本发明涉及终端
技术领域:
:,尤其涉及一种数据访问处理方法、装置、设备以及存储介质。
背景技术:
::虚拟专用拨号网(virtualprivatedial-upnetworks,vpdn)技术已经广泛应用于国内政企、公安行业用户中,用户使用内置了专用的sim卡的专用的终端,在配置专用接入点(accesspointname,apn)后,接入运营商提供的专用公用数据网(publicdatanetwork,pdn)通道,接入企业专用网络。可通过终端上预置的一些办公或业务相关应用程序,与企业部署在专网下的服务器进行通信接入。现有技术中,防专网终端误上互联网的行为,行业内没有一个比较统一的做法,某些专网终端甚至未采取任何措施,少数做了防上互联网的方法,但只停留在应用层级,或是对sim卡合法性进行校验,或者是检查专网服务器是否连通,对手机做一些限制操作,比如强制锁屏。然而,现存少有的防上公网措施与业务强绑定,各个项目的管控app也无法做到统一,因此并不是一个可以普遍推广的方案。技术实现要素:本发明提供一种数据访问处理方法、装置、设备以及存储介质,通过统一的白名单管控方案,拟克服现有技术中不能全面防止专网终端连接互联网的问题。第一方面,本发明实施例提供一种数据访问处理方法,应用于终端设备,包括:获取到数据访问指令时,根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对所述第一网络地址进行访问;若是,则根据所述数据访问指令进行数据访问;若否,则将所述数据访问指令丢弃;其中,所述访问规则中包括配置的至少一个允许访问的网络地址。进一步地,所述获取到数据访问指令时,根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对所述第一网络地址进行访问之前,所述方法还包括:根据代理服务器发送的配置指令,配置所述访问规则;所述配置指令中包括所述至少一个允许访问的网络地址;其中,所述访问规则还包括:允许所述至少一个允许访问的网络地址的数据包通行,并将除所述至少一个允许访问的网络地址之外的网络地址的数据包丢弃。进一步地,所述根据代理服务器发送的配置指令,配置所述访问规则之前,所述方法还包括:接收所述代理服务器通过iptables发送的所述配置指令。在一种具体的实现方式中,所述根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定所述第一网络地址是否为允许访问的网络地址,包括:确定所述访问规则中允许访问的网络地址中是否包括所述第一网络地址;若包括,则确定允许对所述第一网络地址进行访问;否则,则确定不允许对所述第一网络地址进行访问。第二方面,本发明实施例提供一种数据访问处理装置,包括:第一处理模块,用于获取到数据访问指令时,根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对所述第一网络地址进行访问;若是,则根据所述数据访问指令进行数据访问;若否,则将所述数据访问指令丢弃;其中,所述访问规则中包括配置的至少一个允许访问的网络地址。进一步地,所述装置还包括:第二处理模块,用于根据代理服务器发送的配置指令,配置所述访问规则;所述配置指令中包括所述至少一个允许访问的网络地址;其中,所述访问规则还包括:允许所述至少一个允许访问的网络地址的数据包通行,并将除所述至少一个允许访问的网络地址之外的网络地址的数据包丢弃。进一步地,所述装置还包括:接收模块,用于接收所述代理服务器通过iptables发送的所述配置指令。在一种具体的实现方式中,所述第一处理模块具体用于:确定所述访问规则中允许访问的网络地址中是否包括所述第一网络地址;若包括,则确定允许对所述第一网络地址进行访问;否则,则确定不允许对所述第一网络地址进行访问。第三方面,本发明实施例提供一种终端设备,包括:存储器、处理器、以及计算机程序,所述计算机程序存储在所述存储器中,所述处理器运行所述计算机程序执行第一方面任一项所述的数据访问处理方法。第三方面,本发明实施例提供一种存储介质,包括:可读存储介质和计算机程序,所述计算机程序用于实现第一方面任一项所述的数据访问处理方法。本发明实施例提供的一种数据访问处理方法、装置、设备以及存储介质,在获取到数据访问指令时,根据该数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对第一网络地址进行访问,若是,则根据数据访问指令进行数据访问,若否,则将所述数据访问指令丢弃,实现了对终端设备连接网络的管控,有效防止了终端设备连接互联网和其他不被允许连接的网络,以使信息安全得到保障。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。图1为本发明实施例提供的一种数据访问处理方法实施例一的流程示意图;图2为本发明实施例提供的一种数据访问处理方法实施例二的流程示意图;图3为本发明实施例提供的一种数据访问处理方法实施例三的示意图;图4为本发明实施例提供的一种数据访问处理方法实施例四的应用场景图;图5为本发明实施例提供的一种数据访问处理装置实施例一的结构示意图;图6为本发明实施例提供的一种数据访问处理装置实施例二的结构示意图;图7为本发明实施例提供的一种数据访问处理装置实施例三的结构示意图;图8为本发明实施例提供的电子设备的硬件结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。为了保护信息安全,限制终端接入互联网网络,避免终端数据通过网络传出,现有技术中,是在终端设备上仅配置虚拟专用拨号网(以下简称专网)apn信息,但该方案仍会发生误连互联网的情况。例如,目前中国境内运营商在各省分别有一套核心网的配置,比如a省某企业申请了a省的某个apn的专网权限,因此,专网的终端设备插入专网的sim卡后会接入企业的专用网络,但是当该专网的终端设备插入b省的同运营商的sim卡时,终端仍然使用专网apn进行拨号,请求到达b省时,核心网会将该专网apn判断为非法apn,默认分配一个拥有互联网能力的数据连接,这样该专网的终端设备就接入了互联网网络。当然也存在运营商配置异常导致的专网终端误上互联网的情况。为克服现有技术的问题,本方案提出一种应用于终端设备的防止接入互联网的数据访问处理方法,可以实现对专网的终端设备进行连接网络的限制。下面通过几个具体实施例对该方案进行详细说明。本申请所述方法应用于终端设备,该终端设备可以是手机、pad、电脑、智能可穿戴、以及智能玩具等任意具有网络连接功能的设备。图1为本发明实施例提供的一种数据访问处理方法实施例一的流程示意图。如图1所示,数据访问处理方法包括:s101:获取到数据访问指令时,根据数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对第一网络地址进行访问。在本步骤中,终端设备在使用的过程中会产生访问网络的请求,或者会接收到来自网络的访问请求,若获取到数据访问指令,则需要判断该数据访问指令中携带的第一网络地址是否为允许访问的网络地址,即根据预先配置的访问规则确认是否允许对第一网络地址进行访问,或者确认是否允许接收来自第一网络地址的访问请求。其中,第一网络地址是数据访问指令需要访问的网络地址,或者是发送数据访问指令的网络地址。预先配置的访问规则中包括设置有允许访问的网络地址的白名单,白名单中有至少一个允许访问的网络地址,通过与第一网络地址比对,确认第一网络地址是否属于允许访问的网络地址的白名单,或者允许访问的网络地址的白名单是否包括第一网络地址,以此来确认是否允许对第一网络地址进行访问。可选的,允许访问的网络地址可以是具体的网络地址,也可以是网络地址段。进一步地,不同专网拥有不同的地址或者地址段,通过对终端设备配置不同的允许访问的地址或者地址段的白名单可以实现对专网下对应的终端设备的管控。并且,在一种具体的实现方式中,终端设备可以设置为允许连接多个专网。s102:若是,则根据所述数据访问指令进行数据访问。在本步骤中,若第一网络地址为允许访问的网络地址,则允许数据包通行,实现数据包的发送或者接收。s103:若否,则将所述数据访问指令丢弃。在本步骤中,若第一网络地址为不允许访问的网络地址,则将数据访问指令丢弃,即将数据包丢弃,以阻止智能终端与该网络地址进行数据的发送和接收。本发明实施例通过在获取到数据访问指令时,根据该数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对第一网络地址进行访问,若是,则根据数据访问指令进行数据访问,若否,则将所述数据访问指令丢弃,实现了对终端设备连接网络的管控,有效防止了终端设备连接互联网和其他不被允许连接的网络,以使信息安全得到保障。在上述实施例的基础上,对于根据数据访问指令中携带的第一网络地址和预先配置的访问规则,确定第一网络地址是否为允许访问的网络地址,将通过以下几个具体的实施例进行详细说明。在一种具体的实现方式中,若允许访问的网络地址是具体的网络地址,则判断允许访问的网络地址中是否包括第一网络地址,若包括,则确定允许访问第一网络地址或者允许接收来自第一网络地址的数据访问指令进行访问;则不允许对第一网络地址进行访问或者不允许接收来自第一网络地址的数据访问指令进行访问,此时,可直接将数据访问指令中的数据包丢弃。在一种具体的实现方式中,若允许访问的网络地址是网络地址段,则判断第一网络地址是否属于允许访问的网络地址,若包括,则确定允许访问第一网络地址或者允许接收来自第一网络地址的数据访问指令进行访问;则不允许对第一网络地址进行访问或者不允许接收来自第一网络地址的数据访问指令进行访问,此时,可直接将数据访问指令中的数据包丢弃。图2为本发明实施例提供的一种数据访问处理方法实施例二的流程示意图。在上述实施例的基础上,在图1所示实施例中s101步骤获取到数据访问指令时,根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对所述第一网络地址进行访问之前,该数据访问处理方法还包括:s104:根据代理服务器发送的配置指令,配置访问规则。在本步骤中,终端设备根据代理服务器发送的带有允许访问的网络地址的配置指令,配置访问规则,因此,访问规则被配置为允许配置指令中的允许访问的网络地址的数据包通行,并将除允许访问的网络地址之外的网络地址的数据包丢弃。其中,配置指令中包括至少一个允许访问的网络地址,对应的,访问规则中允许访问至少一个网络地址。可选的,配置指令中包括至少一个允许访问的网络地址,也可以包括至少一个允许访问的网络地址段,对应的,访问规则中允许访问至少一个网络地址或者允许访问一个网络地址段内的地址。在上述实施例的基础上,下面将通过代理服务器为iptables_agent,终端设备系统为linux,网络地址段为ip地址段为例,对配置访问规则的过程进行举例说明。图3为本发明实施例提供的一种数据访问处理方法实施例三的示意图。如图3所示,配置访问规则的实施过程还包括上层模块devicemanager以及资源文件。1)资源文件中配置了不同专网的ip地址段信息。2)上层模块devicemanager从资源文件中读取待配置终端设备允许访问的专网的ip地址段,并通过socket通信端口向iptables_agent代理服务器下发配置指令,该配置指令中包括至少一个允许访问的ip地址段。3)iptables_agent代理服务器具有终端设备的root权限,若接收到上层模块devicemanager发送的带有至少一个允许访问的ip地址段的配置指令,则通过iptables命令向linux系统的终端设备发送带有至少一个允许访问的ip地址段的配置访问指令。以某项目为例,该企业网中的ip地址段为192.168.2.x,首先配置规则:a.分别配置input链和output链的策略是默认丢弃,即默认所有进入终端设备系统或者从终端设备系统发送到外部的数据包均丢弃。iptables-pinputdropiptables-poutputdropb.配置允许192.168.2.x的数据包通行:iptables-tfilter-ainput–s192.168.2.0/24-jacceptiptables-tfilter-aoutput–d192.168.2.0/24-jaccept在一种具体的实现方式中,iptables_agent代理服务器获取root权限后,通过iptables命令在ip链路层配置规则,丢弃部分端口或者禁止访问的ip地址段的ip报文,对终端设备的数据安全性进行管控。在上述实施例的基础上,图4为本发明实施例提供的一种数据访问处理方法实施例四的应用场景图。如图所示,该数据访问处理方法的应用于终端设备和网络(服务器)之间。以仅允许专网192.168.2.x地址段访问为例,通过对终端设备的操作系统进行访问规则的配置,仅允许与专网的网络地址进行访问,实现数据包的通行,而包括互联网在内的其他网络则以丢弃数据包的方式,禁止其与终端设备进行发送和接收数据。图5为本发明实施例提供的一种数据访问处理装置实施例一的结构示意图。如图5所示,数据访问处理装置10包括:第一处理模块11:用于获取到数据访问指令时,根据所述数据访问指令中携带的第一网络地址和预先配置的访问规则,确定是否允许对所述第一网络地址进行访问;若是,则根据所述数据访问指令进行数据访问;若否,则将所述数据访问指令丢弃;其中,所述访问规则中包括配置的至少一个允许访问的网络地址。本实施例提供的装置,可用于执行上述方法的实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。图6为本发明实施例提供的一种数据访问处理装置实施例二的结构示意图。在图5所示实施例的基础上,如图6所示,该数据访问处理装置10还包括:第二处理模块12:用于根据代理服务器发送的配置指令,配置所述访问规则;所述配置指令中包括所述至少一个允许访问的网络地址;其中,所述访问规则还包括:允许所述至少一个允许访问的网络地址的数据包通行,并将除所述至少一个允许访问的网络地址之外的网络地址的数据包丢弃。图7为本发明实施例提供的一种数据访问处理装置实施例三的结构示意图。在图5和图6所示实施例的基础上,如图7所示,该数据访问处理装置10还包括:接收模块13:用于接收所述代理服务器通过iptables发送的所述配置指令。在一种具体的实现方式中,所述第一处理模块具体用于确定所述访问规则中允许访问的网络地址中是否包括所述第一网络地址;若包括,则确定允许对所述第一网络地址进行访问;否则,则确定不允许对所述第一网络地址进行访问。图8为本发明实施例提供的电子设备的硬件结构示意图,如图8所示,该电子设备20包括:存储器201,用于存储计算机执行指令;处理器202,用于执行存储器存储的计算机执行指令,以实现上述实施例中终端设备所执行的各个步骤。具体可以参见前述方法实施例中的相关描述。可选地,存储器201既可以是独立的,也可以跟处理器202集成在一起。当存储器201独立设置时,该终端设备还包括总线203,用于连接所述存储器201和处理器202。本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上所述的数据访问处理方法。在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本申请各个实施例所述方法的部分步骤。应理解,上述处理器可以是中央处理单元(英文:centralprocessingunit,简称:cpu),还可以是其他通用处理器、数字信号处理器(英文:digitalsignalprocessor,简称:dsp)、专用集成电路(英文:applicationspecificintegratedcircuit,简称:asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。存储器可能包含高速ram存储器,也可能还包括非易失性存储nvm,例如至少一个磁盘存储器,还可以为u盘、移动硬盘、只读存储器、磁盘或光盘等。总线可以是工业标准体系结构(industrystandardarchitecture,isa)总线、外部设备互连(peripheralcomponent,pci)总线或扩展工业标准体系结构(extendedindustrystandardarchitecture,eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(sram),电可擦除可编程只读存储器(eeprom),可擦除可编程只读存储器(eprom),可编程只读存储器(prom),只读存储器(rom),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(applicationspecificintegratedcircuits,简称:asic)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。当前第1页12当前第1页12