CN111641701B - 一种数据保护的方法及装置、设备、存储介质 - Google Patents
一种数据保护的方法及装置、设备、存储介质 Download PDFInfo
- Publication number
- CN111641701B CN111641701B CN202010451734.7A CN202010451734A CN111641701B CN 111641701 B CN111641701 B CN 111641701B CN 202010451734 A CN202010451734 A CN 202010451734A CN 111641701 B CN111641701 B CN 111641701B
- Authority
- CN
- China
- Prior art keywords
- access
- browser
- client
- access request
- webpage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例公开了一种数据保护的方法及装置、设备、存储介质,其中,该方法包括:网关接收客户端的浏览器发送的访问请求;确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
Description
技术领域
本申请实施例涉及但不限于数据保护技术,尤其涉及一种数据保护的方法及装置、设备、存储介质。
背景技术
传统的访问控制系统,不会因为业务系统是否涉密而自动调整访问方式,例如,1)安全套接层虚拟专用网络(Secure Sockets Layer,SSL VPN),使用的是以安全为目标的安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS)通道,访问代理和第三层虚拟专用网络(Layer 3Virtual Private Network,L3VPN)隧道技术对业务系统进行代理访问,不会因为业务系统涉密而自动调整成数据不落地的访问方式,因此不能很好的平衡保障数据安全与保障用户体验。
2)云桌面(Virtual Desktop Infrastructure,VDI),使用的是桌面虚拟化技术对业务系统进行访问,做到数据不落地,但桌面虚拟化技术的用户体验较差,而VDI云桌面不会因为业务系统不涉密而自动调整为数据落地的客户端的浏览器访问方式,因此不能很好的平衡保障数据安全与保障用户体验。
发明内容
有鉴于此,本申请实施例为解决相关技术中存在的至少一个问题而提供一种数据保护的方法及装置、设备、存储介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种数据保护的方法,包括:
网关接收客户端的浏览器发送的访问请求;
确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;
响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
第二方面,本申请实施例提供一种数据保护的方法,包括:
远程浏览器接收客户端的浏览器通过所述网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的;
向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
将所述网页内容渲染为网页图像;
将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
第三方面,本申请实施例提供一种数据保护的装置,包括:
第一接收模块,用于网关接收客户端的浏览器发送的访问请求;
确定模块,用于确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;
响应模块,用于响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
第一发送模块,用于将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
第二发送模块,用于将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
第四方面,本申请实施例提供一种数据保护的装置,包括:
第四发送模块,用于远程浏览器接收客户端的浏览器通过所述网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的;
第五发送模块,用于向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
第三接收模块,用于接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
渲染模块,用于将所述网页内容渲染为网页图像;
第六发送模块,用于将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
第五方面,本申请实施例提供一种数据保护的设备,所述设备包括:存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法中的步骤。
第六方面,本申请实施例提供本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法中的步骤。
本申请实施例中,首先,网关确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;网关将所述远程浏览器返回的网页图像发送给客户端的浏览器,以使得客户端的浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。这样,可以根据访问请求对应的访问行为,或者,根据发送请求的客户端所处的终端环境进行安全性判断,实现安全分级,对于存在安全风险的访问行为或终端环境,通过远程浏览器技术进行访问,同时,可以将远程浏览器渲染的网页图像发送给客户端浏览器,使得客户端浏览器只能接收网页图像,不接收网页数据,实现数据不落地,保障数据安全。
附图说明
图1A为本申请实施例提供一种超文本传输协议代理访问的技术原理示意图;
图1B为本申请实施例提供一种数据保护的方法的实现流程示意图;
图2A为本申请实施例提供一种数据保护的方法的实现流程示意图;
图2B为本申请实施例提供一种数据保护的方法的实现流程示意图;
图2C为本申请实施例提供一种数据保护的方法的注册表编辑器示意图;
图3A为本申请实施例提供一种数据保护的方法的实现流程示意图;
图3B为本申请实施例提供一种数据保护的方法的实现流程示意图;
图3C为本申请实施例提供一种数据保护的方法的实现流程示意图;
图3D为本申请实施例提供一种数据保护的方法的实现流程示意图;
图4A为本申请实施例提供一种数据保护的方法的实现流程示意图;
图4B为本申请实施例提供一种数据保护的方法的实现流程示意图;
图5为本申请实施例提供一种数据保护的装置的组成结构示意图;
图6为本申请实施例提供一种数据保护的装置的组成结构示意图;
图7为本申请实施例中数据保护的设备的一种硬件实体示意图。
具体实施方式
图1A为本申请实施例提供一种超文本传输协议代理访问的技术原理示意图,超文本传输协议(Hypertext Transfer Protocol,HTTP)代理访问的技术原理如图1A所示,举例说明,业务系统的访问地址是https://bi.com,用户通过浏览器11访问https://bi.com,域名系统10(DomainNameSystem,DNS)把bi.com解析成了网关12的IP地址,例如,ATRUST网关的IP1.1.1.1,访问会到达IP1.1.1.1对应的网关12;网关12通过DNS13查询对应的业务系统14的IP地址,例如,IP3.3.3.3;并根据IP3.3.3.3访问对应的业务系统14,实现代理访问。
下面结合附图和实施例对本申请的技术方案进一步详细阐述。
本申请实施例提供一种数据保护的方法,所述方法应用于网关,图1B为本申请实施例提供一种数据保护的方法的实现流程示意图,如图1B所示,所述方法包括:
步骤101:网关接收客户端的浏览器发送的访问请求;
这里,所述网关是一种在网络之间进行互连的设备,其中至少包括HTTPS代理访问模块和超文本传输协议代理访问模块。所述网关可以根据网络之间进行互联时所采用的协议类型(例如,HTTPS协议或HTTP协议),调用对应地代理访问模块进行代理访问。
这里,所述访问请求可以是用户在客户端的浏览器上输入需要访问的业务系统的地址而发起的。所述业务系统可以为被访问业务的服务器。所述客户端可以为广域网(外网)中的客户端,所述访问请求可以为访问局域网(内网)的请求。在实施时,所述网关接收客户端的浏览器发送的访问请求可以为,网关接收外网中的客户端发送的访问请求,访问内网中的业务系统。
步骤102:确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;
这里,所述第一条件为所述访问请求的访问行为存在安全风险,或者,所述客户端所处的终端环境存在安全风险。这里,所述安全风险可以包括以下之一:访问请求的路径包括第一特定业务系统的域名、访问请求的IP地址属于特定的第一IP地址集合、发送访问请求的客户端未加入预控或具有特定权限和访问请求的访问行为包括特定访问行为。
这里,所述远程浏览器可以是除被访问业务系统以外的另一台服务器。这里,所述远程浏览器可以将被访问业务系统响应的数据渲染成网页图像。
在实施时,网关对所述访问请求或发送访问请求的客户端进行判断,当所述访问请求或发送访问请求的客户端存在安全风险时,网关确定当前的访问需要调用远程浏览器进行处理,将所述访问请求转发给远程浏览器。
步骤103:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
这里,所述第一特定业务系统可以为万维网(World Wide Web,WEB)涉密业务系统。在实施时,远程浏览器接收到网关发送的访问请求后,给网关发送一个请求网关进行代理访问的访问指令,请求网关代理访问第一特定业务系统。举例说明,远程浏览器给网关发送代理访问指令,通过网关的HTTPS访问代理来访问WEB涉密业务系统,网关接收代理访问指令后,进行HTTPS代理访问WEB涉密业务系统。
步骤104:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
举例说明,网关的HTTPS访问代理收到WEB涉密业务系统返回的网页内容后,将网页内容返回给远程浏览器。远程浏览器在收到网关HTTPS访问代理返回的网页内容后,将网页渲染成网页图像。
步骤105:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
举例说明,远程浏览器将渲染后的网页图像发送给客户端的浏览器,客户端的浏览器接收后,将网页图像展示给用户。浏览器接收网页图像后,无需再次渲染,数据不落地。
在本申请实施例中,首先,网关确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;网关将所述远程浏览器返回的网页图像发送给客户端的浏览器,以使得客户端的浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。这样,可以根据访问请求对应的访问行为,或者,根据发送请求的客户端所处的终端环境进行安全性判断,实现安全分级,对于存在安全风险的访问行为或终端环境,通过远程浏览器技术进行访问,同时,可以将远程浏览器渲染的网页图像发送给客户端浏览器,使得客户端浏览器只能接收网页图像,不接收网页数据,实现数据不落地,保障数据安全。
本申请实施例提供一种数据保护的方法,图2A为本申请实施例提供一种数据保护的方法的实现流程示意图,如图2A所示,所述方法包括:
步骤201:网关接收客户端的浏览器发送的访问请求;
步骤202:确定所述访问请求的路径包括第一特定业务系统的域名时,将所述访问请求转发给远程浏览器;
这里,所述第一特定业务系统的域名可以为涉密业务系统的域名。举例说明,访问请求的路径为https://www.ccc.com,网关判断请求的域名是涉密业务系统的域名时,将访问请求转发给远程浏览器。
步骤203:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤204:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤205:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述访问请求的路径包括第一特定业务系统的域名时,将所述访问请求转发给远程浏览器。这样,可以通过远程浏览器访问业务系统,使客户端浏览器不存储数据,保障业务系统的数据安全。
本申请实施例提供一种数据保护的方法,图2B为本申请实施例提供一种数据保护的方法的实现流程示意图,如图2B所示,所述方法包括:
步骤210:网关接收客户端的浏览器发送的访问请求;
步骤220:确定所述访问请求的IP地址属于特定的第一IP地址集合时,将所述访问请求转发给远程浏览器;
这里,所述特定的第一IP地址集合可以为用户自行设置的特定网段的IP地址。
步骤230:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤240:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤250:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述访问请求的IP地址属于特定的第一IP地址集合时,将所述访问请求转发给远程浏览器。这样,可以在IP地址存在安全风险时,通过远程浏览器技术进行访问,避免业务系统数据在发送给IP地址存在安全风险的客户端,保障数据安全。
本申请实施例提供一种数据保护的方法,所述方法包括:
步骤A1:网关接收客户端的浏览器发送的访问请求;
步骤A2:确定所述客户端未加入预控时,将所述访问请求转发给远程浏览器;
这里,所述预控可以为一个存储关键字的表,所述关键字可以代表所在客户端的软件信息、硬件信息、参数配置。
举例说明,响应访问请求的业务系统会将检查客户端预控状况的应用程序或代码安装在发送访问请求的客户端上,以判断当前客户端是否加入预控。当所述客户端未加入预控时,将所述访问请求转发给远程浏览器。
步骤A3:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤A4:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤A5:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述客户端未加入预控时,将所述访问请求转发给远程浏览器。这样,可以对客户端进行安全评估,实现安全分级,对于存在安全风险的访问行为或终端环境,通过远程浏览器技术进行访问,保障数据安全。
本申请实施例提供一种数据保护的方法,所述方法包括:
步骤B1:网关接收客户端的浏览器发送的访问请求;
步骤B2:确定所述客户端的权限为特定权限时,将所述访问请求转发给远程浏览器;
这里,所述特定权限可以为允许访问一类指定业务系统的权限,也可以为限制访问另一类指定业务系统的权限。
举例说明,客户端将访问请求发送给WEB涉密业务系统,WEB涉密业务系统检测到所述客户端对应的特定权限为允许访问非涉密业务系统时,将所述访问请求转发给远程浏览器。
举例说明,客户端将访问请求发送给WEB涉密业务系统,WEB涉密业务系统检测到所述客户端对应的特定权限为限制访问WEB涉密业务系统时,将所述访问请求转发给远程浏览器。
步骤B3:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤B4:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤B5:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述客户端的权限为特定权限时,将所述访问请求转发给远程浏览器。这样,可以通过对客户端权限的判断,实现安全分级,对于存在安全风险的访问行为或终端环境,通过远程浏览器技术进行访问,使得客户端浏览器只能接收网页图像,不接收网页数据,保障数据安全。
本申请实施例提供一种数据保护的方法,所述方法包括:
步骤C1:网关接收客户端的浏览器发送的访问请求;
步骤C2:确定所述访问请求的访问行为包括特定访问行为时,将所述访问请求转发给远程浏览器;
这里,所述特定访问行为可以为存在安全风险的异常访问行为,所述异常访问行为包括但不限于:漏洞扫描,结构化查询语言(Structured Query Language,SQL)注入。
在实施时,网关代理浏览器发送请求给业务系统,业务系统检测到所述访问请求包括漏洞扫描行为或SQL注入行为时,将检测结果返回给网关,网关根据检测结果确定访问请求的访问行为包括异常访问行为时,将所述访问请求转发给远程浏览器。
步骤C3:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤C4:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤C5:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述访问请求的访问行为包括特定访问行为时,将所述访问请求转发给远程浏览器。这样,可以对存在安全风险的访问行为,,通过远程浏览器技术进行访问,使得客户端浏览器只能接收网页图像,不接收网页数据,保障数据安全。
本申请实施例提供一种数据保护的方法,图3A为本申请实施例提供一种数据保护的方法的实现流程示意图,如图3A所示,所述方法包括:
步骤301:网关接收客户端的浏览器发送的访问请求;
步骤302:获取所述客户端的注册表中的关键值;
这里,图2C为本申请实施例提供一种数据保护的方法的注册表编辑器示意图,如图2C所示,所述关键值可以为注册表中的注册表项20对应的KEY值21。所述KEY值21对应的内容可以为与业务系统对应的域名,例如,ZJW.COM。
在实施时,网关代理浏览器发送请求给业务系统,业务系统接收到访问请求,控制安装在客户端上的应用程序或代码获取注册表中的关键值(KEY值),将所述KEY值发送给网关。
举例说明,当客户端上安装获取注册表中的关键值的应用程序时,查询注册表项HKEY_CURRENT_USER\Volatile Environment\USERDNSDOMAIN的数据值(KEY值),并将该注册表项的数据值(KEY值)发送给网关。
步骤303:检测所述关键值不包括特定字段时,确定所述客户端未加入预控;
在实施时,网关接收到关键值与对应的KEY值后,判断所述KEY值不包括业务系统对应的域名,例如,ZJW.COM时,确定当前发送请求的客户端未加入预控。
步骤304:当所述客户端未加入预控时,将所述访问请求转发给远程浏览器;
步骤305:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤306:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤307:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,获取所述客户端的注册表中的关键值;检测所述关键值不包括特定字段时,确定所述客户端未加入预控。这样,可以在客户端未加入预控时,使得客户端浏览器只能接收网页图像,不接收网页数据,保障数据安全。
本申请实施例提供一种数据保护的方法,所述方法包括:
步骤D1:网关接收客户端的浏览器发送的访问请求;
步骤D2:确定所述访问请求的IP地址属于特定的第一IP地址集合时,将所述访问请求转发给远程浏览器;
其中,所述确定所述访问请求的IP地址属于特定的第一IP地址集合包括一下之一:确定所述IP地址不在特定的网段范围内;确定所述IP地址的接入类型为特定类型;
这里,所述特定的网段范围可以为内网网段。
举例说明,内网网段的地址范围为192.168.0.1~192.168.0.254,当网关获取到的访问请求的IP地址为192.168.0.0时,在内网网段的地址范围外,属于特定的第一IP地址集合,将所述访问请求转发给远程浏览器。
这里,所述接入类型可以为外网接入类型。
举例说明,在网关的网络接口上配置两个以上的IP接入口,将其中一个或多个IP接入口作为外网接入口,其他IP接入口作为内网接入口,当用户是通过外网接入口访问到该网关时,判断接入类型为外网接入,认为用户是从外网(互联网)发起的请求,否则认为用户是从内网发起的请求。
步骤D3:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤D4:将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
步骤D5:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述IP地址不在特定的网段范围内;或者,确定所述IP地址的接入类型为特定类型。这样,可以通过判断IP地址类型,实现安全分级,对有安全风险的类型,调用远程浏览器进行访问,使得客户端浏览器只能接收网页图像,不接收网页数据,保障数据安全。
本申请实施例提供一种数据保护的方法,图3B为本申请实施例提供一种数据保护的方法的实现流程示意图,如图3B所示,所述方法包括:
步骤310:网关接收客户端的浏览器发送的访问请求;
步骤311:确定所述访问请求或所述客户端满足第二条件时,进行HTTPS代理访问第二特定业务系统;
这里,所述第二条件为与所述第一条件相反的条件。这里,进行所述HTTPS代理访问时,发送请求的客户端会接收到包括数据的响应。
其中,确定所述访问请求或所述客户端满足所述第二条件,至少包括以下之一:确定所述访问请求的路径中包括第二特定业务系统的域名;确定所述访问请求的IP地址属于特定的第二IP地址集合;确定所述客户端加入预控;
这里,所述第二特定业务系统的域名可以为WEB普通业务系统的域名。
举例说明,访问请求的路径为https://www.eee.com,网关判断请求的域名是WEB普通业务系统的域名时,通过HTTPS代理访问第二特定业务系统。
这里,所述第二IP地址集合可以为内网网段的IP地址集合。
举例说明,内网网段的IP地址范围为192.168.0.1~192.168.0.254,当网关获取到的IP地址为192.168.0.10时,在该网段的地址范围内,则认为该用户是从内网发起的请求,该请求可以通过HTTPS代理访问第二特定业务系统。
步骤312:接收第二特定业务系统返回的网页内容。
这里,第二特定业务系统接收网关发送的代理访问请求,将响应的网页内容发送给网关。这里,发送的网页内容中携带有网页中的数据。
本申请实施例提供一种数据保护的方法,图3C为本申请实施例提供一种数据保护的方法的实现流程示意图,如图3C所示,所述方法包括:
步骤320:网关接收客户端的浏览器发送的访问请求;
步骤321:确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;
步骤322:响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
步骤323:在所述第一特定业务系统返回的网页内容中插入特定代码,所述特定代码用于在页面展示时显示为网页水印;
这里,所述特定代码可以为轻量级编程语言(JavaScript,JS)代码,在网页内容中插入JS代码显示网页水印。这里,所述网页水印用于为了防止信息泄露。
步骤324:将插入有所述特定代码的网页内容返回给所述远程浏览器;
步骤325:将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在本申请实施例中,确定所述访问请求或所述客户端满足第二条件时,进行HTTPS代理访问第二特定业务系统。这样,可以在访问请求不存在安全风险时,直接通过HTTPS访问代理进行代理访问,优先保障用户体验。
本申请实施例提供一种数据保护的方法,所述方法包括:
步骤E1:网关接收客户端的浏览器发送的访问请求;
步骤E2:确定所述访问请求或所述客户端满足第二条件时,进行HTTPS代理访问第二特定业务系统;
其中,确定所述访问请求或所述客户端满足所述第二条件,至少包括以下之一:所述确定所述访问请求或所述客户端满足所述第二条件可以为:确定所述访问请求的路径中包括第二特定业务系统的域名;确定所述访问请求的IP地址属于特定的第二IP地址集合;确定所述客户端加入预控;
步骤E3:接收第二特定业务系统返回的网页内容;
步骤E4:在所述第二特定业务系统返回的网页内容中插入特定代码,所述特定代码用于在页面展示时显示为网页水印;
步骤E5:将插入有所述特定代码的网页内容返回给所述客户端的浏览器。
本申请实施例提供一种数据保护的方法,图3D为本申请实施例提供一种数据保护的方法的实现流程示意图,如图3D所示,所述方法包括:
步骤330:远程浏览器接收客户端的浏览器通过所述网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的;
在实施时,网关接收到客户端发送过的访问请求,判断当前访问请求需要调用远程浏览器时,将请求发送给远程浏览器,远程浏览器接收访问请求。
步骤331:向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
这里,所述第一特定业务系统可以为WEB涉密业务系统。
在实施时,远程浏览器接收访问请求后,向网关发出代理访问的指令,请求网关代理访问第一特定业务系统。
步骤332:接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
在实施时,网关代理访问业务系统,业务系统将访问响应返回给网关,网关将所述响应返回给远程浏览器。
步骤333:将所述网页内容渲染为网页图像;
这里,所述渲染是根据描述或者定义构建数学模型,通过模型生成网页图像的过程。例如,将超文本标记语言(HyperText Markup Language,HTML)/层叠样式表(CascadingStyle Sheets,CSS)/JS等代码转换成网页图像。将网页内容渲染成网页图像包括:首先,根据来自服务器端的HTML代码形成文档对象模型(DOM);其次,加载并解析HTML代码中的样式,形成CSS对象模型;进一步地,在文档对象模型和CSS对象模型之上,创建一棵由一组待生成渲染的DOM对象组成的渲染树;最后,对渲染树上的每个元素,由绘图模块完成从该模型到网页图像的绘制。
在实施时,为保证响应包括的数据不会发送给客户端,远程浏览器需要对响应的数据进行处理,将响应的网页内容渲染成网页图像。
步骤334:将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
在本申请实施例中,将所述网页内容渲染为网页图像;将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。这样,通过远程浏览器术进行代理访问,对网页内容进行渲染处理,只将处理后的网页图像发送给客户端的浏览器,实现数据不落地,优先保障数据的安全。
传统的访问控制系统,不会根据访问的业务系统是否涉密自动调整访问方式,例如:1)虚拟专用网络,使用的是HTTPS访问代理和L3VPN隧道技术对业务系统进行代理访问,不会因为业务系统涉密而自动调整成数据不落地的访问方式,因此不能很好的平衡保障数据安全与保障用户体验。2)云桌面,使用的是桌面虚拟化技术对业务系统进行访问,做到数据不落地,但桌面虚拟化技术的用户体验较差,而云桌面不会因为业务系统不涉密而自动调整为数据落地的访问方式,因此也不能很好的平衡保障数据安全与保障用户体验。
本申请实施例提供一种数据保护的方法,可以分别基于用户访问的业务系统的涉密程度(方式一),或者,基于用户的网络位置来动态调整安全策略(方式二),实现安全分级。
方式一、基于用户访问的业务系统的涉密程度来动态调整安全策略,实现安全分级:对于存在涉密要求的业务系统通过远程浏览器技术进行代理访问,实现数据不落地,优先保障数据的安全;对于非涉密的业务系统直接通过HTTPS访问代理进行代理访问,优先保障用户体验。
这里,远程浏览器可以为除被访问业务系统以外的另一台服务器。远程浏览器可以实现将业务系统响应的数据渲染成网页图像的功能。
这里,基于用户访问的业务系统的涉密程度来动态调整安全策略,可以在外网用户(浏览器)请求访问内网业务系统的情况下实现。
方式二、基于用户的网络位置来动态调整安全策略,实现安全分级:对于从外网(互联网)发起的访问请求,通过远程浏览器技术进行代理访问业务系统,实现数据不落地,优先保障数据的安全;对于从内网发起的访问请求直接通过HTTPS访问代理进行代理访问业务系统,优先保障用户体验。
图4A为本申请实施例提供一种数据保护的方法的实现流程示意图,如图4A所示,该方法包括:
步骤401:浏览器输入访问WEB普通业务系统的地址,发起访问请求;
步骤402:网关接收访问请求,检查访问地址是WEB普通业务系统时,进行HTTPS代理访问;
步骤403:HTTPS访问代理在返回网页内容给浏览器之前,在网页内容中插入JS代码用于显示网页水印,并将插入了网页水印的JS代码的网页内容返回给客户端的浏览器,由客户端的浏览器渲染显示网页内容。
这里,在网页内容中插入JS代码用于显示网页水印的过程也可以在HTTPS访问代理收到WEB普通业务系统返回的网页内容后执行。
图4B为本申请实施例提供一种数据保护的方法的实现流程示意图,如图4B所示,该方法包括:
步骤410:浏览器输入访问WEB涉密业务系统地址,发起访问请求;
步骤420:网关接收访问请求,检查访问地址是WEB涉密业务系统时,网关将请求转发给远程浏览器,调用远程浏览器进行业务系统的访问;
步骤430:远程浏览器通过网关代理访问业务系统;
步骤440:网关进行HTTPS代理访问;
步骤450:网关收到WEB涉密业务系统返回的网页内容后,在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给远程浏览器;
步骤460:远程浏览器接收网页内容,并在将网页内容渲染成网页图像后,将网页图像返回给客户端的浏览器。
这里,在将网页图像返回给客户端的浏览器之后,还包括客户端的浏览器通过HTML5技术进行网页渲染,显示出网页内容的步骤。
本申请实施例提供一种数据保护的方法,该方法包括:
步骤11、客户端的浏览器获取地址栏中输入的WEB业务系统访问地址,发起访问请求;
举例说明,用户输入WEB业务系统访问地址为:https://bi.com,发起访问该地址的请求。
步骤12、网关接收访问请求,网关检查用户发起访问的网络位置,确定发起访问请求的网络位置是外网(互联网),还是内网,识别方式有以下几种:
方式一、通过源IP来识别,检查源IP是否在内网IP网段的地址范围内;
举例说明,内网网段的地址范围为192.168.0.1~192.168.0.254,当网关获取到的IP地址为192.168.0.10时,在该网段的地址范围内,则认为该用户是从内网发起的请求,否则认为该用户是从外网(互联网)发起的请求。
方式二、通过接入IP来识别;
在该网关的网络接口上配置两个以上的IP接入口,将其中一个或多个IP接入口作为外网接入口,其他IP接入口作为内网接入口,当用户是通过外网接入口访问到该网关时,则认为用户是从外网(互联网)发起的请求,否则认为用户是从内网发起的请求。
步骤13、如果是从内网发起的访问请求,直接通过网关代理访问;
以下是从内网发起访问的访问流程:
步骤131、网关进行HTTPS代理访问WEB业务系统;
步骤132、网关收到WEB业务系统返回的网页内容后,在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给客户端的浏览器,由客户端的浏览器渲染显示网页内容。
步骤14、如果是从外网(互联网)发起的访问请求,网关调用远程浏览器进行业务系统的访问;
以下为从外网(互联网)发起访问的访问流程:
步骤141、网关调用远程浏览器进行业务系统的访问;
远程浏览器通过网关的HTTPS访问代理来访问WEB业务系统。
步骤142、网关进行HTTPS代理访问;
步骤143、网关收到WEB业务系统返回的网页内容后,在网页内容中插入JS代码显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给远程浏览器;
步骤144、远程浏览器在收到网关返回的网页内容后,将网页内容渲染成网页图像,返回网页图像给客户端的浏览器;
步骤145、客户端的浏览器通过HTML5技术进行绘图,显示出网页的步骤。
本申请实施例提供一种数据保护的方法,该方法包括:
步骤21:业务系统判断发送访问请求的客户端是否加入预控;
这里,该步骤可以通过判断该访问是否为有威胁的访问,选择返回给客户端的浏览器对应地响应类型。
这里,步骤21,业务系统判断访问的客户端是否加入预控的过程为:
211、在客户端上安装应用程序,该应用程序可以获取客户端的注册表中的KEY值;
212、根据KEY值是否包括特定字段,判断该客户端是否加入预控;
1)如果包括特定字段,该客户端加入预控:
在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给客户端的浏览器,由客户端的浏览器渲染显示网页内容。
2)如果不包括特定字段,该客户端未加入预控:
a)远程浏览器通过网关的HTTPS访问代理来访问WEB涉密业务系统;
b)网关进行HTTPS代理访问WEB涉密业务系统;
c)HTTPS访问代理收到WEB涉密业务系统返回的网页内容后,在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给远程浏览器;
d)远程浏览器在收到网关HTTPS访问代理返回的网页内容后,将网页渲染成网页图像,返回网页图像给客户端的浏览器;
e)客户端的浏览器通过H5技术进行绘图显示网页。
本申请实施例提供一种数据保护的方法,该方法包括:
步骤31、识别用户的访问行为;
步骤32、判断访问行为是否包含异常访问;
这里,识别出的用户访问行为包括两种情况:
1)有异常访问,判断该访问为有威胁的访问,执行以下过程:
这里,异常访问行为可以包括但不限于:漏洞扫描,SQL注入。
a)远程浏览器通过网关的HTTPS访问代理来访问WEB涉密业务系统;
b)网关进行HTTPS代理访问WEB涉密业务系统;
c)HTTPS访问代理收到WEB涉密业务系统返回的网页内容后,在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给远程浏览器;
d)远程浏览器在收到网关HTTPS访问代理返回的网页内容后,将网页渲染成图像,返回网页图像给客户端的浏览器;
e)客户端的浏览器通过H5技术进行绘图显示网页。
2)无异常访问,判断该访问为无威胁的访问,执行以下过程:
在网页内容中插入JS代码进行显示网页水印,然后再将插入了网页水印JS代码的网页内容返回给客户端的浏览器,由客户端的浏览器渲染显示网页内容。
基于前述的实施例,本申请实施例提供一种数据保护的装置,该装置包括所包括的各单元、以及各单元所包括的各模块,可以通过网关中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图5为本申请实施例提供一种数据保护的装置的组成结构示意图,如图5所示,所述装置500包括第一接收模块501、确定模块502、响应模块503、第一发送模块504和第二发送模块505,其中:
第一接收模块501,用于网关接收客户端的浏览器发送的访问请求;
确定模块502,用于确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器;
响应模块503,用于响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
第一发送模块504,用于将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
第二发送模块505,用于将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
在一些实施例中,所述确定模块502包括第一确定单元、第二确定单元、第三确定单元、第四确定单元和第五确定单元,其中:第一确定单元,用于确定所述访问请求的路径包括第一特定业务系统的域名;第二确定单元,用于确定所述访问请求的IP地址属于特定的第一IP地址集合;第三确定单元,用于确定所述客户端未加入预控;第四确定单元,用于确定所述客户端的权限为特定权限;第五确定单元,用于确定所述访问请求的访问行为包括特定访问行为。
在一些实施例中,所述第三确定单元包括获取子单元和确定子单元,其中:获取子单元,用于获取所述客户端的注册表中的关键值;确定子单元,用于检测所述关键值不包括特定字段时,确定所述客户端未加入预控。
在一些实施例中,所述第二确定单元,还用于确定所述IP地址不在特定的网段范围内;或者,确定所述IP地址的接入类型为特定类型。
在一些实施例中,所述装置还包括:
代理模块,用于确定所述访问请求或所述客户端满足第二条件时,进行HTTPS代理访问第二特定业务系统;
第二接收模块,用于接收第二特定业务系统返回的网页内容;其中,确定所述访问请求或所述客户端满足所述第二条件,至少包括以下之一:确定所述访问请求的路径中包括第二特定业务系统的域名;确定所述访问请求的IP地址属于特定的第二IP地址集合;确定所述客户端加入预控。
在一些实施例中,所述装置还包括:
插入模块,用于在所述第一特定业务系统或所述第二特定业务系统返回的网页内容中插入特定代码,所述特定代码用于在页面展示时显示为网页水印;
第三发送模块,用于将插入有所述特定代码的网页内容返回给所述远程浏览器或者所述客户端的浏览器。
基于前述的实施例,本申请实施例提供一种数据保护的装置,该装置包括所包括的各单元、以及各单元所包括的各模块,可以通过服务器中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图6为本申请实施例提供一种数据保护的装置的组成结构示意图,如图6所示,所述装置600包括第四发送模块601、第五发送模块602、第三接收模块603、渲染模块604和第六发送模块605,其中:
第四发送模块601,用于远程浏览器接收客户端的浏览器通过所述网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的;
第五发送模块602,用于向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
第三接收模块603,用于接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
渲染模块604,用于将所述网页内容渲染为网页图像;
第六发送模块605,用于将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有相同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的数据保护的方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台数据保护的设备执行本申请各个实施例所述方法的全部或部分。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种数据保护的设备(例如网关或服务器),包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述实施例提供的方法中的步骤。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例提供的方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,图7为本申请实施例中数据保护的设备的一种硬件实体示意图,如图7所示,该设备700的硬件实体包括:处理器701、通信接口702和存储器703,其中
处理器701通常控制该设备700的总体操作。
通信接口702可以使该设备700通过网络与其他设备通信。
存储器703配置为存储由处理器701可执行的指令和应用,还可以缓存待处理器701以及设备700中各模块待处理或已经处理的数据,可以通过闪存(FLASH)或随机访问存储器(Random Access Memory,RAM)实现。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种数据保护的方法,其特征在于,所述方法包括:
网关接收客户端的浏览器发送的访问请求;
确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器,所述第一条件为所述访问请求的访问行为存在安全风险,或者,所述客户端所处的终端环境存在安全风险;
响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
2.根据权利要求1所述的方法,其特征在于,所述确定所述访问请求或所述客户端满足第一条件至少包括以下之一:
确定所述访问请求的路径包括第一特定业务系统的域名;
确定所述访问请求的IP地址属于特定的第一IP地址集合;
确定所述客户端未加入预控;
确定所述客户端的权限为特定权限;
确定所述访问请求的访问行为包括特定访问行为。
3.根据权利要求2所述的方法,其特征在于,所述确定所述客户端未加入预控,包括:
获取所述客户端的注册表中的关键值;
检测所述关键值不包括特定字段时,确定所述客户端未加入预控。
4.根据权利要求2所述的方法,其特征在于,所述确定所述访问请求的IP地址属于特定的第一IP地址集合,包括以下之一:
确定所述IP地址不在特定的网段范围内;
确定所述IP地址的接入类型为特定类型。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定所述访问请求或所述客户端满足第二条件时,进行HTTPS代理访问第二特定业务系统;
接收第二特定业务系统返回的网页内容;
其中,确定所述访问请求或所述客户端满足所述第二条件,至少包括以下之一:
确定所述访问请求的路径中包括第二特定业务系统的域名;
确定所述访问请求的IP地址属于特定的第二IP地址集合;
确定所述客户端加入预控。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
在所述第一特定业务系统或第二特定业务系统返回的网页内容中插入特定代码,所述特定代码用于在页面展示时显示为网页水印;
将插入有所述特定代码的网页内容返回给所述远程浏览器或者所述客户端的浏览器。
7.一种数据保护的方法,其特征在于,所述方法包括:
远程浏览器接收客户端的浏览器通过网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的;
向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
将所述网页内容渲染为网页图像;
将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
8.一种数据保护的装置,其特征在于,所述装置包括:
第一接收模块,用于网关接收客户端的浏览器发送的访问请求;
确定模块,用于确定所述访问请求或所述客户端满足第一条件时,将所述访问请求转发给远程浏览器,所述第一条件为所述访问请求的访问行为存在安全风险,或者,所述客户端所处的终端环境存在安全风险;
响应模块,用于响应所述远程浏览器发送的代理访问指令,请求访问第一特定业务系统;
第一发送模块,用于将所述第一特定业务系统返回的访问响应发送给所述远程浏览器,所述访问响应中包括所请求的网页内容;
第二发送模块,用于将所述远程浏览器返回的网页图像发送给所述浏览器,以使得所述浏览器展示所述网页图像,所述网页图像是对所述网页内容进行渲染后得到的。
9.一种数据保护的装置,其特征在于,所述装置包括:
第四发送模块,用于远程浏览器接收客户端的浏览器通过网关发送的访问请求;所述访问请求为所述网关在确定所述访问请求或所述客户端满足第一条件时转发的,所述第一条件为所述访问请求的访问行为存在安全风险,或者,所述客户端所处的终端环境存在安全风险;
第五发送模块,用于向所述网关发送代理访问指令,以调用所述网关请求访问第一特定业务系统;
第三接收模块,用于接收所述网关发送的来自所述第一特定业务系统的访问响应,所述访问响应中包括所请求的网页内容;
渲染模块,用于将所述网页内容渲染为网页图像;
第六发送模块,用于将所述网页图像通过所述网关返回给所述客户端的浏览器,以使所述浏览器展示所述网页图像。
10.一种数据保护的设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法中的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010451734.7A CN111641701B (zh) | 2020-05-25 | 2020-05-25 | 一种数据保护的方法及装置、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010451734.7A CN111641701B (zh) | 2020-05-25 | 2020-05-25 | 一种数据保护的方法及装置、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111641701A CN111641701A (zh) | 2020-09-08 |
| CN111641701B true CN111641701B (zh) | 2023-07-14 |
Family
ID=72330947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010451734.7A Active CN111641701B (zh) | 2020-05-25 | 2020-05-25 | 一种数据保护的方法及装置、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111641701B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865618B (zh) * | 2020-09-21 | 2020-12-11 | 四川新网银行股份有限公司 | 一种联动防火墙实现ssl vpn登录保护的方法 |
| CN112202824B (zh) * | 2020-12-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问的处理方法、装置及服务器、终端 |
| CN112799815B (zh) * | 2021-01-28 | 2024-04-02 | 北京钛星数安科技有限公司 | 一种实现远程浏览器分布式调度系统及方法 |
| CN113490015A (zh) * | 2021-06-30 | 2021-10-08 | 招商局金融科技有限公司 | 一种实现页面交互的方法、装置、设备及介质 |
| CN115842641A (zh) * | 2021-09-18 | 2023-03-24 | 贵州白山云科技股份有限公司 | 访问请求的处理方法、电子装置、电子设备以及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447726A (zh) * | 2010-10-15 | 2012-05-09 | 中兴通讯股份有限公司 | 页面访问方法及系统 |
| CN102647482A (zh) * | 2012-03-31 | 2012-08-22 | 奇智软件(北京)有限公司 | 一种访问网站的方法和系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010581B2 (en) * | 2001-09-24 | 2006-03-07 | International Business Machines Corporation | Method and system for providing browser functions on a web page for client-specific accessibility |
| CN102184351B (zh) * | 2011-03-08 | 2015-07-08 | 北京书生国际信息技术有限公司 | 一种内容阅读系统和方法 |
| US11928172B2 (en) * | 2011-08-04 | 2024-03-12 | Tara Chand Singhal | Systems and methods for a web browser for use in handheld wireless devices that renders web pages without advertisement |
| WO2013097066A1 (zh) * | 2011-12-26 | 2013-07-04 | 华为技术有限公司 | 一种实现远程桌面环境下网页浏览的方法、装置和系统 |
| CN103997487A (zh) * | 2014-05-04 | 2014-08-20 | 绿网天下(福建)网络科技有限公司 | 一种基于浏览器的安全上网隔离方法 |
| CN107454147B (zh) * | 2017-07-06 | 2021-04-23 | 北京龙之心科技有限公司 | 信息处理方法及装置 |
| CN111026986B (zh) * | 2018-10-10 | 2023-07-04 | 阿里巴巴集团控股有限公司 | 一种网页水印渲染方法及装置 |
| CN110348182A (zh) * | 2019-05-23 | 2019-10-18 | 李晓妮 | 一种网页文档水印嵌入的方法和装置 |
-
2020
- 2020-05-25 CN CN202010451734.7A patent/CN111641701B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447726A (zh) * | 2010-10-15 | 2012-05-09 | 中兴通讯股份有限公司 | 页面访问方法及系统 |
| CN102647482A (zh) * | 2012-03-31 | 2012-08-22 | 奇智软件(北京)有限公司 | 一种访问网站的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111641701A (zh) | 2020-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111641701B (zh) | 一种数据保护的方法及装置、设备、存储介质 | |
| US12003547B1 (en) | Protecting web applications from untrusted endpoints using remote browser isolation | |
| US20230273971A1 (en) | System and method for third party application activity data collection | |
| US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
| US11838299B2 (en) | Cloud-based web content processing system providing client threat isolation and data integrity | |
| US10798127B2 (en) | Enhanced document and event mirroring for accessing internet content | |
| JP6746746B2 (ja) | ウェブサイトのためのシステムおよび方法 | |
| CN109597957B (zh) | 第三方应用通信api | |
| US9900346B2 (en) | Identification of and countermeasures against forged websites | |
| US8291475B2 (en) | Secure cross-domain communication for web mashups | |
| US9460292B2 (en) | Dynamic rendering of a document object model | |
| US9305174B2 (en) | Electronic clipboard protection | |
| WO2022242023A1 (zh) | 资源获取方法、webvpn代理服务器、系统及服务器 | |
| US20130262696A1 (en) | Proxy server apparatus, client terminal apparatus, remote access system, transfer control method, access method, and recording medium | |
| CN115225707A (zh) | 资源访问方法及装置 | |
| CN111414642B (zh) | 一种基于网关的链接生成方法、装置、服务器和存储介质 | |
| US20170353443A1 (en) | Systems and methods for accessing multiple resources via one identifier | |
| US10013691B1 (en) | Separating control of network sites | |
| US20160028856A1 (en) | Method, system and apparatus for providing services across networks | |
| CN115695050B (zh) | 点击劫持攻击的防范方法、装置、电子设备及存储介质 | |
| US20240256651A1 (en) | Internet access systems and methods involving integrated security features | |
| CN115510363A (zh) | 页面展示方法、装置、计算机设备及存储介质 | |
| Cui et al. | Research on UPnP Protocol Security of Gateway Device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |