一种残膜回收机防缠绕挑膜装置的制 一种秧草收获机用电力驱动行走机构

数据访问方法、数据访问系统、计算机设备和存储介质与流程

2022-05-08 07:55:48 来源:中国专利 TAG:


1.本技术涉及通信技术领域,特别是涉及一种数据访问方法、数据访问系统、计算机设备和存储介质。


背景技术:

2.传统的vpn(virtual private network,虚拟专用网络)可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。对于资源的访问保护,传统方式是划分安全区域,在安全区域之间形成网络边界,在网络边界处部署边界安全设备。其中,边界安全设备包括防火墙、ips(intrusion prevention system,入侵防御系统)、防毒墙、waf(web application firewall,网站应用级入侵防御系统)等,边界安全设备可以对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。
3.随着云计算新兴技术的发展,并且随着业务迁移到云端,以及移动办公的趋势,企业的数据不再局限在内网,网络安全不再止于边界安全。在当前安全重心逐渐转移到数据安全,应该充分重视企业内网的数据安全,而传统的基于边界的网络安全架构和解决方案已经难以适应现代企业网络基础设施。
4.相关技术中,通过在企业内网上设置网关实现对企业内网数据的零信任机制的保护,打破信任和网络位置的默认绑定关系。而传统的vpn架构和目前零信任架构的概念,所有的接入部署、对资源的控制都集中在网关上,对网关的要求较高,数据访问的可靠性较差。


技术实现要素:

5.基于此,有必要针对上述技术问题,提供一种能够保护用户安全且稳定地访问内网数据的数据访问系统、数据访问方法、计算机设备和存储介质。
6.第一方面,本技术提供了一种数据访问方法。所述方法应用于数据访问系统,所述数据访问系统包括至少一个内网应用接入服务客户端、以及部署于公有云上的多个边缘计算节点,各所述边缘计算节点之间通过安全隧道连接,所述边缘计算节点包括至少一个用户接入服务节点、至少一个内网应用接入服务节点;所述方法包括:
7.所述用户接入服务节点接收用户访问请求,如果根据预先配置的第一认证策略,确定所述用户访问请求通过第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点;
8.所述内网应用接入服务节点接收所述用户访问请求,如果根据预先配置的第二认证策略,确定所述用户访问请求通过第二认证,则将所述用户访问请求转发至所述内网应用接入服务客户端;
9.所述内网应用接入服务客户端接收所述用户访问请求,如果根据预先配置的第三认证策略,确定所述用户访问请求通过第三认证,则通过内网将所述用户访问请求转发至所述内网应用,使所述用户端访问所述内网应用。
10.在其中一个实施例中,所述用户访问请求包括第一用户信息以及目标访问地址;
11.所述如果根据预先配置的第一认证策略,确定所述用户访问请求通过第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点,包括:
12.如果根据预先配置的用户与访问权限的对应关系,所述用户接入服务节点确定所述第一用户信息对应的第一访问权限中包含目标访问地址,则确定所述用户访问请求通过所述第一认证,将所述用户访问请求转发至所述内网应用接入服务节点。
13.在其中一个实施例中,所述第一用户信息包括第一身份特征信息以及第一通信特征信息;
14.所述如果根据预先配置的用户与访问权限的对应关系,确定所述第一用户信息对应的第一访问权限中包含目标访问地址,则确定所述用户访问请求通过所述第一认证,包括:
15.如果所述第一通信特征信息在预设目标区域内,且根据预先配置的用户与访问权限的对应关系,则确定所述第一身份特征信息对应的第一访问权限中包含目标访问地址,确定所述用户访问请求通过所述第一认证。
16.在其中一个实施例中,所述数据访问系统还包括:管控服务器、内网应用端以及至少一个用户端;所述方法还包括:
17.所述用户接入服务节点接收所述用户端发送的用户注册请求,将所述用户注册请求转发至所述管控服务器,所述用户注册请求包括预设范围内多个用户的用户信息,所述用户信息包括身份特征信息以及通信特征信息;
18.所述内网应用接入服务节点接收所述内网应用端发送的应用注册请求,将所述应用注册请求转发至所述管控服务器,所述应用注册请求包括内用应用的地址信息,所述地址信息包括通信地址以及通信端口;
19.所述管控服务器在接收到所述用户注册请求以及所述应用注册请求的情况下,根据预设的权限设置策略,根据所述身份特征信息以及通信特征信息,为所述用户注册请求中包含的各用户分配访问权限,生成用户与访问权限的对应关系,并将所述用户与访问权限的对应关系下发至所述用户接入服务节点、所述内网应用接入服务节点以及所述内网应用接入服务客户端,所述访问权限包括至少一个内网应用的地址信息,所述访问权限以使所述用户端访问所述内网应用。
20.在其中一个实施例中,所述根据预设的权限设置策略,根据所述身份特征信息以及通信特征信息,为所述用户注册请求中包含的各用户分配访问权限,生成用户与访问权限的对应关系,包括:
21.针对于所述用户注册请求中的每一用户,所述管控服务器根据所述身份特征信息以及通信特征信息,通过预设的信任特征的算法,计算所述用户对应的信任特征度;根据所述用户对应的信任特征度以及预设的权限设置策略,为所述用户分配所述信任特征度对应的访问权限,生成用户与访问权限的对应关系。
22.在其中一个实施例中,所述方法还包括:
23.在接收所述用户访问请求的所述用户接入服务节点发生故障的情况下,所述管控服务器将发生故障的所述用户接入服务节点接收到的所述用户访问请求通过所述公有云发送至其他用户接入服务节点。
24.第二方面,本技术还提供了一种数据访问系统。所述数据访问系统包括至少一个内网应用接入服务客户端、以及部署于公有云上的多个边缘计算节点,各所述边缘计算节点之间通过安全隧道连接,所述边缘计算节点包括至少一个用户接入服务节点、至少一个内网应用接入服务节点;其中:
25.所述用户接入服务节点,用于接收用户访问请求,如果根据预先配置的第一认证策略,确定所述用户访问请求通过第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点;
26.所述内网应用接入服务节点,用于接收所述用户访问请求,如果根据预先配置的第二认证策略,确定所述用户访问请求通过第二认证,则将所述用户访问请求转发至所述内网应用接入服务客户端;
27.所述内网应用接入服务客户端,用于接收所述用户访问请求,如果根据预先配置的第三认证策略,确定所述用户访问请求通过第三认证,则通过内网将所述用户访问请求转发至所述内网应用,使所述用户端访问所述内网应用。
28.第三方面,本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述的步骤。
29.第四方面,本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法实施例所述的步骤。
30.第五方面,本技术还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法实施例所述的步骤。
31.本发明提供了一种数据访问方法、数据访问系统、计算机设备和存储介质。其中,该数据访问系统部署于公有云上,包括至少一个用户接入服务节点、至少一个内网应用接入服务节点、至少一个内网应用接入服务客户端,所述用户接入服务节和所述内网应用接入服务节点是所述公有云的边缘计算节点;所述方法包括:通过所述用户接入服务节点接收用户访问请求,如果确定所述用户访问请求通过所述第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点;所述内网应用接入服务节点,如果根据预先配置的用户与访问权限的对应关系,判断所述用户访问是否通过第二认证;确定请求通过所述第二认证,则将所述用户访问请求转发至所述内网应用接入服务客户端;所述内网应用接入服务客户端,如果所述用户访问请求通过第三认证,则通过内网将所述用户访问请求转发至所述内网应用,使所述用户端访问所述内网应用。本发明实施例所提供的数据访问方法可以应用于部署在公有云的数据访问系统上,实现将网关的功能分散到公有云的各个计算节点上,并在各个节点之间通过安全转发隧道进行强关联,并进行多次安全认证,时刻保持对用户访问应用的校验、认证状态,使数据访问系统更加安全可靠。
附图说明
32.图1为一个实施例中数据访问系统的结构示意图;
33.图2为一个实施例中数据访问方法的流程示意图;
34.图3为另一个实施例中数据访问系统的结构示意图;
35.图4为一个实施例中数据转发步骤的流程示意图;
36.图5为一个实施例中计算机设备的内部结构图。
具体实施方式
37.为了使本技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本技术进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本技术,并不用于限定本技术。
38.本技术实施例提供的数据访问方法,可以应用于如图1所示应用环境中的数据访问系统,所述数据访问系统包括至少一个内网应用接入服务客户端500、管控服务器400以及部署于公有云上的多个边缘计算节点,各所述边缘计算节点之间通过安全隧道连接,所述边缘计算节点包括至少一个用户接入服务节点200、至少一个内网应用接入服务节点300,内网应用接入服务客户端500部署于内网上。其中,公有云可以是阿里云或者是腾讯云等其他任意各种云资源。用户端100通过该数据访问系统访问内网600上的应用(内网应用)。其中,用户端100可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。内网应用接入服务客户端500可以是服务器。
39.在本实施例中,提供了一种数据访问方法,如图2所示,包括以下步骤:
40.步骤102,用户接入服务节点接收用户访问请求,如果根据预先配置的第一认证策略,确定用户访问请求通过第一认证,则将用户访问请求转发至内网应用接入服务节点。
41.其中,用户接入服务节点200是公有云上的边缘计算节点,数据访问系统可以包括多个用户接入服务节点200,用户接入服务节点200通过第一安全隧道与用户端100连接。预先配置的第一认证策略可以是根据实际应用场景确定的安全认证方式,具体可以是根据用户访问请求中所携带的信息进行认证的方式。
42.具体地,响应于用户的登录操作,用户端100获取用户输入的用户名称信息以及用户密码信息,在用户端100根据所述用户名称信息以及用户密码信息,确定所述用户验证通过的情况下,用户端100显示成功登陆的提示信息,该提示信息用于提示用户成功登陆用户端100。这样,响应于用户对用户端100的数据访问操作,用户端100可以获取该数据访问操作对应的数据访问请求,用户端100可以通过第一安全隧道将该数据访问请求发送至公有云上的用户接入服务节点200。其中,数据访问请求可以是用户通过用户端100申请访问内网的应用的请求。
43.步骤104,内网应用接入服务节点接收用户访问请求,如果根据预先配置的第二认证策略,确定用户访问请求通过第二认证,则将用户访问请求转发至内网应用接入服务客户端。
44.其中,预先配置的第二认证策略可以是根据实际应用场景确定的安全认证方式,具体可以是根据用户访问请求中所携带的信息进行认证的方式。预先配置的第一认证策略与预先配置的第二认证策略可以是相同的策略,也可以是不同的策略,具体可以根据接收到数据访问请求时,公有云上的边缘计算节点所在环境的安全程度来确定。
45.具体地,用户接入服务节点200将通过第一认证的用户访问请求,通过第二安全隧
道转发至内网应用接入服务节点300。具体转发的过程可以是:用户接入服务节点200根据用户访问请求所要访问的目标应用,确定该目标应用对应的内网应用接入服务节点300客户端以及内网应用接入服务节点300,用户接入服务节点200可以将通过第一认证的用户访问请求转发至目标应用对应的内网应用接入服务节点300。这样,内网应用接入服务节点300在接收到用户访问请求后,会根据预先配置的第二认证策略对用户访问请求进行认证,具体认证的过程可以是根据用户访问请求所携带的信息进行认证。如果用户接入服务节点200确定用户访问请求通过第二认证,则将用户访问请求通过第三安全隧道转发至内网应用接入服务客户端500。
46.步骤106,内网应用接入服务客户端接收用户访问请求,如果根据预先配置的第三认证策略,确定用户访问请求通过第三认证,则通过内网将用户访问请求转发至内网应用,使用户端访问内网应用。
47.其中,预先配置的第三认证策略可以是根据实际应用场景确定的安全认证方式,具体可以是根据用户访问请求中所携带的信息进行认证的方式。预先配置的第一认证策略、预先配置的第二认证策略以及预先配置的第三认证策略可以是相同的策略,也可以是不同的策略,具体可以根据接收到数据访问请求时,内网应用接入服务客户端500所在环境的安全程度来确定。
48.具体地,内网应用接入客户端可以是部署在内网上的客户端,与公有云上的内网应用接入服务节点300进行通信以及内网上的应用进行通信。
49.上述数据访问方法中,用户接入服务节点接收用户访问请求,如果确定用户访问请求通过第一认证,则将用户访问请求转发至内网应用接入服务节点;内网应用接入服务节点,如果根据预先配置的用户与访问权限的对应关系,判断用户访问是否通过第二认证;确定请求通过第二认证,则将用户访问请求转发至内网应用接入服务客户端;内网应用接入服务客户端,如果用户访问请求通过第三认证,则通过内网将用户访问请求转发至内网应用,使用户端访问内网应用。本发明实施例所提供的数据访问方法可以应用于部署在公有云的数据访问系统上,实现将网关的功能分散到公有云的各个计算节点上,并在各个节点之间通过安全转发隧道进行强关联,并进行多次安全认证,时刻保持对用户访问应用的校验、认证状态,使数据访问系统更加安全可靠。
50.在其中一个实施例中,用户访问请求包括第一用户信息以及目标访问地址。
51.相应地,步骤102:“如果根据预先配置的第一认证策略,确定所述用户访问请求通过第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点”,包括:
52.如果根据预先配置的用户与访问权限的对应关系,所述用户接入服务节点确定所述第一用户信息对应的第一访问权限中包含目标访问地址,确定所述用户访问请求通过所述第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点。
53.其中,第一用户信息包括第一身份特征信息以及第一通信特征信息,第一身份特征信息可以包括该用户的姓名信息、性别信息以及所属于的组织信息;第一通信特征信息可以包括该用户的移动终端信息、移动终端标识信息等等,移动终端标识信息可以是手机号信息等等。
54.具体地,用户接入服务节点200接收到用户端100通过第一安全隧道发送的用户访问请求。这样,用户接入服务节点200可以对用户访问请求进行解析,得到第一身份特征信
息以及第一通信特征信息。用户接入服务节点200根据预先配置的用户与访问权限的对应关系,得到第一用户信息对应的第一访问权限(第一访问地址集合)。这样,用户接入服务节点200判断在第一访问地址集合中是否包含该目标访问地址。如果在第一访问地址集合中包含该目标访问地址,则用户接入服务节点200可以确定用户访问请求通过第一认证。在确定用户访问请求通过第一认证的情况下,用户接入服务节点200将所述用户访问请求转发至所述内网应用接入服务节点。
55.在一个示例中,如果在第一访问地址集合中不包含该目标访问地址,则用户接入服务节点200可以确定用户访问请求未通过第一认证。这样,用户接入服务节点200可以生成禁止访问的提示信息,通过第一安全隧道将该禁止访问的提示信息返回至用户端100。
56.在其中一个实施例中,第一用户信息包括第一身份特征信息以及第一通信特征信息。
57.相应地,上述步骤“如果根据预先配置的用户与访问权限的对应关系,所述用户接入服务节点确定所述第一用户信息对应的第一访问权限中包含目标访问地址,确定所述用户访问请求通过所述第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点”,包括:
58.如果所述第一通信特征信息在预设目标区域内,且根据预先配置的用户与访问权限的对应关系,所述用户接入服务节点确定所述第一身份特征信息对应的第一访问权限中包含目标访问地址,确定所述用户访问请求通过所述第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点。
59.其中,第一身份特征信息可以包括该用户的姓名信息、性别信息以及所属于的组织信息;第一通信特征信息可以包括该用户的移动终端信息、移动终端标识信息以及该移动终端所在位置信息。
60.具体地,用户接入服务节点200在接收到用户端100发送的用户访问请求后,会对该用户访问请求进行解析,得到该用户对应的第一身份特征信息、第一通信特征信息以及目标访问地址;这样,用户接入服务节点200可以判断第一身份特征信息中的所属于的组织信息,是否与目标访问地址的内网应用所对应的内网的组织信息一致;如果一致,用户接入服务节点200可以判断移动终端标识信息的组织信息与目标访问地址的内网应用所对应的内网的组织信息一致;如果一致,用户接入服务节点200可以判断该移动终端所在位置信息是否在预设目标区域内,如果在预设目标区域内的话,用户接入服务节点200可以根据预先配置的用户与访问权限的对应关系,判断第一访问权限中是否包含目标访问地址。如果用户接入服务节点200确定第一身份特征信息对应的第一访问权限中包含目标访问地址,则确定用户访问请求通过第一认证,可以将所述用户访问请求转发至所述内网应用接入服务节点。
61.在一个示例中,第二认证策略的第二认证过程,以及第三认证策略的第三认证过程与上述第一认证策略的第一认证过程类似,在此不再赘述。
62.本实施例中所提供的数据访问方法可以在控制面不再依赖单一的网关节点,而是分散网关节点的功能项,并在各个分散的节点之间通过分段的安全转发隧道进行强关联,在各个节点上,基于流量、用户进行安全认证,保证用户在认证通过之后,能够时刻保持对用户访问应用的校验、认证状态。
63.在其中一个实施例中,如图1所示,该数据访问系统还包括:管控服务器400、内网应用端600以及至少一个用户端100,内网上包括多个内部应用,内网600就是内网应用端600。该管控服务器400部署于公有云上。相应地,如图3所示,该数据访问方法还包括:
64.步骤202,用户接入服务节点接收用户端发送的用户注册请求,将用户注册请求转发至管控服务器。
65.其中,用户注册请求包括预设范围内多个用户的用户信息,用户信息包括身份特征信息以及通信特征信息。预设范围内可以是目标组织(企业)范围内。预设范围内多个用户可以是目标组织所包含的多个员工等等。身份特征信息可以包括姓名信息、性别信息以及所属于的组织信息;通信特征信息可以包括移动终端信息、移动终端标识信息等等。
66.具体地,目标组织内可以包括多个层级(部门),每一层级内可以包括多个子层级,各个子层级还可以包括多个孙子层级,各个层级内可以包括多个用户。例如,目标组织可以包括第一层级以及第二层级,第一层级包括第一子层级以及第二子层级,第二层级可以包括第三子层级以及第四子层级。各个子层级内可以包括多个用户。
67.这样,用户端100可以获取目标组织内的层级架构信息以及各个层级内包含的各个用户的用户信息,根据上述目标组织内的层级架构信息以及各个层级内包含的各个用户的用户信息生成用户注册请求,
68.步骤204,内网应用接入服务节点接收内网应用端发送的应用注册请求,将应用注册请求转发至管控服务器。
69.其中,应用注册请求包括内用应用的地址信息,地址信息包括通信地址以及通信端口,例如,通信地址是内网应用的ip地址,如:100.1.1.2;通信端口是内网应用的端口号,如:6000。
70.具体地,内网应用端可以包括多个应用,内网应用端根据包含的多个应用的ip地址信息以及端口号信息生成应用注册请求,并将该应用注册请求直接转发至内网应用接入客户端,内网应用客户端再将应用注册请求转发至对应的内网应用接入服务节点300。内网应用接入服务节点300将应用注册请求转发至管控服务器。
71.在一种示例中,内网应用端可以响应于内网应用的选中操作,获取目标内网应用,并获取目标内网应用的ip地址信息以及端口号信息,生成目标内网应用对应的应用注册请求。
72.步骤206,管控服务器在接收到用户注册请求以及应用注册请求的情况下,根据预设的权限设置策略,根据身份特征信息以及通信特征信息,为用户注册请求中包含的各用户分配访问权限,生成用户与访问权限的对应关系,并将用户与访问权限的对应关系下发至用户接入服务节点、内网应用接入服务节点以及内网应用接入服务客户端。
73.其中,访问权限包括至少一个内网应用的地址信息,访问权限以使用户端100访问内网应用。预设的权限设置策略是授权访问策略,实际上可以是管理人员根据在管控服务器上输入的,用户的安全等级与内网应用之间的对应关系;用户的安全等级可以是根据用户的用户信息计算得到的,用户的安全等级也可以是由管理人员直接设定的,具体用户的安全等级的确定方式可以根据实际应用场景确定。
74.具体地,管控服务器可以根据预设的用户的安全等级与内网应用之间的对应关系,计算该用户的目标安全等级,并确定该目标安全等级对应的内网应用的目标通信地址
信息。这样,管控服务器可以为该用户分配对应的内网应用的访问权限,用以使该用户可以访问该目标通信地址信息对应的内网应用,通信地址信息例如可以是ip地址信息或者是mac地址信息等等。
75.这样,管控服务器可以将用户与访问权限的对应关系下发至公有云上的多个用户接入服务节点200、多个内网应用接入服务节点300以及与内网应用接入服务节点300对应的内网应用接入服务客户端500。
76.在本实施例中,该数据访问方法可以使用户以及内网应用同时向管控服务器发起注册请求,双向接入数据访问系统,也就是在通过在用户内网上部署专一的用户接入客户端,可以让用户内网(内网应用)可以直接跟数据访问系统的节点实现反向接入,这样可以构建数据转发安全隧道,避免内网应用的端口号暴露在公网,避免公网基于端口号对于内网应用的攻击。
77.在其中一个实施例中,该数据访问方法还包括:
78.在接收用户访问请求的用户接入服务节点200发生故障的情况下,管控服务器将发生故障的用户接入服务节点200接收到的用户访问请求通过公有云发送至其他用户接入服务节点200。
79.具体地,管控服务器可以以预设的心跳机制对公有云上的各个边缘计算节点进行监测,判断该边缘计算节点是否正常运行。在管控服务器监测到接收用户访问请求的用户接入服务节点200发生故障的情况下,管控服务器可以接管该发生故障的用户接入服务节点,并将该节点接收到的用户访问请求转发至其他正常运行的用户接入服务节点。具体转发的过程可以是:管控服务器确定与该发生故障的用户接入服务节点地理位置最近的其他正常运行的用户接入服务节点,进行用户访问请求的转发;或者也可以是:管控服务器确定与该发生故障的用户接入服务节点地理位置一定范围内,且边缘计算资源最多的其他正常运行的用户接入服务节点,进行用户访问请求的转发。这样,在其他正常运行的用户接入服务节点接收到管控服务器转发的用户访问请求后,针对该用户访问请求,可以继续执行上述步骤102至步骤106所执行的过程。
80.可选地,管控服务器是以预设的心跳机制对公有云上的各个边缘计算节点进行监测,通过判断各个边缘计算节点的可达性信息和故障性信息,判断该边缘计算节点是否能够正常运行。
81.本实施例中所提供的数据访问方法可以通过分散的节点实现分散网络攻击,在整条转发路径的节点遭受攻击瘫痪的情况下,其他的接入节点用户仍然可以继续访问。转发面的分层也让转发路径更加的安全可靠,某一个分段出现通信故障,可以部分路径切换,而无需整体路径的切换。
82.在其中一个实施例中,该数据访问方法还包括:
83.针对于用户注册请求中的每一用户,管控服务器根据身份特征信息以及通信特征信息,通过预设的信任特征的算法,计算用户对应的信任特征度;根据用户对应的信任特征度以及预设的权限设置策略,为用户分配信任特征度对应的访问权限,生成用户与访问权限的对应关系。
84.如图4所示,以下结合一个具体示例,详细描述该数据访问方法以及数据访问系统的应用过程,该数据访问系统包括用户端(pc、手机)、用户接入服务节点、内网应用接入服
务节点、管控服务器、内网应用接入服务客户端。管控服务器与用户接入服务节点、内网应用接入服务节点、内网应用接入服务客户端均进行连接,可以进行通信,在图4已经示出。内网还包括内网用户应用以及用户内网网关。
85.步骤1,管理人员通过管控服务器对内网的多个用户的用户信息进行导入,同时管控服务器接管数据访问系统的用户接入服务节点(用户侧接入服务节点)、内网应用接入服务节点、内网应用接入客户端以及内网应用端。
86.步骤2,在公有云计算网络上的各个边缘计算节点上部署上述服务节点,包括用户接入服务节点、内网应用接入服务节点;在用户内网的内部部署内网应用接入服务客户端。
87.步骤3,用户接入服务节点用于提供用户端的接入服务功能。该接入服务功能的实现过程可以包括:用户接入服务节点对用户端(用户的移动端设备)进行安全认证,可以通过用户名以及用户密码进行安全认证。这样,管控服务器可以进行用户信任特性的计算,并创建内网应用的授权访问策略,即用户与访问权限的对应关系;创建用户端和用户接入服务节点的双向安全转发隧道1,创建用户接入服务节点和内网应用接入服务节点的双向安全转发隧道2,并将隧双向安全转发隧道1和双向安全转发隧道2进行双向绑定。用户接入服务节点从隧道1接收到的已经通过安全认证的用户流量,在需要访问内网应用的情况下,可以直接通过隧道1和隧道2的绑定关系,直接将用户端发送的用户流量(用户访问请求)向隧道2进行转发。
88.步骤4,内网应用接入服务节点和内网应用接入服务客户端,是相对应的部署功能。他们主要的功能:a、内网应用接入客户端服务,去向内网应用接入服务去安全接入认证功能。b、屏蔽内网应用的端口号,对公有云接入节点而言,只能看到内网应用接入服务,而看不到向其注册的内网应用接入客户端,这样很好的保护了内网用户的应用。c、创建内网应用接入服务和内网应用接入客户端服务的双向安全转发隧道3。d、将双向安全转发隧道2和双向安全转发隧道3进行双向绑定。
89.可选地,内网应用接入服务节点1和内网应用接入服务客户端1需要部署相对应的功能,内网应用接入服务客户端1,去向内网应用接入服务1去安全接入认证功能。也就是说,内网应用接入服务客户端1,去向内网应用接入服务1去安全接入认证功能。端口号只会显示在服务端,由于内网应用也作为客户端向内网应用服务节点进行注册,此时,内网应用可以作为客户端,因此报文从内网应用接入服务节点向内网应用转发的时候,外层的报文不需要封装tcp或者udp的端口号,也就是实现了用户内网向内网应用接入服务节点以及内网应用接入服务客户端的反向注册。
90.内网应用接入服务从隧道2过来的通过安全认证的用户流量,在访问内网应用之际,可以直接通过隧道2和隧道3的绑定关系,直接将用户侧过来的流量向隧道3进行转发。
91.例如,内网应用的ip地址可以是100.1.1.2,通信端口号可以是6000;并在内网应用的内部部署内网应用接入服务的客户端,并跟公有云边界内网应用接入服务,建立隧道3;建立成功之后,表示内网应用接入服务从用户接入服务发送过来的数据报文是可以访问内网网络应用的。管控则将组织结构a;员工b;以及内网应用的ip地址和端口号下发给用户端的接入服务。将内网应用的100.1.1.2:6000跟隧道2进行绑定。pc用访问内网应用100.1.1.2:6000;数据报文在pc端直接通过隧道1发送给用户端接入服务,在服务上面进行二次安全认证,以及策略授权,通过了授权的策略,则将数据报文向隧道2进行转发。内网应
用接入服务,从隧道2收到数据报文之后,则三次进行安全认证,以及策略授权,通过了授权的策略,则将数据报文向隧道3进行转发。内网应用接入服务从隧道3收到数据报文,则四次进行安全认证,以及策略授权,通过了授权的策略,则将数据报文,通过组织的内网,转发到内网用户应用。
92.本实施例中所提供的数据访问方法可以实现了一种基于零信任架构的安全分层访问内网机制。将零信任中的要点进行分层实现,贯穿整个功能实现路径,以此来提高各个节点的可靠性。在控制层面,对接入部署、对资源的控制都不在统一部署在统一的网关上,而是将用户接入、认证、授权、信任度特征计算都分散在系统的各个云计算网络节点上面进行工作,分散目前系统中对单一网关节点的依赖。在转发层面,转发路径计算的转发隧道,不再需要部署转发的vpn接入设备,而是利用现有的公有云网络资源,利用本方案控制层面实现的分散的功能实现节点,实现了分层路径转发的方式,可以增加整条转发路径不同分段的稳定性和安全性。
93.应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
94.基于同样的发明构思,本技术实施例还提供了一种用于实现上述所涉及的数据访问方法的数据访问系统。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个数据访问系统实施例中的具体限定可以参见上文中对于数据访问方法的限定,在此不再赘述。
95.本技术实施例提供了一种数据访问系统,所述系统部署于公有云上,所述公有云包括多个边缘计算节点,各所述边缘计算节点之间通过安全隧道连接,所述系统包括至少一个用户接入服务节点200、至少一个内网应用接入服务节点300、至少一个内网应用接入服务客户端500;其中:
96.所述用户接入服务节点200,用于接收用户访问请求,如果根据预先配置的第一认证策略,确定所述用户访问请求通过第一认证,则将所述用户访问请求转发至所述内网应用接入服务节点300;
97.所述内网应用接入服务节点300,用于接收所述用户访问请求,如果根据预先配置的第二认证策略,确定所述用户访问请求通过第二认证,则将所述用户访问请求转发至所述内网应用接入服务客户端500;
98.所述内网应用接入服务客户端500,用于接收所述用户访问请求,如果根据预先配置的第三认证策略,确定所述用户访问请求通过第三认证,则通过内网将所述用户访问请求转发至所述内网应用,使所述用户端100访问所述内网应用。
99.上述数据访问系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
100.在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储与访问相关的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据访问方法。
101.本领域技术人员可以理解,图5中示出的结构,仅仅是与本技术方案相关的部分结构的框图,并不构成对本技术方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
102.在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
103.在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
104.在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
105.需要说明的是,本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
106.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory,rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory,mram)、铁电存储器(ferroelectric random access memory,fram)、相变存储器(phase change memory,pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory,ram)或外部高速缓冲存储器等。作为说明而非局限,ram可以是多种形式,比如静态随机存取存储器(static random access memory,sram)或动态随机存取存储器(dynamic random access memory,dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
107.以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
108.以上所述实施例仅表达了本技术的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本技术专利范围的限制。应当指出的是,对于本领域的普通技术人员
来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术的保护范围应以所附权利要求为准。
再多了解一些

本文用于企业家、创业者技术爱好者查询,结果仅供参考。

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表

相关文献