CN119835006A - 一种数据处理方法、装置、设备和存储介质 - Google Patents
一种数据处理方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN119835006A CN119835006A CN202411744410.7A CN202411744410A CN119835006A CN 119835006 A CN119835006 A CN 119835006A CN 202411744410 A CN202411744410 A CN 202411744410A CN 119835006 A CN119835006 A CN 119835006A
- Authority
- CN
- China
- Prior art keywords
- message information
- information
- user terminal
- service
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种数据处理方法、装置、设备和存储介质,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道安检关卡,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种数据处理方法、装置、设备和存储介质。
背景技术
随着Web应用的发展和用户需求的变化,用户终端在访问网络服务器的重要性越来越重要,现有技术中,用户在访问网络服务器的过程中数据会遭到篡改和窃听,极大地降低了数据传输的安全性。
发明内容
鉴于上述问题,提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种数据处理方法、装置、设备和存储介质。
为了解决上述问题,本发明实施例公开了一种数据处理方法,应用于网络功能虚拟化平台,所述网络功能虚拟化平台包括业务快转区,所述网络功能虚拟化平台分别与用户终端和网络服务器连接,所述方法包括:
在所述用户终端与所述网络服务器建立通信连接后,通过所述业务快转区接收所述用户终端发送的加密后的报文信息;
确定所述报文信息对应的密钥信息;
根据所述密钥信息对所述加密后的报文信息进行解密,得到报文信息;
确定对所述报文信息需要执行的操作信息;
通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
对所述处理后的报文信息进行安全校验;
当所述安全校验通过后,将所述处理后的报文信息发送至所述网络服务器。
可选地,所述网络功能虚拟化平台还包括业务逻辑区,还包括:
通过所述业务快转区接收所述用户终端发送的加密后的通信连接请求;
获取所述用户终端对应的解密密钥;
通过所述解密密钥对所述加密后的通信连接请求进行解密得到所述通信连接请求;
判断所述业务快转区中是否包含所述通信连接请求对应的操作信息;
若所述业务快转区不包含所述通信连接请求对应的操作信息,则将所述通信连接请求发送至所述业务逻辑区;
通过所述业务逻辑区查询所述通信连接请求对应的操作信息,将所述操作信息发送至所述业务快转区;
通过所述业务快转区对所述通信连接请求执行所述操作信息对应的操作后,将处理后的通信连接请求发送至网络服务器,以使所述网络服务器根据所述处理后的通信连接请求与所述用户终端建立通信连接。
可选地,所述报文信息包括用户终端的标识,所述对所述处理后的报文信息进行安全校验,包括:
获取访问控制列表,所述访问控制列表包括具有访问权限的用户终端标识;
判断所述访问控制列表中是否包含所述用户终端的标识;
若所述访问控制列表中包含所述用户终端的标识,则确定对所述用户终端的权限校验通过。
可选地,所述网络功能虚拟化平台还包括密钥管理中心、SDN控制器,所述密钥管理中心包括预先协商的多个用户终端对应的密钥信息;
所述确定所述报文信息对应的密钥信息,包括:
通过所述业务快转区向所述SDN控制器发送密钥获取请求,所述密钥获取请求包括所述用户终端的标识;
通过所述SDN控制器在所述密钥管理中心查询所述用户终端标识对应的密钥信息,将所述密钥信息发送至所述业务快转区。
可选地,所述方法还包括:
通过所述业务快转区接收所述网络服务器发送的数据;
根据所述密钥信息对所述数据进行加密,得到加密后的数据;
将所述加密后的数据发送至所述用户终端。
可选地,所述业务快转区包括多个虚拟服务器,所述通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息,包括:
通过所述业务快转区中的目标虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
还包括:
当所述目标虚拟服务器出现故障时,确定所述业务快转区的状态为健康的虚拟服务器;
所述通过所述业务快转区中的目标虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息,包括:
通过所述状态为健康的虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息。
可选地,当所述报文信息包括多个时,所述通过所述业务快转区接收所述用户终端发送的加密后的报文信息,包括:
通过多个报文信息对应的多个虚拟服务器接收所述用户终端发送的加密后的报文信息。
本发明还公开了一种数据处理装置,应用于网络功能虚拟化平台,所述网络功能虚拟化平台包括业务快转区,所述网络功能虚拟化平台分别与用户终端和网络服务器连接,所述装置包括:
第一接收模块,用于在所述用户终端与所述网络服务器建立通信连接后,通过所述业务快转区接收所述用户终端发送的加密后的报文信息;
第一确定模块,用于确定所述报文信息对应的密钥信息;
第一解密模块,用于根据所述密钥信息对所述加密后的报文信息进行解密,得到报文信息;
第二确定模块,用于确定对所述报文信息需要执行的操作信息;
执行模块,用于通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
校验模块,用于对所述处理后的报文信息进行安全校验;
第一发送模块,用于当所述安全校验通过后,将所述处理后的报文信息发送至所述网络服务器。
可选地,所述网络功能虚拟化平台还包括业务逻辑区,还包括:
第二接收模块,用于通过所述业务快转区接收所述用户终端发送的加密后的通信连接请求;
获取模块,用于获取所述用户终端对应的解密密钥;
第二解密模块,用于通过所述解密密钥对所述加密后的通信连接请求进行解密得到所述通信连接请求;
判断模块,用于判断所述业务快转区中是否包含所述通信连接请求对应的操作信息;
请求发送模块,用于若所述业务快转区不包含所述通信连接请求对应的操作信息,则将所述通信连接请求发送至所述业务逻辑区;
操作信息发送模块,用于通过所述业务逻辑区查询所述通信连接请求对应的操作信息,将所述操作信息发送至所述业务快转区;
通信模块,用于通过所述业务快转区对所述通信连接请求执行所述操作信息对应的操作后,将处理后的通信连接请求发送至网络服务器,以使所述网络服务器根据所述处理后的通信连接请求与所述用户终端建立通信连接。
可选地,所述报文信息包括用户终端的标识,所述校验模块,包括:
获取子模块,用于获取访问控制列表,所述访问控制列表包括具有访问权限的用户终端标识;
判断子模块,用于判断所述访问控制列表中是否包含所述用户终端的标识;
第一确定子模块,用于若所述访问控制列表中包含所述用户终端的标识,则确定对所述用户终端的权限校验通过。
可选地,所述网络功能虚拟化平台还包括密钥管理中心、SDN控制器,所述密钥管理中心包括预先协商的多个用户终端对应的密钥信息;
所述第一确定模块,包括:
第一发送子模块,用于通过所述业务快转区向所述SDN控制器发送密钥获取请求,所述密钥获取请求包括所述用户终端的标识;
第二发送子模块,用于通过所述SDN控制器从所述密钥管理中心查询所述用户终端标识对应的密钥信息,将所述密钥信息发送至所述业务快转区。
可选地,所述装置还包括:
第三接收模块,用于通过所述业务快转区接收所述网络服务器发送的数据;
加密模块,用于根据所述密钥信息对所述数据进行加密,得到加密后的数据;
第二发送模块,用于将所述加密后的数据发送至所述用户终端。
可选地,所述业务快转区包括多个虚拟服务器,所述执行模块,包括:
执行子模块,用于通过所述业务快转区中的目标虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
还包括:
第二确定子模块,用于当所述目标虚拟服务器出现故障时,确定所述业务快转区的状态为健康的虚拟服务器;
所述执行子模块,包括:
执行单元,用于通过所述状态为健康的虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息。
可选地,当所述报文信息包括多个时,所述第一接收模块,包括:
接收子模块,用于通过多个报文信息对应的多个虚拟服务器接收所述用户终端发送的加密后的报文信息。
本发明还公开了一种电子设备,包括:处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上述的数据处理方法的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述的数据处理方法的步骤。
本发明实施例包括以下优点:
本发明公开了一种数据处理方法,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道安检关卡,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
附图说明
图1是本发明实施例提供的一种数据处理方法的步骤流程图;
图2是本发明实施例提供的一种数据处理方法的流程示意图;
图3是本发明实施例提供的一种数据处理装置的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细地说明。
本发明实施例的核心构思之一在于,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道安检关卡,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
参照图1,示出了本发明实施例提供的一种数据处理方法的步骤流程图,应用于网络功能虚拟化平台,所述网络功能虚拟化平台分别与用户终端和网络服务器连接,该方法可以包括如下步骤:
步骤101,在用户终端与网络服务器建立通信连接后,通过业务快转区接收用户终端发送的加密后的报文信息。
本发明实施例中,业务快转区具备网络接口以及相应的网络协议栈支持,能够按照标准的网络通信协议(如TCP/IP协议族)识别并接收符合要求的报文,同时,其接收加密报文的功能是基于网络功能虚拟化平台所设定的安全通信框架,该框架规划好了数据流入的通道以及加密数据的处理前置流程,确保从用户终端传来的加密报文能准确无误地被业务快转区捕获,为后续进一步解析处理做准备。
当用户终端(例如个人电脑、智能手机、平板电脑等各类能够接入网络并发起通信的设备)与网络服务器(可以是提供网页服务、数据存储服务、应用服务等的服务器端设备)之间成功建立起通信连接后,网络功能虚拟化平台中的业务快转区就开始发挥作用,它会时刻监听来自用户终端方向的网络数据流量,一旦检测到有发往目标网络服务器且经过加密处理的报文信息,便会接收下来。
报文信息可能采用了诸如对称加密算法(像AES加密算法)或非对称加密算法(如RSA加密算法)等多种加密方式进行加密,其承载着用户想要传达给网络服务器的各种数据内容,比如用户登录信息、业务操作请求、文件传输数据等。
步骤102,确定报文信息对应的密钥信息;
本发明实施例中,在接收到加密后的报文信息后,需要从相应的密钥管理系统或存储位置来确定与之对应的密钥信息,需要说明的是,密钥信息是预先根据证书文件进行协商得到的。
如果采用的是对称加密方式,那么用户终端和接收方通常事先共享了同一个密钥,此时就需要从预先约定好的安全存储位置(如密钥数据库等)准确提取出这个密钥。
如果使用的是非对称加密算法,就需要从对应的私钥存储区域获取能够解密该报文的私钥,因为非对称加密中,公钥用于加密,私钥用于解密。例如,在基于证书的加密通信场景中,平台会通过验证报文附带的数字证书,从中获取到对应的公钥信息的相关标识,进而依据该标识从本地的密钥仓库查找出匹配的私钥。
步骤103,根据密钥信息对加密后的报文信息进行解密,得到报文信息;
本发明实施例中,获取到正确的密钥信息后,便会运用与之对应的解密算法对之前接收到的加密后的报文信息进行解密操作,在一种示例中,如果是采用AES对称加密算法,就会按照其规定的解密流程,将密钥作为参数输入到解密算法函数中,对密文进行逐块或者逐比特的还原处理,最终得到原始的报文信息。
若是基于RSA非对称加密算法,就使用获取到的私钥,按照其数学运算规则,对密文中经过公钥加密的部分进行反向运算,恢复出原始的报文内容。例如,加密报文中原本呈现为一串看似无规律的二进制密文,经过解密后,会变成包含清晰可读的文本、数值等信息的原始报文,可能是像“用户名:张三,密码:123456,请求登录操作”这样具体的用户登录相关的报文内容。
步骤104,确定对报文信息需要执行的操作信息;
本发明实施例中,在成功获取到原始的报文信息后,可以多方面的因素来确定针对该报文信息需要执行的操作信息,例如报文本身的格式、内容属性以及网络功能虚拟化平台预设的一些处理规则等因素,例如,若报文的格式不符合目标网络服务器接收的标准格式,操作信息可能就包含对报文进行格式转换的要求,使其符合服务器端的解析规范。
在一种示例中,报文信息的协议格式为A协议,网络服务器支持的协议为B协议,则需要对报文数据进行改写,此时对报文信息进行的操作信息为对报文信息的协议格式进行转换。
步骤105,通过业务快转区对报文信息执行操作信息对应的操作,得到处理后的报文信息。
本发明实施例中,可以借助网络功能虚拟化平台中的业务快转区来对报文信息进行相应处理,如果操作信息是报文转发操作,业务快转区会依据网络拓扑结构以及目标服务器的地址信息,通过网络接口将报文信息准确地发送到下一个网络节点或者直接发送至目标网络服务器的相应端口;若是格式转换操作,就会按照预定的格式规范,对报文中的字段、编码方式等进行调整,比如将原本采用ASCII编码的文本字段转换为UTF-8编码,或者将报文的结构从一种特定的自定义格式转换为符合HTTP协议标准的请求报文格式等,经过处理后得到符合要求的处理后的报文信息。
步骤106,对处理后的报文信息进行安全校验。
本发明实施例中,可以对经过步骤105处理后的报文信息进行安全校验,这一校验过程可以涵盖多个维度。
在一种示例中,首先会检查报文的完整性,通过计算报文的校验和(如常见的CRC校验和、MD5校验和等)或者采用哈希算法(如SHA-256等)生成报文的摘要信息,并与预先存储的或报文附带的参考值进行比对,看是否一致,以此判断报文在传输和处理过程中是否有数据丢失或被篡改。
其次,会验证报文的合法性,依据网络功能虚拟化平台预设的安全策略以及业务规则,检查报文的来源是否合法、报文的内容是否符合业务要求(比如是否包含非法字符、是否符合特定业务的格式规范等)。另外,如果涉及数字签名等安全机制,还会验证签名的有效性,确保报文确实是由合法的发送方生成且未被篡改。
步骤107,当安全校验通过后,将处理后的报文信息发送至网络服务器。
本发明实施例中,当处理后的报文信息经过安全校验且结果是通过的情况下,意味着此时的报文信息已经经过了前面一系列严谨的处理流程,是安全可靠且符合要求的。这时,网络功能虚拟化平台会将这个处理后的报文信息发送至网络服务器。发送过程同样遵循网络通信协议(如TCP/IP协议族),通过网络接口以及相应的网络链路,将报文准确无误地传送到网络服务器的指定端口,以便网络服务器接收到报文后能基于其内容开展相应的业务处理,比如解析用户的网页访问请求并返回对应的网页页面内容,或者对用户提交的业务数据进行存储、运算等进一步的操作。
本发明公开了一种数据处理方法,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道“安检关卡”,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
在本发明的一种实施例方式中,网络功能虚拟化平台还包括业务逻辑区,还包括:通过业务快转区接收用户终端发送的加密后的通信连接请求;获取用户终端对应的解密密钥;通过解密密钥对加密后的通信连接请求进行解密得到通信连接请求;判断业务快转区中是否包含通信连接请求对应的操作信息;若业务快转区不包含通信连接请求对应的操作信息,则将通信连接请求发送至业务逻辑区;通过业务逻辑区查询通信连接请求对应的操作信息,将操作信息发送至业务快转区;通过业务快转区对通信连接请求执行操作信息对应的操作后,将处理后的通信连接请求发送至网络服务器,以使网络服务器根据处理后的通信连接请求与用户终端建立通信连接。
本发明实施例中,用户终端在想要与网络服务器建立通信连接时,会首先生成一个通信连接请求,这个请求包含了诸如用户终端自身的标识信息(如IP地址、设备编号等)、请求连接的目标服务器相关信息(如服务器域名、IP地址等)以及一些用于验证或表明连接意图的其他必要数据内容。
为了保证在传输过程中的安全性,用户终端会使用特定的加密算法对该通信连接请求进行加密处理,然后将加密后的请求发送到网络中,网络功能虚拟化平台中的业务快转区此时就像一个“信息收集站”,它时刻监听着网络端口,按照网络通信协议(如TCP/IP协议族)去识别并接收来自用户终端方向的这个加密后的通信连接请求,确保不会遗漏任何一个符合要求的请求信息,为后续进一步处理做好准备。
在接收到加密后的通信连接请求后,接下来需要获取能够对其进行解密的密钥,如果采用的是对称加密方式,那么这个解密密钥就是之前用户终端和网络功能虚拟化平台预先共享的同一个密钥,此时平台需要从安全的密钥存储位置(比如专门的密钥数据库,该数据库有着严格的访问控制和加密保护措施)准确地查找并提取出这个密钥。
如果使用的是非对称加密算法,例如基于公钥加密、私钥解密的情况,平台就需要依据与该用户终端相关联的公钥信息(可能通过数字证书等方式来标识和关联),从对应的私钥存储区域获取相应的私钥,因为只有匹配的私钥才能解开由对应公钥加密的内容。例如,在一个基于PKI(公钥基础设施)的网络环境中,平台会先验证通信连接请求附带的数字证书,确认证书的合法性后,从中获取到公钥相关的标识信息,再依据这个标识去本地的密钥仓库精准找到对应的私钥。
当业务快转区获取到正确的解密密钥后,便会运用与之对应的解密算法对之前接收到的加密后的通信连接请求进行解密操作,以对称加密算法AES为例进行介绍,会把获取到的密钥作为重要参数输入到AES的解密算法函数中,按照其规定的解密流程,对加密请求中的数据进行逐块或者逐比特的还原处理,将密文逐步转化为原始的、清晰可读的通信连接请求内容。
在成功解密得到通信连接请求后,网络功能虚拟化平台的业务快转区会进行内部查找和判断,看自身是否已经预先存储有该通信连接请求对应的操作信息,业务快转区内部可以维护着一个操作信息表或者操作规则集合,这些内容记录了之前处理过的类似请求或者按照预设规则针对某些特定类型请求所对应的操作详情。
例如,对于一些常见的、标准化的网页访问请求,业务快转区可能已经提前配置好了对应的转发操作信息,知道应该将这样的请求直接转发到哪个具体的网络服务器模块或者网络节点上。此时就会将刚解密得到的通信连接请求的相关特征(如请求类型、目标服务器标识等)与已有的操作信息进行比对,查看是否能匹配到相应的操作信息,如果业务快转区包含通信连接请求对应的操作信息,此时可以对通信连接请求执行操作信息对应的操作。
若业务快转区不包含通信连接请求对应的操作信息,即确定业务快转区内部不存在该通信连接请求对应的操作信息时,为了能够继续处理这个请求并找到合适的操作方式来建立通信连接,网络功能虚拟化平台会将这个解密后的通信连接请求发送到业务逻辑区,发送过程同样遵循网络通信协议,会将通信连接请求进行适当的网络数据包封装,然后通过内部的网络链路将其准确无误地传输到业务逻辑区对应的接收端口,确保请求信息完整、无差错地到达业务逻辑区,以便业务逻辑区能够基于接收到的请求开展进一步的查询操作。
业务逻辑区接收到来自业务快转区的通信连接请求后,会启动查询机制来寻找该请求对应的操作信息,业务逻辑区往往有着更为丰富的业务规则知识库以及更复杂的逻辑分析能力,它可以根据通信连接请求的多方面特征(如请求的业务类型、涉及的服务器资源、用户的权限级别等),结合预先设定好的业务流程规则、安全策略以及系统配置等大量信息,通过查询数据库、匹配规则模板、调用相关算法等多种方式进行全面分析,以确定适合该通信连接请求的操作信息,例如,如果通信连接请求是针对某个特定权限管控的企业内部网页资源的访问请求,业务逻辑区会根据用户终端的身份认证信息、请求资源的权限要求等因素,查找出是需要进行额外的身份验证操作后再进行转发操作,还是直接允许转发等具体的操作信息,一旦查询到相应的操作信息,业务逻辑区会按照网络功能虚拟化平台内部的通信机制,将这些操作信息进行网络数据包封装,然后通过内部网络链路准确地发送回业务快转区,以便业务快转区后续能够依据这些操作信息执行相应操作。
业务快转区在接收到来自业务逻辑区发送回来的操作信息后,会按照这些操作信息所对应的具体操作对通信连接请求进行处理,如果操作信息指示的是转发操作,业务快转区会依据网络拓扑结构以及网络服务器的地址信息(如IP地址、端口号等),通过自身的网络接口以及底层的网络驱动程序,将通信连接请求准确地发送到下一个网络节点或者直接发送至目标网络服务器的相应端口;若是操作信息要求进行格式转换操作,例如将请求的格式从一种特定的自定义格式转换为符合HTTP协议标准的请求格式,业务快转区内部的格式转换模块就会对通信连接请求中的字段、编码方式等进行调整,按照预定的格式规范进行重新组装,得到处理后的通信连接请求,然后,同样遵循网络通信协议(如TCP/IP协议族),业务快转区会将这个经过处理的通信连接请求通过网络链路发送至网络服务器,网络服务器接收到该请求后,会基于请求的内容进行相应的处理,比如验证请求的合法性、解析请求中的参数信息等,进而与用户终端建立起通信连接,实现双方之间的数据交互等后续通信活动。
在本发明的一种实施例方式中,报文信息包括用户终端的标识,对处理后的报文信息进行安全校验,包括:获取访问控制列表,访问控制列表包括具有访问权限的用户终端标识;判断访问控制列表中是否包含用户终端的标识;若访问控制列表中包含用户终端的标识,则确定对用户终端的权限校验通过。
本发明实施例中,网络功能虚拟化平台还可以包括用户安全功能区,可以从用户安全功能区获取访问控制列表,访问控制列表(ACL,Access Control List)是一种网络安全机制中常用的工具,它预先由网络管理员或者系统的安全策略配置模块进行设置和维护,这个列表中详细记录了那些被授予访问权限的用户终端的标识信息,用户终端的标识可以有多种形式,例如常见的IP地址、MAC地址、设备序列号,或者是在特定网络系统中为用户终端分配的唯一身份编号等,网络功能虚拟化平台会从特定的存储位置或者配置数据库中提取出这个访问控制列表,该存储位置通常有着严格的访问权限管理,只有具备相应权限的系统模块或者管理员账号才能进行读取、修改等操作,以此保证访问控制列表的安全性和准确性。
例如,在一个企业内部网络中,网络管理员会根据不同部门员工的工作职责和业务需求,将各个客户终端的IP地址添加到相应的访问控制列表中,并明确规定它们可以访问的网络资源范围,像市场部门员工的电脑能访问营销相关的数据服务器,而研发部门员工的电脑可访问代码仓库等服务器资源,这些信息都会体现在访问控制列表里。
在获取到访问控制列表后,网络功能虚拟化平台会对刚刚接收到的报文信息中所包含的用户终端标识进行提取,然后将其与访问控制列表中的各项用户终端标识进行逐一比对,这个比对过程可以通过多种方式实现,例如,如果用户终端标识采用的是IP地址形式,平台可以利用字符串匹配算法或者IP地址比对函数,将报文中的IP地址与访问控制列表中记录的IP地址条目进行精确匹配;若是采用设备序列号等其他标识形式,同样会有相应的查找和匹配机制来判断是否存在与之相同的标识记录在访问控制列表当中。比如,报文信息中显示用户终端的IP地址是“192.168.1.100”,平台就会在访问控制列表的众多IP地址记录中查找是否存在这一IP地址,以此来确定该用户终端是否在授权访问的范围内。
当经过前面的比对判断步骤,发现访问控制列表中确实包含了报文信息中所携带的用户终端标识时,网络功能虚拟化平台就会认定对该用户终端的权限校验是通过的,这意味着从访问权限的角度来看,该用户终端是被允许在网络系统内进行相应操作、发送相应报文信息的,后续平台可以基于这一权限校验通过的结果,继续对报文信息进行其他方面的安全校验(如数据完整性校验、报文合法性校验等),或者按照正常的业务流程对报文进行进一步的处理和转发操作,推动整个网络通信活动顺利开展。例如,在一个在线购物平台的网络系统中,如果用户终端的标识通过了访问控制列表的权限校验,平台就可以继续处理该用户终端发送的包含商品选购、下单等信息的报文,将其转发给对应的订单处理服务器等相关模块进行后续业务操作。
本发明通过与访问控制列表进行比对,能够清晰地确定当前发送报文信息的用户终端是否是经过授权的,避免非法用户终端借助伪造或篡改的报文来尝试突破网络安全防线,非法获取网络资源或者执行恶意操作,从而保障网络系统内的数据和资源只对合法授权的对象开放,维护网络安全秩序。
在本发明的一种实施例方式中,网络功能虚拟化平台还包括密钥管理中心、SDN控制器,密钥管理中心包括预先协商的多个用户终端对应的密钥信息;确定报文信息对应的密钥信息,包括:通过业务快转区向SDN控制器发送密钥获取请求,密钥获取请求包括用户终端的标识;通过SDN控制器从密钥管理中心查询用户终端标识对应的密钥信息,将密钥信息发送至业务快转区。
本发明实施例中,当网络功能虚拟化平台的业务快转区接收到来自用户终端的加密后的报文信息后,为了能够对报文进行解密操作,首先需要获取对应的密钥信息,此时,业务快转区会生成一个密钥获取请求,这个请求中包含了发送该报文信息的用户终端的标识,如前文所述,用户终端的标识可以是IP地址、MAC地址或者特定网络系统为其分配的唯一身份编号等形式,业务快转区会按照网络功能虚拟化平台内部设定的通信协议和消息格式,将这个密钥获取请求进行封装,然后通过平台内部的网络链路将其发送给SDN控制器,例如,在一个网络功能虚拟化环境中,业务快转区检测到一个来自IP地址为“192.168.1.100”的用户终端的加密报文,它就会构造一个密钥获取请求,在请求中注明该“192.168.1.100”这个用户终端标识,接着通过内部虚拟网络通道将请求发送给SDN控制器。
SDN控制器接收到来自业务快转区的密钥获取请求后,会启动查询机制来查找与请求中所包含的用户终端标识对应的密钥信息,密钥管理中心在建立会话前先根据证书信息协商了用户与服务器进行通信的会话对称密钥,在协商完成后会将密钥存储进密钥数据库,这个库中预先协商并存储了多个用户终端对应的密钥信息,它会根据密钥获取请求里的用户终端标识,通过检索、匹配等操作在密钥信息库中精准定位到相应的密钥记录,例如,如果密钥获取请求中指明的用户终端标识,SDN控制器就会在密钥管理中心的密钥数据库中查找以该用户终端标识为索引关联的密钥信息,一旦找到对应的密钥信息,SDN控制器同样会按照网络功能虚拟化平台内部的通信协议和消息格式,对密钥信息进行封装,然后通过内部的网络链路将其发送回业务快转区,确保业务快转区能够接收到准确无误的密钥信息,以便后续进行报文信息的解密操作。
在本发明的一种实施例方式中,方法还包括:通过业务快转区接收网络服务器发送的数据;根据密钥信息对数据进行加密,得到加密后的数据;将加密后的数据发送至用户终端。
本发明实施例中,在网络功能虚拟化平台的运行过程中,网络服务器会基于与用户终端之间的交互需求,向用户终端发送各种类型的数据,这些数据可以是网页内容信息(例如HTML文档、图片、脚本文件等),也可以是对用户终端之前请求的响应数据(比如用户查询数据库后返回的查询结果、进行业务操作后的反馈信息等),网络服务器会按照网络通信协议(如TCP/IP协议族)将这些数据进行封装并发送到网络中,而网络功能虚拟化平台中的业务快转区就充当了接收这些数据的“中转站”角色,它时刻监听着来自网络服务器方向的网络数据流量,依据既定的协议规则和自身配置,识别出符合要求的数据并接收下来,为后续进一步处理做准备。例如,当用户通过浏览器向某个电商网站服务器请求查看商品详情页面时,网络服务器会将包含商品图片、价格、描述等信息的网页数据发送出来,业务快转区会接收到这些数据。
在业务快转区成功接收到网络服务器发送的数据后,可以依据之前确定的密钥信息对这些数据进行加密处理,这里的密钥信息就是之前在处理用户终端向网络服务器发送报文信息时所涉及到的、与之对应的密钥,如果采用的是对称加密算法(像AES算法),业务快转区会将接收到的数据按照一定的分组规则(比如128位为一组等)进行划分,然后以密钥作为重要参数,运用AES的加密算法函数对每组数据进行加密操作,通过多轮的置换、代换等加密运算,将原本清晰可读的原始数据转化为一串看似无规律的密文数据,也就是得到了加密后的数据,保障了数据在传输回用户终端过程中的保密性。
在业务快转区完成对数据的加密,得到加密后的数据之后,就需要将这些加密数据发送至用户终端,以便用户终端能够接收到来自网络服务器的信息,业务快转区会按照网络通信协议(如TCP/IP协议族)对加密后的数据进行网络数据包的封装,添加必要的协议头信息(如源地址为业务快转区所在的网络地址、目的地址为用户终端的IP地址,还有端口号等信息),然后通过网络功能虚拟化平台内部以及外部的网络链路,将数据包发送到用户终端的相应端口上。例如,在一个校园网环境下的网络功能虚拟化应用场景中,业务快转区将加密后的包含课程资料下载链接的网络服务器数据进行封装后,通过校园网内部的虚拟网络以及连接到外部网络的路由器等设备,准确地将数据发送到请求该资料的学生用户终端上,完成数据的传输过程;本发明通过对网络服务器返回的数据进行加密传输,有效保护了用户的隐私以及网络服务器与用户终端之间交互数据的保密性,确保信息在网络传输中的安全可靠,维护了整个网络通信的安全环境。
在本发明的一种实施例方式中,业务快转区包括多个虚拟服务器,通过业务快转区对报文信息执行操作信息对应的操作,得到处理后的报文信息,包括:通过业务快转区中的目标虚拟服务器对报文信息执行操作信息对应的操作,得到处理后的报文信息;还包括:当目标虚拟服务器出现故障时,确定业务快转区的状态为健康的虚拟服务器;通过业务快转区中的目标虚拟服务器对报文信息执行操作信息对应的操作,得到处理后的报文信息,包括:通过状态为健康的虚拟服务器对报文信息执行操作信息对应的操作,得到处理后的报文信息。
本发明实施例中,在确定了针对报文信息需要执行的操作信息后,业务快转区会从其包含的多个虚拟服务器中选定一个合适的目标虚拟服务器来执行相应操作,每个虚拟服务器在业务快转区中都被配置了特定的功能或者具备相应的资源来处理特定类型的操作任务,例如,有的虚拟服务器可以专门用于进行数据格式的转换操作,具备相应的编码转换工具和解析模块;有的虚拟服务器可以用于报文的转发操作,配置了完善的网络路由功能以及网络接口,当需要对报文信息进行操作时,会依据操作信息的具体要求,选择与之匹配功能的目标虚拟服务器,选定后,该目标虚拟服务器就会按照操作信息所规定的具体操作方式,对报文信息进行处理,例如,如果操作信息要求将报文的格式从一种自定义格式转换为符合HTTP协议标准的格式,目标虚拟服务器中的数据解析模块会先把报文按现有格式拆解,然后编码转换模块再依据HTTP协议规范对其进行重新编码组装,最终得到处理后的报文信息,使其能够符合后续网络服务器接收和处理的要求。
在网络运行过程中,目标虚拟服务器可能由于各种原因(比如硬件故障、软件漏洞引发的崩溃、网络连接异常等)出现无法正常工作的故障情况,此时,业务快转区可以及时发现并确认目标虚拟服务器的故障状态,这可以通过多种方式实现,例如定期向各虚拟服务器发送心跳检测信号,若在规定时间内未收到目标虚拟服务器的回应,就可判断其出现故障;或者监控虚拟服务器的关键性能指标(如CPU使用率长时间为0、网络接口无数据收发等异常情况)来确定故障发生,一旦确定目标虚拟服务器出现故障,业务快转区会启动状态为健康的虚拟服务器查找机制,对区内所有的虚拟服务器进行状态检查,主要查看其当前是否没有正在执行的任务,也就是是否处于状态为健康的状态,通过遍历各虚拟服务器的任务队列、资源占用情况等信息,筛选出那些资源闲置、可以承接新任务的状态为健康的虚拟服务器,为后续将原本应由目标虚拟服务器执行的报文处理任务转移做准备。
例如,业务快转区原本安排虚拟服务器A作为目标虚拟服务器处理某报文信息的转发操作,但虚拟服务器A出现故障后,经过检查发现虚拟服务器B和C当前没有正在处理的任务,它们就会被确定为状态为健康的虚拟服务器,可供后续选择来继续处理该报文信息。
本发明通过状态为健康的虚拟服务器来替代出现故障的目标虚拟服务器继续执行报文处理任务,实现了业务处理的无缝衔接,有效避免了因服务器故障导致的报文处理中断问题,保障了网络通信的连续性和稳定性,这使得整个网络功能虚拟化平台在面对虚拟服务器突发故障的情况下,依然能够按照既定的业务流程对报文信息进行处理,维持用户终端与网络服务器之间的正常交互,确保网络服务不被中断,在单负载均衡服务器故障触发流量切换时做到业务无感知,提升了网络系统应对故障的能力和整体的可靠性。
在本发明的一种实施例方式中,当报文信息包括多个时,通过业务快转区接收用户终端发送的加密后的报文信息,包括:通过多个报文信息对应的多个虚拟服务器接收用户终端发送的加密后的报文信息。
本发明实施例中,在实际的网络通信场景中,往往会同时存在多个报文信息同时从用户终端发往网络服务器,例如在一个大型企业办公网络里,众多员工同时使用办公终端进行网页浏览、文件上传下载、业务数据提交等操作,就会产生大量不同的报文信息,此时,网络功能虚拟化平台的业务快转区中的多个虚拟服务器会协同参与到接收这些加密后的报文信息的过程中,从而实现负载均衡。
每个虚拟服务器会被配置或者动态分配去接收特定的报文信息,这可能基于多种因素来确定,一种常见的方式是按照报文信息的类型来划分,比如将涉及网页访问请求的报文信息分配给虚拟服务器A接收,把包含文件传输相关内容的报文信息安排给虚拟服务器B接收等;另一种方式是根据用户终端的某些属性(如IP地址范围、部门归属等)进行分配,例如,属于某个部门的用户终端发送的报文信息统一由虚拟服务器C来接收,这些虚拟服务器会时刻监听网络端口,依据网络功能虚拟化平台设定的网络通信协议和接收规则,识别来自用户终端方向且符合自身接收要求的加密后的报文信息,并将其接收下来,例如,虚拟服务器A会专门关注网络流量中那些目的是访问特定网页服务且采用了相应加密方式的报文,一旦检测到符合条件的加密报文,就会将其接收,做好后续处理的准备。
如图2示出了本发明实施例提供的一种数据处理方法的流程示意图,用户1可以向业务快转区的目标虚拟服务器发送通信连接请求,然后目标虚拟服务器可以判断是否存在通信连接请求的操作信息,若不存在,则将通信连接请求发送至业务逻辑区中的后端服务器,在后端服务器中查询通信连接请求对应的操作信息,然后后端服务器将操作信息发送至目标虚拟服务器,然后根据操作信息对通信连接请求执行对应的操作,得到处理后的通信连接请求,然后对处理后的通信连接请求进行安全校验,安全校验通过后将处理后的通信连接请求发送至web服务器,从而在用户1与web服务器之间建立通信连接;
在用户1(用户终端)与web服务器之间建立通信连接后,然后用户1就开始向web服务器发送文件了,用户1可以通过key管理中心预先协商好的密钥对需要发送的文件进行加密,再将加密的文件发送至业务快转区,当文件较大时,会被封装成很多个数据报文,每个报文到达业务快转区后,业务快转区可以向SDN控制器发送密钥获取请求从而获取到预先协商好的对称密钥,然后根据密钥对加密后的文件进行解密,得到原始文件,由于使用的是一个已经建立好的连接,那业务快转区查表就能直接查询到对应的规则,规则里面包含了如何对报文进行操作(改写,封装等),同时由于前面已经对用户端发送的报文进行安全校验通过了可以直接将处理后的报文发送到web服务器即可。
业务快转区接收到的报文是加密的报文,加密密钥是用户1与key管理中心根据证书协商得到的,然后key管理中心可以将密钥分发到SDN控制器,业务快转区需要对加密的报文进行解密时可以从SDN控制器获取到密钥信息。
本发明公开了一种数据处理方法,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道安检关卡,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图3,示出了本发明实施例提供的一种数据处理装置的结构框图,应用于网络功能虚拟化平台,网络功能虚拟化平台包括业务快转区,网络功能虚拟化平台分别与用户终端和网络服务器连接,装置包括:
第一接收模块201,用于在用户终端与网络服务器建立通信连接后,通过业务快转区接收用户终端发送的加密后的报文信息;
第一确定模块202,用于确定报文信息对应的密钥信息;
第一解密模块203,用于根据密钥信息对加密后的报文信息进行解密,得到报文信息;
第二确定模块204,用于确定对报文信息需要执行的操作信息;
执行模块205,用于通过业务快转区对报文信息执行操作信息对应的操作,得到处理后的报文信息;
校验模块206,用于对处理后的报文信息进行安全校验;
第一发送模块207,用于当安全校验通过后,将处理后的报文信息发送至网络服务器。
本发明公开了一种数据处理装置,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道“安检关卡”,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
在本发明的一种实施例方式中,网络功能虚拟化平台还包括业务逻辑区,还包括:
第二接收模块,用于通过业务快转区接收用户终端发送的加密后的通信连接请求;
获取模块,用于获取用户终端对应的解密密钥;
第二解密模块,用于通过解密密钥对加密后的通信连接请求进行解密得到通信连接请求;
判断模块,用于判断业务快转区中是否包含通信连接请求对应的操作信息;
请求发送模块,用于若业务快转区不包含通信连接请求对应的操作信息,则将通信连接请求发送至业务逻辑区;
操作信息发送模块,用于通过业务逻辑区查询通信连接请求对应的操作信息,将操作信息发送至业务快转区;
通信模块,用于通过业务快转区对通信连接请求执行操作信息对应的操作后,将处理后的通信连接请求发送至网络服务器,以使网络服务器根据处理后的通信连接请求与用户终端建立通信连接。
在本发明的一种实施例方式中,报文信息包括用户终端的标识,校验模块,包括:
获取子模块,用于获取访问控制列表,访问控制列表包括具有访问权限的用户终端标识;
判断子模块,用于判断访问控制列表中是否包含用户终端的标识;
第一确定子模块,用于若访问控制列表中包含用户终端的标识,则确定对用户终端的权限校验通过。
在本发明的一种实施例方式中,网络功能虚拟化平台还包括密钥管理中心、SDN控制器,密钥管理中心包括预先协商的多个用户终端对应的密钥信息;
第一确定模块,包括:
第一发送子模块,用于通过业务快转区向SDN控制器发送密钥获取请求,密钥获取请求包括用户终端的标识;
第二发送子模块,用于通过SDN控制器从所述密钥管理中心查询用户终端标识对应的密钥信息,将密钥信息发送至业务快转区。
在本发明的一种实施例方式中,装置还包括:
第三接收模块,用于通过业务快转区接收网络服务器发送的数据;
加密模块,用于根据密钥信息对数据进行加密,得到加密后的数据;
第二发送模块,用于将加密后的数据发送至用户终端。
在本发明的一种实施例方式中,业务快转区包括多个虚拟服务器,执行模块,包括:
执行子模块,用于通过业务快转区中的目标虚拟服务器对报文信息执行操作信息对应的操作,得到处理后的报文信息;
还包括:
第二确定子模块,用于当目标虚拟服务器出现故障时,确定业务快转区的状态为健康的虚拟服务器;
执行子模块,包括:
执行单元,用于通过状态为健康的虚拟服务器对报文信息执行操作信息对应的操作,得到处理后的报文信息。
在本发明的一种实施例方式中,当报文信息包括多个时,第一接收模块,包括:
接收子模块,用于通过多个报文信息对应的多个虚拟服务器接收用户终端发送的加密后的报文信息。
本发明公开了一种数据处理装置,通过对报文数据进行加密传输,防止流量被窃听和篡改,从而实现对网络服务器进行安全访问;本发明通过在对报文信息进行处理后还会进行安全校验,只有校验通过才会将其发送至网络服务器,为数据又增加了一道“安检关卡”,能够及时发现处理过程中可能引入的异常或被篡改等情况,确保最终送达网络服务器的数据是完整且可靠的,进一步提升了整个通信链路的数据安全性,本发明接收加密报文、解密、执行操作以及后续安全校验等都是通过业务快转区来完成的,可以减少不必要的流程跳转和资源调配时间,加快数据处理速度,提升整体通信效率。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本发明实施例还提供了一种电子设备,包括:
包括处理器、存储器及存储在存储器上并能够在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述数据处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现上述数据处理方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种数据处理方法、装置、设备和存储介质,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数据处理方法,其特征在于,应用于网络功能虚拟化平台,所述网络功能虚拟化平台包括业务快转区,所述网络功能虚拟化平台分别与用户终端和网络服务器连接,所述方法包括:
在所述用户终端与所述网络服务器建立通信连接后,通过所述业务快转区接收所述用户终端发送的加密后的报文信息;
确定所述报文信息对应的密钥信息;
根据所述密钥信息对所述加密后的报文信息进行解密,得到报文信息;
确定对所述报文信息需要执行的操作信息;
通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
对所述处理后的报文信息进行安全校验;
当所述安全校验通过后,将所述处理后的报文信息发送至所述网络服务器。
2.根据权利要求1所述的方法,其特征在于,所述网络功能虚拟化平台还包括业务逻辑区,还包括:
通过所述业务快转区接收所述用户终端发送的加密后的通信连接请求;
获取所述用户终端对应的解密密钥;
通过所述解密密钥对所述加密后的通信连接请求进行解密得到所述通信连接请求;
判断所述业务快转区中是否包含所述通信连接请求对应的操作信息;
若所述业务快转区不包含所述通信连接请求对应的操作信息,则将所述通信连接请求发送至所述业务逻辑区;
通过所述业务逻辑区查询所述通信连接请求对应的操作信息,将所述操作信息发送至所述业务快转区;
通过所述业务快转区对所述通信连接请求执行所述操作信息对应的操作后,将处理后的通信连接请求发送至网络服务器,以使所述网络服务器根据所述处理后的通信连接请求与所述用户终端建立通信连接。
3.根据权利要求1所述的方法,所述报文信息包括用户终端的标识,所述对所述处理后的报文信息进行安全校验,包括:
获取访问控制列表,所述访问控制列表包括具有访问权限的用户终端标识;
判断所述访问控制列表中是否包含所述用户终端的标识;
若所述访问控制列表中包含所述用户终端的标识,则确定对所述用户终端的权限校验通过。
4.根据权利要求1所述的方法,其特征在于,所述网络功能虚拟化平台还包括密钥管理中心、SDN控制器;所述密钥管理中心包括预先协商的多个用户终端对应的密钥信息;
所述确定所述报文信息对应的密钥信息,包括:
通过所述业务快转区向所述SDN控制器发送密钥获取请求,所述密钥获取请求包括所述用户终端的标识;
通过所述SDN控制器从所述密钥管理中心查询所述用户终端标识对应的密钥信息,将所述密钥信息发送至所述业务快转区。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述业务快转区接收所述网络服务器发送的数据;
根据所述密钥信息对所述数据进行加密,得到加密后的数据;
将所述加密后的数据发送至所述用户终端。
6.根据权利要求1所述的方法,其特征在于,所述业务快转区包括多个虚拟服务器,所述通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息,包括:
通过所述业务快转区中的目标虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
还包括:
当所述目标虚拟服务器出现故障时,确定所述业务快转区的状态为健康的虚拟服务器;
所述通过所述业务快转区中的目标虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息,包括:
通过所述状态为健康的虚拟服务器对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息。
7.根据权利要求6所述的方法,其特征在于,当所述报文信息包括多个时,所述通过所述业务快转区接收所述用户终端发送的加密后的报文信息,包括:
通过多个报文信息对应的多个虚拟服务器接收所述用户终端发送的加密后的报文信息。
8.一种数据处理装置,其特征在于,应用于网络功能虚拟化平台,所述网络功能虚拟化平台包括业务快转区,所述网络功能虚拟化平台分别与用户终端和网络服务器连接,所述装置包括:
接收门口,用于在所述用户终端与所述网络服务器建立通信连接后,通过所述业务快转区接收所述用户终端发送的加密后的报文信息;
第一确定模块,用于确定所述报文信息对应的密钥信息;
解密门口,用于根据所述密钥信息对所述加密后的报文信息进行解密,得到报文信息;
第二确定模块,用于确定对所述报文信息需要执行的操作信息;
执行模块,用于通过所述业务快转区对所述报文信息执行所述操作信息对应的操作,得到处理后的报文信息;
校验门口,用于对所述处理后的报文信息进行安全校验;
发送模块,用于当所述安全校验通过后,将所述处理后的报文信息发送至所述网络服务器。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器用于执行如权利要求1-7中任一项所述的数据处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的数据处理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411744410.7A CN119835006B (zh) | 2024-11-30 | 2024-11-30 | 一种数据处理方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202411744410.7A CN119835006B (zh) | 2024-11-30 | 2024-11-30 | 一种数据处理方法、装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN119835006A true CN119835006A (zh) | 2025-04-15 |
| CN119835006B CN119835006B (zh) | 2025-11-07 |
Family
ID=95291268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202411744410.7A Active CN119835006B (zh) | 2024-11-30 | 2024-11-30 | 一种数据处理方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN119835006B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106560A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| CN105991622A (zh) * | 2015-03-05 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种报文验证方法及设备 |
| CN106899606A (zh) * | 2017-03-16 | 2017-06-27 | 新华三技术有限公司 | 一种报文处理方法和装置 |
| CN111314315A (zh) * | 2020-01-20 | 2020-06-19 | 重庆富民银行股份有限公司 | 开放平台多维度安全控制系统及方法 |
| CN113067828A (zh) * | 2021-03-25 | 2021-07-02 | 中国建设银行股份有限公司 | 报文处理方法、装置、服务器、计算机设备及存储介质 |
-
2024
- 2024-11-30 CN CN202411744410.7A patent/CN119835006B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016106560A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种实现远程接入的方法、装置及系统 |
| CN105991622A (zh) * | 2015-03-05 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 一种报文验证方法及设备 |
| CN106899606A (zh) * | 2017-03-16 | 2017-06-27 | 新华三技术有限公司 | 一种报文处理方法和装置 |
| CN111314315A (zh) * | 2020-01-20 | 2020-06-19 | 重庆富民银行股份有限公司 | 开放平台多维度安全控制系统及方法 |
| CN113067828A (zh) * | 2021-03-25 | 2021-07-02 | 中国建设银行股份有限公司 | 报文处理方法、装置、服务器、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN119835006B (zh) | 2025-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12137121B2 (en) | Distributed cloud-based security systems and methods | |
| US12301563B2 (en) | System and method for pre-shared key (PSK) based wireless access point authentication | |
| US10523707B2 (en) | Secure transport channel using multiple cipher suites | |
| JP6656157B2 (ja) | ネットワーク接続自動化 | |
| US6804777B2 (en) | System and method for application-level virtual private network | |
| CN103095847B (zh) | 一种云存储系统安全保障方法及其系统 | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| US7627905B2 (en) | Content transfer system, content transfer method, content transmitting apparatus, content transmission method, content receiving apparatus, content reception method, and computer program | |
| US9003186B2 (en) | HTTP authentication and authorization management | |
| US20150281282A1 (en) | Application signature authorization | |
| US8656462B2 (en) | HTTP authentication and authorization management | |
| EP2311218B1 (en) | Http authentication and authorization management | |
| US12445438B2 (en) | Techniques for managing cookies through a secure web gateway | |
| US12219060B2 (en) | Access policy token | |
| WO2022057002A1 (zh) | 一种异常请求处理方法和装置 | |
| JP2024536923A (ja) | リモートクラウド格納リソースのデュアルエンドポイントアクセス制御を行うためのシステム及び方法 | |
| CN119835006B (zh) | 一种数据处理方法、装置、设备和存储介质 | |
| CN104753774A (zh) | 一种分布式企业综合接入网关 | |
| CN106790178A (zh) | 防入侵认证方法、系统及装置 | |
| CN107547478B (zh) | 报文传输方法、装置及系统 | |
| CN121151894A (zh) | 安全服务授权方法、装置、设备、介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |