的连接时延进行排序,比如,根据连接时延的长短,对网关的连接时延进行排序,譬如,以网关集群中包括A、B和C三个网关,A网关的连接时延为50ms,B网关的连接时延为10ms,C网关的连接时延为30ms为例,对三个网关的连接时延按连接时延越短排名越前的排名顺序进行排序,可以得到网关的连接时延排序结果可以为网关B的连接时延排名为第一,网关C的连接时延排名第二,网关A的连接时延排名为第三。
(3)根据连接时延排序结果,对网关之间的连接顺序进行调整。
例如,根据网关集群中网关之间的连接顺序,确定网关的当前连接排序结果,比如,以网关集群中包括A、B和C三个网关,网关之间的连接顺序为网关A-网关B-网关C为例,则可以确定网关A的当前连接排名第一,网关B的当前连接排名第二,网关C的当前连接排名第三。将当前连接排序结果和连接时延排序结果进行融合,比如,对当前连接排序结果和连接时延排序结果按照从前往后的顺序赋予系数,譬如,排名第一对应的排序系数为1,排名第二对应的排序系数为2,排名第三对应的排序系数为3,将网关A、网关B和网关C的当前连接排序结果和连接时延排序结果分别对应的排序系数相加,就可以分别得到网关A、网关B和网关C的排序系数之和。对网关A、网关B和网关C的排序系数之后再进行排序,比如,可以为排序系数之和越低的越靠前,譬如,以网关A为例,网关A在连接时延排序结果为第三,对应的排序系数为3,在当前连接时延排序结果为第一,对应的排序系数为1,网关A的排序系数之后就为4,采用同样的方式可以计算出网关B的排序系数之和为3,网关C的排序系数之后为5,就可以得到网关的目标连接排序结果为网关B排名第一,网关A排名第二,网关C排名第三。根据目标连接排序结果,对网关之间的连接顺序进行调整,比如,以当前连接顺序为网关A-网关B-网关C为例,则可以将当前连接顺序调整为网关B-网关A-网关C,对业务服务器的连接就按照这个顺序进行连接。
105、基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源。
例如,可以根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关,向目标网关发送访问票据和业务资源访问请求,以通过目标网关连接业务服务器,当目标网关未连通业务服务器时,返回根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关的步骤,直至目标网关连通业务服务器为止,通过目标网关访问待访问业务资源。具体可以如下:
(1)根据网关调整后的连接顺序,在网关集群中筛选出目标网关。
其中,目标网关为连接待访问业务资源对应的业务服务器的网关。
例如,按照网关调整后的连接顺序,将连接顺序中排序最靠前的网关作为目标网关,比如,以连接顺序为网关A-网关B-网关C为例,则将网关A作为目标网关优先与业务服务器进行连接。当网关A未连接成功时,再将网关B作为目标网关,如果网关B仍未连接成功就将网关C作为目标网关。
(2)向目标网关发送访问票据和业务资源访问请求,以通过目标网关连接业务服务器。
例如,以网关A为目标网关,网关地址为“14.215.177.40:2900”为例,通过票据响应将访问票据、业务资源访问请求和网关地址发送访问代理,访问代理连通该网关地址“14.215.177.40:2900”对应的目标网关,将访问票据和业务资源访问请求转发至目标网关,目标网关将访问票据发送至访问服务器进行验证,当访问票据验证通过时,目标网关将业务资源访问请求转发至业务服务器,以连通业务服务器。
(3)当目标网关未连通业务服务器时,返回根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关的步骤,直至目标网关连通业务服务器为止,通过目标网关访问待访问业务资源。
例如,当目标网关为连通业务服务器时,返回根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关的步骤,比如,当网关A未连通业务服务器时,返回执行在网关集群中筛选出目标网关的步骤,将连接顺序中排名第二的网关B作为目标网关,通过网关B连接业务服务器,如果网关B仍未连通业务服务器,则将网关B排名下一位的网关C作为目标网关来连接业务服务器,直到网关集群中存在连通业务服务器的网关为止。通过目标网关访问待访问资源比如,当目标网关连通业务服务器时,业务服务器根据业务资源访问请求,将待访问资源通过目标网关发送至访问代理,访问代理将待访问资源转发至第一业务资源访问装置,从而使得第一业务资源访问装置访问待访问资源,具体的访问过程可以如图6所示。
其中,如果网关集群中所有网关第一次连接业务服务器都未连通时,此时,就可以开始第二轮的轮询,比如,以网关集群包括网关A、网关B和网关C为例,如果第一轮连接时,网关A、网关B和网关C都未连通业务服务器,此时,就可以按照连接顺序开始第二轮的连接,直至存在目标网关连通业务服务器。
可选的,在目标网关连通业务服务器,并通过业务服务器访问该待访问资源时,还可以对目标网关连接业务服务器的连接时延进行统计,因此,业务资源访问方法,还包括:
对目标网关连接业务服务器的连接时延进行统计,得到网关集群的当前连接时延信息,根据当前连接时延信息,对网关集群的历史连接记录进行更新。
例如,可以通过访问代理在目标网关连通业务服务器时对目标网关的连接时延进行统计,比如,对网关集群中每个网关连接业务服务器的连接延时进行统计,统计完成之后,就可以得到网关集群的当前连接时延信息,然后,访问代理可以即时发送给第一业务资源访问装置,也可以周期性的发送给第一业务资源访问装置。根据当前连接时延信息,对网关集群的历史连接记录进行更新,比如,在网关集群在预设时间段内的历史连接记录中添加本次连接业务服务器的网关集群的当前连接时延信息,以对网关集群的历史连接记录进行更新。对网关集群的历史连接记录进行更新之后,当下一次通过该网关集群来连接相同的业务服务器时,就可以根据更新后的历史连接记录,对网关集群中网关之间的当前连接顺序继续进行调整,并根据调整后的连接顺序,通过网关集群连接待访问业务资源对应的业务服务器。
由以上可知,本发明实施例在向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源;由于该方案可以根据网关集群的历史连接记录,对网关集群的网关之间的连接顺序进行动态调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
根据上面实施例所描述的方法,以下将举例作进一步详细说明。
在本实施例中,将从第二业务资源访问装置的角度进行描述,该第二业务资源访问装置具体可以集成在电子设备中,以该电子设备为访问服务器,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
一种业务资源访问方法,包括:
接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序。
如图7所示,该业务资源访问方法,具体流程如下:
201、接收业务终端发送的业务资源访问请求。
其中,业务资源访问请求携带待访问业务资源的资源标识和访问信息。
例如,可以直接接收业务终端发送的业务资源访问请求,并在业务资源访问请求中获取携带的待访问业务资源的资源标识和访问信息。当待访问业务资源的资源标识和访问信息所占的内存较大时,可以间接获取业务资源访问请求中携带的待访问业务资源的资源标识和访问信息,比如,业务终端将待访问业务资源的资源标识和访问信息存储在第三方数据库中,将存储地址添加至业务资源访问请求,第二业务资源访问装置在接收到的业务资源访问请求中提取出存储地址,根据存储地址,在第三方数据库中获取到待访问业务资源的资源标识和访问信息。
202、根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息。
其中,网关配置信息包括候选网关和候选网关的连接顺序。网关配置信息可以包括每个业务资源对应的可以访问该业务资源的候选网关信息,以及候选网关之间的连接顺序。
例如,对访问信息进行校验,检验通过之后,就可以根据预设访问策略生成访问信息对应的待访问业务资源的访问凭证和访问凭证的访问次数以及访问时限等,将这些作为待访问业务资源的访问票据。获取资源标识对应网关配置信息,比如,根据预设访问策略,在网关配置信息集合中筛选出资源标识对应的网关配置信息。
可选的,在获取资源标识对应的网关配置信息之前,还可以对连接待访问业务资源对应的业务服务器的网关进行配置,因此,业务资源访问方法,还包括:
在配置终端显示网关配置页面,该网关配置页面包括添加网关控件,响应于针对添加网关控件的触发操作,在配置终端显示网关编辑页面,该网关编辑页面包括网关参数输入控件,获取通过网关参数输入控件输入的网关参数,以生成待配置网关信息,采用资源标识对应的待访问业务资源对待配置网关信息进行配置,得到资源标识对应的网关配置信息。
其中,响应于,用于表示所执行的操作所依赖的条件或者状态,当满足所依赖的条件或状态时,所执行的一个或多个操作可以是实时的,也可以具有设定的延迟;在没有特别说明的情况下,所执行的多个操作不存在执行先后顺序的限制。
其中,配置终端可以为第二业务资源访问装置连接的终端,业务资源访问的管理员通过配置终端配置网关配置信息和资源配置信息,并将配置好的网关配置信息和资源配置信息作为访问策略存储在第一业务资源访问装置和第二业务资源访问装置。
例如,在配置终端显示网关配置页面,网关配置页面可以如图8所示,网关配置页面中包括添加网关控件,还可以包括已经添加的网关信息。响应于针对添加网关控件的触发操作,在配置终端显示网关编辑页面,网关编辑页面可以如图9所示,该网关编辑页面包括网关参数输入控件和确定控件,网关参数输入控件可以有多个。获取通过网关参数输入控件输入的网关参数,网关参数可以包括多种类型的参数,比如,可以包括网关名称、网关设置参数和该网关对应的许可访问的本地地址区间,网关设置参数可以包括网关的连接地址和端口信息等,许可访问的本地地址区间可以为可以通过该网关访问业务服务器的业务终端的IP段起始地址至末尾地址组成的IP地址区间。该许可访问的本地地址区间可以包括一个或者多个。响应于针对确定控件的触发操作,返回网关配置页面,此时网关配置页面中已经添加的网关信息中就已包含此次添加的网关,根据这些已经添加的网关,就可以生成待配置网关信息。
其中,对于网关的配置,可以同时配置多个网关,共同组成一个网关集群,管理员通过配置终端可以配置每个网关服务所部署的服务器IP或域名,以及端口,同时可以配置优先访问该网关的IP段,将这些信息作为网关参数,在未来对网关进行连接或访问时,只有业务终端的出口IP匹配对应IP段内的访问用户才能访问或者连接该网关。
在一实施例中,采用资源标识对应的待访问业务资源对待配置网关信息进行配置,得到资源标识对应的网关配置信息,比如,根据待配置网关信息,在配置终端创建资源配置页面,资源配置页面可以如图10所示,资源配置页面包括资源参数录入接口和待配置网关信息对应的网关列表。资源参数录入接口可以包括多个录入接口,资源参数可以包括待访问资源的资源标识、访问类别、当管理员选择访问类别为IP时,又可以选择IP的类型,譬如,可以为指定IP或IP段,当管理员选择访问类别为域名时,就只需要输入业务资源的域名信息即可,资源参数还可以包括访问待访问业务资源的业务终端的端口信息等。网关列表可以包括在网关配置页面已经添加的全部或部分网关的网关名称和网关地址等信息。接收资源参数录入接口录入的资源参数和网关列表中选择的网关集群。根据网关集群,在配置终端创建网关排序页面,网关排序页面可以如图11所示,该网关排序页面可以包括网关集群中网关的排序控件,该排序控件可以包括升序控件和降序控件,升序控件可以将网关的连接优先级或者连接顺序上升,降序控件可以将网关的连接优先级或者连接顺序下降,响应于针对排序控件的触发操作,确定网关集群中网关之间的初始连接顺序,比如,响应于管理员针对升序控件或降序空间的触发操作,就可以确定网关集群中每个网关的初始连接顺序。根据网关之间的初始连接顺序,对资源标识对应的待访问业务资源进行配置,比如,将资源标识对应的待访问资源与网关集群进行关联,就可以得到每个待访问资源对应的网关集群,以及网关集群中网关之间的初始连接顺序,将这些信息作为资源标识对应的网关配置信息。
可选的,在采用资源标识对应的待访问业务资源对待配置网关信息进行配置,得到资源标识对应的网关配置信息之后,根据网关配置信息,对业务资源对应的访问用户进行配置,因此,业务资源访问方法,还包括:
根据网关配置信息,在配置终端创建资源管理页面,该资源管理页面包括访问用户列表和网关配置信息对应的许可业务资源列表,接收访问用户列表中选择的访问用户和许可业务资源列表中选择的许可业务资源,将访问用户的身份信息与许可业务资源进行匹配,以得到身份信息对应的资源配置信息,并将资源配置信息发送至业务终端。
例如,根据配置好的网关配置信息,在配置终端创建资源管理页面,资源管理页面如图12所示,可以包括访问用户列表和许可业务资源列表,其中访问用户列表可以包括多个访问用户或访问用户组,该访问用户组中的访问用户可以配置相同的资源配置信息。接收管理员在访问用户列表中选择的访问用户和在许可业务资源列表中选择的许可业务资源,根据管理员选择的访问用户的身份信息,确定每一个身份信息对应的许可业务资源,此时,就可以得到每个访问用户或者访问用户组可以访问的业务资源,将这个信息作为访问用户或访问用户的身份信息对应的资源配置信息,并将该资源配置信息发送至业务终端,比如,业务终端可以通过心跳服务,向第二业务资源访问装置定期发送配置信息获取请求,接收第二业务资源访问装置定期发送的网关配置信息和当前访问用户的资源配置信息作为预设访问策略。业务终端将预设访问策略进行加密存储。
203、根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序。
例如,可以在身份信息中识别出业务终端的本地地址,比如,在身份信息中识别出访问用户通过业务终端访问待访问业务资源的出口IP。然后,在候选网关中筛选出本地地址在网关中配置的可访问的本地地址区间的网关作为访问待访问业务资源的网关,比如,候选网关中配置的出口IP地址区间为1.1.0.1-100.100.100.100为例,如果业务终端的出口IP为80.15.00.20,就可以确定出口IP地址在IP地址区间内,该候选网关就可以为连接待访问业务资源对应的业务服务器的网关,如果业务终端的出口IP为192.16.00.12,就可以确定该出口IP地址不在IP地址区间内,该候选网关就不能作为连接业务服务器的网关。对网关和访问服务器可以采用集群部署,因此,一般访问待访问业务资源的网关都会存在多个,将这些网关就可以组成网关集群。根据管理员配置的这些网关集群中网关之间连接顺序,就可以确定网关集群中网关之间的初始连接顺序,比如,以候选网关有4个,分别为网关A、网关B、网关C和网关D,它们的连接顺序分别为网关A-网关B-网关C-网关D,筛选出的网关集群包括网关A、网关B和网关D,则该网关集群中网关之间的初始连接顺序就可以为网关A-网关B-网关D。
204、根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
例如,获取网关集群的当前连接信息和网关集群中网关的性能配置信息,比如,可以获取网关集群中网关当前连接业务服务器的连接数和计算负载,将连接数和计算负载作为网关集群的当前连接信息。还可以获取网关集群中网关的每个网关的CPU型号、内存性能等信息,将这些信息作为网关的性能配置信息。在当前连接信息中读取网关的连接数量和负载信息,并根据性能配置信息、连接数量和负载信息,确定网关的连接权重,比如,可以预先网关集群中每一个网关配置一个默认连接权重,该默认连接权重可以为一个范围内的正整数。影响该默认权重的因素主要为性能配置、连接数和计算负载等,然后,设置性能配置的权重范围为1-100,连接数的权重范围设置为1-100,计算负载的权重范围为1-100,根据性能配置越高分配的连接权重越高,连接数越大,分配的连接权重越低,计算负载越大,分配的连接权重越低,通过比较每个网关的性能配置、连接数和计算负载,就可以确定网关集群中每个网关的性能配置、连接数和计算负载分别分配的连接权重,将性能配置、连接数和计算负载分配的连接权重进行累加,就可以得到网关集群中每个网关的连接权重。根据连接权重,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,比如,网关的连接权重越大,则该网关的连接业务服务器的优先级越大,连接顺序就越靠前,就可以分别比较每个网关的连接权重,基于比较结果,对网关的初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
205、将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源。
其中,网关信息包括网关集群中网关之间的连接顺序。
例如,可以直接将访问票据和网关信息发送至业务终端,使得业务终端在接收到访问票据和网关信息之后,通过访问代理连通网关集群中的网关,获取网关返回的待访问业务资源,以访问待访问业务资源。
可选的,业务终端发送的业务资源访问请求中还可以携带访问进程的进程信息。第二业务资源访问装置还可以对访问进程进行检测,因此,业务资源访问方法,还包括:
根据预设检测策略,对访问进程的进程信息进行检测,以确定访问进程的类型,当访问进程为恶意进程时,向业务终端发送提示信息,使得业务终端终止对待访问业务资源的访问。
例如,第二业务资源访问装置在接收到访问进程的进程信息之后,可以根据预设检测策略自行进行检测,确定访问进程的类型。还可以定期向威胁情报云查服务或各种杀毒引擎发送文件送检请求,该文件送检请求中携带访问进程的进程信息,然后,接收威胁情报云查服务或各种杀毒引擎返回的检测结果,根据检测结果来确定访问进程的类型。当访问进程为恶意进程时,向业务终端发送提示信息,以提示业务终端该访问进程为恶意进程,业务终端确定访问进程为恶意进程之后,就停止访问待访问业务资源,具体可以如图13所示。
由以上可知,本实施例在接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序,由于该方案可以根据网关集群的当前连接信息,对网关集群中网关之间的初始连接顺序进行调整,减少连接网关集群中网关的连接时延,因此,可以大大提升业务资源访问的访问效率。
根据上面实施例所描述的方法,以下将举例作进一步详细说明。
在本实施例中,将以该第一业务资源访问装置集成在业务终端,该业务终端可以包括访问客户端和代理客户端,第二业务资源访问装置集成在访问服务器,管理员通过配置终端连接访问服务器来配置业务资源访问策略,该业务资源访问策略包括网关配置和资源配置信息,配置完成后,基于访问策略,业务终端通过访问客户端和代理客户端对待访问业务资源进行访问,访问业务资源的应用场景可以为零信任办公为例进行说明。
(一)配置终端配置访问策略。
S1、配置终端配置网关配置信息。
例如,配置终端显示网关配置页面,网关配置页面中包括添加网关控件,还可以包括已经添加的网关信息,响应于针对添加网关控件的触发操作,在配置终端显示网关编辑页面,该网关编辑页面包括网关参数输入控件和确定控件,获取通过网关参数输入控件输入的网关名称、网关设置参数和该网关对应的许可访问的本地IP地址区间,响应于针对确定控件的触发操作,返回网关配置页面,此时网关配置页面中已经添加的网关信息中就已包含此次添加的网关,根据这些已经添加的网关,就可以生成待配置网关信息。
在一些实施例中,根据待配置网关信息,访问服务器在配置终端创建资源配置页面。资源参数录入接口可以包括多个录入接口,资源参数可以包括待访问资源的资源标识、访问类别、当管理员选择访问类别为IP时,又可以选择IP的类型,譬如,可以为指定IP或IP段,资源参数还可以包括访问待访问业务资源的业务终端的端口信息等。网关列表可以包括在网关配置页面已经添加的全部或部分网关的网关名称和网关地址等信息。接收资源参数录入接口录入的资源参数和在网关列表中选择的网关集群。根据网关集群,在配置终端创建网关排序页面,网关排序页面包括升序控件和降序控件,响应于管理员针对升序控件或降序空间的触发操作,就可以确定网关集群中每个网关的初始连接顺序,将资源标识对应的待访问资源与网关集群进行关联,就可以得到每个待访问资源对应的网关集群,以及网关集群中网关之间的初始连接顺序,将这些信息作为资源标识对应的网关配置信息。
S2、配置终端配置资源配置信息。
例如,根据配置好的网关配置信息,在配置终端创建资源管理页面,资源管理页面可以包括访问用户列表和许可业务资源列表,将许可业务资源列表中的许可业务资源对应的网关配置信息作为业务资源访问策略下发至访问用户列表中的访问用户或用户组,就可以完成资源配置信息的配置,比如,接收管理员在访问用户列表中选择的访问用户和在许可业务资源列表中选择的许可业务资源,根据管理员选择的访问用户的身份信息,确定每一个身份信息对应的许可业务资源,此时,就可以得到每个访问用户或者访问用户组可以访问的业务资源,将这个信息作为访问用户或访问用户的身份信息对应的资源配置信息。访问服务器通过配置终端将网关配置信息和资源配置信息作为业务资源访问策略加密后存在访问服务器本地。业务终端可以通过心跳服务,向访问服务器定期发送配置信息获取请求,接收访问服务器定期发送的网关配置信息和当前访问用户的资源配置信息作为业务资源访问策略。
(二)业务终端根据业务资源访问策略,通过访问服务器和网关集群访问待访问业务资源。
如图14所示,一种业务资源访问方法,具体流程可以如下:
301、业务终端向访问服务器发送业务资源访问请求。
例如,业务终端通过访问客户端触发生成业务资源访问请求,将业务资源访问请求直接发送至访问服务器。当业务资源访问请求中携带的信息内存较大时,业务终端还可以将业务资源访问请求中携带的信息存储至第三方数据库,将存储地址添加至业务资源访问请求,将添加存储地址的业务资源访问请求发送至访问服务器。
可选的,在业务终端向访问服务器发送业务资源访问请求之前,访问用户可以登录业务终端中的访问客户端,可以通过扫描二维码或者身份信息对应的账号密码进程登录。登录成功之后,业务终端在资源配置信息中识别出该身份信息对应的资源配置信息,根据资源配置信息,在业务终端显示管理员下发的可信软件详情,还可以在业务终端显示该身份信息对应的访问用户可以通过可信软件或应用访问的业务资源或业务系统等资源配置信息。当访问用户通过可信软件访问待访问资源时,此时,可以触发访问客户端生成业务资源访问请求,此时,该业务资源访问请求中可以包括待访问业务资源的访问信息。业务终端通过访问信息,确定待访问业务资源的资源标识和访问进程的进程信息,并将访问信息、资源标识和进程信息添加至业务资源访问信息。具体可以如下:
(1)业务终端获取待访问业务资源的访问信息,并在访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识。
例如,当用户通过可信应用发起针对待访问资源的业务资源访问请求时,代理客户端劫持到该业务资源访问请求,向访问客户端发起鉴权请求用于申请访问票据,并将业务资源访问请求转发至访问客户端,访问客户端获取业务资源访问请求中携带的访问信息,在访问信息中识别出访问用户的身份标识、源端口、源IP或者域名等作为访问用户的身份信息,在访问信息中识别出目的IP或者域名、以及目的端口作为待访问业务资源的资源地址,在访问信息中识别出应用对应的访问进程的PID作为进程标识。
(2)业务终端根据身份信息和资源地址,确定待访问业务资源的资源标识。
例如,业务终端在业务资源访问策略中筛选出访问用户身份信息对应的资源配置信息,资源配置信息中包括管理员配置的业务资源对应的业务站点和可访问的业务资源信息,将待访问业务资源的目的IP、域名或目的端口与可访问的业务资源列表中的业务资源的目的IP、域名或目的端口进行匹配,当匹配成功时,在业务资源对应的业务站点的配置信息中筛选出匹配成功的业务资源对应的ID。其中业务资源对应的业务站点的配置信息可以如下所示:
Figure BDA0002680772130000251
其中,其中"areaid"在零信任的业务访问策略中标识一个唯一的业务资源对应的业务站点,例如上例中,"areaid"是1标识名字为"tencent OA"的业务资源对应的业务站点,"areaid"是2则标识名称为"internal pv"的业务资源对应的业务站点,在一个零信任的业务资源访问策略中,"areaid"均不相同。
(3)业务终端基于进程标识,才访问进程的进程信息。
例如,业务终端根据访问进程的进程PID,采集访问进程的MD5、访问进程的哈希值、进程路径、进程最近修改时间、版权信息、签名信息和证书链详细信息,将采集的这些进程的信息作为访问进程的进程信息。
(4)业务终端将访问信息、资源标识和进程信息添加至业务资源访问请求。
例如,业务终端可以直接将访问信息、资源标识和进程信息添加至业务资源访问请求。当访问信息、资源标识和进程信息内存较大时,还可以将访问信息、资源标识和进程信息存储至第三方数据库中,然后,将存储地址添加至业务资源访问请求。
其中,添加访问信息、资源标识和进程信息之后的业务资源访问请求的部分代码可以如下所示:
Figure BDA0002680772130000261
Figure BDA0002680772130000271
302、访问服务器接收业务终端发送的业务资源访问请求。
例如,访问服务器可以直接接收业务终端发送的业务资源访问请求,并在业务资源访问请求中获取携带的待访问业务资源的资源标识和访问信息。当待访问业务资源的资源标识和访问信息所占的内存较大时,业务终端将待访问业务资源的资源标识和访问信息存储在第三方数据库中,将存储地址添加至业务资源访问请求,访问服务器在接收到的业务资源访问请求中提取出存储地址,根据存储地址,在第三方数据库中获取到待访问业务资源的资源标识和访问信息。
303、访问服务器根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息。
例如,访问服务器对访问信息进行校验,检验通过之后,就可以根据预设访问策略生成访问信息对应的待访问业务资源的访问凭证和访问凭证的访问次数以及访问时限等,将这些作为待访问业务资源的访问票据。根据业务资源访问策略,在网关配置信息集合中筛选出资源标识对应的网关配置信息。该网关配置信息可以为资源标识“areaid”定位到的具体的候选网关列表和候选网关列表中候选网关之间的连接顺序。
304、访问服务器根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序。
例如,访问服务器在身份信息中识别出访问用户通过业务终端访问待访问业务资源的出口IP。然后,在候选网关中筛选出本地地址在网关中配置的可访问的本地地址区间的网关作为访问待访问业务资源的网关,对网关和访问服务器可以采用集群部署,因此,一般访问待访问业务资源的网关都会存在多个,将这些网关就可以组成网关集群。根据管理员对这些网关集群中网关之间连接顺序,就可以确定网关集群中网关之间的初始连接顺序。
305、访问服务器根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
例如,访问服务器可以获取网关集群中网关当前连接业务服务器的连接数和计算负载,还可以获取网关集群中网关的每个网关的CPU型号、内存性能等性能配置信息。分别比较网关集群中每个网关之间的性能配置信息、连接数和计算负载,根据比较结果,来分配每个网关的连接权重,分配规则可以为根据性能配置越高分配的连接权重越高,连接数越大,分配的连接权重越低,计算负载越大,分配的连接权重越低。将性能配置、连接数和计算负载分配的连接权重进行累加,就可以得到网关集群中每个网关的连接权重。网关的连接权重越大,则该网关的连接业务服务器的优先级越大,连接顺序就越靠前,就可以分别比较每个网关的连接权重,基于比较结果,对网关的初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
306、访问服务器将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源。
例如,访问服务器直接将访问票据和网关信息发送至业务终端,使得业务终端在接收到访问票据和网关信息之后,通过访问代理连通网关集群中的网关,获取网关返回的待访问业务资源。该网关信息可以包括网关集群中网关之间的连接顺序。
可选的,业务资源访问请求中还可以携带访问进程的进程信息,因此,可以根据预设检测策略自行进行检测,确定访问进程的类型。还可以定期向威胁情报云查服务或各种杀毒引擎发送文件送检请求,该文件送检请求中携带访问进程的进程信息,然后,接收威胁情报云查服务或各种杀毒引擎返回的检测结果,根据检测结果来确定访问进程的类型。当访问进程为恶意进程时,向业务终端发送提示信息,以提示业务终端该访问进程为恶意进程,业务终端确定访问进程为恶意进程之后,就停止访问待访问业务资源。
可选的,访问服务器还可以对网关发送的访问票据进行鉴定,当访问票据处于正常状态且为访问服务器下发时,就可以确定访问票据鉴定通过,将鉴定加过返回给网关,此时,网关就可以连通业务服务器。
307、业务终端接收访问服务器返回的访问票据和资源标识对应的网关信息。
例如,业务终端中的访问客户端可以直接接收访问服务器返回的访问票据和资源标识对应的网关信息,将访问票据和网关信息作为票据响应返回至业务终端中的代理客户端。
308、业务终端获取网关集群在预设时间段内的历史连接记录。
例如,访问客户端从代理客户端中获取全部网关的历史连接记录集合,在网关信息中读取出网关集群中网关的网关标识或网关地址,根据网关标识或网关地址,在网关的历史连接记录集合中筛选出预设时间段内每个网关的历史连接记信息,比如,网关是否连接成功该业务服务器,连接成功的网关的连接时延为多少,将这些信息作为网关集群在预设时间段内的历史连接记录。
309、业务终端根据历史连接记录,对网关之间的连接顺序进行调整。
例如,业务终端的访问客户端可以对历史连接记录提取出网关集群中网关的连接时延,对连接时延进行排序,得到网关的连接时延排序结果,根据连接时延排序结果,对网关之间的连接顺序进行调整,具体可以如下:
(1)业务终端在历史连接记录中提取出网关集群中网关的连接时延。
例如,业务终端的访问客户端在历史连接记录中提取出网关在10分钟、半小时或者其他时间段内连通待访问业务资源对应的业务服务器产生的连接时延,该连接时延可以为从网关开始连接业务服务器到成功连通该业务服务器之间延迟的时间。
(2)业务终端对连接时延进行排序,得到网关的连接时延排序结果。
例如,业务终端的访问客户端根据连接时延的长短,对网关的连接时延进行排序,比如,以网关集群中包括A、B和C三个网关,A网关的连接时延为50ms,B网关的连接时延为10ms,C网关的连接时延为30ms为例,对三个网关的连接时延按连接时延越短排名越前的排名顺序进行排序,可以得到网关的连接时延排序结果可以为网关B的连接时延排名为第一,网关C的连接时延排名第二,网关A的连接时延排名为第三。
(3)业务终端根据连接时延排序结果,对网关之间的连接顺序进行调整。
例如,业务终端的访问客户端,根据网关集群中网关之间的连接顺序,确定网关的当前连接排序结果,将当前连接排序结果和连接时延排序结果进行融合,比如,对当前连接排序结果和连接时延排序结果按照从前往后的顺序赋予系数,譬如,排名第一对应的排序系数为1,排名第二对应的排序系数为2,排名第三对应的排序系数为3,将网关A、网关B和网关C的当前连接排序结果和连接时延排序结果分别对应的排序系数相加,就可以分别得到网关A、网关B和网关C的排序系数之和。对网关A、网关B和网关C的排序系数之后再进行排序,比如,可以为排序系数之和越低的越靠前,就可以得到网关的目标连接排序结果。根据目标连接排序结果,对网关之间的连接顺序进行调整。
310、业务终端根据网关调整后的连接顺序,在网关集群中筛选出目标网关。
例如,业务终端的访问客户端按照网关调整后的连接顺序,将连接顺序中排序最靠前的网关作为目标网关,比如,以连接顺序为网关A-网关B-网关C为例,则将网关A作为目标网关优先与业务服务器进行连接。当网关A未连接成功时,再将网关B作为目标网关,如果网关B仍未连接成功就将网关C作为目标网关。
311、业务终端向目标网关发送访问票据和业务资源访问请求,以通过目标网关连接业务服务器。
例如,业务终端的访问客户端将目标网关的网关地址发送至代理客户端,代理客户端首先向访问网关发起Https请求,其中在凭证信息(Authorization)首部字段中带上票据,目标网关收到请求后,解析出首部字段中的票据,向访问服务器校验票据,如果校验成功,则访问网关跟代理客户端成功建立连接,然后代理客户端将业务资源访问请求转发至目标网关,目标网关将业务资源访问请求转发至业务服务器,以连通业务服务器,如果访问票据校验失败,则代理客户端与目标网关的连接终端,就由访问客户端直接向待访问业务资源对应的业务服务器发送业务资源访问请求。
312、当目标网关未连通业务服务器时,业务终端返回根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关的步骤,直至目标网关连通业务服务器为止,通过目标网关访问待访问业务资源。
例如,以网关集群包括网关A、网关B和网关C,且三个网关之间的连接顺序为网关A-网关B-网关C为例,当网关A未连通业务服务器时,返回执行在网关集群中筛选出目标网关的步骤,将连接顺序中排名第二的网关B作为目标网关,通过网关B连接业务服务器,如果网关B仍未连通业务服务器,则将网关B排名下一位的网关C作为目标网关来连接业务服务器,直到网关集群中存在连通业务服务器的网关为止。当目标网关连通业务服务器时,业务服务器根据业务资源访问请求,将待访问资源通过目标网关发送至代理客户端,代理客户端将待访问资源转发至访问客户端,从而实现业务终端访问待访问资源。
可选的,在目标网关连通业务服务器,并通过业务服务器访问该待访问资源时,代理客户端还可以对目标网关连通业务服务器时对目标网关的连接时延进行统计,统计完成之后,就可以得到网关集群的当前连接时延信息,代理客户端将当前连接时延信息发送至访问客户段,访问客户端在网关集群在预设时间段内的历史连接记录中添加本次连接业务服务器的网关集群的当前连接时延信息,以对网关集群的历史连接记录进行更新。当下一次通过该网关集群来连接相同的业务服务器时,就可以根据更新后的历史连接记录,对网关集群中网关之间的当前连接顺序继续进行调整,并根据调整后的连接顺序,通过网关集群连接待访问业务资源对应的业务服务器。
由以上可知,本发明实施例在业务终端向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识后,访问服务器在接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送给业务终端,业务终端在接收访问服务器返回的访问票据和资源标识对应的网关信息后,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源;由于该方案可以根据网关集群的当前连接信息和历史连接记录,对网关集群的网关之间的连接顺序进行动态调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
为了更好地实施以上方法,本发明实施例还提供一种业务资源访问装置(即第一业务资源访问装置),该第一业务资源访问装置可以集成在终端,该终端可以包括平板电脑、笔记本电脑和/或个人计算机等。
例如,如图15所示,该第一业务资源访问装置可以包括第一发送单元401、第一接收单元402、获取单元403、第一调整单元404和访问单元405,如下:
(1)第一发送单元401;
第一发送单元401,用于向访问服务器发送业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识。
例如,第一发送单元401,具体可以用于接收访问用户通过客户端触发生成的业务资源访问请求,然后,直接将业务资源访问请求直接发送至访问服务器。
(2)第一接收单元402;
第一接收单元402,用于接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序。
例如,第一接收单元402,具体可以用于直接接收访问服务器返回的访问票据和资源标识对应的网关信息。
(3)获取单元403;
获取单元403,用于获取网关集群在预设时间段内的历史连接记录。
获取单元403,具体可以用于从访问代理设备中获取全部网关连接的历史连接记录集合,在网关信息中读取出网关集群中网关的网关标识或网关地址,根据网关标识或网关地址,在网关的历史连接记录集合中筛选出预设时间段内每个网关的历史连接记录。
(4)第一调整单元404;
第一调整单元404,用于根据历史连接记录,对网关之间的连接顺序进行调整。
例如,第一调整单元404,具体可以用于对历史连接记录提取出网关集群中网关的连接时延,对连接时延进行排序,得到网关的连接时延排序结果,根据连接时延排序结果,对网关之间的连接顺序进行调整。
(5)访问单元405;
访问单元405,用于基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源。
例如,访问单元405,具体可以用于根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关,向目标网关发送访问票据和业务资源访问请求,以通过目标网关连接业务服务器,当目标网关未连通业务服务器时,返回根据网关集群调整后的连接顺序,在网关集群中筛选出目标网关的步骤,直至目标网关连通业务服务器为止,通过目标网关访问待访问业务资源。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由以上可知,本实施例在第一发送单元401向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识,第一接收单元402接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取单元403获取网关集群在预设时间段内的历史连接记录,第一调整单元404根据历史连接记录,对网关之间的连接顺序进行调整,访问单元405基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源;由于该方案可以根据网关集群的历史连接记录,对网关集群的网关之间的连接顺序进行动态调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
为了更好地实施以上方法,本发明实施例还提供一种业务资源访问装置(即第二业务资源访问装置),该第二业务资源访问装置可以集成在服务器,该服务器可以为单台服务器,也可以为多台服务器组成的服务器集群。
例如,如图16所示,该第二业务资源访问装置可以包括第二接收单元501、生成单元502、确定单元403、第二调整单元504和第二发送单元505,如下:
(1)第二接收单元501;
第二接收单元501,用于接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息。
例如,第二接收单元501,具体可以用于直接接收业务终端发送的业务资源访问请求,并在业务资源访问请求中获取携带的待访问业务资源的资源标识和访问信息。
(2)生成单元502;
生成单元502,用于根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序;
例如,生成单元502,具体可以用于对访问信息进行校验,检验通过之后,就可以根据预设访问策略生成访问信息对应的待访问业务资源的访问凭证和访问凭证的访问次数以及访问时限等,将这些作为待访问业务资源的访问票据,还可以,根据预设访问策略,在网关配置信息集合中筛选出资源标识对应的网关配置信息。
(3)确定单元503;
确定单元503,用于根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序。
例如,确定单元503,具体可以用于在身份信息中识别出业务终端的本地地址,在候选网关中筛选出本地地址在网关中配置的可访问的本地地址区间的网关作为访问待访问业务资源的网关,根据管理员配置的这些网关集群中网关之间连接顺序,就可以确定网关集群中网关之间的初始连接顺序。
(4)第二调整单元504;
第二调整单元504,用于根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
例如,第二调整单元504,具体可以用于获取网关集群的当前连接信息和网关集群中网关的性能配置信息,根据性能配置信息、连接数量和负载信息,确定网关的连接权重,根据连接权重,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序。
(5)第二发送单元505;
第二发送单元505,用于将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序。
例如,第二发送单元505,具体可以用于直接将访问票据和网关信息发送至业务终端,使得业务终端在接收到访问票据和网关信息之后,通过访问代理连通网关集群中的网关,获取网关返回的待访问业务资源,以访问待访问业务资源。
可选的,第二业务资源访问装置还可以包括配置单元506,如图17所示,具体如下:
配置单元506,用于通过配置终端配置预设访问策略,该预设访问策略可以包括网关配置信息和资源配置信息。
例如,配置单元506,具体可以用于在配置终端显示网关配置页面,该网关配置页面包括添加网关控件,响应于针对添加网关控件的触发操作,在配置终端显示网关编辑页面,该网关编辑页面包括网关参数输入控件,获取通过网关输入参数控件输入的网关参数,以生成待配置网关信息,采用资源标识对应的待访问业务资源对待配置网关信息进行配置,得到资源标识对应的网关配置信息。根据网关配置信息,在配置终端创建资源管理页面,该资源管理页面包括访问用户列表和网关配置信息对应的许可业务资源列表,接收在访问用户列表中选择的访问用户和在许可业务资源列表中选择的许可业务资源,将访问用户的身份信息与许可业务资源进行匹配,以得到身份信息对应的资源配置信息,并将资源配置信息发送至业务终端。
可选的,第二业务资源访问装置,还可以包括检测单元507,如图18所示,具体可以如下:
检测单元507,用于对访问进程的进程信息进行检测,以确定访问进程的类型。
例如,检测单元507,具体可以用于根据预设检测策略,对访问进程的进程信息进行检测,以确定访问进程的类型,当访问进程为恶意进程时,向业务终端发送提示信息,使得业务终端终止对待访问业务资源的访问。
由以上可知,本实施例在第二接收单元501接收业务终端发送的业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,生成单元502根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,确定单元503在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,第二调整单元504根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,第二发送单元505将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序,由于该方案可以根据网关集群的当前连接信息,对网关集群中网关之间的初始连接顺序进行调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
本发明实施例还提供一种电子设备,如图19所示,其示出了本发明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器601、一个或一个以上计算机可读存储介质的存储器602、电源603和输入单元604等部件。本领域技术人员可以理解,图19中示出的电子设备结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器601是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器602内的软件程序和/或模块,以及调用存储在存储器602内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器601可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器601中。
存储器602可用于存储软件程序以及模块,处理器601通过运行存储在存储器602的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器602可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器602还可以包括存储器控制器,以提供处理器601对存储器602的访问。
电子设备还包括给各个部件供电的电源603,优选的,电源603可以通过电源管理系统与处理器601逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源603还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入单元604,该输入单元604可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,电子设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,电子设备中的处理器601会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器601来运行存储在存储器602中的应用程序,从而实现各种功能,如下:
向访问服务器发送业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源。
接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序。
以上各个操作的具体实施可参见前面的实施例,在此不作赘述。
由以上可知,本发明实施例在向访问服务器发送业务资源访问请求后,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,然后,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源;由于该方案可以根据网关集群的历史连接记录,对网关集群的网关之间的连接顺序进行动态调整,减少通过网关集群中网关连接业务服务器的连接时延,因此,可以大大提升业务资源访问的访问效率。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种业务资源访问方法中的步骤。例如,该指令可以执行如下步骤:
向访问服务器发送业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识,接收访问服务器返回的访问票据和资源标识对应的网关信息,该网关信息包括网关集群中网关之间的连接顺序,获取网关集群在预设时间段内的历史连接记录,根据历史连接记录,对网关之间的连接顺序进行调整,基于访问票据和调整连接顺序后的网关集群,访问待访问业务资源。
接收业务终端发送的业务资源访问请求,该业务资源访问请求携带待访问业务资源的资源标识和访问信息,根据访问信息,生成待访问业务资源的访问票据,并获取资源标识对应的网关配置信息,该网关配置信息包括候选网关和候选网关的连接顺序,根据身份信息,在网关配置信息中确定出用于访问待访问业务资源的网关集群和网关集群中网关之间的初始连接顺序,根据网关集群的当前连接信息,对初始连接顺序进行调整,得到网关集群中网关之间的连接顺序,将访问票据和网关信息发送至业务终端,使得业务终端通过网关集群访问待访问业务资源,该网关信息包括网关集群中网关之间的连接顺序。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本发明实施例所提供的任一种业务资源访问方法中的步骤,因此,可以实现本发明实施例所提供的任一种业务资源访问方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
其中,根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述业务资源访问方面或者业务资源的访问配置方面的各种可选实现方式中提供的方法。
以上对本发明实施例所提供的一种业务资源访问方法、装置和计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种业务资源访问方法,其特征在于,包括:
向访问服务器发送业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识;
接收所述访问服务器返回的访问票据和所述资源标识对应的网关信息,所述网关信息包括网关集群中网关之间的连接顺序;
获取所述网关集群在预设时间段内的历史连接记录;
根据所述历史连接记录,对所述网关之间的连接顺序进行调整;
基于所述访问票据和调整连接顺序后的网关集群,访问所述待访问业务资源。
2.根据权利要求1所述的业务资源访问方法,其特征在于,所述根据所述历史连接记录,对所述网关之间的连接顺序进行调整,包括:
在所述历史连接记录中提取出所述网关集群中网关的连接时延;
对所述连接时延进行排序,得到所述网关的连接时延排序结果;
根据所述连接时延排序结果,对所述网关之间的连接顺序进行调整。
3.根据权利要求2所述的业务资源访问方法,其特征在于,所述根据所述连接时延排序结果,对所述网关之间的连接顺序进行调整,包括:
根据所述网关集群中网关之间的连接顺序,确定所述网关的当前连接排序结果;
将所述当前连接排序结果和连接时延排序结果进行融合,得到所述网关的目标连接排序结果;
根据所述目标连接排序结果,对所述网关之间的连接顺序进行调整。
4.根据权利要求1所述的业务资源访问方法,其特征在于,所述基于所述访问票据和调整连接顺序后的网关集群,访问所述待访问业务资源,包括:
根据所述网关调整后的连接顺序,在所述网关集群中筛选出目标网关,所述目标网关为连接所述待访问业务资源对应的业务服务器的网关;
向所述目标网关发送访问票据和业务资源访问请求,以通过所述目标网关连接所述业务服务器;
当所述目标网关未连通所述业务服务器时,返回所述根据所述网关集群调整后的连接顺序,在所述网关集群中筛选出目标网关的步骤,直至所述目标网关连通所述业务服务器为止,通过所述目标网关访问所述待访问业务资源。
5.根据权利要求4所述的业务资源访问方法,其特征在于,所述通过所述目标网关访问所述待访问业务资源之后,还包括:
对所述目标网关连接所述业务服务器的连接时延进行统计,得到所述网关集群的当前连接时延信息;
根据所述当前连接时延信息,对所述网关集群的历史连接记录进行更新。
6.根据权利要求1所述的业务资源访问方法,其特征在于,所述向访问服务器发送业务资源访问请求之前,还包括:
获取所述待访问业务资源的访问信息,并在所述访问信息中识别出访问用户的身份信息、待访问业务资源的资源地址和访问进程的进程标识;
根据所述身份信息和资源地址,确定所述待访问业务资源的资源标识;
基于所述进程标识,采集所述访问进程的进程信息;
将所述访问信息、资源标识和进程信息添加至所述业务资源访问请求。
7.根据权利要求6所述的业务资源访问方法,其特征在于,所述根据所述身份信息和资源地址,确定所述待访问业务资源的资源标识,包括:
获取所述身份信息对应的资源配置信息;
对所述资源配置信息进行解析,得到所述身份信息对应的许可业务资源信息;
当所述许可业务资源信息中包括所述资源地址时,在所述许可业务资源信息中筛选出所述待访问业务资源的资源标识。
8.一种业务资源访问方法,其特征在于,包括:
接收业务终端发送的业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识和访问信息;
根据所述访问信息,生成所述待访问业务资源的访问票据,并获取所述资源标识对应的网关配置信息,所述网关配置信息包括候选网关和所述候选网关的连接顺序;
根据所述身份信息,在所述网关配置信息中确定出用于访问所述待访问业务资源的网关集群和所述网关集群中网关之间的初始连接顺序;
根据所述网关集群的当前连接信息,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序;
将所述访问票据和网关信息发送至所述业务终端,使得所述业务终端通过所述网关集群访问所述待访问业务资源,所述网关信息包括所述网关集群中网关之间的连接顺序。
9.根据权利要求8所述的业务资源访问方法,其特征在于,所述根据所述网关集群的当前连接信息,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序,包括:
获取所述网关集群的当前连接信息和所述网关集群中网关的性能配置信息;
在所述当前连接信息中读取所述网关的连接数量和负载信息,并根据所述性能配置信息、连接数量和负载信息,确定所述网关的连接权重;
根据所述连接权重,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序。
10.根据权利要求8所述的业务资源访问方法,其特征在于,所述获取所述资源标识对应的网关配置信息之前,还包括:
在配置终端显示网关配置页面,所述网关配置页面包括添加网关控件;
响应于针对所述添加网关控件的触发操作,在所述配置终端显示网关编辑页面,所述网关编辑页面包括网关参数输入控件;
获取通过所述网关输入参数控件输入的网关参数,以生成待配置网关信息;
采用所述资源标识对应的待访问业务资源对所述待配置网关信息进行配置,得到所述资源标识对应的网关配置信息。
11.根据权利要求10所述的业务资源访问方法,其特征在于,所述采用所述资源标识对应的待访问业务资源对所述待配置网关配置进行配置,得到所述资源标识对应的网关配置信息,包括:
根据所述待配置网关信息,在所述配置终端创建资源配置页面,所述资源配置页面包括资源参数录入接口和所述待配置网关信息对应的网关列表;
接收所述资源参数录入接口录入的资源参数和所述网关列表中选择的网关集群,所述资源参数包括所述资源标识;
根据所述网关集群,在所述配置终端创建网关排序页面,所述网关排序页面包括所述网关集群中网关的排序控件;
响应于针对所述排序控件的触发操作时,确定所述网关集群中网关之间的初始连接顺序;
根据所述网关之间的初始连接顺序,对所述资源标识对应的待访问业务资源进行配置,得到所述资源标识对应的网关配置信息。
12.根据权利要求10所述的业务资源访问方法,其特征在于,所述采用所述资源标识对应的待访问业务资源对所述待配置网关信息进行配置,得到所述资源标识对应的网关配置信息之后,还包括:
根据所述网关配置信息,在所述配置终端创建资源管理页面,所述资源管理页面包括访问用户列表和所述网关配置信息对应的许可业务资源列表;
接收在所述访问用户列表中选择的访问用户和在所述许可业务资源列表中选择的许可业务资源;
将所述访问用户的身份信息与所述许可业务资源进行匹配,以得到所述身份信息对应的资源配置信息,并将所述资源配置信息发送至业务终端。
13.根据权利要求8所述的业务资源访问方法,其特征在于,所述业务资源访问请求还携带访问进程的进程信息,还包括:
根据预设检测策略,对所述访问进程的进程信息进行检测,以确定所述访问进程的类型;
当所述访问进程为恶意进程时,向所述业务终端发送提示信息,使得所述业务终端终止对所述待访问业务资源的访问。
14.一种业务资源访问装置,其特征在于,包括:
第一发送单元,用于向访问服务器发送业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识;
第一接收单元,用于接收所述访问服务器返回的访问票据和所述资源标识对应的网关信息,所述网关信息包括网关集群中网关之间的连接顺序;
获取单元,用于获取所述网关集群在预设时间段内的历史连接记录;
第一调整单元,用于根据所述历史连接记录,对所述网关之间的连接顺序进行调整;
访问单元,用于基于所述访问票据和调整连接顺序后的网关集群,访问所述待访问业务资源。
15.一种业务资源访问装置,其特征在于,包括:
第二接收单元,用于接收业务终端发送的业务资源访问请求,所述业务资源访问请求携带待访问业务资源的资源标识和访问信息;
生成单元,用于根据所述访问信息,生成所述待访问业务资源的访问票据,并获取所述资源标识对应的网关配置信息,所述网关配置信息包括候选网关和所述候选网关的连接顺序;
确定单元,用于根据所述身份信息,在所述网关配置信息中确定出用于访问所述待访问业务资源的网关集群和所述网关集群中网关之间的初始连接顺序;
第二调整单元,用于根据所述网关集群的当前连接信息,对所述初始连接顺序进行调整,得到所述网关集群中网关之间的连接顺序;
第二发送单元,用于将所述访问票据和网关信息发送至所述业务终端,使得所述业务终端通过所述网关集群访问所述待访问业务资源,所述网关信息包括所述网关集群中网关之间的连接顺序。
CN202010961678.1A 2020-09-14 2020-09-14 一种业务资源访问方法和装置 Pending CN112153130A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010961678.1A CN112153130A (zh) 2020-09-14 2020-09-14 一种业务资源访问方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010961678.1A CN112153130A (zh) 2020-09-14 2020-09-14 一种业务资源访问方法和装置

Publications (1)

Publication Number Publication Date
CN112153130A true CN112153130A (zh) 2020-12-29

Family

ID=73893409

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010961678.1A Pending CN112153130A (zh) 2020-09-14 2020-09-14 一种业务资源访问方法和装置

Country Status (1)

Country Link
CN (1) CN112153130A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710564A (zh) * 2022-04-18 2022-07-05 北京小米移动软件有限公司 业务访问的方法、装置、电子设备和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710564A (zh) * 2022-04-18 2022-07-05 北京小米移动软件有限公司 业务访问的方法、装置、电子设备和存储介质
CN114710564B (zh) * 2022-04-18 2024-02-06 北京小米移动软件有限公司 业务访问的方法、装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
CN108886483B (zh) 用于自动装置检测的系统及方法
US9509688B1 (en) Providing malicious identity profiles from failed authentication attempts involving biometrics
EP2585970B1 (en) Online service access controls using scale out directory features
CN112261172B (zh) 服务寻址访问方法、装置、系统、设备及介质
CN112527912B (zh) 基于区块链网络的数据处理方法、装置及计算机设备
US11792194B2 (en) Microsegmentation for serverless computing
JP2010026547A (ja) ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
CN114902612A (zh) 基于边缘网络的帐户保护服务
CN108156175A (zh) 云计算平台下对共享存储信息的访问方法
CN114745145B (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN111353172B (zh) 基于区块链的Hadoop集群大数据访问方法及系统
WO2016127664A1 (zh) 一种访问控制方法和系统
CN114422201A (zh) 一种网络靶场大规模用户远程接入方法和系统
CN114065180A (zh) 一种基于可信计算3.0的感知设备安全验证系统
CN110061876B (zh) 运维审计系统的优化方法及系统
CN112153130A (zh) 一种业务资源访问方法和装置
CN116070253A (zh) 驾驶数据处理方法、装置和存储介质
CN111866993B (zh) 无线局域网连接管理方法、装置、软件程序及存储介质
CN113129002A (zh) 一种数据处理方法以及设备
CN112347436A (zh) 一种安全资源池内安全组件的权限管理方法及相关组件
CN114157470B (zh) 一种令牌管理方法和装置
Yassin et al. Multi-tenant intrusion detection framework as a service for SaaS
CN114124512B (zh) 基于流量行为分析的微信小程序监管方法、系统和设备
CN112685769B (zh) 区块链的数据处理方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40035772

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination