CN115883191A - 企业内网的通信方法、计算机可读存储介质和通信系统 - Google Patents
企业内网的通信方法、计算机可读存储介质和通信系统 Download PDFInfo
- Publication number
- CN115883191A CN115883191A CN202211511509.3A CN202211511509A CN115883191A CN 115883191 A CN115883191 A CN 115883191A CN 202211511509 A CN202211511509 A CN 202211511509A CN 115883191 A CN115883191 A CN 115883191A
- Authority
- CN
- China
- Prior art keywords
- target
- server
- information
- tunnel
- authenticated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种企业内网的通信方法、计算机可读存储介质和通信系统。该方法包括:服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,目标网络隧道为企业内部网络用于通信的隧道;服务器对待认证信息进行认证,并得到认证结果;服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器,其中,目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
Description
技术领域
本申请涉及数据通信领域,具体而言,涉及一种企业内网的通信方法、服务器、计算机可读存储介质和通信系统。
背景技术
随着企业信息化系统的推广和应用,对业务系统的体验性和访问高效性提出了更高要求,在系统的使用过程中,对于信息化系统的安装调试、浏览器统一认证、兼容性和安全性等方面有着迫切的需求。由于企业内部轻应用系统依赖于三方浏览器访问,容易造成数据泄露导致企业内部的应用系统被攻击。
发明内容
本申请的主要目的在于提供一种企业内网的通信方法、服务器、计算机可读存储介质和通信系统,以解决现有技术中由于企业内部轻应用系统依赖于三方浏览器访问,容易造成数据泄露导致企业内部的应用系统被攻击的问题。
根据本发明实施例的一个方面,提供了一种企业内网的通信方法,包括:服务器获取目标客户端发送的访问请求,所述服务器和所述目标客户端之间通过目标网络隧道通信,所述目标网络隧道为企业内部网络用于通信的隧道,所述访问请求中还包括所述目标客户端的待认证信息;所述服务器对所述待认证信息进行认证,并得到认证结果;所述服务器在所述认证结果表征认证通过的情况下,响应所述访问请求,控制目标浏览器开启以使得所述目标客户端访问所述服务器,其中,所述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
可选地,所述待认证信息包括隧道待认证信息和用户待认证信息,所述隧道待认证信息至少包括隧道ID信息,所述用户待认证信息至少包括用户名和密码,所述服务器对所述待认证信息进行认证,并得到认证结果,包括:所述服务器对所述隧道待认证信息进行认证,得到第一认证结果;所述服务器在所述第一认证结果表征认证通过的情况下,对所述用户待认证信息进行认证,得到第二认证结果。
可选地,所述服务器对所述隧道待认证信息进行认证,得到第一认证结果,包括:所述服务器确定所述隧道待认证信息与参考隧道认证信息是否相同,所述参考隧道认证信息存储在目标数据库中;所述服务器在所述隧道待认证信息与所述参考隧道认证信息相同的情况下,确定所述隧道待认证信息认证通过;所述服务器在所述隧道待认证信息与所述参考隧道认证信息不相同的情况下,确定所述隧道待认证信息认证未通过;所述服务器在所述第一认证结果表征认证通过的情况下,对所述用户待认证信息进行认证,得到第二认证结果,包括:所述服务器确定所述用户待认证信息与参考用户认证信息是否相同,所述参考用户认证信息存储在所述目标数据库中;所述服务器在所述用户待认证信息与所述参考用户认证信息相同的情况下,确定所述用户待认证信息认证通过;所述服务器在所述用户待认证信息与所述参考用户认证信息不相同的情况下,确定所述用户待认证信息认证未通过。
可选地,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:所述服务器获取目标文件的重要等级;所述服务器在所述目标文件的重要等级为第一重要等级的情况下,在接收到所述目标客户端发送的下载请求时,确定不允许所述目标客户端下载所述目标文件,只允许所述目标客户端在线查看所述目标文件,并在所述目标客户端在线查看所述目标文件时在所述目标文件中添加水印;所述服务器在所述目标文件的重要等级为第二重要等级的情况下,在接收到所述目标客户端发送的所述下载请求时,确定允许所述目标客户端下载所述目标文件,并将所述目标文件发送至所述目标客户端,其中,所述第一重要等级的重要程度高于所述第二重要等级的重要程度。
可选地,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:所述服务器对所述目标客户端隐藏所述目标浏览器的浏览器地址;所述服务器对所述目标客户端隐藏所述目标浏览器的网页源代码。
可选地,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:所述服务器获取所述目标客户端的类型;所述服务器在所述目标客户端的类型为第一类型,且监听到所述目标客户端的当前的操作事件为预设操作事件的情况下,禁止所述目标客户端操作当前的操作事件,其中,所述预设操作事件包括以下至少之一:分享事件、复制事件、跳转事件;所述服务器在所述目标客户端的类型为第二类型,且监听到所述目标客户端的当前的操作事件为所述预设操作事件的情况下,允许所述目标客户端操作当前的操作事件,其中所述第一类型的所述目标客户端的权限小于所述第二类型的所述目标客户端的权限。
可选地,所述方法还包括:所述服务器在满足更新条件的情况下,确定对所述目标网络隧道的隧道信息进行更新,所述更新条件包括以下至少之一:所述服务器掉线、所述服务器与所述目标客户端通信的所述目标网络隧道无法传输数据、所述服务器接收到更新请求,所述隧道信息至少包括隧道地址信息;所述服务器在确定对所述目标网络隧道的所述隧道信息进行更新的情况下,重新配置所述目标网络隧道的所述隧道信息,并通过更新后的目标网络隧道与所述目标客户端重新建立连接。
根据本发明实施例的另一方面,还提供了一种服务器,包括:第一获取单元,用于获取目标客户端发送的访问请求,所述服务器和所述目标客户端之间通过目标网络隧道通信,所述目标网络隧道为企业内部网络用于通信的隧道,所述访问请求中还包括所述目标客户端的待认证信息;认证单元,用于对所述待认证信息进行认证,并得到认证结果;第一处理单元,用于在所述认证结果表征认证通过的情况下,响应所述访问请求,控制目标浏览器开启以使得所述目标客户端访问所述服务器,其中,所述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
根据本发明实施例的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,所述程序执行任意一种所述的方法。
根据本发明实施例的再一方面,还提供了一种通信系统,包括:客户端和服务器,所述客户端和所述服务器通信,所述服务器用于执行任意一种所述的方法。
在本发明实施例中,首先服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,之后服务器对待认证信息进行认证,并得到认证结果,最后服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了根据本申请的实施例的一种企业内网的通信方法的流程示意图;
图2示出了根据本申请的实施例的一种服务器的结构示意图;
图3示出了另一种企业内网的通信方法的流程示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应该理解的是,当元件(诸如层、膜、区域、或衬底)描述为在另一元件“上”时,该元件可直接在该另一元件上,或者也可存在中间元件。而且,在说明书以及权利要求书中,当描述有元件“连接”至另一元件时,该元件可“直接连接”至该另一元件,或者通过第三元件“连接”至该另一元件。
目前企业轻应用大多对外部网络访问进行了隧道加密访问,但对于企业内部网络访问未进行隧道访问且加密方式简单,依赖于三方浏览器,访问单一,各应用系统数据传输无法达到绝对的安全标准,容易造成数据泄露导致应用系统被攻击的问题出现。
正如背景技术中所说的,现有技术中由于企业内部轻应用系统依赖于三方浏览器访问,容易造成数据泄露导致企业内部的应用系统被攻击,为了解决上述问题,本申请的一种典型的实施方式中,提供了一种企业内网的通信方法、服务器、计算机可读存储介质和通信系统。
根据本申请的实施例,提供了一种企业内网的通信方法。
图1是根据本申请实施例的企业内网的通信方法的流程图。如图1所示,该方法包括以下步骤:
步骤S101,服务器获取目标客户端发送的访问请求,上述服务器和上述目标客户端之间通过目标网络隧道通信,上述目标网络隧道为企业内部网络用于通信的隧道,上述访问请求中还包括上述目标客户端的待认证信息;
具体地,还可以通过接口自定义的配置,对目标网络隧道进行加密,加密算法可以是AES加密算法,当然,也可以是自定义配置的加密算法。这样可以实现企业内部的应用系统的地址的加密,进而实现企业内部资源的安全访问。
具体地,自定义的算法过程可以为:结合接口header参数进行base64加密,构成了第一部分:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9;定义payload通过AES加密生成第二部分:U2FsdGVkX18h8yjv7jAJwRm9IFPCT6JCBXz9PhEyHVovuaRef+CHrFMMBn7Vd5Di;将两个部分进行拼接,得到:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.U2FsdGVkX18h8yjv7jAJwRm9IFPCT6JCBXz9PhEyHVovuaRef+CHrFMMBn7Vd5Di,得到的这串字符串为自定义的加密的算法。
上述的步骤S101中,通过在服务器和目标客户端之间建立目标网络隧道,可以防止网络爬虫数据泄露,通过动态隧道访问、且体验较优的应用效果,可以形成企业信息化战略,并且可以改善用户的体验效果,也可以保证数据安全访问。并且通过自定义配置的方式管理企业内部轻应用并绑定安全的目标网络隧道,可以实现应用的安全访问。
步骤S102,上述服务器对上述待认证信息进行认证,并得到认证结果;
上述的步骤S102中,可以对待认证信息进行认证,这样进一步保证了可以对企业内部的通信的目标客户端进行认证,进而可以进一步保证企业内部的数据的安全。
步骤S103,上述服务器在上述认证结果表征认证通过的情况下,响应上述访问请求,控制目标浏览器开启以使得上述目标客户端访问上述服务器,其中,上述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
具体地,浏览器插件可以包括Flash插件、视频播放插件等,遮掩服务器可以对多个插件进行兼容,并且避免了多次安装的复制性。
上述的步骤S103中,可以根据不同轻应用系统所需要的浏览器的环境需求,进行统一的兼容性配置和参数下发、插件统一分发,达到模块化、配置化管理。可以实现轻量级的桌面和Web应用程序,保障程序执行的安全性,不会使网页中包含的ActiveX控件执行恶意的代码。并且通过动态内核管理,可以兼容不同系统的页面特性。
上述的方法中,首先服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,之后服务器对待认证信息进行认证,并得到认证结果,最后服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
具体地,本方案中可以建立用户和系统之间的允许访问规则(支持自定义配置),决定允许或拒绝用户对受控系统进行资源访问,如:规则引擎配置、应用可见范围、应用操作日志等,控制粒度为单个用户。通过自定义配置的浏览器,可以集成多种浏览器插件,这样可以不依赖于第三方浏览器。
进一步地,本方案中可以对接入轻应用的目标服务器进行访问,所有应用实现远程服务端进行资源加载和访问,保证所有资源的统一分发和安全管理。
为进一步对高效地对待认证信息进行认证,以保证得到的认证结果更为准确,本申请的一种实施例中,上述待认证信息包括隧道待认证信息和用户待认证信息,上述隧道待认证信息至少包括隧道ID信息,上述用户待认证信息至少包括用户名和密码,上述服务器对上述待认证信息进行认证,并得到认证结果,具体包括如下步骤:
步骤S201,上述服务器对上述隧道待认证信息进行认证,得到第一认证结果;
本申请的一种具体的实施例中,上述服务器对上述隧道待认证信息进行认证,得到第一认证结果,包括:上述服务器确定上述隧道待认证信息与参考隧道认证信息是否相同,上述参考隧道认证信息存储在目标数据库中;上述服务器在上述隧道待认证信息与上述参考隧道认证信息相同的情况下,确定上述隧道待认证信息认证通过;上述服务器在上述隧道待认证信息与上述参考隧道认证信息不相同的情况下,确定上述隧道待认证信息认证未通过。该实施例中,可以通过隧道待认证信息与参考隧道认证信息对比的方式来对隧道待认证信息进行认证,进而保证可以对连接的目标网络隧道进行认证,以进一步保证企业内部的数据的安全。
步骤S202,上述服务器在上述第一认证结果表征认证通过的情况下,对上述用户待认证信息进行认证,得到第二认证结果。
本申请的一种具体的实施例中,上述服务器在上述第一认证结果表征认证通过的情况下,对上述用户待认证信息进行认证,得到第二认证结果,包括:上述服务器确定上述用户待认证信息与参考用户认证信息是否相同,上述参考用户认证信息存储在上述目标数据库中;上述服务器在上述用户待认证信息与上述参考用户认证信息相同的情况下,确定上述用户待认证信息认证通过;上述服务器在上述用户待认证信息与上述参考用户认证信息不相同的情况下,确定上述用户待认证信息认证未通过。该实施例中,可以通过用户待认证信息与参考用户认证信息对比的方式来对用户待认证信息进行认证,进而保证可以对连接目标网络隧道的目标客户端进行认证,以进一步保证企业内部的数据的安全
上述的步骤S201至步骤S202中,可以先对隧道待认证信息进行认证,如果隧道待认证信息未认证通过,无论用户待认证信息如何进行认证都无法通过认证,如果隧道待认证信息认证通过,那么再对用户待认证信息进行认证,这样通过两次认证的方式来进一步保证认证的效率较高,进而可以进一步保证企业内部的数据的安全。
一种可选的实施例中,本方案的服务器还包括用户待认证信息代填的功能,根据浏览器以及相关的配置,可以捕捉到用户名和密码对应的输入框,然后自动填写对应的用户名和密码,每个客户端都有对应的代填的信息,可以提前进行绑定,这样可以解决老旧业务系统接入单点登录运维及员工每次访问业务系统时需要记录并填写多个账号密码问题。
由于个别接入应用会访问企业内部的敏感数据,用户可能会进行网页截图和文件下载等操作,会传播这些数据,带来数据外流的可能性,进而造成企业内部的数据被外泄,本申请的另一种实施例中,在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,上述方法还包括如下步骤:
步骤S301,上述服务器获取目标文件的重要等级;
步骤S302,上述服务器在上述目标文件的重要等级为第一重要等级的情况下,在接收到上述目标客户端发送的下载请求时,确定不允许上述目标客户端下载上述目标文件,只允许上述目标客户端在线查看上述目标文件,并在上述目标客户端在线查看上述目标文件时在上述目标文件中添加水印;
具体地,在线查看可以是将目标文件转为PDF的形式,在浏览器上查看。
步骤S303,上述服务器在上述目标文件的重要等级为第二重要等级的情况下,在接收到上述目标客户端发送的上述下载请求时,确定允许上述目标客户端下载上述目标文件,并将上述目标文件发送至上述目标客户端,其中,上述第一重要等级的重要程度高于上述第二重要等级的重要程度。
上述的步骤S301至步骤S303中,根据目标文件的重要等级,来对目标文件进行添加水印,文件是否允许下载等配置,可以有效保护企业内部的敏感数据,保证数据的安全流转。
为进一步对企业内部的数据进行保护,以进一步解决数据泄露导致企业内部的应用系统被攻击的问题,本申请的又一种实施例中,在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,上述方法还包括如下步骤:
步骤S401,上述服务器对上述目标客户端隐藏上述目标浏览器的浏览器地址;
步骤S402,上述服务器对上述目标客户端隐藏上述目标浏览器的网页源代码。
上述的步骤S401至步骤S402中,可以通过开发嵌入型框架,对企业内部的数据进行二次内核封装,可以隐藏目标浏览器的相关访问信息,例如浏览器地址和网页源代码,以进一步保证企业内部的数据安全。
为进一步对企业内部的数据进行保护,以进一步解决数据泄露导致企业内部的应用系统被攻击的问题,本申请的再一种实施例中,在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,上述方法还包括如下步骤:
步骤S501,上述服务器获取上述目标客户端的类型;
步骤S502,上述服务器在上述目标客户端的类型为第一类型,且监听到上述目标客户端的当前的操作事件为预设操作事件的情况下,禁止上述目标客户端操作当前的操作事件,其中,上述预设操作事件包括以下至少之一:分享事件、复制事件、跳转事件;
步骤S503,上述服务器在上述目标客户端的类型为第二类型,且监听到上述目标客户端的当前的操作事件为上述预设操作事件的情况下,允许上述目标客户端操作当前的操作事件,其中上述第一类型的上述目标客户端的权限小于上述第二类型的上述目标客户端的权限。
上述的步骤S501至步骤S503中,可以通过开发嵌入式框架,对企业内部的数据进行二次内核封装,也可以对企业内部的预设操作操作进行二次内核封装,这样可以进一步保证企业内部的数据安全。
一种实施例中,还可以对传输的参数进行加密,通过加密传输的方式可以进一步保证企业内部的数据安全。
具体地,还可以通过统一配置管理,对不同类型的目标客户端相应的权限进行配置,可以为不同类型的目标客户端配置各自专属的网络隧道,对于不同类型的目标客户端可以授权不同的网络隧道以及加密方式,例如:配置网络隧道启动类型、分配网络隧道地址、配置加密方式以及动态连接等。
在服务器和目标客户端通信的过程中,还可以对目标网络隧道的隧道信息进行更新,以保证通信过程中的高可用性,本申请的一种可选的实施例中,上述方法还包括如下步骤:
步骤S601,上述服务器在满足更新条件的情况下,确定对上述目标网络隧道的隧道信息进行更新,上述更新条件包括以下至少之一:上述服务器掉线、上述服务器与上述目标客户端通信的上述目标网络隧道无法传输数据、上述服务器接收到更新请求,上述隧道信息至少包括隧道地址信息;
步骤S602,上述服务器在确定对上述目标网络隧道的上述隧道信息进行更新的情况下,重新配置上述目标网络隧道的上述隧道信息,并通过更新后的目标网络隧道与上述目标客户端重新建立连接。
上述的步骤S601至步骤S602中,在确定需要目标网络隧道的隧道信息进行更新的情况下,可以在服务器端重新进行目标网络隧道的配置,根据新接收到的隧道信息,自动更新隧道信息,并且可以在更新后重新启动目标网络隧道以及自动连接服务器和目标客户端。
本申请的方案,通过企业内部轻应用多核动态隧道技术,对现有的企业内部轻应用进行集中安全管控,解决企业内部轻应用访问的安全性问题,实现动态隧道加密访问,并支持网络隐身、安全访问。
本申请实施例还提供了一种服务器,需要说明的是,本申请实施例的服务器可以用于执行本申请实施例所提供的用于企业内网的通信方法。以下对本申请实施例提供的服务器进行介绍。
图2是根据本申请实施例的服务器的示意图。如图2所示,该服务器包括:
第一获取单元10,用于获取目标客户端发送的访问请求,上述服务器和上述目标客户端之间通过目标网络隧道通信,上述目标网络隧道为企业内部网络用于通信的隧道,上述访问请求中还包括上述目标客户端的待认证信息;
上述的第一获取单元,通过在服务器和目标客户端之间建立目标网络隧道,可以防止网络爬虫数据泄露,通过动态隧道访问、且体验较优的应用效果,可以形成企业信息化战略,并且可以改善用户的体验效果,也可以保证数据安全访问。并且通过自定义配置的方式管理企业内部轻应用并绑定安全的目标网络隧道,可以实现应用的安全访问。
认证单元20,用于对上述待认证信息进行认证,并得到认证结果;
上述的认证单元,可以对待认证信息进行认证,这样进一步保证了可以对企业内部的通信的目标客户端进行认证,进而可以进一步保证企业内部的数据的安全。
第一处理单元30,用于在上述认证结果表征认证通过的情况下,响应上述访问请求,控制目标浏览器开启以使得上述目标客户端访问上述服务器,其中,上述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
上述的第一处理单元,可以根据不同轻应用系统所需要的浏览器的环境需求,进行统一的兼容性配置和参数下发、插件统一分发,达到模块化、配置化管理。可以实现轻量级的桌面和Web应用程序,保障程序执行的安全性,不会使网页中包含的ActiveX控件执行恶意的代码。并且通过动态内核管理,可以兼容不同系统的页面特性。
上述的服务器中,第一获取单元获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,认证单元对待认证信息进行认证,并得到认证结果,第一处理单元在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
为进一步对高效地对待认证信息进行认证,以保证得到的认证结果更为准确,本申请的一种实施例中,上述待认证信息包括隧道待认证信息和用户待认证信息,上述隧道待认证信息至少包括隧道ID信息,上述用户待认证信息至少包括用户名和密码,认证单元包括第一认证模块和第二认证模块,各模块的功能如下:
第一认证模块,用于对上述隧道待认证信息进行认证,得到第一认证结果;
本申请的一种具体的实施例中,第一认证模块包括第一确定模子模块、第二确定子模块和第三确定子模块,第一确定子模块用于确定上述隧道待认证信息与参考隧道认证信息是否相同,上述参考隧道认证信息存储在目标数据库中;第二确定子模块用于在上述隧道待认证信息与上述参考隧道认证信息相同的情况下,确定上述隧道待认证信息认证通过;第三确定子模块用于在上述隧道待认证信息与上述参考隧道认证信息不相同的情况下,确定上述隧道待认证信息认证未通过。该实施例中,可以通过隧道待认证信息与参考隧道认证信息对比的方式来对隧道待认证信息进行认证,进而保证可以对连接的目标网络隧道进行认证,以进一步保证企业内部的数据的安全。
第二认证模块,用于在上述第一认证结果表征认证通过的情况下,对上述用户待认证信息进行认证,得到第二认证结果。
本申请的一种具体的实施例中,第二认证模块包括第四确定子模块、第五确定子模块和第六确定子模块,第四确定子模块用于确定上述用户待认证信息与参考用户认证信息是否相同,上述参考用户认证信息存储在上述目标数据库中;第五确定子模块用于在上述用户待认证信息与上述参考用户认证信息相同的情况下,确定上述用户待认证信息认证通过;第六确定子模块用于在上述用户待认证信息与上述参考用户认证信息不相同的情况下,确定上述用户待认证信息认证未通过。该实施例中,可以通过用户待认证信息与参考用户认证信息对比的方式来对用户待认证信息进行认证,进而保证可以对连接目标网络隧道的目标客户端进行认证,以进一步保证企业内部的数据的安全
上述的第一认证模块和第二认证模块,可以先对隧道待认证信息进行认证,如果隧道待认证信息未认证通过,无论用户待认证信息如何进行认证都无法通过认证,如果隧道待认证信息认证通过,那么再对用户待认证信息进行认证,这样通过两次认证的方式来进一步保证认证的效率较高,进而可以进一步保证企业内部的数据的安全。
由于个别接入应用会访问企业内部的敏感数据,用户可能会进行网页截图和文件下载等操作,会传播这些数据,带来数据外流的可能性,进而造成企业内部的数据被外泄,本申请的另一种实施例中,上述服务器还包括第二获取单元、第二处理单元和第三处理单元,各单元的功能如下:
第二获取单元,用于在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,获取目标文件的重要等级;
第二处理单元,用于在上述目标文件的重要等级为第一重要等级的情况下,在接收到上述目标客户端发送的下载请求时,确定不允许上述目标客户端下载上述目标文件,只允许上述目标客户端在线查看上述目标文件,并在上述目标客户端在线查看上述目标文件时在上述目标文件中添加水印;
第三处理单元,用于在上述目标文件的重要等级为第二重要等级的情况下,在接收到上述目标客户端发送的上述下载请求时,确定允许上述目标客户端下载上述目标文件,并将上述目标文件发送至上述目标客户端,其中,上述第一重要等级的重要程度高于上述第二重要等级的重要程度。
上述的第二获取单元、第二处理单元和第三处理单元,根据目标文件的重要等级,来对目标文件进行添加水印,文件是否允许下载等配置,可以有效保护企业内部的敏感数据,保证数据的安全流转。
为进一步对企业内部的数据进行保护,以进一步解决数据泄露导致企业内部的应用系统被攻击的问题,本申请的又一种实施例中,上述服务器还包括第一隐藏单元和第二隐藏单元,各单元的功能如下:
第一隐藏单元,用于在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,对上述目标客户端隐藏上述目标浏览器的浏览器地址;
第二隐藏单元,用于对上述目标客户端隐藏上述目标浏览器的网页源代码。
上述的第一隐藏单元和第二隐藏单元,可以通过开发嵌入型框架,对企业内部的数据进行二次内核封装,可以隐藏目标浏览器的相关访问信息,例如浏览器地址和网页源代码,以进一步保证企业内部的数据安全。
为进一步对企业内部的数据进行保护,以进一步解决数据泄露导致企业内部的应用系统被攻击的问题,本申请的再一种实施例中,上述服务器还包括第三获取单元、第四处理单元和第五处理单元,各单元的功能如下:
第三获取单元,用于在控制目标浏览器开启以使得上述目标客户端访问上述服务器之后,获取上述目标客户端的类型;
第四处理单元,用于在上述目标客户端的类型为第一类型,且监听到上述目标客户端的当前的操作事件为预设操作事件的情况下,禁止上述目标客户端操作当前的操作事件,其中,上述预设操作事件包括以下至少之一:分享事件、复制事件、跳转事件;
第五处理单元,用于在上述目标客户端的类型为第二类型,且监听到上述目标客户端的当前的操作事件为上述预设操作事件的情况下,允许上述目标客户端操作当前的操作事件,其中上述第一类型的上述目标客户端的权限小于上述第二类型的上述目标客户端的权限。
上述的第三获取单元、第四处理单元和第五处理单元,可以通过开发嵌入式框架,对企业内部的数据进行二次内核封装,也可以对企业内部的预设操作操作进行二次内核封装,这样可以进一步保证企业内部的数据安全。
在服务器和目标客户端通信的过程中,还可以对目标网络隧道的隧道信息进行更新,以保证通信过程中的高可用性,本申请的一种可选的实施例中,上述服务器还包括确定单元和第六处理单元,各单元的功能如下:
确定单元,用于在满足更新条件的情况下,确定对上述目标网络隧道的隧道信息进行更新,上述更新条件包括以下至少之一:上述服务器掉线、上述服务器与上述目标客户端通信的上述目标网络隧道无法传输数据、上述服务器接收到更新请求,上述隧道信息至少包括隧道地址信息;
第六处理单元,用于在确定对上述目标网络隧道的上述隧道信息进行更新的情况下,重新配置上述目标网络隧道的上述隧道信息,并通过更新后的目标网络隧道与上述目标客户端重新建立连接。
上述的确定单元和第六处理单元,在确定需要目标网络隧道的隧道信息进行更新的情况下,可以在服务器端重新进行目标网络隧道的配置,根据新接收到的隧道信息,自动更新隧道信息,并且可以在更新后重新启动目标网络隧道以及自动连接服务器和目标客户端。
上述服务器包括处理器和存储器,上述第一获取单元、认证单元和第一处理单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决现有技术中由于企业内部轻应用系统依赖于三方浏览器访问,容易造成数据泄露导致企业内部的应用系统被攻击的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现上述企业内网的通信方法。
本发明实施例提供了一种处理器,上述处理器用于运行程序,其中,上述程序运行时执行上述企业内网的通信方法。
本申请还提供一种通信系统,包括客户端和服务器,上述客户端和上述服务器通信,上述服务器用于执行任意一种上述的方法。
上述的系统中,由于包括任一种上述的方法,该方法中首先服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,之后服务器对待认证信息进行认证,并得到认证结果,最后服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现至少以下步骤:
步骤S101,服务器获取目标客户端发送的访问请求,上述服务器和上述目标客户端之间通过目标网络隧道通信,上述目标网络隧道为企业内部网络用于通信的隧道,上述访问请求中还包括上述目标客户端的待认证信息;
步骤S102,上述服务器对上述待认证信息进行认证,并得到认证结果;
步骤S103,上述服务器在上述认证结果表征认证通过的情况下,响应上述访问请求,控制目标浏览器开启以使得上述目标客户端访问上述服务器,其中,上述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有至少如下方法步骤的程序:
步骤S101,服务器获取目标客户端发送的访问请求,上述服务器和上述目标客户端之间通过目标网络隧道通信,上述目标网络隧道为企业内部网络用于通信的隧道,上述访问请求中还包括上述目标客户端的待认证信息;
步骤S102,上述服务器对上述待认证信息进行认证,并得到认证结果;
步骤S103,上述服务器在上述认证结果表征认证通过的情况下,响应上述访问请求,控制目标浏览器开启以使得上述目标客户端访问上述服务器,其中,上述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
为了本领域技术人员能够更加清楚地了解本申请的技术方案,以下将结合具体的实施例来说明本申请的技术方案和技术效果。
实施例
本实施例提供一种企业内网的通信方法,如图3所示,该方法包括:
构建企业内部服务器和目标客户端之间通信的目标网络隧道;
服务器读取配置文件,配置文件至少包括:API地址、隧道信息;
服务器对隧道待认证信息进行认证,得到第一认证结果;
在第一认证结果表征通过的情况下,连接加密的目标网络隧道;
在连接成功的情况下,对用户待认证信息进行认证,得到第二认证结果;
在连接未成功的情况下,重新自定义配置隧道信息;
如果第一认证结果表征未通过的情况下,可以显示对用户待认证信息进行认证的界面,但是不会对用户待认证信息认证通过;
服务器进行企业内部的应用管理;
服务器进行多内核绑定配置(安全操作权限),包括目标客户端权限配置、目标文件配置、应用兼容访问配置等。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如上述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
从以上的描述中,可以看出,本申请上述的实施例实现了如下技术效果:
1)、本申请的企业内网的通信方法,首先服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,之后服务器对待认证信息进行认证,并得到认证结果,最后服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
2)、本申请的服务器,第一获取单元获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,认证单元对待认证信息进行认证,并得到认证结果,第一处理单元在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
3)、本申请的通信系统,由于包括任一种上述的方法,该方法中首先服务器获取目标客户端发送的访问请求,服务器和目标客户端之间通过目标网络隧道通信,之后服务器对待认证信息进行认证,并得到认证结果,最后服务器在认证结果表征认证通过的情况下,响应访问请求,控制目标浏览器开启以使得目标客户端访问服务器。该方案中,通过采用独立的服务器,建立基于企业内部专属的目标网络隧道,在多个企业内部网络之间封装专有的通讯线路,进而实现企业内部的应用系统的地址的封装,实现企业内部资源的安全访问。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种企业内网的通信方法,其特征在于,包括:
服务器获取目标客户端发送的访问请求,所述服务器和所述目标客户端之间通过目标网络隧道通信,所述目标网络隧道为企业内部网络用于通信的隧道,所述访问请求中还包括所述目标客户端的待认证信息;
所述服务器对所述待认证信息进行认证,并得到认证结果;
所述服务器在所述认证结果表征认证通过的情况下,响应所述访问请求,控制目标浏览器开启以使得所述目标客户端访问所述服务器,其中,所述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
2.根据权利要求1所述的方法,其特征在于,所述待认证信息包括隧道待认证信息和用户待认证信息,所述隧道待认证信息至少包括隧道ID信息,所述用户待认证信息至少包括用户名和密码,所述服务器对所述待认证信息进行认证,并得到认证结果,包括:
所述服务器对所述隧道待认证信息进行认证,得到第一认证结果;
所述服务器在所述第一认证结果表征认证通过的情况下,对所述用户待认证信息进行认证,得到第二认证结果。
3.根据权利要求2所述的方法,其特征在于,
所述服务器对所述隧道待认证信息进行认证,得到第一认证结果,包括:
所述服务器确定所述隧道待认证信息与参考隧道认证信息是否相同,所述参考隧道认证信息存储在目标数据库中;
所述服务器在所述隧道待认证信息与所述参考隧道认证信息相同的情况下,确定所述隧道待认证信息认证通过;
所述服务器在所述隧道待认证信息与所述参考隧道认证信息不相同的情况下,确定所述隧道待认证信息认证未通过;
所述服务器在所述第一认证结果表征认证通过的情况下,对所述用户待认证信息进行认证,得到第二认证结果,包括:
所述服务器确定所述用户待认证信息与参考用户认证信息是否相同,所述参考用户认证信息存储在所述目标数据库中;
所述服务器在所述用户待认证信息与所述参考用户认证信息相同的情况下,确定所述用户待认证信息认证通过;
所述服务器在所述用户待认证信息与所述参考用户认证信息不相同的情况下,确定所述用户待认证信息认证未通过。
4.根据权利要求1所述的方法,其特征在于,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:
所述服务器获取目标文件的重要等级;
所述服务器在所述目标文件的重要等级为第一重要等级的情况下,在接收到所述目标客户端发送的下载请求时,确定不允许所述目标客户端下载所述目标文件,只允许所述目标客户端在线查看所述目标文件,并在所述目标客户端在线查看所述目标文件时在所述目标文件中添加水印;
所述服务器在所述目标文件的重要等级为第二重要等级的情况下,在接收到所述目标客户端发送的所述下载请求时,确定允许所述目标客户端下载所述目标文件,并将所述目标文件发送至所述目标客户端,其中,所述第一重要等级的重要程度高于所述第二重要等级的重要程度。
5.根据权利要求1所述的方法,其特征在于,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:
所述服务器对所述目标客户端隐藏所述目标浏览器的浏览器地址;
所述服务器对所述目标客户端隐藏所述目标浏览器的网页源代码。
6.根据权利要求1所述的方法,其特征在于,在控制目标浏览器开启以使得所述目标客户端访问所述服务器之后,所述方法还包括:
所述服务器获取所述目标客户端的类型;
所述服务器在所述目标客户端的类型为第一类型,且监听到所述目标客户端的当前的操作事件为预设操作事件的情况下,禁止所述目标客户端操作当前的操作事件,其中,所述预设操作事件包括以下至少之一:分享事件、复制事件、跳转事件;
所述服务器在所述目标客户端的类型为第二类型,且监听到所述目标客户端的当前的操作事件为所述预设操作事件的情况下,允许所述目标客户端操作当前的操作事件,其中所述第一类型的所述目标客户端的权限小于所述第二类型的所述目标客户端的权限。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器在满足更新条件的情况下,确定对所述目标网络隧道的隧道信息进行更新,所述更新条件包括以下至少之一:所述服务器掉线、所述服务器与所述目标客户端通信的所述目标网络隧道无法传输数据、所述服务器接收到更新请求,所述隧道信息至少包括隧道地址信息;
所述服务器在确定对所述目标网络隧道的所述隧道信息进行更新的情况下,重新配置所述目标网络隧道的所述隧道信息,并通过更新后的目标网络隧道与所述目标客户端重新建立连接。
8.一种服务器,其特征在于,包括:
第一获取单元,用于获取目标客户端发送的访问请求,所述服务器和所述目标客户端之间通过目标网络隧道通信,所述目标网络隧道为企业内部网络用于通信的隧道,所述访问请求中还包括所述目标客户端的待认证信息;
认证单元,用于对所述待认证信息进行认证,并得到认证结果;
第一处理单元,用于在所述认证结果表征认证通过的情况下,响应所述访问请求,控制目标浏览器开启以使得所述目标客户端访问所述服务器,其中,所述目标浏览器为企业内部专用的浏览器,集成有多种浏览器插件。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,所述程序执行权利要求1至7中任意一项所述的方法。
10.一种通信系统,其特征在于,包括:客户端和服务器,所述客户端和所述服务器通信,所述服务器用于执行权利要求1至7中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211511509.3A CN115883191A (zh) | 2022-11-29 | 2022-11-29 | 企业内网的通信方法、计算机可读存储介质和通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211511509.3A CN115883191A (zh) | 2022-11-29 | 2022-11-29 | 企业内网的通信方法、计算机可读存储介质和通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115883191A true CN115883191A (zh) | 2023-03-31 |
Family
ID=85764648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211511509.3A Pending CN115883191A (zh) | 2022-11-29 | 2022-11-29 | 企业内网的通信方法、计算机可读存储介质和通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115883191A (zh) |
-
2022
- 2022-11-29 CN CN202211511509.3A patent/CN115883191A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9838398B2 (en) | Validating the identity of an application for application management | |
CN109155780B (zh) | 基于隧道客户端网络请求的设备认证 | |
US8990920B2 (en) | Creating a virtual private network (VPN) for a single app on an internet-enabled device or system | |
US8769305B2 (en) | Secure execution of unsecured apps on a device | |
US20220174046A1 (en) | Configuring network security based on device management characteristics | |
KR20160043044A (ko) | 대량의 vpn 접속들을 종료시키는 게이트웨이 디바이스 | |
CN104520805A (zh) | 根据企业信息控制策略的带有密钥和数据交换的安全应用程序生态系统 | |
WO2012023050A2 (en) | Secure cloud computing system and method | |
US20180063088A1 (en) | Hypervisor network profiles to facilitate vpn tunnel | |
AU2020279863A1 (en) | Computing system and methods providing session access based upon authentication token with different authentication credentials | |
US20220197970A1 (en) | Systems and methods for improved remote display protocol for html applications | |
US20230336474A1 (en) | System and method for validating virtual session requests | |
WO2021126329A1 (en) | Context-aware obfuscation and unobfuscation of sensitive content | |
CN113039542A (zh) | 云计算网络中的安全计数 | |
EP4295227A1 (en) | Computing device and associated methods providing browser launching of virtual sessions in an application | |
CN113992446B (zh) | 一种跨域浏览器用户认证方法、系统及计算机储存介质 | |
US20230020656A1 (en) | Computing session multi-factor authentication | |
CN115883191A (zh) | 企业内网的通信方法、计算机可读存储介质和通信系统 | |
CN113886014A (zh) | 中间件加载动态密钥方法、装置、设备及存储介质 | |
WO2022226446A1 (en) | Computing system and related methods providing multiple endpoint connections based upon connection leases | |
CN115190483A (zh) | 一种访问网络的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |