云手机网络访问控制方法、装置、云手机以及存储介质

技术领域

本申请涉及网络控制技术领域，尤其涉及一种云手机网络访问控制方法、装置、云手机以及存储介质。

背景技术

随着网络技术的不断发展，企业中逐渐使用云手机替代传统手机。所谓云手机，就是将云计算技术应用于网络终端服务，通过云服务器实现云服务的手机。云手机无需下载云端应用程序，通过屏幕和网络，就能够使用云端应用程序的相关功能。

目前，为了对云手机的网络访问进行控制，主要采取的方式为：管理员对云服务器的机房网线路由或者防火墙设置管控策略，管控策略可以是云手机能够访问的对象，也可以是云手机不能够访问的对象。当云手机向云服务器发送访问请求时，云服务器接收到访问请求后，根据其中设置的管控策略判断访问请求是否被允许，如果判断出允许，那么就基于访问请求进行访问，并将相应的访问结果发回云手机，如果判断出不允许，那么就拒绝访问请求进行访问。这样，通过云服务器的网络，就实现了云手机的访问控制。

然而，在云服务器中设置的网络管控策略，管控策略针对的是所有与云服务器相关的云手机，即，对所有的云手机的网络访问都一视同仁，无法实现个性化管理。例如：在云服务器中设置“禁止访问财务系统”，当研发人员的云手机访问财务系统时，就会被禁止访问，而企业的财务人员是需要并被允许访问财务系统的，当财务人员的云手机访问财务系统时，也会被禁止访问。这样，就会降低云手机访问控制的灵活性。

发明内容

本申请实施例的目的是提供一种云手机网络访问控制方法、装置、云手机以及存储介质，以提升云手机访问控制的灵活性。

为解决上述技术问题，本申请实施例提供如下技术方案：

本申请第一方面提供一种云手机网络访问控制方法，所述方法应用于目标云手机，所述方法包括：获取云服务器发送的目标云手机的管控策略，所述云服务器中存储有每个云手机及其对应的管控策略；根据所述目标云手机的管控策略控制所述目标云手机进行网络访问。

相较于现有技术，本申请第一方面提供的云手机网络访问控制方法，通过将网络访问的管控策略从云服务器移至与云服务器关联的各云手机中，能够针对不同的云手机配置不同的管控策略，进而控制不同的云手机实现不同的网路访问权限，提高云手机访问控制的灵活性。

在本申请第一方面提供的其它实施例中，所述云服务器中存储有每个云手机的用户身份信息及其对应的管控策略；在获取云服务器发送的目标云手机的管控策略之前，所述方法还包括：向所述云服务器发送所述目标云手机的用户身份信息，以使所述云服务器根据所述目标云手机的用户身份信息确定所述目标云手机的管控策略，并向所述目标云手机发送所述目标云手机的管控策略。

通过向云服务器发送目标云手机的用户身份信息，使得云服务器能够确定目标云手机当前所具有的访问权限，进而将相应的管控策略发送给目标云手机，使得目标云手机的用户在其对应的访问权限内使用目标云手机，在云手机能够正确进行访问控制的情况下，可以将云手机分配给不同访问权限的用户使用，提高了云手机使用的灵活性，

在本申请第一方面提供的其它实施例中，所述根据所述目标云手机的管控策略控制所述目标云手机进行网络访问，包括：拦截所述目标云手机的访问请求；根据所述目标云手机的管控策略判断所述访问请求是否允许访问；若是，则将所述访问请求发送至所述云服务器，以通过所述云服务器进行网络访问；若否，则拒绝将所述访问请求发送至所述云服务器，以使所述云手机无法进行网络访问。

通过拦截目标云手机的访问请求，并基于管控策略进行访问的判断，能够使不允许访问的访问请求在到达云服务器之前就被拦截，提高了云服务器的运行效率。

在本申请第一方面提供的其它实施例中，所述管控策略包括对象白名单和/或对象黑名单，所述对象白名单中包含有允许访问的对象，所述对象黑名单中包含有禁止访问的对象；所述根据所述目标云手机的管控策略判断所述访问请求是否允许访问，包括：从所述访问请求中获取需要访问的对象；判断所述对象是否在所述对象白名单和/或所述对象黑名单内；若所述对象在所述对象白名单内，或者，所述对象不在所述对象黑名单内，或者，所述对象在所述对象白名单内且不在所述对象黑名单内，则确定所述访问请求允许访问；若所述对象不在所述对象白名单内，或者，所述对象在所述对象黑名单内，或者，所述对象不在所述对象白名单内且在所述对象黑名单内，则确定所述访问请求禁止访问；若所述对象不在所述对象白名单内且不在所述对象黑名单内，则将所述访问请求的询问信息发送至所述云服务器，以使所述云服务器确定所述访问请求是否允许访问；若所述对象在所述对象白名单内且在所述对象黑名单内，则向所述云服务器发送名单错误的提示信息。

通过将访问请求中的对象与对象白名单以及对象黑名单进行匹配，能够直接快速的获知访问请求是否能够进行访问，进而确保云手机的网络访问控制能够高效进行。

在本申请第一方面提供的其它实施例中，所述管控策略还包括应用白名单和/或应用黑名单，所述应用白名单中包含有允许发起访问的应用，所述应用黑名单中包含有禁止发起访问的应用；在确定所述访问请求允许访问之前，所述方法还包括：从所述访问请求中获取发起访问的应用；判断所述应用是否在所述应用白名单和/或所述应用黑名单内；所述若所述对象在所述对象白名单内，或者，所述对象不在所述对象黑名单内，或者，所述对象在所述对象白名单内且不在所述对象黑名单内，则确定所述访问请求允许访问，包括：若所述应用在所述应用白名单内且所述对象在所述对象白名单内，或者，所述应用不在所述应用黑名单内且所述对象不在所述对象黑名单内，或者，所述应用在所述应用白名单内且不在所述应用黑名单内以及所述对象在所述对象白名单内且不在所述对象黑名单内，则确定所述访问请求允许访问。

通过在需要访问的对象的基础上，还对发起访问的应用进行访问权限的判断，能够确保访问从发起到进行都在允许的范围内，提高网络访问控制的精细化程度。

在本申请第一方面提供的其它实施例中，所述应用白名单中的每个应用与所述对象白名单中的相应对象存在对应关系，所述对应关系用于指示允许通过应用访问对象；所述若所述应用在所述应用白名单内且所述对象在所述对象白名单内，则确定所述访问请求允许访问，包括：若所述应用在所述应用白名单内，所述对象在所述对象白名单内，并且所述对象与所述应用存在所述对应关系，则确定所述访问请求允许访问。

通过建立应用白名单中每个应用与对象白名单中相应对象的对应关系，能够控制特定的应用访问特定的对象，使得网络访问控制更加精细。

在本申请第一方面提供的其它实施例中，所述应用白名单与所述应用黑名单中均包括应用标识；所述判断所述应用是否在所述应用白名单和/或所述应用黑名单内，包括：获取所述应用的标识；判断所述标识是否与所述应用白名单和/或所述应用黑名单内的应用标识匹配。

通过应用标识，能够更快的从应用名单中查找出相应的应用，进而确定该应用是否允许发出访问请求，提高网络访问控制的实时性。

在本申请第一方面提供的其它实施例中，所述对象白名单包括域名白名单，所述对象黑名单包括域名黑名单，所述访问请求包括域名解析请求，所述对象包括域名；在确定所述访问请求允许访问之后，所述方法还包括：获取所述域名对应的网际互连协议(Internet Protoco，IP)地址；基于所述IP地址生成请求信息，所述请求信息用于发送至所述云服务器；在确定所述访问请求禁止访问之后，所述方法还包括：拒绝获取所述域名对应的网际互连协议IP地址，以使所述目标云手机无法通过所述IP地址进行网络访问。

通过域名判断访问请求是否能够进行访问，在域名白名单和域名黑名单中都能够将允许访问的对象或者不允许访问的对象都列举出来，避免了网站集群部署，无法获知所有IP的问题，提高网络访问控制的精准性。

在本申请第一方面提供的其它实施例中，所述获取云服务器发送的目标云手机的管控策略，包括：通过所述目标云手机中的管控接收程序接收所述管控策略；将所述管控策略发送至所述目标云手机的网络控制进程，以使所述网络控制进程根据所述管控策略对所述目标云手机的网络访问进行控制。

通过在云服务器对应的各个云手机的系统中定制一个管控接收程序，能够接收管理人员通过云服务器发送的属于该云手机的网络访问的管控策略，并转发给云手机中的网络控制进程，以使云手机中的网络控制进程对云手机中的所有网络访问进行控制，确保管控策略接收准确，对云手机进行准确地网络访问控制。

本申请第二方面提供一种云手机网络访问控制装置，所述装置应用于目标云手机，所述装置包括：获取模块，用于获取云服务器发送的目标云手机的管控策略，所述云服务器中存储有每个云手机及其对应的管控策略；访问控制模块，用于根据所述目标云手机的管控策略控制所述目标云手机进行网络访问。

本申请第三方面提供一种云手机，所述云手机包括：处理器、存储器、总线；其中，所述处理器、所述存储器通过所述总线完成相互间的通信；所述处理器用于调用所述存储器中的程序指令，以执行第一方面中的方法。

本申请第四方面提供一种计算机可读存储介质，所述存储介质包括：存储的程序；其中，在所述程序运行时控制所述存储介质所在设备执行第一方面中的方法。

本申请第二方面提供的云手机网络访问控制装置、第三方面提供的云手机、第四方面提供的计算机可读存储介质，与第一方面提供的云手机网络访问控制方法具有相同或相似的有益效果，此处不再赘述。

附图说明

通过参考附图阅读下文的详细描述，本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本申请的若干实施方式，相同或对应的标号表示相同或对应的部分，其中：

图1为本申请实施例中云手机网络访问控制方法的架构示意图；

图2为本申请实施例中云手机网络访问控制方法的流程示意图一；

图3为本申请实施例中云手机网络访问控制方法的流程示意图二；

图4为本申请实施例中云手机网络访问控制装置的结构示意图一；

图5为本申请实施例中云手机网络访问控制装置的结构示意图二；

图6为本申请实施例中云手机的结构示意图。

具体实施方式

下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。

目前，对云手机进行网络访问控制，主要是在与云手机关联的云服务器中配置管控策略，云服务器对云手机的访问请求进行控制。但是，云服务器中管控策略一旦配置完成，管控策略针对的就是所有与其关联的云手机。对于这些云手机的网络访问控制就是统一的，没有针对不同云手机的网络访问进行个性化管理，降低了云手机访问控制的灵活性。

发明人经过研究发现，如果不通过云服务器对云手机进行网络访问控制，而是将进行网络访问控制的管控策略移至云手机，在云手机中实现网络访问的自我控制。这样，不同的云手机中就可以配置不同的管控策略，从而实现不同云手机网络访问的个性化管理，提高云手机访问控制的灵活性。

有鉴于此，本申请实施例提供一种云手机网络访问控制方法、装置、云手机以及存储介质，云服务器中存储有每个云手机及其对应的管控策略，目标云手机从云服务器中获取其管控策略，目标云手机生成访问请求后，根据其中的管控策略判断访问请求是否被允许，并在允许的情况下，将访问请求发送至云服务器，以便云服务器将访问请求发出，实现云手机的网络访问，而在不允许的情况下，不再将访问请求发送至云服务器，实现网络访问的阻断。通过在不同的云手机中配置不同的管控策略，能够控制不同的云手机实现不同的网路访问权限，提高云手机访问控制的灵活性。

首先，对本申请实施例提供的云手机网络访问控制方法的整体架构进行说明。

图1为本申请实施例中云手机网络访问控制方法的架构示意图，参见图1所示，在该架构中，可以包括：多个云手机11以及一个云服务器12。多个云手机11分别与云服务器12通信连接。

在云服务器12中，存储有每个云手机11及其对应的管控策略。云服务器12会将不同的管控策略发送给相应的云手机11。当某一个云手机11需要访问某个对象时，该云手机11中会生成一个访问请求。接着，云手机11根据其中的管控策略判断该访问请求是否被允许访问。如果确定允许访问，云手机11就将该访问请求发送至云服务器12，以便云服务器12将该访问请求发送至相应的位置。云服务器12接收到该访问请求的响应信息后，再将该响应信息发送至发出该访问请求的云手机11。如果确定不允许访问，云手机11就会拒绝将该访问请求发送至云服务器12，并且可以在云手机11中生成提示信息，提示该访问请求不被允许访问。此时，云服务器12也不会接收到该访问请求，从而实现云手机11访问的阻断。

接下来，对本申请实施例提供的云手机网络访问控制方法进行详细说明。

图2为本申请实施例中云手机网络访问控制方法的流程示意图一，参见图2所示，该方法可以包括：

S21：获取云服务器发送的目标云手机的管控策略。

其中，云服务器中存储有每个云手机及其对应的管控策略。

当需要对不同的云手机进行不同的网络访问控制时，云服务器可以根据控制需求向不同的云手机发送其对应的管控策略。云手机接收到的，就是对于其的网络访问的管控策略。例如：对于企业系统，需要限制云手机A只能访问企业邮箱，而云手机B除了可以访问企业邮箱，还可以访问财务系统。可以向云手机A发送管控策略1(允许访问企业邮箱)，向云手机B发送管控策略2(允许访问企业邮箱和财务系统)。云手机A接收到的就是只能够访问企业邮箱的管控策略，而云手机B接收到的就是能够访问企业邮箱和财务系统的管控策略，云手机A与云手机B接收到的管控策略不同。

管控策略，能够控制云手机访问到哪些对象，不能够访问到哪些对象。例如：管控策略可以是允许访问企业邮箱，那么企业邮箱以外的对象都不允许云手机访问。再例如：管控策略可以是不允许访问互联网，也就是说，只允许云手机访问企业内网。对于管控策略的具体内容，此处不做具体限定。

S22：根据目标云手机的管控策略控制目标云手机进行网络访问。

每一个云手机接收到针对其进行网络访问的管控策略后，当某一用户对其云手机进行访问操作后，该云手机生成相应的访问请求，云手机根据其中的管控策略判断该请求是否被允许访问。如果允许访问，云手机就将该访问请求发送至云服务器。云服务器接收到该访问请求后，可以直接根据该访问请求中的内容将该访问请求发送至相应的对象。该对象基于访问请求生成响应信息后，会将该响应信息发送回云服务器。云服务器再将该响应信息发送回云手机。这样，云手机就实现了网络访问。而如果不允许访问，云手机就不会将该访问请求发送给云服务器，并且还可以在云手机中生成一个提示信息，以提示用户不允许在该云手机中进行该访问。在云手机中，就直接将访问请求阻断，避免访问请求发送至云服务器，进而避免云服务器由于处理过多的访问信息而将该访问信息也错误发出，提高网络访问控制的准确性。

由上述内容可知，本申请实施例提供的云手机网络访问控制方法，通过将网络访问的管控策略从云服务器移至与云服务器关联的各云手机中，能够针对不同的云手机配置不同的管控策略，进而控制不同的云手机实现不同的网路访问权限，提高云手机访问控制的灵活性。

进一步地，作为对图2所示方法的细化和扩展，本申请实施例还提供了一种云手机网络访问控制方法。

图3为本申请实施例中云手机网络访问控制方法的流程示意图二，参见图3所示，该方法可以包括：

S31：向云服务器发送目标云手机的用户身份信息，以使云服务器根据目标云手机的用户身份信息确定目标云手机的管控策略，并向目标云手机发送目标云手机的管控策略。

其中，云服务器中存储有每个云手机的用户身份信息及其对应的管控策略。

用户身份信息，可以是指当前使用云手机的人员的标识、姓名、所属部门等，也可以是指云手机授权使用的人员当前所属的部门、安全等级等，对于云手机用户身份信息的具体内容，此处不做限定。

举例来说，假设云服务器中存储有财务部门-允许访问企业邮箱和财务系统，业务部门-允许访问企业邮箱。当业务部门的人员拿到云手机后，该人员可以通过云手机向云服务器发送其用户身份信息，即业务部门，云服务器就会根据业务部门查找到“允许访问企业邮箱”这一管控策略，进而将“允许访问企业邮箱”发送回云手机。这样，该云手机就会控制业务部门的该人员只能够访问企业邮箱，而不能够访问其它内容。

S32：通过目标云手机中的管控接收程序接收管控策略。

对于云手机的操作系统，可以定制。在定制操作系统的过程中，可以配置一个管控接收程序，用来接收管理员通过云服务器发送的管控策略。这样，云手机中安装完操作系统后，当管理员需要对该云手机的网络访问进行控制时，就可以通过云服务器向该云手机发送管控策略。云手机中的管控接收程序就能够接收到该管控策略。

S33：将管控策略发送至目标云手机的网络控制进程，以使网络控制进程根据管控策略对目标云手机的网络访问进行控制。

目标云手机中的管控接收程序接收到属于其的管控策略后，就可以将管控策略发送给目标云手机中的网络控制进程。因为云手机中只要有网络访问的相关信息，相关信息都会被网络控制进程获取并处理，因此，将管控策略发送给网络控制进行，能够确保目标云手机中的所有网络访问相关信息都能够被有效控制。

在目标云手机运行的过程中，网络控制进程也持续运行，当目标云手机生成访问请求时，网络控制进程就可以根据其中的管控策略确定是否允许该访问请求发出。

S34：拦截目标云手机的访问请求。

当目标云手机需要对某一对象进行访问时，目标云手机就会生成针对该对象的访问请求。目标云手机将访问请求发出之前，目标云手机中的管控接收程序会拦截该访问请求，并将访问请求发送给网络控制进程，网络控制进程根据其中的管控策略确定访问请求是否允许访问。

S35：根据目标云手机的管控策略判断访问请求是否允许访问、若是，则执行S36，若否，则执行S37。

S36：将访问请求发送至云服务器，以通过云服务器进行网络访问。

在确定目标云手机中的访问请求允许访问后，目标云手机将访问请求发送至云服务器，云服务器接收到访问请求后，直接根据访问请求中的内容将访问请求发送至相应的对象。相应的对象基于访问请求生成响应信息，将响应信息发送回云服务器。云服务器再将响应信息发送回目标云手机。这样，目标云手机就实现了云服务器针对其网络访问的个性化控制。

S37：拒绝将访问请求发送至云服务器，以使云手机无法进行网络访问。

在确定目标云手机中的访问请求禁止访问后，目标云手机就不会将访问请求发送给云服务器，并且还可以在目标云手机中生成一个提示信息，以提示目标云手机的用户不允许在该云手机中进行该访问。在目标云手机看来，其就是直接将访问请求阻断。在云服务器看来，其没有接收到目标云手机的访问请求，可以认为目标云手机此时并没有发出访问请求。

在基于管控策略判断访问请求是否被允许发出时，可以在管控策略中配置对象白名单、对象黑名单或者对象黑白名单。在对象白名单中，都是允许访问的对象。在对象黑名单中，都是不允许访问的对象。对象黑白名单包括对象白名单和对象黑名单。

具体来说，上述步骤S35可以包括：

步骤A1：：从访问请求中获取需要访问的对象。

在访问请求中，可以包括信息发送方的标识和地址、信息接收方的标识和地址、信息的封装协议，信息内容等。通过信息接受方的标识或地址，就能够获知本次访问请求需要访问的对象。

步骤A2：判断对象是否在对象白名单和/或对象黑名单内。

在这里，可以是仅判断对象是否在对象白名单内，也可以是仅判断对象是否在对象黑名单内，还可以是判断对象是否在对象白名单内以及判断对象是否在对象黑名单内。

若对象在对象白名单内，或者，对象不在对象黑名单内，或者，对象在对象白名单内且不在对象黑名单内，则执行步骤A3。

当云服务器中仅存储有对象白名单时，判断访问请求的对象是否在对象白名单内，若在，说明访问请求的对象是允许访问的，则确定访问请求允许访问。当云服务器中仅存储有对象黑名单时，判断访问请求的对象是否在对象黑名单内，若不在，说明访问请求的对象是允许访问的，则确定访问请求允许访问。当云服务器中存储有对象白名单和对象黑名单时，判断访问请求的对象是否在对象白名单内，以及判断访问请求的对象是否在对象黑名单内，若在白名单内且不在黑名单内，说明访问请求的对象是经过严格判断后允许访问的，则确定访问请求允许访问。

若对象不在对象白名单内，或者，对象在对象黑名单内，或者，对象不在对象白名单内且在对象黑名单内，则执行步骤A4。

当云服务器中仅存储有对象白名单时，判断访问请求的对象是否在对象白名单内，若不在，说明访问请求的对象是不允许访问的，则确定访问请求禁止访问。当云服务器中仅存储有对象黑名单时，判断访问请求的对象是否在对象黑名单内，若在，说明访问请求的对象是不允许访问的，则确定访问请求禁止访问。当云服务器中存储有对象白名单和对象黑名单时，判断访问请求的对象是否在对象白名单内，以及判断访问请求的对象是否在对象黑名单内，若不在白名单内且在黑名单内，说明访问请求的对象是经过严格判断后禁止访问的，则确定访问请求禁止访问。

若对象不在对象白名单内且不在对象黑名单内，则执行步骤A5。

当云服务器中存储有对象白名单和对象黑名单时，判断访问请求的对象是否在对象白名单内，以及判断访问请求的对象是否在对象黑名单内，若不在白名单内且不在黑名单内，说明访问请求的对象没有明确允许访问，也没有明确禁止访问，该对象不明确是否能够进行访问，此时，可以向云服务器发出该访问请求是否能够访问的询问，以使云服务器基于预设的规则进行确定，或者使云服务器的管理人员确定。

若对象在对象白名单内且在对象黑名单内，则执行步骤A6。

当云服务器中存储有对象白名单和对象黑名单时，判断访问请求的对象是否在对象白名单内，以及判断访问请求的对象是否在对象黑名单内，若在白名单内且在黑名单内，说明对象白名单和对象黑名单中存在有相同的对象，该对象既允许访问又禁止访问，这是错误的，此时可以生成一个提示信息，在该提示信息中可以包含有该对象，将该提示信息发送给云服务器，以便云服务器的管理人员能够及时确认其设置的对象白名单或者对象黑名单中哪一个名单中的对象设置错误。

步骤A3：确定访问请求允许访问。

步骤A4：确定访问请求禁止访问。

步骤A5：将访问请求的询问信息发送至云服务器，以使云服务器确定访问请求是否允许访问。

步骤A6：向云服务器发送名单错误的提示信息。

根据访问请求中的对象以及对象的黑白名单判断访问请求是否被允许，在实际应用中，可以包括两种场景。一种场景是限制云手机中相应的应用才能够访问相应的对象。另一种场景是根据访问的域名进行访问限制。

场景一：限制云手机中相应的应用访问相应的对象。

也就是说，既要限制云手机中哪些应用才能够进行访问，又要限制云手机能够访问哪些对象。因此，管控策略中除了包括对象白名单和/或对象黑名单外，还需要包括应用白名单和/或应用黑名单。在应用白名单中，包含有允许发起访问的应用。在应用黑名单中，包含有禁止发起访问的应用。

在执行上述步骤A1-A2的同时，该方法还可以包括：

步骤B1：从访问请求中获取发起访问的应用。

在访问请求中，可以包括信息发送方的标识和地址、信息接收方的标识和地址、信息的封装协议，信息内容等。在信息发送方的标识中，除了携带有云手机的标识，还可以携带有云手机中发起访问请求的应用的图标、名称等，通过请求信息中应用的图标、标识等，就能够获知本次访问请求是云手机中的哪一个应用发起的。

步骤B2：判断应用是否在应用白名单和/或应用黑名单内。

在这里，可以是仅判断应用是否在应用白名单内，也可以是仅判断应用是否在应用黑名单内，还可以是判断应用是否在应用白名单内以及判断应用是否在应用黑名单内。

在上述步骤A2与步骤B2判断完成后，若应用在应用白名单内且对象在对象白名单内，或者，应用不在应用黑名单内且对象不在对象黑名单内，或者，应用在应用白名单内且不在应用黑名单内以及对象在对象白名单内且不在对象黑名单内，则执行上述步骤A3。

当云服务器中存储的是对象白名单和应用白名单时，若访问请求发起的应用存在于应用白名单中，说明该应用允许进行访问，再加上访问请求访问的对象存在于对象白名单中，说明该对象是允许被访问的，这样，访问的发起方和目标方都是被允许的，访问的整个过程都被允许，确定访问请求允许访问。

当云服务器中存储的是对象黑名单和应用黑名单时，若访问请求发起的应用不存在于应用黑名单中，说明该应用允许进行访问，再加上访问请求访问的对象不存在于对象黑名单中，说明该对象是允许被访问的，这样，访问的发起方和目标方都是被允许的，访问的整个过程都被允许，确定访问请求允许访问。

当云服务器中存储的是对象白名单、对象黑名单、应用白名单和应用黑名单时，若访问请求发起的应用存在于应用白名单且不存在于应用黑名单中，说明该应用经过严格确认后允许进行访问，再加上访问请求访问的对象存在于对象白名单且不存在于对象黑名单中，说明该对象经过严格确认后是允许被访问的，这样，访问的发起方和目标方都是明确被允许的，访问的整个过程都被明确允许，确定访问请求允许访问。

以上是对于访问请求允许访问的情况，如果不在上述情况内，那么就确定访问请求禁止访问、访问请求不确定是否允许访问或者应用或对象的黑白名单出现冲突。

在将访问请求中的应用与应用白名单或应用黑名单进行匹配时，可以通过应用标识进行匹配。相比于使用应用图标、应用名称进行匹配，使用应用标识进行匹配更加简单高效。相应的，在应用白名单或应用黑名单中，包括有应用标识。

这里的应用标识，可以是指应用的身份标识号(Identity document，ID)、用户身份证明(User Identification，UID)、通用唯一识别码(Universally Unique Identifier，UUID)等。当目标云手机中安装操作系统后，目标云手机中的每个应用就会被分配一个标识。

上述步骤B2可以包括：

步骤B21：获取应用的标识。

在访问请求中，一般会携带有发出访问的应用的标识，因此可以直接从访问请求中获取得到。

步骤B22：判断标识是否与应用白名单和/或应用黑名单内的应用标识匹配。

将访问请求中应用的标识与应用白名单或应用黑名单中的应用标识进行匹配的具体过程与上述步骤B2中应用的匹配类似，此处不再赘述。

这里需要说明的是，应用白名单或应用黑名单中应用的标识，可以是统一配置的，也就是什么应用配置什么标识，是预先设定好的。在目标云手机中安装操作系统中，为目标云手机中各应用配置标识，也需要按照预先设定的规则进行标识，这样才能够通过应用的黑白名单中的标识准确实现目标云手机中各个应用的访问控制。

在一些情况下，有时只允许特定的应用访问特定的对象，此时，就需要将应用白名单中的每个应用与对象白名单中的相应对象之间建立起对应关系，有对应关系的应用与对象之间，就表示允许云手机通过该应用访问相应的对象。

在上述步骤B2之后，该方法还可以包括：

步骤B3：判断存在于应用白名单中的应用与存在于对象白名单中的对象是否存在对应关系。若是，则执行上述步骤A3，若否，则执行上述步骤A4。

若应用在应用白名单内，对象在对象白名单内，并且对象与应用存在对应关系，说明访问请求中发起访问的应用被允许发出访问，访问请求中的对象被允许访问，与此同时，该应用与该对象之间建立有对应关系，即允许该应用访问该对象，此时，才能够确定访问请求允许访问。

举例来说，假设在某云手机中配置有应用白名单“10000”和对象白名单“192.168.1.100”，并且“10000”与“192.168.1.100”建立有对应关系。当云手机中UID为10000的应用发起访问请求，需要访问IP地址为192.168.1.100的对象时，云手机将同意UID为10000的应用访问IP地址为192.168.1.100的对象。而当云手机中UID为20000的应用发起访问请求，需要访问IP地址为192.168.1.100的对象时，云手机将拒绝UID为20000的应用访问IP地址为192.168.1.100的对象。当云手机中UID为10000的应用发起访问请求，需要访问IP地址为192.168.1.200的对象时，云手机将拒绝UID为10000的应用访问IP地址为192.168.1.200的对象。

场景二：通过域名进行云手机的访问限制。

目前的大部分网站都是集群部署，网站涉及的业务较多，每个业务可能对应不同的IP，针对某一个网站，很难在黑名单或白名单中将该网站所有涉及的IP列举完全。而网站的域名一般都比较容易获知，并且域名能够涵盖网站的所有业务，因此，可以在对象白名单或对象黑名单中配置域名，通过访问请求中的域名判断访问请求是否被允许，不会遗漏网站中的任何一个IP。

相应的，上述步骤A1可以包括：从目标云手机的域名解析请求中获取域名。

用户在目标云手机上进行访问操作后，目标云手机先会基于访问操作确定访问的域名，进而基于域名生成域名解析请求。目标云手机中的管控接收程序会获取域名解析请求，进而从域名解析请求中获取域名。

相应的，上述步骤A2可以包括：判断域名是否在域名白名单和/或域名黑名单内。

在这里，可以判断域名解析请求中的域名是否仅在域名白名单内，也可以判断域名解析请求中的域名是否在域名黑名单内，还可以判断域名解析请求的域名是否在域名白名单内以及域名黑名单内。

对于仅存在域名白名单的情况，若域名解析请求中的域名在域名白名单内，说明域名是被允许访问的，则执行上述步骤A3，若域名解析请求中的域名不在域名白名单内，说明域名是被禁止访问的，则执行上述步骤A4。

对于仅存在域名黑名单的情况，若域名解析请求中的域名在域名黑名单内，说明域名是被禁止访问的，则执行上述步骤A4，若域名解析请求中的域名不在域名黑名单内，说明域名是被允许访问的，则执行上述步骤A3。

对于域名白名单和域名黑名单都存在的情况，若域名解析请求中的域名在域名白名单内且不在域名黑名单内，说明域名是明确被允许访问的，则执行上述步骤A3，若域名解析请求中的域名不在域名白名单内或在域名黑名单内，说明域名是被禁止访问的，则执行上述步骤A4。

在上述步骤A3之后，该方法可以包括：

步骤C1：获取域名对应的IP地址；基于IP地址生成请求信息，请求信息用于发送至云服务器。

在确定域名解析请求中域名被允许访问时，可以对域名进行解析，获得需要访问的IP地址。在解析域名获得IP地址的过程中，可以直接对域名解析请求进行解析，获得IP地址，也可以结合用户在云手机中的操作记录分析出域名对应的需要访问的IP地址。对于解析IP地址的具体方式，此处不做限定。

在获得待访问的IP地址后，就可以将IP地址、请求方、请求内容等一起进行封装，进而生成请求信息。

请求信息中包含有IP地址、请求方、请求内容等数据，将请求信息发送给云云服务器，云服务器就能够将请求信息发送至对应的地址，从而实现云手机的访问请求。响应信息反馈后，也是先发送到云服务器，云服务器再将响应信息发送至目标云手机，从而实现目标云手机的一个完整访问过程。

在上述步骤A4之后，该方法可以包括：

步骤C2：拒绝获取域名对应的IP地址，以使目标云手机无法通过所述IP地址进行网络访问。

在确定域名解析请求中域名不被允许访问时，此时就可以结束了，不再获取域名的IP地址。如此，在通过域名确保访问得到全面控制的基础上，还能够避免额外生成请求信息，提高云手机的运行效率。

至此，本申请实施例提供的云手机网络访问控制方法就已全部说明完成。

基于同一发明构思，作为对上述方法的实现，本申请实施例还提供了一种云手机网络访问控制装置。云手机网络访问控制装置应用于云手机。

图4为本申请实施例中云手机网络访问控制装置的结构示意图一，参见图4所示，该装置可以包括：获取模块41和访问控制模块42。其中，获取模块41与访问控制模块42连接。

获取模块41，用于获取云服务器发送的目标云手机的管控策略，所述云服务器中存储有每个云手机及其对应的管控策略；

访问控制模块42，用于根据所述目标云手机的管控策略控制所述目标云手机进行网络访问。

进一步地，作为对图4所示装置的细化和扩展，本申请实施例还提供了一种云手机网络访问控制装置。

图5为本申请实施例中云手机网络访问控制装置的结构示意图二，参见图5所示，该装置可以包括：发送模块51、获取模块52和访问控制模块53。其中，发送模块51、获取模块52和访问控制模块53依次连接。

云服务器中存储有每个云手机的用户身份信息及其对应的管控策略。

发送模块51，用于向所述云服务器发送所述目标云手机的用户身份信息，以使所述云服务器根据所述目标云手机的用户身份信息确定所述目标云手机的管控策略，并向所述目标云手机发送所述目标云手机的管控策略。

获取模块52包括：接收单元521和传输单元522。其中，接收单元521与传输单元522连接。

接收单元521，用于通过所述目标云手机中的管控接收程序接收所述管控策略。

传输单元522，用于将所述管控策略发送至所述目标云手机的网络控制进程，以使所述网络控制进程根据所述管控策略对所述目标云手机的网络访问进行控制。

访问控制模块53包括：拦截单元531、判断单元531、提示单元533、解析单元534、禁止单元535、访问单元536和阻断单元537。其中，拦截单元531与判断单元532连接，判断单元532分别与提示单元533、解析单元534和禁止单元535连接，解析单元534与访问单元536连接，禁止单元535与阻断单元537连接。

拦截单元531，用于拦截所述目标云手机的访问请求。

判断单元532，用于根据所述目标云手机的管控策略判断所述访问请求是否允许访问。若是，则进入访问单元536，若否，则进入阻断单元537。

所述管控策略包括对象白名单和/或对象黑名单，所述对象白名单中包含有允许访问的对象，所述对象黑名单中包含有禁止访问的对象。

判断单元532，具体用于从所述访问请求中获取需要访问的对象；判断所述对象是否在所述对象白名单和/或所述对象黑名单内；若所述对象在所述对象白名单内，或者，所述对象不在所述对象黑名单内，或者，所述对象在所述对象白名单内且不在所述对象黑名单内，则确定所述访问请求允许访问；若所述对象不在所述对象白名单内，或者，所述对象在所述对象黑名单内，或者，所述对象不在所述对象白名单内且在所述对象黑名单内，则确定所述访问请求禁止访问；若所述对象不在所述对象白名单内且不在所述对象黑名单内，则将所述访问请求的询问信息发送至所述云服务器，以使所述云服务器确定所述访问请求是否允许访问。

提示单元533，用于若所述对象在所述对象白名单内且在所述对象黑名单内，则向所述云服务器发送名单错误的提示信息。

所述管控策略还包括应用白名单和/或应用黑名单，所述应用白名单中包含有允许发起访问的应用，所述应用黑名单中包含有禁止发起访问的应用。

判断单元532，还用于从所述访问请求中获取发起访问的应用；判断所述应用是否在所述应用白名单和/或所述应用黑名单内；若所述应用在所述应用白名单内且所述对象在所述对象白名单内，或者，所述应用不在所述应用黑名单内且所述对象不在所述对象黑名单内，或者，所述应用在所述应用白名单内且不在所述应用黑名单内以及所述对象在所述对象白名单内且不在所述对象黑名单内，则确定所述访问请求允许访问。

所述应用白名单中的每个应用与所述对象白名单中的相应对象存在对应关系，所述对应关系用于指示允许通过应用访问对象。

判断单元532，还具体用于若所述应用在所述应用白名单内，所述对象在所述对象白名单内，并且所述对象与所述应用存在所述对应关系，则确定所述访问请求允许访问。

所述应用白名单与所述应用黑名单中均包括应用标识。

判断单元532，还具体用于获取所述应用的标识；判断所述标识是否与所述应用白名单和/或所述应用黑名单内的应用标识匹配。

所述对象白名单包括域名白名单，所述对象黑名单包括域名黑名单，所述访问请求包括域名解析请求，所述对象包括域名。

解析单元534，用于获取所述域名对应的网际互连协议IP地址；基于所述IP地址生成请求信息，所述请求信息用于发送至所述云服务器。

禁止单元535，拒绝获取所述域名对应的网际互连协议IP地址，以使所述目标云手机无法通过所述IP地址进行网络访问。

访问单元536，用于将所述访问请求发送至所述云服务器，以通过所述云服务器进行网络访问。

阻断单元537，用于拒绝将所述访问请求发送至所述云服务器，以使所述云手机无法进行网络访问。

这里需要指出的是，以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

基于同一发明构思，本申请实施例还提供了一种云手机。图6为本申请实施例中云手机的结构示意图，参见图6所示，该云手机可以包括：处理器61、存储器62、总线63；其中，处理器61、存储器62通过总线63完成相互间的通信；处理器61用于调用存储器62中的程序指令，以执行上述一个或多个实施例中的方法。

这里需要指出的是，以上电子设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请电子设备实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

基于同一发明构思，本申请实施例还提供了一种计算机可读存储介质，该存储介质可以包括：存储的程序；其中，在程序运行时控制存储介质所在设备执行上述一个或多个实施例中的方法。

这里需要指出的是，以上存储介质实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。