CN115801413A - 通信方法、装置、电子设备及非易失性存储介质 - Google Patents
通信方法、装置、电子设备及非易失性存储介质 Download PDFInfo
- Publication number
- CN115801413A CN115801413A CN202211446979.6A CN202211446979A CN115801413A CN 115801413 A CN115801413 A CN 115801413A CN 202211446979 A CN202211446979 A CN 202211446979A CN 115801413 A CN115801413 A CN 115801413A
- Authority
- CN
- China
- Prior art keywords
- application program
- data
- equipment
- control center
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种通信方法、装置、电子设备及非易失性存储介质。其中,该方法包括:终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;在通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。本申请解决了由于相关技术中内部办公数据可以被不同的设备浏览访问,造成的内部办公系统安全性差的技术问题。
Description
技术领域
本申请涉及信息通信技术领域,具体而言,涉及一种通信方法、装置、电子设备及非易失性存储介质。
背景技术
随着互联网科技的快速发展,互联网办公逐渐成为现代办公方式的主流,由于通过互联网办公可以打破办公的地域性和时间性的限制,因此广泛应用于各企业,然而,通过互联网办公的方式大大增加了企业内部数据暴露在互联网环境中的风险,从而容易给办公安全带来极大的威胁。
随着电子科技与互联网科技的相结合,访问内部办公系统的设备不再仅局限于固定的电脑端,而是可以被不同的终端设备浏览访问,增加了内部办公数据暴露的风险,导致内部办公系统存在安全性差的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种通信方法、装置、电子设备及非易失性存储介质,以至少解决由于相关技术中内部办公数据可以被不同的设备浏览访问,造成的内部办公系统安全性差的技术问题。
根据本申请实施例的一个方面,提供了一种通信方法,包括:终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;在通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。
可选地,通过应用程序访问业务数据的步骤包括:通过应用程序向目标对象展示验证界面,并获取目标对象在验证界面中输入的验证信息;发送验证信息至零信任控制中心,并在零信任控制中心对验证信息验证通过后,与办公系统建立通信链接,以从办公系统中获取业务数据。
可选地,通过应用程序访问业务数据的步骤包括:在访问业务数据的过程中,获取目标对象的第一面部特征信息;发送第一面部特征信息至零信任控制中心,其中,零信任控制中心用于依据第二面部特征信息对第一面部特征信息进行验证,第二面部特征信息为与验证信息对应的预先存储的面部特征信息;在第一面部特征信息与第二面部特征信息不一致的情况下,切断通信链接。
可选地,通过应用程序访问业务数据的步骤还包括:在第一面部特征信息与第二面部特征信息一致的情况下,采集目标区域中的图像信息,其中,目标区域为可观看到目标设备的屏幕的区域;在确定图像信息中存在第三面部特征信息的情况下,通过应用程序对业务数据执行模糊操作。
可选地,通过应用程序访问业务数据的步骤包括:在访问业务数据的过程中,通过应用程序监测目标端口,并创建虚拟端口,其中,终端设备通过目标端口访问业务数据;通过应用程序生成与业务数据的格式相同的动态随机数据;在监测到异常访问请求的情况下,通过应用程序将异常访问请求指向虚拟端口;通过虚拟端口向发送异常访问请求的异常程序提供动态随机数据。
可选地,通过应用程序生成与业务数据的格式相同的动态随机数据的步骤包括:确定业务数据的格式;随机生成与业务数据的格式相同的目标动态数据;比较目标动态数据与业务数据的相似度;在相似度小于预设相似度阈值的情况下,确定目标动态数据为动态随机数据。
可选地,通信方法还包括:在相似度不小于预设相似度阈值的情况下,再次随机生成目标动态数据,并比较目标动态数据与业务数据的相似度,直到相似度小于预设相似度阈值。
可选地,异常访问行为包括在访问业务数据的过程中截图,与异常访问行为对应的预设防护措施包括清除终端设备的内存数据;以及读取终端设备中存放的图片,并删除图片中保存时间最晚的图片。
可选地,访问请求中携带有终端设备中运行的浏览器的浏览器标识信息,其中,浏览器标识信息用于确定终端设备的设备类型。
可选地,第一设备类型为连接至外网的设备。
根据本申请实施例的另一个方面,还提供了一种通信方法,包括:获取终端设备发送的访问请求;依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;在设备类型为第一设备类型的情况下,发送应用程序至终端设备,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控。
根据本申请实施例的另一个方面,还提供了一种通信装置,包括:第一通信模块,用于终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;第二通信模块,用于在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;第一处理模块,用于通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。
根据本申请实施例的又一方面,还提供了一种电子设备,电子设备包括处理器,处理器用于运行程序,其中,程序运行时执行通信方法。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行计算机程序执行通信方法。
在本申请实施例中,采用终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;在通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作的方式,通过在零信任控制中心向终端设备发送的apk(Android application package,安卓应用程序包)形成的访问环境与内部办公系统之间进行通信或者直接通过内网电脑与内部办公系统进行通信时,监控访问人员的操作,并对异常访问操作进行防护,达到了保证内部办公数据安全性的目的,进而解决了由于相关技术中内部办公数据可以被不同的设备浏览访问,造成的内部办公系统安全性差技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的一种用于实现通信的方法的计算机终端(或电子设备)的硬件结构框图;
图2是根据本申请实施例提供的一种通信的方法流程的示意图;
图3是根据本申请实施例提供的另一种通信的方法流程的示意图;
图4是根据本申请实施例提供的一种零信任工作流程的示意图;
图5是根据本申请实施例提供的一种零信任工作系统的架构示意图;
图6是根据本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在相关技术中,由于相关技术中内部办公数据可以被不同的设备浏览访问,因此,存在内部办公系统安全性差问题。为了解决该问题,本申请实施例中提供了相关的解决方案,以下详细说明。
根据本申请实施例,提供了一种通信的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现通信方法的计算机终端(或电子设备)的硬件结构框图。如图1所示,计算机终端10(或电子设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或电子设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的通信方法对应的程序指令/数据存储装置,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述通信方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或电子设备)的用户界面进行交互。
在上述运行环境下,本申请实施例提供了一种通信方法,图2是根据本申请实施例提供的一种通信的方法流程的示意图,如图2所示,该方法包括如下步骤:
步骤S202,终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;
上述零信任控制中心为部署于办公设备与内部办公系统之间用于保证通信安全性的系统,零信任控制中心中存储有将企业的员工信息,并根据每个员工的工作内容赋予每个员工对应的访问权限。
在本申请的一些实施例中,访问请求中携带有终端设备中运行的浏览器的浏览器标识信息,其中,浏览器标识信息用于确定终端设备的设备类型。
在本实施例中,上述终端设备为员工用于访问内部办公系统的办公设备,办公设备可以为手持端办公设备,如手机、平板等;也可以为电脑端办公设备,如台式计算机、笔记本电脑等。
具体地,员工通过办公设备访问内部办公系统的时候,办公设备会将访问请求和浏览器的内核标识(即上述浏览器标识信息)直接发送到零信任控制中心,此时零信任控制中心会根据发送过来的浏览器标识判断员工是通过手机/平板端访问,还是通过电脑端访问。
步骤S204,在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;
在本实施例中,上述应用程序为零信任控制中心提供的用于进行信息保护的应用程序;
在本申请的一些实施例中,第一设备类型为连接至外网的设备。
具体地,若判断员工通过手机/平板端或位于外网的电脑端(即上述第一设备类型)进行访问,零信任控制中心会单独形成访问apk(Android application package,安卓应用程序包)文件,将该apk文件发送至员工的手机/平板的浏览器,并安装该apk文件对内部的办公系统进行访问,当安装该apk文件,并打开后,零信任控制中心会对该员工的身份进行验证,验证成功后,则会将访问请求连同该员工的访问权限一同发送到内部办公系统,此时内部办公系统根据该员工的访问权限将对应的数据发送至员工的手机/平板apk文件形成的访问环境中;
在本申请的一些实施例中,通信方法还包括:在设备类型为第二设备类型的情况下,通过内网获取业务数据,其中,第二设备类型为连接至内网的设备。
具体地,若判断员工通过位于内网的电脑端(即上述第二设备类型)进行访问,零信任控制中心对员工的身份信息进行验证,验证成功后,则将访问请求连同该用户的访问权限一同发送到内部办公系统,内部办公系统根据该员工的访问权限将对应的数据直接发送到电脑端,通过电脑端的浏览器即可实现数据的浏览以及增删改操作;
步骤S206,在通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。
在本申请的一些实施例中,通过应用程序访问业务数据的步骤包括以下步骤:通过应用程序向目标对象展示验证界面,并获取目标对象在验证界面中输入的验证信息;发送验证信息至零信任控制中心,并在零信任控制中心对验证信息验证通过后,与办公系统建立通信链接,以从办公系统中获取业务数据。
具体地,员工(即上述目标对象)在打开apk文件或者零信任客户端对内部办公系统进行访问的时候,零信任控制中心接到员工的访问请求,并将验证页面数据发送到员工的手机/平板apk文件形成的访问环境中或者发送至零信任客户端,然后员工在验证页面输入自己的姓名、工号以及员工访问密码,或者手机号码进行短信认证(即上述验证信息),并提交给零信任控制中心进行匹配验证,匹配成功后,则建立手机/平板apk文件形成的访问环境或者通过零信任客户端与内部办公系统之间的通信,反之,则不建立通信。
为了进一步提升安全性,通过应用程序访问业务数据的步骤包括以下步骤:在访问业务数据的过程中,获取目标对象的第一面部特征信息;发送第一面部特征信息至零信任控制中心,其中,零信任控制中心用于依据第二面部特征信息对第一面部特征信息进行验证,第二面部特征信息为与验证信息对应的预先存储的面部特征信息;在第一面部特征信息与第二面部特征信息不一致的情况下,切断通信链接。
在本申请的一些实施例中,通过应用程序访问业务数据的步骤还包括以下步骤:在第一面部特征信息与第二面部特征信息一致的情况下,采集目标区域中的图像信息,其中,目标区域为可观看到目标设备的屏幕的区域;在确定图像信息中存在第三面部特征信息的情况下,通过应用程序对业务数据执行模糊操作。
具体地,员工在通过apk文件形成的访问环境或者零信任客户端通过手机/平板/电脑端与内部办公系统之间进行通信时,apk文件和零信任客户端会调取手机/平板/电脑端上的摄像头对员工的面部信息(即上述第一面部特征信息)进行实时拍摄,并上传到零信任控制中心,零信任控制中心将实时拍摄的面部信息与该员工之前录入的面部信息(即上述第二面部特征信息)进行对比,对比成功,则继续收集/平板/电脑端与内部办公系统之间的通信,反之,中断手机/平板/电脑端与内部办公系统之间的通信,在面部信息对比成功的同时,摄像头拍摄到该员工的周围出现其他人正在观看屏幕(即上述确定图像信息中存在第三面部特征信息的情况)时,apk文件以及零信任客户端会自动的对页面进行模糊操作,当摄像头没有检测到周围有其他人观看电脑屏幕的时候,apk文件以及零信任客户端将页面恢复正常,避免了办公数据被偷窥的问题。
在本申请的一些实施例中,通过应用程序访问业务数据的步骤包括以下步骤:在访问业务数据的过程中,通过应用程序监测目标端口,并创建虚拟端口,其中,终端设备通过目标端口访问业务数据;通过应用程序生成与业务数据的格式相同的动态随机数据;在监测到异常访问请求的情况下,通过应用程序将异常访问请求指向虚拟端口;通过虚拟端口向发送异常访问请求的异常程序提供动态随机数据。
具体地,apk文件和零信任客户端实时监测访问终端的端口(即上述目标端口),同时搭建一个虚拟端口,并根据当前访问的内部办公数据形式,动态随机的生成与内部办公数据形式相似的数据(即上述动态随机数据),然后再将这些数据以数据表的形式存储在终端内存中,当监测到有其他程序或者软件访问终端与内部办公系统之间通信的端口的时候,此时apk文件和零信任客户端会将该访问请求转移到搭建的虚拟端口,并将之前动态随机生成的数据反馈给当前的程序或者软件。
在本申请的一些实施例中,通过应用程序生成与业务数据的格式相同的动态随机数据的步骤包括以下步骤:确定业务数据的格式;随机生成与业务数据的格式相同的目标动态数据;比较目标动态数据与业务数据的相似度;在相似度小于预设相似度阈值的情况下,确定目标动态数据为动态随机数据。
在本申请的一些实施例中,通信方法还包括以下步骤:在相似度不小于预设相似度阈值的情况下,再次随机生成目标动态数据,并比较目标动态数据与业务数据的相似度,直到相似度小于预设相似度阈值。
具体地,首先获取当前通信的办公数据(即上述业务数据),并对获取到的数据进行解析,判断获取的业务数据的格式类型,生成与当前格式类型相同的目标动态数据,并将生成的目标动态数据与当前获取的业务数据对比,若相似度达60%(即上述预设相似度阈值),则将生成的数据销毁,然后再继续生成数据,直至相似度小于60%,然后将生成的数据(即上述动态随机数据)以数据表的形式存储到终端内存中。
上述预设相似度阈值可以依据实际需求进行调整。
在本申请的一些实施例中,异常访问行为包括在访问业务数据的过程中截图,与异常访问行为对应的预设防护措施包括清除终端设备的内存数据;以及读取终端设备中存放的图片,并删除图片中保存时间最晚的图片。
作为一种可选的实施方式,在通过手机/平板/外网电脑上的apk文件(即上述应用程序)形成的访问环境对内部办公系统进行数据浏览以及增删改时,apk文件会实时监测员工的操作,当监测到员工进行截图操作的时候,此时apk文件调取员工手机/平板中的图片文件,并将最近保存的一张图片删除,或者清除外网电脑中的内存;员工在通过内网电脑对内部办公系统进行数据浏览以及增删改的时候,零信任控制中心会实时监测员工的操作,当监测到员工进行截图的时候,此时零信任控制中心会中断内网电脑与内部办公系统之间的通信,从而避免内部办公数据出现泄漏的问题。
本申请实施例还提供了一种通信方法,图3是根据本申请实施例提供的另一种通信的方法流程的示意图,如图3所示,该方法包括如下步骤:
步骤S302,获取终端设备发送的访问请求;
步骤S304,依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;
步骤S306,在设备类型为第一设备类型的情况下,发送应用程序至终端设备,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控。
下面对本申请实施例的步骤S202至步骤S206中通信方法,以及步骤S302至步骤S306中通信方法进一步进行介绍。
图4是根据本申请实施例提供的一种零信任工作流程的示意图,图5是根据本申请实施例提供的一种信任工作系统的架构示意图,通过图5中的零信任工作系统架构执行图4所示的零信任工作流程,所述流程包括如下步骤:
步骤S402,部署零信任控制中心;
具体地,在办公设备(即上述终端设备)与内部办公系统之间部署零信任控制中心,办公设备可以为手持端办公设备,如手机、平板等;也可以为电脑端办公设备,如台式计算机、笔记本电脑等;
步骤S404,建立网络连接;
具体地,在办公系统中部署缓存服务器和备用服务器,并使缓存服务器、备用服务器和零信任控制中心之间建立网络连接;
步骤S406,录入员工信息,赋予访问权限;
具体地,将企业的员工信息录入到零信任控制中心中,并根据每个员工的工作内容赋予每个员工对应的访问权限,具体为:首先将员工的姓名、工号、员工访问密码、手机号码、负责的工作内容以及员工的面部信息录入到零信任控制中心中,再根据员工负责的工作内容信息赋予员工对应的访问权限信息,并将访问权限信息与员工身份信息一同存入到零信任控制中心中;
步骤S408,发送访问请求和内核标识,判断是手机平板终端还是电脑终端;
具体地,员工通过办公设备访问内部办公系统的时候,办公设备会将访问请求和浏览器的内核标识(即上述浏览器标识信息)直接发送到零信任控制中心,此时零信任控制中心会根据发送过来的浏览器标识判断员工是通过手机/平板端访问,还是通过电脑端访问。
步骤S410,形成apk文件,安装apk文件再进行访问;
具体地,若判断员工通过手机/平板端(即上述第一设备类型)进行访问,零信任控制中心会单独形成访问apk(Android application package,安卓应用程序包)文件,将该apk文件发送至员工的手机/平板的浏览器,并安装该apk文件对内部的办公系统进行访问,当安装该apk文件,并打开后,零信任控制中心会对该员工的身份进行验证,验证成功后,则会将访问请求连同该员工的访问权限一同发送到内部办公系统,此时内部办公系统根据该员工的访问权限将对应的数据发送至员工的手机/平板apk文件形成的访问环境中;
本申请方案中内部办公系统会根据该员工的访问权限将对应的数据发送到该员工的办公设备上,从而减小办公系统在网络中的暴露面,进一步的增加了办公环境的安全。
步骤S412,获取电脑端IP地址,判断是内网还是外网,进行身份验证,验证成功后将访问权限对应的数据发至电脑端;
具体地,若判断员工通过电脑端对内部办公系统进行访问,此时零信任控制中心会获取电脑端的IP地址,并判断电脑端是位于内网还是外网,若判断员工通过位于内网的电脑端(即上述第二设备类型)进行访问,零信任控制中心对员工的身份信息进行验证,验证成功后,则将访问请求连同该用户的访问权限一同发送到内部办公系统,内部办公系统根据该员工的访问权限将对应的数据直接发送到电脑端,通过电脑端的浏览器即可实现数据的浏览以及增删改操作;若判断电脑端处于外网,则执行步骤S410中的操作。
本申请方案通过判断访问内部办公数据的设备的设备类型,实现了办公区域与手机/平板/电脑端个人区域的隔离,极大的保证办公数据的安全。
步骤S414,apk文件实时监测手机、平板终端,当发现截图行为,与内部办公系统自动中断连接;
具体地,在通过手机/平板/外网电脑上的apk文件(即上述应用程序)形成的访问环境对内部办公系统进行数据浏览以及增删改时,apk文件会实时监测员工的操作,当监测到员工进行截图操作的时候,此时apk文件调取员工手机/平板中的图片文件,并将最近保存的一张图片删除,或者清除外网电脑中的内存;员工在通过内网电脑对内部办公系统进行数据浏览以及增删改的时候,零信任控制中心会实时监测员工的操作,当监测到员工进行截图的时候,此时零信任控制中心会中断内网电脑与内部办公系统之间的通信;
作为一种可选的实施方式,办公设备与内部办公系统之间断开通信连接后,apk文件会自动的扫描办公设备内部是否有数据残漏,若检测到有数据残留,则自动将残留的数据永久删除。
作为一种可选的实施方式,当apk文件或者零信任控制中心监测到员工截图的次数超过三次,零信任控制中心则会自动的将该员工的访问权限缩减;当监测到员工截图次数超过五次,清除该员工的所有访问权限,并将该员工的信息从零信任控制中心中删除,禁止该员工访问内部办公系统。对终端环境及行为进行动态监测,从而进行动态权限调整与收缩,避免了传统方案无法对风险行为进行权限收缩的数据泄露风险。
步骤S416,受到攻击时将数据存至缓存服务器,并将缓存服务器数据转至备份服务器,办公设备与备用服务器建立连接。
具体地,办公设备在与内部办公系统之间进行通信办公的时候,若内部办公系统的核心服务器收到攻击或者运行出现异常的情况,零信任控制中心会将办公设备发送来的数据先存储到缓存服务器中,同时将内部办公系统的核心服务器中的数据转移到任意选择的备用服务器中,然后将缓存服务器中的数据转存到选择的备用服务器中,并将办公设备与选择的备用服务器之间建立连接;
当内部办公系统的核心服务器抵御攻击完毕或攻击完维修后或检修正常运行后,零信任控制中心会使办公设备与选择的备用服务器之间断开,同时使办公设备传输的数据存储到缓存服务器中,然后将备用服务器中的数据转移到核心服务器中,并使办公设备再次与核心服务器之间建立连接。
通过上述步骤,通过在零信任控制中心向终端设备发送的apk形成的访问环境与内部办公系统之间进行通信或者直接通过内网电脑与内部办公系统进行通信时,监控访问人员的操作,并对异常访问操作进行防护,达到了保证内部办公数据安全性的目的,进而解决了由于相关技术中内部办公数据可以被不同的设备浏览访问,造成的内部办公系统安全性差技术问题。
根据本申请实施例,还提供了一种通信装置的实施例。图6是根据本申请实施例提供的一种通信装置的结构示意图。如图6所示,该装置包括:
第一通信模块60,用于终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;
第二通信模块62,用于在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;
第一处理模块64,用于通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。
需要说明的是,上述通信装置中的各个模块可以是程序模块(例如是实现某种特定功能的程序指令集合),也可以是硬件模块,对于后者,其可以表现为以下形式,但不限于此:上述各个模块的表现形式均为一个处理器,或者,上述各个模块的功能通过一个处理器实现。
需要说明的是,本实施例中所提供的通信装置可用于执行图2所示的通信方法,因此,对上述通信方法的相关解释说明也适用于本申请实施例中,在此不再赘述。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行计算机程序执行以下通信方法:终端设备发送访问请求至零信任控制中心,其中,零信任控制中心用于依据访问请求确定终端设备的设备类型,以及对终端设备进行身份验证;在终端设备的设备类型为第一设备类型的情况下,接收零信任控制中心发送的应用程序,其中,应用程序用于在运行时提供安全访问环境,以及对终端设备的访问行为进行监控;在通过应用程序访问业务数据的过程中,当应用程序检测到终端设备存在异常访问行为的情况下,通过应用程序执行与异常访问行为对应的防护操作。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (15)
1.一种通信方法,其特征在于,包括:
终端设备发送访问请求至零信任控制中心,其中,所述零信任控制中心用于依据所述访问请求确定所述终端设备的设备类型,以及对所述终端设备进行身份验证;
在所述终端设备的设备类型为第一设备类型的情况下,接收所述零信任控制中心发送的应用程序,其中,所述应用程序用于在运行时提供安全访问环境,以及对所述终端设备的访问行为进行监控;
在通过所述应用程序访问业务数据的过程中,当所述应用程序检测到所述终端设备存在异常访问行为的情况下,通过所述应用程序执行与所述异常访问行为对应的防护操作。
2.根据权利要求1所述的通信方法,其特征在于,通过所述应用程序访问业务数据的步骤包括:
通过所述应用程序向目标对象展示验证界面,并获取所述目标对象在所述验证界面中输入的验证信息;
发送所述验证信息至所述零信任控制中心,并在所述零信任控制中心对所述验证信息验证通过后,与办公系统建立通信链接,以从所述办公系统中获取所述业务数据。
3.根据权利要求2所述的通信方法,其特征在于,通过所述应用程序访问业务数据的步骤包括:
在访问所述业务数据的过程中,获取目标对象的第一面部特征信息;
发送所述第一面部特征信息至所述零信任控制中心,其中,所述零信任控制中心用于依据第二面部特征信息对所述第一面部特征信息进行验证,所述第二面部特征信息为与所述验证信息对应的预先存储的面部特征信息;
在所述第一面部特征信息与所述第二面部特征信息不一致的情况下,切断所述通信链接。
4.根据权利要求3所述的通信方法,其特征在于,通过所述应用程序访问业务数据的步骤还包括:
在所述第一面部特征信息与所述第二面部特征信息一致的情况下,采集目标区域中的图像信息,其中,所述目标区域为可观看到所述目标设备的屏幕的区域;
在确定所述图像信息中存在第三面部特征信息的情况下,通过所述应用程序对所述业务数据执行模糊操作。
5.根据权利要求1所述的通信方法,其特征在于,通过所述应用程序访问业务数据的步骤包括:
在访问所述业务数据的过程中,通过所述应用程序监测目标端口,并创建虚拟端口,其中,所述终端设备通过所述目标端口访问所述业务数据;
通过所述应用程序生成与所述业务数据的格式相同的动态随机数据;
在监测到异常访问请求的情况下,通过所述应用程序将所述异常访问请求指向所述虚拟端口;
通过所述虚拟端口向发送所述异常访问请求的异常程序提供所述动态随机数据。
6.根据权利要求5所述的通信方法,其特征在于,所述通过所述应用程序生成与所述业务数据的格式相同的动态随机数据的步骤包括:
确定所述业务数据的格式;
随机生成与所述业务数据的格式相同的目标动态数据;
比较所述目标动态数据与所述业务数据的相似度;
在所述相似度小于预设相似度阈值的情况下,确定所述目标动态数据为所述动态随机数据。
7.根据权利要求6所述的通信方法,其特征在于,所述通信方法还包括:
在所述相似度不小于所述预设相似度阈值的情况下,再次随机生成所述目标动态数据,并比较所述目标动态数据与所述业务数据的相似度,直到所述相似度小于所述预设相似度阈值。
8.根据权利要求1所述的通信方法,其特征在于,所述异常访问行为包括在访问所述业务数据的过程中截图,与所述异常访问行为对应的预设防护措施包括清除所述终端设备的内存数据;以及读取所述终端设备中存放的图片,并删除所述图片中保存时间最晚的图片。
9.根据权利要求1所述的通信方法,其特征在于,所述访问请求中携带有所述终端设备中运行的浏览器的浏览器标识信息,其中,所述浏览器标识信息用于确定所述终端设备的设备类型。
10.根据权利要求1所述的通信方法,其特征在于,所述第一设备类型为连接至外网的设备。
11.根据权利要求1所述的通信方法,其特征在于,所述通信方法还包括:
在所述设备类型为第二设备类型的情况下,通过内网获取所述业务数据,其中,所述第二设备类型为连接至内网的设备。
12.一种通信方法,其特征在于,包括:
获取终端设备发送的访问请求;
依据所述访问请求确定所述终端设备的设备类型,以及对所述终端设备进行身份验证;
在所述设备类型为第一设备类型的情况下,发送应用程序至所述终端设备,其中,所述应用程序用于在运行时提供安全访问环境,以及对所述终端设备的访问行为进行监控。
13.一种通信装置,其特征在于,包括:
第一通信模块,用于终端设备发送访问请求至零信任控制中心,其中,所述零信任控制中心用于依据所述访问请求确定所述终端设备的设备类型,以及对所述终端设备进行身份验证;
第二通信模块,用于在所述终端设备的设备类型为第一设备类型的情况下,接收所述零信任控制中心发送的应用程序,其中,所述应用程序用于在运行时提供安全访问环境,以及对所述终端设备的访问行为进行监控;
第一处理模块,用于通过所述应用程序访问业务数据的过程中,当所述应用程序检测到所述终端设备存在异常访问行为的情况下,通过应用程序执行与所述异常访问行为对应的防护操作。
14.一种非易失性存储介质,其特征在于,所述非易失性存储介质中存储有程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至10或权利要求11中任意一项所述通信方法。
15.一种电子设备,其特征在于,包括:存储器和处理器,所述处理器用于运行存储在所述存储器中的程序,其中,所述程序运行时执行权利要求1至10或权利要求11中任意一项所述通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211446979.6A CN115801413A (zh) | 2022-11-18 | 2022-11-18 | 通信方法、装置、电子设备及非易失性存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211446979.6A CN115801413A (zh) | 2022-11-18 | 2022-11-18 | 通信方法、装置、电子设备及非易失性存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115801413A true CN115801413A (zh) | 2023-03-14 |
Family
ID=85438881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211446979.6A Pending CN115801413A (zh) | 2022-11-18 | 2022-11-18 | 通信方法、装置、电子设备及非易失性存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801413A (zh) |
-
2022
- 2022-11-18 CN CN202211446979.6A patent/CN115801413A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
| CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
| JP6386069B2 (ja) | 接続管理方法、装置、電子設備、プログラム、及び記録媒体 | |
| CN110719203B (zh) | 智能家居设备的操作控制方法、装置、设备及存储介质 | |
| US20220224720A1 (en) | Link detection method and apparatus, electronic device, and storage medium | |
| JP2018533864A (ja) | 遠隔制御方法、装置及び携帯端末 | |
| CN115344835A (zh) | 图片处理方法、存储介质以及计算机终端 | |
| CN104937602B (zh) | 一种隐私保护的方法及电子设备 | |
| CN105516093B (zh) | 一种防蹭网的方法及路由器 | |
| CN116132149A (zh) | 防篡改通信方法、装置、服务器、智能家居及终端设备 | |
| CN115801413A (zh) | 通信方法、装置、电子设备及非易失性存储介质 | |
| CN107276874B (zh) | 网络连接方法、装置、电子设备及存储介质 | |
| CN115442798A (zh) | 一种移动终端触摸屏失效替代装置与方法 | |
| US11520771B2 (en) | Measurement update method, apparatus, system, storage media, and computing device | |
| CN104995635A (zh) | 图片发送方法和装置以及终端设备 | |
| CN107197075A (zh) | 安全启动防护方法、装置及计算机可读存储介质 | |
| CN111181831B (zh) | 通信数据处理方法和装置、存储介质及电子装置 | |
| CN113704061A (zh) | 一种涉密的计算机保护系统 | |
| CN113392410A (zh) | 接口安全性检测方法、装置、计算机设备及存储介质 | |
| WO2021026937A1 (zh) | 登录行为的校验方法及装置、系统、存储介质、电子装置 | |
| CN115242486B (zh) | 数据处理方法、装置及计算机可读存储介质 | |
| CN110941412A (zh) | 基于图片化实现多终端动画协同浏览的方法、系统及终端 | |
| CN108306892A (zh) | 一种基于TrustZone的请求响应方法及系统 | |
| KR102332040B1 (ko) | 오프라인 대리 사용자 및 해커로부터 특정 컴퓨터 보호를 위한 실시간 대응 시스템 및 방법 | |
| CN113268775B (zh) | 照片处理方法、装置、系统及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |