CN111711612B - 通信控制方法、对通信请求进行处理的方法及其装置 - Google Patents

通信控制方法、对通信请求进行处理的方法及其装置 Download PDF

Info

Publication number
CN111711612B
CN111711612B CN202010453471.3A CN202010453471A CN111711612B CN 111711612 B CN111711612 B CN 111711612B CN 202010453471 A CN202010453471 A CN 202010453471A CN 111711612 B CN111711612 B CN 111711612B
Authority
CN
China
Prior art keywords
container
information
communication
safety
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010453471.3A
Other languages
English (en)
Other versions
CN111711612A (zh
Inventor
王柏达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Springpower Technology Shenzhen Co Ltd
Original Assignee
Springpower Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Springpower Technology Shenzhen Co Ltd filed Critical Springpower Technology Shenzhen Co Ltd
Priority to CN202010453471.3A priority Critical patent/CN111711612B/zh
Publication of CN111711612A publication Critical patent/CN111711612A/zh
Application granted granted Critical
Publication of CN111711612B publication Critical patent/CN111711612B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种通信控制方法、对通信请求件处理的方法及其装置。其中通信方法包括:检测通信操作;在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息;基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的通信操作指向的第二安全容器的容器信息;依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求;将通信请求发送至服务端,以使服务端依据通信请求对第一安全容器和第二安全容器间的通信进行控制。本申请通过服务端来对通信请求进行处理,既无需在通信之前对数据进行审核,避免了因通信之前对数据进行审核对业务开展造成的影响,又起到防止数据泄露的作用。

Description

通信控制方法、对通信请求进行处理的方法及其装置
技术领域
本申请涉及计算机网络安全技术领域,具体涉及一种通信控制方法、对通信请求进行处理的方法及其装置。
背景技术
随着智能化技术的发展,数据泄露事件频繁发生。数据泄露事件主要表现为:企业内网受到攻击导致的数据泄露,非法访问导致的数据泄露,非法破解密码导致的数据泄露,使用移动存储介质非法拷贝保密资料等。
为了解决数据泄露问题,主要存在以下几种方式:一、事前拦截,这种方式在数据传输之前需要进行大量审核;二、事中防护,该方式主要是通过引入数据驱动的方式实现对网络全流量、终端全通道进行交叉式防护,发现敏感数据泄露行为,监管敏感数据的合理使用;三、事后审计,这种方式主要是通过对泄露事件进行完整回放,从而定位到泄密地点、泄密人员、行为时间等,能够起到追溯取证的作用。
上述几种方式都存在一些缺陷。例如,对于事前拦截方式,因为需要对数据进行大量的审核,所以存在影响业务开展、对业务运行造成不便的问题。对于事中防护和事后审计方式,存在对已发生的数据泄露造成的后果无法补救问题,或者因消耗人力、物力、财力等原因,存在事后补救成本高、且无法避免数据泄露造成的全部影响的问题。
发明内容
为了解决上述至少一个技术问题本申请提供一种通信控制方法、对通信请求进行处理的方法及其装置、终端和存储介质。
根据本申请的第一方面,提供了一种通信控制方法,该方法包括:
检测通信操作;
在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息;
基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的通信操作指向的第二安全容器的容器信息;
依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求;
将通信请求发送至服务端,以使服务端依据通信请求对第一安全容器和第二安全容器间的通信进行控制。
根据本申请的第二方面,提供了一种对通信请求进行处理的方法,该方法包括:
获取通信请求;
确定发起通信请求的第三安全容器的容器信息,以及接收通信请求的第四安全容器的容器信息;
基于预配置的通信控制策略,确定多个第二容器信息集;
判断第三安全容器的容器信息和第四安全容器的容器信息是否位于同一第二容器信息集;
依据判断结果,对通信请求进行处理。
根据本申请的第三方面,提供了一种通信控制装置,该装置包括:
操作检测模块,用于检测通信操作;
第一安全容器确定模块,用于在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息;
第二安全容器确定模块,用于基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的通信操作指向的第二安全容器的容器信息;
通信请求生成模块,用于依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求;
通信请求发送模块,用于将通信请求发送至服务端,以使服务端依据通信请求对第一安全容器和第二安全容器间的通信进行控制。
根据本申请的第四方面,提供了一种对通信请求进行处理的装置,该装置包括:
通信请求获取模块,用于获取通信请求;
请求信息确定模块,用于确定发起通信请求的第三安全容器的容器信息,以及接收通信请求的第四安全容器的容器信息;
通信策略信息确定模块,用于基于预配置的通信控制策略,确定多个第二容器信息集;
容器信息判断模块,用于判断第三安全容器的容器信息和第四安全容器的容器信息是否位于同一第二容器信息集;
通信请求处理模块,用于依据判断结果,对通信请求进行处理。
根据本申请的第五方面,提供了一种终端,该终端包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时以实现上述通信控制方法。
根据本申请的第六方面,提供了一种服务端,该终端包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时以实现上述对通信请求进行处理的方法。
根据本申请的第七方面,提供了一种计算机可读存储介质,该介质存储有计算机可执行指令,该计算机可执行指令用于以执行上述通信控制方法。
根据本申请的第八方面,提供了一种计算机可读存储介质,该介质存储有计算机可执行指令,该计算机可执行指令用于以执行上述对通信请求进行处理的方法。
本申请通过多个安全容器为当前终端提供了对数据进行隔离的空间,这种通过容器来对数据进行隔离的方式,起到了为不同安全等级的数据分类的作用;而第一安全容器和第二安全容器的确定,则为通信双方容器各自所属的安全域提供的判断基础,从而依据判断结果来对第一安全容器发起的通信请求进行处理,达到对第一安全容器和第二安全容器间的通信进行控制的目的,这种通过安全域来控制通信范围的方式,既无需在通信之前对数据审核,避免了因通信之前对数据进行审核对业务开展造成的影响,还起到防止数据泄露的作用。
本申请通过通信请求来确定通信双方的安全容器各自的容器信息,依据预配置的通信控制策略,确定多个第二容器信息集,从而根据多个第二容器信息集,判断通信双方的安全容器各自的容器信息是否位于同一第二容器信息集,依据判断结果来对通信请求进行处理,这种通过判断通信双方的安全容器各自的容器信息是否位于同一第二容器信息集的方式,起到了判断是否允许通信双方的安全容器进行通信的目的,实现了通过通信控制策略来控制通信范围的目的。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种通信控制方法的流程示意图;
图2为本申请实施例提供的一种对通信请求进行处理的方法的流程示意图;
图3为本申请实施例提供的一种通信控制方法和对通信请求进行处理的方法的应用***的框图结构示意图;
图4为本申请实施例提供的一种通信控制装置的框图结构示意图;以及
图5为本申请实施例提供的一种对通信请求进行处理的装置的框图结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。
下面对本申请实施例中出现的名词进行解释:
在本申请实施例中,安全容器是一种轻量化的操作***虚拟化方式,通过隔离容器内部启动的程序对外部资源的访问,包括文件***、网络、进程间通信等操作***资源。能够为安全容器内的应用程序提供一种隔离环境,并对应用程序的网络行为等做出规定。不同的安全容器可具有不同的功能,一个安全容器内的变动不会影响其他安全容器的运行环境。
在本申请实施例中,安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或***。安全域作为一种安全机制,可以是由多个安全容器构成的封闭环境。具体地,安全域为安全域内的容器提供一种隔离环境,并对安全域内的网络行为等做出了规定,同一安全域内的多个安全容器之间可进行数据流转等网络行为。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
本申请的一个实施例提供了一种通信控制方法,如图1所示,该方法包括:步骤S101至步骤S105。
步骤S101:检测通信操作。
具体地,可以在终端被启动后,进行通信操作的检测。
步骤S102:在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息。
具体地,第一安全容器是指当前终端内发起通信操作的安全容器。
具体地,运行在当前终端内的多个安全容器均可以通过各自的容器信息进行表示。
例如,假设当前终端内运行有安全容器a、安全容器b和安全容器c,这三个安全容器各自的容器信息分别为:M1、M2、M3。若检测到用户在安全容器a内发起通信操作,那么,将M1作为第一安全容器的容器信息。
步骤S103:基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的通信操作指向的第二安全容器的容器信息。
具体地,容器信息一般包括容器名称、容器编号等。
具体地,可以通过预配置的交互界面来提供容器信息列表,该容器信息列表提供有多个待选择安全容器各自对应的容器信息,以使当前终端的用户从容器信息列表中进行选择,选定通信操作指向的第二安全容器。
具体地,第二安全容器的数量一般依据用户的选定操作来确定,即,用户选定的第二安全容器可以是一个或多个。
具体地,第二安全容器既可以运行在当前终端,也可以运行在其它终端。例如,当前终端为PC客户端,若第二安全容器运行在当前终端,那么当前终端发起的为同一终端内的不同安全容器间的通信操作;若第二安全容器运行在其它PC客户端,该当前终端发起的为不同PC客户端间的通信操作。
步骤S104:依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求。
具体地,通信请求可以是向其他终端发送的存储数据的请求,也可以是读取其他终端内的数据的请求,还可以是当前终端内部的不同安全容器间进行数据读取的请求或进行数据传输的请求。
步骤S105:将通信请求发送至服务端,以使服务端依据通信请求对第一安全容器和第二安全容器间的通信进行控制。
本申请实施例,通过多个安全容器提供了对数据进行隔离的空间,这种通过安全容器来对数据进行隔离的方式,起到了为不同安全等级的数据进行分类的作用;而第一安全容器的容器信息和第二安全容器的容器信息的确定,则为生成通信请求提供了容器信息基础,从而将通信请求发送至服务端,以实现依据服务端对第一安全容器和第二安全容器间的通信进行控制的目的,这种通过服务端来控制通信范围的方式,既无需在通信之前对数据审核,避免了因通信之前对数据进行审核对业务开展造成的影响,还起到了防止数据被泄露的效果。
在一些实施例中,如图1所示,步骤S102的步骤之前,进一步包括:
步骤S1021(图中未示出):确定当前终端对应的配置信息;
步骤S1022(图中未示出):依据配置信息,在当前终端内进行容器创建处理,得到当前终端内运行的多个安全容器,并确定多个安全容器各自对应的容器信息。
在本申请实施例中,配置信息用于表征执行容器创建处理所需的信息。
具体地,当前终端对应的配置信息可以存储在当前终端本地,也可以存储在服务端。
本申请实施例通过容器创建技术为终端设备提供了容器创建的功能,以便终端在执行本申请提供的方法时,进行容器创建处理,从而得到在终端内运行多个安全容器。
在包括步骤S1021的实施例中,如图1所示,步骤S1021的步骤,进一步包括:将当前终端的设备信息发送至服务端;获取来自服务端的配置信息。
本申请实施通过服务端来向当前终端提供当前终端的配置信息,起到了通过服务端来对不同终端各自对应的配置信息进行管理的作用。
具体地,设备信息可以包括终端IP地址、MAC地址(Media Access ControlAddress)等。
具体地,当前终端在向服务端发送设备信息之前,还可以对当前终端的用户身份进行验证。例如,通过预配置的登录界面来获取身份凭证,将用户输入的该身份凭证与本地存储的已认证身份凭证进行匹配,若匹配成功,则确认用户身份通过验证;或者当前终端将用户输入的该身份凭证发送至服务端,以使服务端将该身份凭证与预存储在服务端的已认证身份凭证进行匹配,若匹配成功,则确认用户身份通过验证。具体地,身份凭证可以包括用户账号和账号密钥。
在一些实施例中,配置信息包括:多个安全域配置信息,以及多个安全域配置信息各自对应的加密密钥。
在本申请实施例中,安全域配置信息用于表征创建完成的容器所属的安全域及其相关信息。具体地,安全域的相关信息一般包括安全域内的IP地址范围。
在本申请实施例中,加密密钥用于对创建给容器的虚拟磁盘进行加密,以得到虚拟加密磁盘。
在包括步骤S1022的实施例中,如图1所示,步骤S1022的步骤,进一步包括:
依据多个安全域配置信息进行容器创建处理,得到当前终端内运行的多个安全容器;
创建多个安全容器各自对应的虚拟磁盘和虚拟网卡;
依据多个安全域配置信息对应的加密密钥,将多个安全容器各自对应的虚拟磁盘加密处理为虚拟加密磁盘;
依据容器创建处理结果,确定多个安全容器各自对应的容器信息。
具体地,依据不同的安全域配置信息创建得到的安全容器所属的安全域不同。
具体地,依据多个安全域配置信息创建得到的当前终端内运行的多个安全容器,可以属于同一安全域,也可以属于不同安全域。
具体地,任一安全容器对应的容器信息一般包括当前终端的IP地址和容器标识、容器名称等唯一表征容器的信息。其中,容器标识可以采用序列号、文档标签等形式进行表示。
具体地,还可以在当前终端向服务端发送通信请求时,利用安全域配置信息对应的加密密钥,对分配给当前终端的通信通道进行加密,起到对通信通道加密的效果。
在本申请实施例中,虚拟网卡用于向虚拟IP地址分配服务器获取分配的虚拟IP地址,以实现不同安全容器间进行相互通信。
具体地,由于安全域配置信息一般包括终端的IP地址范围时,因此,当前终端可以将该安全域配置信息发送至虚拟IP地址分配服务器,从而使得虚拟IP地址分配服务器根据该IP地址范围,来向当前终端中多个安全容器各自分配虚拟IP地址,使得多个安全域容器各自获取到的虚拟IP地址,符合所属安全域的IP地址范围,达到将安全容器接入其所属的安全域的局域网的目的。
本申请实施例通过创建容器,并为创建得到的容器创建对应虚拟加密磁盘和虚拟网卡,使得创建得到的容器能够依据虚拟加密磁盘进行文件操作,通过对***作文件进行加密、解密处理,起到了对安全容器内的数据进行访问控制的效果,防止了安全容器内的数据被泄露,达到了提高文件保密性的目的;同时,通过虚拟网卡来获取到了虚拟IP地址,从而为后续第二安全容器的运行终端来确定接收通信请求的容器。
应用时,可以参照该实施例在当前终端内进行新容器创建处理。具体地,在确定用户所选定的安全域配置信息之后,相应的加密密钥也确定。在当前终端创建虚拟磁盘之后,利用用户所选定的安全域配置信息对应的加密密钥进行加密处理,得到虚拟加密磁盘;调用本地命令,并依据用户所选定的安全域配置信息创建新容器,并将虚拟加密磁盘挂载至该新容器;调用本地命令为该新容器创建虚拟网卡,并通过该虚拟网卡向虚拟IP地址分配服务器获取虚拟IP地址。具体地,当前终端可以将新容器所依据的安全域配置信息发送至虚拟IP地址分配服务器,从而使虚拟IP地址分配服务器向新容器的虚拟网卡分配虚拟IP地址,使得新容器获取到的虚拟IP地址,符合用户所选定的安全域配置信息指向的安全域的IP地址范围。
在一些实施例中,如图1所示的通信控制方法还包括:
步骤S106(图中未示出):依据多个安全容器各自对应的虚拟加密磁盘,确定多个安全容器各自的文件存储路径查询表,以依据文件存储路径查询表进行文件查询。
在本申请实施例中,文件存储路径查询用于表征安全容器内不同文件各自的存储路径。通过该文件存储路径查询表为终端用户提供了对文件进行定位的功能,缩短了用户在虚拟加密磁盘中查询文件的时间。
在一些实施例中,步骤S105之前,进一步还包括:步骤S1051(图中未示出):将第二安全容器的容器信息与当前终端内运行的多个安全容器各自对应的容器信息进行匹配,并依据匹配结果判断第二安全容器是否运行在当前终端;步骤S105进一步包括:步骤S1052(图中未示出):若第二安全容器未运行在当前终端,则将通信请求发送至服务端。
具体地,将第二安全容器的容器信息在预先存储在当前终端的容器信息表中进行查询,由于该容器信息表中包括运行在当前终端内的多个安全容器各自对应的容器信息,通过查询可以确定第二安全容器是否运行在当前终端,从而在通信操作为跨终端安全容器间的通信操作时,通过服务端为跨终端安全容器间的通信进行处理,实现控制通信范围的目的。
在一些实施例中,步骤S105之前,进一步还包括:依据第二安全容器的容器信息,判断第二安全容器是否运行在当前终端;步骤S105进一步包括:若第二安全容器运行在当前终端,则向服务端获取通信控制策略;依据所述通信控制策略,确定多个第一容器信息集;若第一安全容器的容器信息和第二安全容器的容器信息位于同一个第一容器信息集,则将通信请求发送至第二安全容器。
具体地,当前终端向服务端发送获取通信控制策略的请求,从而获取到服务端反馈的通信控制策略。
在本申请实施例中,第一容器信息集包括允许通信的多个安全容器各自对应的容器信息。
具体地,通信控制策略一般设置为:允许同一安全域内的不同安全容器进行通信,即,第一容器信息集包括同一安全域内的所有安全容器各自的容器信息。通过该第一容器信息集的设置,将通信范围控制在同一安全域内,防止了安全域外的终端对安全域内的数据的访问,避免了域内数据被泄露,提高了数据访问的安全性。
例如,假设容器信息包含容器标识,若第一安全容器的容器标识与第二安全容器的容器标识均位于同一第一容器信息集,则可以确定第一安全容器和第二安全容器属于同一安全域,允许进行通信。
例如,假设容器信息包含虚拟IP地址,若第一安全容器的虚拟IP地址以及第二安全容器的虚拟IP地址均位于同一第一容器信息集,则可以确定第一安全容器和第二安全容器属于同一安全域,允许进行通信。
例如,假设容器信息包含安全域标识,若第一安全容器的安全域标识为DEV以及第二安全容器的安全域标识为OA均位于同一第一容器信息集,则可以确定第一安全容器和第二安全容器属于同一安全域,允许进行通信。
在本申请实施例中,安全域的边界不受物理环境限制,可通过配置相关信息动态组网进入安全域,实现安全域边界软件定义及自适应调整。其中,物理环境包括物理网络环境(例如,局域网、城域网、广域网、互联网等)及物理机器环境(例如,内部设备、自有设备、移动设备、IDC机房等)等。
具体地,通信控制策略还可以设置为:允许同一安全域内的指定的多个安全容器进行通信。例如,假设安全域1内包括安全容器a1、安全容器b1、安全容器c1、安全容器d1和安全容器e1,通信控制策略为:允许安全容器a1、安全容器b1和安全容器c1,这三个安全容器进行通信。因此,第一容器信息集包括安全域1内允许进行通信的安全容器a1的容器信息、安全容器b1的容器信息和安全容器c1的容器信息。
具体地,通信控制策略还可以设置为跨安全域的安全容器间的通信策略,即,第一容器信息集包括不同安全域各自对应的多个安全容器分别对应的容器信息。例如,假设安全域1内包括安全容器a1、安全容器b1和安全容器c1,安全域2内包括安全容器a2、安全容器b2、安全容器c2,若第一容器信息集包括安全容器a1的容器信息与安全容器a2的容器信息,那么允许位于安全域1的安全容器a1和位于安全域2的安全容器a2进行通信。也就是说,通过在第一容器信息集中设置不用安全域各自对应的安全容器的容器信息,达到了对不同安全域间通信进行控制的目的。
更具体地,可以为多个第一容器信息集设置各自对应的通信范围标签,通过通信范围标签来表征允许通信的安全域范围。例如,通信控制策略中包括两个第一容器信息集,这两个第一容器信息集各自的通信范围标签分别为:用于表示允许同一安全域内不同安全容器间通信的域内通信标签、用于表示允许跨安全域的不同安全容器通信的域外通信标签。其中,域内通信标签可以为安全域的域标签;域外通信标签可以包括两个甚至多个安全域各自的域标签。应用时,通过通信范围标签来确定是域内通信,还是跨域通信。
在本申请实施例中,当前终端通过向服务端获取预先配置的通信控制策略,从而依据通信控制策略来判断第一安全容器和第二安全容器是否允许通信。
在一些实施例中,步骤S104之前,进一步包括:步骤S1041和步骤S1042(图中未示出),步骤S104包括步骤S1043(图中未示出)。
步骤S1041:确定第一安全容器所属的安全域,以及第一安全容器中发起通信操作的目标应用;
步骤S1042:基于预配置在安全域内的应用程序控制策略,确定目标应用是否为安全域的被授权应用;
步骤S1043:若确定目标应用为安全域的被授权应用,则依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求。
具体地,创建第一安全容器所依据的安全域配置信息来确定其所属的安全域。
由于运行的当前终端的多个安全容器各自对应的容器信息,均是依据创建各个安全容器所依据的安全域配置信息以及多个安全容器各自对应的虚拟网卡获取到的虚拟IP地址来确定的。因此,当前终端的多个安全容器各自对应的容器信息可以包括虚拟IP地址和安全域配置信息指向的安全域。因此,还可以依据第一安全容器的容器信息来确定其所属的安全域。
本申请实施例通过应用程序控制策略对安全域内允许运行的应用程序进行控制,从而防止未被授权应用在容器内运行。
例如,假设第一安全容器内包括应用程序x的图标,检测到对应用程序x的图标的启动操作时,依据第一安全容器的应用程序控制策略,对应用程序x是否为第一安全容器的合法应用进行判断,若确定应用程序x为第一安全容器的合法应用,那么控制应用程序x在第一安全容器内运行,否则限制应用程序x在第一安全容器内运行。
在一些实施例中,步骤S1043中在确定目标应用为安全域的被授权应用的步骤之后,进一步包括:
基于预配置在安全域内的访问程序控制策略,确定目标应用对应的访问控制信息;
依据目标应用对应的访问控制信息,对目标应用进行控制。
本申请实施例中,目标应用可以为浏览器、即时通信工具等应用程序。
本申请实施例通过访问控制策略,对浏览器等应用程序的访问地址进行控制,起到限制浏览器等应用程序的访问范围的效果。
在本申请实施例中,访问控制策略用于表征在安全域内被允许的应用程序的网络地址或被禁止访问的网络地址,应用程序允许访问的网络地址可以通过IP地址、端口号以及URL(Uniform Resource Locator统一资源定位符)等形式进行表示。
例如,假设访问控制策略包括多个被禁止访问的游戏网页的网址,若被访问地址为被禁止访问的游戏网页的网址,那么可以对该网址访问请求进行拦截处理或关闭网络接口;若被访问地址并非被禁止访问的游戏网页的网址,则将该网址访问请求发送至对该浏览器提供服务的服务器。
本申请又一个实施例,提供了一种对通信请求进行处理的方法,如图2所示,包括:步骤S201至步骤S205。
步骤S201:获取通信请求。
具体地,服务端获取终端发送的通信请求。
步骤S202:确定发起通信请求的第三安全容器的容器信息,以及接收通信请求的第四安全容器的容器信息。
具体地,一般将容器信息设置为容器标识等唯一表征安全容器的信息。
步骤S203:基于预配置的通信控制策略,确定多个第二容器信息集。
在本申请实施例中,多个第二容器信息集用于表征多个允许通信范围。
具体地,可以为多个第二容器信息集设置各自的通信范围标签,通过通信范围标签来确定是域内通信,还是跨域通信。
例如,若第二容器信息集的通信范围标签为域内通信标签,那么该第二容器信息集包括的是允许进行通信的多个安全容器各自对应的容器信息。
步骤S204:判断第三安全容器的容器信息和第四安全容器的容器信息是否位于同一第二容器信息集。
具体地,可以将第三安全容器的容器信息和第四安全容器的容器信息,同时在多个第二容器信息集中进行查询,确定是否包括任一第二容器信息集同时包括第三安全容器的容器信息和第四安全容器的容器信息,从而判断是否允许第三安全容器和第四安全容器进行通信。
步骤S205:依据判断结果,对通信请求进行处理。
本申请实施例,通过通信请求来确定通信双方的安全容器各自的容器信息,依据预配置的通信控制策略,确定多个第二容器信息集,从而根据多个第二容器信息集,判断通信双方的安全容器各自的容器信息是否位于同一第二容器信息集,依据判断结果来对通信请求进行处理,这种通过判断通信双方的安全容器各自的容器信息是否位于同一第二容器信息集的方式,起到了判断是否允许通信双方的安全容器进行通信的目的,实现了通过通信控制策略来控制通信范围的目的。
在一些实施例中,步骤S205包括以下至少一个步骤:
若第三安全容器的容器信息和第四安全容器的容器信息位于同一第二容器信息集,则将通信请求发送至第四安全容器;
若第三安全容器的容器信息和第四安全容器的容器信息位于不同第二容器信息集,则对通信请求进行拦截处理。
具体地,第三安全容器和第四安全容器既可以运行在同一终端,也可以运行在不同终端。例如,若第三安全容器运行在PC终端,第四安全容器既可以运行在该PC终端,也可以运行在其他PC终端,还可以运行在IDC服务器端。
具体地,第二容器信息集既可以包括同一安全域内的多个安全容器各自的容器信息,也可也包括分别属于不同安全域内的多个安全容器各自对应的容器信息,也就是说,通过配置第二容器信息集,达到了控制允许通信的安全容器范围的目的。
需要说明的是,第二容器信息集可以参照上述第一容器信息集进行设置,此处不再详细说明。
在一些实施例中,步骤S205中将通信请求发送至第四安全容器,进一步包括:步骤S2051至步骤S2054(图中未示出)。
步骤S2051:确定多个终端分别对应的设备信息和容器信息间的关联关系;
步骤S2052:依据多个终端分别对应的设备信息和容器信息间的关联关系,确定第四安全容器的容器信息对应的设备信息;
步骤S2053:基于第四安全容器的容器信息对应的设备信息,确定用于接收通信请求的接收终端;
步骤S2054:将通信请求发送至接收终端,以使接收终端的第四安全容器获取通信请求。
在本申请实施例中,通过服务端来存储多个终端分别对应的设备信息和容器信息间的关联关系,从而在确定允许第三安全容器和第四安全内容器进行通信的条件下,使服务端确定出接收终端,将通信请求进行转发。
本申请实施例还提供了一种应用***,如图3所示,该***包括:可信平台100和电子设备。其中,电子设备可以是预装有操作***的移动终端或固定终端,例如智能手机、平板电脑、台式机等;还可以是IDC服务器(即互联网数据中心),例如,一般包括云端、企业内部的中控机房等。本申请涵盖任何合适的电子设备预装有Windows***的电脑,优选预装有Linux***的服务器。
本申请实施例中,电子设备包括PC终端201、PC终端202、PC终端203、IDC服务器301、IDC服务器302、IDC服务器303和IDC服务器304。
下面将以PC终端201和IDC服务器302为例,对电子设备与可信平台100的交互过程进行说明。
PC终端201的登录过程为:
PC终端201检测到账号登录的操作时,获取用户输入的认证凭证。该认证凭证一般包括用户名和用户密码。PC终端201可以依据本地存储的已注册用户凭证对该用户的用户身份进行验证,也可以将该用户输入的认证凭证发送至可信平台100,以使可信平台100对该用户的用户身份进行验证。若用户名和用户密码均正确,则该用户的用户身份通过验证,该用户为有效合法用户。在该用户的用户身份通过验证的条件下,PC终端201向可信平台100发送PC终端201的设备信息,以获取可信平台反馈的与PC终端201对应的多个配置相关信息。PC终端201获取配置相关信息后,根据配置相关信息中安全域配置信息和安全域密钥创建容器以及该容器的虚拟加密磁盘,并为该容器创建虚拟网卡,以使该容器通过其虚拟网卡获取虚拟IP地址。到此,在PC终端201完成容器创建处理,确定PC终端201完成账号登录。
具体应用时,其他PC终端,如PC终端202和PC终端203参照图PC终端201的完成账号登录。
PC终端201完成账号登录后,向可信平台100获取配置信息,从而在PC终端201进行容器创建处理,得到PC终端201内运行的多个安全容器a11和安全容器a12。
IDC服务器302的登录过程为:
检测到IDC服务器302的登录操作时,可以参照PC终端201,获取IDC服务器302的用户输入的认证凭证,并对IDC服务器302用户的用户身份进行验证。验证通过后,IDC服务器302向可信平台100发送IDC服务器302的设备信息,以获取可信平台100反馈的IDC服务器302的配置相关信息。IDC服务器302可以包括物理MAC地址、host信息等。IDC服务器302获取到配置相关信息后,根据配置相关信息中安全域配置信息和安全域密钥创建容器以及该容器的虚拟加密磁盘,并为该容器创建虚拟网卡,以使该容器通过其虚拟网卡获取虚拟IP地址。到此,完成IDC服务器302的登录。具体地,其他IDC服务器,如IDC服务器301、IDC服务器303和IDC服务器304可以参照图IDC服务器302的完成登录。
IDC服务器302完成账号登录后,参照PC终端201向可信平台100获取配置信息,从而在IDC服务器302进行容器创建处理,得到IDC服务器302内运行的安全容器b11和安全容器b12。之后,IDC服务器302向可信平台获取在可信平台100配置好的策略,该策略可以包括通信控制策略、应用程序控制策略和访问控制策略。其中,通信控制策略配置为允许同一安全域内的不同安全容器进行通信;应用程序控制策略配置为安全域内允许运行的应用程序;访问控制策略为安全域内允许运行的应用程序的可访问的端口、URL等信息。
在图3所示的实施例中,虚线框用于表征在同一安全域。如图3所示,PC终端201与IDC服务器301、IDC服务器302位于同一安全域,因此,PC终端201可以与IDC服务器301通信,IDC服务器301可以与IDC服务器302通信。IDC服务器304与IDC服务器303位于同一安全域,二者可以进行通信。PC终端202与PC终端203位于同一安全域,二者可以进行通信。本申请实施例中,同一安全域中不同安全容器间的通信传输采用加密方式。
图3中PC终端201与IDC服务器304并不位于同一安全域,因此,PC终端201与IDC服务器304之间禁止通信。也就是说,不论是PC终端201向IDC服务器304发送通信请求,还是IDC服务器304向PC终端201发送通信请求,可信平台100对获取到的IDC服务器304发送的通信请求,或PC终端201发送的通信请求均进行拦截处理。
本申请实施例还提供了一种通信控制装置,如图4所示,该装置包括:操作检测模块401、第一安全容器确定模块402、第二安全容器确定模块403、通信请求生成模块404以及通信请求处理模块405。
其中,操作检测模块401,用于检测通信操作;
第一安全容器确定模块402,用于在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息;
第二安全容器确定模块403,用于基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的通信操作指向的第二安全容器的容器信息;
通信请求生成模块404,用于依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求;
通信请求发送模块405,用于将通信请求发送至服务端,以使服务端依据通信请求对第一安全容器和第二安全容器间的通信进行控制。
本申请实施例,通过多个安全容器提供了对数据进行隔离的空间,这种通过安全容器来对数据进行隔离的方式,起到了为不同安全等级的数据进行分类的作用;而第一安全容器的容器信息和第二安全容器的容器信息的确定,则为生成通信请求提供了容器信息基础,从而将通信请求发送至服务端,以实现依据服务端对第一安全容器和第二安全容器间的通信进行控制的目的,这种通过服务端来控制通信范围的方式,既无需在通信之前对数据审核,避免了因通信之前对数据进行审核对业务开展造成的影响,还起到了防止数据被泄露的效果。
进一步地,在当前终端内运行的多个安全容器中,确定发起通信操作的第一安全容器的容器信息之前,该装置还包括:配置信息确定模块和容器创建处理模块(图中未示出)。
配置信息确定模块,用于确定当前终端对应的配置信息;
容器创建处理模块,用于依据配置信息,在当前终端内进行容器创建处理,得到当前终端内运行的多个安全容器,并确定多个安全容器各自对应的容器信息。
进一步地,配置信息确定模块包括:设备信息确定子模块和配置信息获取子模块(图中未示出)。
设备信息确定子模块,用于将当前终端的设备信息发送至服务端;
配置信息获取子模块,用于获取来自服务端的配置信息。
进一步地,配置信息包括:
多个安全域配置信息,以及多个所述安全域配置信息对应的加密密钥。
进一步地,容器创建处理模块包括:创建处理子模块、磁盘加密子模块和容器信息确定子模块(图中未示出)。
创建处理子模块,用于基于多个安全域配置信息,创建当前终端内运行的多个安全容器,以及多个安全容器各自对应的虚拟磁盘和虚拟网卡;
磁盘加密子模块,用于依据多个安全域配置信息对应的加密密钥,将多个安全容器各自对应的虚拟磁盘加密处理为虚拟加密磁盘;
容器信息确定子模块,用于依据多个安全域配置信息以及多个安全容器各自对应的虚拟网卡获取到的虚拟IP地址,确定多个安全容器各自对应的容器信息。
进一步地,将通信请求发送至服务端之前,该装置还包括:
终端判断模块(图中未示出),用于依据第二安全容器的容器信息,判断第二安全容器是否运行在当前终端;
通信请求发送模块405包括:
第一请求发送子模块(图中未示出),用于若第二安全容器未运行在当前终端,则将通信请求发送至服务端。
进一步地,通信请求发送模块405包括:通信策略获取子模块、容器信息集确定子模块和第二请求发送子模块(图中未示出)。
通信策略获取子模块,用于若第二安全容器运行在当前终端,则向服务端获取通信控制策略;
容器信息集确定子模块,用于依据通信控制策略,确定多个第一容器信息集;
第二请求发送子模块,用于若第一安全容器的容器信息和第二安全容器的容器信息位于同一个第一容器信息集,则将通信请求发送至第二安全容器。
进一步地,依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求之前,该装置还包括:应用确定子模块和应用判断子模块(图中未示出),
应用确定子模块,用于确定第一安全容器所属的安全域,以及第一安全容器中发起通信操作的目标应用;
应用判断子模块,用于基于预配置在安全域内的应用程序控制策略,确定目标应用是否为安全域的被授权应用;
通信请求生成模块包括:
通信请求生成子模块,用于若确定目标应用为安全域的被授权应用,则依据第一安全容器的容器信息和第二安全容器的容器信息,生成通信请求。
进一步地,在确定目标应用为安全域的被授权应用之后,该装置还包括:访问控制策略确定模块和应用控制模块(图中未示出)。
访问控制策略确定模块,用于基于预配置在安全域内的访问程序控制策略,确定目标应用对应的访问控制信息;
应用控制模块,用于依据目标应用对应的访问控制信息,对目标应用进行控制。
本实施例的通信控制装置可执行本申请实施例提供的通信控制方法,其实现原理相类似,此处不再赘述。
本申请实施例还提供了一种对通信请求进行处理的装置,如图5所示,该装置包括:通信请求获取模块501、请求信息确定模块502、通信策略信息确定模块503、容器信息判断模块504以及通信请求处理模块505。
其中,通信请求获取模块501,用于获取通信请求;
请求信息确定模块502,用于确定发起通信请求的第三安全容器的容器信息,以及接收通信请求的第四安全容器的容器信息;
通信策略信息确定模块503,用于基于预配置的通信控制策略,确定多个第二容器信息集;
容器信息判断模块504,用于判断第三安全容器的容器信息和第四安全容器的容器信息是否位于同一第二容器信息集;
通信请求处理模块505,用于依据判断结果,对通信请求进行处理。
本申请实施例通过通信请求来确定第三安全容器的容器信息以及第四安全容器的容器信息,基于预配置的通信控制策略,确定多个第二容器信息集,从而判断第三安全容器的容器信息和第四安全容器的容器信息是否位于同一第二容器信息集,进而依据判断结果来对通信请求进行处理,起到了根据通信控制策略控制通信范围的作用,既无需在通信之前对数据审核,避免了因通信之前对数据进行审核对业务开展造成的影响,还起到了防止数据被泄露的效果。
在一些实施例中,通信请求处理模块505包括以下至少一个子模块:
第一处理子模块(图中未示出),用于若第三安全容器的容器信息和第四安全容器的容器信息位于同一第二容器信息集,则将通信请求发送至第四安全容器;
第二处理子模块(图中未示出),用于若第三安全容器的容器信息和第四安全容器的容器信息位于不同第二容器信息集,则对通信请求进行拦截处理。
在一些实施例中,第一处理子模块包括:预存储终端信息确定单元、接收终端信息确定单元、接收终端确定单元和请求发送单元(图中未示出)。
预存储终端信息确定单元,用于确定多个终端分别对应的设备信息和容器信息间的关联关系;
接收终端信息确定单元,用于依据多个终端分别对应的设备信息和容器信息间的关联关系,确定第四安全容器的容器信息对应的设备信息;
接收终端确定单元,用于基于第四安全容器的容器信息对应的设备信息,确定用于接收通信请求的接收终端;
请求发送单元,用于将通信请求发送至接收终端,以使接收终端的第四安全容器获取通信请求。
本实施例的对通信请求进行处理的装置可执行本申请实施例提供的对通信请求进行处理的方法,其实现原理相类似,此处不再赘述。
本申请实施例还提供了一种终端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时以实现上述通信控制方法。
本申请实施例还提供了一种服务端,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时以实现上述对通信请求进行处理的方法。
具体地,处理器可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
具体地,处理器通过总线与存储器连接,总线可包括通路,以用于传送信息。总线可以是PCI总线或EISA总线等。总线可以分为地址总线、数据总线、控制总线等。
存储器可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM、CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
可选的,存储器用于存储执行本申请方案的计算机程序的代码,并由处理器来控制执行。处理器用于执行存储器中存储的应用程序代码,以实现图4所示实施例提供的通信控制装置的动作或以实现图5所示实施例提供的对通信请求进行处理的装置的动作。
本申请实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,该计算机可执行指令用于执行上述图1所示的通信控制方法。
本申请实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,该计算机可执行指令用于执行上述图2所示的对通信请求进行处理的方法。
以上所描述的装置实施例仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (12)

1.一种通信控制方法,其特征在于,包括:
检测通信操作;
在当前终端内运行的多个安全容器中,确定发起所述通信操作的第一安全容器的容器信息;
基于预配置的多个待选择安全容器各自对应的容器信息,确定所选定的所述通信操作指向的第二安全容器的容器信息;
依据所述第一安全容器的容器信息和所述第二安全容器的容器信息,生成通信请求;
将所述第二安全容器的容器信息与所述当前终端内运行的多个所述安全容器各自对应的容器信息进行匹配,并依据匹配结果判断所述第二安全容器是否运行在所述当前终端;
若所述第二安全容器未运行在所述当前终端,则将所述通信请求发送至服务端,以使所述服务端依据所述通信请求对所述第一安全容器和所述第二安全容器间的通信进行控制;
若所述第二安全容器运行在所述当前终端,则向所述服务端获取通信控制策略;
依据所述通信控制策略,确定多个第一容器信息集;
若所述第一安全容器的容器信息和所述第二安全容器的容器信息位于同一个所述第一容器信息集,则将所述通信请求发送至所述第二安全容器。
2.根据权利要求1所述的方法,其特征在于,所述在当前终端内运行的多个安全容器中,确定发起所述通信操作的第一安全容器的容器信息的步骤之前,所述方法还包括:
确定所述当前终端对应的配置信息;
依据所述配置信息,在所述当前终端内进行容器创建处理,得到所述当前终端内运行的多个所述安全容器;
确定多个所述安全容器各自对应的容器信息。
3.根据权利要求2所述的方法,其特征在于,所述配置信息包括:
多个安全域配置信息,以及多个所述安全域配置信息各自对应的加密密钥。
4.根据权利要求3所述的方法,其特征在于,所述依据所述配置信息,在所述当前终端内进行容器创建处理,得到所述当前终端内运行的多个所述安全容器的步骤,包括:
依据多个安全域配置信息进行容器创建处理,得到所述当前终端内运行的多个安全容器;
创建多个所述安全容器各自对应的虚拟磁盘和虚拟网卡;
依据多个所述安全域配置信息对应的加密密钥,将多个所述安全容器各自对应的虚拟磁盘加密处理为虚拟加密磁盘;
依据容器创建处理结果,确定多个安全容器各自对应的容器信息。
5.根据权利要求1所述的方法,其特征在于,
所述依据所述第一安全容器的容器信息和所述第二安全容器的容器信息,生成通信请求的步骤之前,所述方法还包括:
确定所述第一安全容器所属的安全域,以及所述第一安全容器中发起所述通信操作的目标应用;
基于预配置在所述安全域内的应用程序控制策略,确定所述目标应用是否为所述安全域的被授权应用;
所述依据所述第一安全容器的容器信息和所述第二安全容器的容器信息,生成通信请求的步骤,包括:
若确定所述目标应用为所述安全域的被授权应用,则依据所述第一安全容器的容器信息和所述第二安全容器的容器信息,生成所述通信请求。
6.根据权利要求5所述的方法,其特征在于,在确定所述目标应用为所述安全域的被授权应用的步骤之后,所述方法还包括:
基于预配置在所述安全域内的访问程序控制策略,确定所述目标应用对应的访问控制信息;
依据所述目标应用对应的访问控制信息,对所述目标应用进行控制。
7.一种对通信请求进行处理的方法,其特征在于,包括:
获取通信请求;
确定发起所述通信请求的第三安全容器的容器信息,以及接收所述通信请求的第四安全容器的容器信息;
基于预配置的通信控制策略,确定多个第二容器信息集;
判断所述第三安全容器的容器信息和所述第四安全容器的容器信息是否位于同一所述第二容器信息集;
依据判断结果,对所述通信请求进行处理。
8.一种对通信请求进行处理的装置,其特征在于,包括:
通信请求获取模块,用于获取通信请求;
请求信息确定模块,用于确定发起所述通信请求的第三安全容器的容器信息,以及接收所述通信请求的第四安全容器的容器信息;
通信策略信息确定模块,用于基于预配置的通信控制策略,确定多个第二容器信息集;
容器信息判断模块,用于判断所述第三安全容器的容器信息和所述第四安全容器的容器信息是否位于同一第二容器信息集;
通信请求处理模块,用于依据判断结果,对所述通信请求进行处理。
9.一种终端,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机指令,其特征在于,所述处理器运行所述计算机指令时执行权利要求1至6中任一项所述的方法。
10.一种服务端,包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的计算机指令,其特征在于,所述处理器运行所述计算机指令时执行权利要求7所述的方法。
11.一种存储介质,其上存储有计算机指令,其特征在于,所述计算机指令运行时执行权利要求1至6中任一项所述的方法。
12.一种存储介质,其上存储有计算机指令,其特征在于,所述计算机指令运行时执行权利要求7所述的方法。
CN202010453471.3A 2020-05-25 2020-05-25 通信控制方法、对通信请求进行处理的方法及其装置 Active CN111711612B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010453471.3A CN111711612B (zh) 2020-05-25 2020-05-25 通信控制方法、对通信请求进行处理的方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010453471.3A CN111711612B (zh) 2020-05-25 2020-05-25 通信控制方法、对通信请求进行处理的方法及其装置

Publications (2)

Publication Number Publication Date
CN111711612A CN111711612A (zh) 2020-09-25
CN111711612B true CN111711612B (zh) 2022-07-12

Family

ID=72537891

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010453471.3A Active CN111711612B (zh) 2020-05-25 2020-05-25 通信控制方法、对通信请求进行处理的方法及其装置

Country Status (1)

Country Link
CN (1) CN111711612B (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5920861A (en) * 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
US20140281539A1 (en) * 2012-03-30 2014-09-18 Goldman, Sachs & Co. Secure Mobile Framework With Operating System Integrity Checking
WO2012126432A2 (zh) * 2012-05-29 2012-09-27 华为技术有限公司 数据传输的方法、设备和***
US20140108793A1 (en) * 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US20190230130A1 (en) * 2013-09-20 2019-07-25 Open Text Sa Ulc System and method for updating downloaded applications using managed container
CN104573507A (zh) * 2015-02-05 2015-04-29 浪潮电子信息产业股份有限公司 一种安全容器及其设计方法
CN105847108B (zh) * 2016-05-24 2019-01-15 中国联合网络通信集团有限公司 容器间的通信方法及装置
US10439987B2 (en) * 2017-06-12 2019-10-08 Ca, Inc. Systems and methods for securing network traffic flow in a multi-service containerized application

Also Published As

Publication number Publication date
CN111711612A (zh) 2020-09-25

Similar Documents

Publication Publication Date Title
US9942274B2 (en) Securing communication over a network using client integrity verification
US11223480B2 (en) Detecting compromised cloud-identity access information
US20180367528A1 (en) Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand
EP3014847B1 (en) Secure hybrid file-sharing system
US10587605B2 (en) Certificate pinning in highly secure network environments using public key certificates obtained from a DHCP (dynamic host configuration protocol) server
US11032270B1 (en) Secure provisioning and validation of access tokens in network environments
EP3687140B1 (en) On-demand and proactive detection of application misconfiguration security threats
EP3674938B1 (en) Identifying computing processes on automation servers
US20210314339A1 (en) On-demand and proactive detection of application misconfiguration security threats
US11855993B2 (en) Data shield system with multi-factor authentication
CN113347072A (zh) Vpn资源访问方法、装置、电子设备和介质
US11296878B2 (en) Private key updating
CN111711612B (zh) 通信控制方法、对通信请求进行处理的方法及其装置
CN113992387A (zh) 资源管理方法、装置、***、电子设备和可读存储介质
US11977620B2 (en) Attestation of application identity for inter-app communications
US11757933B1 (en) System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11757934B1 (en) Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11695799B1 (en) System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11736520B1 (en) Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
CN114021094B (zh) 远程服务器登录方法、电子设备及存储介质
CN117061140A (zh) 一种渗透防御方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant