CN118278037A - 数据访问方法、装置、设备及存储介质 - Google Patents

数据访问方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN118278037A
CN118278037A CN202211732293.3A CN202211732293A CN118278037A CN 118278037 A CN118278037 A CN 118278037A CN 202211732293 A CN202211732293 A CN 202211732293A CN 118278037 A CN118278037 A CN 118278037A
Authority
CN
China
Prior art keywords
application
cloud
service
target
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211732293.3A
Other languages
English (en)
Inventor
严琳
柏汝强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Network Suzhou Co ltd
Original Assignee
Ruijie Network Suzhou Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruijie Network Suzhou Co ltd filed Critical Ruijie Network Suzhou Co ltd
Priority to CN202211732293.3A priority Critical patent/CN118278037A/zh
Publication of CN118278037A publication Critical patent/CN118278037A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种数据访问方法、装置、设备及存储介质,涉及云访问技术领域,用以解决通过云桌面***访问数据安全性较低的问题。该方法包括:通过终端设备响应针对目标业务应用触发的业务访问指令,当目标业务应用为特定安全等级业务时,确定访问模式为云端访问,根据云端访问模式的配置信息,向云端服务器发送业务访问请求。云端服务器接收并响应于该业务访问请求,通过其携带的对象标识,获取该目标业务应用在对应的云端主机中运行时的画面数据并发送给终端设备。该方法使得面向用户的终端设备只显示目标业务应用的应用界面,而云端主机的操作***界面以及其他应用不再向用户公开,降低数据泄露的可能性,提高了数据访问的安全性。

Description

数据访问方法、装置、设备及存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及云访问技术领域,提供一种数据访问方法、装置、设备及存储介质。
背景技术
随着网络技术的飞速发展,网络架构逐渐多元化的同时,敏感信息、重要数据的安全防护形势日益严峻。为满足监管要求和防范信息安全风险,对高敏感数据进行相应保护,预防数据泄露和窃取。目前,相关行业明确规定高敏感数据必须通过云桌面***进行访问,以满足高敏数据***露、数据访问操作可监控等需求。
但是,目前的云桌面***访问数据的方法,需要在本地主机上通过独立的云桌面窗口,对云桌面***中包含高敏感数据的应用程序进行访问。由于在访问期间云桌面***中所有的应用程序都会向用户公开,存在用户误操作或者越权操作的可能,导致云桌面***访问数据存在一定安全隐患,在一定程度上增加了数据泄露风险,无法保障数据安全性。
发明内容
本申请实施例提供一种数据访问方法、装置、设备及存储介质,用以解决通过云桌面***访问数据安全性较低的技术问题。
一方面,提供一种数据访问方法,应用于云端服务器,所述方法包括:
接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求;其中,所述业务访问请求是所述终端设备确定所述目标业务应用为特定安全等级业务,且所述目标业务应用的访问模式为云端访问模式后发送的;
基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
在一种可能的实施方式中,在接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求之前,所述方法还包括:
接收所述终端设备发送的集合获取请求,所述集合获取请求携带有所述对象标识对应的目标对象的信息;
响应于所述集合获取请求,获取所述目标对象有权限访问的业务应用集合,并发送给所述终端设备,使得所述终端设备在本地的显示界面中呈现所述至少一个业务应用的应用信息。
在一种可能的实施方式中,若所述业务访问请求还携带有身份令牌集合,则在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,所述方法还包括:
从所述业务访问请求中获取身份令牌集合;其中,所述身份令牌集合是所述云端服务器在所述目标对象认证通过后为其分配的,所述身份令牌集合包括对象令牌、业务应用令牌以及终端设备令牌;
对所述对象令牌、所述业务应用令牌以及所述终端设备令牌进行合法性校验。
在一种可能的实施方式中,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,所述方法还包括:
从多个预创建的对象组中,确定所述对象标识所属的目标对象组;其中,同一对象组中的各个对象所能访问的业务应用相同;
将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述目标业务应用,所述云端主机池中各个云端主机上均已配置有所述目标对象组中的各个对象所能访问的所有业务应用。
在一种可能的实施方式中,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述业务应用之前,所述方法还包括:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定目标对象组对应的镜像文件集合,所述镜像文件集合包括所述目标对象组中的各个对象所能访问的所有业务应用的镜像文件;
基于所述镜像文件集合,分别对所述云端主机池中各个云端主机进行应用配置。
在一种可能的实施方式中,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象之前,所述方法还包括:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定所述目标对象组对应的镜像文件集合;
基于所述镜像文件集合,生成对应的镜像模板;
则所述将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,包括:
将所述模板镜像与所述目标对象分配的云端主机关联,以使所述云端主机配置有所述目标对象组中的各个对象所能访问的所有业务应用。
在一种可能的实施方式中,在将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面之后,所述方法还包括:
在预设时长内,判断是否接收到针对所述终端设备的所述应用界面触发的操作指令;
若为否,则停止将所述画面数据发送给所述终端设备。
一方面,提供一种数据访问方法,应用于终端设备,所述方法包括:
响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务;
若是,则确定所述业务应用的访问模式为云端访问模式;
基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求,所述业务访问请求携带有所述终端设备对应的对象标识,以使所述云端服务器基于所述对象标识获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
接收所述云端服务器返回的所述画面数据,并基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
在一种可能的实施方式中,在响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务之前,所述方法还包括:
响应于业务应用集合的展示指令,向所述云端服务器发送携带有所述对象标识对应的目标对象的信息的集合获取请求,以使所述云端服务器响应于所述集合获取请求,获取与所述目标对象对应的业务应用集合;
接收所述云端服务器返回的所述业务应用集合,并在本地的显示界面中呈现所述至少一个业务应用的应用信息。
在一种可能的实施方式中,在基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求之前,所述方法还包括:
响应于针对云端主机池的对象组配置指令,向相应的云端服务器发送对象组配置请求,所述对象组配置请求携带为所述云端主机池对应的目标对象组配置的业务应用集合;
接收所述云端服务器返回的配置完成指示,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,通过所述业务应用集合对应的镜像文件集合对所述云端主机池中各个云端主机进行应用配置后返回的,或者,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,基于所述镜像文件集合生成对应的镜像模板后返回的。
一方面,提供一种数据访问装置,应用于云端服务器,所述装置包括:
第一接收模块,用于接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求;其中,所述业务访问请求是所述终端设备确定所述目标业务应用为特定安全等级业务,且所述目标业务应用的访问模式为云端访问模式后发送的;
第一处理模块,用于基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
第一发送模块,用于将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
可选的,所述第一接收模块,在接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求之前,还用于:
接收所述终端设备发送的集合获取请求,所述集合获取请求携带有所述对象标识对应的目标对象的信息;
响应于所述集合获取请求,获取所述目标对象有权限访问的业务应用集合,并发送给所述终端设备,使得所述终端设备在本地的显示界面中呈现所述至少一个业务应用的应用信息。
可选的,若所述业务访问请求还携带有身份令牌集合,则所述第一处理模块,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,还用于:
从所述业务访问请求中获取身份令牌集合;其中,所述身份令牌集合是所述云端服务器在所述目标对象认证通过后为其分配的,所述身份令牌集合包括对象令牌、业务应用令牌以及终端设备令牌;
对所述对象令牌、所述业务应用令牌以及所述终端设备令牌进行合法性校验。
可选的,所述第一处理模块,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,还用于:
从多个预创建的对象组中,确定所述对象标识所属的目标对象组;其中,同一对象组中的各个对象所能访问的业务应用相同;
将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述目标业务应用,所述云端主机池中各个云端主机上均已配置有所述目标对象组中的各个对象所能访问的所有业务应用。
可选的,所述第一处理模块,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述业务应用之前,还用于:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定目标对象组对应的镜像文件集合,所述镜像文件集合包括所述目标对象组中的各个对象所能访问的所有业务应用的镜像文件;
基于所述镜像文件集合,分别对所述云端主机池中各个云端主机进行应用配置。
可选的,所述第一处理模块,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象之前,还用于:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定所述目标对象组对应的镜像文件集合;
基于所述镜像文件集合,生成对应的镜像模板;
将所述模板镜像与所述目标对象分配的云端主机关联,以使所述云端主机配置有所述目标对象组中的各个对象所能访问的所有业务应用。
可选的,所述第一发送模块,在将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面之后,还用于:
在预设时长内,判断是否接收到针对所述终端设备的所述应用界面触发的操作指令;
若为否,则停止将所述画面数据发送给所述终端设备。
一方面,提供一种数据访问装置,应用于终端设备,所述装置包括:
第二处理模块,用于响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务;
若是,则确定所述业务应用的访问模式为云端访问模式;
第二发送模块,用于基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求,所述业务访问请求携带有所述终端设备对应的对象标识,以使所述云端服务器基于所述对象标识获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
第二接收模块,用于接收所述云端服务器返回的所述画面数据,并基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
可选的,所述第二处理模块,在响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务之前,还用于:
响应于业务应用集合的展示指令,向所述云端服务器发送携带有所述对象标识对应的目标对象的信息的集合获取请求,以使所述云端服务器响应于所述集合获取请求,获取与所述目标对象对应的业务应用集合;
接收所述云端服务器返回的所述业务应用集合,并在本地的显示界面中呈现所述至少一个业务应用的应用信息。
可选的,所述第二发送模块,在基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求之前,还用于:
响应于针对云端主机池的对象组配置指令,向相应的云端服务器发送对象组配置请求,所述对象组配置请求携带为所述云端主机池对应的目标对象组配置的业务应用集合;
接收所述云端服务器返回的配置完成指示,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,通过所述业务应用集合对应的镜像文件集合对所述云端主机池中各个云端主机进行应用配置后返回的,或者,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,基于所述镜像文件集合生成对应的镜像模板后返回的。
一方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一种方法的步骤。
一方面,提供一种计算机存储介质,其上存储有计算机程序指令,该计算机程序指令被处理器执行时实现上述任一种方法的步骤。
一方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一种方法的步骤。
本申请实施例的有益效果如下:
本申请实施例中,通过终端设备响应针对目标业务应用触发的业务访问指令,当判断出该目标业务应用为特定安全等级业务时,确定该目标业务应用的访问模式为云端访问,并根据云端访问模式的配置信息,向云端服务器发送针对该目标业务应用且携带有终端设备对应的对象标识的业务访问请求。云端服务器接收并响应于该业务访问请求,通过对象标识获取该目标业务应用在对象标识对应的云端主机中运行时的画面数据并发送给终端设备,使得终端设备在本地的显示界面中呈现该业务应用的应用界面。该方法通过对特定安全等级业务进行特定的云端访问,使得面向用户的终端设备上只会显示该目标业务应用的应用界面,而云端主机的操作***界面以及其他应用不再向用户公开,避免了用户篡改相应的操作***参数或应用配置导致数据泄露的风险,降低数据泄露可能,提高了云端主机访问数据的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种应用场景示意图;
图2为本申请实施例提供的一种数据访问***的***架构图;
图3为本申请实施例提供的一种数据访问方法的交互示意图;
图4为本申请实施例提供的另一种数据访问方法的流程示意图;
图5为本申请实施例提供的一种配置云端主机应用的示意图;
图6为本申请实施例提供的另一种数据访问方法的流程示意图;
图7为本申请实施例提供的一种数据访问装置的结构示意图;
图8为本申请实施例提供的另一种数据访问装置的结构示意图;
图9为本申请实施例提供的一种计算机设备的组成结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
云桌面(英文:Virtual Desktop Infrastructure,缩写为VDI):也称桌面虚拟化技术,是一种基于服务器的计算模型将计算机的终端***(即桌面)进行虚拟化,以达到桌面使用的安全性和灵活性,它将所有桌面虚拟机在数据中心进行托管并统一管理,从而用户可以通过客户端或者类似的设备在局域网或者远程访问数据中心的虚拟桌面,获得与传统计算机(英文:Personal Computer,缩写为PC)一致的用户体验,因此桌面虚拟化可以认为是操作***虚拟化技术和远程访问技术的结合。在云桌面的使用场景中,用户可以通过客户端软件,远程登录到分配给该用户的桌面,远程登录时一般需要通过密码认证,每个用户拥有自己密码,不为其他人所知。
下面对本申请实施例的设计思想进行简要介绍:
随着网络技术的飞速发展,网络架构逐渐多元化,例如混合云环境、容器环境等新型网络架构逐渐流行,针对上述新型网络架构的恶意窃取数据的攻击手段也逐渐丰富,数据泄露、勒索病毒攻击事件频发,敏感信息、重要数据的安全防护形势日益严峻。目前各行各业都不可避免会涉及访问关键敏感数据的场景,为了对关键敏感数据进行保护,预防数据泄露和窃取,基于零信任安全架构将数据上传至云端数据中心,用户只能通过云桌面进行访问的数据访问方式已成为各行各业的首选。
现有的云桌面访问方式会将云桌面的操作***以及其安装的所有应用完整暴露给用户,然而云桌面内部的关键应用程序及***服务对用户不可屏蔽,会导致用户能通过篡改相应的操作***参数或应用配置,以及存在用户误操作或者越权操作的情况,皆会导致数据泄露的风险,因此现有云桌面访问数据存在一定安全隐患,无法保障数据安全性。
鉴于上述问题,本申请实施例提供了一种数据访问方法,通过终端设备响应针对目标业务应用触发的业务访问指令,当判断出该目标业务应用为特定安全等级业务时,确定该目标业务应用的访问模式为云端访问,并根据云端访问模式的配置信息,向云端服务器发送针对目标业务应用且携带有终端设备对应的对象标识的业务访问请求。云端服务器接收并响应于该业务访问请求,通过对象标识获取该目标业务应用在对象标识对应的云端主机中运行时的画面数据并发送给终端设备,使得终端设备在本地的显示界面中呈现该目标业务应用的应用界面。该方法通过对特定安全等级业务进行特定的云端访问,使得面向用户的终端设备上只会显示该业务应用的应用界面,而云端主机的操作***界面以及其他应用不再向用户公开,避免了用户篡改相应的操作***参数或应用配置导致数据泄露的风险,降低数据泄露可能,提高了云端主机访问数据的安全性。
为了进一步提高数据访问的安全性,本申请实施例还通过终端设备响应业务应用集合的展示指令向云端服务器发送携带有对象标识对应的目标对象的信息的集合获取请求,云端服务器根据该集合获取请求获取目标对象有权限访问的业务应用集合发送给终端设备,使得终端设备在本地的显示界面中呈现该业务应用集合,实现只向用户展示其有权限进行访问的业务应用的访问入口,使得本数据访问方法对用户可操作的范围限制粒度更加精细,进一步避免了数据泄露的风险。
为了进一步提高数据访问的安全性,本申请实施例中业务访问请求还可携带身份令牌集合,云端服务器从业务访问请求中获取身份令牌集合,对其中的对象令牌、业务应用令牌以及终端设备令牌均进行合法性校验,来判定是否根据业务访问请求携带的对象标识获取相关画面数据,通过校验令牌信息保证用户以及终端设备的可信度。
为了满足不同用户需求,实现个性化的数据访问,本申请实施例还根据不同类别的对象组配置不同的云端主机池,其中各个云端主机上配置该对象组中各个对象所能访问的所有业务应用,实现对不同访问需求的用户进行灵活的应用配置,满足其个性化的访问场景需求。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
如图1所示,为本申请实施例提供的一种应用场景示意图,在该场景中,可以包括云端服务器100、云端主机110、终端设备120、以及网络130。
云端服务器100为一种提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、即内容分发网络(英文:Content DeliveryNetwork,缩写为CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。云端主机110的创建、启动、重启、关机以及删除等操作和相关管理均由云端服务器100提供相关资源和网络服务。
云端主机110为云端服务器100通过软件模拟创建的虚拟机***,是一种具有完整硬件***功能的、运行在一个完全隔离环境中的完整计算机***,在实体计算机中能够完成的工作在云端主机110中都能够实现。云端服务器100创建虚拟机时,需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量,而每个虚拟机都有独立的CMOS、硬盘和操作***,可以像使用实体机一样对虚拟机进行操作。
终端设备120可以为手机、个人计算机(英文:Personal Computer,缩写为PC)、平板电脑、笔记本电脑、台式电脑、移动互联网设备(英文:Mobile Internet Device,缩写为MID)等任意能与云端服务器100进行连接,为用户提供本地服务的设备,本申请实施例不作具体限定。
云端服务器100与终端设备120之间可以通过网络130连接,该网络130可以是无线网络,例如移动蜂窝网络,例如***移动通信(英文:4generation,缩写为4G)网络、第五代移动通信(英文:5generation,缩写为5G)网络或新无线(英文:New Radio,缩写为NR)网络,或者可以是无线保真(英文:Wireless-Fidelity,缩写为WIFI)网络,当然还可以是其他可能的网络,本发明实施例对此不做限制。
需要说明的是,图1所示只是举例说明,实际上终端设备120、云端主机110和云端服务器100的数量均不受限制,在本申请实施例中不做具体限定。且图1所示的组件和结构只是示例性的,而非限制性的,在实际场景中根据需要,还可以具有其他组件和结构。
当然,本申请实施例提供的方法并不限用于图1所示的应用场景中,还可以用于其它可能的应用场景,本申请实施例并不进行限制。对于图1所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
如图2所示,为本申请实施例提供的由云端服务器和终端设备组成的数据访问***的***架构图,在该架构中,可以包括云端服务器的云管理平台201和云计算平台202,终端设备的应用客户端203、协议客户端204。应当注意,图2所示的数据访问***的组件和结构只是示例性的,而非限制性的,在实际场景中根据需要,还可以具有其他组件和结构。
(1)云管理平台201,为管理人员提供镜像管理、应用管理、云端主机池管理、用户管理等管理功能,其中镜像管理功能负责镜像模板、镜像文件的创建、编辑;应用管理功能负责对已安装应用进行管理,对应用进行发布或下架操作,只有发布后的应用才可提供给用户访问;云端主机池管理负责云端主机的创建、配置、启动、分配和回收,可配置云端主机的模式、容量、关联对象组、镜像文件等信息;用户管理功能支持设置不同的对象组,将同等类型或访问权限的用户划分为同一组进行管理,不同对象组配置关联不同的云端主机池。
(2)云计算平台202,为云端主机提供计算资源,包括虚拟化组件和云端主机池。
其中,虚拟化组件包括虚拟机模拟器(英文:Quick Emulator,缩写为QEMU)和协议服务端。QEMU负责对云端主机的生命周期进行管理,包括云端主机的创建、销毁、启动、关机、休眠等,用于判断云端主机的资源何时收回;协议服务端通过虚拟串口从云端主机内部的协议透传组件中获取业务应用的画面数据,并传输给终端设备的协议客户端204进行展示。
云端主机池包含多个云端主机,其中每一个云端主机均配置有协议透传组件和代理程序,协议透传组件负责获取业务应用的画面数据,并通过虚拟串口传输给协议服务端。代理程序负责将云端主机的应用信息与云管理平台201进行同步,包括监测并向云管理平台201上报应用的安装、卸载等操作,启动指定应用,修改应用启动参数、执行磁盘映射等功能。代理程序通过解析应用信息自动启动应用,当应用为浏览器/服务器(英文:Browser/Server,缩写为B/S)架构自动打开浏览器应用,当应用为客户端/服务器(英文:Client/Server,缩写为C/S)架构时则直接执行其启动程序。
(3)应用客户端203,用于与云端服务器的云管理平台201通信,负责申请云端访问环境,传输相关数据信息等。
(4)协议客户端204,用于与云端服务器的云计算平台202通信,负责接收其协议服务端传输的画面数据并展示给用户,应用客户端203和协议客户端204之间也将互相通信进行数据交互。
应当注意,图2所示只是举例说明,实际上云管理平台201和云计算平台202,应用客户端203、协议客户端204的数量不受限制,在本申请实施例中不做具体限定。且图2所示的***架构图的组件和结构只是示例性的,而非限制性的,在实际场景中根据需要,还可以具有其他组件和结构。
下面结合上述描述的应用场景,参考附图来描述本申请示例性实施方式提供的数据访问方法,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
参见图3所示,为本申请实施例提供的数据访问方法的交互示意图,该方法的具体实施流程如下:
步骤301:终端设备响应于针对目标业务应用触发的业务访问指令,确定目标业务应用是否为特定安全等级业务,若是,则确定目标业务应用的访问模式为云端访问模式,跳转执行步骤302,若否,则采用本地访问模式,即打开本地安装的该业务应用,以实现数据访问。
本申请实施例中,为了保障涉及到敏感数据的业务应用的安全访问,依据业务应用涉及到的业务数据的不同,为不同的业务应用设置了安全等级,安全等级越高,则表明该业务应用的涉密性越高,则需要采用更为安全的访问模式。因此,在终端设备接收到业务访问指令时,则响应于业务访问指令,通过确定该业务访问指令指示的业务应用的安全等级是否高于预设安全等级,确定该业务应用是否为特定安全等级业务,若是,则确定该业务应用的访问模式需要采用云端访问模式。
在一种可能的实施方式中,用户可在其终端设备的显示界面上通过点击业务应用对应的图标等方式,触发针对某一具体业务应用的业务访问指令,终端设备通过分析该指令携带的业务应用信息,通过确定该业务应用的安全等级判定是否为特定安全等级业务,从而确定后续访问流程是否采用云端访问模式。
例如,在公司或部门的资料管理场景,各个分部门的关键数据分开保存,由各部门自行维护,不对其他部门开放,当用户需要对跨部门业务应用进行访问,其安全等级相较于用户所属部门的业务应用更高,确定为特定业务,为了预防数据泄露和窃取,用户需要通过云端访问模式对该业务应用进行访问。
在一种可能的实施方式中,终端设备在响应于针对目标业务应用触发的业务访问指令之前,需要通过响应业务应用集合的展示指令,向云端服务器发送携带有对象标识对应的目标对象的信息的集合获取请求,云端服务器根据该集合获取请求携带的对象标识,获取与目标对象对应的业务应用合集发送给终端设备,使得终端设备在本地的显示界面中呈现至少一个业务应用的应用信息。
具体的,如图4所述,为了进一步提高数据访问的安全性,可基于零信任安全架构来构建本申请实施例的数据访问流程。用户需要在终端设备上通过基于零信任体系的身份认证,触发业务应用集合的展示指令。以基于零信任体系的统一认证门户网站进行身份认证为例,用户需提前在统一认证门户的网站或客户端进行合法身份的注册,或者由管理员为该用户注册账号,获得专属的账号密码用于后续登录统一认证门户,同时统一认证门户与云端服务器之间能够进行通信,向云端服务器的数据库同步注册用户的信息,使得可通过云管理平台为该用户分配其有权限进行访问的业务应用,例如可以由管理员为其分配权限。因此当用户通过账号密码等身份凭证登录统一认证门户的网站或客户端,统一认证门户确认该用户身份可信后,此时即可认为登录操作即触发针对其业务应用集合的展示指令,使得终端设备响应于业务应用集合的展示指令,向云端服务器发送集合获取请求,或者,用户可以进入认证门户后,在该认证门户的展示操作按钮触发送集合获取请求,当然,也可以通过其他可能的方式,本申请实施例对此不做限制。
云端服务器接收该集合获取请求后,则根据该请求携带的对象标识,从其数据库中获取预先存储好的与该用户对应的业务应用集合信息,该业务应用集合信息指示了该用户有权限访问的所有业务应用信息,例如应用名称、应用路径、应用参数和应用图标等。云端服务器将业务应用集合信息发送给终端设备,使得终端设备可向用户展示其所能访问的业务应用的访问入口。
具体的,终端设备可以在统一认证门户的客户端或网站页面上向用户进行展示,这样用户可与使用本地***的应用程序一样的方式访问业务应用,而无需在云桌面***与本地桌面***的两个桌面窗口之间来回切换,提升了访问业务应用的便捷性和用户体验。
或者,也可在终端设备的本地桌面上进行显示,这样用户可与使用本地***的应用程序一样的方式访问业务应用,并且可直接在本地呈现相应的应用页面,而无需在云桌面***与本地桌面***的两个桌面窗口之间来回切换,实现无感访问云端的效果,提升了访问业务应用的便捷性和用户体验。
步骤302:终端设备基于云端访问模式的配置信息,向相应的云端服务器发送业务访问请求。
本申请实施例中,终端设备在确定该业务访问指令针对的业务应用的访问模式为云端访问模式后,将根据该模式预先设置好的云端服务器的地址信息以及终端设备与云端服务器间通信所用的传输协议等配置信息,向云端服务器发送携带有终端设备对应的对象标识的业务访问请求,以使云端服务器基于对象标识获取相应云端主机呈现的显示界面中,目标业务应用的应用界面对应的显示区域的画面数据。
在一种可能的实施方式中,云端访问模式可以为一种终端设备与云端服务器进行通信的访问方式,终端设备通过安装的客户端程序,与预先配置了服务器地址和端口等地址信息的云端服务器建立连接,并采用传输协议与云端服务器进行通信,以获取云端服务器上运行的云端主机的数据信息。
具体的,终端设备可通过应用客户端和协议客户端两个组件与云端服务器进行通信,其中应用客户端组件采用超文本传输安全(英文:Hypertext Transfer ProtocolSecure,缩写为HTTPS)、传输控制(英文:Transmission Control Protocol,缩写为TCP)等协议进行通信,用于向云端服务器的云端主机管理平台申请虚拟机环境,传输相关数据等。协议客户端则采用增强的桌面流传输(英文:Enhanced Stream Transmission,缩写为EST)协议与云端服务器的协议服务端进行通信,负责接收业务应用的画面数据,并在本地***上展示给用户。当然,也可以采用其他可能的传输协议,本申请实施例对此并不进行限制。
步骤303:云端服务器基于对象标识,获取相应云端主机呈现的显示界面中,目标业务应用的应用界面对应的显示区域的画面数据。
本申请实施例中,云端服务器接收到终端设备的业务访问请求后,根据请求携带的对象标识确定对应的云端主机,将该云端主机中业务应用对应的显示区域的画面数据返回给终端设备。
具体的,云端服务器通过其协议服务端与云端主机的协议透传组件基于桌面流传输协议进行通信,而每一个云端主机上均配置有协议透传组件,协议透传组件通过只对业务应用对应显示区域进行截屏或者通过该业务应用提供的应用接口等手段,实时获取到业务应用的画面数据,再通过虚拟串口传输给协议服务端,使得云端服务器获取到云端主机上业务应用对应的显示区域的画面数据。
在一种可能的实施方式中,为了实现用户级别的灵活应用配置,满足用户个性化场景需求,可通过设置不同的用户分组,将同等类型或访问权限用户划分为一组进行管理,为不同的用户组配置关联不同的云端主机池。
具体的,由具有管理权限的管理人员在其终端设备上接入云服务器的云管理平台进行用户管理,将能够访问的业务应用相同的用户设置为同一对象组,并为不同的用户组配置关联不同的云端主机池,利用多个不同对象组实现对用户的统一管理。而云端服务器在获取云端主机中业务应用对应显示区域的画面数据前,可先根据业务访问请求携带的对象标识,从预先创建好的多个对象组确定其所属的目标对象组,再将目标对象组关联的云端主机池中一个云端主机分配给目标对象,并在云端主机中启动该业务应用。
具体的,每个对象组中各个对象所能访问的业务应用相同,而每个对象组所关联的云端主机池中各个云端主机上均已配置有目标对象组中各个对象所能访问的所有业务应用。云端服务器在为目标对象分配云端主机时,可选择云端主机池中任意一个云端主机,也可选择当前云端主机池中用户连接量以及资源占用率较低的云端主机进行优先分配,以提高云端主机的资源利用率。
在一种可能的实施方式中,为了提升云端主机的响应效率,可以预先对云端主机池中的各个云端主机进行预配置。
具体的,在管理员已设置好对象组的基础上,可通过点击配置功能按钮等相关操作,触发针对该对象组对应云端主机池的配置指令。终端设备响应于该指令向云端服务器发送对象组配置请求,使得云端服务器能根据该请求携带的业务应用集合确定该对象组对应的镜像文件集合,其中包括该对象组中各个对象所能访问的所有业务应用的镜像文件。而云端服务器可通过在云端主机池中各个云端主机上安装该集合中的各个镜像文件,完成各个云端主机的应用配置。
在一种可能的实施方式中,为了节省云端的资源占用,也可以针对每个对象组配置镜像模板,在需要使用云端主机时,直接使用镜像模板进行配置。
具体的,可通过终端设备向云端服务器提起对象组配置请求,云端服务器在根据对象组配置请求确定该目标对象组对应的镜像文件集合后,可根据该镜像文件集合生成对应的镜像模板,并将镜像模板与目标对象分配的云端主机关联,后续则可用于对云端主机进行应用配置,以使云端主机配置有目标对象组中的各个对象所能访问的所有业务应用。
在一种可能的实施方式中,镜像模板还可用于创建多个与之关联的云端主机,基于镜像模板创建的多个云端主机上安装有该镜像模板所配置的所有应用,且云端主机上安装的应用与镜像模板的配置应用同步,可通过更改该镜像模板的应用配置,实现对云端主机的应用配置的批量更改。
具体的,如图5所示为本申请实施例提供的一种创建编辑镜像模板的具体实施流程:
步骤501:云端服务器生成镜像模板。
步骤502:管理员对镜像模板进行应用编辑。
步骤503:云端服务器判断管理员是安装还是卸载应用,若是安装应用,则跳转执行步骤504,若是卸载应用,则跳转执行步骤506。
步骤504:代理程序上报安装信息至云管理平台。
步骤505:管理员发布该安装应用。
步骤506:代理程序上报卸载信息至云管理平台。
步骤507:代理程序自动下架该卸载应用。
步骤508:镜像模板编辑完成,发布该镜像模板用于创建关联的云端主机。
具体的,云端服务器在根据对象组配置请求生成镜像模板时,将默认创建对应的应用池,管理员可通过应用池对镜像模板进行编辑,例如安装或卸载用户所需使用的各个应用软件的客户端,如环境感知客户端、数字证书、浏览器等等。云端服务器需要判断管理员不同的编辑操作,当确定管理员在应用池中安装应用,应用安装完成后,云端主机中的代理程序会将应用池中应用名称、应用路径、应用参数和应用图标等应用信息上报至云管理平台,使得管理员可手动对应用池中已安装的应用进行发布,完成发布后的应用才能被用户进行访问。当确定管理员对应用进行卸载时,代理程序也会自动上报卸载信息从而自动下架该应用,用户便无法访问此应用,镜像模板编辑完成后,代理程序将自动发布镜像模板至云管理平台,该镜像模板即可用于创建与之关联的多个云端主机,使得创建的多个云端主机上安装有镜像模板的所有应用。通过对镜像模板进行编辑,可实现多个云端主机应用的灵活配置。
在一种可能的实施方式中,业务访问请求中还携带有身份令牌集合,而云端服务器在接收到业务访问请求后,还需获取业务访问请求中的身份令牌集合,并对其中的对象令牌、业务应用令牌以及终端设备令牌进行合法性校验,来对该终端设备对应的用户身份信息进行认证,通过认证后云端服务器才会继续执行后续流程,否则将拒绝该终端设备的业务访问请求。
具体的,基于零信任安全体系架构,云端服务器将不会自动信任何人/事/物,不会根据物理或网络位置对其授予完全可信的权限,不知道用户身份或不清楚授权途径的请求将被一律拒绝。因此云端服务器将对任何试图进行访问的人/事/物进行验证。如上图4所述,本申请实施例中,云端服务器可根据该业务访问请求中携带的零信任体系所需的身份令牌信息,包括对象令牌、业务应用令牌以及终端设备令牌,对各个令牌的合法性分别进行可信接入检控。身份令牌集合为云端服务器在目标对象认证通过后为其分配的唯一性凭证,其中对象令牌用于验证该目标对象是否为已认证的合法用户、终端设备令牌用于验证该目标对象所用终端设备是否为已认证的合法终端,业务应用令牌用于验证该目标对象所访问的业务应用是否为已认证的合法应用。只有当对象令牌、业务应用令牌以及终端设备令牌均合法时,云端设备才响应于该业务访问请求,返回业务应用画面。
在一种可能的实施方式中,上述令牌信息验证的过程也可由可信检控端来执行,例如零信任网关服务器或者其他可能的设备。那么,客户端向云端服务器发送业务访问请求的过程中,该携带有令牌信息的业务访问请求会首先被发送至可信检控端,当可信检控端合法性检验通过后,该可信检控端对业务访问请求予以放行,即转发给云端服务器。
步骤304:终端设备接收云端服务器返回的画面数据,并基于画面数据在本地的显示界面中呈现目标业务应用的应用界面。
本申请实施例中,云端服务器在获取到云端主机中业务应用对应的显示区域的画面数据后将发送给终端设备,使其能够根据该画面数据在本地显示界面中向用户呈现业务应用的应用界面。
在进行应用界面的呈现时,可以在客户端或者网站页面内呈现业务应用的应用界面,也可以与本地应用相同,呈现业务应用的独立界面,从而使得用户与使用本地应用的感知相同,提升业务数据访问的体验感。
在一种可能的实施方式中,云端服务器可通过判断预设时长内是否接收到终端设备的针对业务应用界面触发的操作指令,来决定是继续发送该画面数据,还是停止将画面数据发送给所述终端设备。
具体的,当云端服务器长时间未收到终端设备反馈的操作指令,可确定用户长时间未使用该业务应用,为充分保障用户隐私及数据安全性,云端服务器将自动停止将画面数据发送给终端设备。
在一种可能的实施方式中,为了节省计算资源,提高云端服务器的运行效率,当用户长时间未操作,或退出统一认证门户的登录等能确认用户不再进行访问时,云端服务器可通过关闭其上运行的云端主机,自动回收分配的云端主机资源。而当用户再次访问特定的业务应用时,为了保障用户隐私以及数据安全,可为其重新分配云端主机。
在一种可能的实施方式中,如图6所示为本申请实施例提供的一种数据访问方法的具体实施流程:
步骤601:用户在终端设备上登录零信任体系下的统一认证门户。
步骤602:统一认证门户判断用户是否通过身份认证,若是,则跳转执行步骤603,若否则结束。
步骤603:统一认证门户在其显示界面上向用户展示业务应用列表,包括用户权限下所有能访问的业务应用集合。
步骤604:统一认证门户根据业务应用的安全等级是否高于预设安全等级,判断用户所访问的业务应用是否为特定安全等级业务。若是,则跳转执行步骤606,若否则跳转执行步骤605。
步骤605:按照本地访问模式,打开本地安装的业务应用进行数据访问。
步骤606:按照云端访问模式的配置信息启动对应的客户端,由该客户端向对应的云端服务器发送业务访问请求。
步骤607:云端服务器根据该请求携带的令牌信息判断该请求是否通过可信接入检控校验,来对用户身份进行二次校验,若是,则跳转执行步骤608,若否则结束。
步骤608:云端服务器根据对象标识等业务应用信息为该终端设备分配对应的云端主机。
步骤609:云端主机中的代理程序解析该业务应用信息,启动指定的业务应用。
步骤610:云端主机中的协议透传组件获取业务应用的画面数据传输给云端服务器的协议服务端,由协议服务端传输给终端设备上的协议客户端,使得终端设备在本地的显示界面中向用户展示该业务应用的画面数据。
请参见图7,基于同一发明构思,本申请实施例还提供了一种数据访问装置70,应用于云端服务器,该装置包括:
第一接收模块701,用于接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求;其中,所述业务访问请求是所述终端设备确定所述目标业务应用为特定安全等级业务,且所述目标业务应用的访问模式为云端访问模式后发送的;
第一处理模块702,用于基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
第一发送模块703,用于将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
可选的,所述第一接收模块701,在接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求之前,还用于:
接收所述终端设备发送的集合获取请求,所述集合获取请求携带有所述对象标识对应的目标对象的信息;
响应于所述集合获取请求,获取所述目标对象有权限访问的业务应用集合,并发送给所述终端设备,使得所述终端设备在本地的显示界面中呈现所述至少一个业务应用的应用信息。
可选的,若所述业务访问请求还携带有身份令牌集合,则所述第一处理模块702,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,还用于:
从所述业务访问请求中获取身份令牌集合;其中,所述身份令牌集合是所述云端服务器在所述目标对象认证通过后为其分配的,所述身份令牌集合包括对象令牌、业务应用令牌以及终端设备令牌;
对所述对象令牌、所述业务应用令牌以及所述终端设备令牌进行合法性校验。
可选的,所述第一处理模块702,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,还用于:
从多个预创建的对象组中,确定所述对象标识所属的目标对象组;其中,同一对象组中的各个对象所能访问的业务应用相同;
将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述目标业务应用,所述云端主机池中各个云端主机上均已配置有所述目标对象组中的各个对象所能访问的所有业务应用。
可选的,所述第一处理模块702,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述业务应用之前,还用于:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定目标对象组对应的镜像文件集合,所述镜像文件集合包括所述目标对象组中的各个对象所能访问的所有业务应用的镜像文件;
基于所述镜像文件集合,分别对所述云端主机池中各个云端主机进行应用配置。
可选的,所述第一处理模块702,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象之前,还用于:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定所述目标对象组对应的镜像文件集合;
基于所述镜像文件集合,生成对应的镜像模板;
将所述模板镜像与所述目标对象分配的云端主机关联,以使所述云端主机配置有所述目标对象组中的各个对象所能访问的所有业务应用。
可选的,所述第一发送模块703,在将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面之后,还用于:
在预设时长内,判断是否接收到针对所述终端设备的所述应用界面触发的操作指令;
若为否,则停止将所述画面数据发送给所述终端设备。
请参见图8,基于同一发明构思,本申请实施例还提供了一种数据访问装置80,应用于终端设备,该装置包括:
第二处理模块801,用于响应于针对目标业务应用触发的业务访问指令,确定目标业务应用是否为特定安全等级业务;
若是,则确定业务应用的访问模式为云端访问模式;
第二发送模块802,用于基于云端访问模式的配置信息,向相应的云端服务器发送业务访问请求,业务访问请求携带有终端设备对应的对象标识,以使云端服务器基于对象标识获取相应云端主机呈现的显示界面中,目标业务应用的应用界面对应的显示区域的画面数据;
第二接收模块803,用于接收云端服务器返回的画面数据,并基于画面数据在本地的显示界面中呈现目标业务应用的应用界面。
可选的,第二处理模块801,在响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务之前,还用于:
响应于业务应用集合的展示指令,向云端服务器发送携带有对象标识对应的目标对象的信息的集合获取请求,以使云端服务器响应于集合获取请求,获取与目标对象对应的业务应用集合;
接收云端服务器返回的业务应用集合,并在本地的显示界面中呈现至少一个业务应用的应用信息。
可选的,第二发送模块802,在基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求之前,还用于:
响应于针对云端主机池的对象组配置指令,向相应的云端服务器发送对象组配置请求,对象组配置请求携带为云端主机池对应的目标对象组配置的业务应用集合;
接收云端服务器返回的配置完成指示,配置完成指示是云端服务器响应于对象组配置请求,通过业务应用集合对应的镜像文件集合对云端主机池中各个云端主机进行应用配置后返回的,或者,配置完成指示是云端服务器响应于对象组配置请求,基于镜像文件集合生成对应的镜像模板后返回的。
通过上述装置,利用终端设备响应针对目标业务应用触发的业务访问指令,当判断出该业务应用为特定安全等级业务时,确定该业务应用的访问模式为云端访问,并根据云端访问模式的配置信息,向云端服务器发送针对该目标业务应用且携带有终端设备对应的对象标识的业务访问请求。云端服务器接收并响应于该业务访问请求,通过对象标识获取该目标业务应用在对象标识对应的云端主机中运行时的画面数据并发送给终端设备,使得终端设备在本地的显示界面中呈现该目标业务应用的应用界面。该方法通过对特定安全等级的目标业务进行特定的云端访问,使得面向用户的终端设备上只会显示该目标业务应用的应用界面,而云端主机的操作***界面以及其他应用不再向用户公开,避免了用户篡改相应的操作***参数或应用配置导致数据泄露的风险,降低数据泄露可能,提高了云端主机访问数据的安全性。
为了描述的方便,以上各部分按照功能划分为各单元模块(或模块)分别描述。当然,在实施本申请时可以把各单元(或模块)的功能在同一个或多个软件或硬件中实现。该装置可以用于执行本申请各实施例中所示的方法,因此,对于该装置的各功能模块所能够实现的功能等可参考前述实施例的描述,不多赘述。
请参见图9,基于同一技术构思,本申请实施例还提供了一种计算机设备。在一种实施例中,该计算机设备如图所示可以包括存储器901,通讯模块903以及一个或多个处理器902。
存储器901,用于存储处理器902执行的计算机程序。存储器901可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***;存储数据区可存储各种操作指令集等。
存储器901可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写为RAM);存储器901也可以是非易失性存储器(英文:non-volatile memory),例如只读存储器,快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写为HDD)或固态硬盘(英文:solid-state drive,缩写为SSD);或者存储器901是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器901可以是上述存储器的组合。
处理器902,可以包括一个或多个中央处理单元(英文:central processingunit,缩写为CPU)或者为数字处理单元等等。处理器902,用于调用存储器901中存储的计算机程序时实现上述数据访问方法。
通讯模块903用于与其他网络设备进行通信。
本申请实施例中不限定上述存储器901、通讯模块903和处理器902之间的具体连接介质。本申请实施例在图9中以存储器901和处理器902之间通过总线904连接,总线904在图9中以粗线描述,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线904可以分为地址总线、数据总线、控制总线等。为便于描述,图9中仅用一条粗线描述,但并不描述仅有一根总线或一种类型的总线。
存储器901中存储有计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于实现本申请实施例的数据访问方法。处理器902用于执行上述各实施例的数据访问方法。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质上存储有计算机程序,当该计算机程序指令在计算机上运行时,使得计算机处理器执行本说明书上述描述的根据本申请各种实施例的数据访问方法中的步骤。
在一些可能的实施方式中,本申请提供的数据访问方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的数据访问方法中的步骤,例如,计算机设备可以执行各实施例的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算装置上运行。然而,本申请的程序产品不限于此,在本申请件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被命令执行***、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由命令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算装置上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算装置上部分在远程计算装置上执行、或者完全在远程计算装置或服务器上执行。在涉及远程计算装置的情形中,远程计算装置可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算装置,或者,可以连接到外部计算装置(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本申请方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (15)

1.一种数据访问方法,其特征在于,应用于云端服务器,所述方法包括:
接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求;其中,所述业务访问请求是所述终端设备确定所述目标业务应用为特定安全等级业务,且所述目标业务应用的访问模式为云端访问模式后发送的;
基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
2.如权利要求1所述的方法,其特征在于,在接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求之前,所述方法还包括:
接收所述终端设备发送的集合获取请求,所述集合获取请求携带有所述对象标识对应的目标对象的信息;
响应于所述集合获取请求,获取所述目标对象有权限访问的业务应用集合,并发送给所述终端设备,使得所述终端设备在本地的显示界面中呈现所述至少一个业务应用的应用信息。
3.如权利要求1所述的方法,其特征在于,若所述业务访问请求还携带有身份令牌集合,则在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,所述方法还包括:
从所述业务访问请求中获取身份令牌集合;其中,所述身份令牌集合是所述云端服务器在所述目标对象认证通过后为其分配的,所述身份令牌集合包括对象令牌、业务应用令牌以及终端设备令牌;
对所述对象令牌、所述业务应用令牌以及所述终端设备令牌进行合法性校验。
4.如权利要求1所述的方法,其特征在于,在基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据之前,所述方法还包括:
从多个预创建的对象组中,确定所述对象标识所属的目标对象组;其中,同一对象组中的各个对象所能访问的业务应用相同;
将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述目标业务应用,所述云端主机池中各个云端主机上均已配置有所述目标对象组中的各个对象所能访问的所有业务应用。
5.如权利要求4所述的方法,其特征在于,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,并在所述云端主机中启动所述业务应用之前,所述方法还包括:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定目标对象组对应的镜像文件集合,所述镜像文件集合包括所述目标对象组中的各个对象所能访问的所有业务应用的镜像文件;
基于所述镜像文件集合,分别对所述云端主机池中各个云端主机进行应用配置。
6.如权利要求4所述的方法,其特征在于,在将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象之前,所述方法还包括:
接收所述终端设备发送的对象组配置请求;
响应于所述对象组配置请求,确定所述目标对象组对应的镜像文件集合;
基于所述镜像文件集合,生成对应的镜像模板;
则所述将所述目标对象组关联的云端主机池的其中一个云端主机分配给所述目标对象,包括:
将所述模板镜像与所述目标对象分配的云端主机关联,以使所述云端主机配置有所述目标对象组中的各个对象所能访问的所有业务应用。
7.如权利要求1所述的方法,其特征在于,在将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面之后,所述方法还包括:
在预设时长内,判断是否接收到针对所述终端设备的所述应用界面触发的操作指令;
若为否,则停止将所述画面数据发送给所述终端设备。
8.一种数据访问方法,其特征在于,应用于终端设备,所述方法包括:
响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务;
若是,则确定所述目标业务应用的访问模式为云端访问模式;
基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求,所述业务访问请求携带有所述终端设备对应的对象标识,以使所述云端服务器基于所述对象标识获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
接收所述云端服务器返回的所述画面数据,并基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
9.如权利要求8所述的方法,其特征在于,在响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务之前,所述方法还包括:
响应于业务应用集合的展示指令,向所述云端服务器发送携带有所述对象标识对应的目标对象的信息的集合获取请求,以使所述云端服务器响应于所述集合获取请求,获取与所述目标对象对应的业务应用集合;
接收所述云端服务器返回的所述业务应用集合,并在本地的显示界面中呈现所述至少一个业务应用的应用信息。
10.如权利要求8或者9所述的方法,其特征在于,在基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求之前,所述方法还包括:
响应于针对云端主机池的对象组配置指令,向相应的云端服务器发送对象组配置请求,所述对象组配置请求携带为所述云端主机池对应的目标对象组配置的业务应用集合;
接收所述云端服务器返回的配置完成指示,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,通过所述业务应用集合对应的镜像文件集合对所述云端主机池中各个云端主机进行应用配置后返回的,或者,所述配置完成指示是所述云端服务器响应于所述对象组配置请求,基于所述镜像文件集合生成对应的镜像模板后返回的。
11.一种数据访问装置,其特征在于,应用于云端服务器,所述装置包括:
第一接收模块,用于接收终端设备发送的针对目标业务应用且携带有所述终端设备对应的对象标识的业务访问请求;其中,所述业务访问请求是所述终端设备确定所述目标业务应用为特定安全等级业务,且所述目标业务应用的访问模式为云端访问模式后发送的;
第一处理模块,用于基于所述对象标识,获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
第一发送模块,用于将所述画面数据发送给所述终端设备,使得所述终端设备基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
12.一种数据访问装置,其特征在于,应用于终端设备,所述装置包括:
第二处理模块,用于响应于针对目标业务应用触发的业务访问指令,确定所述目标业务应用是否为特定安全等级业务;若是,则确定所述业务应用的访问模式为云端访问模式;
第二发送模块,用于基于所述云端访问模式的配置信息,向相应的云端服务器发送业务访问请求,所述业务访问请求携带有所述终端设备对应的对象标识,以使所述云端服务器基于所述对象标识获取相应云端主机呈现的显示界面中,所述目标业务应用的应用界面对应的显示区域的画面数据;
第二接收模块,用于接收所述云端服务器返回的所述画面数据,并基于所述画面数据在本地的显示界面中呈现所述目标业务应用的应用界面。
13.一种计算机设备,其特征在于,包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如权利要求1-7或8-10中任一项所述的方法。
14.一种计算机存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-7或8-10中任一所述的方法。
15.一种计算机程序产品,包括计算机程序指令,其特征在于,
该计算机程序指令被处理器执行时实现权利要求1-7或8-10任一所述方法的步骤。
CN202211732293.3A 2022-12-30 2022-12-30 数据访问方法、装置、设备及存储介质 Pending CN118278037A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211732293.3A CN118278037A (zh) 2022-12-30 2022-12-30 数据访问方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211732293.3A CN118278037A (zh) 2022-12-30 2022-12-30 数据访问方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN118278037A true CN118278037A (zh) 2024-07-02

Family

ID=91643041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211732293.3A Pending CN118278037A (zh) 2022-12-30 2022-12-30 数据访问方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN118278037A (zh)

Similar Documents

Publication Publication Date Title
US10992473B2 (en) Secure single sign on and conditional access for client applications
US11930426B2 (en) Providing access to applications with varying enrollment levels
US10666669B2 (en) Securing services in a networked computing environment
US9838398B2 (en) Validating the identity of an application for application management
EP3364629B1 (en) Providing virtualized private network tunnels
US20210037101A1 (en) Systems and methods for consistent enforcement policy across different saas applications via embedded browser
US20140109171A1 (en) Providing Virtualized Private Network tunnels
CN113296798B (zh) 一种服务部署方法、装置及可读存储介质
WO2014062395A1 (en) Configuring and providing profiles that manage execution of mobile applications
US20210182440A1 (en) System for preventing access to sensitive information and related techniques
US20170063857A1 (en) Providing access to applications with varying enrollment levels
US11366883B2 (en) Reflection based endpoint security test framework
CN108259414B (zh) 一种虚拟资源的管控方法及服务器
CN118278037A (zh) 数据访问方法、装置、设备及存储介质
US11489716B2 (en) Desktop virtualization with a dedicated cellular network connection for client devices
WO2015180298A1 (zh) 业务鉴权的处理方法及装置
CN113297595A (zh) 提权处理方法、装置、存储介质与电子设备
CN117857127A (zh) 一种使用虚拟私有网络的云平台安全接入方法
WO2021021282A1 (en) Desktop virtualization with linked power management to client devices

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination