CN113572746A - 数据处理方法、装置、电子设备及存储介质 - Google Patents
数据处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113572746A CN113572746A CN202110786950.1A CN202110786950A CN113572746A CN 113572746 A CN113572746 A CN 113572746A CN 202110786950 A CN202110786950 A CN 202110786950A CN 113572746 A CN113572746 A CN 113572746A
- Authority
- CN
- China
- Prior art keywords
- policy
- access
- service system
- service
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/27—Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种数据处理方法、装置、电子设备及存储介质,应用于云技术领域,具体涉及云安全技术领域。其中方法包括:获取第一业务***发送的针对第二业务***的业务访问请求,若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将查询到的访问策略确定为目标访问策略,若在本地策略缓存库中未查询到该访问策略且在云端策略存储库中查询到该访问策略,则将查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库,当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。采用本申请实施例,可以提高策略查询效率。
Description
技术领域
本申请涉及云技术领域,尤其涉及一种数据处理方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的不断发展,防火墙作为安全屏障,被大量的使用。由于防火墙中安全策略条目的不断增加,现有的防火墙技术需要查找安全策略时,通常需要遍历全量的安全策略,增加了防火墙的负载,甚至会降低防火墙的性能。因此,如何在使用防火墙过程中提高策略查找效率成为一个亟待解决的问题。
发明内容
本申请实施例提供了一种数据处理方法、装置、电子设备及存储介质,可以提高策略查询效率。
一方面,本申请实施例提供了一种数据处理方法,该方法包括:
获取第一业务***发送的针对第二业务***的业务访问请求;
若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略;
若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库;
当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
一方面,本申请实施例提供了一种数据处理装置,该装置包括:
获取模块,用于获取第一业务***发送的针对第二业务***的业务访问请求;
查询模块,用于若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略;
查询模块,还用于若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库;
发送模块,用于当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
一方面,本申请实施例提供了一种电子设备,该电子设备包括处理器和存储器,其中,存储器用于存储计算机程序,该计算机程序包括程序指令,处理器被配置用于调用该程序指令,执行上述方法中的部分或全部步骤。
一方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序包括程序指令,该程序指令被处理器执行时,用于执行上述方法中的部分或全部步骤。
相应地,根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括程序指令,该程序指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该程序指令,处理器执行该程序指令,使得该计算机设备执行上述提供的数据处理方法。
本申请实施例中可以获取第一业务***发送的针对第二业务***的业务访问请求,若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略,若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库,当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。通过实施上述所提出的方法,可以在获取到业务访问请求时,先从本地策略缓存库中查询访问策略,在未查询到时再从云端策略存储库中查询该访问策略,从而可以减小访问策略的查询负担,和提高策略查询效率,此外,在确定了目标访问策略时,还可以进一步判断是否合法,从而可以保证策略安全性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a为本申请实施例提供的一种应用架构示意图;
图1b为本申请实施例提供的一种应用架构示意图;
图2为本申请实施例提供的一种数据处理方法的流程示意图;
图3为本申请实施例提供的一种数据处理方法的流程示意图;
图4a为本申请实施例提供的一种访问策略配置的场景示意图;
图4b为本申请实施例提供的一种访问策略配置的场景示意图;
图4c为本申请实施例提供的一种访问策略配置的场景示意图;
图5为本申请实施例提供的一种访问策略创建的场景示意图;
图6为本申请实施例提供的一种敏感名单地址配置的场景示意图;
图7为本申请实施例提供的一种业务访问请求处理的场景示意图;
图8为本申请实施例提供的一种业务访问请求处理的场景示意图;
图9a为本申请实施例提供的一种业务访问请求处理的交互示意图;
图9b为本申请实施例提供的一种业务访问请求处理的交互示意图;
图10a为本申请实施例提供的一种业务访问请求处理的交互示意图;
图10b为本申请实施例提供的一种业务访问请求处理的交互示意图;
图10c为本申请实施例提供的一种业务访问请求处理的交互示意图;
图10d为本申请实施例提供的一种业务访问请求处理的交互示意图;
图11为本申请实施例提供的一种访问策略缓存的场景示意图;
图12为本申请实施例提供的一种数据处理装置的结构示意图;
图13为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提出的数据处理方法可实现于电子设备,该电子设备可以是服务器,也可以是终端设备。其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。
本申请实施例可涉及云技术相关技术领域,比如具体可涉及云安全技术领域,其中,云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。可以通过执行本申请的技术方案和利用云安全服务实现策略的快速查找以保证网络安全。
请参见图1a,图1a为本申请实施例提供的一种应用架构示意图,可以通过该应用架构执行本申请所提出的数据处理方法。如图1a所示,图1a可包括电子设备、第一业务***和第二业务***。其中,电子设备可以用于执行本申请的技术方案以实现防火墙技术,以及第一业务***可以部署于第一设备中,第二业务***可以部署于第二设备中,因此第一业务***所在设备、第二业务***所在设备以及提供防火墙功能的电子设备三者独立,以及电子设备可以对应有一个前端设备,该前端设备部署了策略管理平台,该策略管理平台可以用于配置和管理防火墙的访问策略(即安全策略)。基于此,第一业务***可以基于业务需要向第二业务***发起业务访问请求,电子设备在接收到该业务访问请求时会查询该业务访问请求对应的访问策略,若查询到该访问策略且属于合法的访问策略时,将该访问请求发送给第二业务***,以使第二业务***执行业务操作。因此,电子设备相当于配置有一个防火墙,具有防火墙功能。可选的,第一设备和第二设备可以是服务器,也可以是终端设备。
在一个实施例中,请参见图1b,图1b为本申请实施例提供的一种应用架构示意图,提供防火墙功能的电子设备还可以与第二业务***所在设备为同一个设备。基于此,当电子设备获取到第一业务***发送的业务访问请求且查询到了合法的访问策略时,可以调用第二业务***以执行业务操作。相应的,策略管理平台对应的后台设备则与电子设备为两***立的设备。因此,第二业务***所在第二设备(电子设备)相当于配置有一个防火墙,具有防火墙功能。相应的,第一业务***所在第一设备中也可以同样实现上述防火墙功能。可选的,后台设备可以是服务器,也可以是终端设备。
可以理解的是,图1a和图1b只是示例性地表征本申请技术方案的可能存在的多种应用架构,并不对本申请技术方案的具体架构进行限定,即本申请技术方案还可以提供其他形式的应用架构。此外,为了便于阐述,除非特别指明,后续本申请均以应用图1a所示的应用架构为例进行说明。
可选的,在一些实施例中,电子设备可根据实际的业务需求,执行该数据处理方法以提高策略查询效率。本申请技术方案可以应用于任意可以使用防火墙功能的场景中,例如数据传输的场景中、或***间请求业务服务的场景。以应用在***间请求业务服务的场景中,电子设备可以通过本申请技术方案实现在获取到第一业务***向第二业务***发送的业务访问请求时,从本地策略缓存库中或者云端策略存储库中查询访问策略,进而将业务访问请求发送至第二业务***,然后第二业务***可以执行所请求的业务操作以实现业务服务,即电子设备可以获取到业务访问请求时,调用防火墙功能查询访问策略,通过本申请技术方案可以提高查询访问策略时的效率。
可选的,本申请涉及的数据如访问策略等,可以存储于数据库中,或者可以存储于区块链中,如通过区块链分布式***存储,本申请不做限定。
其中,区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。例如,在本申请中,可以通过区块链提供数据存储功能,并可进行访问策略的查询。
可以理解,上述场景仅是作为示例,并不构成对于本申请实施例提供的技术方案的应用场景的限定,本申请的技术方案还可应用于其他场景。例如,本领域普通技术人员可知,随着***架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
基于上述的描述,本申请实施例提出了一种数据处理方法,该方法可以由上述提及的电子设备来执行。请参见图2,图2为本申请实施例提供的一种数据处理方法的流程示意图。如图2所示,本申请实施例的数据处理方法的流程可以包括如下:
S201、获取第一业务***发送的针对第二业务***的业务访问请求。
其中,第一业务***可以是任意请求业务服务的***,如信息查询***,第二业务***可以是任意提供业务服务的***,如信息存储***。业务访问请求用于请求第二业务***执行业务操作以实现业务服务。需要说明的说,假设***A向***B发送业务访问请求时,***A为第一业务***,***B为第二业务***,若***B可以向***A发送业务访问请求,则***B为第一业务***,***A为第二业务***,即***A和***B均可以具备请求业务服务功能和提供业务服务功能。以及在***A向***B发送业务访问请求的条件下和在***B向***A发送业务访问请求的条件下,执行的原理和过程相同。
S202、若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略。
在一个可能的实施方式中,电子设备在获取到业务访问请求之后,会针对该业务访问请求进行访问策略的查询。第一业务***与第二业务***之间的访问策略表示第一业务***可以对第二业务***进行访问。访问策略中包括发起方通信地址和目标方通信地址,当电子设备查询到在一个访问策略中,发起方通信地址为第一业务***的第一通信地址,目标方通信地址为第二业务***的第二通信地址时,将该访问策略确定为第一业务***与第二业务***之间的访问策略。
在一个可能的实施方式中,电子设备在进行访问策略的查询时,为了减轻查询负担和提高查询效率,可以先在本地策略缓存库中查询是否存在第一业务***与第二业务***之间的访问策略,若可以查询到,则无需再从云端策略存储库中查询该访问策略。
其中,本地策略缓存库中可以包含N个访问策略,N为正整数,该N个访问策略中的每个访问策略均具有对应的缓存时间戳,以及访问策略在本地策略缓存库中的存储是有期限的,即访问策略具有最大缓存时长,电子设备可以周期性地查询访问策略的缓存时长,并基于该最大缓存时长判断是否在本地策略缓存库中访问策略进行清理,以减少访问策略的占用空间,以及可以防止电子设备积攒无效的访问策略(即长时间未查询的访问策略)。因此,电子设备可以按照周期节点获取所缓存的每个访问策略对应的缓存时间戳所指示的时刻分别与周期节点所指示的时刻之间的时间间隔,即为缓存时长,并删除N个访问策略中对应的时间间隔大于或等于时间间隔阈值的访问策略。可选的,不同的访问策略可以具有相同或不同的时间间隔阈值。
S203、若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库。
其中,当电子设备未能从本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略时,可以从云端策略存储库中再次查询,若可以查询到该访问策略,则将该访问策略确定为目标访问策略,并对该目标访问策略进行缓存,即将目标访问策略添加到本地策略缓存库中。该云端策略存储库中可以存储有M个访问策略,M大于或等于N。以及,可以在将目标访问策略成功缓存至本地策略缓存库中后,设置该目标访问策略的时间间隔阈值。
因此,可以理解为,云端策略存储库中所存储的M个访问策略即为全量的访问策略,本地策略缓存库中可以缓存有近期所使用过的若干访问策略。
S204、当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
在一个可能的实施方式中,电子设备可以利用第一业务***的第一通信地址和第二业务***的第二通信地址判断该目标访问策略是否属于合法的访问策略,若第一通信地址和第二通信地址均为正常通信地址,则该目标访问策略属于合法的访问策略。电子设备可以将该业务访问请求发送给第二业务***,第二业务***会执行该业务访问请求所请求的业务操作,在得到执行业务操作后的业务响应数据时,可以是将该业务响应数据返回至电子设备,由电子设备转发给第一业务***,或者,也可以是将该业务响应数据直接返回至第一业务***。
本申请实施例中可以获取第一业务***发送的针对第二业务***的业务访问请求,若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略,若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库,当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。通过实施本申请实施例所提出的方法,可以在获取到业务访问请求时,先从本地策略缓存库中查询访问策略,在未查询到时再从云端策略存储库中查询该访问策略,从而可以减小访问策略的查询负担,和提高策略查询效率,此外,在确定了目标访问策略时,还可以进一步判断是否合法,从而可以保证策略安全性。
请参加图3,图3为本申请实施例提供的一种数据处理方法的流程示意图,该方法可以由上述提及的电子设备执行,此处以电子设备为终端设备为例进行说明。如图3所示,本申请实施例中数据处理方法的流程可以包括如下:
S301、获取第一业务***发送的针对第二业务***的业务访问请求。
在一个可能的实施方式中,在第一业务***想要访问第二业务***之前,需进行第一业务***与第二业务***之间的访问策略的配置。因此,电子设备可以获取第一业务***发送的第一策略创建请求,第一策略创建请求可以包括第一业务***的***身份信息,该***身份信息可以包括第一业务***的第一通信地址,第一策略创建请求还可以包括第二业务***的第二通信地址,电子设备在对***身份信息审核通过后,根据***身份信息生成第二策略创建请求,并将第二策略创建请求发送给第二业务***,获取第二业务***在对第二策略创建请求中的***身份信息审核通过后所返回的确认创建信息,根据确认创建信息创建第一业务***与第二业务***之间的访问策略,并将所创建的访问策略添加到云端策略存储库中。
其中,电子设备对***身份信息审核可以是通过策略管理员登录策略管理平台来进行人工审核,也可以是电子设备对***身份信息进行自动审核;以及可以是第一业务***对应的技术人员登录策略配置平台并进行访问策略的配置,第一业务***对应的技术人员所登录的策略配置平台基于所配置的访问策略生成第一策略创建请求并发送至电子设备或者策略管理员所登录的策略管理平台以进行审核,也可以是第一业务***对应的技术人员所登录的策略配置平台向策略管理员所登录的策略管理平台发送携带***身份信息的第一策略创建请求,由策略管理员所登录的策略管理平台基于策略创建请求进行访问策略的配置;在访问策略配置完成且审核通过后,电子设备根据配置好的访问策略进行创建,并将创建好的访问策略更新到云端策略存储库中的访问策略表中。
例如,如图4a所示,图4a为本申请实施例提供的一种访问策略配置的场景示意图,其中,可以通过策略管理平台提供的“新增策略”配置页面,通过输入访问策略名称(第一业务***-第二业务***)、发起方通信地址(第一业务***的第一通信地址)、目标方通信地址(第二业务***的第二通信地址)。
可选的,在访问策略中的发起方通信地址和目标方通信地址可以是IP地址,也可以是IP地址段。若第一业务***的通信地址或第二业务***的通信地址可能会出现IP地址跳变的情况,或者,第一业务***想申请访问多个处于同一IP地址段内的第二业务***,或者,第二业务***想接收多个处于同一IP地址段内的第一业务***的访问,则可以在访问策略中将发起方通信地址和目标方通信地址配置为IP地址段。以及,当发起方通信地址和/或目标方通信地址为IP地址段时,还可以配置IP地址段内的例外IP地址,该例外IP地址为无法进行访问或发起访问的地址。第一业务***和第二业务***之间的访问策略中包括的发起方通信地址和目标方通信地址均为IP地址段时,电子设备在查询到访问策略后,会对业务访问请求进行解析得到在该业务访问请求发起时的第一业务***的第一通信地址,并判断该第一通信地址是否在发起方通信地址中的例外IP地址,以及判断该第二通信地址是否在目标方通信地址中的例外IP地址,若第一通信地址和/或第二通信地址为例外IP地址,则向第一业务***发送访问失败提示信息。
例如,如图4b所示,图4b为本申请实施例提供的一种访问策略配置的场景示意图,其中,当发起方或目标方配置为IP地址段时,可以在“例外名单”处设置例外IP地址。
在一个可能的实施方式中,若第二业务***对应存在上级管理***,则目标访问策略可以包括第一业务***与上级管理***之间的第一层级访问策略,以及包括第一业务***与第二业务***之间的第二层级访问策略。第一业务***只有先向上级管理***发送第一业务访问请求,才可以向第二业务***发送第二业务访问请求,同时本地策略缓存库中需缓存有第二层级访问策略。即第一层级访问策略也可以称为主策略,第二层级访问策略也可以称为子策略。可选的,第二业务***和上级管理***可以部署在同一个设备上,也可以是部署在不同设备上,即第二业务***和上级管理***可以是属于一个分布式***。
基于此,电子设备在获取到第一业务访问请求时,先从本地策略缓存库中查询是否存在主策略,若存在,将第一业务访问请求发送至上级管理***,若不存在,则在云端策略存储库中查询主策略,在查询时,若发现该主策略对应存在子策略时,将主策略和子策略添加到本地策略缓存库中,并将第一业务访问请求发送至上级管理***;第一业务***在接收到上级管理***针对第一业务访问请求返回的响应数据时,向第二业务***发送第二业务访问请求,电子设备在获取到第二业务访问请求时,在本地策略缓存库中查询子策略,若查询到子策略,则将第二业务访问请求发送给第二业务***,若未查询到,向第一业务***发送访问失败提示信息,即不再进行查询。
例如,第一业务***为员工身份信息查询***,第二业务***为员工身份信息存储***,上级管理***为企业信息管理***,员工身份信息查询***若想向员工身份信息存储***发送第二业务访问请求以查询某部分员工身份信息,需先向企业信息管理***发送申请查询权限的第一业务访问请求,电子设备在获取到第一业务访问请求之后,查询主策略,若查询到了则将第一业务访问请求发送给企业信息管理***,此时本地策略缓存库中同时存在主策略和子策略,第一业务***在接收到企业信息管理***针对第一业务访问请求返回的授权信息之后,将包括授权信息的第二业务访问请求发送给第二业务***,电子设备在获取到第二业务访问请求之后,查询子策略,若在本地策略缓存库中查询到了子策略,则将第二业务访问请求发送给第二业务***。
例如,如图4c所示,图4c为本申请实施例提供的一种访问策略配置的场景示意图,其中,可以在配置完主策略后,通过触发“添加子策略”控件进行子策略的配置。子策略的配置方式可以同主策略的配置方式。
又如,如图5所示,图5为本申请实施例提供的一种访问策略创建的场景示意图,其中,电子设备根据配置的访问策略进行创建,并将创建好的访问策略更新到云端策略存储库中访问策略表中,该访问策略表表示:(1)访问策略001没有对应的主策略,访问策略名称表明由业务***A向业务***B发起业务访问请求,发起方IP为业务***A的通信地址,目标方IP为业务***B的通信地址,执行列对应的“ALLOW”表示的允许访问,例外名单列对应的“N/A”表示该访问策略无例外IP地址;(2)访问策略002有对应的主策略,且主策略为访问策略001,访问策略名称表明由业务***A向业务***C发起业务访问请求,因此业务***A之后再访问业务***B后才能访问业务***C,否则不能访问;访问策略003没有对应的主策略,访问策略名称表明由业务***A向业务***D、E、F发起业务访问请求,目标方IP为包含了业务***D、E、F的通信地址的IP地址段。
S302、若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略。
在一个可能的实施方式中,本地策略缓存库中包括N个访问策略,其中的每个访问策略均具有对应的缓存时间戳,因此电子设备若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略具体可以是,从N个访问策略中查询第一业务***与第二业务***之间的初始访问策略,获取初始访问策略对应的缓存时间戳,并获取初始访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔,若时间间隔小于时间间隔阈值,则确认在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,将初始访问策略确定为目标访问策略,并将目标访问策略对应的缓存时间戳更新为当前时刻所指示的时间戳。
因此可以使得查询较为频繁的访问策略在本地策略缓存库中的时间增加,避免又重新去云端策略存储库中查询,从而可以提高查询效率。该时间间隔阈值为访问策略的最大缓存时长。以及需要说明的是,电子设备在查询访问策略时,可以是在查询到第一层级访问策略或第二层级访问策略时,对该第一层级访问策略和第二层级访问策略的缓存时间戳均更新为当前时刻所指示的时间戳,也可以是只有在查询到第一层级访问策略时,在将第一层级访问策略和第二层级访问策略的缓存时间戳进行更新。
在一个可能的实施方式中,电子设备若确定所查询到的访问策略的时间间隔大于或等于时间间隔阈值,则删除本地策略缓存中的初始访问策略,并确认在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略。也就是说,即使电子设备在本地策略缓存库中查询到了初始访问策略,若该初始访问策略过期(时间间隔大于或等于时间间隔阈值),仍然表示未查询到第一业务***与第二业务***之间的访问策略。
S303、若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库。
在一个可能的实施方式中,电子设备若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略(包括未查询到以及查询到了但访问策略已过期),则从云端策略存储库中再次进行查询。因此可以实现触发式下发访问策略数据,即在电子设备获取到业务访问请求且未在本地策略缓存库中查询到访问策略中,才从云端策略存储库中查询并下发所查询到访问策略。
304、获取第一业务***对应的第一通信地址以及第二业务***对应的第二通信地址。
在一个可能的实施方式中,电子设备查询到了访问策略之后,可以从业务访问请求中获取第一业务***对应的第一通信地址和第二业务***的第二通信地址,若该访问策略中的发起方通信地址和/或目标方通信地址为IP地址段时,查询该第一通信地址和/或第二通信地址是否为例外IP地址,若为,则向第一业务***发送访问失败提示信息,若不为,则可执行步骤S305。
S305、若第一通信地址和第二通信地址均属于正常通信地址,则确认目标访问策略属于合法的访问策略。
在一个可能的实施方式中,策略管理员可以在策略管理平台配置,为敏感名单地址中的通信地址则表示是异常通信地址。
因此,电子设备可以从用于存储敏感名单地址的云端敏感名单存储库中查询第一通信地址和第二通信地址是否为正常通信地址,若均属于正常通信地址,则确认目标访问策略属于合法的访问策略;若第一通信地址或第二通信地址属于敏感名单地址,则为异常通信地址,确定目标访问策略为非法的访问策略。其中,敏感名单地址可以包括以下任一项或多项:黑名单地址、敏感数据地址,和资产管理地址。敏感名单地址还可以包括其他类型地址,可以由相关业务人员根据实际业务需求指定。其中,黑名单地址可以是异常访问的地址等,敏感数据地址可以是涉及重要的敏感信息的地址等,资产管理地址可以是用于对用户资产进行管理的地址等。
例如,如图6所示,图6为本申请实施例提供的一种敏感名单地址配置的场景示意图,其中,可以通过策略管理平台提供的“敏感名单管理”配置页面实现敏感名单地址的配置。
在一个可能的实施方式中,当目标访问策略为非法的访问策略时,电子设备可以确定目标访问策略中的发起方通信地址和目标方通信地址是为IP地址还是IP地址段,若发起方通信地址或目标方通信地址为IP地址时,可以删除本地策略缓存库或/和云端策略存储库中的目标访问策略,并向第一业务***发送访问失败提示信息;若发起方通信地址和目标方通信地址均为IP地址段时,可以删除本地策略缓存库或/和云端策略存储库中的目标访问策略,或者,还可以将该为敏感名单地址的第一通信地址或第二通信地址设置为目标访问策略中发起方通信地址或目标方通信地址的例外IP地址中。例如,目标方通信地址为IP地址段10.1.1.0,第二通信地址10.1.1.2,若第二通信地址为敏感名单地址,则可以是将该目标访问策略进行删除;或者,可以是,将该IP地址10.1.1.2配置为目标方通信地址中的例外IP地址。
可选的,电子设备可以是在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略时,从云端策略存储库中查询该访问策略,若查询到该访问策略,再确定该目标访问策略是否为合法的访问策略;或者,也可以是在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,并在查询之后确定第一业务***与第二业务***之间的访问策略是否为合法的访问策略;或者,也可以是,在先确定第一业务***与第二业务***之间的访问策略是否为合法的访问策略,若合法时,再从本地策略缓存库或者云端策略存储库中查询该第一业务***与第二业务***之间的访问策略。
S306、当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
在一个可能的实施方式中,基于上述描述,请参见图7,图7为本申请实施例提供的一种业务访问请求处理的场景示意图,其中,1、第一业务***可以通过策略管理平台发起携带***身份信息的第一策略创建请求以申请可以向第二业务***进行访问;2、策略管理员可以在策略管理平台进行访问策略的配置且该***身份信息已审核通过;3、电子设备获取第一业务***发送的业务访问请求;4、电子设备从云端策略存储库中查询并下发访问策略;5、电子设备将访问策略缓存在本地策略缓存库中,并将业务访问请求转发至第二业务***。
又如,请参见图8,图8为本申请实施例提供的一种业务访问请求处理的场景示意图,其中,策略管理平台用于配置和管理策略,策略管理平台上配置到敏感名单地址存储在云端敏感名单存储库中,电子设备创建好的访问策略添加到云端策略存储库中;第一业务***向第二业务***发送业务访问请求,电子设备接收到业务访问请求之后在本地策略缓存库中查询访问策略,若未查询到,则从云端策略存储库中查询,在查询到访问策略后可以将该访问策略缓存至本地策略缓存库中,并可以进行访问策略的信息配置(最大缓存时间、以及周期节点等信息),以及可以按照周期节点在本地策略缓存库中进行访问策略扫描以删除过期的访问策略,电子设备在查询并缓存访问策略且基于云端敏感名单存储库的查询结果确定该访问策略为合法的策略时,将业务访问请求转发至第二业务***。
基于所示出的图8,本申请实施例的执行过程可以参见图9a,图9a为本申请实施例提供的一种业务访问请求处理的交互示意图,其中:
(1)策略管理平台接收第一策略创建请求并进行***身份信息的审核和访问策略的配置,在基于配置的策略完成创建后存储在云端策略存储库;
(2)第一业务***发起业务访问请求,电子设备获取业务访问请求;
(3)电子设备查询本地策略缓存库中的访问策略:
a)若查询到,判断该访问策略是否过期:
i)若过期,向第一业务***发送访问失败提示信息;
ii)若未过期,更新访问策略的缓存时间戳;
b)若未查询到,电子设备则从云端策略存储库中查询:
i)若查询到该访问策略,以及查询到对应的子策略,将该访问策略和子策略添加到本地策略缓存库中;
ii)若仍未查询到,电子设备向第一业务***发送访问失败提示信息;
(4)电子设备基于云端敏感名单存储库的查询结果判断访问策略是否为合法的策略:
a)若为合法的策略,电子设备将该业务访问请求发送第二业务***,以使第二业务***执行业务访问请求所指示的业务操作,并将得到的业务结果数据返回至第一业务***;
b)若为非法的访问策略,删除本地策略缓存库或/和云端策略存储库中的访问策略,并向第一业务***发送访问失败提示信息。
或者,请参见图9b,图9b为本申请实施例提供的一种业务访问请求处理的交互示意图,还可以是电子设备接收到业务访问请求后,先判断访问策略是否为合法的策略,若为合法的策略时,再进行访问策略的查询,即:
(1)策略管理平台接收第一策略创建请求并进行***身份信息的审核和访问策略的配置,在基于配置的策略完成创建后存储在云端策略存储库;
(2)第一业务***发起业务访问请求,电子设备获取业务访问请求;
(3)电子设备基于云端敏感名单存储库的查询结果判断访问策略是否为合法的策略:
a)若为合法的策略,执行(4);
b)若为非法的访问策略,删除本地策略缓存库或/和云端策略存储库中的访问策略,并向第一业务***发送访问失败提示信息。
(4)电子设备查询本地策略缓存库中的访问策略:
a)若查询到,判断该访问策略是否过期:
i)若过期,向第一业务***发送访问失败提示信息;
ii)若未过期,更新访问策略的缓存时间戳,并将该业务访问请求发送第二业务***,以使第二业务***执行业务访问请求所指示的业务操作,并将得到的业务结果数据返回至第一业务***;
b)若未查询到,电子设备则从云端策略存储库中查询:
i)若查询到该访问策略,以及查询到对应的子策略,将该访问策略和子策略添加到本地策略缓存库中,并将该业务访问请求发送第二业务***,以使第二业务***执行业务访问请求所指示的业务操作,并将得到的业务结果数据返回至第一业务***;
ii)若仍未查询到,电子设备向第一业务***发送访问失败提示信息。
例如,如图10a-图10b所示,图10a-图10b为本申请实施例提供的一种业务访问请求处理的交互示意图,其中,图10a-图10b表示若本地策略缓存库未缓存有访问策略且基于云端策略存储库中的访问策略表,电子设备所进行业务访问请求处理的执行步骤(设云端策略存储库中的访问策略表如图5所示):
(1)电子设备会对本地策略缓存库进行初始化以清理过期的缓存策略,以及根据定时任务周期性清理本地策略缓存库中过期的缓存策略;
(2)业务***A向业务***C发送第二业务访问请求;
(3)电子设备未在本地策略缓存库中查询到第二层级访问策略;
(4)电子设备在云端策略存储库中查询到第二层级访问策略,但由于需通过第一层级访问策略才能将第二层级访问策略添加到本地策略缓存库中,因此仍向第一业务***发送访问失败提示信息;
(5)业务***A向业务***B发送第一业务访问请求;
(6)电子设备未在本地策略缓存库中查询到第一层级访问策略;
(7)电子设备在云端策略存储库中查询到第一层级访问策略,并将第一层级访问策略(策略001)、第二层级访问策略(策略002)添加到本地策略缓存库中,记录当前缓存时间戳;
(8)电子设备判断第一层级访问策略是否为合法的策略:为合法的策略,将第一业务访问请求发送给业务***B;
(9)业务***A再次向业务***C发送第二业务访问请求;
(10)电子设备在本地策略缓存库中查询到第二层级访问策略,并获取第二层级访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔是否超过时间间隔阈值(例如24小时):
a)超过,删除本地策略缓存库中的第一层级访问策略和第二层级访问策略,并向第一业务***发送访问失败提示信息;
b)未超过,执行步骤(11);
(11)电子设备判断第二层级访问策略是否为合法的策略:为合法的策略,将第二业务访问请求发送给业务***C;
(12)业务***B向业务***D发送业务访问请求;
(13)电子设备未在本地策略缓存库中查询到业务***B与业务***D之间的访问策略;
(14)电子设备在云端策略存储库中查询到访问策略,并将访问策略(策略003)添加到本地策略缓存库中,记录当前缓存时间戳;
(15)电子设备判断访问策略是否为合法的策略:为合法的策略,将该业务查询请求发送给业务***D;
(16)业务***B向业务***E发送业务访问请求;
(17)电子设备在本地策略缓存库中查询到业务***B与业务***E之间的访问策略(策略003);
(18)电子设备在云端敏感名单存储库中查询业务***E的通信地址,若业务***E的通信地址命中敏感名单地址,向业务***B发送访问失败提示信息,并将业务***E的通信地址设置为例外IP地址;
(19)业务***B再次向业务***E发送业务访问请求;
(20)电子设备在本地策略缓存库中查询到业务***B与业务***E之间的访问策略(策略003),但确认该业务***E的通信地址为例外IP地址,则仍然向业务***B发送访问失败提示信息。
上述图10a为步骤(1)-步骤(11),图10b为步骤(12)-步骤(20),以及在图10a-图10b中,是以先从本地策略缓存库或云端策略存储库中进行访问策略的查询,再判断该访问策略是否为合法的策略为例进行说明的,此外,电子设备还可以按照先从本地策略缓存库中进行查询,然后判断访问策略是否为合法的策略,最后再次云端策略存储库中进行查询的步骤执行,即请参见图10c-图10d所示,图10c-图10d为本申请实施例提供的一种业务访问请求处理的交互示意图,其中:
(1)电子设备会对本地策略缓存库进行初始化以清理过期的缓存策略,以及根据定时任务周期性清理本地策略缓存库中过期的缓存策略;
(2)业务***A向业务***C发送第二业务访问请求;
(3)电子设备未在本地策略缓存库中查询到第二层级访问策略;
(4)电子设备判断第二层级访问策略是否为合法的策略:为合法的策略,在云端策略存储库中查询第二层级访问策略;
(5)电子设备在云端策略存储库中查询到第二层级访问策略,但由于需通过第一层级访问策略才能将第二层级访问策略添加到本地策略缓存库中,因此仍向第一业务***发送访问失败提示信息;
(6)业务***A向业务***B发送第一业务访问请求;
(7)电子设备未在本地策略缓存库中查询到第一层级访问策略;
(8)电子设备判断第一层级访问策略是否为合法的策略:为合法的策略,在云端策略存储库中查询第一层级访问策略;
(9)电子设备在云端策略存储库中查询到第一层级访问策略,将第一层级访问策略(策略001)、第二层级访问策略(策略002)添加到本地策略缓存库中,记录当前缓存时间戳,并将第一业务访问请求发送给业务***B;
(10)业务***A再次向业务***C发送第二业务访问请求;
(11)电子设备在本地策略缓存库中查询到第二层级访问策略,并获取第二层级访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔是否超过时间间隔阈值(例如24小时):
a)超过,删除本地策略缓存库中的第一层级访问策略和第二层级访问策略,并向第一业务***发送访问失败提示信息;
b)未超过,由于此前查询得知第二层级访问策略为合法的策略,因此电子设备将第二业务访问请求发送给业务***C;
(其中,电子设备后续若需在本地策略缓存库中查询第一层级访问策略,则在查询到第一层级访问策略时,判断该第一层级访问策略是否过期;若过期,则删除第一层级访问策略和第二层级访问策略;若未过期,则更新第一层级访问策略和第二层级访问策略的缓存时间戳。)
(12)业务***B向业务***D发送业务访问请求;
(13)电子设备未在本地策略缓存库中查询到业务***B与业务***D之间的访问策略;
(14)电子设备判断访问策略是否为合法的策略:为合法的策略,在云端策略存储库中查询业务***B与业务***D之间的访问策略;
(15)电子设备在云端策略存储库中查询到访问策略,将访问策略(策略003)添加到本地策略缓存库中,记录当前缓存时间戳,并将该业务查询请求发送给业务***D;
(16)业务***B向业务***E发送业务访问请求;
(17)电子设备在本地策略缓存库中查询到业务***B与业务***E之间的访问策略(策略003);
(18)电子设备在云端敏感名单存储库中查询业务***E的通信地址,若业务***E的通信地址命中敏感名单地址,向业务***B发送访问失败提示信息,并将业务***E的通信地址设置为例外IP地址;
(19)业务***B再次向业务***E发送业务访问请求;
(20)电子设备在本地策略缓存库中查询到业务***B与业务***E之间的访问策略(策略003),但确认该业务***E的通信地址为例外IP地址,则仍然向业务***B发送访问失败提示信息。
上述图10c为步骤(1)-步骤(11),图10d为步骤(12)-步骤(20)。
以及,请参见图11,图11为本申请实施例提供的一种访问策略缓存的场景示意图,在执行完上述步骤之后,在本地策略缓存库中所得到的访问策略表可以如图11所示。
本申请实施例中可以获取第一业务***发送的针对第二业务***的业务访问请求,若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略,若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库,获取第一业务***对应的第一通信地址以及第二业务***对应的第二通信地址,若第一通信地址和第二通信地址均属于正常通信地址,则确认目标访问策略属于合法的访问策略,当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。通过实施本申请实施例所提出的方法,可以在获取到业务访问请求时,先从本地策略缓存库中查询访问策略,在未查询到时再从云端策略存储库中查询该访问策略,从而可以减小访问策略的查询负担,和提高策略查询效率,此外,在确定了目标访问策略时,还可以进一步判断是否合法,从而可以保证策略安全性。
请参见图12,图12为本申请提供的一种数据处理装置的结构示意图。需要说明的是,图12所示的数据处理装置,用于执行本申请图2和图3所示实施例的方法,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示,经参照本申请图2和图3所示的实施例。该数据处理装置1200可包括:获取模块1201、查询模块1202、发送模块1203。其中:
获取模块1201,用于获取第一业务***发送的针对第二业务***的业务访问请求;
查询模块1202,用于若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略;
查询模块1202,还用于若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库;
发送模块1203,用于当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
在一个可能的实施方式中,本地策略缓存库包含N个访问策略,该N个访问策略中的每个访问策略均具有对应的缓存时间戳,N为正整数;查询模块1202还用于:
按照周期节点获取每个访问策略对应的缓存时间戳所指示的时刻分别与该周期节点所指示的时刻之间的时间间隔;
删除N个访问策略中对应的时间间隔大于或等于时间间隔阈值的访问策略。
在一个可能的实施方式中,查询模块1202在用于若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略时,具体用于:
从N个访问策略中查询第一业务***与第二业务***之间的初始访问策略;
获取初始访问策略对应的缓存时间戳,并获取初始访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔;
若初始访问策略对应的时间间隔小于时间间隔阈值,则确认在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,将初始访问策略确定为目标访问策略,并将目标访问策略对应的缓存时间戳更新为当前时刻所指示的时间戳。
在一个可能的实施方式中,查询模块1202还用于:
若初始访问策略对应的时间间隔大于或等于时间间隔阈值,则删除本地策略缓存库中的初始访问策略,并确认在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略。
在一个可能的实施方式中,发送模块1203还用于:
获取第一业务***对应的第一通信地址以及第二业务***对应的第二通信地址;
若第一通信地址和第二通信地址均属于正常通信地址,则确认目标访问策略属于合法的访问策略;
若第一通信地址或第二通信地址属于异常通信地址,则确认目标访问策略属于非法的访问策略,删除本地策略缓存库和云端策略存储库中的目标访问策略,并向第一业务***发送访问失败提示信息。
在一个可能的实施方式中,若第二业务***对应存在上级管理***,则目标访问策略包含第一业务***与上级管理***之间的第一层级访问策略,以及包含第一业务***与第二业务***之间的第二层级访问策略。
在一个可能的实施方式中,获取模块1201还用于:
获取第一业务***发送的第一策略创建请求;该策略创建请求包含第一业务***的***身份信息;
对***身份信息审核通过后,根据***身份信息生成第二策略创建请求,并将第二策略创建请求发送给第二业务***;
获取第二业务***在对第二策略创建请求中的***身份信息审核通过后所返回的确认创建信息;
根据确认创建信息创建第一业务***与第二业务***之间的访问策略,将所创建的访问策略添加到云端策略存储库。
本申请实施例中,获取模块获取第一业务***发送的针对第二业务***的业务访问请求,查询模块若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略,查询模块若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库,发送模块当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。通过实施上述所提出的装置,可以在获取到业务访问请求时,先从本地策略缓存库中查询访问策略,在未查询到时再从云端策略存储库中查询该访问策略,从而可以减小访问策略的查询负担,和提高策略查询效率,此外,在确定了目标访问策略时,还可以进一步判断是否合法,从而可以保证策略安全性。
在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以是两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现,本申请不做限定。
请参见图13,图13为本申请实施例提供的一种电子设备的结构示意图。如图13所示,该电子设备1300包括:至少一个处理器1301、存储器1302。可选的,该电子设备还可包括网络接口。其中,处理器1301、存储器1302以及网络接口之间可以交互数据,网络接口受处理器1301的控制用于收发消息,存储器1302用于存储计算机程序,该计算机程序包括程序指令,处理器1301用于执行存储器1302存储的程序指令。其中,处理器1301被配置用于调用该程序指令执行上述方法。
其中,存储器1302可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器1302也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory),固态硬盘(solid-state drive,SSD)等;存储器1302还可以包括上述种类的存储器的组合。
其中,处理器1301可以是中央处理器(central processing unit,CPU)。在一个实施例中,处理器1301还可以是图形处理器(Graphics Processing Unit,GPU)。处理器1301也可以是由CPU和GPU的组合。
在一个可能的实施方式中,存储器1302用于存储程序指令。处理器1301可以调用该程序指令,执行以下步骤:
获取第一业务***发送的针对第二业务***的业务访问请求;
若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略;
若在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略,且在云端策略存储库中查询到第一业务***与第二业务***之间的访问策略,则将在云端策略存储库中查询到的访问策略确定为目标访问策略,并将目标访问策略添加到本地策略缓存库;
当目标访问策略属于合法的访问策略时,将业务访问请求发送给第二业务***,以使第二业务***执行业务访问请求所请求的业务操作。
在一个可能的实施方式中,本地策略缓存库包含N个访问策略,该N个访问策略中的每个访问策略均具有对应的缓存时间戳,N为正整数;处理器1301还用于:
按照周期节点获取每个访问策略对应的缓存时间戳所指示的时刻分别与该周期节点所指示的时刻之间的时间间隔;
删除N个访问策略中对应的时间间隔大于或等于时间间隔阈值的访问策略。
在一个可能的实施方式中,处理器1301在用于若在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,则将在本地策略缓存库中查询到的访问策略确定为目标访问策略时,具体用于:
从N个访问策略中查询第一业务***与第二业务***之间的初始访问策略;
获取初始访问策略对应的缓存时间戳,并获取初始访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔;
若初始访问策略对应的时间间隔小于时间间隔阈值,则确认在本地策略缓存库中查询到第一业务***与第二业务***之间的访问策略,将初始访问策略确定为目标访问策略,并将目标访问策略对应的缓存时间戳更新为当前时刻所指示的时间戳。
在一个可能的实施方式中,处理器1301还用于:
若初始访问策略对应的时间间隔大于或等于时间间隔阈值,则删除本地策略缓存库中的初始访问策略,并确认在本地策略缓存库中未查询到第一业务***与第二业务***之间的访问策略。
在一个可能的实施方式中,处理器1301还用于:
获取第一业务***对应的第一通信地址以及第二业务***对应的第二通信地址;
若第一通信地址和第二通信地址均属于正常通信地址,则确认目标访问策略属于合法的访问策略;
若第一通信地址或第二通信地址属于异常通信地址,则确认目标访问策略属于非法的访问策略,删除本地策略缓存库和云端策略存储库中的目标访问策略,并向第一业务***发送访问失败提示信息。
在一个可能的实施方式中,若第二业务***对应存在上级管理***,则目标访问策略包含第一业务***与上级管理***之间的第一层级访问策略,以及包含第一业务***与第二业务***之间的第二层级访问策略。
在一个可能的实施方式中,处理器1301还用于:
获取第一业务***发送的第一策略创建请求;该策略创建请求包含第一业务***的***身份信息;
对***身份信息审核通过后,根据***身份信息生成第二策略创建请求,并将第二策略创建请求发送给第二业务***;
获取第二业务***在对第二策略创建请求中的***身份信息审核通过后所返回的确认创建信息;
根据确认创建信息创建第一业务***与第二业务***之间的访问策略,将所创建的访问策略添加到云端策略存储库。
具体实现中,上述所描述的数据处理装置1200、处理器1301、存储器1302等可执行上述方法实施例所描述的实现方式,也可执行本申请实施例所描述的实现方式,在此不再赘述。
本申请实施例中还提供一种计算机(可读)存储介质,该计算机存储介质存储有计算机程序,计算机程序包括程序指令,程序指令被处理器执行时,使处理器可执行上述方法实施例中所执行的部分或全部步骤。可选的,该计算机存储介质可以是易失性的,也可以是非易失性的。计算机可读存储介质可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据区块链节点的使用所创建的数据等。
在本文中提及的“多个”是指两个或两个以上。以及提及的“和/或”是描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。以及提及的字符“/”一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,前述的程序可存储于计算机存储介质中,该计算机存储介质可以为计算机可读存储介质,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所揭露的仅为本申请的部分实施例而已,当然不能以此来限定本申请之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本申请权利要求所作的等同变化,仍属于本申请所涵盖的范围。
Claims (10)
1.一种数据处理方法,其特征在于,所述方法包括:
获取第一业务***发送的针对第二业务***的业务访问请求;
若在本地策略缓存库中查询到所述第一业务***与所述第二业务***之间的访问策略,则将在所述本地策略缓存库中查询到的访问策略确定为目标访问策略;
若在所述本地策略缓存库中未查询到所述第一业务***与所述第二业务***之间的访问策略,且在云端策略存储库中查询到所述第一业务***与所述第二业务***之间的访问策略,则将在所述云端策略存储库中查询到的访问策略确定为所述目标访问策略,并将所述目标访问策略添加到所述本地策略缓存库;
当所述目标访问策略属于合法的访问策略时,将所述业务访问请求发送给所述第二业务***,以使所述第二业务***执行所述业务访问请求所请求的业务操作。
2.根据权利要求1所述的方法,其特征在于,所述本地策略缓存库包含N个访问策略,所述N个访问策略中的每个访问策略均具有对应的缓存时间戳,N为正整数;所述方法还包括:
按照周期节点获取所述每个访问策略对应的缓存时间戳所指示的时刻分别与所述周期节点所指示的时刻之间的时间间隔;
删除所述N个访问策略中对应的时间间隔大于或等于时间间隔阈值的访问策略。
3.根据权利要求2所述的方法,其特征在于,所述若在本地策略缓存库中查询到所述第一业务***与所述第二业务***之间的访问策略,则将在所述本地策略缓存库中查询到的访问策略确定为目标访问策略,包括:
从所述N个访问策略中查询所述第一业务***与所述第二业务***之间的初始访问策略;
获取所述初始访问策略对应的缓存时间戳,并获取所述初始访问策略对应的缓存时间戳所指示的时刻与当前时刻之间的时间间隔;
若所述初始访问策略对应的时间间隔小于所述时间间隔阈值,则确认在所述本地策略缓存库中查询到所述第一业务***与所述第二业务***之间的访问策略,将所述初始访问策略确定为所述目标访问策略,并将所述目标访问策略对应的缓存时间戳更新为所述当前时刻所指示的时间戳。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述初始访问策略对应的时间间隔大于或等于所述时间间隔阈值,则删除所述本地策略缓存库中的所述初始访问策略,并确认在所述本地策略缓存库中未查询到所述第一业务***与所述第二业务***之间的访问策略。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述第一业务***对应的第一通信地址以及所述第二业务***对应的第二通信地址;
若所述第一通信地址和所述第二通信地址均属于正常通信地址,则确认所述目标访问策略属于合法的访问策略;
若所述第一通信地址或所述第二通信地址属于异常通信地址,则确认所述目标访问策略属于非法的访问策略,删除所述本地策略缓存库和所述云端策略存储库中的目标访问策略,并向所述第一业务***发送访问失败提示信息。
6.根据权利要求1所述的方法,其特征在于,若所述第二业务***对应存在上级管理***,则所述目标访问策略包含所述第一业务***与所述上级管理***之间的第一层级访问策略,以及包含所述第一业务***与所述第二业务***之间的第二层级访问策略。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述第一业务***发送的第一策略创建请求;所述策略创建请求包含所述第一业务***的***身份信息;
对所述***身份信息审核通过后,根据所述***身份信息生成第二策略创建请求,并将所述第二策略创建请求发送给所述第二业务***;
获取所述第二业务***在对所述第二策略创建请求中的所述***身份信息审核通过后所返回的确认创建信息;
根据所述确认创建信息创建所述第一业务***与所述第二业务***之间的访问策略,将所创建的访问策略添加到所述云端策略存储库。
8.一种数据处理装置,其特征在于,所述装置包括:
获取模块,用于获取第一业务***发送的针对第二业务***的业务访问请求;
查询模块,用于若在本地策略缓存库中查询到所述第一业务***与所述第二业务***之间的访问策略,则将在所述本地策略缓存库中查询到的访问策略确定为目标访问策略;
所述查询模块,还用于若在所述本地策略缓存库中未查询到所述第一业务***与所述第二业务***之间的访问策略,且在云端策略存储库中查询到所述第一业务***与所述第二业务***之间的访问策略,则将在所述云端策略存储库中查询到的访问策略确定为所述目标访问策略,并将所述目标访问策略添加到所述本地策略缓存库;
发送模块,用于当所述目标访问策略属于合法的访问策略时,将所述业务访问请求发送给所述第二业务***,以使所述第二业务***执行所述业务访问请求所请求的业务操作。
9.一种电子设备,其特征在于,包括处理器和存储器,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110786950.1A CN113572746B (zh) | 2021-07-12 | 2021-07-12 | 数据处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110786950.1A CN113572746B (zh) | 2021-07-12 | 2021-07-12 | 数据处理方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113572746A true CN113572746A (zh) | 2021-10-29 |
CN113572746B CN113572746B (zh) | 2023-05-19 |
Family
ID=78164501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110786950.1A Active CN113572746B (zh) | 2021-07-12 | 2021-07-12 | 数据处理方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113572746B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904912A (zh) * | 2021-12-08 | 2022-01-07 | 广州鲁邦通智能科技有限公司 | 一种实现云管理平台实现业务高可用的方法及装置 |
CN114221814A (zh) * | 2021-12-16 | 2022-03-22 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及*** |
CN116760640A (zh) * | 2023-08-18 | 2023-09-15 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040054791A1 (en) * | 2002-09-17 | 2004-03-18 | Krishnendu Chakraborty | System and method for enforcing user policies on a web server |
CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和*** |
CN104317956A (zh) * | 2014-11-13 | 2015-01-28 | 北京奇虎科技有限公司 | 基于云端服务器的查询、存储空间清理方法和*** |
US20170076103A1 (en) * | 2015-09-14 | 2017-03-16 | Northwestern University | System and method for proxy-based data access mechanism in enterprise mobility management |
CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
-
2021
- 2021-07-12 CN CN202110786950.1A patent/CN113572746B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040054791A1 (en) * | 2002-09-17 | 2004-03-18 | Krishnendu Chakraborty | System and method for enforcing user policies on a web server |
CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
CN104253798A (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和*** |
WO2014206152A1 (zh) * | 2013-06-27 | 2014-12-31 | 中兴通讯股份有限公司 | 一种网络安全监控方法和*** |
CN104317956A (zh) * | 2014-11-13 | 2015-01-28 | 北京奇虎科技有限公司 | 基于云端服务器的查询、存储空间清理方法和*** |
US20170076103A1 (en) * | 2015-09-14 | 2017-03-16 | Northwestern University | System and method for proxy-based data access mechanism in enterprise mobility management |
CN111935169A (zh) * | 2020-08-20 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 一种业务数据访问方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
徐海浪;袁家斌;: "面向移动终端的云监控研究" * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904912A (zh) * | 2021-12-08 | 2022-01-07 | 广州鲁邦通智能科技有限公司 | 一种实现云管理平台实现业务高可用的方法及装置 |
CN113904912B (zh) * | 2021-12-08 | 2022-04-08 | 广州鲁邦通智能科技有限公司 | 一种实现云管理平台实现业务高可用的方法及装置 |
CN114221814A (zh) * | 2021-12-16 | 2022-03-22 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
CN114221814B (zh) * | 2021-12-16 | 2023-10-27 | 上海市共进通信技术有限公司 | 实现终端设备安全开启特殊业务的***、方法、装置、处理器及其计算机可读存储介质 |
CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及*** |
CN116760640A (zh) * | 2023-08-18 | 2023-09-15 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
CN116760640B (zh) * | 2023-08-18 | 2023-11-03 | 建信金融科技有限责任公司 | 访问控制方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113572746B (zh) | 2023-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113572746B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
KR102577139B1 (ko) | 스마트 계약 기반 데이터 처리 방법, 기기 및 저장 매체 | |
CN112106336B (zh) | 区块链上的代理方代理和代理方账本 | |
WO2021073452A1 (zh) | 基于区块链网络的数据处理方法、装置、电子设备及存储介质 | |
CN108173850A (zh) | 一种基于区块链智能合约的身份认证***和身份认证方法 | |
US11930010B2 (en) | Access control system and method | |
US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
US8296824B2 (en) | Replicating selected secrets to local domain controllers | |
US10868802B2 (en) | Enabling setting up a secure peer-to-peer connection | |
CN101911591A (zh) | 阻止安全数据离开网络周界 | |
CN112149105A (zh) | 数据处理***、方法、相关设备及存储介质 | |
CN110661657A (zh) | 一种Kubernetes云原生应用的网络安全监控方法及其*** | |
CN103563302A (zh) | 网络资产信息管理 | |
CN112468309B (zh) | 基于智能合约的域名管理*** | |
CN112019330B (zh) | 一种基于联盟链的内网安全审计数据的存储方法及*** | |
CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
CN113505260A (zh) | 人脸识别方法、装置、计算机可读介质及电子设备 | |
KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
CN111092864B (zh) | 一种会话保护方法、装置、设备及可读存储介质 | |
US10320784B1 (en) | Methods for utilizing fingerprinting to manage network security and devices thereof | |
KR102146914B1 (ko) | 블록체인 기반 IoT 기기 펌웨어 배포 시스템 | |
CN114826790B (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
US11611580B1 (en) | Malware infection detection service for IoT devices | |
CN115801292A (zh) | 访问请求的鉴权方法和装置、存储介质及电子设备 | |
CN114095186A (zh) | 威胁情报应急响应方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |