CN114301682B - 数据处理方法、装置和终端设备 - Google Patents
数据处理方法、装置和终端设备 Download PDFInfo
- Publication number
- CN114301682B CN114301682B CN202111631732.7A CN202111631732A CN114301682B CN 114301682 B CN114301682 B CN 114301682B CN 202111631732 A CN202111631732 A CN 202111631732A CN 114301682 B CN114301682 B CN 114301682B
- Authority
- CN
- China
- Prior art keywords
- target
- network
- preset
- request
- image file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本说明书提供了数据处理方法、装置和终端设备。在安全服务技术领域中,当用户所使用的终端设备不处于第二网络时,可以通过终端设备上的预设的下载客户端,生成并向中转系统发送关于目标应用的目标下载请求;中转系统先通过部署于与第二网络数据隔离的第一网络中的全局网关进行第一安全验证;在第一安全验证通过的情况下,再通过部署于第二网络中的区域网关,与内网的业务系统交互,以使得终端设备可以获得预先准备好的目标应用的镜像文件;进而终端设备可以在本地部署和运行该目标应用的镜像文件。从而可以使终端设备在不处于第二网络的情况下,用户也能高效、便捷地调用目标应用完成目标业务数据处理,同时不会对业务系统的数据安全产生风险。
Description
技术领域
本说明书属于安全服务技术领域,尤其涉及数据处理方法、装置和终端设备。
背景技术
为了保护企业或机构的内部数据安全,许多内部应用往往会被限制为只有用户所使用的设备处于安全性较高的内网中,才能被顺利调用;一旦用户所使用的设备不再处于内网中,则无法继续调用该内部应用。
基于上述方法,当用户所使用的设备不处于内网时,往往很难高效、便捷地调用内部应用来完成相应的业务数据处理,进而影响用户的正常工作。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本说明书提供了一种数据处理方法、装置和终端设备,能有效地简化用户的操作,使得在用户所使用的终端设备不处于第二网络的情况下,用户也能高效、便捷地利用终端设备调用业务系统的目标应用来完成相应的目标业务数据处理,同时也不会对业务系统的数据安全产生风险。
本说明书实施例提供了一种数据处理方法,应用于终端设备,其中,所述终端设备至少安装有与业务系统关联的预设的下载客户端,所述方法包括:
接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
通过预设的下载客户端向中转系统发送所述目标下载请求;其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;
获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
在一个实施例中,在接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求之前,所述方法还包括:
接收并响应用户针对预设的下载客户端的绑定操作,生成关于预设的下载客户端的绑定请求;其中,所述绑定请求至少携带有用户的验证数据;
向中转系统发送所述绑定请求;其中,中转系统响应所述绑定请求,根据用户的验证数据确定用户是否符合预设要求;中转系统在确定用户符合预设要求的情况下,向终端设备中的预设的下载客户端反馈表征绑定成功的授权凭证。
在一个实施例中,所述预设的下载客户端包括应用下载商店app,所述目标应用包括与业务系统关联的内部应用。
在一个实施例中,所述业务系统包括基于预设的安全网络构架部署的第一服务器、第二服务器和第三服务器。
在一个实施例中,所述预设的安全网络构架包括互联网DMZ区、互联网区和开放区;
相应的,基于预设的安全网络构架,所述第一服务器部署于互联网DMZ区,所述第二服务器部署于互联网区,所述第三服务器部署于开放区。
在一个实施例中,所述第一服务器还配置有第二安全验证规则和预设的白名单。
在一个实施例中,所述第一服务器用于根据第二安全验证规则和预设的白名单对目标下载请求进行第二安全验证,所述第一服务器在确定目标下载请求第二安全验证通过的情况下,将所述目标下载请求发送至第二服务器。
在一个实施例中,所述第二服务器通过反向代理的方式将所述目标下载请求提供给第三服务器。
在一个实施例中,所述第三服务器用于根据目标下载请求,通过查询预设的镜像文件库,获取目标应用的镜像文件;其中,所述预设的镜像文件库保存有多个内部应用的镜像文件。
在一个实施例中,在将所述目标应用的镜像文件部署于终端设备本地之后,所述方法还包括:
接收用户发起的涉及目标应用的目标业务操作;
响应所述目标业务操作,通过运行目标应用的镜像文件,以完成相应的目标业务数据处理。
本说明书实施例还提供了一种数据处理方法,应用于中转系统,其中,所述中转系统包括全局网关和区域网关,所述全局网关部署于第一网络,所述区域网关部署于第二网络,所述第一网络与第二网络数据隔离,所述方法包括:
接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;
通过全局网关对目标下载请求进行第一安全验证;
在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
本说明书实施例还提供了一种数据处理装置,包括:
生成模块,用于接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
发送模块,用于通过预设的下载客户端向中转系统发送所述目标下载请求,其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;
获取模块,用于获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
本说明书实施例还提供了一种终端设备,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现所数据处理方法的步骤。
本说明书实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时实现所述数据处理方法的步骤。
本说明书实施例还提供了一种计算机程序产品,包含有计算机程序,所述计算机程序被处理器执行时实现所述数据处理方法的步骤。
基于本说明书提供的数据处理方法、装置和终端设备,在用户所使用的终端设备不处于诸如内网等安全性较高的指定的第二网络时,用户可以通过终端设备上的预设的下载客户端,先生成并向中转系统发送关于待调用的目标应用的目标下载请求;中转系统可以先通过部署于与第二网络数据隔离的第一网络中的全局网关对该目标下载请求进行第一安全验证;在确定第一安全验证通过的情况下,再通过部署于第二网络中的区域网关,与内网的业务系统进行交互,以使得终端设备可以顺利地获得内部业务系统预先准备好的目标应用的镜像文件;进而终端设备可以在本地部署和运行该目标应用的镜像文件,以完成所需要的目标业务数据处理。从而可以有效地简化用户操作,使得在终端设备不处于第二网络的情况下,用户也能高效、便捷地利用终端设备调用业务系统的目标应用来完成相应的目标业务数据处理,同时也不会对业务系统的数据安全产生风险。进一步,还通过构建并使用基于包含有相互隔离的互联网DMZ区、互联网区和开放区的预设的安全网络构架的业务系统,来配合上述中转系统完成上述具体的数据处理,从而可以更好地保护内部业务系统的数据安全。
附图说明
为了更清楚地说明本说明书实施例,下面将对实施例中所需要使用的附图作简单地介绍,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书的一个实施例提供的数据处理方法的流程示意图;
图2是在一个场景示例中,应用本说明书实施例提供的数据处理方法的一种实施例的示意图;
图3是在一个场景示例中,应用本说明书实施例提供的数据处理方法的一种实施例的示意图;
图4是在一个场景示例中,应用本说明书实施例提供的数据处理方法的一种实施例的示意图;
图5是在一个场景示例中,应用本说明书实施例提供的数据处理方法的一种实施例的示意图;
图6是在一个场景示例中,应用本说明书实施例提供的数据处理方法的一种实施例的示意图;
图7是本说明书的一个实施例提供的数据处理方法的流程示意图;
图8是本说明书的一个实施例提供的终端设备的结构组成示意图;
图9是本说明书的一个实施例提供的数据处理装置的结构组成示意图;
图10是本说明书的一个实施例提供的数据处理装置的结构组成示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
参阅图1所示,本说明书实施例提供了一种数据处理方法,其中,该方法具体应用于终端设备一侧。其中,所述终端设备至少安装有与业务系统关联的预设的下载客户端。具体实施时,该方法可以包括以下内容:
S101:接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
S102:通过预设的下载客户端向中转系统发送所述目标下载请求;其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;
S103:获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
其中,上述终端设备(或称移动平台或移动办公媒介等)具体可以包括一种应用于用户一侧,能够实现数据采集、数据传输等功能的前端电子设备。具体的,所述终端设备例如可以为台式电脑、平板电脑、笔记本电脑、智能手机等。上述终端设备具体可以处于第一网络中,也可以处于第二网络中,或者处于除第一网络、第二网络外的其他网络中。
上述业务系统具体可以理解为负责处理企业或机构的内部数据的数据处理系统。其中,该业务系统负责管理和维护企业或机构的内部应用和内部数据。上述业务系统具体可以部署于第二网络中。
上述第二网络具体可以理解为安全性较高的局域网。具体的,例如,上述第二网络可以为企业或机构的内网。通常会将企业或机构的内部业务系统部署于第二网络中,以保护企业或机构的内部数据的数据安全,避免内部数据遭到窃取或泄露。
上述第一网络具体可以理解为一种区别于第二网络的网络。具体的,例如,上述第一网络可以为诸如用户的手机网、企业或机构之外的WIFI网等外网等。
相对于第二网络,第一网络的安全性通常相对较低。为了保护企业或机构的内部数据的数据安全,上述第二网络与第一网络之间往往存在数据隔离。具体的,企业或机构的内部业务系统所涉及的内部应用(或称内网应用)、内部数据(或称内网数据)往往被设置为仅能在第二网络中允许被调取和使用。例如,当用户所持有的终端设备处于第二网络时,用户可以通过终端设备正常与业务系统交互,以实现对内部应用或内部数据的调取和使用。当用户所持有的终端设备处于第一网络时,用户通常无法再通过终端设备正常与业务系统交互,无法顺利地实现对内部应用或内部数据的正常调取和使用。
为了使得在终端设备在离开第二网络,处于第一网络的情况下,用户仍然能够通过终端设备顺利、便捷地调取和使用处于第二网络中的内部业务系统的内部应用或内部数据;同时,又要保护业务系统的内部数据安全,避免业务系统的内部数据遭到泄露,具体实施时,参阅图2所示,可以在终端设备和业务系统之间配置相应的中转系统。
上述中转系统具体可以称为服务管理中心,可以提供多个层级的网关,基于上述中转系统可以对所有内部应用服务进行诸如注册、接入和互相调用等操作,以实现内部应用之间的互相连通、互相调用,以及在服务调用时实现授权和寻址。
参阅图2所示,上述中转系统至少可以包括全局网关和区域网关两部分。其中,上述全局网关具体可以部署于第一网络中,上述区域网关具体可以部署于第二网络中。
上述目标应用具体可以理解为用户当前待调用的内部应用。
当前,用户所持有的终端设备不处于第二网络,用户又需要调用内部业务系统的目标应用来完成相应目标业务数据处理。这时,用户可以在预先安装于终端设备中的预设的下载客户端中发起相应的下载操作,以指示生成关于目标应用的目标下载请求。
在一些实施例中,上述预设的下载客户端具体可以理解为与业务系统关联的可信的下载客户端。例如,上述预设的下载客户端可以是企业或机构定制的可信的下载客户端。上述预设的下载客户端可以向用户提供多个内部应用的下载接口。
在一些实施例中,上述下载接口具体可以包括基于相应的加密规则加密处理后的,能够支持与中转系统、业务系统进行数据交互的数据通道。
在一些实施例中,上述预设的下载客户端具体为用户预先通过终端设备绑定过的客户端。具体的绑定过程,后续将另作说明。
具体的,参阅图3所示,上述所述预设的下载客户端具体可以包括应用下载商店app。例如,XX应用商店。上述目标应用具体可以包括与业务系统关联的内部应用。例如,用户当前想要调用的YY应用。
具体实施时,参阅图3所示,用户可以在XX应用商店的应用下载界面中,选中并点击YY应用的下载图标,以发起针对YY应用的下载操作。
相应的,终端设备可以响应并根据用户在预设的下载客户端中发起的下载操作,生成对应的关于目标应用(例如,YY应用)的目标下载请求。
其中,上述目标下载请求至少携带有目标应用的应用标识,以及用户的校验数据。此外,上述目标下载请求进一步还可以携带有终端设备的设备信息,以及用户之前绑定并登陆预设的下载客户端时所使用的用户数据。其中,上述校验数据具体可以包括预设的下载客户端的应用签名、表征该用户具有下载权限的授权凭证等。上述用户数据具体可以包括用户的注册信息、用户的员工编号,以及用户的用户名等。
需要说明的是,上述所获取和使用的身份数据、设备信息和用户数据均为在用户知晓并同意的情况下所获取和使用的数据。
在生成目标下载请求之后,为了避免对内部业务系统的数据安全造成风险,终端设备可以先通过预设的下载客户端的数据接口将该目标下载请求发送至中转系统。
在一些实施例中,具体的,参阅图4所示,上述全局网关可以配置有第一安全验证规则。进一步,上述全局网关还可以与授权信息数据库相连。
其中,上述授权信息数据库具体可以包括以下所列举的信息数据中的一种或多种:网关信息、应用信息、服务访问授权信息、服务元数据信息等。
上述全局网关具体可以包括以下模块:服务调用接入模块、应用签名校验模块、服务授权校验模块、服务路由转发模块等。
所述全局网关还可以包括服务调用记录模块,用于记录所接收并中转处理过的相关应用服务,便于后续的数据回溯。
具体实施时,中转系统可以调用全局网关根据第一安全验证规则和授权信息数据库,对所接收到的目标下载请求进行第一安全验证。
具体的,例如,全局网关可以先通过服务调用接入模块接入中转系统所接收到的目标下载请求,并从目标下载请求中提取出应用签名和授权凭证;再根据第一安全验证规则,通过应用签名校验模块和服务授权校验模块分别对所提取出的应用签名和授权凭证进行校验,在对上述应用签名和授权凭证都校验通过的情况下,确定该目标下载请求来自可信的预设的下载客户端,并且该目标下载请求的发起用户有权限下载所请求的目标应用,进而确定第一安全验证通过。这时,全局网关可以通过服务路由转发模块将该目标下载请求转发至区域网关。
相反,在上述应用签名和授权凭证中至少存在一个校验未通过的情况下,确定该目标下载请求存在风险,进而可以确定第一安全验证未通过。这时,全局网关拒绝通过服务路由转发模块将该目标下载请求转发至区域网关,这样可以避免将存在风险的目标下载请求引入第二网络,对第二网络的数据安全造成风险。
在一些实施例中,参阅图4所示,上述区域网关具体可以包括服务调用接入模块和服务路由转发模块等。
具体实施时,区域网关可以通过服务调用接入模块接入经全局网关第一安全验证通过的目标下载请求;再通过服务路由转发模块,采用路由转发的方式,将该目标下载请求提供给业务系统。这样可以避免直接将来自第一网络的目标下载请求发送给业务系统,进一步保护业务数据的内部数据安全。
在一些实施例中,参阅图4所示,上述业务系统配置有预设的镜像文件库。其中,该预设的镜像文件库保存有多个内部应用的镜像文件。
其中,上述内部应用的镜像文件具体可以为业务系统预先采用Docker镜像的方式对相应的内部应用进行配置和封装所得到的镜像文件。终端设备在得到内部应用的镜像文件之后,不需要解封该文件,或者在终端设备上重新安装该文件、重新配置运行环境,可以直接运行该镜像文件就能运行相应的内部应用,以完成基于该内部应用的业务数据处理。
上述Docker具体可以是一种应用容器引擎。基于Docker,可以将应用以及依赖包打包到一个可移植的镜像容器中;并且该镜像容器使用沙箱机制,相互之间较为独立。
在一些实施例中,具体实施时,业务系统可以根据目标下载请求中所携带的目标应用的应用标识,通过查询预设的镜像文件库,找到与应用标识对应的目标应用的镜像文件;再通过中转系统,经由预设的下载客户端之间的下载接口,反馈给终端设备。
相应的,终端设备可以获取得到该目标应用的镜像文件,并将该目标应用的镜像文件部署于终端设备本地。
例如,参阅图5所示,终端设备上可以生成并展示出YY应用的图标。其中,YY应用的图标与终端设备本地部署的YY应用的镜像文件关联。当用户需要调用YY应用完成相应的业务数据处理时,可以通过点击该YY应用的图标,以发起涉及YY应用的目标业务操作。终端设备可以接收并响应该目标业务操作,确定出与该图标关联的YY应用的镜像文件;并运行该镜像文件,以完成用户所需要的目标业务数据处理。
在一些实施例中,预设的镜像文件库所保存的多个内部应用的镜像文件具体可还可以为业务系统基于相应的加密规则配置和封装的镜像文件。相应的,终端设备所获取并部署的目标应用的镜像文件也为业务系统基于相应的加密规则配置和封装的镜像文件。这样可以避免用户,或者其他第三方在接收到目标应用的镜像文件之后,擅自解封该镜像文件,并对镜像文件中的内部数据进行截取或篡改,从而可以更好地保护业务系统的数据安全。
在一些实施例中,为了更好地保护业务系统的内部数据安全,上述业务系统具体包括基于预设的安全网络构架部署的第一服务器、第二服务器和第三服务器。
在本实施例中,所述第一服务器、第二服务器和第三服务器具体可以包括一种应用于业务系统一侧,能够实现数据传输、数据处理等功能的后台服务器。具体的,所述第一服务器、第二服务器和第三服务器例如可以为一个具有数据运算、存储功能以及网络交互功能的电子设备。或者,所述第一服务器、第二服务器和第三服务器也可以为运行于该电子设备中,为数据处理、存储和网络交互提供支持的软件程序。在本实施例中,并不具体限定所述第一服务器、第二服务器和第三服务器所包含的服务器的数量。所述第一服务器、第二服务器和第三服务器具体可以为一个服务器,也可以为几个服务器,或者,由若干服务器形成的服务器集群。
在一些实施例中,可以参阅图6所示。所述预设的安全网络构架具体可以包括互联网DMZ区(Demilitarized Zone,隔离区)、互联网区和开放区。相应的,基于预设的安全网络构架,所述第一服务器部署于互联网DMZ区中,所述第二服务器部署于互联网区,所述第三服务器部署于开放区。
其中,在预设的安全网络构架中,互联网DMZ区、互联网区和开放区之间相互隔离,这样可以避免来自外部的第一网络的目标下载请求直接接入到位于开放区的第三服务器,从而可以更有效地保护内部数据安全。
在一些实施例中,所述第一服务器具体还可以配置有第二安全验证规则和预设的白名单。
在一些实施例中,所述第一服务器具体可以用于根据第二安全验证规则和预设的白名单对目标下载请求进行第二安全验证,所述第一服务器在确定目标下载请求第二安全验证通过的情况下,将所述目标下载请求发送至第二服务器。
在一些实施例中,具体实施时,通过中转系统传入业务系统的目标下载请求,会先进入互联网DMZ区。在互联网DMZ区中,第一服务器可以对目标下载请求进行落地分析,例如,可以根据第二安全验证规则,提取出目标下载请求所携带的用户数据,与预设的白名单进行匹配;在匹配成功的情况下,可以确定该目标下载请求来自可信用户的终端设备,确定第二安全验证通过,进而可以将该目标下载请求转发到下一个区域,即互联网区。
相反,在匹配失败的情况下,可以确定该目标下载请求第二安全验证未通过,进而可以阻断该目标下载请求进入下一个区域;生成并反馈关于该目标下载请求安全验证未通过的提示信息。
在一些实施例中,所述第二服务器通过反向代理的方式将所述目标下载请求提供给第三服务器。
在一些实施例中,具体实施时,目标下载请求再进入互联网区之后,第二服务器可以根据目标下载请求的请求路径,采用反向代理的方式将该目标下载请求转发至开放区中对应的第三服务器。其中,所述第三服务器具体可以理解为内部开放区中具体负责与目标应用,以及与目标应用相关的目标业务数据处理的业务服务器。
在一些实施例中,所述第三服务器具体可以用于根据目标下载请求,通过查询预设的镜像文件库,获取目标应用的镜像文件。
在一些实施例中,具体实施时,第三服务器可以根据目标下载请求中所携带的应用标识,查询预设的镜像文件库,找到与该应用标识对应的目标应用的镜像文件;再通过中转系统,将该目标应用的镜像文件反馈给终端设备。
在一些实施例中,在将所述目标应用的镜像文件部署于终端设备本地之后,所述方法具体实施时,还可以包括以下内容:
S1:接收用户发起的涉及目标应用的目标业务操作;
S2:响应所述目标业务操作,通过运行目标应用的镜像文件,以完成相应的目标业务数据处理。
在一些实施例中,上述目标业务数据处理具体可以包括不需要与业务系统交互的业务数据处理,和需要与业务系统交互的业务数据处理。
在所述目标业务数据处理为不需要与业务系统交互的业务数据处理的情况下,终端设备可以直接在本地通过运行目标应用的镜像文件,完成目标业务数据处理。
在所述目标业务数据处理为需要与业务系统交互的业务数据处理的情况下,终端设备在本地运行目标应用的镜像文件的过程中,可以生成针对业务系统的业务访问请求;并通过目标应用的镜像文件或预设的下载客户端中数据连接将该业务访问请求发送至中转系统。中转系统先通过全局网关对该业务访问请求进行第一安全验证;在确定第一安全验证通过的情况下,通过区域网关将业务访问请求发送至业务系统中的互联网DMZ区。DMZ区中的第一服务器可以先对该业务访问请求进行的第二安全验证;在确定第二安全验证通过的情况下,将该业务访问请求转发至互联网区。互联网区中的第二服务器可以将该业务访问请求通过反向代理的方式转发至开放区中具体负责处理的第三服务器。开放区中的第三服务器可以处理该业务访问请求,生成对应的业务处理结果;再将业务处理结果通过中转系统反馈给终端设备。终端设备可以接收并利用上述业务处理结果,继续运行目标应用的镜像文件,以最终完成所需要的目标业务数据处理。
通过上述实施例,由于引入并利用安全性更高的基于预设的安全网络架构的业务系统,结合包含有全局网关和区域网关的中转系统一起配合完成关于目标应用的调用,从而可以更加安全地响应用户需求,使得用户通过处于第一网络的终端设备,也能够高效、安全地调用目标应用完成相应的目标业务数据处理。
在一些实施例中,在将所述目标应用的镜像文件部署于终端设备本地之后,所述方法具体实施时,还可以包括以下内容:预设的终端设备可以通过预设的下载客户端获取业务系统通过中转系统发送的关于目标应用的镜像文件的升级更新提示。相应的,预设的终端设备可以生成并向用户展示该升级更新提示。
用户可以根据该升级更新提示,在预设的下载客户端中发起针对目标应用的升级更新操作;相应的,终端设备可以接收并响应用户在预设的下载客户端中所发起的升级更新操作,生成关于目标应用的升级更新请求。进一步,终端设备可以通过预设的下载客户端的数据接口向中转设备发送给升级更新请求。
中转系统通过全局网关对升级更新请求进行第一安全验证;所述中转系统在确定升级更新请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取升级更新后的目标应用的镜像文件。
这样,终端设备可以获取升级更新后的目标应用的镜像文件;并利用该升级更新后的目标应用的镜像文件代替之前的目标应用的镜像文件部署于终端设备本地。
在一些实施例中,具体实施前,用户还需要在终端设备上下载安装预设的下载客户端,并进行绑定操作。
在一些实施例中,在接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求之前,所述方法具体实施时,还可以包括以下内容:
S1:接收并响应用户针对预设的下载客户端的绑定操作,生成关于预设的下载客户端的绑定请求;其中,所述绑定请求至少携带有用户的验证数据;
S2:向中转系统发送所述绑定请求;其中,中转系统响应所述绑定请求,根据用户的验证数据确定用户是否符合预设要求;中转系统在确定用户符合预设要求的情况下,向终端设备中的预设的下载客户端反馈授权凭证。
在一些实施例中,上述绑定请求至少携带有用户的身份数据。具体实施时,中转系统在接收到绑定请求之后,可以通过全局网关根据用户的身份数据,查询用户数据库,以确定该用户是否符合预设要求。例如,全局网关可以根据用户的身份数据,查询企业或机构的内部员工数据库,以确定该用户是否为内部员工。又例如,全局网关还可以根据用户的身份数据,查询注册会员用户数据库,以确定该用户是否为注册会员等。在确定用户符合预设要求的情况下,可以将该用户与预设的下载客户端(或者终端设备)进行绑定。例如,在数据库中建立该用户与预设的下载客户端(或者终端设备)之间的绑定关系。
在一些实施例中,具体进行绑定操作时,中转系统可以根据绑定请求,可以通过调用UASS(一种企业员工的认证方式)对用户进行内部员工认证,以确定该用户是否符合预设要求。
在一些实施例中,上述授权凭证具体可以理解为在确定用户符合预设要求的情况下,将该用户与该预设的下载客户端进行绑定后所生成的,用于表征绑定成功的凭证数据。
在一些实施例中,具体可以由预设的下载客户端保存和管理所述授权凭证。
在一些实施例中,在完成绑定操作后,当用户需要更换所使用的终端设备,或者不需要绑定时,可以在预设的下载客户端中发起解绑操作;相应的,终端设备可以生成并发送对应的解绑请求。中转系统可以响应该解绑请求,将该用户与预设的下载客户端(或者终端设备)进行解绑。例如,在数据库中删除该用户与预设的下载客户端(或者终端设备)之间的绑定关系。同时,中转系统还可以向预设的下载客户端发送删除指令。预设的下载客户端接收并响应该删除指令,删除所保存的授权凭证。
上述授权凭证具体可以存储于与该用户绑定的预设的下载客户端,后续,用户在通过预设的下载客户端生成并发送相应的目标下载请求时,可以使用该授权凭证,以证明该用户具有下载和调用相应的目标应用的权限。
由上可见,基于本说明书实施例提供的数据处理方法,在用户所使用的终端设备不处于诸如内网等安全性较高的第二网络时,用户可以通过终端设备上的预设的下载客户端,生成并向中转系统发送关于待调用的目标应用的目标下载请求;中转系统先通过部署于与第二网络数据隔离的第一网络中的全局网关对该目标下载请求进行第一安全验证;在确定第一安全验证通过的情况下,再通过部署于第二网络中的区域网关,与内网的业务系统进行交互,以使得终端设备可以获得内部业务系统预先准备好的目标应用的镜像文件;进而终端设备可以在本地部署和运行该目标应用的镜像文件。从而可以有效地简化用户的操作,使得在终端设备不处于第二网络的情况下,用户也能高效、便捷地利用终端设备调用目标应用完成相应的目标业务数据处理,同时也不会对业务系统的数据安全产生风险。进一步,还通过构建并使用基于包含有相互隔离的互联网DMZ区、互联网区和开放区的预设的安全网络构架的业务系统,来参与具体的数据处理,从而可以更好地保护内部业务系统的数据安全,降低业务系统的数据遭到泄露或窃取的风险。
参阅图7所示,本说明书实施例还提供了一种数据处理方法,其中,该方法具体应用于中转系统一侧。所述中转系统具体可以包括部全局网关和区域网关,所述全局网关部署于第一网络,所述区域网关部署于第二网络,所述第一网络与第二网络数据隔离。所述方法具体实施时,可以包括以下内容:
S701:接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;
S702:通过全局网关对目标下载请求进行第一安全验证;
S703:在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
通过上述实施例,中转系统在接收到来自外部的终端设备的目标下载请求后,可以先通过处于第一网络的全局网关对该目标下载请求进行第一安全验证;在第一安全验证通过的情况下,再通过处于第二网络的区域网关将该目标下载请求提供给业务系统,从而可以避免业务系统直接接触并处理外部的目标下载请求所存在的安全性风险,较好地保护了业务系统的数据安全。
在一个具体的场景示例中,可以基于本说明书实施例提供的数据处理方法,构建针对银行的内部应用的数据调用系统。
基于该数据调用系统,在企业应用层面,可以包括银行内部使用的各种内网应用(例如,内部应用),可以通过Docker镜像的方式进行封装,准备好对应的镜像文件。在应用安全管控层面,引入并采用服务管理中心(例如,中转系统),可以提供多个层级的网关,以便能够对所有内网应用服务(例如,目标应用下载请求、业务访问请求等)进行注册、接入和互相调用等处理,以实现内网应用之间的互相连通、互相调用,以及在服务调用时实现授权和寻址。在网络接入层面,用户可以便捷地通过互联网访问企业应用商店(例如,预设的下载客户端)进行下载、安装和更新;在完成安装和设备绑定后,还可以可通过互联网访问并调用企业内部(例如,内部的业务系统)的内网应用。
其中,对于企业内部,可以采用较为安全的网络架构(例如,预设的安全网络构架)来保证企业内部的数据安全。所采用的网络构架具体可以是一种12p架构。具体实施时,基于该网络构架,可以根据服务器的用途将其网络彼此隔离,具体可以将网络分为:互联网DMZ区、互联网区、开放区三个区域。
其中,上述互联网DMZ区:用户的移动设备通过互联网访问企业应用时,先访问各应用域名所在的F5负载均衡,F5转发至web进行请求的落地分析,若在请求头中匹配到之前设置的安全规则,则会将此请求进行阻断。若请求匹配到加入白名单的安全规则,则会对其放行,请求放行后将转发到下一区域。上述互联网区:请求通过互联网DMZ区转发到互联网区后,互联网区web则会根据请求路径反向代理转发至开放区对应服务器。上述开放区:应用的核心功能及数据库存储都在此区域。
通过上述场景示例,验证了本说明书实施例所提供的数据处理方法具体应用时,在安全管控方面,由于采用服务管理中心,可以提供多个层级的网关,可以对所有内网应用服务进行注册、接入和互相调用,实现内网应用之间的互相连通、互相调用,以及在服务调用时实现授权和寻址。在内部的网络架构方面,由于使用互联网DMZ区隔离子网,将用户互联网的流量在此区域内落地分析后再向下转发,同时,各网络区域进行了网络接入限制,提高了安全性;并且服务器在逻辑上处于隔离状态,若其中某个服务器受到攻击其他服务器不会收到影响。此外,基于该数据处理方法,无需企业应用程序再进行适配开发和改造,极大减轻了项目组的工作量。并且,还由于实现容器化封装,各企业应用可打包至镜像中,再采用Docker镜像的形式一键部署,具有易安装部署的优点。
本说明书实施例还提供一种终端设备,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器具体实施时可以根据指令执行以下步骤:接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;通过预设的下载客户端向中转系统发送所述目标下载请求,其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
为了能够更加准确地完成上述指令,参阅图8所示,本说明书实施例还提供了另一种具体的终端设备,其中,所述终端设备包括网络通信端口801、处理器802以及存储器803,上述结构通过内部线缆相连,以便各个结构可以进行具体的数据交互。
其中,所述网络通信端口801,具体可以用于接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求。
所述处理器802,具体可以用于通过预设的下载客户端向中转系统发送所述目标下载请求,其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
所述存储器803,具体可以用于存储相应的指令程序。
在本实施例中,所述网络通信端口801可以是与不同的通信协议进行绑定,从而可以发送或接收不同数据的虚拟端口。例如,所述网络通信端口可以是负责进行web数据通信的端口,也可以是负责进行FTP数据通信的端口,还可以是负责进行邮件数据通信的端口。此外,所述网络通信端口还可以是实体的通信接口或者通信芯片。例如,其可以为无线移动网络通信芯片,如GSM、CDMA等;其还可以为Wifi芯片;其还可以为蓝牙芯片。
在本实施例中,所述处理器802可以按任何适当的方式实现。例如,处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。本说明书并不作限定。
在本实施例中,所述存储器803可以包括多个层次,在数字系统中,只要能保存二进制数据的都可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也叫存储器,如RAM、FIFO等;在系统中,具有实物形式的存储设备也叫存储器,如内存条、TF卡等。
本说明书实施例还提供了一种基于上述数据处理方法的计算机存储介质,所述计算机存储介质存储有计算机程序指令,在所述计算机程序指令被执行时实现:接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;通过预设的下载客户端向中转系统发送所述目标下载请求,其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
在本实施例中,上述存储介质包括但不限于随机存取存储器(Random AccessMemory,RAM)、只读存储器(Read-Only Memory,ROM)、缓存(Cache)、硬盘(Hard DiskDrive,HDD)或者存储卡(Memory Card)。所述存储器可以用于存储计算机程序指令。网络通信单元可以是依照通信协议规定的标准设置的,用于进行网络连接通信的接口。
本说明书实施例还提供了另一种基于上述数据处理方法的计算机存储介质,所述计算机存储介质存储有计算机程序指令,在所述计算机程序指令被执行时实现:接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;通过全局网关对目标下载请求进行第一安全验证;在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
在本实施例中,该计算机存储介质存储的程序指令具体实现的功能和效果,可以与其它实施方式对照解释,在此不再赘述。
本说明书实施例还提供了一种计算机程序产品,包含有计算机程序,所述计算机程序被处理器执行时实现以下步骤:接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;通过预设的下载客户端向中转系统发送所述目标下载请求,其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
本说明书实施例还提供了另一种计算机程序产品,包含有计算机程序,所述计算机程序被处理器执行时实现以下步骤:接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;通过全局网关对目标下载请求进行第一安全验证;在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
本说明书实施例还提供一种服务器,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器具体实施时可以根据指令执行以下步骤:接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;通过全局网关对目标下载请求进行第一安全验证;在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
参阅图9所示,在软件层面上,本说明书实施例还提供了一种数据处理装置,该装置具体可以包括以下的结构模块:
生成模块901,具体可以用于接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
发送模块902,具体可以用于通过预设的下载客户端向中转系统发送所述目标下载请求;其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;
获取模块903,具体可以用于获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
在一些实施例中,所述装置具体还可以包括绑定模块,具体可以用于接收并响应用户针对预设的下载客户端的绑定操作,生成关于预设的下载客户端的绑定请求;其中,所述绑定请求至少携带有用户的验证数据;向中转系统发送所述绑定请求;其中,中转系统响应所述绑定请求,根据用户的验证数据确定用户是否符合预设要求;中转系统在确定用户符合预设要求的情况下,向终端设备中的预设的下载客户端反馈表征绑定成功的授权凭证。
在一些实施例中,所述预设的下载客户端具体可以包括应用下载商店app,所述目标应用包括与业务系统关联的内部应用。
在一些实施例中,所述业务系统具体可以包括基于预设的安全网络构架部署的第一服务器、第二服务器和第三服务器。
在一些实施例中,所述预设的安全网络构架具体可以包括互联网DMZ区、互联网区和开放区;相应的,基于预设的安全网络构架,所述第一服务器部署于互联网DMZ区中,所述第二服务器部署于互联网区,所述第三服务器部署于开放区。
在一些实施例中,所述第一服务器具体还可以配置有第二安全验证规则和预设的白名单。
在一些实施例中,所述第一服务器具体可以用于根据第二安全验证规则和预设的白名单对目标下载请求进行第二安全验证,所述第一服务器在确定目标下载请求第二安全验证通过的情况下,将所述目标下载请求发送至第二服务器。
在一些实施例中,所述第二服务器具体可以通过反向代理的方式将所述目标下载请求提供给第三服务器。
在一些实施例中,所述第三服务器具体可以用于根据目标下载请求,通过查询预设的镜像文件库,获取目标应用的镜像文件。
在一些实施例中,所述装置具体还可以包括处理模块,具体可以用于接收用户发起的涉及目标应用的目标业务操作;响应所述目标业务操作,通过运行目标应用的镜像文件,以完成相应的目标业务数据处理。
需要说明的是,上述实施例阐明的单元、装置或模块等,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
参阅图10所示,在软件层面上,本说明书实施例还提供了一种数据处理装置,该装置具体可以包括以下的结构模块:
接收模块1001,具体可以用于接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;
验证模块1002,具体可以用于通过全局网关对目标下载请求进行第一安全验证;
交互模块1003,具体可以用于在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件。
由上可见,基于本说明书实施例提供的数据处理装置,在用户所使用的终端设备不处于诸如内网等安全性较高的第二网络时,用户可以通过终端设备上的预设的下载客户端,生成并向中转系统发送关于待调用的目标应用的目标下载请求;中转系统先通过部署于与第二网络数据隔离的第一网络中的全局网关对该目标下载请求进行第一安全验证;在确定第一安全验证通过的情况下,再通过部署于第二网络中的区域网关,与内网的业务系统进行交互,以使得终端设备可以获得内部业务系统预先准备好的目标应用的镜像文件;进而终端设备可以在本地部署和运行该目标应用的镜像文件。从而可以有效地简化用户的操作,使得在终端设备不处于第二网络的情况下,用户也能高效、便捷地利用终端设备调用目标应用完成相应的目标业务数据处理,同时也不会对业务系统的数据安全产生风险。
虽然本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
通过以上的实施例的描述可知,本领域的技术人员可以清楚地了解到本说明书可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书的技术方案本质上可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,移动终端,服务器,或者网络设备等)执行本说明书各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本说明书可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本说明书,本领域普通技术人员知道,本说明书有许多变形和变化而不脱离本说明书的精神,希望所附的权利要求包括这些变形和变化而不脱离本说明书的精神。
Claims (14)
1.一种数据处理方法,其特征在于,应用于终端设备,其中,所述终端设备至少安装有与业务系统关联的预设的下载客户端,所述方法包括:
接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
通过预设的下载客户端向中转系统发送所述目标下载请求;其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;所述终端设备不处于第二网络;所述通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件,包括:区域网关通过服务调用接入模块接入经全局网关第一安全验证通过的目标下载请求;并通过服务路由转发模块,采用路由转发的方式,将该目标下载请求提供给业务系统,以使终端设备获取目标应用的镜像文件;
获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
2.根据权利要求1所述的方法,其特征在于,在接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求之前,所述方法还包括:
接收并响应用户针对预设的下载客户端的绑定操作,生成关于预设的下载客户端的绑定请求;其中,所述绑定请求至少携带有用户的验证数据;
向中转系统发送所述绑定请求;其中,中转系统响应所述绑定请求,根据用户的验证数据确定用户是否符合预设要求;中转系统在确定用户符合预设要求的情况下,向终端设备中的预设的下载客户端反馈授权凭证。
3.根据权利要求1所述的方法,其特征在于,所述预设的下载客户端包括应用下载商店app,所述目标应用包括与业务系统关联的内部应用。
4.根据权利要求1所述的方法,其特征在于,所述业务系统包括基于预设的安全网络构架部署的第一服务器、第二服务器和第三服务器。
5.根据权利要求4所述的方法,其特征在于,所述预设的安全网络构架包括:互联网DMZ区、互联网区和开放区;
相应的,基于预设的安全网络构架,所述第一服务器部署于互联网DMZ区,所述第二服务器部署于互联网区,所述第三服务器部署于开放区。
6.根据权利要求5所述的方法,其特征在于,所述第一服务器还配置有第二安全验证规则和预设的白名单。
7.根据权利要求6所述的方法,其特征在于,所述第一服务器用于根据第二安全验证规则和预设的白名单对目标下载请求进行第二安全验证;所述第一服务器在确定目标下载请求第二安全验证通过的情况下,将所述目标下载请求发送至第二服务器。
8.根据权利要求7所述的方法,其特征在于,所述第二服务器通过反向代理的方式将所述目标下载请求提供给第三服务器。
9.根据权利要求8所述的方法,其特征在于,所述第三服务器用于根据目标下载请求,通过查询预设的镜像文件库,获取目标应用的镜像文件;其中,所述预设的镜像文件库保存有多个内部应用的镜像文件。
10.根据权利要求9所述的方法,其特征在于,在将所述目标应用的镜像文件部署于终端设备本地之后,所述方法还包括:
接收用户发起的涉及目标应用的目标业务操作;
响应所述目标业务操作,通过运行目标应用的镜像文件,以完成相应的目标业务数据处理。
11.一种数据处理方法,其特征在于,应用于中转系统,其中,所述中转系统包括全局网关和区域网关,所述全局网关部署于第一网络,所述区域网关部署于第二网络,所述第一网络与第二网络数据隔离,所述方法包括:
接收终端设备通过预设的下载客户端发起的关于目标应用的目标下载请求;所述终端设备不处于第二网络;
通过全局网关对目标下载请求进行第一安全验证;
在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;其中,所述通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件,包括:区域网关通过服务调用接入模块接入经全局网关第一安全验证通过的目标下载请求;并通过服务路由转发模块,采用路由转发的方式,将该目标下载请求提供给业务系统,以使终端设备获取目标应用的镜像文件。
12.一种数据处理装置,其特征在于,包括:
生成模块,用于接收并响应用户在预设的下载客户端中发起的下载操作,生成关于目标应用的目标下载请求;
发送模块,用于通过预设的下载客户端向中转系统发送所述目标下载请求;其中,所述中转系统包括全局网关和区域网关;所述中转系统通过全局网关对目标下载请求进行第一安全验证;所述中转系统在确定目标下载请求第一安全验证通过的情况下,通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件;所述全局网关部署于第一网络,所述区域网关和业务系统部署于第二网络;所述第一网络与第二网络数据隔离;所述终端设备不处于第二网络;所述通过区域网关与业务系统交互,以使终端设备获取目标应用的镜像文件,包括:区域网关通过服务调用接入模块接入经全局网关第一安全验证通过的目标下载请求;并通过服务路由转发模块,采用路由转发的方式,将该目标下载请求提供给业务系统,以使终端设备获取目标应用的镜像文件;
获取模块,用于获取目标应用的镜像文件,并将所述目标应用的镜像文件部署于终端设备本地。
13.一种终端设备,其特征在于,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1至10中任一项所述方法的步骤。
14.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述指令被处理器执行时实现权利要求1至10,或11中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111631732.7A CN114301682B (zh) | 2021-12-28 | 2021-12-28 | 数据处理方法、装置和终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111631732.7A CN114301682B (zh) | 2021-12-28 | 2021-12-28 | 数据处理方法、装置和终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301682A CN114301682A (zh) | 2022-04-08 |
| CN114301682B true CN114301682B (zh) | 2023-05-26 |
Family
ID=80970626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111631732.7A Active CN114301682B (zh) | 2021-12-28 | 2021-12-28 | 数据处理方法、装置和终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301682B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114827276B (zh) * | 2022-04-22 | 2023-10-24 | 网宿科技股份有限公司 | 基于边缘计算的数据处理方法、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377697A (zh) * | 2011-11-16 | 2012-03-14 | 华为技术有限公司 | 一种网络物理隔离条件下的数据处理方法和系统 |
| CN109491758A (zh) * | 2018-10-11 | 2019-03-19 | 深圳市网心科技有限公司 | docker镜像分发方法、系统、数据网关及计算机可读存储介质 |
| CN111884837A (zh) * | 2020-07-13 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 虚拟加密机的迁移方法、装置及计算机存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10757103B2 (en) * | 2017-04-11 | 2020-08-25 | Xage Security, Inc. | Single authentication portal for diverse industrial network protocols across multiple OSI layers |
-
2021
- 2021-12-28 CN CN202111631732.7A patent/CN114301682B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377697A (zh) * | 2011-11-16 | 2012-03-14 | 华为技术有限公司 | 一种网络物理隔离条件下的数据处理方法和系统 |
| CN109491758A (zh) * | 2018-10-11 | 2019-03-19 | 深圳市网心科技有限公司 | docker镜像分发方法、系统、数据网关及计算机可读存储介质 |
| CN111884837A (zh) * | 2020-07-13 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 虚拟加密机的迁移方法、装置及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301682A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| US8924577B2 (en) | Peer-to-peer remediation | |
| CN105427096B (zh) | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 | |
| CN102741853B (zh) | 用于利用虚拟机包裹应用来防止数据丢失的系统和方法 | |
| EP3433993B1 (en) | Secure resource-based policy | |
| CN111756752A (zh) | 对数据库的访问权限的控制方法、装置及电子设备 | |
| CN104247333A (zh) | 用于基于网络的服务的管理的系统和方法 | |
| CN105550595A (zh) | 用于智能通信设备的隐私数据访问方法及系统 | |
| WO2005079467A2 (en) | Secure, real-time application execution control system and methods | |
| CN102859935A (zh) | 利用虚拟机远程维护电子网络中的多个客户端的系统和方法 | |
| AU2018386714B2 (en) | A system and method for implementing a computer network | |
| US20150341362A1 (en) | Method and system for selectively permitting non-secure application to communicate with secure application | |
| CN105550584A (zh) | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 | |
| CN102713925A (zh) | 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序 | |
| CN106844489A (zh) | 一种文件操作方法、装置以及系统 | |
| KR20180113295A (ko) | 외부 저장 장치에 저장되는 파일의 개인정보를 보호하는 보안 시스템 및 방법 | |
| EP2372570B1 (en) | Secure and flexible access to electronic documents in databases | |
| CN114301682B (zh) | 数据处理方法、装置和终端设备 | |
| CN106355100A (zh) | 一种安全保护系统及方法 | |
| KR20160145574A (ko) | 모바일 컴퓨팅에서의 보안을 강제하는 시스템 및 방법 | |
| CN112615864A (zh) | 用区块链实施的基于角色的访问控制管理系统及方法 | |
| CN116566656A (zh) | 资源访问方法、装置、设备及计算机存储介质 | |
| CN108140095B (zh) | 分布式大数据安全体系架构 | |
| CA2498317C (en) | Method and system for automatically configuring access control | |
| CN117135104A (zh) | 数据处理方法、装置、计算机设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |