CN115865433B - 业务数据的请求方法、装置及存储介质 - Google Patents

Abstract

本申请提供一种业务数据的请求方法、装置及存储介质，涉及通信领域，用于降低业务系统的处理负载。该方法应用于第一服务器。该方法包括：通过SDP控制器接收来自SDP客户端的单包授权SPA数据包。通过SDP控制器对SPA数据包进行校验。若SPA数据包通过校验，则通过SDP控制器向SDP网关发送第一身份验证信息，并通过SDP控制器向SDP客户端发送授权信息，授权信息包括：第一身份验证信息。通过SDP网关接收来自SDP客户端的业务请求消息，业务请求消息包括：第二身份验证信息和第一业务的标识。若第二身份验证信息与第一身份验证信息相同，则通过SDP网关向业务系统发送第一业务的标识。

Description

业务数据的请求方法、装置及存储介质

技术领域

本申请涉及通信领域，尤其涉及一种业务数据的请求方法、装置及存储介质。

背景技术

软件定义边界(software defined perimeter，SDP)是由云安全联盟(cloudsecurity alliance，CSA)开发的一种安全框架，SDP架构包括：SDP客户端、SDP控制器、SDP网关。SDP可以将网络中的业务数据进行隐藏。当用户访问业务数据时，用户需要通过SDP客户端，向SDP控制器发送单包授权(single packet authorization，SPA)数据包。之后，SDP控制器可以对SPA数据包进行身份认证。通过认证和授权的SDP客户端可以向SDP网关发送身份信息。SDP网关可以对身份信息进行二次认证。通过二次认证的SDP客户端才可以访问被隐藏的业务数据，极大的提升了系统的安全水平。

目前，SDP控制器和SDP网关可以均部署于业务系统。业务系统需要调用SDP控制器对SPA数据包进行认证，并且需要调用SDP网关对身份信息再次认证。这样一来，可能会消耗业务系统的处理资源，增加业务系统的处理负载。

发明内容

本申请提供一种业务数据的请求方法、装置及存储介质，用于降低业务系统的处理负载。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种业务数据的请求方法。该方法可以应用于第一服务器，第一服务器部署有软件定义边界SDP控制器和SDP网关。该方法中，业务数据的请求装置(可以简称为“请求装置”)通过SDP控制器接收来自SDP客户端的单包授权SPA数据包。请求装置可以通过SDP控制器对SPA数据包进行校验。若SPA数据包通过校验，请求装置则可以通过SDP控制器向SDP网关发送第一身份验证信息，并通过SDP控制器向SDP客户端发送授权信息，授权信息包括：第一身份验证信息。请求装置可以通过SDP网关接收来自SDP客户端的业务请求消息，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。若第二身份验证信息与第一身份验证信息相同，请求装置则可以通过SDP网关向业务系统发送第一业务的标识，业务系统部署于第二服务器，第二服务器与第一服务器不同。

可选的，授权信息还包括：业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据。该业务数据的请求方法还包括：若SPA数据包通过校验，请求装置则可以通过SDP控制器向业务系统发送业务权限信息。

可选的，该业务数据的请求方法还包括：请求装置可以通过SDP控制器接收来自业务系统的安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。请求装置可以通过SDP控制器根据安全等级信息，生成业务权限信息。其中，若安全等级信息为第一等级信息，则第二业务数据的数据量为第一数值；若安全等级信息为第二等级信息，则第二业务数据的数据量为第二数值，第一数值大于第二数值。

第二方面，本申请提供一种业务数据的请求方法，该方法应用于第二服务器，第二服务器部署有业务系统。第一服务器部署有SDP控制器和SDP网关，第二服务器与第一服务器不同。该方法中，业务数据的请求装置可以接收来自软件定义边界SDP网关的第一业务的标识。之后，请求装置可以向SDP网关发送第一业务的业务数据，第一业务的业务数据为业务系统存储的业务数据。

可选的，该业务数据的请求方法还包括：请求装置可以接收来自SDP控制器的业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据，SDP控制器部署在第一服务器。上述“向SDP网关发送第一业务的业务数据”的方法还包括：若第二业务数据中包括第一业务的业务数据，则向SDP网关发哦送你个第一业务的业务数据。

可选的，该业务数据的请求方法还包括：请求装置可以向SDP控制器发送安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。

第三方面，本申请提供一种业务数据的请求装置，该装置应用于第一服务器，第一服务器部署有软件定义边界SDP控制器和SDP网关。

SDP控制器，用于接收来自SDP客户端的单包授权SPA数据包。SDP控制器，用于对SPA数据包进行校验。SDP控制器，用于若SPA数据包通过校验，则向SDP网关发送第一身份验证信息，并向SDP客户端发送授权信息，授权信息包括：第一身份验证信息。SDP网关，还用于接收来自SDP客户端的业务请求消息，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。SDP网关，还用于若第二身份验证信息与第一身份验证信息相同，则向业务系统发送第一业务的标识，业务系统部署于第二服务器，第二服务器与第一服务器不同。

可选的，授权信息还包括：业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据。SDP控制器，还用于若SPA数据包通过校验，则向业务系统发送业务权限信息。

可选的，SDP控制器，还用于接收来自业务系统的安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。SDP控制器，还用于根据安全等级信息，生成业务权限信息。其中，若安全等级信息为第一等级信息，则第二业务数据的数据量为第一数值。若安全等级信息为第二等级信息，则第二业务数据的数据量为第二数值，第一数值大于第二数值。

第四方面，本申请提供一种业务数据的请求装置，该装置应用于第二服务器，第二服务器部署有业务系统。第一服务器部署有SDP控制器和SDP网关，第二服务器与第一服务器不同。第二服务器包括：接收单元和发送单元。

接收单元，用于接收来自软件定义边界SDP网关的第一业务的标识。发送单元，用于向SDP网关发送第一业务的业务数据，第一业务的业务数据为业务系统存储的业务数据。

可选的，接收单元，还用于接收来自SDP控制器的业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据，SDP控制器部署在第一服务器。发送单元，具体用于若第二业务数据中包括第一业务的业务数据，则向SDP网关发送第一业务的业务数据。

可选的，发送单元，还用于向SDP控制器发送安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。

第五方面，本申请提供了一种业务数据的请求装置，该装置包括：处理器和存储器。处理器和存储器耦合。存储器用于存储一个或多个程序，该一个或多个程序包括计算机执行指令，当该业务数据的请求装置运行时，处理器执行该存储器存储的该计算机执行指令，以实现如第一方面中和第二方面中的任一种可能的实现方式中所描述的业务数据的请求方法。

第六方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在计算机上运行时，使得计算机执行上述第一方面中和第二方面中的任一种可能的实现方式中所描述的业务数据的请求方法。

第七方面，本申请提供了一种计算机程序产品，包括计算机程序，当其计算机程序被处理器执行时，使得计算机实现如第一方面中和第二方面中的任一种可能的实现方式中所描述的业务数据的请求方法。

上述方案中，业务数据的请求装置、计算机设备、计算机存储介质或者计算机程序产品所能解决的技术问题以及实现的技术效果可以参见上述第一方面所解决的技术问题以及技术效果，在此不再赘述。

本申请提供的技术方案至少带来以下有益效果：第一服务器部署有SDP控制器和SDP网关。第一服务器可以通过SDP控制器接收来自SDP客户端的SPA数据包。之后，第一服务器可以通过SDP控制器对SPA数据包进行校验。若SPA数据包通过校验，第一服务器则可以通过SDP控制器向SDP网关发送第一身份验证信息，并通过SDP控制器向SDP客户端发送授权信息。其中，授权信息包括：第一身份验证信息。第一服务器通过SDP网关接收来自SDP客户端的业务请求消息。其中，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。之后，第一服务器可以确定第二身份验证信息与第一身份验证信息是否相同。若第二身份验证信息与第一身份验证信息相同，第一服务器则可以通过SDP网关向业务系统发送第一业务的标识。这样一来，将SDP控制器和SDP网关部署于第一服务器，业务系统部署于第二服务器。通过第一服务器调用SDP控制器对SPA数据包进行认证，并且调用SDP网关对第二身份验证信息进行再次认证，减少了业务系统的处理资源，降低了业务系统的处理负载。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理，并不构成对本申请的不当限定。

图1A是根据一示例性实施例示出的一种SDP架构的示意图；

图1B是根据一示例性实施例示出的另一种SDP架构的示意图；

图2是根据一示例性实施例示出的一种服务器的结构示意图；

图3是根据一示例性实施例示出的一种业务数据的请求方法的流程图；

图4是根据一示例性实施例示出的另一种业务数据的请求方法的流程图；

图5是根据一示例性实施例示出的另一种业务数据的请求方法的流程图；

图6是根据一示例性实施例示出的另一种业务数据的请求方法的流程图；

图7是根据一示例性实施例示出的一种业务数据的请求装置的结构框图；

图8是根据一示例性实施例示出的另一种业务数据的请求装置的结构框图；

图9是根据一示例性实施例示出的一种业务数据的请求装置的结构示意图；

图10是根据一示例性实施例示出的一种计算机程序产品的概念性局部视图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

本文中字符“/”，一般表示前后关联对象是一种“或者”的关系。例如，A/B可以理解为A或者B。

本申请的说明书和权利要求书中的术语“第一”和“第二”是用于区别不同的对象，而不是用于描述对象的特定顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括其他没有列出的步骤或模块，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。

另外，在本申请实施例中，“示例性的”、或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”、或者“例如”等词旨在以具体方式呈现概念。

在对本申请实施例的业务数据的请求方法进行详细介绍之前，先对本申请实施例的实施环境和应用场景进行介绍。

SDP是由云安全联盟开发的一种安全框架，SDP架构包括：SDP客户端、SDP控制器、SDP网关。SDP可以将网络中的业务数据进行隐藏。当用户访问业务数据时，用户需要通过SDP客户端，向SDP控制器发送SPA数据包进行认证，只有通过认证和授权的SDP客户端才能访问被隐藏的业务数据，极大的提升了系统的安全水平。

如图1A所示，图1A为一种SDP架构的示意图。该SDP架构包括：软件定义边界控制器101、软件定义边界连接发起主机102、软件定义边界连接接受主机103、软件定义边界连接接受主机104。其中，虚线可以用于表示控制信道，实线可以用于表示数据信道。

目前，软件定义边界连接发起主机102部署有SDP客户端，软件定义边界连接接受主机(如103)部署有业务系统105，业务系统105包括：SDP网关。这样一来，可能会导致业务系统的可用资源减少。并且，业务系统105需要通过SDP网关对SDP客户端的身份信息进行认证，增加了业务系统105的处理负载。

为了解决上述问题，本申请实施例提供一种业务数据的请求方法，该方法应用于第一服务器，第一服务器部署有SDP控制器和SDP网关。第一服务器可以通过SDP控制器接收来自SDP客户端的SPA数据包，并且对SPA数据包进行校验。若SPA数据包通过校验，第一服务器则可以通过SDP控制器向SDP网关发送第一身份验证信息，并通过SDP控制器向SDP客户端发送授权信息，授权信息包括：第一身份验证信息。第一服务器可以通过SDP网关接收来自SDP客户端的业务请求消息，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。之后，第一服务器可以通过SDP网关确定第二身份验证信息与第一身份验证信息是否相同。若第二身份验证信息与第一身份验证信息相同，第一服务器则可以通过SDP网关向业务系统发送第一业务的标识，业务系统部署于第二服务器，第二服务器与第一服务器不同。这样一来，将SDP控制器和SDP网关部署于第一服务器，业务系统部署于第二服务器。业务系统无需调用SDP控制器对SPA数据包进行认证，并且无需调用SDP网关对第二身份验证信息进行再次认证，减少了业务系统的处理资源，降低了业务系统的处理负载。

下面对本申请实施例的实施环境进行介绍。

图1B为根据一示例性实施例示出的另一种SDP架构的示意图。该SDP架构包括：第一服务器、终端和第二服务器。

其中，第一服务器部署有SDP控制器和SDP网关。SDP控制器可以用于对终端的身份进行认证和授权，还可以用于向SDP网关和业务系统下发访问策略。其中，访问策略用于指示允许SDP客户端访问的业务数据。SDP控制器还可以用于为配置SDP客户端与SDP网关之间的连接、配置SDP网关与业务系统之间的连接。

在一些实施例中，第一服务器可以是单独的一个服务器，或者，也可以是由多个服务器构成的服务器集群。部分实施方式中，服务器集群还可以是分布式集群。本公开对第一服务器的具体实现方式也不作限制。

终端部署有SDP客户端。SDP客户端可以用于向SDP控制器发送SPA数据包，进行身份认证。SDP客户端还可以用于请求业务数据。

第二服务器部署有业务系统。业务系统包括：代理软件。代理软件可以根据网络连接安全(IP Security)协议，与SDP网关建立加密隧道，并且通过防火墙策略实现对业务系统网络的隐藏。代理软件还可以用于对业务系统进行安全态势监测，并上报至SDP控制器。

需要说明的是，在本申请实施例中，可以由第二服务器执行实施例，还可以由业务系统执行实施例。本申请以业务系统执行实施例为例进行介绍。

第一服务器可以与终端进行有线/无线通信。同理，第一服务器可以与第二服务器进行有线/无线通信。

例如，第一服务器可以通过卫星通信与终端进行通信。又例如，第一服务器可以通过扩频微波通信与终端进行通信。又例如，第一服务器可以通过数传电台通信与终端进行通信。

图2为本公开实施例提供的一种应用本公开所提供方法的服务器的结构示意图。其中，该服务器20包括有处理器201和存储器202。

其中，处理器201可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器201可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processing unit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

存储器202可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器202还可以包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一种可实施的方式中，存储器202中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器201所执行以实现本公开方法实施例提供的业务数据的请求方法。

在一种可实施的方式中，服务器20还可选包括有：外围设备接口203和至少一个外围设备。处理器201、存储器202和外围设备接口203之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口203相连。具体地，外围设备包括：射频电路204、显示屏205、摄像头组件206、音频电路207、定位组件208和电源209中的至少一种。

外围设备接口203可被用于将I/O(Input/Output，输入/输出)相关的至少一个外围设备连接到处理器201和存储器202。在一种可实施的方式中，处理器201、存储器202和外围设备接口203被集成在同一芯片或电路板上；在一些其他实施例中，处理器201、存储器202和外围设备接口203中的任意一个或两个可以在单独的芯片或电路板上实现，本实施例对此不予限定。

射频电路204用于接收和发射RF(Radio Frequency，射频)信号，也称电磁信号。射频电路204通过电磁信号与通信网络以及其他通信设备进行通信。射频电路204将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路204包括：天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路204可以通过至少一种无线通信协议来与其它服务器进行通信。该无线通信协议包括但不限于：城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或Wi-Fi(Wireless Fidelity，无线保真)网络。在一种可实施的方式中，射频电路204还可以包括NFC(Near Field Communication，近距离无线通信)有关的电路，本公开对此不加以限定。

显示屏205用于显示UI(User Interface，用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏205是触摸显示屏时，显示屏205还具有采集在显示屏205的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器201进行处理。此时，显示屏205还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一种可实施的方式中，显示屏205可以为一个，设置服务器20的前面板；显示屏205可以采用LCD(Liquid Crystal Display，液晶显示屏)、OLED(Organic Light-EmittingDiode，有机发光二极管)等材质制备。

摄像头组件206用于采集图像或视频。可选地，摄像头组件206包括前置摄像头和后置摄像头。通常，前置摄像头设置在服务器的前面板，后置摄像头设置在服务器的背面。音频电路207可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波，并将声波转换为电信号输入至处理器201进行处理，或者输入至射频电路204以实现语音通信。出于立体声采集或降噪的目的，麦克风可以为多个，分别设置在服务器20的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器201或射频电路204的电信号转换为声波。扬声器可以是传统的薄膜扬声器，也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时，不仅可以将电信号转换为人类可听见的声波，也可以将电信号转换为人类听不见的声波以进行测距等用途。在一种可实施的方式中，音频电路207还可以包括耳机插孔。

定位组件208用于定位服务器20的当前地理位置，以实现导航或LBS(LocationBased Service，基于位置的服务)。定位组件208可以是基于美国的GPS(GlobalPositioning System，全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。

电源209用于为服务器20中的各个组件进行供电。电源209可以是交流电、直流电、一次性电池或可充电电池。当电源209包括可充电电池时，该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。

本公开提供的一种业务数据的请求方法的执行主体可以为业务数据的请求装置，该装置可以为图2所示的服务器。同时，该装置还可以为该服务器的中央处理器(CentralProcessing Unit，CPU)，或者该服务器中的用于处理数据的控制模块。本申请实施例中以服务器执行业务数据的请求方法为例，说明本申请实施例提供的业务数据的请求方法。

下面结合说明书附图对本申请实施例进行具体说明。

如图3所示，为本申请实施例提供的一种业务数据的请求方法，该方法包括：

S301、软件定义边界客户端向软件定义边界控制器发送单包授权数据包。

在一种可能的设计中，SPA数据包可以包括：用户标识和验证信息。

示例性的，用户标识可以为用户名，验证信息可以为密码。

需要说明的是，在本申请实施例中，对用户标识的字符类型和验证信息的字符类型不作限定。例如，用户标识的字符类型可以为数字(如1247)，验证信息的字符类型可以为数字(如264835)。又例如，用户标识的字符类型可以为英文(如admin)，验证信息的字符类型可以为英文(如password)。又例如，用户标识的字符类型可以为数字和英文结合(如admin123)，验证信息的字符类型可以为数字和英文结合(如pw123)。

在一种可能的实现方式中，SDP客户端可以部署于终端。SDP客户端向SDP控制器发送SPA数据包。

可选的，SPA数据包还可以包括：终端的网络协议(internet protocol，IP)地址和终端的媒体访问控制(media access control，MAC)地址。

S302、第一服务器通过软件定义边界控制器接收来自软件定义边界客户端的单包授权数据包。

在本申请实施例中，第一服务器部署有SDP控制器和SDP网关。

S303、第一服务器通过软件定义边界控制器对单包授权数据包进行校验。

在一种可能的实现方式中，SDP控制器存储有用户标识以及与用户标识相匹配的验证信息。SDP控制器可以根据SPA数据包中携带的用户标识和验证信息，与本地存储的用户标识和本地存储的与用户标识相匹配的验证信息，确定验证信息是否和与用户标识相匹配的验证信息相同。

在一种可能的设计中，若SDP控制器确定SPA数据包中携带的验证信息和与本地存储的用户标识相匹配的验证信息相同，SDP控制器则可以确定SPA数据包通过校验。

示例性的，假如SDP控制器存储有用户标识和与用户标识相匹配的验证信息包括：用户标识为admin、与用户标识相匹配的验证信息为123456。假如SPA数据包中的用户标识为admin，验证信息为123456。SDP控制器则可以确定验证信息和与用户标识相匹配的验证信息相同。SDP控制器则可以确定SPA数据包通过校验。

在另一种可能的设计中，若SDP控制器确定验证信息和与用户标识相匹配的验证信息不相同，SDP控制器则可以确定SPA数据包未通过校验。

示例性的，假如SDP控制器存储有用户标识和与用户标识相匹配的验证信息包括：用户标识为admin、与用户标识相匹配的验证信息为123456。假如SPA数据包中的用户标识为admin，验证信息为123123。SDP控制器则可以确定验证信息和与用户标识相匹配的验证信息不相同。SDP控制器则可以确定SPA数据包未通过校验。

在一些实施例中，若SPA数据包未通过校验，第一服务器则可以通过SDP控制器对SPA数据包进行拦截，并且可以通过SDP控制器向SDP客户端发送第一反馈消息。其中，第一反馈消息用于指示SPA数据包未通过校验。

示例性的，假如第一服务器通过SDP控制器确定SPA数据包未通过校验。第一服务器则可以通过SDP控制器拦截SPA数据包，并且第一服务器可以通过SDP控制器向SDP客户端发送“用户标识与验证信息不匹配”(第一反馈消息)。

在一些实施例中，若SPA数据包通过校验，第一服务器则可以执行S304-S305。

S304、第一服务器通过软件定义边界控制器向软件定义边界网关发送第一身份验证信息。

在一种可能的实现方式中，SDP控制器存储有目标网关地址。其中，目标网关地址为SDP网关的网关地址。SDP控制器可以根据目标网关地址，向SDP网关发送第一身份验证信息。

在本申请实施例中，在第一服务器通过SDP控制器向SDP网关发送第一身份验证信息之后，SDP网关可以接收来自SDP控制器的第一身份验证信息。

S305、第一服务器通过软件定义边界控制器向软件定义边界客户端发送授权信息。

其中，授权信息包括：第一身份验证信息。

可选的，授权信息还可以包括：目标网关地址。

在一种可能的实现方式中，SDP控制器可以根据终端的IP地址和终端的MAC地址向终端中的SDP客户端发送授权信息。

在本申请实施例中，在第一服务器通过SDP控制器向SDP客户端发送授权信息之后，SDP客户端可以接收来自SDP控制器的授权信息。

需要说明的是，在本申请实施例中，对于S304和S305的执行顺序不作限定。例如，第一服务器可以先执行S304，再执行S305。又例如，第一服务器可以先执行S305，再执行S304。

S306、软件定义边界客户端向软件定义边界网关发送业务请求消息。

其中，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。

需要说明的是，在本申请实施例中，对于第一业务的标识不作限定。例如，第一业务的标识可以为中文(如标识一)。又例如，第一业务的标识可以为数字(如1)。又例如，第一业务的标识可以为英文(如a)。

在一种可能的实现方式中，SDP客户端可以根据目标网关地址，确定SDP网关。SDP客户端可以向SDP网关发送业务请求消息。

S307、第一服务器通过软件定义边界网关接收来自软件定义边界客户端的业务请求消息。

S308、第一服务器通过软件定义边界网关确定第二身份验证信息与第一身份验证信息是否相同。

在一种可能的实现方式中，SDP网关存储有第一身份验证信息。SDP网关可以确定第二身份验证信息与第一身份验证信息是否相同。

在一些实施例中，若第二身份验证信息与第一身份验证信息相同，第一服务器则可以执行S309。

需要说明的是，在本申请实施例中，若第二身份验证信息与第一身份验证信息相同，则说明SDP控制器允许SDP客户端通过SDP网关访问业务数据。

在一些实施例中，若第二身份验证信息与第一身份验证信息不相同，第一服务器则可以通过SDP网关对业务请求消息进行拦截，并且可以通过SDP网关向SDP客户端发送第二反馈消息。其中，第二反馈消息用于指示拒绝SDP客户端访问业务数据。

示例性的，假如第一服务器通过SDP网关确定第二身份验证信息与第一身份验证信息不相同。第一服务器则可以通过SDP网关拦截业务请求消息，并且第一服务器可以通过SDP网关向SDP客户端发送“未查询到该身份验证信息”(第二反馈消息)。

在一些实施例中，在第一服务器通过SDP网关确定第二身份验证信息与第一身份验证信息相同之后，SDP网关还可以根据预设加密协议，与SDP客户端建立加密隧道。

需要说明的是，在本申请实施例中，对于预设加密协议不作限定。例如，预设加密协议可以为安全传输层(transport layer security，TLS)协议。又例如，预设加密协议可以为安全套接层(secure sockets layer，SSL)协议。又例如，预设加密协议可以为超文本传输安全(hypertext transfer protocol secure，HTTPS)协议。

S309、第一服务器通过软件定义边界网关向业务系统发送第一业务的标识。

其中，业务系统部署于第二服务器，第二服务器与第一服务器不同。

在本申请实施例中，在第一服务器通过SDP网关向业务系统发送第一业务的标识之后，业务系统可以执行S310-S312。

S310、业务系统接收来自软件定义边界网关的第一业务的标识。

S311、业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据。

在一种可能的实现方式中，业务系统可以根据第一业务的标识，确定业务系统存储的业务数据中是否存在第一业务的业务数据。若业务系统存储的业务数据中存在第一业务的业务数据，业务系统则可以确定第一业务的业务数据。

示例性的，假如业务系统存储的业务数据包括：业务一的业务数据、业务二的业务数据、业务三的业务数据。假如第一业务的标识为业务一，业务系统则可以确定业务系统存储的业务数据中存在第一业务的业务数据。假如第一业务的标识为业务四，业务系统则可以确定业务系统存储的业务数据中未存在第一业务的业务数据。

S312、业务系统向软件定义边界网关发送第一业务的业务数据。

在本申请实施例中，若业务系统存储的业务数据中存在第一业务的业务数据，业务系统则可以向SDP网关发送第一业务的业务数据。

在一些实施例中，在业务系统向SDP网关发送第一业务的业务数据之后，SDP网关可以接收来自业务系统的第一业务的业务数据。之后，SDP网关可以向SDP客户端发送第一业务的业务数据。SDP客户端可以接收来自SDP网关的第一业务的业务数据。

可以理解的是，SDP客户端可以向SDP控制器发送SPA数据包。第一服务器可以通过SDP控制器接收来自SDP客户端的SPA数据包。之后，第一服务器可以通过SDP控制器对SPA数据包进行校验。若SPA数据包通过验证，第一服务器则可以通过SDP控制器向SDP网关发送第一身份验证信息，并可以通过SDP控制器向SDP客户端发送授权信息。其中，授权信息包括：第一身份验证信息。之后，SDP客户端可以向SDP网关发送业务请求消息，业务请求消息用于请求第一业务的业务数据。第一服务器可以通过SDP网关接收来自SDP客户端的业务请求消息。第一服务器可以通过SDP网关确定第二身份验证信息与第一身份验证信息是否相同。若第二身份验证信息与第一身份验证信息相同，第一服务器可以通过SDP网关向业务系统发送第一业务的标识。其中，业务系统部署于第二服务器，第二服务器与第一服务器不同。业务系统可以接收来自SDP网关的第一业务的标识。之后，业务系统可以向SDP网关发送第一业务的业务数据，第一业务的业务数据为业务系统存储的业务数据。这样一来，将SDP控制器和SDP网关部署于第一服务器，业务系统部署于第二服务器。通过第一服务器调用SDP控制器对SPA数据包进行认证，并且调用SDP网关对第二身份验证信息进行再次认证，减少了业务系统的处理资源，降低了业务系统的处理负载。

在本申请实施例中，授权信息还可以包括：业务权限信息。其中，业务权限信息用于指示允许SDP客户端访问的第二业务数据。

示例性的，假如允许SDP客户端访问的第二业务数据包括：业务一的业务数据、业务二的业务数据、业务三的业务数据。业务权限信息则包括：业务一的业务数据、业务二的业务数据、业务三的业务数据。

如图4所示，在S303之后，若SPA数据包通过验证，该业务数据的请求方法还可以包括：

S401、第一服务器通过软件定义边界控制器向业务系统发送业务权限信息。

也就是说，若SPA数据包通过验证，第一服务器则可以通过SDP控制器向业务系统发送业务权限信息。

可以理解的是，授权信息还可以包括：业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据。在第一服务器通过SDP控制器对SPA数据包进行校验之后，若SPA数据包通过校验，第一服务器则可以通过SDP控制器向业务系统发送业务权限信息。这样一来，业务系统可以通过业务权限信息，确定允许SDP客户端访问的第二业务数据。

在一些实施例中，如图4所示，在S310之后，该业务数据的请求方法还可以包括：S402-S404。

S402、业务系统可以接收来自软件定义边界控制器的业务权限信息。

需要说明的是，在本申请实施例中，对于S402的执行顺序不作限定。例如，在第一服务器通过SDP控制器向业务系统发送业务权限信息(S401)之后，业务系统可以执行S402。又例如，在业务系统接收来自SDP网关的第一业务的标识(S310)之前，业务系统可以执行S402。又例如，在业务系统接收来自SDP网关的第一业务的标识(S310)之后，业务系统可以执行S402。

S403、业务系统根据业务权限信息和第一业务的标识，确定第二业务数据中是否包括第一业务的业务数据。

示例性的，假如业务权限信息包括：业务一的业务数据、业务二的业务数据、业务三的业务数据。假如第一业务的标识为业务一，业务系统则可以确定第二业务数据中包括第一业务的业务数据。假如第一业务的标识为业务二，业务系统则可以确定第二业务数据中未包括第一业务的业务数据。

在一些实施例中，若第二业务数据中包括第一业务的业务数据，业务系统则可以执行S404。

S404、业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务。

需要说明的是，在本申请实施例中，对于“业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务”的介绍，可以参考S311中对“业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据”的描述，此处不予赘述。

也就是说，若业务系统存储的业务数据中存在第一业务的业务数据，且第二业务数据中也存在第一业务的业务数据，业务系统则可以根据第一业务的标识，从业务系统存储的业务数据中确定第一业务。

可以理解的是，在第一服务器通过SDP控制器向业务系统发送业务权限信息之后，业务系统可以接收来自SDP控制器的业务权限信息。业务系统可以根据业务权限信息和第一业务的标识，确定第二业务数据中是否包括第一业务的业务数据。若第二业务数据中包括第一业务的业务数据，业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务。如此，业务系统可以确定允许SDP客户端访问的第二业务数据，对第一业务的标识进行查找，确定第一业务是否允许SDP客户端访问。这样一来，保障了SDP客户端请求业务数据的安全性。

在一些实施例中，业务系统可以确定业务系统的安全等级信息。之后，业务系统可以向SDP控制器发送安全等级信息。

其中，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。

需要说明的是，在本申请实施例中，若安全等级信息为第一等级信息，则说明业务系统正常，业务系统存储的业务数据则均允许被访问。若安全等级信息为第二等级信息，则说明业务系统存在风险，业务系统存储的业务数据则均不允许被访问。

在一种可能的实现方式中，业务系统包括：代理软件。代理软件可以监测业务系统的安全状态，确定业务系统的安全等级信息。

示例性的，代理软件可以为Agent代理软件。

可以理解的是，业务系统可以确定业务系统的安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。之后，业务系统可以向SDP控制器发送安全等级信息。这样一来，SDP控制器可以根据安全等级信息，对业务权限信息进行调整，保障了业务数据请求的安全性。

在本申请实施例中，在业务系统向SDP控制器发送安全等级信息之后，第一服务器可以通过SDP控制器接收来自业务系统的安全等级信息。之后，第一服务器可以通过SDP控制器根据安全等级信息，生成业务权限信息。

在一种可能的实现方式中，若安全等级信息为第一等级信息，SDP控制器则可以确定第二业务数据的数据量。之后，SDP控制器可以根据第二业务数据的数据量，生成业务权限信息。

在一种可能的设计中，若安全等级信息为第一等级信息，则第二业务数据的数据量为第一数值。

需要说明的是，在本申请实施例中，第一数值可以为0。也就是说，业务系统存储的业务数据中未存在允许SDP客户端访问的第二业务数据。或者，第一数值可以为正整数。也就是说，业务系统存储的业务数据中存在允许SDP客户端访问的第二业务数据。

示例性的，假如业务系统存储的业务数据包括：业务一的业务数据、业务二的业务数据、业务三的业务数据、业务四的业务数据、业务五的业务数据。假如第一数值为0，则第二业务数据的数据量为0，则业务权限信息中无数据。假如第一数值为2，则第二业务数据的数据量为2，则业务权限信息中可能包括：业务一的业务数据、业务二的业务数据。

在另一种可能的设计中，若安全等级信息为第二等级信息，则第二业务数据的数据量为第二数值。其中，第一数值大于第二数值。

需要说明的是，在本申请实施例中，若安全等级信息为第二等级信息，业务系统存储的业务数据则均不允许被访问。因此，第二数值为0。

可以理解的是，在业务系统向SDP控制器发送安全等级信息之后，第一服务器可以通过SDP控制器接收来自业务系统的安全等级信息。之后，第一服务器可以通过SDP控制器根据安全等级信息，生成业务权限信息。其中，若安全等级信息为第一等级信息，则第二业务数据的数据量为第一数值。若安全等级信息为第二等级信息，则第二业务数据的数据量为第二数值。其中，第一数值大于第二数值。这样一来，SDP控制器可以对业务权限信息进行调整，对访问权限进行二次验证，提高了请求业务数据的安全性。

在一些实施例中，如图5所示，该业务数据的请求方法，可以应用于第一服务器，第一服务器部署有SDP控制器和SDP网关。该方法还可以包括：S501-S507。

S501、第一服务器通过软件定义边界控制器接收来自软件定义边界客户端的单包授权数据包。

需要说明的是，在本申请实施例中，对于第一服务器通过SDP控制器接收来自SDP客户端的SPA数据包的介绍，可以参考S302中对第一服务器通过SDP控制器接收来自SDP客户端的SPA数据包的描述，此处不予赘述。

S502、第一服务器通过软件定义边界控制器对单包授权数据包进行校验。

需要说明的是，在本申请实施例中，对于第一服务器通过SDP控制器对SPA数据包进行校验的介绍，可以参考S303中对第一服务器通过SDP控制器对SPA数据包进行校验的描述，此处不予赘述。

在一些实施例中，若SPA数据包通过校验，第一服务器则可以执行S503。

S503、第一服务器通过软件定义边界控制器向软件定义边界网关发送第一身份验证信息。

需要说明的是，在本申请实施例中，对于第一服务器通过软件定义边界控制器向软件定义边界网关发送第一身份验证信息的介绍，可以参考S304中对第一服务器通过软件定义边界控制器向软件定义边界网关发送第一身份验证信息的描述，此处不予赘述。

S504、第一服务器通过软件定义边界控制器向软件定义边界客户端发送授权信息。

其中，授权信息包括：第一身份验证信息。

可选的，授权信息还可以包括：目标网关地址。其中，目标网关地址为SDP网关的网关地址。

需要说明的是，在本申请实施例中，对于第一服务器通过SDP控制器向SDP客户端发送授权信息的介绍，可以参考S305中对第一服务器通过软件定义边界控制器向软件定义边界客户端发送授权信息的描述，此处不予赘述。

S505、第一服务器通过软件定义边界网关接收来自软件定义边界客户端的业务请求消息。

其中，业务请求消息包括：第二身份验证信息和第一业务的标识。业务请求消息用于请求第一业务的业务数据。

需要说明的是，在本申请实施例中，对于第一服务器通过SDP网关接收来自SDP客户端的业务请求消息的介绍，可以参考S307中对第一服务器通过SDP网关接收来自SDP客户端的业务请求消息的描述，此处不予赘述。

S506、第一服务器通过软件定义边界网关确定第二身份验证信息与第一身份验证信息是否相同。

需要说明的是，在本申请实施例中，对于第一服务器确定第二身份验证信息与第一身份验证信息是否相同的介绍，可以参考S308中对第一服务器确定第二身份验证信息与第一身份验证信息是否相同的描述，此处不予赘述。

在一些实施例中，若第二身份验证信息与第一身份验证信息相同，第一服务器则可以执行S507。

S507、第一服务器通过软件定义边界网关向业务系统发送第一业务的标识。

其中，业务系统部署于第二服务器，第二服务器与第一服务器不同。

需要说明的是，在本申请实施例中，对于第一服务器确定第二身份验证信息与第一身份验证信息是否相同的介绍，可以参考S309中对第一服务器通过SDP网关向业务系统发送第一业务的标识的描述，此处不予赘述。

可以理解的是，该业务数据的请求方法可以应用于第一服务器。第一服务器可以通过SDP控制器接收来自SDP客户端的SPA数据包。之后，第一服务器可以通过SDP控制器对SPA数据包进行校验。若SPA数据包通过校验，第一服务器则可以通过SDP控制器向SDP网关发送第一身份验证信息，并通过SDP控制器向SDP客户端发送授权信息。其中，授权信息包括：第一身份验证信息。第一服务器通过SDP网关接收来自SDP客户端的业务请求消息。其中，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。之后，第一服务器可以确定第二身份验证信息与第一身份验证信息是否相同。若第二身份验证信息与第一身份验证信息相同，第一服务器则可以通过SDP网关向业务系统发送第一业务的标识。这样一来，将SDP控制器和SDP网关部署于第一服务器，业务系统部署于第二服务器。通过第一服务器调用SDP控制器对SPA数据包进行认证，并且调用SDP网关对第二身份验证信息进行再次认证，减少了业务系统的处理资源，降低了业务系统的处理负载。

在一些实施例中，如图6所示，该业务数据的请求方法，可以应用于第二服务器，第二服务器部署有业务系统。该方法还可以包括：S601-S603。

需要说明的是，在本申请实施例中，可以由第二服务器执行该方法，还可以由业务系统执行该方法。本申请以业务系统执行该方法为例进行介绍。

S601、业务系统接收来自软件定义边界网关的第一业务的标识。

其中，SDP网关部署在第一服务器，第二服务器与第一服务器不同。

需要说明的是，在本申请实施例中，对于业务系统接收来自SDP网关的第一业务的标识的介绍，可以参考S310中对业务系统接收来自SDP网关的第一业务的标识的描述，此处不予赘述。

S602、业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据。

需要说明的是，在本申请实施例中，对于“业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据”的介绍，可以参考S311中对“业务系统根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据”的描述，此处不予赘述。

S603、业务系统向软件定义边界网关发送第一业务的业务数据。

需要说明的是，在本申请实施例中，对于“业务系统向SDP网关发送第一业务的业务数据”的介绍，可以参考S312中对“业务系统向SDP网关发送第一业务的业务数据”的描述，此处不予赘述。

可以理解的是，业务系统可以接收来自SDP网关的第一业务的标识。之后，业务系统可以根据第一业务的标识，从业务系统存储的业务数据中确定第一业务的业务数据。业务系统向SDP网关发送第一业务的业务数据。这样一来，业务系统只需要确定第一业务的业务数据，并向SDP网关发送第一业务的业务数据，减少了业务系统的处理负载。

下面结合具体实施例对本申请的业务数据的请求方法进行介绍。结合图1B，企业员工可以在终端安装SDP客户端，员工通过SDP客户端向SDP控制器发送SPA单包，SPA单包可以包括员工的身份信息、终端信息。SDP控制器可以接收来自SDP客户端的SPA单包，并且对SPA单包进行验证。若SPA单包通过验证，SDP控制器可以向SDP客户端发送SDP网关的网关地址和第一身份证书，SDP控制器还可以向SDP网关发送第二身份证书，SDP控制器还可以向业务系统发送访问权限信息。其中，访问权限信息用于指示允许SDP客户端访问的第二业务数据，业务系统包括：代理软件。

之后，SDP客户端可以向SDP网关发送业务请求消息，业务请求消息包括：第二身份证书和第一业务的标识，业务请求消息用于其你去第一业务的业务数据。SDP网关可以接收来自SDP客户端的业务请求消息，并且可以确定第二身份证书与第一身份证书是否相同。若第二身份证书与第一身份证书相同，SDP网关则可以向业务系统发送第一业务的标识。业务系统可以接收来自SDP网关的第一业务的标识。业务系统可以通过代理软件确认第二业务数据中是否存在第一业务的业务数据。若第二业务数据中存在第一业务的业务数据，业务系统则可以通过SDP网关，向SDP客户端发送第一业务的业务数据。

上述主要从计算机设备的角度对本申请实施例提供的方案进行了介绍。可以理解的是，计算机设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请所公开的实施例描述的各示例的业务数据的请求方法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例还提供一种业务数据的请求装置。该业务数据的请求装置可以为计算机设备，也可以是上述计算机设备中的CPU，还可以是上述计算机设备中用于请求业务数据的模块，还可以是上述计算机设备中用于请求业务数据的客户端。

本申请实施例可以根据上述方法示例对业务数据的请求进行功能模块或者功能单元的划分，例如，可以对应各个功能划分各个功能模块或者功能单元，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块或者功能单元的形式实现。其中，本申请实施例中对模块或者单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

如图7所示，为本申请实施例提供的一种业务数据的请求装置的结构示意图。该装置应用于第一服务器，第一服务器部署有软件定义边界SDP控制器和SDP网关。业务数据的请求装置用于执行图3、图4和图5所示的业务数据的请求方法。业务数据的请求装置可以包括SDP控制器701和SDP网关702。

SDP控制器701，用于接收来自SDP客户端的单包授权SPA数据包。SDP控制器701，用于对SPA数据包进行校验。SDP控制器701，用于若SPA数据包通过校验，则向SDP网关702发送第一身份验证信息，并向SDP客户端发送授权信息，授权信息包括：第一身份验证信息。SDP网关702，还用于接收来自SDP客户端的业务请求消息，业务请求消息包括：第二身份验证信息和第一业务的标识，业务请求消息用于请求第一业务的业务数据。SDP网关702，还用于若第二身份验证信息与第一身份验证信息相同，则向业务系统发送第一业务的标识，业务系统部署于第二服务器，第二服务器与第一服务器不同。

可选的，授权信息还包括：业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据。SDP控制器701，还用于若SPA数据包通过校验，则向业务系统发送业务权限信息。

可选的，SDP控制器701，还用于接收来自业务系统的安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。SDP控制器701，还用于根据安全等级信息，生成业务权限信息。其中，若安全等级信息为第一等级信息，则第二业务数据的数据量为第一数值。若安全等级信息为第二等级信息，则第二业务数据的数据量为第二数值，第一数值大于第二数值。

如图8所示，为本申请实施例提供的另一种业务数据的请求装置的结构示意图。该装置应用于第二服务器，第二服务器部署有业务系统。第一服务器部署有SDP控制器和SDP网关，第二服务器与第一服务器不同。业务数据的请求装置用于执行图3、图4和图6所示的业务数据的请求方法。业务数据的请求装置可以包括接收单元801和发送单元802。

接收单元801，用于接收来自软件定义边界SDP网关的第一业务的标识。发送单元802，用于向SDP网关发送第一业务的业务数据，第一业务的业务数据为业务系统存储的业务数据中的业务数据。

可选的，接收单元801，还用于接收来自SDP控制器的业务权限信息，业务权限信息用于指示允许SDP客户端访问的第二业务数据，SDP控制器部署在第一服务器。发送单元802，具体用于若第二业务数据中包括第一业务的业务数据，则向SDP网关发送第一业务的业务数据。

可选的，发送单元802，还用于向SDP控制器发送安全等级信息，安全等级信息包括：第一等级信息或第二等级信息，第一等级信息用于指示业务系统正常，第二等级信息用于指示业务系统存在风险。

图9是根据一示例性实施例示出的一种业务数据的请求装置的硬件结构示意图。该业务数据的请求装置可以包括处理器901，处理器901用于执行应用程序代码，从而实现本申请中的业务数据的请求方法。

处理器901可以是一个中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

如图9所示，业务数据的请求装置还可以包括存储器902。其中，存储器902用于存储执行本申请方案的应用程序代码，并由处理器901来控制执行。

存储器902可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器902可以是独立存在，通过总线904与处理器901相连接。存储器902也可以和处理器901集成在一起。

如图9所示，业务数据的请求装置还可以包括通信接口903，其中，处理器901、存储器902、通信接口903可以相互耦合，例如，通过总线904相互耦合。通信接口903用于与其他设备进行信息交互，例如支持业务数据的请求装置与其他装置的信息交互。

需要指出的是，图9中示出的装置结构并不构成对该业务数据的请求装置的限定，除图9所示部件之外，该业务数据的请求装置可以包括比图示更多或更少的部件，或者组合某些部件，或者不相同的部件布置。

在实际实现时，发送单元802所实现的功能可以由图9所示的处理器901调用存储器902中的程序代码来实现。

本申请还提供了一种计算机可读存储介质，计算机可读存储介质上存储有指令，当计算机可读存储介质中的指令由计算机设备的处理器执行时，使得计算机能够执行上述所示实施例提供的业务数据的请求方法。例如，计算机可读存储介质可以为包括指令的存储器902，上述指令可由计算机设备的处理器901执行以完成上述方法。可选地，计算机可读存储介质可以是非临时性计算机可读存储介质，例如，非临时性计算机可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

图10示例性地示出本申请实施例提供的计算机程序产品的概念性局部视图，计算机程序产品包括用于在计算设备上执行计算机进程的计算机程序。

在一个实施例中，计算机程序产品是使用信号承载介质1000来提供的。信号承载介质1000可以包括一个或多个程序指令，其当被一个或多个处理器运行时可以提供以上针对图3、图4、图5和图6描述的功能或者部分功能。因此，例如，参考图3中所示的实施例，S301～S312的一个或多个特征可以由与信号承载介质1000相关联的一个或多个指令来承担。此外，图10中的程序指令也描述示例指令。

在一些示例中，信号承载介质1000可以包含计算机可读介质1001，诸如但不限于，硬盘驱动器、紧密盘(CD)、数字视频光盘(DVD)、数字磁带、存储器、只读存储记忆体(read-only memory，ROM)或随机存储记忆体(random access memory，RAM)等等。

在一些实施方式中，信号承载介质1000可以包含计算机可记录介质1002，诸如但不限于，存储器、读/写(R/W)CD、R/W DVD、等等。

在一些实施方式中，信号承载介质1000可以包含通信介质1003，诸如但不限于，数字和/或模拟通信介质(例如，光纤电缆、波导、有线通信链路、无线通信链路、等等)。

信号承载介质1000可以由无线形式的通信介质1003来传达。一个或多个程序指令可以是，例如，计算机可执行指令或者逻辑实施指令。

在一些示例中，诸如针对图7和图8描述的业务数据的请求装置可以被配置为响应于通过计算机可读介质1001、计算机可记录介质1002、和/或通信介质1003中的一个或多个程序指令，提供各种操作、功能、或者动作。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不相同的功能模块完成，即将装置的内部结构划分成不相同的功能模块，以完成以上描述的全分类部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不相同地方。可以根据实际的需要选择其中的部分或者全分类部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全分类部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全分类部或部分步骤。而前述的存储介质包括-U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (14)

1.一种业务数据的请求方法，其特征在于，应用于第一服务器，所述第一服务器部署有软件定义边界SDP控制器和SDP网关；所述方法包括：

通过所述SDP控制器接收来自SDP客户端的单包授权SPA数据包；

通过所述SDP控制器对所述SPA数据包进行校验；

若所述SPA数据包通过校验，则通过所述SDP控制器向所述SDP网关发送第一身份验证信息，并通过所述SDP控制器向所述SDP客户端发送授权信息，所述授权信息包括：所述第一身份验证信息；

通过所述SDP网关接收来自所述SDP客户端的业务请求消息，所述业务请求消息包括：第二身份验证信息和第一业务的标识，所述业务请求消息用于请求所述第一业务的业务数据；

若所述第二身份验证信息与所述第一身份验证信息相同，则通过所述SDP网关向业务系统发送所述第一业务的标识，所述业务系统部署于第二服务器，所述第二服务器与所述第一服务器不同。

2.根据权利要求1所述的方法，其特征在于，所述授权信息还包括：业务权限信息，所述业务权限信息用于指示允许所述SDP客户端访问的第二业务数据；在所述通过所述SDP控制器对所述SPA数据包进行校验之后，所述方法还包括：

若所述SPA数据包通过校验，则通过所述SDP控制器向所述业务系统发送业务权限信息。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

通过所述SDP控制器接收来自所述业务系统的安全等级信息，所述安全等级信息包括：第一等级信息或第二等级信息，所述第一等级信息用于指示所述业务系统正常，所述第二等级信息用于指示所述业务系统存在风险；

通过所述SDP控制器根据所述安全等级信息，生成所述业务权限信息；其中，

若所述安全等级信息为所述第一等级信息，则所述第二业务数据的数据量为第一数值；若所述安全等级信息为所述第二等级信息，则所述第二业务数据的数据量为第二数值，所述第一数值大于所述第二数值。

4.一种业务数据的请求方法，其特征在于，应用于第二服务器，所述第二服务器部署有业务系统；第一服务器部署有SDP控制器和SDP网关，所述第二服务器与所述第一服务器不同，所述方法包括：

接收来自所述SDP网关的第一业务的标识；所述第一业务标识来自所述SDP网关接收的SDP客户端发送的业务请求消息；所述业务请求消息包括：第二身份验证信息和所述第一业务的标识；所述业务请求消息用于请求所述第一业务的业务数据；

向所述SDP网关发送所述第一业务的业务数据，所述第一业务的业务数据为所述业务系统存储的业务数据。

5.根据权利要求4所述的方法，其特征在于，在所述向所述SDP网关发送所述第一业务的业务数据之前，所述方法还包括：

接收来自SDP控制器的业务权限信息，所述业务权限信息用于指示允许SDP客户端访问的第二业务数据，所述SDP控制器部署在所述第一服务器；

所述向所述SDP网关发送所述第一业务的业务数据，包括：

若所述第二业务数据中包括所述第一业务的业务数据，则向所述SDP网关发送所述第一业务的业务数据。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

向所述SDP控制器发送安全等级信息，所述安全等级信息包括：第一等级信息或第二等级信息，所述第一等级信息用于指示所述业务系统正常，所述第二等级信息用于指示所述业务系统存在风险。

7.一种业务数据的请求装置，其特征在于，应用于第一服务器，所述第一服务器部署有SDP控制器和SDP网关；

所述SDP控制器，用于接收来自SDP客户端的单包授权SPA数据包；

所述SDP控制器，还用于对所述SPA数据包进行校验；

所述SDP控制器，还用于若所述SPA数据包通过校验，则向所述SDP网关发送第一身份验证信息，并向所述SDP客户端发送授权信息，所述授权信息包括：所述第一身份验证信息；

所述SDP网关，用于接收来自所述SDP客户端的业务请求消息，所述业务请求消息包括：第二身份验证信息和第一业务的标识，所述业务请求消息用于请求所述第一业务的业务数据；

所述SDP网关，还用于若所述第二身份验证信息与所述第一身份验证信息相同，则向业务系统发送所述第一业务的标识，所述业务系统部署于第二服务器，所述第二服务器与所述第一服务器不同。

8.根据权利要求7所述的装置，其特征在于，所述授权信息还包括：业务权限信息，所述业务权限信息用于指示允许所述SDP客户端访问的第二业务数据；

所述SDP控制器，还用于若所述SPA数据包通过校验，则向所述业务系统发送业务权限信息。

9.根据权利要求8所述的装置，其特征在于，

所述SDP控制器，还用于接收来自所述业务系统的安全等级信息，所述安全等级信息包括：第一等级信息或第二等级信息，所述第一等级信息用于指示所述业务系统正常，所述第二等级信息用于指示所述业务系统存在风险；

所述SDP控制器，还用于根据所述安全等级信息，生成所述业务权限信息；其中，

若所述安全等级信息为所述第一等级信息，则所述第二业务数据的数据量为第一数值；若所述安全等级信息为所述第二等级信息，则所述第二业务数据的数据量为第二数值，所述第一数值大于所述第二数值。

10.一种业务数据的请求装置，其特征在于，应用于第二服务器，所述第二服务器部署有业务系统；第一服务器部署有SDP控制器和SDP网关，所述第二服务器与所述第一服务器不同；所述装置包括：

接收单元，用于接收来自软件定义边界SDP网关的第一业务的标识；所述第一业务标识来自所述SDP网关接收的SDP客户端发送的业务请求消息；所述业务请求消息包括：第二身份验证信息和所述第一业务的标识；所述业务请求消息用于请求所述第一业务的业务数据；

发送单元，用于向所述SDP网关发送所述第一业务的业务数据，所述第一业务的业务数据为所述业务系统存储的业务数据。

11.根据权利要求10所述的装置，其特征在于，

所述接收单元，还用于接收来自SDP控制器的业务权限信息，所述业务权限信息用于指示允许SDP客户端访问的第二业务数据，所述SDP控制器部署在所述第一服务器；

所述发送单元，具体用于若所述第二业务数据中包括所述第一业务的业务数据，则向所述SDP网关发送所述第一业务的业务数据。

12.根据权利要求11所述的装置，其特征在于，

所述发送单元，还用于向所述SDP控制器发送安全等级信息，所述安全等级信息包括：第一等级信息或第二等级信息，所述第一等级信息用于指示所述业务系统正常，所述第二等级信息用于指示所述业务系统存在风险。

13.一种业务数据的请求装置，其特征在于，包括：处理器和存储器；所述处理器和所述存储器耦合；所述存储器用于存储一个或多个程序，该一个或多个程序包括计算机执行指令，当该业务数据的请求装置运行时，处理器执行该存储器存储的该计算机执行指令，以使该业务数据的请求装置执行如权利要求1-3或者权利要求4-6中任一项所述的业务数据的请求方法。

14.一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，其特征在于，当计算机执行该指令时，该计算机执行如权利要求1-3或者权利要求4-6中任一项所述的业务数据的请求方法。