CN114726612A - 一种工作域管理方法、装置、介质及电子设备 - Google Patents
一种工作域管理方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN114726612A CN114726612A CN202210348724.XA CN202210348724A CN114726612A CN 114726612 A CN114726612 A CN 114726612A CN 202210348724 A CN202210348724 A CN 202210348724A CN 114726612 A CN114726612 A CN 114726612A
- Authority
- CN
- China
- Prior art keywords
- policy
- websocket
- target
- server
- working
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012508 change request Methods 0.000 claims abstract description 92
- 238000005516 engineering process Methods 0.000 claims abstract description 38
- 230000008859 change Effects 0.000 claims abstract description 18
- 238000007726 management method Methods 0.000 claims description 122
- 238000004590 computer program Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 abstract description 8
- 230000006854 communication Effects 0.000 description 43
- 238000004891 communication Methods 0.000 description 41
- 239000002609 medium Substances 0.000 description 13
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 229910052804 chromium Inorganic materials 0.000 description 1
- 239000011651 chromium Substances 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000012120 mounting media Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种工作域管理方法、装置、介质及电子设备。所述方法包括:根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;根据所述目标安全策略对所述目标工作域进行管理。执行本申请实施例可以避免消息阻塞,使得安全策略能够及时下发,提高工作域管理效率。
Description
技术领域
本申请实施例涉及计算机应用技术领域,尤其涉及一种工作域管理方法、装置、介质及电子设备。
背景技术
工作域是一种按照安全策略限制应用程序行为的执行环境,工作域具有良好的独立性和隔离性,在工作域中可以测试不受信任的文件或应用程序等行为的工具。安全策略用于限制工作域中应用程序对系统资源(如文件、目录或者端口)的访问权限。安全策略是进行工作域管理的数据基础。
安全策略由策略服务器产生并下发给工作域管理端,作用于工作域管理端所管理的工作域。在操作系统为Windows系统的情况下,策略服务器大多基于Windows系统的命名管道将策略服务器下发给工作域管理端。命名管道是Windows系统的一种系统资源,基于命名管道的数据通信方式存在消息易阻塞,安全策略无法及时下达,工作域管理效率低下的问题。
发明内容
本申请实施例提供一种工作域管理方法、装置、介质及电子设备,可以保持数据通信通畅避免消息阻塞,达到安全策略及时下发,提高工作域管理效率的目的。
第一方面,本申请实施例提供了一种工作域管理方法,所述方法包括:
根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
根据所述目标安全策略对所述目标工作域进行管理。
第二方面,本申请实施例提供了一种工作域管理装置,所述装置包括:
目标工作域确定模块,用于根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
策略变更请求发送模块,用于基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
目标工作域管理模块,用于根据所述目标安全策略对所述目标工作域进行管理。
第三方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本申请实施例所述的工作域管理方法。
第四方面,本申请实施例提供了一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,所述处理器执行所述计算机程序时实现如本申请实施例所述的工作域管理方法。
本申请实施例所提供的技术方案,根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;根据所述目标安全策略对所述目标工作域进行管理。本申请实施例中工作域管理端和策略服务器基于Websocket技术进行数据通信,实现安全策略下发和变更,相对于工作域管理端和策略服务器基于命名管道进行数据通信的相关技术,保挣了数据通信通畅,有效避免消息阻塞为安全策略及时下发和变更提供了保障,提高工作域管理效率,使得本申请提供的工作域管理方法更加适用于同时对多个工作域进行管理的场景,进一步扩大了工作域管理方法的适用场景。
附图说明
图1是本申请实施例一提供的一种工作域管理方法的流程图;
图2是本申请实施例二提供的另一种工作域管理方法的流程图;
图3A是本申请实施例三提供的又一种工作域管理方法的流程图;
图3B是本申请实施例提供的一种基于Websocket技术的工作域管理系统的结构示意图;
图4是本申请实施例四提供的一种工作域管理装置的结构示意图;
图5是本申请实施例六提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部结构。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1是本申请实施例一提供的一种工作域管理方法的流程图,本实施例可适用于对工作域进行管理的情况。该方法可以由本申请实施例所提供的工作域管理装置执行,该装置可以由软件和/或硬件的方式来实现,并可集成于运行此系统的电子设备中。
如图1所示,所述工作域管理方法包括:
S110、根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域。
其中,策略变更请求由工作域管理端产生,用于请求策略服务器对已有安全策略进行更改。可选的,策略变更请求可以是工作域管理端根据作用于工作域管理页面上已有安全策略的更改操作而发起的请求。
策略变更请求中包括安全策略标识,根据策略变更请求中的安全策略标识可以确定待变更的已有安全策略。已有安全策略是指已作用于工作域的安全策略。安全策略由策略服务器产生,用于限制工作域中应用程序对如文件、目录或者端口等系统资源的访问权限。
工作域是一种按照安全策略限制应用程序行为的执行环境,工作域中添加有需要管控的应用程序或者文件。工作域具有良好的隔离性,不同工作域之间相互独立。工作域管理端用于对工作域进行管理,安全策略是工作域管理端管理工作域的数据基础。每个工作域均存在与之对应的安全策略。候选工作域是指归属于工作域管理端管理的工作域,候选工作域的数量为至少两个。候选工作域中与策略变更请求所指向的已有安全策略相对应的工作域为目标工作域。
工作域管理端根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域。
S120、基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略。
其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果。
其中,WebSocket技术是基于TCP的全双工通信协议。WebSocket技术使得工作域管理端和策略服务器之间的数据交换变得更加简单,允许策略服务器主动向工作域管理端下发安全策略。在WebSocket技术中,通信双方只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。
相关技术中,工作域管理端和策略服务器基于Windows系统的命名管道进行数据通信,可以知道的是,命名管道Windows系统的一种系统资源,基于命名管道进行通信会占用大量内存,产生很大的内存开销。在工作域管理端管理多个工作域的情况下,基于命名管道进行数据通信会造成消息阻塞,使得安全策略无法及时下发,影响工作域管理效率。相较于WebSocket技术管道通信技术复杂更高,代码可读性较差,对代码进行再次扩展难度较大。此外,命名管道大多仅支持单向通信,要求通信双方具有亲缘关系。与相关技术相比,WebSocket技术的代码可读性更强,对代码进行再次扩展的难度降低,基于WebSocket技术进行通信内存开销较小数据通信通畅,即使在工作域管理端管理多个工作域的情况下,基于WebSocket技术进行数据通信也不会产生消息阻塞。
工作域管理端基于Websocket技术与策略服务器进行数据通信,具体的,基于Websocket客户端和Websocket服务器之间的数据通信,实现工作域管理端和策略服务器数据通信。
工作域管理端基于Websocket技术将策略变更请求发送给策略服务器,策略服务器根据策略变更请求对已有安全策略进行更改处理得到策略更改结果,将策略更改结果作为目标安全策略反馈给工作域管理端。
S130、根据所述目标安全策略对所述目标工作域进行管理。
工作域管理端根据目标安全策略更新策略变更请求指向的已有安全策略,利用目标安全策略对目标工作域进行管理。可选的,工作域管理端根据目标安全策略对目标工作域中的应用程序和文件进行管理。
在一个可选的实施例中,安全策略包括:文件外发限制策略、应用截图限制策略和文件复制限制策略中的至少一项。
其中,文件外发限制策略用于限制应用程序将位于工作域中的文件外发到工作域以外;应用截图限制策略用于限制工作域中的应用程序进行截图;文件复制策略用于限制应用程序复制位于工作域中的文件。安全策略根据实际业务需求确定,可以理解的是,安全策略包括但是不限于文件外发限制策略、应用截图限制策略和文件复制限制策略。安全策略还可以是网络访问限制策略等,本申请实施例为多角度的工作域管理提供了可行的技术方案,具有很强的场景适用性,可以满足多种工作域管理需求,提高了工作域管理方法的适用性。
本申请实施例所提供的技术方案,根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;根据所述目标安全策略对所述目标工作域进行管理。本申请实施例中工作域管理端和策略服务器基于Websocket技术进行数据通信实现安全策略下发和变更,相对于工作域管理端和策略服务器基于命名管道进行数据通信的相关技术,保证了数据通信通畅,有效避免消息阻塞为安全策略及时下发和变更提供了保障,提高工作域管理效率,使得本申请提供的工作域管理方法更加适用于同时对多个工作域进行管理的场景,进一步扩大了工作域管理方法的适用场景。
实施例二
图2是本申请实施例二提供的另一种工作域管理方法的流程图。本实施例在上述实施例的基础上进行进一步地优化。具体优化为,所述基于Websocket技术将所述策略变更请求发送给策略服务器,包括:基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端;通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器。
如图2所示,所述工作域管理方法包括:
S210、根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域。
S220、基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端。
每个工作域存在与之对应的Websocket客户端,工作域管理端通过Websocket客户端与外界进行数据通信。候选Websocket客户端中与目标工作域关联的Websocket客户端为目标Websocket客户端。候选Websocket客户端的数量为至少两个。
S230、通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器,以指示所述策略服务器反馈目标安全策略。
Websocket服务器分别与目标Websocket客户端和策略服务器通信连接,工作域管理端控制目标Websocket客户端将策略变更请求发送给Websocket服务器,Websocket服务器将策略变更请求发送给策略服务器,策略服务器根据接收到的策略变更请求对已有安全策略进行更改处理得到的策略更改结果,将策略更改结果作为目标安全策略反馈给工作域管理端。可选的,Websocket服务器分别与Websocket客户端为多对一的关系。
具体的,策略服务器将目标安全策略通过Websocket服务器发送给目标Websocket客户端,通过目标Websocket客户端发送给工作域管理端,工作域管理端根据目标安全策略对目标Websocket客户端。
在一个可选的实施例中,通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器,包括:通过所述目标Websocket客户端基于预设加密算法,对所述策略变更请求进行加密处理得到请求加密结果,由所述目标Websocket客户端将所述请求加密结果发送给所述Websocket服务器;通过所述Websocket服务器基于所述预设加密算法对所述请求加密结果进行解密处理还原所述策略变更请求,由所述目标Websocket客户端将还原得到的策略变更请求发送给所述策略服务器。
其中,预设加密算法用于对在Websocket客户端和Websocket服务器之间传输的数据如策略变更请求或者目标安全策略等进行加密。预设加密算法根据实际业务需求确定,在这里不作限定。示例性的,预设加密算法可以是对称加密算法如AES算法(AdvancedEncryption Standard,高级加密标准),也可以是非对称加密算法。预设加密算法是Websocket客户端和Websocket服务器约定的。
可选的,本申请实施例中工作域管理端可以采用Electron开发,Electron底层是基于Chromium和Node.js构成,这二者有个共同的核心部件V8JS引擎。可以知道的是,在利用AES算法对策略变更请求或者目标安全策略进行加密的情况下,一般将密钥封装在工作域管理端的源码中,为了保证数据安全本申请实施例在对工作域管理端的源码进行编译的过程中,将可读性和可调试性的JavaScript源码编译为几乎没有可读性和可调试性的V8字节码,以保护加解密的密钥不被盗取。为了进一步提高数据安全性,在对工作域管理端的源码进行编译以后,对包含有密钥的代码文件进行格式转换,转换为ASAR文件,从而保护工作域管理端的代码文件不暴露给其他用户。
工作域管理端通过目标Websocket客户端基于预设加密算法对策略变更请求进行加密处理得到请求加密结果,请求加密结果为策略变更请求经加密处理以后得到的密文,只有利用正确密钥进行解密以后才能还原策略变更请求。目标Websocket客户端将请求加密结果发送给Websocket服务器,Websocket服务器基于预设加密算法利用密钥对请求加密结果进行解密处理还原出策略变更请求。Websocket服务器将还原的策略变更请求发送给策略服务器。
可以理解是的,在策略服务器基于Websocket客户端和Websocket服务器之间的数据通信,向工作域管理端反馈目标安全策略的过程中,Websocket服务器基于预设加密算法对目标安全策略进行加密处理得到策略加密结果,由Websocket服务器将策略加密结果发送给目标Websocket客户端;通过目标Websocket客户端基于预设加密算法对策略加密结果进行解密处理还原目标安全策略,由目标Websocket客户端将还原得到的目标安全策略发送给工作域管理端。
上述技术方案通过在Websocket客户端和Websocket服务器进行数据通信的过程中,通过对策略变更请求进行加密处理,进一步提高了数据安全性,避免数据在传输过程中被篡改。上述技术方案通过Websocket客户端和Websocket服务器完成数据加密处理和数据解密处理,减少了对工作域管理端和策略服务器的资源占用。
S240、根据所述目标安全策略对所述目标工作域进行管理。
本申请实施例所提供的技术方案,通过基于Websocket客户端和Websocket服务器之间的数据通信,实现工作域管理端和策略服务器数据通信,保证了数据通信通畅,有效避免消息阻塞为安全策略及时下发和变更提供了保障,提高工作域管理效率,使得本申请提供的工作域管理方法更加适用于同时对多个工作域进行管理的场景,进一步扩大了工作域管理方法的适用场景。
在一个可选的实施例中,在基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端之前,还包括:根据所述候选工作域的数量,确定Websocket客户端的预期数量;将搭建完成的所述预期数量的所述Websocket客户端,分别部署到各所述候选工作域,使得每个所述候选工作域均部署有至少一个所述Websocket客户端;根据Websocket客户端的部署情况,确定工作域和Websocket客户端之间的关联关系。根据候选工作域的数量,确定Websocket客户端的预期数量。由于候选工作域之间互相隔离,相互独立,需要为每个候选工作域搭建至少一条通信通道,因此需要将Websocket客户端的预期数量不应小于候选工作域的数量。搭建预期数量的Websocket客户端,将搭建完成的Websocket客户端分别部署到各候选工作域,可选的,可以将搭建完成的Websocket客户端添加到各候选工作域,使得每个候选工作域均部署有至少一个Websocket客户端。在将Websocket客户端部署到各候选工作域以后,根据Websocket客户端的部署情况,确定工作域和Websocket客户端之间的关联关系。
上述技术方案通过向每个候选工作域均部署至少一个Websocket客户端,为每个候选工作域搭建至少一条通信通道,为基于Websocket技术进行工作域管理端和策略服务器之间的数据通信提供了技术支持。
实施例三
图3A是本申请实施例三提供的又一种工作域管理方法的流程图。本实施例在上述实施例的基础上进行进一步地优化。本申请实施例提供了一种工作域管理方法适用于策略服务器主动向工作域管理端下发安全策略的情况。
如图3A所示,所述工作域管理方法包括:
S310、响应于接收到待执行安全策略,根据所述待执行安全策略在至少两个候选工作域中选择与所述待执行安全策略对应的关联工作域。
其中,所述待执行安全策略由所述策略服务器产生,待执行安全策略根据实际业务需求确定。待执行安全策略是指需要下发给工作域管理端,需要工作域管理端执行的安全策略。待执行安全策略基于所述Websocket技术下发到工作域管理端。待执行安全策略包括工作域标识,待执行安全策略中的工作域标识表示待执行安全策略需要作用的工作域,也就是关联工作域。具体的,策略服务器根据待执行安全策略中的工作域标识,确定与关联工作域对应的Websocket客户端作为目标Websocket客户端。将待执行安全策略通过Websocket服务器发送给目标Websocket客户端,通过目标Websocket客户端发送给工作域管理端,
S320、根据所述待执行安全策略对所述关联工作域进行管理。
工作域管理端根据待执行安全策略对关联工作域进行管理。
本申请实施例所提供的技术方案,响应于接收到待执行安全策略,根据所述待执行安全策略在至少两个候选工作域中选择与所述待执行安全策略对应的关联工作域;根据所述待执行安全策略对所述关联工作域进行管理;其中,所述待执行安全策略由所述策略服务器产生,所述待执行安全策略基于所述Websocket技术下发到所述工作域管理端。本申请实施例提供的工作域管理方法适用于策略服务器主动向工作域管理端下发安全策略的情况,使得工作域管理端和策略服务器可以实现实时双向通信,使得安全策略能够及时下发到工作域管理端。
在一个具体的实施例中,图3示出了基于Websocket技术的工作域管理系统的结构示意图,工作域管理系统包括工作域管理端、策略服务器、Websocket客户端和Websocket服务器。其中,工作域管理端用于对工作域进行管理,Websocket客户端分别部署在工作域中,Websocket服务器分别与Websocket客户端和策略服务器。工作域管理端和策略服务器基于Websocket服务器和Websocket客户端之间的通信连接,实现数据通信。具体的,工作域管理端可以基于Websocket服务器和Websocket客户端之间的通信连接将策略变更请求发送给策略服务器,策略服务器同样可以基于Websocket服务器和Websocket客户端之间的通信连接将目标安全策略反馈给工作域管理端。其中,目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果。
此外,策略服务器可以基于Websocket服务器和Websocket客户端之间的通信连接主动向工作域管理端下发安全策略。基于本申请实施例提供的工作域管理方法对工作域进行管理能够使得进程间通信变的简单易扩展,高效并且安全,避免通信过程中产生消息阻塞,使得安全策略可以及时下发,提高了管理效率。
实施例四
图4是本申请实施例四提供的一种工作域管理装置,本实施例可适用于对工作域进行管理的情况。所述装置可由软件和/或硬件实现,并可集成于智能终端等电子设备中。
如图4所示,该装置可以包括:目标工作域确定模块410、策略变更请求发送模块420和目标工作域管理模块430。
目标工作域确定模块410,用于根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
策略变更请求发送模块420,用于基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
目标工作域管理模块430,用于根据所述目标安全策略对所述目标工作域进行管理。
本申请实施例所提供的技术方案,根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;根据所述目标安全策略对所述目标工作域进行管理。本申请实施例中工作域管理端和策略服务器基于Websocket技术进行数据通信,实现安全策略下发和变更,相对于工作域管理端和策略服务器基于命名管道进行数据通信的相关技术,保挣了数据通信通畅,有效避免消息阻塞为安全策略及时下发和变更提供了保障,提高工作域管理效率,使得本申请提供的工作域管理方法更加适用于同时对多个工作域进行管理的场景,进一步扩大了工作域管理方法的适用场景。
可选的,策略变更请求发送模块420,包括:目标Websocket客户端选择子模块,用于基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端;策略变更请求发送子模块,用于通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器。
可选的,所述装置还包括:预期数量确定模块,用于在基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端之前,根据所述候选工作域的数量,确定Websocket客户端的预期数量;Websocket客户端部署模块,用于将搭建完成的所述预期数量的所述Websocket客户端,分别部署到各所述候选工作域,使得每个所述候选工作域均部署有至少一个所述Websocket客户端;关联关系确定模块,用于根据Websocket客户端的部署情况,确定工作域和Websocket客户端之间的关联关系。
可选的,策略变更请求发送子模块,包括:策略变更请求加密单元,用于通过所述目标Websocket客户端基于预设加密算法,对所述策略变更请求进行加密处理得到请求加密结果,由所述目标Websocket客户端将所述请求加密结果发送给所述Websocket服务器;策略变更请求还原单元,用于通过所述Websocket服务器基于所述预设加密算法对所述请求加密结果进行解密处理还原所述策略变更请求,由所述目标Websocket客户端将还原得到的策略变更请求发送给所述策略服务器。
可选的,所述装置还包括:关联工作域确定模块,用于响应于接收到待执行安全策略,根据所述待执行安全策略在至少两个候选工作域中选择与所述待执行安全策略对应的关联工作域;关联工作域管理模块,用于根据所述待执行安全策略对所述关联工作域进行管理;其中,所述待执行安全策略由所述策略服务器产生,所述待执行安全策略基于所述Websocket技术下发到所述工作域管理端。
可选的,安全策略包括:文件外发限制策略、应用截图限制策略和文件复制限制策略中的至少一项。
本发明实施例所提供的一种工作域管理装置可执行本发明任意实施例所提供的一种工作域管理方法,具备执行一种工作域管理方法相应的性能模块和有益效果。
实施例五
本申请实施例五还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种工作域管理方法,该方法包括:
根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
根据所述目标安全策略对所述目标工作域进行管理。
存储介质是指任何的各种类型的存储器电子设备或存储电子设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDRRAM、SRAM、EDORAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到计算机系统。第二计算机系统可以提供程序指令给计算机用于执行。术语“存储介质”可以包括可以驻留在不同未知中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的工作域管理操作,还可以执行本申请任意实施例所提供的工作域管理方法中的相关操作。
实施例六
本申请实施例六提供了一种电子设备,该电子设备中可集成本申请实施例提供的工作域管理装置,该电子设备可以是配置于系统内的,也可以是执行系统内的部分或者全部性能的设备。图5是本申请实施例六提供的一种电子设备的结构示意图。如图5所示,本实施例提供了一种电子设备500,其包括:一个或多个处理器520;存储装置510,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器520执行,使得所述一个或多个处理器520实现本申请实施例所提供的工作域管理方法,该方法包括:
根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
根据所述目标安全策略对所述目标工作域进行管理。
当然,本领域技术人员可以理解,处理器520还实现本申请任意实施例所提供的工作域管理方法的技术方案。
图5显示的电子设备500仅仅是一个示例,不应对本申请实施例的性能和使用范围带来任何限制。
如图5所示,该电子设备500包括处理器520、存储装置510、输入装置530和输出装置540;电子设备中处理器520的数量可以是一个或多个,图5中以一个处理器520为例;电子设备中的处理器520、存储装置510、输入装置530和输出装置540可以通过总线或其他方式连接,图5中以通过总线550连接为例。
存储装置510作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块单元,如本申请实施例中的工作域管理方法对应的程序指令。
存储装置510可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个性能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储装置510可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储装置510可进一步包括相对于处理器520远程设置的存储器,这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置530可用于接收输入的数字、字符信息或语音信息,以及产生与电子设备的用户设置以及性能控制有关的键信号输入。输出装置540可包括显示屏、扬声器等电子设备。
上述实施例中提供的工作域管理装置、介质及电子设备可执行本申请任意实施例所提供的工作域管理方法,具备执行该方法相应的性能模块和有益效果。未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的工作域管理方法。
注意,上述仅为本申请的较佳实施例及所运用技术原理。本领域技术人员会理解,本申请不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由所附的权利要求范围决定。
Claims (10)
1.一种工作域管理方法,其特征在于,所述方法包括:
根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
根据所述目标安全策略对所述目标工作域进行管理。
2.根据权利要求1所述的方法,其特征在于,所述基于Websocket技术将所述策略变更请求发送给策略服务器,包括:
基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端;
通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器。
3.根据权利要求2所述的方法,其特征在于,在基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端之前,还包括:
根据所述候选工作域的数量,确定Websocket客户端的预期数量;
将搭建完成的所述预期数量的所述Websocket客户端,分别部署到各所述候选工作域,使得每个所述候选工作域均部署有至少一个所述Websocket客户端;
根据Websocket客户端的部署情况,确定工作域和Websocket客户端之间的关联关系。
4.根据权利要求2所述的方法,其特征在于,通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器,包括:
通过所述目标Websocket客户端基于预设加密算法,对所述策略变更请求进行加密处理得到请求加密结果,由所述目标Websocket客户端将所述请求加密结果发送给所述Websocket服务器;
通过所述Websocket服务器基于所述预设加密算法对所述请求加密结果进行解密处理还原所述策略变更请求,由所述目标Websocket客户端将还原得到的策略变更请求发送给所述策略服务器。
5.根据权利要求1所述的方法,所述方法还包括:
响应于接收到待执行安全策略,根据所述待执行安全策略在至少两个候选工作域中选择与所述待执行安全策略对应的关联工作域;
根据所述待执行安全策略对所述关联工作域进行管理;
其中,所述待执行安全策略由所述策略服务器产生,所述待执行安全策略基于所述Websocket技术下发到所述工作域管理端。
6.根据权利要求1-5任一项所述方法,其特征在于,安全策略包括:文件外发限制策略、应用截图限制策略和文件复制限制策略中的至少一项。
7.一种工作域管理装置,其特征在于,所述装置包括:
目标工作域确定模块,用于根据针对已有安全策略的策略变更请求,在至少两个候选工作域中确定目标工作域;
策略变更请求发送模块,用于基于Websocket技术将所述策略变更请求发送给策略服务器,以指示所述策略服务器反馈目标安全策略;其中,所述目标安全策略是指所述策略服务器根据所述策略变更请求对所述已有安全策略进行更改处理得到的策略更改结果;
目标工作域管理模块,用于根据所述目标安全策略对所述目标工作域进行管理。
8.根据权利要求7所述的装置,其特征在于,策略变更请求发送模块,包括:
目标Websocket客户端选择子模块,用于基于工作域和Websocket客户端之间的关联关系,从候选Websocket客户端中选择与所述目标工作域相关联的目标Websocket客户端;
策略变更请求发送子模块,用于通过所述目标Websocket客户端将所述策略变更请求发送给Websocket服务器,由所述Websocket服务器将所述策略变更请求发送给所述策略服务器。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6中任一项所述的工作域管理方法。
10.一种电子设备,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的工作域管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210348724.XA CN114726612B (zh) | 2022-04-01 | 2022-04-01 | 一种工作域管理方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210348724.XA CN114726612B (zh) | 2022-04-01 | 2022-04-01 | 一种工作域管理方法、装置、介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114726612A true CN114726612A (zh) | 2022-07-08 |
| CN114726612B CN114726612B (zh) | 2024-03-26 |
Family
ID=82242880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210348724.XA Active CN114726612B (zh) | 2022-04-01 | 2022-04-01 | 一种工作域管理方法、装置、介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114726612B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100281107A1 (en) * | 2009-05-01 | 2010-11-04 | Fallows John R | Enterprise client-server system and methods of providing web application support through distributed emulation of websocket communications |
| CN106134230A (zh) * | 2013-11-21 | 2016-11-16 | 哥莱菲特软件公司 | 用于移动信息设备上的远程内容和配置控制的管理域 |
| US20170366547A1 (en) * | 2015-06-02 | 2017-12-21 | ALTR Solutions, Inc. | Remotely deauthenticating a user from a web-based application using a centralized login server |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN110943978A (zh) * | 2019-11-14 | 2020-03-31 | 光通天下网络科技股份有限公司 | 安全策略的配置方法、装置、电子设备及介质 |
| CN111339543A (zh) * | 2020-02-27 | 2020-06-26 | 深信服科技股份有限公司 | 一种文件处理方法及装置、设备、存储介质 |
| CN112732425A (zh) * | 2020-12-31 | 2021-04-30 | 北京奇艺世纪科技有限公司 | 一种应用管理方法、装置、电子设备及存储介质 |
| CN113098851A (zh) * | 2021-03-25 | 2021-07-09 | 广州虎牙科技有限公司 | 虚拟防火墙的实现方法、装置、系统、设备和介质 |
| CN114189358A (zh) * | 2021-11-16 | 2022-03-15 | 深圳航天智慧城市系统技术研究院有限公司 | 一种基于私有云的服务安全策略管理方法 |
-
2022
- 2022-04-01 CN CN202210348724.XA patent/CN114726612B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100281107A1 (en) * | 2009-05-01 | 2010-11-04 | Fallows John R | Enterprise client-server system and methods of providing web application support through distributed emulation of websocket communications |
| CN106134230A (zh) * | 2013-11-21 | 2016-11-16 | 哥莱菲特软件公司 | 用于移动信息设备上的远程内容和配置控制的管理域 |
| US20170366547A1 (en) * | 2015-06-02 | 2017-12-21 | ALTR Solutions, Inc. | Remotely deauthenticating a user from a web-based application using a centralized login server |
| CN109964227A (zh) * | 2017-10-30 | 2019-07-02 | 华为技术有限公司 | 更新SELinux安全策略的方法及终端 |
| CN110943978A (zh) * | 2019-11-14 | 2020-03-31 | 光通天下网络科技股份有限公司 | 安全策略的配置方法、装置、电子设备及介质 |
| CN111339543A (zh) * | 2020-02-27 | 2020-06-26 | 深信服科技股份有限公司 | 一种文件处理方法及装置、设备、存储介质 |
| CN112732425A (zh) * | 2020-12-31 | 2021-04-30 | 北京奇艺世纪科技有限公司 | 一种应用管理方法、装置、电子设备及存储介质 |
| CN113098851A (zh) * | 2021-03-25 | 2021-07-09 | 广州虎牙科技有限公司 | 虚拟防火墙的实现方法、装置、系统、设备和介质 |
| CN114189358A (zh) * | 2021-11-16 | 2022-03-15 | 深圳航天智慧城市系统技术研究院有限公司 | 一种基于私有云的服务安全策略管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114726612B (zh) | 2024-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2664322C (en) | Securing distributed application information delivery | |
| US9380037B2 (en) | Methods and devices for trusted protocols for a non-secured, distributed environment with applications to virtualization and cloud-computing security and management | |
| CN113438289A (zh) | 基于云计算的区块链数据处理方法及装置 | |
| WO2020042822A1 (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| US11277381B2 (en) | Multi-channel based just-in-time firewall control | |
| US20190222414A1 (en) | System and method for controlling usage of cryptographic keys | |
| US7607006B2 (en) | Method for asymmetric security | |
| US10158610B2 (en) | Secure application communication system | |
| US11784980B2 (en) | Secure low-latency trapdoor proxy | |
| CN114679274A (zh) | 跨子网交互的权限控制方法及装置、电子设备、存储介质 | |
| KR20080027198A (ko) | 서버와 클라이언트 시스템 간의 통신 세션에서 상태 추적메커니즘을 수행하는 방법 | |
| KR101950012B1 (ko) | 효율적인 보안통신을 위한 dds 시스템 및 방법 | |
| US20210344483A1 (en) | Methods, apparatus, and articles of manufacture to securely audit communications | |
| WO2018028359A1 (zh) | 业务处理方法、装置、存储介质及电子装置 | |
| KR102096637B1 (ko) | 블록체인에서 정보 조회 시간의 기록을 위한 분산 원장 장치 | |
| CN114329574B (zh) | 基于域管平台的加密分区访问控制方法、系统及计算设备 | |
| CN114726612B (zh) | 一种工作域管理方法、装置、介质及电子设备 | |
| CN115514757A (zh) | 一种数据安全处理方法和装置 | |
| JP2009055428A (ja) | 情報処理装置、サーバ装置、情報処理プログラム及び方法 | |
| CN114329596A (zh) | 一种物联网设备的固件更新方法、装置及系统 | |
| KR102096639B1 (ko) | Uuid를 이용한 블록체인에서 정보 조회 기록의 무결성을 위한 분산 원장 장치 | |
| CN113691510A (zh) | 一种跨域访问控制方法、系统、存储介质及设备 | |
| CN109347735B (zh) | 一种基于应用集成插件的安全数据交换方法 | |
| CN115987988B (zh) | 基于中继链的属性代理重加密方法、模型及存储介质 | |
| US20240061731A1 (en) | Cryptographic agility through link layer abstraction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |