CN112468476B - 一种不同类型终端访问应用的设备管理系统和方法 - Google Patents
一种不同类型终端访问应用的设备管理系统和方法 Download PDFInfo
- Publication number
- CN112468476B CN112468476B CN202011311737.7A CN202011311737A CN112468476B CN 112468476 B CN112468476 B CN 112468476B CN 202011311737 A CN202011311737 A CN 202011311737A CN 112468476 B CN112468476 B CN 112468476B
- Authority
- CN
- China
- Prior art keywords
- application
- type terminal
- access
- target
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本申请公开一种不同类型终端访问应用的设备管理系统和方法,其中系统包括:第一类型终端、第二类型终端、第一交换机、第二交换机、第三交换机、网关设备、防火墙设备、桌面云服务器、应用服务集群;防火墙设备配置有第一访问控制策略和第二访问控制策略,防火墙设备用于基于第一访问控制策略和第二访问控制策略对至少两个终端的IP地址进行验证;第一交换机分别与网关设备和防火墙设备连接;第一类型终端、第一交换机、第二交换机、桌面云服务器和应用服务集群依次进行通信连接;第二类型终端、第一交换机、第三交换机和应用服务集群依次进行通信连接,可以实现对不同类型的终端进行应用的安全访问管理。
Description
技术领域
本发明涉及信息安全领域的终端访问控制方法,尤其涉及一种不同类型终端访问应用的设备管理系统和方法。
背景技术
目前,很多行业中信息系统的建设和运行都高度依赖国外技术体系,小到计算机中的Windows-Intel体系,大到主机系统,均对国外的技术体系有很高的依赖性。而对于金融行业的信息系统、政府部门的办公系统等,由于行业部门的特殊性,更倾向于使用自主可控的设备,尤其是下到CPU芯片、服务器、网络、存储等硬件设备,上到操作系统、数据库、中间件以及应用程序等软件。但目前没有好的技术方案可以实现一整套完整的自主可控设备的构建,能够同时管理不同类型的终端按照各自需求,安全访问应用。
发明内容
为了解决上述技术问题,本发明提供一种不同类型终端访问应用的设备管理系统和方法,可以实现对不同类型的终端进行应用的安全访问管理。
为了达到上述申请的目的,本申请提供了一种不同类型终端访问应用的管理系统,该系统包括:
第一类型终端、第二类型终端、第一交换机、第二交换机、第三交换机、网关设备、防火墙设备、桌面云服务器、应用服务集群;
所述防火墙设备配置有第一访问控制策略和第二访问控制策略,所述防火墙设备用于基于第一访问控制策略和第二访问控制策略对所述第一类型终端和所述第二类型终端的IP地址进行验证,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
所述第一交换机分别与所述网关设备和所述防火墙设备连接;
所述第一类型终端、所述第一交换机、所述第二交换机、所述桌面云服务器和所述应用服务集群依次进行通信连接;
所述第二类型终端、所述第一交换机、所述第三交换机和所述应用服务集群依次进行通信连接。
另一方面,本申请还提供一种不同类型终端访问应用的管理方法,该方法包括:
至少两个终端向防火墙设备发送应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;
所述防火墙设备基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;
当任一终端的IP地址通过所述第一访问控制策略的验证时,所述防火墙设备将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端;
所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息;
所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;
当任一终端的IP地址通过第二访问控制策略验证时,所述防火墙设备基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
所述防火墙设备开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路;
所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用。
另一方面,本申请还提供一种不同类型终端访问应用的管理方法,该方法包括:
获取至少两个终端发送的应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;
基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;
当任一终端的IP地址通过所述第一访问控制策略验证时,将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端,以使所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,并向所述第一类型终端发送所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息,所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;
当任一终端的IP地址通过第二访问控制策略验证时,基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路,以使所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用。
另一方面,本申请还提供一种不同类型终端访问应用的管理装置,所述装置包括:
应用访问请求获取模块,用于获取至少两个终端发送的应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;
访问控制策略验证模块,用于基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;
第一请求发送模块,用于当任一终端的IP地址通过所述第一访问控制策略验证时,将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端,以使所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,并向所述第一类型终端发送所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息,所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;
第二请求发送模块,用于当任一终端的IP地址通过第二访问控制策略验证时,基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
通信模块,用于开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路,以使所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用。
实施本申请,具有如下有益效果:
本申请通过至少两个终端向防火墙设备发送应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;所述防火墙设备基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;当任一终端的IP地址通过所述第一访问控制策略的验证时,所述防火墙设备将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端;所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息;所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;当任一终端的IP地址通过第二访问控制策略验证时,所述防火墙设备基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;所述防火墙设备开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路;所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用,可以实现对不同类型的终端进行应用的安全访问管理。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本申请实施例提供的一种不同类型终端访问应用的管理系统的示意图;
图2为本申请另一实施例提供的一种不同类型终端访问应用的管理系统的示意图;
图3为本申请另一实施例提供的一种不同类型终端访问应用的管理系统的示意图;
图4为本申请另一实施例提供的一种不同类型终端访问应用的管理系统的示意图;
图5为本申请另一实施例提供的一种不同类型终端访问应用的管理系统的示意图;
图6为本申请实施例提供的一种不同类型终端访问应用的管理方法的流程示意图;
图7为本申请另一实施例提供的一种不同类型终端访问应用的管理方法的流程示意图;
图8为本申请另一实施例提供的一种不同类型终端访问应用的管理方法的流程示意图;
图9为本申请实施例提供的一种不同类型终端访问应用的管理装置示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了实现本申请的技术方案,让更多的工程技术工作者容易了解和应用本申请,将结合具体的实施例,进一步阐述本申请的工作原理。
本申请可应用于信息安全领域,对不同类型终端访问应用的通信链路进行安全管理。本说明书实施例中,不同类型终端包括两种类型的终端,第一类型终端为非信任终端,该类型终端非自主可控;第二类型终端为信任终端,该类型终端自主可控。
本说明书实施例中,桌面云服务器可以包括一个独立运行的服务器,或者分布式服务器,或者由多个服务器组成的服务器集群。桌面云服务器可以分配基于自主可控操作系统的虚拟办公桌面。
以下介绍本申请一种不同类型终端访问应用的管理系统的实施例,结合图1,该系统可以包括:第一类型终端11、第二类型终端12、第一交换机13、第二交换机14、第三交换机15、网关设备16、防火墙设备17、桌面云服务器18和应用服务集群19。其中,第一类型终端11可以包括一台第一类型终端,也可以包括多台第一类型终端的集合。第二类型终端12可以包括一台第二类型终端,也可以包括多台第二类型终端的集合。防火墙设备17配置有第一访问控制策略和第二访问控制策略,防火墙设备用于基于第一访问控制策略和第二访问控制策略对第一类型终端和第二类型终端的IP地址进行验证。
本说明书实施例中,第一类型终端11是指非信任终端,第二类型终端12是指信任终端。第一交换机13、第二交换机14、第三交换机15、网关设备16、防火墙设备17、桌面云服务器18和应用服务集群19均为信任设备。例如,对于国内金融行业、政府部门等对安全要求高的行业部门,装有Windows-Intel体系的终端为第一类型终端,即非自主可控的非信任终端,装有Phytium(飞腾)处理器-Kylin(麒麟)操作系统的终端为第二类型终端,即自主可控的信任终端,第一交换机13、第二交换机14、第三交换机15、网关设备16、防火墙设备17、桌面云服务器18和应用服务集群19为满足信任标准的国产化设备。
第一交换机13分别与网关设备16和防火墙设备17连接。第一类型终端11是指IP地址被设置为可以通过防火墙设备17的第一访问控制策略验证的终端,第二类型终端12是指IP地址被设置为可以通过防火墙17的第二访问控制策略验证的终端。第一类型终端11、第一交换机13、第二交换机14、桌面云服务器18和应用服务集群19依次进行通信连接。第二类型终端12、第一交换机13、第三交换机15、和应用服务集群19依次进行通信连接。网关设备16可以采用SSLVPN(采用SSL协议来实现远程接入的VPN)技术进行网关接入设置。
在一些实施例中,网关设备16和防火墙设备17可以是一台设备,包含网关接入和防火墙控制功能。
在一些实施例中,如图2所示,该系统还可以包括数据库服务器20,该数据库服务器20和应用服务集群19连接。具体的,该数据库服务器20可以部署受信任的数据库,例如达梦数据库。在部署应用服务集群19时,可以直接调用数据库服务器20中的数据库。另外,在实际部署时,可以对数据库服务器20中的数据库进行加密处理。本申请中的系统可以对数据库服务器20进行存储引擎和硬件密码卡相结合的部署,进行通信加密、存储加密、密钥管理,可以使用户在终端访问应用时,即使获取到数据库文件也无法离线读取数据库中的原始数据。
在一些实施例中,如图3所示,该系统还可以包括身份认证服务器21和DNS域名服务器22。身份认证服务器21和DNS域名服务器22分别与第一交换机13连接。具体的,身份认证服务器21和DNS域名服务器22用于对第一类型终端和第二类型终端进行身份认证和域名管理。
在一些实施例中,如图4所示,该系统还可以包括安全防护系统服务器23,安全防护系统服务器23与应用服务集群19连接,安全防护系统服务器23用于对应用服务集群19进行安全防护管理。具体的,安全防护系统服务器23可以用于部署CA(CertificateAuthority,电子认证服务)系统、病毒防护系统、安全管理平台系统、主机审计系统、密标管理系统等系统,该CA(Certificate Authority,电子认证服务)系统、病毒防护系统、安全管理平台系统、主机审计系统、密标管理系统等系统可以用于对每台接入的终端进行电子认证、病毒防护、安全管理、主机审计、密标管理等终端建立终端安全防护。
在一些实施例中,如图5所示,该系统还可以包括存储备份区24,该存储备份区24与应用服务集群19连接。存储备份区24用于备份应用服务集群的数据,可以为整个系统架构提供存储于备份功能,包括结构化数据、非结构化数据的存储及备份。具体的,结构化数据是指具有特定结构的数据,例如应用数据,非结构化数据是指无法结构化的数据,例如图片、文件、视频数据等。存储备份区可以包括NAS(Network Attached Storage,网络存储)和SAN(Storage Area Network,存储区域网络)两种存储设备,NAS存储设备基于标准网络协议实现数据传输,可以为网络中不同操作系统的设备提供文件共享和数据备份。NAS存储设备采用网状通道,连接存储阵列和服务器,建立用于数据存储的区域网络。
本申请另外还提供一种不同类型终端访问应用的管理方法的实施例,图6为本申请实施例介绍的一种不同类型终端访问应用的管理方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。具体的,如图6所示,该方法可以包括:
S101:至少两个终端向防火墙设备发送对应的应用访问请求。
具体的,该应用访问请求可以包括不同类型终端的IP地址和每个终端所需访问的目标应用的身份标识。不同类型终端可以包括第一类型终端和第二类型终端,可以预先对第一类型终端的IP地址进行设置,得到第一类型IP地址,对第二类型终端的IP地址进行设置,得到第二类型IP地址。以下提到的第一类型终端均指IP地址通过防火墙设备的第一访问控制策略验证的终端,第二类型终端均指其IP地址通过防火墙设备的第二访问控制策略验证的终端,第一应用访问请求均指第一类型终端发出的应用访问请求,第二应用访问请求均指第二类型终端发出的应用访问请求。
S103:防火墙设备基于第一访问控制策略和第二访问控制策略对至少两个终端的IP地址进行验证。
具体的,第一访问控制策略和第二访问控制策略是预先在防火墙设备中设置的策略。第一访问控制策略的执行对象为第一类型终端的IP地址,控制策略为开放相应IP地址对应的终端与桌面云服务器之间的通信链路。第二访问控制策略的执行对象为第二类型终端的IP地址,控制策略为开放该IP地址对应的终端到应用服务集群的通信链路。防火墙设备基于不同类型终端的IP地址对不同类型终端进行第一访问控制策略验证或第二访问控制策略验证,是指对接收到的应用访问请求中的IP地址进行判断,确定该IP地址是否满足第一访问控制策略中的IP地址的条件,或者是否满足第二访问控制策略中的IP地址的条件。当该IP地址满足第一访问控制策略中的IP地址条件时,该IP地址通过第一访问控制策略验证,当该IP地址满足第二访问控制策略中的IP地址条件时,该IP地址通过第二访问控制策略验证。在一些实施例中,第一访问控制策略和第二访问控制策略可以对不同IP地址对应的终端所访问的目标应用进行限定。
S105:当第一类型终端的IP地址通过第一访问控制策略验证时,防火墙设备将接收到的第一应用访问请求发送给桌面云服务器。
具体的,第一应用访问请求可以包括第一类型终端所需访问的目标应用的身份标识。桌面云服务器预先部署有自主可控操作系统的桌面云服务,例如可以部署基于OpenStack的麒麟桌面云服务,桌面云服务器可以为非信任终端提供桌面云服务。
S107:桌面云服务器响应于第一应用访问请求,向应用服务集群发送第一类型终端所需访问的目标应用的身份标识对应的接口请求。
S109:应用服务集群响应于第一类型终端所需访问的目标应用的身份标识对应的接口请求,将第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息发送给桌面云服务器。
具体的,第一类型终端所需访问的目标应用的身份标识所对应的接口是指每个应用对外的应用程序接口,可以为第一类型终端提供访问应用服务集群中应用的接入方式。不同应用的接口信息可以是预先设置的,预先建立不同应用与身份标识的映射关系,以及不同应用的身份标识与接口信息的映射关系。当桌面云服务器响应于第一应用访问请求,应用服务集群可以基于不同应用的身份标识与接口信息的映射关系,得到第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息信息,并将第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息发送给桌面云服务器。
S111:第一类型终端调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用。
具体的,当第一类型终端的IP地址通过第一访问控制策略验证时,第一类型终端可以调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,连接到第一类型终端所需访问的目标应用,从而访问目标应用。其中,第一类型终端调用桌面云服务器的接口时,桌面云服务器根据该接口的接口信息确定对应的目标应用。
S113:当第二类型终端的IP地址通过第二访问控制策略验证时,防火墙设备基于第二应用访问请求,确定第二类型终端所需访问的第二类型终端所需访问的目标应用。
本申请实施例中,第二类型终端为信任终端,该类型终端自主可控,相较于第一类型终端具有更高的安全可靠性。第二应用访问请求可以包括第二类型终端所需访问的目标应用的身份标识,防火墙设备基于该身份标识,可以确定第二类型终端所需访问的目标应用。
S115:防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路。
由于第二类型终端的安全可靠性高,防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路。
S117:第二类型终端基于该通信链路访问第二类型终端所需访问的目标应用。
第二类型终端所需访问的目标应用的身份标识所对应的接口是指每个应用对外的应用接口,可以在第二类型终端基于该通信链路进行应用访问时,为桌面云服务器提供访问应用服务集群中的接口。不同应用的接口可以是预先设置的,预先建立不同应用与身份标识的映射关系,以及不同应用的身份标识与接口信息的映射关系。当桌面云服务器响应于第二应用访问请求时,该第二应用访问请求包括第二类型终端所需访问的目标应用的身份标识,应用服务集群可以基于不同应用的身份标识与接口信息的映射关系,得到第二类型终端所需访问的目标应用的身份标识所对应的接口的接口信息。
在这一实施例中,通过防火墙设备基于不同类型终端的IP地址对不同类型终端进行第一访问控制策略验证和第二访问控制策略验证,当第一类型终端的IP地址通过第一访问控制策略验证时,将第一类型终端的第一应用访问请求发送给桌面云服务器,桌面云服务器响应于第一应用访问请求,获取应用服务集群中第一类型终端所需访问的目标应用的身份标识所对应的接口信息,并发送给桌面云服务器,第一类型终端调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口访问应用服务集群中的第一类型终端所需访问的目标应用;当终端通过第二访问控制策略验证时,防火墙设备基于通过第二访问控制策略的终端发送的第二应用访问请求,确定第二类型终端所需访问的第二类型终端所需访问的目标应用,防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路,第二类型终端基于该通信链路访问第二类型终端所需访问的目标应用,可以实现对不同类型的终端进行应用的安全访问管理。
在另外一些实施例中,应用服务集群预先对应用服务集群中的服务器进行分类,得到至少一个目标主控节点服务器、至少两个计算节点服务器和至少两个应用节点服务器。
具体的,目标主控节点服务器在整套系统的运行过程中,可以对应用服务集群中的服务进行管理和调度。在大量服务需要同时运行的系统中,应用服务集群中可以部署多个控制节点服务器,该多个控制节点服务器中可以包括目标主控节点服务器。当目标主控节点服务器出现故障时,可以由另外的控制节点服务器选举新的控制节点服务器作为新的目标主控节点服务器,从而避免该故障节点服务器对其他节点服务器的影响。
在包括至少一个控制节点服务器、至少两个计算节点服务器和至少两个应用节点服务器的实施例中,如图7所示,该方法可以包括:
S201:至少两个终端向防火墙设备发送对应的应用访问请求。
具体的,该应用访问请求可以包括不同类型终端的IP地址和每个终端所需访问的目标应用的身份标识。不同类型终端可以包括第一类型终端和第二类型终端,可以预先对第一类型终端的IP地址进行设置,得到第一类型IP地址,对第二类型终端的IP地址进行设置,得到第二类型IP地址。
S203:防火墙设备基于第一访问控制策略和第二访问控制策略对至少两个终端的IP地址进行验证。
S205:当第一类型终端的IP地址通过第一访问控制策略验证时,防火墙设备将接收到的第一应用访问请求发送给桌面云服务器。
具体的,第一应用访问请求可以包括第一类型终端所需访问的目标应用的身份标识。该桌面云服务器预先部署有自主可控操作系统的桌面云服务,例如可以部署基于OpenStack的麒麟桌面云服务。该桌面云服务器可以为非自主可控终端提供桌面云服务。
S2071:桌面云服务器将第一应用访问请求发送给目标主控节点服务器。
S2073:目标主控节点服务器响应于第一应用访问请求从计算节点服务器和应用节点服务器中选择目标计算节点服务器和目标应用节点服务器,并将第一应用访问请求发送给目标应用节点服务器和目标计算节点服务器。
具体的,目标计算节点服务器可以支持多终端的用户并发访问,可以为终端提供通用服务。在一些实施例中,目标计算节点服务器可以提供如平台服务网关、单点登录、人员机构、文件服务、消息队列等通用服务。当目标计算节点服务器出现故障时,目标主控节点将选择另外的计算节点服务器作为新的计算节点服务器,对故障计算节点服务器上的可用资源进行自动调度,并重新对可用资源中的微服务应用创建容器,以供使用。
S2075:目标应用节点服务器基于第一应用访问请求确定对应的微服务应用接口的接口信息,并将该微服务应用接口的接口信息发送给目标计算节点服务器。
具体的,目标应用节点服务器预先对应用服务集群中的微服务应用进行容器封装,得到不同身份标识的应用对应的接口。每个应用服务中的微服务应用对外产生API(Application Programming Interface,应用程序接口)接口,每个微服务应用通过平台服务网关进行统一的接口调用,并通过容器对微服务应用进行封装。而本申请实施例中提及的目标应用的身份标识所对应的接口,是平台服务网关对外界设备(应用服务集群以外的设备)进行数据交互的接口。
S2077:目标计算节点服务器基于第一应用访问请求和微服务应用接口的接口信息,调用第一类型终端所需访问的目标应用的身份标识所对应的微服务应用接口获取微服务数据,并对微服务数据进行计算,得到需求数据,将该需求数据发送给目标应用节点服务器。
具体的,目标计算节点服务器响应于第一应用访问请求,调用第一类型终端所需访问的目标应用的身份标识所对应的微服务应用接口获取微服务数据,在对微服务数据进行计算时,可以调用平台服务网关上的微服务应用接口,获取微服务应用接口对应的容器中的数据,即微服务数据,通过对获取的微服务数据进行计算得到需求数据,并将该需求数据发送给目标主控节点服务器,需求数据是指第一类型终端访问目标应用所需得到的数据。
本申请实施例中,可以对系统采用网-云-端方式的架构部署。具体的,网,即部署的资源层,可以包括自主可控的操作系统、数据库、中间件、服务器、存储区、交换机、终端,以及存储备份区等。云,即部署的服务层,可以包括平台服务和基础服务。其中平台服务可以包括:办公基础服务(例如:办公基础服务办公服务框架、办公服务接口、办公应用容器和办公桌面等)和办公生态服务(例如应用商店),基础服务可以包括:云管理平台、桌面云平台和资源抽象(虚拟化桌面)。端,即部署的应用层,可以包括各类应用服务(例如:个人办公、系统管理、业务配置等)。平台服务数据可以通过调用平台服务网关上的微服务应用接口来获取。
S2079:目标应用节点服务器基于需求数据生成需求数据对应的接口,并将需求数据对应的接口的接口信息发送给目标主控节点服务器。
S2081:目标主控节点服务器将需求数据对应的接口的接口信息发送给桌面云服务器。
S209:第一类型终端基于需求数据对应的接口的接口信息调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的目标应用。
具体的,该实施例中,需求数据对应的接口的接口信息与第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息相同。桌面云服务器从目标应用的身份标识所对应的接口接收到需求数据,第一类型终端连接上桌面云服务器,可以访问桌面云服务器,通过调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,获取需求数据,可以使桌面云服务器作为第一类型终端和应用服务集群之间的屏障,避免第一类型终端和应用服务集群直接通信,保证应用服务集群中的数据安全。需要说明的是,第一类型终端所需访问的目标应用的身份标识所对应的微服务应用接口是指,为了计算得到需求数据,目标计算服务器在计算过程中内部调用微服务数据时使用的微服务应用接口,而第一类型终端所需访问的目标应用的身份标识所对应的接口是目标主控节点将需求数据进行输出时的接口。
S211:当第二类型终端的IP地址通过第二访问控制策略验证时,防火墙设备基于第二类型终端发送的第二应用访问请求,确定所述第二类型终端所需访问的目标应用。
具体的,第二类型终端为信任终端,相较于第一类型终端具有更高的安全可靠性。第二应用访问请求可以包括第二类型终端所需访问的目标应用的身份标识,防火墙设备可以基于该身份标识确定第二类型终端所需访问的目标应用。
S213:防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路。
S215:第二类型终端基于该通信链路访问第二类型终端所需访问的目标应用。
上述实施例中,服务层采用容器方式对应用进行封装,设置控制节点服务器、计算节点服务器和应用节点服务器,通过利用控制节点服务器、计算节点服务器和应用节点服务器容器封装后的应用接口进行调用,可以实现多个第一类型终端的高并发访问需求。
在另外的实施例中,应用服务集群预先对应用服务集群中的服务器进行分类,得到至少三个控制节点服务器、至少两个计算节点服务器和至少两个应用节点服务器。
具体的,至少三个控制节点服务器包含目标主控节点服务器。目标主控节点服务器在整套系统的运行过程中,可以对应用服务集群中的服务进行管理和调度。当目标主控节点服务器出现故障时,可以由另外的控制节点服务器选举新的控制节点服务器作为新的目标主控节点服务器,从而避免该故障对其他节点服务器的影响。
在包括至少一个控制节点服务器、至少两个计算节点服务器和至少两个应用节点服务器的实施例中,如图8所示,该方法可以包括:
S301:至少两个终端向防火墙设备发送对应的应用访问请求。
S303:防火墙设备基于第一访问控制策略和第二访问控制策略对至少两个终端的IP地址进行验证。
S305:当第一类型终端的IP地址通过第一访问控制策略验证时,防火墙设备将接收到的第一应用访问请求发送给桌面云服务器。
S3071:桌面云服务器将第一应用访问请求发送给目标主控节点服务器。
S3073:目标主控节点服务器响应于第一应用访问请求从计算节点服务器和应用节点服务器中选择目标计算节点服务器和目标应用节点服务器,并将第一应用访问请求发送给目标应用节点服务器和目标计算节点服务器。
S3075:目标应用节点服务器基于第一应用访问请求确定对应的微服务应用接口的接口信息,并将该微服务应用接口的接口信息发送给目标计算节点服务器。
S3077:目标计算节点服务器基于第一应用访问请求和微服务应用接口的接口信息,调用第一类型终端所需访问的目标应用的身份标识所对应的微服务应用接口获取微服务数据,并对微服务数据进行计算,得到需求数据,将该需求数据发送给目标应用节点服务器。
S3079:目标应用接地那服务器基于需求数据生成需求数据对应的接口,并将需求数据对应的接口的接口信息发送给目标主控节点服务器。
S3081:目标主控节点服务器将需求数据对应的接口的接口信息发送给桌面云服务器。
S309:第一类型终端基于需求数据对应的接口的接口信息调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的目标应用。
S311:当第二类型终端的IP地址通过第二访问控制策略验证时,防火墙设备基于第二类型终端发送的第二应用访问请求,确定所述第二类型终端所需访问的目标应用。
具体的,第二类型终端为信任终端,相较于第一类型终端具有更高的安全可靠性。第二应用访问请求可以包括第二类型终端所需访问的目标应用的身份标识,防火墙设备可以基于该身份标识确定第二类型终端所需访问的目标应用。
S313:防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路。
S3151:目标主控节点服务器响应于第二应用访问请求从计算节点服务器和应用节点服务器中选择目标计算节点服务器和目标应用节点服务器,并将第二应用访问请求发送给目标应用节点服务器和目标计算节点服务器。
S3153:目标应用节点服务器基于第二应用访问请求确定对应的微服务应用接口的接口信息,并将第二应用访问请求对应的微服务应用接口的接口信息发送给目标计算节点服务器。
S3155:目标计算节点服务器基于第二应用访问请求和第二应用访问请求对应的微服务应用接口的接口信息,调用第二应用访问请求所对应的微服务应用接口获取微服务数据,并对微服务数据进行计算,得到需求数据,将需求数据发送给目标应用节点服务器。
S3157:目标应用节点服务器基于需求数据生成需求数据对应的接口信息,并将需求数据对应的接口的接口信息发送给目标主控节点服务器。
S3159:目标主控节点服务器将需求数据对应的接口的接口信息作为第二类型终端所需访问的目标应用对应的接口的接口信息发送给桌面云服务器。
S317:第二类型终端调用第二类型终端所需访问的目标应用的身份标识所对应的接口访问目标计算节点服务器,获取需求数据。
上述实施例中,服务层采用容器方式对应用进行封装,设置控制节点服务器、计算节点服务器和应用节点服务器,通过利用控制节点服务器、计算节点服务器和应用节点服务器容器封装后的应用接口进行调用,可以实现多个第二类型终端的高并发访问需求。
本申请另外还提供一种不同类型终端访问应用的管理装置的实施例,如图9所示,该装置可以包括:
应用访问请求获取模块41,用于获取至少两个终端发送的应用访问请求,应用访问请求包括至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,该至少两个终端包括至少一个第一类型终端和至少一个第二类型终端。
访问控制策略验证模块43,用于基于第一访问控制策略和第二访问控制策略对至少两个终端的IP地址进行验证,该第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,该第二访问控制策略为与第二类型终端的类型相对应的访问控制策略。
第一请求发送模块45,用于当任一终端的IP地址通过第一访问控制策略验证时,将第一类型终端发送的应用访问请求发送给桌面云服务器,第一类型终端是指IP地址通过第一访问控制策略验证的终端,以使桌面云服务器响应于第一类型终端发送的应用访问请求,获取应用服务集群中第一类型终端所需访问的目标应用的身份标识所对应的接口,并向第一类型终端发送第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息,第一类型终端基于第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用。
第二请求发送模块47,用于当任一终端的IP地址通过第二访问控制策略验证时,基于第二类型终端发送的应用访问请求,确定第二类型终端所需访问的目标应用对应的接口的接口信息,第二类型终端是指IP地址通过第二访问控制策略验证的终端。
通信模块49,用于开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路,以使第二类型终端基于通信链路和第二类型终端所需访问的目标应用对应的接口的接口信息访问第二类型终端所需访问的目标应用。
上述的实施例可以看出,本申请通过防火墙设备基于不同类型终端的IP地址对不同类型终端进行第一访问控制策略和第二访问控制策略,当终端的IP地址通过第一访问控制策略验证时,将第一类型终端的第一应用访问请求发送给桌面云服务器,桌面云服务器响应于第一应用访问请求,获取应用服务集群中第一类型终端所需访问的目标应用的身份标识所对应的接口,并发送给第一类型终端,第一类型终端调用桌面云服务器中第一类型终端所需访问的目标应用的身份标识所对应的接口访问应用服务集群中的第一类型终端所需访问的目标应用;当终端通过第二访问控制策略验证时,防火墙设备基于通过第二访问控制策略的终端发送的第二应用访问请求,确定第二类型终端所需访问的第二类型终端所需访问的目标应用,防火墙设备开放第二类型终端与应用服务集群中第二类型终端所需访问的目标应用之间的通信链路,第二类型终端基于该通信链路访问第二类型终端所需访问的目标应用,可以实现对不同类型的终端进行应用的安全访问管理。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如本发明的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在本发明的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者系统程序(如计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,也可以在载体信号上提供,或者以任何其他形式提供。
应该注意的是,上述实施例是对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或者步骤等。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干系统的单元权利要求中,这些系统中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序,可将这些单词解释为名称。
Claims (10)
1.一种不同类型终端访问应用的管理系统,其特征在于,所述系统包括:
第一类型终端、第二类型终端、第一交换机、第二交换机、第三交换机、网关设备、防火墙设备、桌面云服务器、应用服务集群;
所述防火墙设备配置有第一访问控制策略和第二访问控制策略,所述防火墙设备用于基于所述第一访问控制策略和所述第二访问控制策略对所述第一类型终端和所述第二类型终端的IP地址进行验证,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
所述第一交换机分别与所述网关设备和所述防火墙设备连接;
所述第一类型终端、所述第一交换机、所述第二交换机、所述桌面云服务器和所述应用服务集群依次进行通信连接;
所述第二类型终端、所述第一交换机、所述第三交换机和所述应用服务集群依次进行通信连接;
当所述第一类型终端的IP地址通过所述第一访问控制策略验证时,所述防火墙设备将接收到的第一应用访问请求发送给所述桌面云服务器,所述桌面云服务器获取所述应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息;
当所述第二类型终端的IP地址通过所述第二访问控制策略验证时,所述防火墙设备基于第二应用访问请求,确定所述第二类型终端所需访问的目标应用的身份标识所对应的接口的接口信息。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:
身份认证服务器和域名服务器,所述身份认证服务器和所述域名服务器分别与所述第一交换机连接,所述身份认证服务器用于对所述第一类型终端和所述第二类型终端进行身份认证,所述域名服务器用于对所述第一类型终端和所述第二类型终端进行域名管理。
3.根据权利要求1所述的系统,其特征在于,所述系统还包括:
安全防护系统服务器,所述安全防护系统服务器与所述应用服务集群连接,所述安全防护系统服务器用于对所述应用服务集群进行安全防护管理。
4.根据权利要求1所述的系统,其特征在于,所述系统还包括:
存储备份区,所述存储备份区与所述应用服务集群连接,所述存储备份区用于备份所述应用服务集群的数据。
5.根据权利要求1所述的系统,其特征在于,所述系统还包括:
数据库服务器,所述数据库服务器与所述应用服务集群连接,所述数据库服务器用于为所述应用服务集群提供数据存储管理服务。
6.一种不同类型终端访问应用的管理方法,其特征在于,使用权利要求1至5任意一项所述的不同类型终端访问应用的管理系统进行设备管理,所述方法包括:
至少两个终端向防火墙设备发送应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;
所述防火墙设备基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;
当任一终端的IP地址通过所述第一访问控制策略的验证时,所述防火墙设备将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端;
所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息;
所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;
当任一终端的IP地址通过第二访问控制策略验证时,所述防火墙设备基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
所述防火墙设备开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路;
所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用。
7.根据权利要求6所述的方法,其特征在于,所述应用服务集群包括目标主控节点服务器、至少两个计算节点服务器和至少两个应用节点服务器;
相应的,所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息包括:
所述桌面云服务器将第一类型终端发送的应用访问请求发送给所述目标主控节点服务器;
所述目标主控节点服务器响应于所述第一类型终端发送的应用访问请求从所述计算节点服务器和所述应用节点服务器中选择目标计算节点服务器和目标应用节点服务器,并将所述第一类型终端发送的应用访问请求发送给所述目标应用节点服务器和所述目标计算节点服务器;
所述目标应用节点服务器基于所述第一类型终端发送的应用访问请求确定对应的微服务应用接口的接口信息,并将所述第一类型终端发送的应用访问请求对应的微服务应用接口的接口信息发送给所述目标计算节点服务器;
所述目标计算节点服务器基于所述第一类型终端发送的应用访问请求和所述第一类型终端发送的应用访问请求对应的微服务应用接口的接口信息,调用所述第一类型终端所需访问的目标应用的身份标识所对应的微服务应用接口获取微服务数据,并对所述微服务数据进行计算,得到需求数据,将所述需求数据发送给所述目标应用节点服务器;
所述目标应用节点服务器基于所述需求数据生成所述需求数据对应的接口信息,并将所述需求数据对应的接口的接口信息发送给所述目标主控节点服务器;
所述目标主控节点服务器将所述需求数据对应的接口的接口信息作为所述第一类型终端所需访问的目标应用对应的接口的接口信息,将所述第一类型终端所需访问的目标应用对应的接口的接口信息发送给所述桌面云服务器。
8.根据权利要求7所述的方法,其特征在于,所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用之前,所述方法还包括:
所述目标主控节点服务器响应于所述第二类型终端发送的应用访问请求从所述计算节点服务器和所述应用节点服务器中选择目标计算节点服务器和目标应用节点服务器,并将所述第二类型终端发送的应用访问请求发送给所述目标应用节点服务器和所述目标计算节点服务器;
所述目标应用节点服务器基于所述第二类型终端发送的应用访问请求确定对应的微服务应用接口的接口信息,并将所述第二类型终端发送的应用访问请求对应的微服务应用接口的接口信息发送给所述目标计算节点服务器;
所述目标计算节点服务器基于所述第二类型终端发送的应用访问请求和所述第二类型终端发送的应用访问请求对应的微服务应用接口的接口信息,调用所述第二类型终端所需访问的目标应用的身份标识所对应的微服务应用接口获取微服务数据,并对所述微服务数据进行计算,得到需求数据,将所述需求数据发送给所述目标应用节点服务器;
所述目标应用节点服务器基于所述需求数据生成所述需求数据对应的接口的接口信息,并将所述需求数据对应的接口的接口信息发送给所述目标主控节点服务器;
所述目标主控节点服务器将所述需求数据对应的接口的接口信息作为所述第二类型终端所需访问的目标应用对应的接口的接口信息发送给所述桌面云服务器。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述目标应用节点服务器预先对所述应用服务集群中的应用进行容器封装,得到不同身份标识的应用对应的接口。
10.一种不同类型终端访问应用的管理方法,其特征在于,所述方法包括:
获取至少两个终端发送的应用访问请求,所述应用访问请求包括所述至少两个终端的IP地址和每个终端所需访问的目标应用的身份标识,所述至少两个终端包括至少一个第一类型终端和至少一个第二类型终端;
基于第一访问控制策略和第二访问控制策略对所述至少两个终端的IP地址进行验证,所述第一访问控制策略为与第一类型终端的类型相对应的访问控制策略,所述第二访问控制策略为与第二类型终端的类型相对应的访问控制策略;
当任一终端的IP地址通过所述第一访问控制策略验证时,将所述第一类型终端发送的应用访问请求发送给桌面云服务器,所述第一类型终端是指IP地址通过所述第一访问控制策略验证的终端,以使所述桌面云服务器响应于所述第一类型终端发送的应用访问请求,获取应用服务集群中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,并向所述第一类型终端发送所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息,所述第一类型终端基于所述第一类型终端所需访问的目标应用的身份标识所对应的接口的接口信息调用所述桌面云服务器中所述第一类型终端所需访问的目标应用的身份标识所对应的接口,访问应用服务集群中的第一类型终端所需访问的目标应用;
当任一终端的IP地址通过第二访问控制策略验证时,基于第二类型终端发送的应用访问请求,确定所述第二类型终端所需访问的目标应用对应的接口的接口信息,所述第二类型终端是指IP地址通过所述第二访问控制策略验证的终端;
开放所述第二类型终端与所述应用服务集群中所述第二类型终端所需访问的目标应用之间的通信链路,以使所述第二类型终端基于所述通信链路和所述第二类型终端所需访问的目标应用对应的接口的接口信息访问所述第二类型终端所需访问的目标应用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011311737.7A CN112468476B (zh) | 2020-11-20 | 2020-11-20 | 一种不同类型终端访问应用的设备管理系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011311737.7A CN112468476B (zh) | 2020-11-20 | 2020-11-20 | 一种不同类型终端访问应用的设备管理系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468476A CN112468476A (zh) | 2021-03-09 |
| CN112468476B true CN112468476B (zh) | 2022-11-22 |
Family
ID=74799387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011311737.7A Active CN112468476B (zh) | 2020-11-20 | 2020-11-20 | 一种不同类型终端访问应用的设备管理系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468476B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
| CN114401140B (zh) * | 2022-01-13 | 2022-11-11 | 腾讯科技(深圳)有限公司 | 访问处理方法、相关设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103370111A (zh) * | 2012-10-31 | 2013-10-23 | 华为技术有限公司 | 发送云服务器地址的方法、设备 |
| WO2014053710A1 (fr) * | 2011-10-06 | 2014-04-10 | Cassidian Sas | Passerelle d'accès sécurisé a un système d'information |
| CN104753930A (zh) * | 2015-03-17 | 2015-07-01 | 成都盛思睿信息技术有限公司 | 基于安全网关的云桌面管理系统及其安全访问控制方法 |
| CN110532101A (zh) * | 2019-09-03 | 2019-12-03 | 中国联合网络通信集团有限公司 | 微服务集群的部署系统及方法 |
| CN111953806A (zh) * | 2020-07-13 | 2020-11-17 | 深信服科技股份有限公司 | 一种链路选择方法、装置、计算机设备及计算机存储介质 |
-
2020
- 2020-11-20 CN CN202011311737.7A patent/CN112468476B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014053710A1 (fr) * | 2011-10-06 | 2014-04-10 | Cassidian Sas | Passerelle d'accès sécurisé a un système d'information |
| CN103370111A (zh) * | 2012-10-31 | 2013-10-23 | 华为技术有限公司 | 发送云服务器地址的方法、设备 |
| CN104753930A (zh) * | 2015-03-17 | 2015-07-01 | 成都盛思睿信息技术有限公司 | 基于安全网关的云桌面管理系统及其安全访问控制方法 |
| CN110532101A (zh) * | 2019-09-03 | 2019-12-03 | 中国联合网络通信集团有限公司 | 微服务集群的部署系统及方法 |
| CN111953806A (zh) * | 2020-07-13 | 2020-11-17 | 深信服科技股份有限公司 | 一种链路选择方法、装置、计算机设备及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468476A (zh) | 2021-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10986133B1 (en) | Cloud over IP session layer network | |
| US10554622B2 (en) | Secure application delivery system with dial out and associated method | |
| US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
| CA2943250C (en) | Method and system for ensuring an application conforms with security and regulatory controls prior to deployment | |
| US10375201B2 (en) | Identity and policy enforced inter-cloud and intra-cloud channel | |
| US9787659B2 (en) | Techniques for secure access management in virtual environments | |
| US9781096B2 (en) | System and method for out-of-band application authentication | |
| US20160182527A1 (en) | Method and system for providing permissions management | |
| ES2768049T3 (es) | Procedimientos y sistemas para asegurar y proteger repositorios y directorios | |
| JP2004528609A (ja) | フィルタリングのなされたアプリケーション間通信 | |
| CN110532101B (zh) | 微服务集群的部署系统及方法 | |
| WO2022247751A1 (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| US10333977B1 (en) | Deceiving an attacker who is harvesting credentials | |
| CN112468476B (zh) | 一种不同类型终端访问应用的设备管理系统和方法 | |
| WO2015168213A1 (en) | Method and system for detecting irregularities and vulnerabilities in dedicated hosting environments | |
| CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
| CN108289080B (zh) | 一种访问文件系统的方法、装置和系统 | |
| CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN117081800A (zh) | 零信任体系访问b/s应用的代理方法和系统 | |
| US11368459B2 (en) | Providing isolated containers for user request processing | |
| CN110113243B (zh) | 一种基于容器技术的用户无感vpn接入方法 | |
| Indrani et al. | Perception of Network and Protection Concerns In Cloud Computing | |
| EP3424197B1 (en) | Method and system for providing permissions management | |
| CN117596285A (zh) | 一种云服务连接方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |