CN116318859A - 一种应用数据的安全访问系统及方法及系统 - Google Patents

Abstract

本发明实施例公开了一种应用数据的安全访问系统及方法，系统包括管理服务器，网关服务器和镜像资源服务器集群；管理服务器，用于创建用户，发布应用和提供对客户端的认证对接；所述客户端，用于根据用户的应用访问生成访问请求；网关服务器，用于：对用户的访问请求进行身份识别；向镜像资源服务器集群发送指令；镜像资源服务器集群，用于：接收网关服务器的指令，创建对应的镜像；对创建的镜像进行全生命周期管理；网关服务器，还用于：对镜像资源服务器集群中的镜像，提供流量代理；其效果是：通过镜像的应用，利用网关服务器把访问的用户和运行的容器实例关联起来，减小系统资源的开销的同时，也保护了数据安全，实现了数据不落地。

Description

一种应用数据的安全访问系统及方法及系统

技术领域

本发明涉及网络安全技术领域，具体涉及一种应用数据的安全访问系统及方法。

背景技术

目前，现有的企业对于应用数据安全，一般使用应用安全沙箱。

现有技术及其存在的问题和缺点，主要有以下几点：

(1)应用安全沙箱对移动端和pc的操作系统关联很大，当版本升级的时候，程序也需要升级；

(2)沙箱方案没有实现数据不落地，只是通过数据隔离的方案，来实现数据的保护功能；

(3)需要对应用进行改造，集成sdk，有很大的工作量。

虽然也出现了一些云桌面的应用，但现有的云桌面又存在所需资源较多的缺陷。

发明内容

针对现有技术中的缺陷，本发明提供的一种应用数据的安全访问系统及方法，以克服现有技术中所存在的需对应用进行改造以及所需资源较多的缺陷。

第一方面，本发明提供的一种应用数据的安全访问系统，包括管理服务器，网关服务器和镜像资源服务器集群；

所述管理服务器，用于创建用户，发布应用和提供对客户端的认证对接；

其中，所述客户端，用于根据用户的应用访问生成访问请求；所述应用为轻应用；

所述网关服务器，用于：

对用户的访问请求进行身份识别，以确保访问请求是合法流量；

向镜像资源服务器集群发送指令；

所述镜像资源服务器集群，用于：

接收网关服务器的指令，创建对应的镜像，并根据所述镜像创建容器实例；

对创建的镜像进行全生命周期管理；

所述网关服务器，还用于：

对镜像资源服务器集群中的镜像，提供流量代理；以实现用户通过所述镜像与外部的业务服务器进行数据交互。

可选地，所述镜像资源服务器集群通过docker创建容器，每个容器对应一个登录认证的客户端，以实现多用户访问。

可选地，所述创建的镜像通过对应容器的端口关联用户，并映射至所述网关服务器。

可选地，所述全生命周期管理包括创建、资源的加载与回收。

可选地，所述创建对应的镜像，具体包括：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控。

第二方面，本发明实施例还提供的一种应用数据的安全访问方法，应用于第一方面所述的一种应用数据的安全访问系统，该系统包括管理服务器，网关服务器和镜像资源服务器集群；所述方法包括：

通过所述管理服务器创建用户，发布应用和提供对客户端的认证对接；其中，用户通过客户端生成应用访问的访问请求；所述应用为轻应用；

通过所述网关服务器，对所述访问请求进行身份认证，以确保访问请求是合法流量；

认证通过后，则向所述镜像资源服务器集群发送指令，查询是否存在对应的镜像；

通过所述镜像资源服务器集群，接收所述网关服务器发送的指令，并判断镜像是否存在；

若不存在，则创建对应的镜像，再根据所述镜像创建容器实例，通过对应容器的端口关联用户，并返回与该用户所对应客户端的镜像至所述客户端；

再基于对返回的客户端的镜像进行操作，以及所述网关服务器提供的流量代理，实现用户通过所述镜像与外部的业务服务器进行数据交互。

可选地，所述方法还包括：

对创建的镜像进行全生命周期管理，具体包括创建、资源的加载与回收。

可选地，所述认证通过后，会设置cookie，作为后续的有效口令。

可选地，所述创建对应的镜像，具体包括：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控。

可选地，通过所述网关服务器将客户端发送的访问请求拆分，发送给之前创建http服务的端口，初始化镜像的显示；

通过所述镜像资源服务器集群创建x11vnc的连接，将所述网关服务器作为代理返回x11vnc的数据。

本发明的有益效果：

本发明实施例提供的一种应用数据的安全访问系统及方法，通过对访问应用的用户身份进行识别，以此进行镜像的创建，对镜像资源服务器集群中的镜像，提供流量代理，使得不需要对应用进行改造和集成sdk，减少了客户端的工作量；

同时，通过镜像的应用，利用网关服务器把访问的用户和运行的容器实例关联起来，从而也不用提供完整pc或者andriod或者ios，减小系统资源的开销的同时，也保护了数据安全，实现了数据不落地，进而提升了数据的安全性。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1示出了本发明实施例所提供的一种应用数据的安全访问系统的结构框图；

图2示出了本发明实施例所提供的一种数据交互的序列图；

图3示出了本发明实施例所提供的一种应用数据的安全访问方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

如图1所示，示出了本发明实施例所提供的一种应用数据的安全访问系统，包括管理服务器，网关服务器和镜像资源服务器集群。

所述管理服务器，用于创建用户，发布应用和提供对客户端的认证对接；其中，所述客户端，用于根据用户的应用访问生成访问请求；所述应用为轻应用。

具体地，所述管理服务器部署于后台，用于对用户的权限、合法性，应用的发布以及可访问的应用进行管理。

本实施例以轻应用进行举例说明，例如H5应用，客户在后台管理服务器，发布H5应用，并制定哪些用户通过镜像方式访问；以及修改以前客户访问的url，把原应用的域名修改成网关服务器的域名。

这里的客户端可理解为各大平台中的小程序，生成的访问请求为https或http请求；各大平台如企业微信、钉钉和飞书等。

所述网关服务器，用于：

对用户的访问请求进行身份识别，以确保访问请求是合法流量；

向镜像资源服务器集群发送指令；

所述镜像资源服务器集群，用于：

接收网关服务器的指令，创建对应的镜像，并根据所述镜像创建容器实例；

对创建的镜像进行全生命周期管理；所述全生命周期管理包括创建、资源的加载与回收；如用户使用轻应用时创建，当关闭轻应用时，回收该资源。

所述网关服务器，还用于：

对镜像资源服务器集群中的镜像，提供流量代理；以实现用户通过所述镜像与外部的业务服务器进行数据交互。

其中，所述镜像资源服务器集群通过docker创建容器，每个容器对应一个登录认证的客户端，以实现多用户访问；即，容器的数量是多个；轻应用对应于镜像，容器是由镜像生成的，容器与容器实例可理解为相同的含义；

同时，也不是通过本地集成sdk来实现安全能力和改造，避免了兼容与应用改造存在很大工作量的问题；并且用户的数据都在镜像资源服务器中，用户通过浏览器远程的方式访问，提升了安全性。

如图2所示，示出了系统之间的交互过程。

用户先通过客户端发送https或http请求，客户的H5应用流量到网关服务器，网关服务器判断是否认证，若进行认证，则向客户端发送认证页面，通过在客户端输入用户名、密码等信息进行认证，并判断是否认证通过，认证通过后，会设置cookie，作为后续的有效口令；

并查询是否有对方的镜像(这里的对方就是当前使用的用户，一个用户对应一个对应的容器，容器是由镜像生成的，轻应用对应于镜像)，具体包括：

网关服务器通过与管理服务器进行交互，通过判断url的前缀，判断该用户的权限，是否能够访问该H5应用和是否要创建该H5应用的镜像，创建过程如下：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控。

镜像创建时，所述创建的镜像通过对应容器的端口关联用户，并映射至所述网关服务器；所述网关服务器记录用户关联的端口信息，然后，所述镜像资源服务器集群返回该客户端的镜像，用户通过操作镜像来访问业务服务器；其中，所述业务服务器是指支持用户访问对应业务的外部服务器；如，用户需访问百度，则需要与部署对应百度业务的业务服务器之间进行数据交互。

以本实施例所列举的H5应用为例。

首先制作好docker基础镜像，H5的是centos+firefox+x11vnc；

使用docker-p把x11vnc和http服务的端口映射出来，把其端口和用户关联起来，返回给网关服务器；即，通过网关服务器把创建的用户和运行的docker实例关联起来；且实际运行该镜像仅需占有200M内存，减少了资源开销；

最后网关服务器会把客户端发送的请求拆分，发送给之前创建http服务的端口，初始化镜像的显示；创建x11vnc的连接，网关服务器作为代理返回x11vnc的数据。

实施上述方案，其效果和优点，主要有以下三个方面：

一、通过镜像的应用，利用网关服务器把访问的用户和运行的容器实例关联起来，从而也不用提供完整pc或者andriod或者ios，减小系统资源的开销；

二、用户的数据都在镜像资源服务器中，用户通过vnc的方式远程访问，实现了数据不落地，进而提升了数据的安全性；

三、不需要对应用进行改造和集成sdk，减少客户端的工作量。

如图3所示，本发明还示出了一种应用数据的安全访问方法，应用于前文所述的一种应用数据的安全访问系统，该系统包括管理服务器，网关服务器和镜像资源服务器集群；所述方法包括：

S101，通过所述管理服务器创建用户，发布应用和提供对客户端的认证对接；其中，用户通过客户端生成应用访问的访问请求；所述应用为轻应用；

S102，通过所述网关服务器，对所述访问请求进行身份认证，以确保访问请求是合法流量；

S103，认证通过后，则向所述镜像资源服务器集群发送指令，查询是否存在对应的镜像；

S104，通过所述镜像资源服务器集群，接收所述网关服务器发送的指令，并判断镜像是否存在；

S105，若不存在，则创建对应的镜像，再根据所述镜像创建容器实例，通过对应容器的端口关联用户，并返回与该用户所对应客户端的镜像至所述客户端；

S106，再基于对返回的客户端的镜像进行操作，以及所述网关服务器提供的流量代理，实现用户通过所述镜像与外部的业务服务器进行数据交互。

应用时，所述方法还包括：

对创建的镜像进行全生命周期管理，具体包括创建、资源的加载与回收。

其中，所述认证通过后，会设置cookie，作为后续的有效口令。

本实施例中，所述创建对应的镜像，具体包括：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控；

支持dockerfile创建镜像。

实施时，通过所述网关服务器将客户端发送的访问请求拆分，发送给之前创建http服务的端口，初始化镜像的显示；

通过所述镜像资源服务器集群创建x11vnc的连接，将所述网关服务器作为代理返回x11vnc的数据。

由于方法实施例基于前述系统实施例，所以描述得比较简单，相关之处参见系统实施例的部分说明即可。

本发明实施例提供的一种应用数据的安全访问方法，通过镜像的创建，对镜像资源服务器集群中的镜像，提供流量代理，使得不需要对应用进行改造和集成sdk，减少了客户端的工作量；

同时，通过镜像的应用，利用网关服务器把访问的用户和运行的容器实例关联起来，从而也不用提供完整pc或者andriod或者ios，减小系统资源的开销的同时，也保护了数据安全，实现了数据不落地，进而提升了数据的安全性。

在本申请所提供的实施例中，应该理解到，所揭露的方法和系统，可以通过其它的方式实现。例如，以上所描述的系统实施例仅是示意性的，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种应用数据的安全访问系统，其特征在于，包括管理服务器，网关服务器和镜像资源服务器集群；

所述管理服务器，用于创建用户，发布应用和提供对客户端的认证对接；其中，所述客户端，用于根据用户的应用访问生成访问请求；所述应用为轻应用；

所述网关服务器，用于：

对用户的访问请求进行身份识别，以确保访问请求是合法流量；

向镜像资源服务器集群发送指令；

所述镜像资源服务器集群，用于：

接收网关服务器的指令，创建对应的镜像，并根据所述镜像创建容器实例；

对创建的镜像进行全生命周期管理；

所述网关服务器，还用于：

对镜像资源服务器集群中的镜像，提供流量代理；以实现用户通过所述镜像与外部的业务服务器进行数据交互。

2.如权利要求1所述的系统，其特征在于，所述镜像资源服务器集群通过docker创建容器，每个容器对应一个登录认证的客户端，以实现多用户访问。

3.如权利要求2所述的系统，其特征在于，所述创建的镜像通过对应容器的端口关联用户，并映射至所述网关服务器。

4.如权利要求3所述的系统，其特征在于，所述全生命周期管理包括创建、资源的加载与回收。

5.如权利要求1至4中任一所述的系统，其特征在于，所述创建对应的镜像，具体包括：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控。

6.一种应用数据的安全访问方法，其特征在于，应用于权利要求1所述的一种应用数据的安全访问系统，该系统包括管理服务器，网关服务器和镜像资源服务器集群；所述方法包括：

通过所述管理服务器创建用户，发布应用和提供对客户端的认证对接；其中，用户通过客户端生成应用访问的访问请求；所述应用为轻应用；

通过所述网关服务器，对所述访问请求进行身份认证，以确保访问请求是合法流量；

认证通过后，则向所述镜像资源服务器集群发送指令，查询是否存在对应的镜像；

通过所述镜像资源服务器集群，接收所述网关服务器发送的指令，并判断镜像是否存在；

若不存在，则创建对应的镜像，再根据所述镜像创建容器实例，通过对应容器的端口关联用户，并返回与该用户所对应客户端的镜像至所述客户端；

再基于对返回的客户端的镜像进行操作，以及所述网关服务器提供的流量代理，实现用户通过所述镜像与外部的业务服务器进行数据交互。

7.如权利要求6所述的方法，其特征在于，所述方法还包括：

对创建的镜像进行全生命周期管理，具体包括创建、资源的加载与回收。

8.如权利要求6或7所述的方法，其特征在于，所述认证通过后，会设置cookie，作为后续的有效口令。

9.如权利要求8所述的方法，其特征在于，所述创建对应的镜像，具体包括：

利用dockerfile编辑创建镜像命令；

通过centos7.7创建基础镜像；

加载openbox；

加载firefox开源的浏览器，作为轻应用的浏览器，并作为用户打开的界面；

加载x11vnc提供远程功能；

加载nginx服务器控制指令，对浏览器进行操作，让用户看到不同的页面；

加载s6-svscan对进程进行管控。

10.如权利要求9所述的方法，其特征在于，通过所述网关服务器将客户端发送的访问请求拆分，发送给之前创建http服务的端口，初始化镜像的显示；

通过所述镜像资源服务器集群创建x11vnc的连接，将所述网关服务器作为代理返回x11vnc的数据。

Images