数据访问、发送方法及装置、电子设备、可读存储介质
技术领域
本发明涉及信息安全技术领域,特别是涉及一种数据访问、发送方法及装置、电子设备、可读存储介质。
背景技术
在一些企业办公环境中,会根据IT(Internet Technology,互联网技术)设备的用途和数据级别对网络进行划分,例如划分为办公网和生产网,不同的网络需要使用不同的计算机终端来访问。传统的做法是一人双机,在不同的网络上使用不同的计算机终端。随着信息技术的发展,可以做到一个计算机终端可以在两个或者多个环境中使用。
例如安全桌面解决方案,可以在普通桌面处理日常办公信息,在安全桌面中处理业务敏感的信息,两个桌面的数据在正常情况下无法互通,只有经过批准的数据可以从安全桌面环境传送到普通桌面。但是此类方案一般只适用于windows操作系统,不支持linux操作系统,而目前越来越多的企业开始使用基于linux操作系统内核的操作系统,因此安全桌面技术无法满足现有要求,且在环境切换时,需要先执行桌面切换,降低了工作效率。
还可以采用云桌面技术实现一个计算机终端在多个(两个及两个以上)环境中使用,但云桌面技术本质上使用的是云平台提供的计算资源,不是使用计算机终端的计算资源,存在计算、网络、存储等资源集中抢占、单点故障等问题。
由此可见,现有技术中在实现计算机终端在多个环境中使用时,安全桌面技术存在工作效率低以及无法适配不同操作系统的问题,云桌面技术存在资源集中抢占和单点故障的问题。
发明内容
本发明提供了一种数据访问、发送方法及装置、电子设备、可读存储介质,以解决现有技术中当终端在多个环境中使用时安全桌面技术存在的工作效率低、无法适配不同操作系统以及云桌面技术存在的资源集中抢占和单点故障的问题。
为了解决上述问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种数据访问方法,应用于终端,所述终端安装有数据隔离客户端,所述方法包括:
接收数据隔离服务器发送的包括至少一个容器镜像的配置信息;
根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境;
响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述数据隔离客户端对应的客户端图标在所述终端的桌面显示;
所述接收数据隔离服务器发送的包括至少一个容器镜像的配置信息之前,还包括:
响应于用户对所述客户端图标的第一输入,启动所述数据隔离客户端;
其中,所述终端通过所述数据隔离客户端接收所述配置信息,并通过所述数据隔离客户端创建所述数据隔离安全环境。
可选的,所述创建与所述容器镜像对应的至少一个数据隔离安全环境之后,还包括:
针对每一个所述数据隔离安全环境,分别生成对应的环境图标,并在所述终端的桌面进行显示;
所述响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面,包括:
响应于用户对至少一个所述环境图标中的目标环境图标的第二输入,开启所述目标环境图标对应的所述目标数据隔离安全环境;
在所述终端的桌面显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述配置信息还包括每一个所述容器镜像分别对应的访问时段、用户名和密码;
所述根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,包括:
针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限;
其中,在接收到所述数据访问请求的时刻位于所述目标数据隔离安全环境对应的所述访问时段内,且所述数据访问请求中携带的第一用户名和第一密码与所述目标数据隔离安全环境的访问权限匹配时,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述容器镜像中存储有支持加密的文件驱动程序,在显示所述目标数据隔离安全环境的图形用户界面之后,还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一文件驱动程序,对所述目标数据隔离安全环境下产生的目标数据进行加密;
将加密后的所述目标数据存储至本地存储区;
其中,所述目标数据以密文形式在本地显示,再次开启所述目标数据隔离安全环境后,所述目标数据以明文形式在所述目标数据隔离安全环境显示。
可选的,所述容器镜像中存储有网络驱动程序,在所述目标数据隔离安全环境访问网络的情况下,还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一网络驱动程序,控制所述目标数据隔离安全环境访问安全服务器区域网络,并禁止本地普通环境访问所述安全服务器区域网络。
可选的,所述容器镜像中存储有外设驱动程序,在所述目标数据隔离安全环境连接外部设备的情况下,还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一外设驱动程序,控制所述外部设备访问所述目标数据隔离安全环境中的授权数据;
其中,所述外部设备为所述第一外设驱动程序对应的设备。
第二方面,本发明实施例提供一种数据发送方法,应用于数据隔离服务器,所述方法包括:
确定安装数据隔离客户端的终端所对应的配置信息,所述配置信息包括至少一个容器镜像;
向所述终端发送所述配置信息,以使所述终端根据所述配置信息创建至少一个数据隔离安全环境;
其中,每个所述容器镜像对应于一个所述数据隔离安全环境。
可选的,所述向所述终端发送所述配置信息,包括:
向所述终端发送包括至少一个所述容器镜像、每个所述容器镜像分别对应的访问时段、用户名和密码的所述配置信息,以使所述终端针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限。
可选的,所述容器镜像中存储有支持加密的文件驱动程序、网络驱动程序和外设驱动程序中的至少一种;
其中,所述文件驱动程序用于对所述数据隔离安全环境产生的数据进行加密,所述网络驱动程序用于控制所述数据隔离安全环境访问安全服务器区域网络,所述外设驱动程序用于控制外部设备访问所述数据隔离安全环境。
第三方面,本发明实施例提供一种数据访问装置,应用于终端,所述终端安装有数据隔离客户端,所述装置包括:
接收模块,用于接收数据隔离服务器发送的包括至少一个容器镜像的配置信息;
创建模块,用于根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境;
处理模块,用于响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述数据隔离客户端对应的客户端图标在所述终端的桌面显示;所述装置还包括:
启动模块,用于在所述接收模块接收数据隔离服务器发送的包括至少一个容器镜像的配置信息之前,响应于用户对所述客户端图标的第一输入,启动所述数据隔离客户端;
其中,所述终端通过所述数据隔离客户端接收所述配置信息,并通过所述数据隔离客户端创建所述数据隔离安全环境。
可选的,该装置还包括:
生成模块,用于在所述创建模块创建与所述容器镜像对应的至少一个数据隔离安全环境之后,针对每一个所述数据隔离安全环境,分别生成对应的环境图标,并在所述终端的桌面进行显示;
所述处理模块包括:
开启子模块,用于响应于用户对至少一个所述环境图标中的目标环境图标的第二输入,开启所述目标环境图标对应的所述目标数据隔离安全环境;
显示子模块,用于在所述终端的桌面显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述配置信息还包括每一个所述容器镜像分别对应的访问时段、用户名和密码;
所述创建模块进一步用于:
针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限;
其中,在接收到所述数据访问请求的时刻位于所述目标数据隔离安全环境对应的所述访问时段内,且所述数据访问请求中携带的第一用户名和第一密码与所述目标数据隔离安全环境的访问权限匹配时,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述容器镜像中存储有支持加密的文件驱动程序,该装置还包括:
加密模块,用于在所述处理模块显示所述目标数据隔离安全环境的图形用户界面之后,根据所述目标数据隔离安全环境对应的所述容器镜像中的第一文件驱动程序,对所述目标数据隔离安全环境下产生的目标数据进行加密;
存储模块,用于将加密后的所述目标数据存储至本地存储区;
其中,所述目标数据以密文形式在本地显示,再次开启所述目标数据隔离安全环境后,所述目标数据以明文形式在所述目标数据隔离安全环境显示。
可选的,所述容器镜像中存储有网络驱动程序,在所述目标数据隔离安全环境访问网络的情况下,该装置还包括:
第一控制模块,用于根据所述目标数据隔离安全环境对应的所述容器镜像中的第一网络驱动程序,控制所述目标数据隔离安全环境访问安全服务器区域网络,并禁止本地普通环境访问所述安全服务器区域网络。
可选的,所述容器镜像中存储有外设驱动程序,在所述目标数据隔离安全环境连接外部设备的情况下,该装置还包括:
第二控制模块,用于根据所述目标数据隔离安全环境对应的所述容器镜像中的第一外设驱动程序,控制所述外部设备访问所述目标数据隔离安全环境中的授权数据;
其中,所述外部设备为所述第一外设驱动程序对应的设备。
第四方面,本发明实施例还提供一种数据发送装置,应用于数据隔离服务器,所述装置包括:
确定模块,用于确定安装数据隔离客户端的终端所对应的配置信息,所述配置信息包括至少一个容器镜像;
发送模块,用于向所述终端发送所述配置信息,以使所述终端根据所述配置信息创建至少一个数据隔离安全环境;
其中,每个所述容器镜像对应于一个所述数据隔离安全环境。
可选的,所述发送模块进一步用于:
向所述终端发送包括至少一个所述容器镜像、每个所述容器镜像分别对应的访问时段、用户名和密码的所述配置信息,以使所述终端针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限。
可选的,所述容器镜像中存储有支持加密的文件驱动程序、网络驱动程序和外设驱动程序中的至少一种;
其中,所述文件驱动程序用于对所述数据隔离安全环境产生的数据进行加密,所述网络驱动程序用于控制所述数据隔离安全环境访问安全服务器区域网络,所述外设驱动程序用于控制外部设备访问所述数据隔离安全环境。
第五方面,本发明实施例还提供一种数据访问系统,包括数据隔离服务器和安装有数据隔离客户端的终端,所述终端通过所述数据隔离客户端与所述数据隔离服务器交互;
所述数据隔离服务器确定所述终端所对应的包括至少一个容器镜像的配置信息,并将所述配置信息发送至所述终端;
所述终端根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境,并响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
第六方面,本发明实施例提供一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述的数据访问方法的步骤或者实现上述的数据发送方法的步骤。
第七方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的数据访问方法的步骤或者实现上述的数据发送方法的步骤。
与现有技术相比,本发明至少包括以下优点:
通过接收数据隔离服务器发送的包括至少一个容器镜像的配置信息,根据配置信息,创建与容器镜像对应的至少一个数据隔离安全环境,根据用户对目标数据隔离安全环境的数据访问请求,显示目标数据隔离安全环境的图形用户界面,可以基于容器技术实现不同环境下的数据隔离,并根据用户的需求访问特定的数据,提升了数据的安全性,且在环境切换时无需执行桌面切换,保证了工作效率,同时可适配于不同的操作系统,具有较广的使用范围。
附图说明
图1示出了本发明实施例数据访问方法的示意图;
图2示出了本发明实施例数据访问方法的实施架构图;
图3示出了本发明实施例数据发送方法的示意图;
图4示出了本发明实施例数据访问装置的示意图;
图5示出了本发明实施例数据发送装置的示意图;
图6示出了本发明实施例数据访问系统的架构图;
图7示出了本发明实施例数据访问系统的实施架构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
首先对与本发明实施例相关的内容进行介绍,Docker(容器)是一个开放源代码软件,是一个开放平台,用于开发应用、交付应用、运行应用。容器与虚拟机类似,但原理上,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器的优点。容器更多的用于表示软件的一个标准化单元,由于容器的标准化,因此它可以无视基础设施的差异,部署到任何一个地方。其中容器是由容器镜像实例化而来,也可以理解为容器镜像是文件,容器是进程,容器基于容器镜像创建,即容器中的进程依赖于容器镜像中的文件,这里的文件包括进程运行所需要的不同类型的文件。
下面对本发明实施例的应用于终端的数据访问方法进行介绍,如图1所示,所述终端安装有数据隔离客户端,所述方法包括:
步骤101、接收数据隔离服务器发送的包括至少一个容器镜像的配置信息。
本发明实施例提供的数据访问方法应用于终端,其中终端安装有数据隔离客户端,并通过数据隔离客户端与数据隔离服务器实现信息交互。终端可以接收数据隔离服务器发送的配置信息,其中配置信息中包括至少一个容器镜像。终端在接收到数据隔离服务器发送的包括至少一个容器镜像的配置信息之后,可以基于所获取的配置信息执行步骤102。
步骤102、根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境。
在接收到配置信息之后,可以根据配置信息创建数据隔离安全环境,由于配置信息中包括至少一个容器镜像,在根据配置信息创建数据隔离安全环境时,可以针对每一个容器镜像,创建对应的数据隔离安全环境,以实现形成容器镜像与数据隔离安全环境的一一对应。例如,当前终端为银行工作人员所使用的终端,在接收包括两个容器镜像的配置信息之后,可以根据配置信息中的容器镜像A创建客户业务对应的数据隔离安全环境,根据容器镜像B创建内部业务对应的数据隔离安全环境,其中客户业务对应的数据隔离安全环境、内部业务对应的数据隔离安全环境以及普通环境之间相互隔离。
通过创建数据隔离安全环境,可以使得数据隔离安全环境与普通环境隔离,同时可使得各数据隔离安全环境之间隔离,便于实现数据区分,保证数据的安全性。
步骤103、响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
在创建至少一个数据隔离安全环境之后,可以接收用户在至少一个数据隔离安全环境中对目标数据隔离安全环境的数据访问请求,根据接收到的对目标数据隔离安全环境的数据访问请求,开启目标数据隔离安全环境,并在终端正常桌面上显示目标数据隔离安全环境对应的图形用户界面。其中,目标数据隔离安全环境的数量至少为一个。
其中,图形用户界面通过GUI(Graphical User Interface,图形用户界面)显示控制模块以及X11协议在终端桌面显示,具体为,GUI显示控制模块利用X11协议,控制容器(基于容器镜像创建)内的GUI应用的窗口显示在正常桌面中,用户直接使用即可,在使用普通环境的程序和数据隔离安全环境的程序时无需进行桌面切换,提升了工作效率。
本发明实施例的数据访问方法可利用容器技术,应用于windows及linux系统,进而可以解决linux和windows操作系统下的数据安全隔离使用的问题,可适用于不同网络(如办公网络与业务网络)需要数据隔离的环境中,具有较广的使用范围,且不具备安全桌面技术以及云桌面技术的弊端。
在本发明一可选实施例中,所述数据隔离客户端对应的客户端图标在所述终端的桌面显示;所述接收数据隔离服务器发送的包括至少一个容器镜像的配置信息之前,还包括:
响应于用户对所述客户端图标的第一输入,启动所述数据隔离客户端;
其中,所述终端通过所述数据隔离客户端接收所述配置信息,并通过所述数据隔离客户端创建所述数据隔离安全环境。
终端所安装的数据隔离客户端对应的客户端图标可以在终端的正常桌面显示,在终端接收数据隔离服务器发送的配置信息之前,可以接收用户对客户端图标所执行的第一输入,响应于用户的第一输入,启动数据隔离客户端。在启动数据隔离客户端之后,可以通过数据隔离客户端接收数据隔离服务器发送的配置信息,并在接收到配置信息之后,通过数据隔离客户端创建至少一个数据隔离安全环境。
例如,在终端的正常桌面显示客户端图标,根据用户对客户端图标的点击输入,启动数据隔离客户端,在启动数据隔离客户端之后,可以建立终端与数据隔离服务器之间的连接,进而接收数据隔离服务器发送的配置信息。
通过用户的第一输入开启数据隔离客户端,可以实现终端与数据隔离服务器之间的交互,进而可以获取配置信息创建数据隔离安全环境,使得数据隔离安全环境与普通环境隔离、各数据隔离安全环境之间相互隔离,以实现数据区分,保证数据的安全性。
在本发明一可选实施例中,所述创建与所述容器镜像对应的至少一个数据隔离安全环境之后,还包括:针对每一个所述数据隔离安全环境,分别生成对应的环境图标,并在所述终端的桌面进行显示;
所述响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面,包括:
响应于用户对至少一个所述环境图标中的目标环境图标的第二输入,开启所述目标环境图标对应的所述目标数据隔离安全环境;
在所述终端的桌面显示所述目标数据隔离安全环境的图形用户界面。
在创建与至少一个容器镜像分别对应的数据隔离安全环境之后,可以针对每一个数据隔离安全环境,生成对应的环境图标,并将所生成的环境图标在终端的桌面进行显示。在终端的桌面显示环境图标之后,可以接收用户对至少一个环境图标中的目标环境图标的第二输入,根据用户对目标环境图标的第二输入,可以开启目标环境图标对应的目标数据隔离安全环境。其中,目标环境图标至少为一个,相应的,目标数据隔离安全环境也至少为一个。在开启目标数据隔离安全环境之后,可以在终端的桌面上显示目标数据隔离安全环境的图形用户界面。且在目标数据隔离安全环境为多个的情况下,可以显示多个目标数据隔离安全环境对应的图形用户界面,每个图形用户界面互不干扰,实现数据的隔离,以保证数据的安全性。
例如,在创建三个数据隔离安全环境之后,针对三个数据隔离安全环境分别生成环境图标A、环境图标B和环境图标C,并将环境图标A、环境图标B和环境图标C在终端的正常桌面上显示。根据用户对环境图标C的第二输入,确定环境图标C为目标环境图标,并开启环境图标C对应的目标数据隔离安全环境,在终端的正常桌面显示目标数据隔离安全环境的图形用户界面。
通过生成环境图标,根据用户对环境图像的输入开启对应的数据隔离安全环境,并显示图形用户界面,可便于用户快速启动数据隔离安全环境,进而在对应的图形用户界面执行操作。
在本发明一可选实施例中,所述配置信息还包括每一个所述容器镜像分别对应的访问时段、用户名和密码;所述根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,包括:
针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限;
其中,在接收到所述数据访问请求的时刻位于所述目标数据隔离安全环境对应的所述访问时段内,且所述数据访问请求中携带的第一用户名和第一密码与所述目标数据隔离安全环境的访问权限匹配时,显示所述目标数据隔离安全环境的图形用户界面。
数据隔离服务器发送的配置信息中除了至少一个容器镜像之外,还包括每一个容器镜像分别对应的访问时段、用户名和密码,即配置信息包括至少一个容器镜像,针对每一个容器镜像,还包括访问时段、用户名和密码。
在终端根据配置信息创建至少一个数据隔离安全环境时,可以针对每一个容器镜像,根据该容器镜像对应的访问时段,创建在对应的访问时段内可访问的数据隔离安全环境,同时依据该容器镜像对应的用户名和密码,设置数据隔离安全环境的访问权限。
在创建至少一个在特定时段内可访问的数据隔离安全环境,且设置访问权限之后,可以接收用户对目标数据隔离安全环境的数据访问请求,在接收到数据访问请求之后,可以检测接收到数据访问请求的时刻是否位于目标数据隔离安全环境对应的访问时段内,若是,则可以继续检测数据访问请求中携带的第一用户名和第一密码是否与目标数据隔离安全环境的访问权限匹配,在第一用户名和第一密码与目标数据隔离安全环境的访问权限匹配时,可以在终端的桌面显示目标数据隔离安全环境的图形用户界面。
例如,在针对三个容器镜像,分别创建在对应的访问时段可访问的数据隔离安全环境,并根据用户名和密码设置数据隔离安全环境的访问权限之后,接收用户对数据隔离安全环境A(目标数据隔离安全环境)的数据访问请求,在接收到数据访问请求之后,需要获取接收时刻,并检测接收时刻是否位于数据隔离安全环境A对应的访问时段内,若是则获取数据访问请求中携带的第一用户名和第一密码,检测第一用户名和第一密码是否与数据隔离安全环境A对应的用户名和密码相匹配,在匹配的情况下,可以确定第一用户名和第一密码符合访问权限,显示数据隔离安全环境A的图形用户界面。
其中,还可以在数据访问请求中携带访问时刻,若携带的访问时刻位于目标数据隔离安全环境对应的访问时段内,则可以继续验证第一用户名和第一密码。
上述实施过程,可以保证在对应的时段内对数据隔离安全环境进行访问,且需要在用户发送的数据访问请求中的用户名和密码与访问权限匹配时,显示对应的图形用户界面,可以保证数据访问的安全性。
在本发明一可选实施例中,所述容器镜像中存储有支持加密的文件驱动程序,在显示所述目标数据隔离安全环境的图形用户界面之后,所述方法还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一文件驱动程序,对所述目标数据隔离安全环境下产生的目标数据进行加密;
将加密后的所述目标数据存储至本地存储区;
其中,所述目标数据以密文形式在本地显示,再次开启所述目标数据隔离安全环境后,所述目标数据以明文形式在所述目标数据隔离安全环境显示。
配置信息所包含的容器镜像中存储有支持加密的文件驱动程序,可以在基于容器镜像创建容器时,将支持加密的文件驱动程序加载至容器内。针对目标数据隔离安全环境而言,可以将目标数据隔离安全环境对应的容器镜像中的第一文件驱动程序,加载至基于目标数据隔离安全环境对应的容器镜像创建的容器中,这里的第一文件驱动程序为支持加密的程序。然后基于加载至容器中的第一文件驱动程序,对目标数据隔离安全环境下产生的目标数据进行加密,将加密后的目标数据存储至本地存储区。
其中,在加密处理时,可以使用随机密钥对目标数据进行加密存储,且目标数据以密文形式在本地显示,本地无法正常使用密文形式的目标数据。当再次开启目标数据隔离安全环境后,存储在本地的目标数据以明文形式在目标数据隔离安全环境显示。
例如,针对目标数据隔离安全环境(研发人员使用的数据隔离安全环境)的程序产生的目标数据,当需要存储至本地时,使用随机密钥对目标数据进行加密,以密文形式存储在本地,普通环境下看到的数据均为密文,可以保证研发数据的安全性。
上述实施过程,可以保证数据隔离安全环境与普通环境的区分以及各数据隔离安全环境之间的区分,使得不同环境的数据实现隔离,避免访问不同环境下的数据,保证数据的安全使用。
在本发明一可选实施例中,所述容器镜像中存储有网络驱动程序,在所述目标数据隔离安全环境访问网络的情况下,还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一网络驱动程序,控制所述目标数据隔离安全环境访问安全服务器区域网络,并禁止本地普通环境访问所述安全服务器区域网络。
配置信息所包含的容器镜像中存储有网络驱动程序,可以在基于容器镜像创建容器时,根据网络驱动程序在容器内部安装网络接入控制器。在目标数据隔离安全环境访问网络时,可以根据目标数据隔离安全环境对应的容器镜像中的第一网络驱动程序,在创建的容器内部安装第一网络接入控制器。根据第一网络接入控制器,控制目标数据隔离安全环境连通安全服务器区域网络,无法访问普通服务器区域网络,同时禁止本地普通环境访问安全服务器区域网络。其中各数据隔离安全环境均可对应于安全服务器区域网络,本地普通环境对应于普通服务器区域网络。
例如,行政人员在普通环境上网时,可以直接访问普通服务器区域网络,在目标数据隔离安全环境(行政业务对应的数据隔离安全环境)上网时,可以访问安全服务器区域网络,在普通环境下无法访问安全服务器区域网络,在目标数据隔离安全环境下,无法访问普通服务器区域网络。
上述实施过程,可以保证数据隔离安全环境访问安全服务器区域网络,普通环境访问普通服务器区域网络,实现网络的划分,避免出现网络混用的情况,保证网络使用的安全性。
在本发明一可选实施例中,所述容器镜像中存储有外设驱动程序,在所述目标数据隔离安全环境连接外部设备的情况下,还包括:
根据所述目标数据隔离安全环境对应的所述容器镜像中的第一外设驱动程序,控制所述外部设备访问所述目标数据隔离安全环境中的授权数据;
其中,所述外部设备为所述第一外设驱动程序对应的设备。
配置信息所包含的容器镜像中存储有外设驱动程序,可以在基于容器镜像创建容器时,根据外设驱动程序在容器内部安装外设控制器。在目标数据隔离安全环境需要使用外设资源(例如U盘、打印机等)时,可以根据目标数据隔离安全环境对应的容器镜像中的第一外设驱动程序,在创建的容器内部安装第一外设控制器,根据第一外设控制器控制第一外设驱动程序对应的外部设备访问目标数据隔离安全环境中的授权数据,确保非授权数据无法通过移动存储、打印等方式外泄。
例如,研发人员在目标数据隔离安全环境中进行项目研发,在需要将部分研发数据拷贝至U盘内时,首先需要检测与目标数据隔离安全环境连接的U盘是否属于容器镜像中的第一外设驱动程序对应的设备,即该U盘是否属于容器镜像中的第一外设驱动程序授权的U盘,若是,则可以允许该U盘访问目标数据隔离安全环境中的已授权(允许外泄)的研发数据。
上述实施过程,可以实现与数据隔离安全环境连接的且被授权的外部设备访问数据隔离安全环境中的授权数据,可以保证数据的安全性。
以上为本发明实施例的数据访问方法的实施过程,可应用于windows系统及linux系统,通过使用容器技术、底层文件驱动加密技术、网络驱动控制、X11服务、外设驱动控制等技术组成一个或者多个数据隔离安全环境,可适用于不同网络(如办公网络与业务网络)需要数据隔离的环境中。
下面对本发明的总体技术方案进行简要阐述,如图2所示,终端上安装有数据隔离客户端,通过数据隔离客户端可以与数据隔离服务器之间进行交互,其中数据隔离客户端对应于数据隔离安全环境,终端还对应于普通环境。在数据隔离安全环境下,可以访问安全服务器区域,实现进程和计算资源控制、存储资源控制、网络资源控制、GUI显示控制以及硬件外设控制,在普通环境下,可以访问普通服务器区域,实现进程和计算资源控制、存储资源控制、网络资源控制。
本发明实施例提供的数据访问方法,通过接收数据隔离服务器发送的包括至少一个容器镜像的配置信息,根据配置信息,创建与容器镜像对应的至少一个数据隔离安全环境,根据用户对目标数据隔离安全环境的数据访问请求,显示目标数据隔离安全环境的图形用户界面,可以基于容器技术实现不同环境下的数据隔离,并根据用户的需求访问特定的数据,提升了数据的安全性,且在环境切换时无需执行桌面切换,保证了工作效率,同时可适配于不同的操作系统,具有较广的使用范围。
进一步的,通过设定访问时段和访问权限可以使得数据在特定时段内允许具有相关权限的人员访问,保证数据的安全性,通过网络区分、加密存储、外设权限设置,可保证数据区分,提升数据访问的安全性。
本发明提供的数据访问方法利用容器技术,解决了linux操作系统和windows操作系统下的数据安全隔离使用的问题以及云桌面技术存在的资源集中抢占和单点故障的问题。
本发明实施例还提供一种数据发送方法,应用于数据隔离服务器,如图3所示,所述方法包括:
步骤301、确定安装数据隔离客户端的终端所对应的配置信息,所述配置信息包括至少一个容器镜像。
本发明实施例的数据发送方法应用于数据隔离服务器,数据隔离服务器首先需要针对终端确定对应的配置信息,配置信息中包括至少一个容器镜像。
其中,数据隔离服务器可对应于至少一个安装有数据隔离客户端的终端,针对多个终端的情况,在确定配置信息时,可以针对每一个终端分别确定对应的配置信息。由于配置信息中包括至少一个容器镜像,因此可以针对不同的终端分配相同或者不同的容器镜像。例如,针对终端1分配包括容器镜像1和容器镜像2的配置信息,针对终端2分配包括容器镜像3和容器镜像2的配置信息。
本实施例中以数据隔离服务器与一个终端交互为例进行阐述,在数据隔离服务器确定终端对应的配置信息之后,可以执行步骤302。
步骤302、向所述终端发送所述配置信息,以使所述终端根据所述配置信息创建至少一个数据隔离安全环境;其中,每个所述容器镜像对应于一个所述数据隔离安全环境。
在针对终端确定包括至少一个容器镜像的配置信息之后,可以向终端发送配置信息,以使得终端在接收到配置信息之后,可以根据接收到的配置信息中的至少一个容器镜像创建至少一个数据隔离安全环境,实现基于容器镜像创建对应的数据隔离安全环境,以实现数据的隔离。其中,终端可采用windows系统或者linux系统,解决了linux和windows操作系统下的数据安全隔离使用的问题。
上述实施过程,通过确定终端的配置信息并将配置信息发送至终端,可以使得终端基于容器技术根据配置信息创建数据隔离安全环境,实现不同环境下的数据隔离,同时可适配于不同的操作系统,具有较广的使用范围,解决了linux和windows操作系统下的数据安全隔离使用的问题。
在本发明一可选实施例中,所述向所述终端发送所述配置信息,包括:
向所述终端发送包括至少一个所述容器镜像、每个所述容器镜像分别对应的访问时段、用户名和密码的所述配置信息,以使所述终端针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限。
在数据隔离服务器向终端发送配置信息时,所发送的配置信息中可以包括至少一个容器镜像,每个容器镜像分别对应的访问时段、用户名和密码。使得终端在接收到配置信息之后,依据容器镜像和访问时段创建在特定时段内可访问的数据隔离安全环境,并依据用户名和密码设置数据隔离安全环境的访问权限,保证访问的安全性。
上述实施过程,可以保证在对应的时段内对数据隔离安全环境进行访问,且需要在用户输入的用户名和密码与访问权限匹配时实现访问,可以保证数据访问的安全性。
在本发明一可选实施例中,所述容器镜像中存储有支持加密的文件驱动程序、网络驱动程序和外设驱动程序中的至少一种;其中,所述文件驱动程序用于对所述数据隔离安全环境产生的数据进行加密,所述网络驱动程序用于控制所述数据隔离安全环境访问安全服务器区域网络,所述外设驱动程序用于控制外部设备访问所述数据隔离安全环境。
数据隔离服务器向终端发送的配置信息中包括至少一个容器镜像,针对每个容器镜像而言,可以存储有支持加密的文件驱动程序、网络驱动程序和外设驱动程序中的至少一种。其中终端在接收到配置信息之后,可以提取配置信息中的容器镜像,根据容器镜像中存储的支持加密的文件驱动程序对数据隔离安全环境产生的数据进行加密,并将加密后的数据以密文的形式存储在本地,可以使得不同环境的数据实现隔离,保证数据的安全使用。还可以根据容器镜像中存储的网络驱动程序,控制数据隔离安全环境访问安全服务器区域网络,实现安全服务器区域网络与普通服务器区域网络的划分,避免出现网络混用的情况,保证网络使用的安全性。也可以根据容器镜像中存储的外设驱动程序控制外部设备访问数据隔离安全环境中的授权数据,以实现数据隔离安全环境与外部设备的通信,还可以保证数据的安全性。
本发明实施例提供的数据发送方法,通过确定终端的配置信息并将配置信息发送至终端,可以使得终端基于容器技术根据配置信息创建数据隔离安全环境,实现不同环境下的数据隔离,同时可适配于不同的操作系统,具有较广的使用范围,解决了linux和windows操作系统下的数据安全隔离使用的问题,且可以保证数据访问的安全性。
本发明实施例还提供一种数据访问装置,应用于终端,所述终端安装有数据隔离客户端,如图4所示,所述装置包括:
接收模块401,用于接收数据隔离服务器发送的包括至少一个容器镜像的配置信息。
创建模块402,用于根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境。
处理模块403,用于响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述数据隔离客户端对应的客户端图标在所述终端的桌面显示;所述装置还包括:
启动模块,用于在所述接收模块接收数据隔离服务器发送的包括至少一个容器镜像的配置信息之前,响应于用户对所述客户端图标的第一输入,启动所述数据隔离客户端;
其中,所述终端通过所述数据隔离客户端接收所述配置信息,并通过所述数据隔离客户端创建所述数据隔离安全环境。
可选的,该装置还包括:
生成模块,用于在所述创建模块创建与所述容器镜像对应的至少一个数据隔离安全环境之后,针对每一个所述数据隔离安全环境,分别生成对应的环境图标,并在所述终端的桌面进行显示;
所述处理模块包括:
开启子模块,用于响应于用户对至少一个所述环境图标中的目标环境图标的第二输入,开启所述目标环境图标对应的所述目标数据隔离安全环境;
显示子模块,用于在所述终端的桌面显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述配置信息还包括每一个所述容器镜像分别对应的访问时段、用户名和密码;
所述创建模块进一步用于:
针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限;
其中,在接收到所述数据访问请求的时刻位于所述目标数据隔离安全环境对应的所述访问时段内,且所述数据访问请求中携带的第一用户名和第一密码与所述目标数据隔离安全环境的访问权限匹配时,显示所述目标数据隔离安全环境的图形用户界面。
可选的,所述容器镜像中存储有支持加密的文件驱动程序,该装置还包括:
加密模块,用于在所述处理模块显示所述目标数据隔离安全环境的图形用户界面之后,根据所述目标数据隔离安全环境对应的所述容器镜像中的第一文件驱动程序,对所述目标数据隔离安全环境下产生的目标数据进行加密;
存储模块,用于将加密后的所述目标数据存储至本地存储区;
其中,所述目标数据以密文形式在本地显示,再次开启所述目标数据隔离安全环境后,所述目标数据以明文形式在所述目标数据隔离安全环境显示。
可选的,所述容器镜像中存储有网络驱动程序,在所述目标数据隔离安全环境访问网络的情况下,该装置还包括:
第一控制模块,用于根据所述目标数据隔离安全环境对应的所述容器镜像中的第一网络驱动程序,控制所述目标数据隔离安全环境访问安全服务器区域网络,并禁止本地普通环境访问所述安全服务器区域网络。
可选的,所述容器镜像中存储有外设驱动程序,在所述目标数据隔离安全环境连接外部设备的情况下,该装置还包括:
第二控制模块,用于根据所述目标数据隔离安全环境对应的所述容器镜像中的第一外设驱动程序,控制所述外部设备访问所述目标数据隔离安全环境中的授权数据;
其中,所述外部设备为所述第一外设驱动程序对应的设备。
本发明实施例提供的数据访问装置,通过接收数据隔离服务器发送的包括至少一个容器镜像的配置信息,根据配置信息,创建与容器镜像对应的至少一个数据隔离安全环境,根据用户对目标数据隔离安全环境的数据访问请求,显示目标数据隔离安全环境的图形用户界面,可以基于容器技术实现不同环境下的数据隔离,并根据用户的需求访问特定的数据,提升了数据的安全性,且在环境切换时无需执行桌面切换,保证了工作效率,同时可适配于不同的操作系统,具有较广的使用范围。
进一步的,通过设定访问时段和访问权限可以使得数据在特定时段内允许具有相关权限的人员访问,保证数据的安全性,通过网络区分、加密存储、外设权限设置,可保证数据区分,提升数据访问的安全性。
本发明实施例还提供一种数据发送装置,应用于数据隔离服务器,如图5所示,所述装置包括:
确定模块501,用于确定安装数据隔离客户端的终端所对应的配置信息,所述配置信息包括至少一个容器镜像;
发送模块502,用于向所述终端发送所述配置信息,以使所述终端根据所述配置信息创建至少一个数据隔离安全环境;
其中,每个所述容器镜像对应于一个所述数据隔离安全环境。
可选的,所述发送模块进一步用于:
向所述终端发送包括至少一个所述容器镜像、每个所述容器镜像分别对应的访问时段、用户名和密码的所述配置信息,以使所述终端针对每一个所述容器镜像,创建在对应的所述访问时段可访问的所述数据隔离安全环境,并根据所述用户名和所述密码设置所述数据隔离安全环境的访问权限。
可选的,所述容器镜像中存储有支持加密的文件驱动程序、网络驱动程序和外设驱动程序中的至少一种;
其中,所述文件驱动程序用于对所述数据隔离安全环境产生的数据进行加密,所述网络驱动程序用于控制所述数据隔离安全环境访问安全服务器区域网络,所述外设驱动程序用于控制外部设备访问所述数据隔离安全环境。
本发明实施例提供的数据发送装置,通过确定终端的配置信息并将配置信息发送至终端,可以使得终端基于容器技术根据配置信息创建数据隔离安全环境,实现不同环境下的数据隔离,同时可适配于不同的操作系统,具有较广的使用范围,解决了linux和windows操作系统下的数据安全隔离使用的问题,且可以保证数据访问的安全性。
本发明实施例还提供一种数据访问系统,如图6所示,包括数据隔离服务器和安装有数据隔离客户端的终端,所述终端通过所述数据隔离客户端与所述数据隔离服务器交互;
所述数据隔离服务器确定所述终端所对应的包括至少一个容器镜像的配置信息,并将所述配置信息发送至所述终端;
所述终端根据所述配置信息,创建与所述容器镜像对应的至少一个数据隔离安全环境,每个所述容器镜像对应于一个所述数据隔离安全环境,并响应于用户对至少一个所述数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,显示所述目标数据隔离安全环境的图形用户界面。
本发明实施例的数据访问系统包括数据隔离服务器和终端,其中终端安装有数据隔离客户端,通过数据隔离客户端与数据隔离服务器进行信息交互,且终端可采用windows系统或者linux系统。
数据隔离服务器首先确定需要向终端发送的配置信息,然后向终端的数据隔离客户端发送配置信息,实现与终端的交互。终端通过数据隔离客户端接收配置信息之后,可以创建与容器镜像对应的至少一个数据隔离安全环境,然后根据用户对至少一个数据隔离安全环境中的目标数据隔离安全环境的数据访问请求,启动目标数据隔离安全环境并显示目标数据隔离安全环境的图形用户界面。其中,数据隔离安全环境和普通环境对应于不同的服务器区域,且普通环境不允许访问数据隔离安全环境对应的服务器区域,数据隔离安全环境不允许访问普通环境对应的服务器区域。
下面以一具体实例对终端和数据隔离服务器进行交互的过程进行阐述,如图7所示,PC(Personal Computer,个人计算机)终端安装有数据隔离客户端,通过数据隔离客户端接收数据隔离服务器下发的配置信息,根据配置信息创建数据隔离安全环境。数据隔离安全环境对应于安全服务器区域,普通环境对应于普通服务器区域,用户可以通过普通环境访问普通服务器区域,通过数据隔离安全环境访问安全服务器区域,两者之间的数据完全隔离。
本发明提供的数据访问系统,可以基于容器技术实现不同环境下的数据隔离,提升了数据的安全性,同时可适配于不同的操作系统,具有较广的使用范围。
本发明实施例还提供一种电子设备,包括处理器,存储器,存储在存储器上并可在所述处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述数据访问方法实施例的各个过程或者实现上述数据发送方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述数据访问方法实施例的各个过程或者实现上述数据发送方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、系统或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端上,使得在计算机或其他可编程终端上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端中还存在另外的相同要素。
以上对本发明所提供的数据访问、发送方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
