CN114662080A - 数据保护方法、装置及桌面云系统 - Google Patents
数据保护方法、装置及桌面云系统 Download PDFInfo
- Publication number
- CN114662080A CN114662080A CN202011541360.4A CN202011541360A CN114662080A CN 114662080 A CN114662080 A CN 114662080A CN 202011541360 A CN202011541360 A CN 202011541360A CN 114662080 A CN114662080 A CN 114662080A
- Authority
- CN
- China
- Prior art keywords
- cloud
- target
- terminal
- management platform
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了数据保护方法、装置及桌面云系统,其中,应用于云管理平台的方法包括:在通过对云终端的认证请求后,与云终端建立双向连接,并向云终端发送桌面云系统的登录页面;在接收到述云终端发送的登录信息的情况下,对目标信息进行校验;在对目标信息校验通过的情况下,向云终端返回桌面云系统以及目标云应用;在用户访问目标云应用的过程中,持续检测是否满足目标条件中的任一条件;在检测到满足目标条件中的任一条件的情况下,停止响应用户对目标云应用的访问请求。本申请可以解决桌面云系统的数据安全性较低的问题。
Description
技术领域
本申请涉及桌面云领域,尤其涉及数据保护方法、装置及桌面云系统。
背景技术
在传统的企业网络建设中,PC机既是基础也是核心。但PC机在网络搭建过程中容易出现诸如配置部署复杂、软件硬升级成本高、机密数据分散以及数据安全保障机制不完善等一系列问题,不便于数据的集中管理和维护。可以通过多元化的终端设备代替传统PC机办公模式,即如图1所示的桌面云系统提升企业员工的办公效率,降低企业运维成本。
从图1可以看出,桌面云系统可以包括:云终端、云管理平台和云应用服务器。其中,云终端分别通过交换机与云管理平台连接,云管理平台与云应用服务器连接。其中,云应用服务器中部署有云应用,云终端是用户接入云应用的客户端。云管理平台用于管理云终端与云应用的服务端。
同时,企业的典型IT基础架构变得越来越复杂,一家企业可能运营多个内部网络,拥有本地基础设施的分支机构、远程办公接入或移动办公的个人,以及云上的服务。这种复杂性已经超越了传统基于边界防御的网络安全策略,因为没有单一的、可以清晰辨别的企业边界。对于基于边界防御的网络安全控制,一旦攻击者突破了边界,进一步的横向攻击将不受阻碍。
因此,目前基于典型IT基础架构的桌面云系统,具有较低的数据安全性。
发明内容
本申请提供了数据保护方法、装置及桌面云系统,目的在于解决桌面云系统的数据安全性较低的问题。
为了实现上述目的,本申请提供了以下技术方案:
本申请提供了一种数据保护方法,应用于桌面云系统中的云管理平台,所述方法包括:
在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述用户被允许访问的云应用;
在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
可选的,在所述在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用之后,还包括:
在接收到所述云终端发送的加密的访问请求的情况下,对所述加密的访问请求进行解密,并将解密后的访问请求发送给所述云应用;
在接收到所述云应用对所述解密后的访问请求的响应数据的情况下,将所述响应结果转化为图像;所述图像包含所述云终端的基本用户信息的水印;所述水印位于所述图像的图像层之下;
对所述图像进行加密,得到加密后的图像;
将所述加密后的图像发送给所述云终端。
可选的,所述目标信息还包括:所述云终端的登录位置信息和所述云终端的登录时间信息。
可选的,还包括:
在对所述目标信息校验不通过的情况下,向所述云终端发送表示所述用户授权错误的提示信息,以及向所述云终端返回所述登录页面。
可选的,还包括:
在检测到满足所述目标条件中的任一条件的情况下,向所述云终端发送用于表示所述用户授权错误的提示信息,以及向所述云终端发送所述登录页面。
本申请还提供了一种数据保护方法,应用于桌面云系统中的云终端,所述方法,包括:
在接收到用户的启动指令的情况下,向云管理平台发送认证请求;
与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
在接收到用户在所述登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
在接收到所述云管理平台发送的目标云应用以及桌面云系统后,若接收到用户触发的对所述目标云应用的访问指令,则将加密后的访问请求发送给所述云管理平台。
可选的,还包括:
在接收到所述云管理平台发送的加密后的图像的情况下,对所述加密后的图像进行解密,得到解密后的图像;所述加密后的图像指:所述云管理平台将所述云服务器对所述访问请求进行响应的响应数据,转换为图像,并对所述图像进行加密得到;
还原所述解密后的图像,得到所述响应数据。
本申请还提供了一种数据保护装置,应用于桌面云系统中的云管理平台,包括:
第一执行模块,用于在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
校验模块,用于在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
第一发送模块,用于在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述用户被允许访问的云应用;
检测模块,用于在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
第二执行模块,用于在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
本申请还提供了一种数据保护装置,应用于桌面云系统中的云终端,包括:
第二发送模块,用于在接收到用户的启动指令的情况下,向所述云管理平台发送认证请求;
显示模块,用于与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
第三发送模块,用于在接收到用户在所述桌面云系统的登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
第四发送模块,用于在接收到所述云管理平台发送的目标云应用以及桌面云系统后,若接收到用户触发的对所述目标云应用的访问指令,则将加密后的访问请求发送给所述云管理平台。
本申请还提供了一种桌面云系统,包括云终端、云管理平台和云服务器;
所述云终端在接收到用户的启动指令的情况下,向所述云管理平台发送认证请求;
所述云管理平台在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
所述云终端与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
所述云终端在接收到用户在所述桌面云系统的登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
所述云管理平台在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
所述云管理平台在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述云服务器部署的云应用中,所述用户被允许访问的云应用;
所述云管理平台在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
所述云管理平台在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
本申请所述的数据保护方法、装置及桌面云系统,云管理平台在通过对云终端的认证请求后,与云终端建立双向连接,并向云终端发送桌面云系统的登录页面;在接收到云终端发送的登录信息的情况下,对目标信息进行校验。本申请中,由于目标信息包括:登录信息和云终端的环境信息,其中,环境信息包括:云终端是否接入未备案的存储外设、云桌面系统是否存在高危漏洞和病毒。
因此,本申请中,第一,对云终端的多方面信息进行验证,如果验证通过,向云终端返回桌面云系统以及目标云应用。
第二,在本申请中,目标云应用指:依据预设的访问控制策略,用户被允许访问的云应用,即本申请为访问者提供最小化授权,从而提供了安全高效的用户及终端设备的接入机制。
第三,在用户访问目标云应用的过程中,持续检测是否满足目标条件中的任一条件,在检测到满足的任一条件的情况下,停止响应用户对目标云应用的访问请求。即本申请持续对云终端进行检测,从而,防止企业数据泄露并限制内部横向移动攻击(例如,在访问目标应用过程中某个云终端遭受攻击,作为肉鸡去攻击其他云终端)等。
综上所述,本申请可以解决桌面云系统的数据安全性较低的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的数据保护方法的应用场景示意图;
图2为本申请实施例公开的桌面云系统实现数据保护方法的流程图;
图3为本申请实施例公开的云终端、云管理平台和云服务器间的数据响应过程的示意图;
图4为本申请实施例公开的一种数据保护装置的结构示意图;
图5为本申请实施例提供的又一种数据保护装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种数据保护方法的应用场景示意图,包括:云终端、云管理平台和云应用服务器。其中,云终端与云应用服务器分别与云管理平台连接。其中,云服务器上部署有云应用,云终端访问云服务器上的云应用,需要通过云管理平台的认证,即云管理平台对云终端的认证通过后,云终端才可以通过云管理平台访问云服务器上的云应用。
在本申请实施例中,每个云终端并不是可以访问云服务器上的全部云应用,对于云终端可以访问云服务器上的哪些应用,是通过管理人员根据一定的策略进行配置的。
具体的,系统管理员在云终端上使用预置的管理员账号,登录至云管理平台的管理页面,上传授权文件进行系统授权,添加配置管理员及审计管理员登录账户信息。配置管理员在云终端上使用系统管理员分配的账户,登录至云管理平台的管理页面,添加普通用户信息、配置云应用接入信息、配置用户访问控制策略。普通用户在云终端上使用配置管理员分配的账户信息进行登录,登录至云桌面系统后,可看到对应权限的可访问云应用,并对云应用的进行相关操作。审计管理员在云终端上使用系统管理员分配的账户,登录至云管理平台的管理页面,可以查看及审计系统管理员与配置管理员的操作日志和普通用户的访问日志。
其中,上述系统管理员指:可以登录至云管理平台的服务页面,具有管理配置管理员与审计管理员、管理系统授权的权限。配置管理员指:可以登录至云管理平台的服务页面,具有管理普通用户、云终端、云应用、访问控制策略的权限。审计管理员指:可以登录至云管理平台的服务页面,具有审计系统管理员与配置管理员的操作日志、普通用户访问日志的权限。普通用户指:可以通过云终端访问云桌面上的云应用。为了描述方便,下文简称为用户。
图2为本申请实施例提供的桌面云系统中的数据保护方法,可以包括以下步骤:
S201、云终端在接收到用户的启动指令的情况下,向云管理平台发送认证请求。
S202、云管理平台在对认证请求的认证通过后,与云终端建立双向连接。
在本实施例中,双向连接具体可以为TCP连接。
S203、云管理平台向云终端发送桌面云系统的登录页面。
S204、云终端在接收到云管理平台发送的桌面云系统的登录页面的情况下,显示登录页面。
S205、云终端在接收到用户在桌面云系统的登录页面上输入的登录信息的情况下,向云管理平台发送登录信息。
在本实施例中,登录信息可以包括:用户名、密码,以及从绑定的手机获取的手机动态验证码。
S206、云管理平台对目标信息进行校验。
在本实施例中,目标信息包括:登录信息和云终端的环境信息。
可选的,在本实施例中,目标信息还可以包括:云终端的登录位置信息和云终端的登录时间信息。
在本实施例中,环境信息可以包括:云终端是否接入未备案的存储外设、云桌面系统是否存在高危漏洞和病毒。
S207、云管理平台判断目标信息是否通过校验,如果是,则执行S208,如果否,则执行S211。
在本实施例中,如果目标信息中的登录信息合法,并且,环境信息未接入未备案的存储外设、云桌面系统不存在高危漏洞和病毒,则表示目标信息通过验证,否则,表示目标信息未通过验证。
S208、云管理平台向云终端返回桌面云系统以及目标云应用。
在本实施例中,目标云应用指:依据预设的访问控制策略,用户被允许访问的云应用。
在本实施例中,云管理平台向云终端返回桌面云系统以及目标云应用,表示用户可以在云终端上访问目标云应用。其中,具体的访问交互过程,在图3对应的实施例中进行介绍,这里不再赘述。
S209、云管理平台在用户访问目标云应用的过程中,持续检测是否满足目标条件中的任一条件,如果是,则执行S210,如果否,则执行S209。
在本实施例中,目标条件可以包括:用户的单次会话访问时长是否超过预设时长、用户的访问时刻是否超过预设的时间范围,以及云终端是否存在危险的环境信息。
在本步骤中,如果目标条件中的任一条件满足,则执行S210,如果目标条件中的全部条件都是否的情况下,则继续执行本步骤,即继续检测是否满足目标条件中的任一条件。
S210、云管理平台停止响应用户对目标云应用的访问请求。
在本实施例中,执行完本步骤后,执行S211。
S211、云管理平台向云终端发送用于表示用户授权错误的提示信息,以及向云终端发送登录页面。
在本申请实施例中,云管理平台在对目标信息的验证通过后,向云终端发送桌面云系统以及目标云应用,云终端的用户就可以访问目标云应用。为了提高用户访问目标云应用的过程中,对数据的安全性的保护,除了采用S209中通过持续检测是否满足目标条件中的任一条件之外,本申请实施例,云管理平台还对响应数据进行处理,其中,响应数据为云服务器对云终端的访问请求的响应数据。其中,具体的处理过程如图3所示,图3为云终端、云管理平台和云服务器间的数据响应过程,可以包括以下步骤:
S301、云管理平台在接收到云终端发送的加密的访问请求的情况下,对加密的访问请求进行解密,并将解密后的访问请求发送给云服务器。
在本实施例中,对访问请求的加解密过程的具体实现方式为现有技术,这里不再赘述。
S302、云管理平台在接收到云服务器发送的云应用对解密后的访问请求的响应数据的情况下,将响应结果转化为图像。
在本实施例中,可以采用虚拟化技术,将响应数据转化为图像,即以图像的形式展示响应数据。
其中,图像包含云终端的基本用户信息的水印,并且,水印位于图像的图像层之下。因此,不会影响响应数据的展示。
S303、云管理平台对图像进行加密,得到加密后的图像。
在本步骤中,对图像可以采用加密算法,进行加密。其中,加密算法为现有的加密算法,本实施例不对加密算法的具体内容作限定。
S304、云管理平台将加密后的图像发送给云终端。
S305、云终端在接收到加密后的图像的情况下,对加密后的图像进行解密,得到解密后的图像。
在本实施例中,云终端对加密后的图像进行解密所采用的解密算法,是与云管理平台采用的加密算法对应的解密算法。本实施例不对解密算法的具体内容作限定。
S306、云终端还原解密后的图像,得到响应数据。
在本实施例中,用户可以正常操作响应数据。
本申请实施例具有以下有益效果:
有益效果一:
使用零信任架构体系,通过软件定义边界的方式对访问权限进行持续验证,阻断外部及横向攻击。
有益效果二:
在本实施例中,将响应数据转换为图像,图像包含云终端的基本用户信息的水印,以及对图像进行加密后传输,从而防止数据在传输过程中泄露,即使泄露之后通过水印信息可以进行有效追溯。
有益效果三:
桌面云及零信任架构体系,可以充分利用原有终端、服务器等资源进行架构体系的升级及迁移,同时利用桌面云盘网双待的特性,保证业务的连续性,降低企业运维成本。
图4为本申请实施例提供的一种数据保护装置,应用于云管理平台,包括:第一执行模块401、校验模块402、第一发送模块403、检测模块404和第二执行模块405,其中,
第一执行模块401,用于在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
校验模块402,用于在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
第一发送模块403,用于在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述用户被允许访问的云应用;
检测模块404,用于在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
第二执行模块405,用于在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
可选的,该装置还可以包括第三执行模块,用于在第一发送模块403在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用之后,在接收到所述云终端发送的加密的访问请求的情况下,对所述加密的访问请求进行解密,并将解密后的访问请求发送给所述云应用;在接收到所述云应用对所述解密后的访问请求的响应数据的情况下,将所述响应结果转化为图像;所述图像包含所述云终端的基本用户信息的水印;所述水印位于所述图像的图像层之下;对所述图像进行加密,得到加密后的图像;将所述加密后的图像发送给所述云终端。
可选的,该装置还可以包括:第五发送模块,用于在对所述目标信息校验不通过的情况下,向所述云终端发送表示所述用户授权错误的提示信息,以及向所述云终端返回所述登录页面。
可选的,该装置还可以包括:第五发送模块,还用于在检测到满足所述目标条件中的任一条件的情况下,向所述云终端发送用于表示所述用户授权错误的提示信息,以及向所述云终端发送所述登录页面。
图5为本申请提供的又一种数据保护装置,应用于云终端,可以包括:
第二发送模块501,用于在接收到用户的启动指令的情况下,向所述云管理平台发送认证请求;
显示模块502,用于与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
第三发送模块503,用于在接收到用户在所述桌面云系统的登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
第四发送模块504,用于在接收到所述云管理平台发送的目标云应用以及桌面云系统后,若接收到用户触发的对所述目标云应用的访问指令,则将加密后的访问请求发送给所述云管理平台。
可选的,该装置还可以包括第四执行模块,用于在接收到所述云管理平台发送的加密后的图像的情况下,对所述加密后的图像进行解密,得到解密后的图像;所述加密后的图像指:所述云管理平台将所述云服务器对所述访问请求进行响应的响应数据,转换为图像,并对所述图像进行加密得到;还原所述解密后的图像,得到所述响应数据。
本申请实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种数据保护方法,其特征在于,应用于桌面云系统中的云管理平台,所述方法包括:
在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述用户被允许访问的云应用;
在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
2.根据权利要求1所述的方法,其特征在于,在所述在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用之后,还包括:
在接收到所述云终端发送的加密的访问请求的情况下,对所述加密的访问请求进行解密,并将解密后的访问请求发送给所述云应用;
在接收到所述云应用对所述解密后的访问请求的响应数据的情况下,将所述响应结果转化为图像;所述图像包含所述云终端的基本用户信息的水印;所述水印位于所述图像的图像层之下;
对所述图像进行加密,得到加密后的图像;
将所述加密后的图像发送给所述云终端。
3.根据权利要求1所述的方法,其特征在于,所述目标信息还包括:所述云终端的登录位置信息和所述云终端的登录时间信息。
4.根据权利要求1所述的方法,其特征在于,还包括:
在对所述目标信息校验不通过的情况下,向所述云终端发送表示所述用户授权错误的提示信息,以及向所述云终端返回所述登录页面。
5.根据权利要求4所述的方法,其特征在于,还包括:
在检测到满足所述目标条件中的任一条件的情况下,向所述云终端发送用于表示所述用户授权错误的提示信息,以及向所述云终端发送所述登录页面。
6.一种数据保护方法,其特征在于,应用于桌面云系统中的云终端,所述方法,包括:
在接收到用户的启动指令的情况下,向云管理平台发送认证请求;
与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
在接收到用户在所述登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
在接收到所述云管理平台发送的目标云应用以及桌面云系统后,若接收到用户触发的对所述目标云应用的访问指令,则将加密后的访问请求发送给所述云管理平台。
7.根据权利要求6所述的方法,其特征在于,还包括:
在接收到所述云管理平台发送的加密后的图像的情况下,对所述加密后的图像进行解密,得到解密后的图像;所述加密后的图像指:所述云管理平台将所述云服务器对所述访问请求进行响应的响应数据,转换为图像,并对所述图像进行加密得到;
还原所述解密后的图像,得到所述响应数据。
8.一种数据保护装置,其特征在于,应用于桌面云系统中的云管理平台,包括:
第一执行模块,用于在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
校验模块,用于在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
第一发送模块,用于在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述用户被允许访问的云应用;
检测模块,用于在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
第二执行模块,用于在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
9.一种数据保护装置,其特征在于,应用于桌面云系统中的云终端,包括:
第二发送模块,用于在接收到用户的启动指令的情况下,向所述云管理平台发送认证请求;
显示模块,用于与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
第三发送模块,用于在接收到用户在所述桌面云系统的登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
第四发送模块,用于在接收到所述云管理平台发送的目标云应用以及桌面云系统后,若接收到用户触发的对所述目标云应用的访问指令,则将加密后的访问请求发送给所述云管理平台。
10.一种桌面云系统,其特征在于,包括云终端、云管理平台和云服务器;
所述云终端在接收到用户的启动指令的情况下,向所述云管理平台发送认证请求;
所述云管理平台在通过对云终端的认证请求后,与所述云终端建立双向连接,并向所述云终端发送所述桌面云系统的登录页面;
所述云终端与所述云管理平台建立双向连接之后,在接收到所述云管理平台发送的所述桌面云系统的登录页面的情况下,显示所述登录页面;
所述云终端在接收到用户在所述桌面云系统的登录页面上输入的登录信息的情况下,向所述云管理平台发送所述登录信息;
所述云管理平台在接收到所述云终端发送的登录信息的情况下,对目标信息进行校验;所述目标信息包括:所述登录信息和所述云终端的环境信息;所述环境信息包括:所述云终端是否接入未备案的存储外设、所述云桌面系统是否存在高危漏洞和病毒;
所述云管理平台在对所述目标信息校验通过的情况下,向所述云终端返回桌面云系统以及目标云应用;所述目标云应用指:依据预设的访问控制策略,所述云服务器部署的云应用中,所述用户被允许访问的云应用;
所述云管理平台在所述用户访问所述目标云应用的过程中,持续检测是否满足目标条件中的任一条件;所述目标条件包括:所述用户的单次会话访问时长是否超过预设时长、所述用户的访问时刻是否超过预设的时间范围,以及所述云终端是否存在危险的环境信息;
所述云管理平台在检测到满足所述目标条件中的任一条件的情况下,停止响应所述用户对所述目标云应用的访问请求。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011541360.4A CN114662080A (zh) | 2020-12-23 | 2020-12-23 | 数据保护方法、装置及桌面云系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011541360.4A CN114662080A (zh) | 2020-12-23 | 2020-12-23 | 数据保护方法、装置及桌面云系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114662080A true CN114662080A (zh) | 2022-06-24 |
Family
ID=82025452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011541360.4A Pending CN114662080A (zh) | 2020-12-23 | 2020-12-23 | 数据保护方法、装置及桌面云系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114662080A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024120113A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为云计算技术有限公司 | 云应用访问控制方法、装置及计算机可读存储介质 |
-
2020
- 2020-12-23 CN CN202011541360.4A patent/CN114662080A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024120113A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为云计算技术有限公司 | 云应用访问控制方法、装置及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2019206006B2 (en) | System and method for biometric protocol standards | |
CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
Gou et al. | Analysis of various security issues and challenges in cloud computing environment: a survey | |
JP5714078B2 (ja) | 分散セキュアコンテンツ管理システムに対する認証 | |
US9003519B2 (en) | Verifying transactions using out-of-band devices | |
Tsai et al. | Information security issue of enterprises adopting the application of cloud computing | |
CN109936555A (zh) | 一种基于云平台的数据存储方法、装置及系统 | |
CN110138798B (zh) | 云桌面管理方法、装置、设备及可读存储介质 | |
CN116319024B (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
CN111526150A (zh) | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 | |
Shajan et al. | Survey of security threats and countermeasures in cloud computing | |
KR101858207B1 (ko) | 국군 여가복지전용 보안망 시스템 | |
CN114662080A (zh) | 数据保护方法、装置及桌面云系统 | |
El Moudni et al. | A Multi-Cloud and Zero-Trust based Approach for Secure and Redundant Data Storage | |
KR101459261B1 (ko) | 논리적 망분리 환경에서 브라우저 자동전환 장치 및 방법 | |
KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
CN113901507B (zh) | 一种多参与方的资源处理方法及隐私计算系统 | |
Grillenmeier | Ransomware–one of the biggest threats facing enterprises today | |
Kuzminykh et al. | Mechanisms of ensuring security in Keystone service | |
KR102202109B1 (ko) | 다중 인증을 통한 설문지 보안 시스템 및 방법 | |
Guo et al. | Research on risk analysis and security testing technology of mobile application in power system | |
Cheng et al. | Per-user network access control kernel module with secure multifactor authentication | |
CN115378622A (zh) | 访问控制方法、装置、设备及计算机程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |