管理客户端应用的网络流量的方法和装置制造方法及图纸

在此提供了一种管理客户端应用的网络流量的方法、装置、设备和存储介质。这里描述的方法包括：基于对目标用户的确定，检测目标用户的用户数据从客户端应用到服务器的网络传输；基于网络传输对应的网络流量的类型，在网络传输的不同层分析网络流量；以及基于分析指示网络流量满足与目标用户对应的数据交换约束，将网络流量发送到由数据交换约束限定的服务器。以此方式，通过基于网络流量的类型在网络传输的不同层分析和限制网络流量中不满足数据交换约束的网络流量，可以有效地防止用户数据经由各种类型的网络流量传输到未经允许的服务器。器。器。

【技术实现步骤摘要】
管理客户端应用的网络流量的方法和装置


[0001]本公开的各实现方式涉及计算机领域，更具体地，涉及客户端 应用的方法、装置、设备和计算机存储介质。

技术介绍

[0002]随着互联网技术的发展，各式各样的互联网应用已经成为人们 生活中的重要部分。这样的应用每天将产生海量的数据，由此带来 了各方面的诸如数据主权保护等数据安全问题。例如，一些国家可 能禁止特定类型的用户数据被发送到海外的服务器。
[0003]对于一些全球化应用而言，这样的挑战是更为显著的。这样的 全球化应用可能需要基于相同的技术架构来为多个不同区域的用户 提供服务。然而，这些区域可能具有完全不同的数据安全约束，例 如特定的数据主权保护要求，这导致数据安全保护的难度进一步加 大。

技术实现思路

[0004]在本公开的第一方面，提供了一种管理客户端应用的网络流量 的方法。该方法包括：基于对目标用户的确定，检测目标用户的用 户数据从客户端应用到服务器的网络传输；基于网络传输对应的网 络流量的类型，在网络传输的不同层分析网络流量；以及基于分析 指示网络流量满足与目标用户对应的数据交换约束，将网络流量发 送到由数据交换约束限定的服务器。
[0005]在本公开的第二方面中，提供了一种管理客户端应用的网络流 量的装置。该装置包括：启动模块，被配置为基于对目标用户的确 定，启动对目标用户的用户数据从客户端应用到服务器的网络传输 的检测。装置还包括管理模块，被配置为：响应于被启动模块激活， 基于网络传输对应的网络流量的类型，在网络传输的不同层分析网 络流量；以及基于分析指示网络流量满足与目标用户对应的数据交 换约束，将网络流量发送到由数据交换约束限定的服务器。
[0006]在本公开的第三方面，提供了一种电子设备，包括：存储器和 处理器；其中存储器用于存储一条或多条计算机指令，其中一条或 多条计算机指令被处理器执行以实现根据本公开的第一方面的方 法。
[0007]在本公开的第四方面，提供了一种计算机可读存储介质，其上 存储有一条或多条计算机指令，其中一条或多条计算机指令被处理 器执行实现根据本公开的第一方面的方法。
[0008]在本公开的第五方面，提供了一种计算机程序产品，其包括一 条或多条计算机指令，其中一条或多条计算机指令被处理器执行实 现根据本公开的第一方面的方法。
附图说明
[0009]结合附图并参考以下详细说明，本公开各实施例的上述和其他 特征、优点及方面
将变得更加明显。在附图中，相同或相似的附图 标注表示相同或相似的元素，其中：
[0010]图1示出了根据本公开实施例的数据安全保护系统的示意性框 图；
[0011]图2示出了根据本公开的一些实施例的计算安全子系统的示意 性框图；
[0012]图3A示出了根据本公开的一些实施例的在其中部署数据交换 子系统的示例部署环境；
[0013]图3B示出了根据本公开的一些实施例的在TTP方的内部数据中 心(IDC)和非TTP所处的境外内部数据中心(RoW IDC)中DES 的实现；
[0014]图3C示出了根据本公开的一些实施例的DE的示例架构的框 图；
[0015]图3D示出了根据本公开的一些实施例的数据交换过程的流程 图；
[0016]图3E示出了根据本公开的一些实施例的在DES处实现的各类 数据处理的示例数据流的流程图；
[0017]图3F示出了根据本公开的一些实施例的涉及MQ通道的数据交 换架构的示意框图；
[0018]图3G示出了根据本公开的一些实施例的涉及HDFS通道的数据 交换架构的示意框图；
[0019]图3H示出了根据本公开的一些实施例的数据从TTP IDC复制到 境外IDC的目标对象存储(TOS)通道的示意图；
[0020]图3I示出了根据本公开的一些实施例的数据从境外IDC复制到 TTP IDC的TOS通道的示意图；
[0021]图3J示出了根据本公开的一些实施例的在TOS通道中的消息序 列图；
[0022]图3K示出了根据本公开的一些实施例的涉及服务调用通道的 数据交换架构的示意框图；
[0023]图3L示出了根据本公开的一些实施例的在服务调用通道中从非 TTP到TTP的数据交换示例；
[0024]图3M示出了根据本公开的一些实施例的在服务调用通道中从 TTP到非TTP的数据交换示例；
[0025]图4A示出了根据本公开的一些实施例的管理移动端应用的网 络流量的方法的流程图；
[0026]图4B示出了根据本公开的一些实施例的针对原生类型的网络流 量的分析和拦截过程的示意图；
[0027]图4C示出了根据本公开一些实施例的针对网页视图类型的网络 流量的分析和拦截过程的示意图；
[0028]图4D示出了根据本公开一些实施例的针对第三方SDK类型的 网络流量的分析和拦截过程的示意图；
[0029]图4E示出了根据本公开的一些实施例的安全沙盒子系统的模块 图；以及
[0030]图5示出了根据本公开的一些实施例的管理推荐策略的示例过 程的流程图；
[0031]图6示出了根据本公开的一些实施例的用于数据交换的装置的 示例框图；以及
[0032]图7示出了可以用来实施本公开的实施例的示例设备的框图。
具体实施方式
[0033]下面将参照附图更详细地描述本公开的实施例。虽然附图中显 示了本公开的某些实施例，然而应当理解的是，本公开可以通过各 种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反 提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的 是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公 开的保护范围。
[0034]在本公开的实施例的描述中，术语“包括”及其类似用语应当 理解为开放性包含，即“包括但不限于”。术语“基于”应当理解 为“至少部分地基于”。术语“一个实施例”或“该实施例”应当 理解为“至少一个实施例”。术语“第一”、“第二”等等可以指 代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
[0035]以下参考附图来说明本公开的基本原理和若干示例实现。
[0036]数据安全保护系统整体架构
[0037]根据本公开的实施例，提供了一种数据安全保护系统。图1示 出了根据本公开实施例的数据安全保护系统1000的示意性框图。如 图1所示，数据安全保护系统1000包括多个子系统，以用于从不同 维度来保护用户在使用目标应用的过程产生的相关数据的安全。
[0038]通常而言，为了支持目标应用的运行，一方面，用户需要例如 可以在通过适当的电子设备来运行目标应用1080。另一方面，还需 要在适当的计算环境(例如，云计算环境)中部署目标应用平台1030， 以例如运行用于支持目标应用1080的正常运行的各种类型的服务。
[0039]在一些实施例中，数据安全保护系统1000可以首先从运行代码 的安全性的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种管理客户端应用的网络流量的方法，包括：基于对目标用户的确定，检测所述目标用户的用户数据从所述客户端应用到服务器的网络传输；基于所述网络传输对应的网络流量的类型，在所述网络传输的不同层分析所述网络流量；以及基于所述分析指示所述网络流量满足与所述目标用户对应的数据交换约束，将所述网络流量发送到由所述数据交换约束限定的服务器。2.根据权利要求1所述的方法，其中对目标用户的确定基于以下至少一项：所述目标用户的用户信息；以及所述目标用户对应的设备信息。3.根据权利要求2所述的方法，其中，所述用户信息包括：用户的账号信息、个人信息、和/或注册信息；并且所述设备信息包括：用户身份识别模块SIM信息、IP地址、网络服务提供商信息、设备的系统设置信息、和/或应用设置信息。4.根据权利要求2或3所述的方法，还包括：基于所述目标用户的用户信息或对应的设备信息，确定所述目标用户对应的数据交换约束。5.根据权利要求1所述的方法，其中所述网络流量的类型包括以下至少一项：与原生应用关联的原生类型的网络流量；与应用内置的浏览器关联的网页视图类型的网络流量；以及与第三方软件开发工具包SDK关联的第三方SDK类型的网络流量。6.根据权利要求1所述的方法，其中在所述网络传输的不同层分析所述网络流量包括：基于所述网络流量的类型为原生类型的网络流量，在网络层分析所述网络流量。7.根据权利要求1所述的方法，其中在所述网络传输的不同层分析所述网络流量包括：基于所述网络流量的类型为网页视图类型的网络流量，将所述网页视图类型的网络流量转移到所述客户端应用的网络接口以由所述客户端应用的原生网络模块管理；以及在网络层分析所转移的网络流量。8.根据权利要求7所述的方法，其中将所述网页视图类型的网络流量转移到所述移动端应用的网络接口包括：利用JavaScript的钩子机制来转移所述网页视图类型的网络流量。9.根据权利要求1所述的方法，其中在所述网络传输的不同层分析所述网络流量包括：基于所述网络流量的类型为第三方SDK类型的网络流量，在应用程序接口API层分析所述网络流量。10.根据权利要求9所述的方法，其中在API层分析所述网络流量包括：通过向第三方SDK的API添加基于所述数据交换约束的判断逻辑来确定包裹API；以及调用所述包裹API以利用所述判断逻辑来分析所述网络流量。11.一种用于管理客户端应用的网络流量的装置，包括：启动模块，被配置为基于对目标用户的确定，启动对所述目标用户的用户数据从所述客户端应用到服务器的网络传输的检测；
管理模块，被配置为：响应于被所述启动模块激活，基于所述网络传输对应的网络流量的类型，在所述网络传输的不同层分析所述网络流量；以及基于所述分析指示所述...

【专利技术属性】
技术研发人员：请求不公布姓名，
申请(专利权)人：北京字节跳动网络技术有限公司，
类型：发明
国别省市：