安全控制方法、装置、存储介质及电子装置

技术领域

本申请实施例涉及计算机领域，具体而言，涉及一种安全控制方法、装置、存储介质及电子装置。

背景技术

目前，由于目前互联网安全形势日趋严峻，通过互联网访问的应用系统持续遭受安全威胁。针对应用系统的安全需求，由于应用系统内部网络架构复杂，且系统中各个模块实现安全控制的方式不同，也即，由于应用系统内部的业务功能与安全控制功能耦合，针对互联网数据的统一加解密均由部署在应用系统内部，与应用服务直接连接的应用网关来实现，如果应用网关遭到了网络攻击，会导致应用服务的安全防护能力大打折扣。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种安全控制方法、装置、存储介质及电子装置，以至少解决由于应用系统内部业务功能与安全控制功能耦合，导致应用系统的安全防护能力低的问题。

根据本申请的一个方面，提供了一种安全控制方法，包括：通过互联网网关获取由前端设备发送的第一加密消息，其中，所述第一加密消息用于向目标应用系统请求数据，所述目标应用系统包括第一分区和第二分区，所述第一分区允许所述前端设备通过互联网进行直接访问，所述第二分区禁止所述前端设备通过互联网进行直接访问，所述第一加密消息的密钥在所述第二分区生成，并由所述第二分区经过所述第一分区转发至所述前端设备，所述第一加密消息由所述前端设备使用所述密钥加密得到，所述第一分区部署有所述互联网网关；通过所述互联网网关使用所述密钥对所述第一加密消息执行解密操作，得到目标请求报文，并将所述目标请求报文发送至部署在所述第二分区的应用服务；通过所述互联网网关接收由所述第二分区返回的目标结果报文，并将所述目标结果报文发送至所述前端设备。

根据本申请的另一个方面，提供了一种安全控制装置，包括：获取模块，用于通过互联网网关获取由前端设备发送的第一加密消息，其中，所述第一加密消息用于向目标应用系统请求数据，所述目标应用系统包括第一分区和第二分区，所述第一分区允许所述前端设备通过互联网进行直接访问，所述第二分区禁止所述前端设备通过互联网进行直接访问，所述第一加密消息的密钥在所述第二分区生成，并由所述第二分区经过所述第一分区转发至所述前端设备，所述第一加密消息由所述前端设备使用所述密钥加密得到，所述第一分区部署有所述互联网网关；执行模块，用于通过所述互联网网关使用所述密钥对所述第一加密消息执行解密操作，得到目标请求报文，并将所述目标请求报文发送至部署在所述第二分区的应用服务；传输模块，用于通过所述互联网网关接收由所述第二分区返回的目标结果报文，并将所述目标结果报文发送至所述前端设备。

可选地，所述装置还用于：通过互联网网关获取由前端设备发送的第一加密消息之前，通过所述互联网网关获取由所述前端设备发送的密钥请求报文，其中，所述密钥请求报文用于请求获取所述密钥；通过所述互联网网关将所述密钥请求报文经过应用网关发送至安全中心，其中，所述第二分区包括所述应用网关和所述安全中心；通过所述互联网网关接收并存储所述安全中心经过所述应用网关返回的所述密钥，其中，所述密钥由所述安全中心生成；通过所述互联网网关将所述密钥发送至所述前端设备。

可选地，所述装置用于通过如下方式通过所述互联网网关接收并存储所述安全中心经过所述应用网关返回的所述密钥：接收并存储所述安全中心经过所述应用网关返回的的非对称公私密钥对，其中，所述密钥包括由所述安全中心生成的所述非对称公私密钥对，所述非对称公私密钥对包括具有对应关系的非对称公钥和非对称私钥；所述通过所述互联网网关将所述密钥发送至所述前端设备，通过所述互联网网关将所述非对称公钥发送至所述前端设备。

可选地，所述装置用于通过如下方式通过互联网网关获取由前端设备发送的第一加密消息：在所述前端设备通过对称密钥对所述目标请求报文进行加密得到第一加密密文，且所述前端设备通过所述非对称公钥对所述对称密钥进行加密得到第二加密密文的情况下，通过所述互联网网关获取所述第一加密消息，其中，所述第一加密消息包括所述第一加密密文和所述第二加密密文，所述对称密钥是所述前端设备生成的密钥；所述通过所述互联网网关使用所述密钥对所述第一加密消息执行解密操作，得到目标请求报文，使用所述非对称私钥对所述第二加密密文进行解密，得到所述对称密钥；使用所述对称密钥对所述第一加密密文进行解密，得到所述目标请求报文；所述通过所述互联网网关接收由所述第二分区返回的目标结果报文，并将所述目标结果报文发送至所述前端设备，包括：使用所述对称密钥对所述目标结果报文进行加密，得到第二加密消息，并将所述第二加密消息发送至所述前端设备。

可选地，所述装置还用于：所述通过所述互联网网关使用所述密钥对所述第一加密消息执行解密操作，得到目标请求报文之后，通过所述互联网网关获取所述前端设备的登录账号对应的账号权限标识；通过所述互联网网关将所述账号权限标识经过所述应用网关发送至所述安全中心进行鉴权，其中，所述安全中心存储有预先配置的账号权限标识集合，所述账号权限标识集合关联的账号允许向所述目标应用系统请求数据；在所述安全中心指示鉴权通过的情况下，通过所述互联网网关将所述目标请求报文发送至部署在所述第二分区的应用服务；在所述安全中心指示鉴权未通过的情况下，通过所述互联网网关向所述前端设备发送目标提示消息，其中，所述目标提示消息用于提示禁止所述登录账号向所述目标应用系统请求数据。

可选地，所述装置还用于：通过所述互联网网关将所述账号权限标识经过所述应用网关发送至所述安全中心进行鉴权，通过所述互联网网关将所述账号权限标识经过所述应用网关发送至所述安全中心，其中，所述安全中心预先异步从所述应用服务获取了所述账号权限标识集合，对所述第一加密消息的令牌进行验证，在所述令牌的验证结果表示通过的情况下，对所述账号权限标识进行鉴权。

可选地，所述装置还用于：所述通过所述互联网网关使用所述密钥对所述第一加密消息执行解密操作，得到目标请求报文之后，通过所述互联网网关对所述目标请求报文进行文件落地检查，得到文件落地检查结果，其中，所述文件落地检查用于确定所述目标请求报文在传输过程中是否被修改；在所述文件落地检查结果指示所述目标请求报文在传输过程中未被修改的情况下，通过所述互联网网关将所述目标请求报文发送至部署在所述第二分区的应用服务。

根据本申请的又一个实施例，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本申请的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

在本申请实施例中，通过互联网网关获取由前端设备发送的第一加密消息，其中，第一加密消息用于向目标应用系统请求数据，目标应用系统包括第一分区和第二分区，第一分区允许通过互联网进行访问，第二分区禁止通过互联网进行访问，第一加密消息的密钥在第二分区生成，并由互联网网关从第二分区获取并缓存，在前端设备需要交互数据时发送至前端设备的方式，通过部署在允许通过互联网访问的第一分区的互联网网关使用由禁止通过互联网访问的第二分区生成的密钥对第一加密消息执行解密操作，得到目标请求报文，并将目标请求报文发送至部署在第二分区的应用服务，再通过互联网网关接收由第二分区返回的目标结果报文，并将目标结果报文发送至前端设备，达到了对应用系统内部的业务功能和安全控制功能解耦的目的，实现了提高系统通信保密性与应用系统的安全防护能力的技术效果，进而解决了由于应用系统内部业务功能与安全控制功能耦合，导致应用系统的安全防护能力低的技术问题。

附图说明

图1是根据本申请实施例的一种安全控制方法的移动终端的硬件结构框图；

图2是根据本申请实施例的一种安全控制方法的流程图；

图3是根据本申请实施例的一种安全控制方法的网络架构的示意图；

图4是根据本申请实施例的一种安全控制方法的统一加解密时序图；

图5是根据本申请实施例的一种安全控制方法的具体流程示意图；

图6是根据本申请实施例的一种安全控制方法的统一鉴权时序图；

图7是根据本申请实施例的一种安全控制装置的结构框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本申请的实施例。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例，图1是本申请实施例的一种安全控制方法的移动终端的硬件结构框图。如图1所示，移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，其中，上述移动终端还可以包括用于通信功能的传输设备106以及终端设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述移动终端的结构造成限定。例如，移动终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本申请实施例中的安全控制方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

结合图1所示，上述安全控制方法可以在终端设备108通过如下步骤实现：

S1，在终端设备108上通过互联网网关获取由前端设备发送的第一加密消息，其中，上述第一加密消息用于向目标应用系统请求数据，上述目标应用系统包括第一分区和第二分区，上述第一分区允许上述前端设备通过互联网进行直接访问，上述第二分区禁止上述前端设备通过互联网进行直接访问，上述第一加密消息的密钥在上述第二分区生成，并由上述第二分区经过上述第一分区转发至上述前端设备，上述第一加密消息由上述前端设备使用上述密钥加密得到，上述第一分区部署有上述互联网网关；

S2，在终端设备108上通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文，并将上述目标请求报文发送至部署在上述第二分区的应用服务；

S3，在终端设备108上通过上述互联网网关接收由上述第二分区返回的目标结果报文，并将上述目标结果报文发送至上述前端设备上。

可选地，在本实施例中，上述安全控制方法还可以通过服务器实现，或由终端设备和服务器共同实现。

上述仅是一种示例，本实施例不做具体的限定。

可选地，作为一种可选的实施方式，图2是根据本申请实施例的一种安全控制方法的流程图，如图2所示，上述安全控制方法包括：

S202，通过互联网网关获取由前端设备发送的第一加密消息，其中，上述第一加密消息用于向目标应用系统请求数据，上述目标应用系统包括第一分区和第二分区，上述第一分区允许上述前端设备通过互联网进行直接访问，上述第二分区禁止上述前端设备通过互联网进行直接访问，上述第一加密消息的密钥在上述第二分区生成，并由上述第二分区经过上述第一分区转发至上述前端设备，上述第一加密消息由上述前端设备使用上述密钥加密得到，上述第一分区部署有上述互联网网关；

可选地，在本实施例中，上述互联网网关可以包括但不限于交换机、路由器等，上述前端设备可以包括但不限于手机、电脑、平板等，上述第一加密消息可以包括但不限于用户登录、文件下载、文件上传、关键词搜索等，上述目标应用系统可以包括但不限于网站系统、独立应用程序系统、部署在云服务器的云服务系统等。

其中，云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。

云计算(cloud computing)指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。云计算是网格计算(Grid Computing)、分布式计算(DistributedComputing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network StorageTechnologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。

随着互联网、实时数据流、连接设备多样化的发展，以及搜索服务、社会网络、移动商务和开放协作等需求的推动，云计算迅速发展起来。不同于以往的并行分布式计算，云计算的产生从理念上将推动整个互联网模式、企业管理模式发生革命性的变革。

云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并发送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

云安全主要研究方向包括：1.云计算安全，主要研究如何保障云自身及云上各种应用的安全，包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等；2.安全基础设施的云化，主要研究如何采用云计算新建与整合安全基础设施资源，优化安全防护机制，包括通过云计算技术构建超大规模安全事件、信息采集与处理平台，实现对海量信息的采集与关联分析，提升全网安全事件把控能力及风险控制能力；3.云安全服务，主要研究各种基于云计算平台为用户提供的安全服务，如防病毒服务等。

可选地，在本实施例中，上述第一分区可以包括但不限于由互联网网关、系统静态资源等组成，其中，该静态资源可以包括但不限于系统在运行时不需要更改的资源，例如系统登陆界面背景图片、标题信息等。上述第二分区可以包括但不限于应用网关、应用服务等，其中，该应用服务可以包括但不限于系统文件上传服务、系统文件下载服务、系统用户登录控制模块、用户密码修改服务等。上述互联网网关与应用网关用于在网络之间网络互连，进行数据传输等。

具体而言，上述由第二分区生成第一加密消息的密钥可以通过如下方式实现，包括但不限于非对称加密算法，对称加密算法等。

需要说明的是，首先，非对称加密算法也叫公钥加密算法，是指一对加密密钥与解密密钥，这两个密钥是数学相关，用某用户密钥加密后所得的信息，只能用该用户的解密密钥才能解密。如果知道了其中一个，并不能计算出另外一个。因此如果公开了一对密钥中的一个，并不会危害到另外一个的秘密性质。称公开的密钥为公钥；不公开的密钥为私钥。公钥加密的密文只有私钥才能解密，但解密速度慢。常用的非对称加密算法包含RSA(Rivest-Shamir-Adleman)、DSA(Digital Signature Algorithm)、ECC(Elliptic CurveCryptography)等。其次，对称加密算法是一种加密和解密使用同一个密钥的算法，它的加密和解密效率高，但是密钥安全性差，因为密钥是相同的，所以如果密钥泄露，那么加密和解密都将失去保障，对信息安全造成极大威胁。为了保证对称密码算法的安全性，密钥需要定期更换，而且在传输过程中需要采用一些加密措施，以保证密钥不被窃取。如我们常用的压缩软件对压缩包的加密和解密，使用的就是对称加密算法，常用的对称加密算法包含DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等。示例性地，所述第一加密消息用于向目标应用系统请求数据，可以理解为用户在前端设备上向目标应用系统发送用于请求相关应用服务的部分数据所对应的加密消息。

具体而言，上述目标应用系统包括第一分区和第二分区，可以理解为上述目标应用系统由允许前端设备通过互联网进行直接访问的第一分区，以及禁止所述前端设备通过互联网进行直接访问的第二分区组成。

需要说明的是，上述第一分区允许通过互联网直接进行访问，可以理解为当用户进入目标应用系统发出第一加密消息请求数据，该第一加密消息可以通过互联网转发至位于上述第一分区的互联网网关。

示例性地，上述第二分区禁止通过互联网直接进行访问，也即上述第一加密消息只有通过上述第一分区内的互联网网关解密成功后，才会转发至上述第二分区，该第一加密消息无法直接进入第二分区。

示例性地，图3是根据本申请实施例的一种安全控制方法的网络架构的示意图，如图3所示：用户通过互联网访问目标应用系统，该第一加密消息首先发送至位于第一分区301的互联网网关302，在此之前，互联网网关302以及获取了在第二分区304处生成第一加密消息的密钥，该互联网网关302通过密钥对第一加密消息解密后，将解密得到的文件数据转发至第二分区304。

在一个示例性的实施例中，上述第一加密消息的密钥可以但不限于在部署于第二分区的安全中心内生成，并由第二分区部署的应用网关发送至第一分组，再由第一分区发送至前端设备，以便于通过所述前端设备使用该密钥对请求数据的报文进行加密，得到上述第一加密消息。

在一个示例性的实施例中，用户打开手机，可以通过如下的方式进入目标应用系统，包括但不限于打开浏览器后输入上述目标应用系统的地址，进入目标应用系统、打开独立应用程序，进入目标应用系统等，用户进入上述目标应用系统后，访问所需内容，发出上述第一加密消息至位于该目标应用系统内部署在第一分区的互联网网关，例如，请求用户登录消息，之后，互联网网关获取由第二分区采用非对称加密算法生成第一加密消息的密钥，将该密钥转发至手机。

S204，通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文，并将上述目标请求报文发送至部署在上述第二分区的应用服务；

可选地，在本实施例中，上述目标请求报文可以包括但不限于用户系统登录结果、文件下载结果、文件上传结果、关键词搜索结果等，上述解密操作可以通过如下方式实现，包括但不限于非对称加密算法，对称加密算法等上述一种或多种的组合，上述应用服务可以包括但不限于系统文件上传服务、系统文件下载服务、系统用户登录控制模块、用户密码修改服务等。

示例性地，采用非对称加密算法对上述第一加密消息执行解密操作，解密后的数据即为明文数据，应用系统可以对其进行进一步处理或展示在前端设备。

在一个示例性的实施例中，图4是根据本申请实施例的一种安全控制方法的统一加解密时序图，如图4所示：

S1，用户在前端设备发起访问目标应用系统内的某一目标应用服务的请求，响应于该请求，互联网网关获取安全中心生成的加密密钥404，并向前端设备转发该加密密钥404，以便前端设备根据该加密密钥404对上述请求进行加密，得到上述第一加密消息402；

S2，上述安全中心采用非对称加密算法的方式随机生成非对称公私密钥对，将该非对称公私密钥对缓存后发送至应用网关、再经由应用网关转发至互联网网关，其中，上述非对称公私密钥对包括非对称公钥以及非对称私钥，该互联网网关对上述非对称公私密钥对进行缓存之后将非对称公钥发送至上述前端设备；

S3，上述前端设备采用对称加密算法的方式随机生成对称密钥，使用该对称密钥对上述请求报文进行加密，同时使用上述非对称公钥对该对称密钥进行加密后生成第一加密消息402，第一加密消息402执行打包操作发送至上述互联网网关，其中，上述前端设备对第一加密消息402进行打包操作的内容包括但不限于请求头(包含上述对称密钥)、请求体和其他相关数据等；

S4，上述互联网网关使用上述非对称私钥对上述对称密钥解密，并使用上述对称密钥对上述第一加密消息402的请求报文进行解密，获取该第一加密消息402的明文数据，即目标请求406；

S5，上述目标请求406被上述互联网网关发送至上述应用网关，再经由该应用网关转发至上述目标应用服务，上述目标应用服务根据上述目标请求406的请求资源进行操作，将目标结果408返回至上述互联网网关；

S6，上述互联网网关对上述目标结果408使用上述对称密钥进行加密后，发送至上述前端设备。

S206，通过上述互联网网关接收由上述第二分区返回的目标结果报文，并将上述目标结果报文发送至上述前端设备。

示例性地，用户访问目标应用系统，位于第二分区下的应用服务进行处理后，返回目标结果至位于第二分区下的应用网关，再由该应用网关转发至位于第一分区下的互联网网关，该互联网网关对该目标结果进行加密，并向前端设备发送加密后的数据，最终，前端设备的用户通过对前述加密后的数据进行解密，以得到上述目标结果。

在一个示例性的实施例中，图5是根据本申请实施例的一种安全控制方法的具体流程示意图，如图5所示：

S502，用户通过在手机端浏览器输入目标应用系统的网址进入该目标应用系统，发起用户登录的请求消息；

S504，该目标应用系统加载默认登录界面的静态资源，例如登录按钮，登录标题，界面背景等；

S506，该目标应用系统对上述请求消息进行统一加解密，得到第一加密消息：在手机端采用对称加密算法的方式随机生成对称密钥，使用该对称密钥对上述第一加密消息的请求报文进行加密，其中，该请求报文包括用户输入的登录账号与登录密码，在系统的第二分区下的安全中心采用非对称加密的方式随机生成非对称公私密钥对，该非对称公私密钥对包括非对称公钥与非对称私钥，使用该非对称公钥对该对称密钥进行加密后，执行打包操作将得到的第一加密消息发送至上述互联网网关；

S508，上述互联网网关使用上述非对称私钥对上述对称密钥解密，利用解密得到的对称密钥对上述第一加密消息的请求报文进行解密，获取该第一加密消息的明文数据，即目标请求报文；

S510-1，上述互联网网关调用鉴权接口，发送权限验证请求至上述应用网关，应用网关转发该权限验证请求至安全中心，该安全中心通过请求系统用户登录执行模块查询对应上述发起第一加密消息的用户权限信息，安全中心对该用户权限信息进行权限验证，权限验证通过，上述应用网关获取上述目标请求的访问权限验证结果，转发至上述互联网网关；

S510-2，安全中心对该用户权限信息进行权限验证，权限验证未通过，上述应用网关获取上述目标请求的访问权限验证结果，转发至上述互联网网关；

S512，该互联网网关根据上述验证结果进行操作，在上述S510-1表示验证通过的情况下转发目标请求至系统用户登录执行模块，用户登录成功，手机端浏览器进行目标应用系统的页面跳转，跳转至相应的用户中心界面，在上述S510-2表示验证不通过的情况下在手机端浏览器该目标应用系统的当前登陆界面提示用户登录失败。

通过本实施例，通过互联网网关获取由前端设备发送的第一加密消息，其中，第一加密消息用于向目标应用系统请求数据，目标应用系统包括第一分区和第二分区，第一分区允许通过互联网进行访问，第二分区禁止通过互联网进行访问，第一加密消息的密钥在第二分区生成，并由互联网网关从第二分区获取并缓存，在前端设备需要交互数据时发送至前端设备的方式，通过部署在允许通过互联网访问的第一分区的互联网网关使用由禁止通过互联网访问的第二分区生成的密钥对第一加密消息执行解密操作，得到目标请求报文，并将目标请求报文发送至部署在第二分区的应用服务，再通过互联网网关接收由第二分区返回的目标结果报文，并将目标结果报文发送至前端设备，达到了对应用系统内部的业务功能和安全控制功能解耦的目的，实现了提高系统通信保密性与应用系统的安全防护能力的技术效果，进而解决了由于应用系统内部业务功能与安全控制功能耦合，导致应用系统的安全防护能力低的技术问题。

作为一种可选的方案，上述通过互联网网关获取由前端设备发送的第一加密消息之前，上述方法还包括：通过上述互联网网关获取由上述前端设备发送的密钥请求报文，其中，上述密钥请求报文用于请求获取上述密钥，通过上述互联网网关将上述密钥请求报文经过应用网关发送至安全中心，其中，上述第二分区包括上述应用网关和上述安全中心，通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥，其中，上述密钥由上述安全中心生成，通过上述互联网网关将上述密钥发送至上述前端设备。

可选地，在本实施例中，上述密钥请求报文包括但不限于获取非对称公私密钥对，获取对称密钥等，上述应用网关可以包括但不限于交换机、路由器等设备上进行部署，上述安全中心包括但不限于专用硬件安全模块、服务器、网络设备、物联网设备等设备上进行部署。

示例性地，通过上述互联网网关获取由上述前端设备发送的密钥请求报文，可以理解为位于上述前端设备发出的密钥请求，将会由上述第一分区的上述互联网网关进行获取，之后通过上述互联网网关将密钥请求报文转发至位于上述第二分区的上述应用网关后，再经由上述应用网关转发至上述安全中心，以获取由安全中心生成的密钥。

具体而言，通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥，也即在位于上述第二分区的上述安全中心生成上述第一加密消息的密钥，将该密钥存储在上述安全中心之后，再经由上述应用网关返回至上述第一分区部署的上述互联网网关中进行存储。

通过本实施例，采用上述互联网网关获取由上述前端设备发送的密钥请求报文，并通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥，其中，上述密钥由上述安全中心生成，最后通过上述互联网网关将上述密钥发送至上述前端设备，达到了在前端设备完成加密，在互联网网关完成解密的目的，实现了应用系统安全功能与业务功能解耦的技术效果，统一了系统中各子模块进行安全控制的方式，解决了用户访问过程中通信保密性不佳的技术问题。

作为一种可选的方案，上述通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥，包括：接收并存储上述安全中心经过上述应用网关返回的的非对称公私密钥对，其中，上述密钥包括由上述安全中心生成的上述非对称公私密钥对，上述非对称公私密钥对包括具有对应关系的非对称公钥和非对称私钥，上述通过上述互联网网关将上述密钥发送至上述前端设备，包括：通过上述互联网网关将上述非对称公钥发送至上述前端设备。

需要说明的是，上述非对称公私密钥对是通过非对称加密算法在上述安全中心随机生成，包括非对称公钥和非对称私钥，非对称公钥和非对称私钥具有对应的关系，其中，非对称公钥一般是公开的密钥，非对称私钥一般是不公开的密钥，且采用非对称公钥加密的密文只有与之对应的非对称私钥才能解密。

示例性地，接收并存储上述安全中心经过上述应用网关返回的的非对称公私密钥对，也即在上述安全中心接收到上述密钥请求的情况下，采用非对称加密算法随机生成非对称公私密钥对，通过上述位于第二分区的上述应用网关转发该非对称公私密钥对至上述位于第一分区的上述互联网网关，该互联网网关接收到该非对称公私密钥对进行存储，并提取非对称公钥作为上述第一加密消息的密钥发送至前端设备。

具体而言，上述互联网网关在获取到上述非对称公私密钥对之后，将提取上述非对称公私密钥对中的非对称公钥，进而作为第一加密消息的密钥发送至上述前端设备，由上述前端设备根据该非对称公钥对第一加密消息的请求报文进行加密。

通过本实施例，采用互联网网关接收并存储上述安全中心经过上述应用网关返回的的非对称公私密钥对，其中，上述密钥包括由上述安全中心生成的上述非对称公私密钥对，上述非对称公私密钥对包括具有对应关系的非对称公钥和非对称私钥，并提取非对称私钥作为上述第一加密消息的密钥发送至上述前端设备的方式，达到了保护敏感数据的同时不影响系统访问效率的技术效果，有效阻止网络恶意行为、减少系统漏洞。

作为一种可选的方案，上述通过互联网网关获取由前端设备发送的第一加密消息，包括：在上述前端设备通过对称密钥对上述目标请求报文进行加密得到第一加密密文，且上述前端设备通过上述非对称公钥对上述对称密钥进行加密得到第二加密密文的情况下，通过上述互联网网关获取上述第一加密消息，其中，上述第一加密消息包括上述第一加密密文和上述第二加密密文，上述对称密钥是上述前端设备生成的密钥，上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文，包括：使用上述非对称私钥对上述第二加密密文进行解密，得到上述对称密钥；使用上述对称密钥对上述第一加密密文进行解密，得到上述目标请求报文，上述通过上述互联网网关接收由上述第二分区返回的目标结果报文，并将上述目标结果报文发送至上述前端设备，包括：使用上述对称密钥对上述目标结果报文进行加密，得到第二加密消息，并将上述第二加密消息发送至上述前端设备。

可选地，在本实施例中，上述第一加密密文与上述第二加密密文可以包括但不限于用户登录请求数据、文件下载请求数据、文件上传请求数据等，上述目标请求报文可以包括但不限于用户登录的明文请求数据、文件下载的明文请求数据、文件上传的明文请求数据等，上述第二加密消息可以包括但不限于用户登录结果数据、文件下载结果数据、文件上传结果数据等。

具体而言，上述目标请求报文中可以包括但不限于上述第一加密消息执行打包操作结束后，在上述互联网网关进行解密得到的明文数据。

示例性地，在上述前端设备通过对称密钥对上述目标请求报文进行加密得到第一加密密文，且上述前端设备通过上述非对称公钥对上述对称密钥进行加密得到第二加密密文的情况下，通过上述互联网网关获取上述第一加密消息。

在一个示例性的实施例中，用户在系统登陆后点击按钮，选择上传文件，为第一加密消息的请求报文，通过对称密钥对上述上传文件的请求报文进行加密得到第一加密密文，且通过在上述安全中心生成的上述非对称公钥对上述对称密钥进行加密得到第二加密密文，上述互联网网关获取第一加密消息。

示例性地，使用上述非对称私钥对上述第二加密密文进行解密，得到上述对称密钥；使用上述对称密钥对上述第一加密密文进行解密，得到上述目标请求报文，可以理解为上述互联网网关获取第一加密消息，通过解密操作获取对应明文内容，在上述互联网网关处使用与上述非对称公钥对应的上述非对称私钥，解密上述第二加密密文，得到上述对称密钥；使用上述对称密钥对上述第一加密密文进行解密，得到上述目标请求报文，该目标请求报文将在上述目标应用系统内部进行明文传输。

需要说明的是，明文传输即在应用系统中，数据以明文的形式进行传输，没有进行加密或其他安全措施。

在一个示例性的实施例中，用户在系统登陆后点击按钮，选择下载文件作为第一加密消息，在上述前端设备处通过对称密钥与非对称公钥加密第一加密消息中的请求报文后，互联网网关获取第一加密消息，对上述第一加密消息进行解密，以获取目标请求报文，经由安全中心转发至系统下载业务执行模块，由该系统下载业务执行模块处理后，返回目标结果报文至应用网关，互联网网关从应用网关获取上述目标结果报文，再从本地缓存中提取对称密钥，对目标结果报文进行加密后得到第二加密消息，将该第二加密消息发送至前端设备，可以通过如下方式实现：

S1，前端设备使用对称密钥与非对称密钥加密目标请求报文得到第一加密消息；

S2，互联网网关收到第一加密消息后，检查请求头中是否包含对称密钥信息，请求头中包含对称密钥信息，互联网网关提取对称密钥，互联网网关对提取到的对称密钥信息进行验证和解析，以确保其有效性和完整性；

S3，互联网网关从本地缓存中取出非对称私钥，对S2中获取到的对称密钥进行解密，互联网网关采用S5中获取到的对称密钥对第一加密消息的请求报文进行解密；

S4，互联网网关将解密后的明文请求，即目标请求报文依次传输至应用网关、再由应用网关转发至系统下载业务执行模块；

S5，系统下载业务执行模块处理后，返回目标结果报文至应用网关，互联网网关从应用网关获取上述目标结果报文；

S6，互联网网关从本地缓存中提取对称密钥，再对上述目标结果报文进行加密后得到第二加密消息，将该第二加密消息发送至前端设备。

通过本实施例，采用在上述前端设备通过对称密钥对上述目标请求报文进行加密得到第一加密密文，且上述前端设备通过上述非对称公钥对上述对称密钥进行加密得到第二加密密文的情况下，通过上述互联网网关获取上述第一加密消息，上述互联网网关使用上述非对称私钥对上述第二加密密文进行解密，得到上述对称密钥；使用上述对称密钥对上述第一加密密文进行解密，得到上述目标请求报文，将该目标请求报文依次转发至应用网关，目标应用服务，目标应用服务进行响应，生成目标请求报文，在上述互联网网关使用对称密钥对该目标请求报文加密，得到第二加密消息，并将上述第二加密消息发送至上述前端设备的方式，提高了请求报文的安全性，达到了保证访问数据完整性的技术效果。

作为一种可选的方案，上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文之后，上述方法还包括：通过上述互联网网关获取上述前端设备的登录账号对应的账号权限标识，通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心进行鉴权，其中，上述安全中心存储有预先配置的账号权限标识集合，上述账号权限标识集合关联的账号允许向上述目标应用系统请求数据，在上述安全中心指示鉴权通过的情况下，通过上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务，在上述安全中心指示鉴权未通过的情况下，通过上述互联网网关向上述前端设备发送目标提示消息，其中，上述目标提示消息用于提示禁止上述登录账号向上述目标应用系统请求数据。

可选地，在本实施例中，上述账号权限标识可以包括但不限于登陆权限、文件上传权限、文件下载权限等，上述账号权限标识集合可以包括但不限于允许登陆的人员信息集合、允许上传文件的人员信息集合、允许下载文件的人员信息集合等，上述鉴权可以包括但不限于身份验证、授权验证等，可以通过如下的方式实现，包括但不限于基于角色的访问控制、访问令牌、加密证书、双因素认证等，上述目标提示消息可以包括但不限于禁止访问系统用户登录控制模块、禁止访问系统下载业务控制模块、禁止访问系统上传业务控制模块等。

具体而言，查询上述安全中心的账号权限标识集合，在对应目标请求报文请求的服务权限关联了当前登录账号的前提下，上述安全中心指示鉴权通过的消息发送至上述互联网网关，再由互联网网关将上述目标请求报文发送至上述应用网关，由该应用网关转发至对应的应用服务。

在一个示例性的实施例中，用户在系统登陆后点击按钮，选择下载文件，通过互联网网关对下载文件的加密消息进行解密获取目标请求报文，可以通过如下方式对用户登录账号做权限验证：

S1，目标用户使用账号密码登录系统，请求下载文件；

S2，互联网网关获取目标用户账号信息，再经由应用网关转发至安全中心；

S3，安全中心查询本地数据库缓存的账号权限标识集合，其中，可进行系统下载业务数据表中包括多个允许操作的用户账号、用户密码，安全中心对该系统下载业务数据表进行遍历查询，发现上述系统下载业务数据表存储了S1中获取的该目标用户账号及密码；

S4，安全中心表示用户账号鉴权通过，将指示鉴权通过的消息发送至互联网网关，互联网网关转发目标用户的下载文件请求至系统下载业务控制模块。

示例性地，在上述安全中心指示鉴权未通过的情况下，通过上述互联网网关向上述前端设备发送目标提示消息，也即鉴权不通过的情况下，当前登录账号无法进行所请求的应用服务操作，上述互联网网关向上述前端设备发送目标提示消息，用于显示在前端设备上，表示当前用户账号请求失败。

通过本实施例，通过上述互联网网关获取上述前端设备的登录账号对应的账号权限标识，上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心进行鉴权，在上述安全中心指示鉴权通过的情况下，上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务，在上述安全中心指示鉴权未通过的情况下，上述互联网网关向上述前端设备发送目标提示消息的方式，有效减少对操作权限和请求权限的验证次数，提高系统性能和安全性。

作为一种可选的方案，通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心进行鉴权，包括：通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心，其中，上述安全中心预先异步从上述应用服务获取了上述账号权限标识集合，对上述第一加密消息的令牌进行验证，在上述令牌的验证结果表示通过的情况下，对上述账号权限标识进行鉴权。

可选地，在本实施例中，上述第一加密消息的令牌进行验证的内容可以包括但不限于检查令牌的签名、过期时间等。

示例性地，上述安全中心预先异步从上述应用服务获取了上述账号权限标识集合，可以理解为当上述互联网网关还未调用鉴权接口时，上述安全中心就发出请求至上述应用服务，获取上述账号权限标识集合。

具体而言，验证第一加密消息的令牌的有效性，确保该令牌是合法且未被篡改的，令牌验证结果通过，即令牌有效，则可以进行上述账号的权限鉴权。

在一个示例性的实施例中，当用户在终端发起访问请求，调用鉴权接口进行用户权限与访问资源的验证，通过上述权限验证，系统决定是否允许当前请求访问的用户进行相应操作或访问资源。如果用户权限不足，则系统拒绝该用户访问或限制该用户访问。图6是根据本申请实施例的一种安全控制方法的统一鉴权时序图，如图6所示：

S1，位于第一分区的互联网网关调用鉴权接口，发送权限验证请求602至位于第二分区的应用网关，该应用网关转发上述权限验证请求602至安全中心；

S2，上述安全中心异步发起查询请求604至应用服务，应用服务查询账号权限标识集合606，上述安全中心获取该账号权限标识集合进行缓存；

S3，上述安全中心采用访问令牌的验证方式对上述目标请求的访问权限进行权限验证608；

S4，令牌的验证结果表示通过，根据S2中获取的账号权限标识集合对用户账号对应的请求具体操作或资源进行权限验证，检查用户是否具有该请求权限；

S5，上述应用网关获取上述目标请求的访问权限验证结果610，转发至上述互联网网关，该互联网网关根据上述验证结果610进行操作，用户请求权限验证通过的情况下，转发目标请求至应用服务，该应用服务根据上述目标请求的请求资源进行操作，验证不通过的情况下，该互联网网关将提示请求失败的消息发送至前端设备。

通过本实施例，采用上述安全中心预先异步从上述应用服务获取了上述账号权限标识集合，对上述第一加密消息的令牌进行验证，在上述令牌的验证结果表示通过的情况下，对上述账号权限标识进行鉴权的方式，达到了加强系统访问过程中安全控制的可信度的技术效果，保护系统和用户的利益。

作为一种可选的方案，上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文之后，上述方法还包括：通过上述互联网网关对上述目标请求报文进行文件落地检查，得到文件落地检查结果，其中，上述文件落地检查用于确定上述目标请求报文在传输过程中是否被修改，在上述文件落地检查结果指示上述目标请求报文在传输过程中未被修改的情况下，通过上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务。

具体而言，通过上述互联网网关对上述目标请求报文进行文件落地检查，得到文件落地检查结果，上述方法还包括：

上述互联网网关对上述目标请求报文进行文件完整性校验；

上述互联网网关对上述目标请求报文进行文件信息校验。

可选地，在本实施例中，上述文件落地检查包括但不限于文件完整性校验、文件信息校验等，上述文件完整性校验可以包括但不限于单向散列值校验、循环冗余校验等，上述文件信息校验可以包括但不限于文件后缀校验、文件校验和等。

需要说明的是，首先，单向散列值校验方式是使用哈希算法对文件进行计算，得到一个固定长度的哈希值，接收端也进行同样的计算，然后将两个哈希值进行比较，如果相同则文件完整性校验通过。哈希值校验具有较高的安全性，因为即使文件中只有一个字节发生改变，哈希值也会大幅度变化；循环冗余校验方式是将文件看作二进制数据流，并对该数据流进行多项式计算，得到一个固定长度的校验码。接收端也进行同样的计算，然后将两个校验码进行比较，如果相同则文件完整性校验通过。其次，文件后缀校验方式是对文件的后缀名进行检查和验证，以确保文件的类型和格式正确。一般情况下，文件后缀是由文件名的最后一个点之后的字符组成的，用于标识文件的类型，文件校验和方式是对文件中每个字节的数值进行求和，生成一个校验和。

示例性地，用于进行上传文件的目标请求报文经过权限验证后，允许进行文件上传操作，应用网关将验证通过的结果返回至互联网网关，互联网网关表示鉴权成功，采用单向散列值校验的方式对上传文件进行文件完整性校验，采用文件后缀校验的方式对上传文件进行文件信息校验，校验通过后将目标请求经由应用网关转发至系统上传业务执行模块进行处理。

通过本实施例，通过上述互联网网关对上述目标请求报文进行文件落地检查，得到文件落地检查结果，在上述文件落地检查结果指示上述目标请求报文在传输过程中未被修改的情况下，上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务，达到了确保文件在上传系统的过程中信息完整性和正确性的技术效果，提高文件校验的处理效率。

上述仅是一种示例，本申请不做任何具体的限定。

显然，上述所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。

下面结合具体实施例对本申请进行具体说明：

对称加密算法：对称加密算法使用同一个密码进行加密和解密，解密速度快，如我们常用的压缩软件对压缩包的加密和解密，使用的就是对称加密算法。常用的对称加密算法包含DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等。

非对称加密算法：非对称加密算法使用不同的密钥进行加密和解密，分为公钥和私钥，公钥可以公开，私钥不能公开，公钥加密的密文只有私钥才能解密，但解密速度慢。常见的非对称加密算法包含RSA(Rivest-Shamir-Adleman)、DSA(Digital SignatureAlgorithm)、ECC(Elliptic Curve Cryptography)等。

由于目前互联网安全形势日趋严峻，通过互联网访问的系统持续遭受安全威胁，一般而言针对部署在云上的互联网系统，各家云资源厂商都会提供相应的网络安全、主机安全、云防火墙等安全产品，然而这些产品属于基础设施层面，应用系统本身也应具备安全防护能力。本申请提出一种通用的安全控制方法，系统通过统一的接口设计对接安全中心，将安全控制交给该方法，让系统的开发更加关注于业务逻辑实现层面。

应用系统的安全设计对系统的安全运行有着举足轻重的作用，安全设计就是将系统的安全需求转化为系统的功能结构的过程。一般而言，应用安全需要满足：

S1，身份认证，系统需要认证是否是合法的登录用户；

S2，系统授权，系统可以按照角色、机构等给予用户授权；

S3，访问控制，系统为只有得到授权的用户才能访问相应资源的权限进行保障；

S4，通信保密性，系统需保证在通信过程的加密性，防止通信内容被获取或篡改。

针对互联网应用访问安全控制，特设计一套针对系统应用的安全架构与安全策略，具体分析及技术方案如下：

一、安全架构设计：

系统访问安全控制主要通过互联网网关与安全中心实现，具体包括但不限于如图3所示：

S1，本方案划分两个系统隔离子网，分为第一分区301与第二分区304，第一分区部署互联网网关302与静态资源303，并且可以通过互联网访问。第二分区部署应用网关305、应用服务306及安全中心307，并且不能通过互联网访问。其中，第一分区访问第二分区只能通过应用网关进行访问请求转发，两个分区内遵循不同的安全组设置，以保证服务器之间横向隔离，通过开通特定的网络访问关系，使的当出现安全威胁时可以通过网络访问阻断快速实现威胁隔离；

S2，互联网网关302是实现本方案安全访问控制的核心，它提供了统一加解密服务与统一鉴权服务、同时进行常见的安全拦截。若发生安全攻击及越权访问时，可将威胁拦截在第一分区301，使攻击不被渗透到应用服务306。由于系统的所有请求都会经过互联网网关302，即可采用反向代理服务器开发自定义模块实现，保证了请求处理效率；

S3，安全中心307实现请求密钥提供，用户登录与鉴权的具体实现安全中心是提供系统安全防护的第二道屏障，为保证访问安全中心307的其他服务合法，所有请求306安全中心的报文都需进行数字签名，306安全中心验签通过后才会响应服务。306安全中心部署主机安全等级最高，同时按最小必要规则关闭其他非必要服务。

二、安全方案实现：

具体包括但不限于如图5所示：

S502，用户在前端设备上发起访问请求；

S504，系统进行静态资源的加载；

S506，位于第一分区的互联网网关对请求报文进行统一加解密：

如图4所示，为防止攻击者窃取请求报文，前后端通信的访问请求数据报文均需进行加密。本方案统一加解密采用对称加密与非对称加密相结合的方式，保证加密内容安全的同时兼顾解密效率；

当前端设备上发起获取密钥请求时，互联网网关与应用网关依次转发请求到安全中心，由安全中心随机生成非对称加密公私密钥对，缓存密钥对后返回给互联网网关；互联网网关将上述密钥对缓存后将非对称公钥返回给前端设备；前端设备随机生成对称密钥，该对称密钥采用对称加密的方式获取，使用对称密钥加密报文，同时使用互联网网关返回的非对称公钥加密对称密钥；

S508，前端设备将请求打包发送给互联网网关，互联网网关从本地缓存取出非对称公钥对应的非对称私钥后，使用非对称私钥解密被非对称公钥加密的对称密钥，使用对称密钥即可解密报文；因每次会话都是采用随机生成的密钥，且安全中心生成的非对称私钥并未经过互联网传输，使得攻击者解密报文的难度大大增加；

位于第一分区的互联网网关结合位于第二分区的应用网关，对用户访问进行统一鉴权：

如图6所示，安全中心是系统鉴权的具体实现，在安全中心处采用提供统一接口的形式对接应用服务的角色权限服务。不同的系统只要实现了安全中心的接口，都可把应用鉴权功能移交给安全中心，使得应用系统开发者更加关注自身的具体业务逻辑实现，由互联网网关与安全中心实现系统鉴权管理；

安全中心启动后，对应用中心进行异步请求，获取应用读物的全角色权限，并将返回的角色权限信息缓存到本地；当前端设备发起第一加密消息后，互联网网关调用鉴权接口，安全中心对请求进行用户角色与请求的URL(Uniform Resource Locator，统一资源定位器)操作权限进行验证；

S510-1，安全中心进行鉴权，若鉴权成功，则互联网网关将请求转发到具体的应用服务；

S510-2，安全中心进行鉴权，若鉴权失败，则返回前端设备无权限访问；

S512，目标应用系统对用户访问鉴权通过，用户可以进行访问，执行文件落地检查，文件落地检查包括文件完整性校验与文件信息校验。文件完整性校验：前端在选择多个或单个上传文件的时候，由前端设备调用单向散列函数生成每个文件的单向散列值传递到互联网网关，在互联网网关处对文件进行单向散列值校验，以防止文件在传输过程中被非法窜改；文件信息校验：互联网网关采用文件类型的魔术数字来进行文件内容与文件后缀是否一致的判断。如果不一致，被修改了后缀的文件不允许上传。

本申请的关键点是一套统一的应用安全解决方案，其中：

S1，网络的分区设计，通过设置两道安全保护屏障，将部分安全功能前移至第一分区，提升了安全防护能力；

S2，安全控制策略的组合，安全控制并不是单独的存在，而是各个组件协同配合完成，在满足安全需求的同时，不能使系统的业务处理效率出现显著下降；

S3，安全控制转移，业务系统通过对接安全中心的统一接口，将系统的角色、权限控制交由安全中心负责，系统开发者只需关注实现安全中心统一接口，即可实现安全功能。

通过本申请提出的这套统一的应用安全解决方案，一方面提升了系统的开发效率，本发明将安全功能提炼，形成互联网网关与安全中心协同进行系统访问安全控制。应用系统只需对接安全中心，则可将系统安全功能交由该安全架构管理，提高了系统开发效率。

另一方面，本申请提出的安全控制策略将部分安全检查功能前移到第一分区，同时将安全风险前移，提高对系统的保护能力，并且实现方式在安全与处理效率之间达到一个平衡点。

再一方面，本申请易扩展性高，由于本方案安全功能与系统本身的业务逻辑耦合度低，因此，当需要其他安全功能时，便于在互联网网关和安全中心扩展而不影响业务本身。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台前端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例的方法。

根据本申请实施例的另一个方面，还提供了一种系统访问的装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图7是根据本申请实施例的一种安全控制装置的结构框图，如图7所示，该装置包括：

获取模块702，用于通过互联网网关获取由前端设备发送的第一加密消息，其中，上述第一加密消息用于向目标应用系统请求数据，上述目标应用系统包括第一分区和第二分区，上述第一分区允许上述前端设备通过互联网进行直接访问，上述第二分区禁止上述前端设备通过互联网进行直接访问，上述第一加密消息的密钥在上述第二分区生成，并由上述第二分区经过上述第一分区转发至上述前端设备，上述第一加密消息由上述前端设备使用上述密钥加密得到，上述第一分区部署有上述互联网网关；

执行模块704，用于通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文，并将上述目标请求报文发送至部署在上述第二分区的应用服务；

传输模块706，用于通过上述互联网网关接收由上述第二分区返回的目标结果报文，并将上述目标结果报文发送至上述前端设备。

作为一种可选的方案，上述装置还用于：上述通过互联网网关获取由前端设备发送的第一加密消息之前，通过上述互联网网关获取由上述前端设备发送的密钥请求报文，其中，上述密钥请求报文用于请求获取上述密钥；通过上述互联网网关将上述密钥请求报文经过应用网关发送至安全中心，其中，上述第二分区包括上述应用网关和上述安全中心；通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥，其中，上述密钥由上述安全中心生成；通过上述互联网网关将上述密钥发送至上述前端设备。

作为一种可选的方案，上述装置用于通过如下方式通过上述互联网网关接收并存储上述安全中心经过上述应用网关返回的上述密钥：接收并存储上述安全中心经过上述应用网关返回的的非对称公私密钥对，其中，上述密钥包括由上述安全中心生成的上述非对称公私密钥对，上述非对称公私密钥对包括具有对应关系的非对称公钥和非对称私钥；上述通过上述互联网网关将上述密钥发送至上述前端设备，通过上述互联网网关将上述非对称公钥发送至上述前端设备。

作为一种可选的方案，上述装置用于通过如下方式通过互联网网关获取由前端设备发送的第一加密消息：在上述前端设备通过对称密钥对上述目标请求报文进行加密得到第一加密密文，且上述前端设备通过上述非对称公钥对上述对称密钥进行加密得到第二加密密文的情况下，通过上述互联网网关获取上述第一加密消息，其中，上述第一加密消息包括上述第一加密密文和上述第二加密密文，上述对称密钥是上述前端设备生成的密钥；上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文，使用上述非对称私钥对上述第二加密密文进行解密，得到上述对称密钥；使用上述对称密钥对上述第一加密密文进行解密，得到上述目标请求报文；上述通过上述互联网网关接收由上述第二分区返回的目标结果报文，并将上述目标结果报文发送至上述前端设备，包括：使用上述对称密钥对上述目标结果报文进行加密，得到第二加密消息，并将上述第二加密消息发送至上述前端设备。

作为一种可选的方案，上述装置还用于：上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文之后，包括：通过上述互联网网关获取上述前端设备的登录账号对应的账号权限标识；通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心进行鉴权，其中，上述安全中心存储有预先配置的账号权限标识集合，上述账号权限标识集合关联的账号允许向上述目标应用系统请求数据；在上述安全中心指示鉴权通过的情况下，通过上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务；在上述安全中心指示鉴权未通过的情况下，通过上述互联网网关向上述前端设备发送目标提示消息，其中，上述目标提示消息用于提示禁止上述登录账号向上述目标应用系统请求数据。

作为一种可选的方案，上述装置还用于：通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心进行鉴权，通过上述互联网网关将上述账号权限标识经过上述应用网关发送至上述安全中心，其中，上述安全中心预先异步从上述应用服务获取了上述账号权限标识集合，对上述第一加密消息的令牌进行验证，在上述令牌的验证结果表示通过的情况下，对上述账号权限标识进行鉴权。

作为一种可选的方案，上述装置还用于：上述通过上述互联网网关使用上述密钥对上述第一加密消息执行解密操作，得到目标请求报文之后，通过上述互联网网关对上述目标请求报文进行文件落地检查，得到文件落地检查结果，其中，上述文件落地检查用于确定上述目标请求报文在传输过程中是否被修改；在上述文件落地检查结果指示上述目标请求报文在传输过程中未被修改的情况下，通过上述互联网网关将上述目标请求报文发送至部署在上述第二分区的应用服务。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

本申请的实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

在一个示例性实施例中，上述计算机可读存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本申请的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

在一个示例性实施例中，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本申请的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

以上仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。