一种数据通讯方法、设备及系统与流程

本申请实施例涉及通信
技术领域：
，尤其涉及一种数据通讯方法、设备及系统。
背景技术：
：在公有云场景中，用户可以在虚拟机(virtualmachine，vm)中部署云服务提供的代理(agent)软件，通过该agent软件将用户日志(或者监控数据)上报至云服务，云服务根据上报的用户日志实现对vm的精细化监控、以及对上报的用户日志进行永久存储和检索分析。在agent软件上报用户日志的过程中，云服务需要对上报的用户日志进行校验和认证，以确保上报的合法性。目前，在公有云的场景中，云服务端(server)通常采用接入密钥/安全密钥(accesskey，ak/secretaccesskey，sk)的方式来认证客户端(client)的请求。如：用户通过身份认证和访问管理(identityandaccessmanagement，iam)服务，生成ak/sk，并将生成的ak/sk配置在agent软件中，agent软件在发送请求时，根据ak/sk生成请求数据的签名信息，发送至云服务，云服务根据签名信息进行认证。由上可知，现有的校验和认证方案需要在client端配置认证信息，此时，若认证信息明文存储，不符合数据通讯的安全要求；若认证信息加密存储，而与认证信息对应的密钥明文存储或者硬编码在client的程序中，则加密的认证信息依然存在着泄露的风险，影响数据通讯的安全性。技术实现要素：本申请实施例提供一种数据通讯方法、设备及系统，以解决现有配置在客户端的认证信息泄露导致的数据通讯安全性降低的问题。为达到上述目的，本申请实施例采用如下技术方案。第一方面，本申请实施例提供了一种数据通讯方法，该方法由agent管理设备执行，agent管理设备可以为不同客户端下载的agent软件生成不同的agent软件标识；当agent管理设备接收来自客户端的包括用户标识和agent软件标识的同步密钥请求后，若确定agent软件标识与agent管理设备为用户标识所标识的客户端生成的agent软件标识相同，则表示该同步密钥请求为合法用户发送的请求，向该客户端发送工作密钥；随后，接收客户端上报的签名数据，根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则向数据处理设备发送用于指示数据处理设备对客户端上报的请求数据进行数据处理的校验通过指示，以此实现数据通讯。基于该技术方案，通过为不同客户端下载的agent软件分配不同的agent软件标识，将客户端与该客户端上部署的agent软件唯一绑定，使得具有绑定关系的客户端才为合法用户，并为合法用户才发送工作密钥，实现安全通讯，无需将认证信息配置在客户端，避免了现有配置在客户端的认证信息泄露导致的数据通讯安全性降低的问题。在第一种可能的设计中，结合第一方面，agent软件标识为一定长度的字符串，agent管理设备包括但不限于根据用户标识和通用唯一识别码生成agent软件标识；或者采用随机字符串作为agent软件标识。如此，可以采用不同的方式生成agent软件标识，提高了生成agent软件标识的灵活性。在第二种可能的设计中，结合第一方面或者第一种可能的设计，在agent管理设备接收来自客户端的同步密钥请求之前，agent管理设备还接收客户端发送的包括用户标识、agent软件标识、以及第一vm的信息的第一激活请求，若agent管理设备确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识，且agent软件未被激活，则向客户端发送用于指示客户端激活第一vm上的agent软件的激活成功指示，并存储agent软件标识和第一vm的信息间的对应关系；其中，第一vm的信息用于标识第一vm，第一vm为安装agent软件的vm。如此，可以在利用agent软件上报数据之前，先激活agent软件，即开启agent软件的上报数据的功能，同时，agent管理设备将vm的信息和agent软件标识对应存储，以实现vm和已激活的agent软件的绑定，对于agent管理设备而言，与agent绑定的vm的为合法用户的vm，避免了后续非法用户将agent软件安装在其他vm上，并利用其他vm上的agent软件上报数据造成的安全问题。在第三种可能的设计中，结合第二种可能的设计，当agent管理设备接收到客户端发送的包括用户标识、agent软件标识和第二vm的信息的第二激活请求时，agent管理设备在根据用户标识和agent软件标识，确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识后，根据agent软件标识和第一vm的对应关系确定agent软件已被激活，向客户端发送用于指示客户端不去激活第二vm上的agent软件的激活失败指示，使客户端不再激活第二vm上的agent软件，其中，第二vm可以用于安装agent软件。如此，解决了非法用户将agent软件安装在其他vm上，并利用其他vm上的agent软件上报数据造成的安全问题，利用合法用户的合法vm上的agent软件上报数据，大大提高了数据通讯的安全性。在第四种可能的设计中，结合第一方面或上述任一可能的设计，客户端向agent管理设备发送用于请求下载agent软件的下载请求，agent管理设备接收该下载请求，验证客户端为合法用户后，为客户端下载的agent软件生成agent软件标识，并将agent软件标识和agent软件同时下发给客户端。如此，可以在客户端下载agent软件的同时将agent软件标识对应分配给客户端，提高了通讯效率。第二方面，本申请实施例提供一种agent管理设备，该agent管理设备可以实现上述各方面或者各可能的设计中agent管理设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。如：该agent管理设备可以包括：生成单元、接收单元、确定单元、发送单元、验证单元、存储单元。生成单元，用于为不同客户端下载的agent软件生成不同的agent软件标识。接收单元，用于接收来自客户端的包括用户标识、agent软件标识的同步密钥请求。确定单元，若根据生成单元生成的不同agent软件标识与不同客户端间的对应关系，确定所述agent软件标识与生成单元为客户端生成的agent软件标识相同，则通过发送单元向客户端发送工作密钥。接收单元，还用于接收客户端上报的签名数据。其中，签名数据根据工作密钥生成。验证单元，用于根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则通过发送单元向数据处理设备发送用于指示数据处理设备对客户端的请求数据进行数据处理的校验通过指示。其中，agent管理设备的具体实现方式可以参考第一方面或第一方面的任一种可能的设计提供的数据通讯方法中agent管理设备的行为功能，在此不再重复赘述。因此，该提供的agent管理设备可以达到与第一方面或第一方面的任一种可能的设计相同的有益效果。第三方面，提供了一种agent管理设备，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该agent管理设备运行时，该处理器执行该存储器存储的该计算机执行指令，以使该agent管理设备执行如上述第一方面或第一方面的任一种可能的设计所述的数据通讯方法。第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面或第一方面的任一种可能的设计所述的数据通讯方法。第五方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面或第一方面的任一种可能的设计所述的数据通讯方法。第六方面，提供了一种芯片系统，该芯片系统包括处理器、通信接口，用于支持agent管理设备实现上述方面中所涉及的功能，例如支持处理器通过通信接口接收来自客户端的包括用户标识、agent软件标识的同步密钥请求；若确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识，则通过通信接口向客户端发送工作密钥；通过通信接口接收客户端上报的签名数据，根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则通过通信接口向数据处理设备发送指示数据处理设备对客户端的请求数据进行数据处理的校验通过指示。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存agent管理设备必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。其中，第二方面至第六方面中任一种设计方式所带来的技术效果可参见第一方面或第一方面的任一种可能的设计所带来的技术效果，不再赘述。第七方面，本申请实施例提供一种数据通讯系统，包括如第二方面至第六方面中任一种设计方式所述的agent管理设备、数据处理设备、客户端。本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。附图说明图1为本申请实施例提供的系统架构图；图2为本申请实施例提供的一种agent管理设备的结构图；图3为本申请实施例提供的一种数据通讯方法的流程图；图4为本申请实施例提供的又一种数据通讯方法的流程图；图5为本申请实施例提供的又一种agent管理设备的结构图。具体实施方式下面结合附图对本申请实施例的实施方式进行详细描述。本申请实施例提供的数据通讯方法可适用于图1所示系统，如图1所示，该系统可以包括：客户端、agent管理设备、数据处理设备。其中，客户端上可以部署有多个虚拟机(virtualmachine，vm)，客户端可以接入公有云，享受公有云提供的agent软件服务。agent管理设备和数据处理设备可以部署在公有云中，agent管理设备可以管理公有云上的agent软件、接入公有云的客户端的信息等等，数据处理设备可以对客户端上报的数据进行处理等。需要说明的是，图1仅为示例性附图，除图1所示设备之外，图1所示系统还可以包括其他设备，如身份识别与访问管理(identityandaccessmanagement，iam)设备、数据存储设备等等，不予限制，其中，iam设备可以用于对接入公有云的用户的用户信息进行管理和认证。此外，图1中各设备包括但不限有上述命名，还可以为其他命名，如agent管理设备还可以称为agent管理平台，数据处理设备还可以称为数据处理平台等等，不予限制。在一种可能的设计中，客户端向公有云中的agent管理设备下载agent软件时，agent管理设备为该客户端下载的agent软件生成唯一的agent软件标识，以将agent软件与该客户端一一对应；当客户端上的agent软件向公有云上报数据时，客户端向agent管理设备发送携带有用户标识和agent软件标识的同步密钥请求，agent管理设备根据客户端与agent软件的对应关系确定该同步密钥请求为合法请求，向客户端返回工作密钥；客户端根据接收到的工作密钥，同时向数据处理设备上报签名数据和请求数据；数据处理设备向agent管理设备转发签名数据；当agent管理设备根据工作密钥验证签名数据合法后，向数据处理设备发送校验通过指示，以指示数据处理设备对请求数据进行处理，实现数据的安全通讯。具体的，该可能的设计可参照图3-图4所示方案。其中，为了实现本申请实施例提供的技术方案，agent管理设备可以包括图2所示部件。如图2所示，该agent管理设备200包括至少一个处理器201，通信线路202，存储器203以及至少一个通信接口204。处理器201可以是一个中央处理器(centralprocessingunit，cpu)，也可以是特定集成电路(applicationspecificintegratedcircuit，asic)，或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器(digitalsignalprocessor，dsp)，或，一个或者多个现场可编程门阵列(fieldprogrammablegatearray，fpga)。通信线路202可包括一通路，在上述组件之间传送信息。通信接口204，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radioaccessnetwork，ran)，无线局域网(wirelesslocalareanetworks，wlan)等。存储器203可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路202与处理器相连接。存储器也可以和处理器集成在一起。其中，存储器203用于存储执行本申请方案的计算机执行指令，并由处理器201来控制执行。处理器201用于执行存储器203中存储的计算机执行指令，从而实现本申请下述实施例提供的数据通讯方法。可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。在具体实现中，作为一种实施例，处理器201可以包括一个或多个cpu，例如图2中的cpu0和cpu1。在具体实现中，作为一种实施例，agent管理设备200可以包括多个处理器，例如图2中的处理器201和处理器207。这些处理器中的每一个可以是一个单核处理器，也可以是一个multi-cpu处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。在具体实现中，作为一种实施例，agent管理设备200还可以包括输出设备205和输入设备206。输出设备205和处理器201通信，可以以多种方式来显示信息。例如，输出设备205可以是液晶显示器(liquidcrystaldisplay，lcd)，发光二级管(lightemittingdiode，led)显示设备，阴极射线管(cathoderaytube，crt)显示设备，或投影仪(projector)等。输入设备206和处理器201通信，可以以多种方式接收用户的输入。例如，输入设备206可以是鼠标、键盘、触摸屏设备或传感设备等。需要说明的是，上述的agent管理设备200可以是一个通用设备或者是一个专用设备。在具体实现中，agent管理设备200可以是台式机、便携式电脑、网络服务器、pda、移动手机、平板电脑、无线终端、嵌入式设备或有图2中类似结构的设备。本申请实施例不限定agent管理设备200的类型。下面结合图1，对本申请实施例提供的技术方案进行具体阐述。图3为本申请实施例提供的一种数据通讯方法的流程图，该方法由图1所示设备交互执行，如图3所示，该方法可以包括s301～s306。s301：agent管理设备为不同客户端下载的agent软件生成agent软件标识。其中，agent软件标识可以用于标识客户端下载的agent软件，该agent软件标识可以为一字符串，该字符串的长度范围为32个字符至2048个字符。一种可能的设计中，agent管理设备根据用户标识和通用唯一识别码(universallyuniqueidentifier，uuid)生成agent软件标识，如：可以将用户标识和uuid组合在一起作为agent软件标识，其中，uuid的取值可以根据现有算法得到，不再赘述。又一种可能的设计中，agent管理设备随机生成一个字符串(如随机字符串)，并将该随机字符串作为agent软件标识。agent管理设备为不同客户端下载的agent软件生成agent软件标识可以指：agent软件标识与客户端一一对应，以唯一标识该客户端下载的agent，其中，客户端下载agent软件的过程可参照后续描述。例如，对于同一agent软件而言，若客户端1和客户端2同时下载该agent软件，则agent管理设备为客户端1生成的agent软件标识可以为agent1，为客户端2生成的agent软件标识可以为agent2，二者的agent软件标识是不同的。s302：客户端向agent管理设备发送同步密钥请求，agent管理设备接收来自客户端的同步密钥请求。其中，上述同步密钥请求可以用于请求数据通讯时的同步密钥，该同步密钥请求可以包括用户标识、agent软件标识。用户标识(identity，id)可以用于唯一标识客户端，该用户标识可以由iam设备创建，如：使用客户端的用户在云服务上注册账号后，iam设备根据该账号创建用户id。具体的，当客户端确定利用其上部署的agent软件向公有云上报业务数据或者监控数据时，触发自身向agent管理设备发送同步密钥请求。s303：若agent管理设备确定接收到的agent软件标识与agent管理设备为客户端生成的agent软件标识相同，向客户端发送工作密钥。其中，工作密钥可以为agent管理设备生成的一个随机数。具体的，agent管理设备可以采用现有技术生成工作密钥，不再赘述。具体的，agent管理设备为客户端下载的agent软件生成agent软件标识后，agent管理设备可以存储客户端与agent软件标识间的对应关系，当agent管理设备接收到同步密钥请求后，可以查看存储的客户端与agent软件标识的对应关系，若对应关系中存在同步密钥请求包括的agent软件标识与用户标识所标识的客户端的对应关系，则确定同步密钥请求中包括的agent软件标识与agent管理设备为该客户端生成的agent软件标识相同，该客户端为合法用户，该同步密钥请求为合法请求，可以为该客户端发送工作密钥。否则，认为客户端为非法用户，同步密钥请求为非法请求，拒绝向客户端发送工作密钥。例如，下表1为客户端与agent软件标识的对应关系，假设客户端1的用户标识为用户标识1、客户端2的用户标识为用户标识2、客户端3的用户标识为用户标识3；此时，若agent管理设备接收到的同步密钥请求包括用户标识1和agent1，则agent管理设备可以查看是否存在客户端1与agent1的对应关系，如表1所示，存在客户端1与agent1的对应关系，则确定该同步密钥请求为合法请求，向客户端1返回工作密钥；若agent管理设备接收到的同步密钥请求包括用户标识2和agent1，则agent管理设备可以查看是否存在客户端2与agent1的对应关系，如表1所示，客户端2与agent21对应，而不与agent1的对应关系，则确定该同步密钥请求为非法请求，拒绝客户端2的请求。表1客户端agent软件标识客户端1agent1客户端2agent2需要说明的是，在本申请实施例中，agent管理设备可以将客户端与agent软件标识的对应关系存在在自身的存储模块(如存储器)中，也可以将该对应关系存在公有云上的公共存储区域(如数据存储设备)中，不予限制。s304：客户端接收工作密钥，向数据处理设备上报数据，数据处理设备接收客户端发送的数据，向agent管理设备发送签名数据。其中，客户端上报的数据可以包括签名数据和请求数据，签名数据可以用于校验客户端上报的数据的合法性，该签名数据可以根据工作密钥生成，如：可以将工作密钥通过哈希(hash)算法或者其他算法转换成签名数据。请求数据可以为客户端提供给数据处理设备，由数据处理设备处理的数据。具体的，签名数据可以包括在客户端上报的数据的头部，请求数据可以包括在客户端上报的数据负载(load)部分，数据处理设备接收到客户端上报的数据后，可以对该数据进行解析，将签名数据上报给agent管理设备。s305：agent管理设备根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则执行s306；否则，认为该签名数据为非法数据，向数据处理设备发送非法指示，以指示数据处理设备拒绝处理客户端上报的请求数据。其中，agent管理设备可以通过相应的算法(如哈希算法)转换工作密钥，若转换后的数据与签名数据一致，则确定签名数据是合法的，否则，认为签名数据是非法的。需要说明的是，agent管理设备转换工作密钥时用到的算法与客户端利用工作密钥生成签名数据时的算法是一致的，该算法可以预先配置在客户端和agent管理设备上，也可以由agent管理设备与客户端协商确定，不予限制。s306：agent管理设备向数据处理设备发送校验通过指示，数据处理设备接收校验通过指示，对客户端上报的请求数据进行数据处理。其中，校验通过指示可以用于指示数据处理设备对客户端的请求数据进行数据处理。具体的，数据处理设备可以参照现有技术对请求数据进行数据处理，不再赘述。与现有技术相比，图3所示技术方案，通过为不同客户端下载的agent软件分配不同的agent软件标识，将客户端与该客户端上部署的agent软件唯一绑定，当客户端通过其上部署的agent软件将业务数据或者监控数据主动上报至公有云时，客户端向agent管理设备发送携带有用户标识和agent软件标识的同步密钥请求，以请求工作密钥；此时，agent管理设备可以根据agent软件与客户端的唯一绑定关系，确定该同步密钥请求中的agent软件标识是否是分配给该客户端的agent软件标识，若是，则向客户端发送工作密钥，以便客户端利用接收到的工作密钥上报数据，实现安全通讯，否则，说明书非法客户端发送的同步密钥请求，拒绝发送工作密钥。在图3所示方案中，通过客户端与agent软件的唯一绑定实现安全通讯，不需要预先将认证信息配置在客户端，避免了现有配置在客户端上的认证信息泄露时带来的风险。其中，在图3所示方案中，客户端可以通过下述过程下载并安装agent软件：(1)客户端登录公有云系统，登录成功后，从iam设备获取认证信息；其中，客户端可以采用用户名+密码的方式登录公有云系统，具体的，可参照现有技术，不再赘述。(2)客户端向agent管理设备发送下载请求，该请求中携带认证信息，该下载请求可以用于请求下载agent软件。(3)agent管理设备接收下载请求，从iam设备获取认证信息，利用获取到的认证信息校验下载请求的合法性；若下载请求为合法请求，agent管理设备生成agent软件标识，并存储客户端与agent软件标识间的对应关系，同时，向客户端发送agent软件标识以及agent软件。具体的，agent管理设备可以比对从iam设备获取到的认证信息和下载请求携带认证信息，若二者相同，则认为下载请求为合法请求，否则，为非法请求。需要说明的是，agent软件标识可以编码在agent软件中一起发送给客户端，也可以分开发送给客户端，不予限制。(4)客户端接收agent软件和agent软件标识，将agent软件部署(或者安装)在vm上，并存储agent软件标识与agent软件间的对应关系。其中，客户端可以将获取到的agent软件部署在一个或者多个不同的vm上。进一步的，在客户端将agent软件部署在第一vm上之后，执行s301之前，还需要激活第一vm上的agent软件，其中，第一vm可以为客户端上的任一vm。具体的，激活过程如下：客户端向agent管理设备发送第一激活请求，agent管理设备接收客户端发送的第一激活请求，若确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识，且agent软件未激活，则向客户端发送激活成功指示，并存储agent软件标识和第一vm的信息间的对应关系；其中，第一激活请求可以包括用户标识、agent软件标识、以及安装有agent软件的第一vm的信息；激活成功指可以示用于指示客户端激活第一vm上的agent软件。其中，在本申请实施例中，vm的信息可以用于标识vm，可以为vm的因特网协议(internetprotocol，ip)地址，还可以为vm的媒体接入控制(mediaaccesscontrol，mac)地址，不予限制。其中，agent管理设备确定接收到的第一激活请求中的agent软件标识是否为agent管理设备生成的与客户端对应的agent软件标识的过程可参照s302中的描述，不再赘述。其中，agent管理设备可以存储agent软件标识与vm的信息间的对应关系，当agent管理设备接收到包括的agent软件标识的激活请求时，可以查看agent软件标识与vm的信息的对应关系，若存在与激活请求包括的agent软件标识对应的vm的信息，则确定该agent软件标识所标识的agent软件已被激活，否则，该agent软件标识所标识的agent软件未激活。例如，下表2示出了vm的信息和agent软件标识的对应关系，当agent管理设备接收到激活请求包括agent1时，根据该表2可以确定agent1已在vm1上被激活，当agent管理设备接收的激活请求包括agent2时，因表2中不存在与agent2对应的vm，则agent2未激活。表2agent软件标识vm的信息agent1vm1agent2如此，在利用agent软件上报数据之前，先激活agent软件，即开启agent软件的上报数据的功能，同时，又存储vm的信息和agent软件标识间的对应关系，以实现vm和已激活的agent软件的绑定，对于agent管理设备而言，与agent绑定的vm的为合法用户的vm，不再接受同一agent软件在其他vm上的激活，避免了后续非法用户将agent软件安装在其他vm上，并利用其他vm上的agent软件上报数据造成的安全问题。示例性的，在本申请实施例中，agent管理设备还可以接收客户端发送的第二激活请求，其中，第二激活请求可以包括用户标识、agent软件标识、以及安装有agent软件的第二vm的信息；在确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识后，agent管理设备可以根据agent软件标识和第一vm的对应关系确定已激活agent软件，则向客户端发送激活失败指示；其中，激活失败指示可以用于指示客户端不去激活第二vm上的agent软件。如此，拒绝其他vm激活agent软件，仅通过合法用户的合法vm上的agent软件上报数据，大大提高了数据通讯的安全性。下面以客户端1向agent管理设备下载agent软件、将agent软件安装在vm1上、agent管理设备为客户端1下载的agent软件生成的agent软件标识为agent1为例，对上述技术方案进行详细描述。图4为本申请实施例提供的又一种数据通讯方法的流程图，如图4所示，可以包括：s401：客户端1成功登陆公有云系统，从iam设备获取认证信息。s402：客户端1向agent管理设备发送发送携带有认证信息的下载请求。s403：agent管理设备接收下载请求，从iam设备获取认证信息，利用获取到的认证信息校验下载请求的合法性。s404：若下载请求为合法请求，agent管理设备生成agent1，并存储客户端1与agent1间的对应关系，同时，向客户端1发送agent1以及agent软件。s405：客户端接收agent软件和agent1，将agent软件部署在vm1上。s406：客户端向agent管理设备发送携带有客户端1、agent1、以及vm1的激活请求。s407：agent管理设备接收客户端发送的激活请求，确定agent1为agent管理设备生成的与客户端1对应的agent软件标识，且agent1未激活，向客户端发送用于指示客户端活vm1上的agent1的激活成功指示，并存储agent1和vm1间的对应关系。s408：客户端1接收激活成功指示，激活vm1上的agent1。s409：客户端1向agent管理设备发送包括客户端1、agent1的同步密钥请求。s410：agent管理设备接收同步密钥请求，确定agent1为agent管理设备生成的与客户端对应的agent软件标识，向客户端1发送工作密钥。其中，s410可参照s303所述，不再赘述。s411：客户端1接收工作密钥，向数据处理设备上报包括签名数据和请求数据的数据。s412：数据处理设备接收客户端发送的数据，向agent管理设备发送签名数据。s413：agent管理设备根据工作密钥验证签名数据的合法性。s414：若验证签名数据为合法数据，agent管理设备向数据处理设备发送校验通过指示。s415：数据处理设备接收校验通过指示，对客户端1上报的请求数据进行数据处理。需要说明的是，图4所示方法实施例涉及的各步骤的具体实现可参照图3方案中所示，不再赘述。上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述agent管理设备为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。本申请实施例可以根据上述方法示例对agent管理设备进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。在采用对应各个功能划分各个功能模块的情况下，图5示出了上述实施例中涉及的agent管理设备的一种可能的组成示意图，如图5所示，该agent管理设备可以包括：生成单元51、接收单元52、确定单元53、发送单元54、验证单元55、存储单元56。生成单元51，用于为不同客户端下载的agent软件生成不同的agent软件标识。接收单元52，用于接收来自客户端的包括用户标识、agent软件标识的同步密钥请求。确定单元53，若确定agent软件标识与agent管理设备为客户端生成的agent软件标识相同，则通过发送单元54向客户端发送工作密钥。接收单元52，还用于接收客户端上报的签名数据。其中，签名数据根据工作密钥生成。验证单元55，用于根据工作密钥验证签名数据的合法性，若验证签名数据为合法数据，则通过发送单元54向数据处理设备发送用于指示数据处理设备对客户端的请求数据进行数据处理的校验通过指示。一种可能的设计中，生成单元51，具体用于根据用户标识和通用唯一识别码uuid生成agent软件标识；或者采用随机字符串作为agent软件标识。又一种可能的设计中，接收单元52，还用于在接收单元52接收来自客户端的同步密钥请求之前，接收客户端发送的包括用户标识、agent软件标识、以及安装有agent软件的第一vm的信息的第一激活请求。确定单元53，还用于若确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识，且agent软件未激活，则通过发送单元54向客户端发送激活成功指示。其中，激活成功指示用于指示客户端激活第一vm上的agent软件。存储单元56，用于存储agent软件标识和第一vm的信息间的对应关系。再一种可能的设计中，接收单元52，还用于接收客户端发送的包括用户标识、agent软件标识、以及安装有agent软件的第二vm的信息的第二激活请求。确定单元53，还用于在确定agent软件标识为agent管理设备生成的与客户端对应的agent软件标识后，根据agent软件标识和第一vm的对应关系确定已激活agent软件，通过发送单元54向客户端发送激活失败指示。其中，激活失败指示用于指示客户端不去激活第二vm上的agent软件。需要说明的是，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，不再赘述。本申请实施例提供的agent管理设备用于执行上述数据通讯方法，因此可以达到与上述数据通讯方法相同的效果。在采用集成的单元的情况下，agent管理设备可以包括处理模块和通信模块，处理模块用于对agent管理设备的动作进行控制管理。通信模块用于支持agent管理设备与其他网络实体的通信，例如与图1示出的功能模块或网络实体之间的通信。agent管理设备还可以包括存储模块，用于存储agent管理设备的程序代码和数据。其中，处理模块可以是处理器或控制器。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等等。通信模块可以是收发器、收发电路或通信接口等。存储模块可以是存储器。当处理模块为处理器，通信模块为通信接口，存储模块为存储器时，本申请实施例所涉及的agent管理设备可以为图2所示的agent管理设备。在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。当前第1页12