访问数据的方法、装置及系统与流程

本发明涉及互联网技术领域，尤其涉及一种访问数据的方法、装置及系统。

背景技术：

随着信息化建设的需求，几乎所有的信息都存储在计算机中，所有的信息中包括一些敏感的信息，比如身份信息、财产信息等。为了保证敏感信息的安全性，组织机构通常将数据中心建设在防火墙后，以及通过设置与公网之间的物理隔离，这样可以有效地避免敏感信息通过网络渠道泄露，其中组织机构所在的网络记为内网。但是内网的数据中心中的又有被公网访问的需求，因此内网中与公网之间仍然需要进行数据的交换。现有的隔离网络中，公网访问内网的数据的方法为：通过同步工具实现内网数据中心与公网数据中心的数据同步，进而使公网中的应用通过公网数据中心访问到内网数据中心的数据。然而现有的隔离网络中，通过同步工具实现内网数据中心的数据的方法中，公网数据中心中同步了内网数据中心的数据，因此相当于将内网数据中心中的数据直接暴露于公网中，进而使对内网数据中心的隔离保护失效，无法保证内网数据中心中数据的安全性。

技术实现要素：

鉴于上述问题，本发明提供一种访问数据的方法、装置及系统，用以解决现有隔离网络中，公网访问内网的数据的方法无法保证内网数据中心中数据的安全性的问题。

为解决上述技术问题，第一方面，本发明提供了一种访问数据的方法，所述方法应用于公网应用客户端，所述方法包括：

将访问请求通过双向通信连接发送给内网服务器，所述访问请求为公网应用客户端访问内网数据中心服务器的请求，所述双向通信连接为内网服务器主动与公网应用客户端建立的连接，所述内网服务器为能够访问公网并且不能被公网主动访问的服务器；

接收所述内网服务器返回的响应结果，所述响应结果为内网数据中心服务器对所述访问请求的响应结果。

可选的，在所述将访问请求通过双向通信连接发送给内网服务器之前，所述方法进一步包括：

通过认证中心服务器获取访问内网资源账号或访问令牌token，所述访问内网资源账号和token为所述认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

携带访问内网资源账号或token在认证中心服务器中进行注册，以使内网服务器根据注册的信息与所述公网应用客户端建立所述双向通信连接。

可选的，所述将访问请求通过双向通信连接发送给内网服务器，包括：

将包含访问内网资源账号或token的请求通过双向通信连接发送给内网服务器，以使所述内网服务器在接收到访问请求后根据所述访问内网资源账号或token对访问请求进行合法性认证。

可选的，所述将所述访问请求通过双向通信连接发送给内网服务器，包括：

将所述访问请求中包含的信息加密后发送给内网服务器。

第二方面，本发明提供了另一种访问数据的方法，所述方法应用于内网服务器，所述内网服务器为能够访问公网并且不能被公网主动访问的服务器，所述方法包括：

通过双向通信连接接收公网应用客户端发送的访问请求，所述双向通信连接为所述内网服务器主动与所述公网应用客户端建立的连接，所述访问请求为公网应用客户端访问内网数据中心服务器的请求；

通过认证中心服务器对所述访问请求进行合法性认证；

将通过合法性认证的访问请求转发给请求处理服务器，以使所述请求处理服务器根据所述访问请求从内网数据中心服务器中获得响应结果，所述响应结果为内网数据中心服务器对访问请求的响应结果；

接收所述请求处理服务器返回的响应结果；并且，

将所述响应结果通过所述双向通信连接返回给对应的公网应用客户端。

可选的，在所述通过双向通信连接接收公网应用客户端发送的访问请求之前，所述方法进一步包括：

从所述认证中心服务器中获取公网应用客户端对应的注册的信息，所述注册的信息中包含所述公网应用客户端对应的访问内网资源账号或者访问令牌token，所述访问内网资源账号和所述token为所述认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

根据所述注册的信息与对应的公网应用客户端建立所述双向通信连接。

可选的，所述通过认证中心服务器对所述访问请求进行合法性认证，包括：

从所述访问请求中提取访问内网资源账号或token；

将所述访问内网资源账号或token发送给所述认证中心服务器进行合法性认证。

可选的，所述方法进一步包括：

将通过合法性认证的访问请求加密后转发给所述请求处理服务器；

将所述响应结果加密后通过所述双向通信连接返回给对应的公网应用客户端。

第三方面，本发明提供了一种访问数据的装置，所述装置位于公网应用客户端侧，所述装置包括：

发送单元，用于将访问请求通过双向通信连接发送给内网服务器，所述访问请求为公网应用客户端访问内网数据中心服务器的请求，所述双向通信连接为内网服务器主动与公网应用客户端建立的连接，所述内网服务器为能够访问公网并且不能被公网主动访问的服务器；

接收单元，用于接收所述内网服务器返回的响应结果，所述响应结果为内网数据中心服务器对所述访问请求的响应结果。

可选的，所述装置进一步包括：

获取单元，用于在所述将访问请求通过双向通信连接发送给内网服务器之前，通过认证中心服务器获取访问内网资源账号或访问令牌token，所述访问内网资源账号和token为所述认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

注册单元，用于携带访问内网资源账号或token在认证中心服务器中进行注册，以使内网服务器根据注册的信息与所述公网应用客户端建立所述双向通信连接。

可选的，所述发送单元用于：

将包含访问内网资源账号或token的请求通过双向通信连接发送给内网服务器，以使所述内网服务器在接收到访问请求后根据所述访问内网资源账号或token对访问请求进行合法性认证。

可选的，所述发送单元用于：

将所述访问请求中包含的信息加密后发送给内网服务器。

第四方面，本发明提供了一种访问数据的装置，所述装置位于内网服务器侧，所述内网服务器为能够访问公网并且不能被公网主动访问的服务器，所述装置包括：

请求接收单元，用于通过双向通信连接接收公网应用客户端发送的访问请求，所述双向通信连接为所述内网服务器主动与所述公网应用客户端建立的连接，所述访问请求为公网应用客户端访问内网数据中心服务器的请求；

认证单元，用于通过认证中心服务器对所述访问请求进行合法性认证；

转发单元，用于将通过合法性认证的访问请求转发给请求处理服务器，以使所述请求处理服务器根据所述访问请求从内网数据中心服务器中获得响应结果，所述响应结果为内网数据中心服务器对访问请求的响应结果；

结果接收单元，用于接收所述请求处理服务器返回的响应结果；

返回单元，用于将所述响应结果通过所述双向通信连接返回给对应的公网应用客户端。

可选的，所述装置进一步包括：

获取单元，用于在所述通过双向通信连接接收公网应用客户端发送的访问请求之前，从所述认证中心服务器中获取公网应用客户端对应的注册的信息，所述注册的信息中包含所述公网应用客户端对应的访问内网资源账号或者访问令牌token，所述访问内网资源账号和所述token为所述认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

建立单元，用于根据所述注册的信息与对应的公网应用客户端建立所述双向通信连接。

可选的，所述认证单元，包括：

提取模块，用于从所述访问请求中提取访问内网资源账号或token；

认证模块，用于将所述访问内网资源账号或token发送给所述认证中心服务器进行合法性认证。

可选的，所述装置进一步包括：

第一加密单元，用于将通过合法性认证的访问请求加密后转发给所述请求处理服务器；

第二加密单元，用于将所述响应结果加密后通过所述双向通信连接返回给对应的公网应用客户端。

第五方面，本发明提供了一种访问数据的系统，所述系统包括公网应用客户端、内网服务器、认证中心服务器、请求处理服务器、内网数据中心服务器；

所述公网应用客户端，用于接收访问请求，所述访问请求为所述公网应用客户端访问所述内网数据中心服务器的请求；将所述访问请求通过双向通信连接发送给所述内网服务器，所述双向通信连接为内网服务器主动与公网应用客户端建立的连接，所述内网服务器为能够访问公网并且不能被公网主动访问的服务器；接收所述内网服务器返回的响应结果，所述响应结果为所述内网数据中心服务器对所述访问请求的响应结果；

所述内网服务器，用于通过双向通信连接接收公网应用客户端发送的访问请求；通过所述认证中心服务器对所述访问请求进行合法性认证；将通过合法性认证的访问请求转发给请求处理服务器；接收所述请求处理服务器返回的响应结果；并且，将所述响应结果通过所述双向通信连接返回给对应的公网应用客户端；

所述认证中心服务器，用于接收所述公网应用客户端的注册，为所述公网应用客户端下发访问内网资源账号和访问令牌token，所述访问内网资源账号和token为用于访问内网数据中心服务器的访问凭证；根据访问内网资源账号和token对所述内网服务器接收到的访问请求进行合法性认证；

所述请求处理服务器，用于接收内网服务器转发的访问请求；根据所述访问请求从内网数据中心服务器中获得响应结果；

所述内网数据中心服务器，用于对所述访问请求进行响应，并将所述响应结果返回给所述请求处理服务器。

借由上述技术方案，本发明提供的访问数据的方法、装置及系统，能够由公网应用客户端将访问请求通过双向通信连接发送给内网服务器，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；内网服务器接收到访问请求后，将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种访问数据的方法的流程图；

图2示出了本发明实施例提供的另一种访问数据的方法的流程图；

图3示出了本发明实施例提供的又一种访问数据的方法的流程图；

图4示出了本发明实施例提供的一种访问数据的装置的组成框图；

图5示出了本发明实施例提供的另一种访问数据的装置的组成框图；

图6示出了本发明实施例提供的又一种访问数据的装置的组成框图；

图7示出了本发明实施例提供的再一种访问数据的装置的组成框图；

图8示出了本发明实施例提供的一种访问数据的系统框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为解决现有隔离网络中，公网访问内网的数据的方法无法保证内网数据中心中数据的安全性的问题，本发明实施例提供了一种访问数据的方法，如图1所示，该方法应用于公网应用客户端，包括：

101、将访问请求通过双向通信连接发送给内网服务器。

访问请求为公网应用客户端对访问内网数据中心服务器中数据的请求，即公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求，将访问请求发送给内网服务器实际是由公网应用客户端中包含的请求代理程序发送的。其中，请求代理程序嵌在公网应用客户端中，该请求代理程序对外提供webservice接口，能够接收公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求。

访问请求中包含请求类型、请求目标、请求参数、请求唯一编码。访问请求的类型具体的包括增加数据、删除数据、修改数据以及查询数据。其中，增加数据是向内网数据中心服务器中增加相应的数据信息；删除数据是将内网数据中心服务器中相应的数据删除；修改数据是将内网数据中心服务器中的数据修改为指定内容；查询数据是按照访问请求中声明的规则查询内网数据中心服务器中的数据内容。请求参数是与请求类型相对应的，如果请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。

其中，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器。本实施例中内网服务器为用于连接内网与公网的服务器，但是为了保证内网数据的安全，需要将内网服务器上所有公网可以访问的端口进行屏蔽。具体的屏蔽方式可以通过防火墙进行设置：防火墙设置为允许从内网服务器到公网中的连接，阻拦由公网主动进入内网服务器的连接。

由于公网应用客户端无法主动对内网服务器进行访问，但是还需要通过内网服务器访问内网数据中心服务器中的数据，因此需要内网服务器主动与公网应用客户端建立双向通信连接，然后通过双向通信连接实现相互的通信。

将访问请求通过双向通信连接发送给内网服务器的目的为：使内网服务器将访问请求转发给请求处理服务器，请求处理服务器根据接收到的访问请求从内网数据中心服务器中获得响应结果，并将接收到的响应结果返回给内网服务器，内网服务器最终将响应结果返回给对应的公网应用客户端。

需要说明的是，在内网服务器中可能会包含属于不同公网应用客户端的多个访问请求对应的多个响应结果，因此在内网服务器接收到响应结果后需要根据响应结果中的请求唯一编码将响应结果发送给对应的公网应用客户端。其中，请求唯一编码是由请求处理服务器将响应结果返回给内网服务器之前根据对应的访问请求添加的，添加的请求唯一编码与公网应用客户端之间的映射关系在内网服务器中有记录。

102、接收内网服务器返回的响应结果。

接收响应结果的是公网应用客户端中包含的请求代理程序，当请求代理程序接收到响应结果后需要将响应结果返回给公网应用客户端中的公网应用程序，以使公网应用程序对响应结果进行下一步的处理，比如展示给用户等。

本发明实施例提供的访问数据的方法，能够由公网应用客户端将访问请求通过双向通信连接发送给内网服务器，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；内网服务器接收到访问请求后，将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

进一步的，对图1所示方法的细化及扩展，本实施例还提供了一种访问数据的方法，如图2所示：

201、通过认证中心服务器获取访问内网资源账号或访问令牌token。

在公网应用客户端发起访问请求之前，需要获取访问内网资源账号，访问内网资源账号是访问内网数据中心服务器中数据的凭证。具体的公网应用客户端获取访问内网资源账号的过程为：先由公网组织在认证中心服务器中进行注册，内网组织注册的信息包括公网组织机构的名称、负责人联系方式以及需要请求的内网资源等信息；然后由内网的管理员登录认证中心服务器后获取内网组织注册的信息，并根据内网组织注册的信息对对应的公网组织进行审核，具体审核的方式通常为线下审核，比如通过电话或者现场考察等方式进行审核；在通过审核后，认证中心服务器会为公网组织下发访问内网资源账号；然后将访问内网资源账号与公网应用客户端进行绑定。需要说明的是，对于一个公网组织获得的访问内网资源账号可以与多个公网应用客户端绑定。还需要说明的是，本实施例中内网的管理员是实际的人员，公网组织是使用公网应用客户端的具体的组织机构。

另外，为了保证公网组织获得的访问内网资源账号本身的安全性，本实施例使用OAuth2.0协议，使公网应用客户端不获取访问内网资源账号而是通过认证中心服务器获得对应访问内网资源账号的访问令牌token，将token作为访问内网数据中心服务器中数据的访问凭证。因此认证中心服务器下发的是token，并且与公网应用客户端进行绑定的也是token。

202、携带访问内网资源账号或token在认证中心服务器中进行注册。

获取到访问内网资源账号或token后，公网应用客户端携带访问内网资源账号或token到认证中心服务器中进行注册，对应注册的信息为客户端注册信息，其中客户端注册信息包括公网应用客户端对应的公网网间协议(Internet Protocol，IP)地址、访问的端口号以及访问内网资源账号或token。其中公网IP地址为公网应用客户端所在的公网对应的公网IP地址。

携带访问内网资源账号或token在认证中心服务器中进行注册的目的为：使内网服务器从认证中心服务器中获取客户端注册信息，并向客户端注册信息中包含的公网IP地址以及访问端口号对应的公网应用客户端发送建立双向通信连接的请求，使公网应用客户端可以接受建立双向通信连接的请求，并在双方互相校核后，最终内网服务器与公网应用客户端建立双向通信连接。实际应用中，内网服务器与公网客户端在建立双向通信连接时双方的校核可以通过双方约定串码的方式，比如内网服务器发送串码1234时，公网应用客户端需要对应的响应5678，通过这种方式来达到双方的信任，最终建立双向通信连接。

203、将包含访问内网资源账号或token的请求通过双向通信连接发送给内网服务器。

将包含访问内网资源账号或token的请求通过双向通信连接发送给内网服务器的目的为：使内网服务器在接收到访问请求后根据访问内网资源账号或token对访问请求进行合法性认证。只有通过合法性认证的访问请求才能够被内网服务器继续处理，否则中止对访问请求的处理，并返回错误消息。

需要说明的是，内网服务器根据访问内网资源账号或token对访问请求进行合法性认证的具体过程为：先将访问内网资源账号或者token发送到认证中心服务器中，认证中心服务器将接收到的访问内网资源账号或者token与之前存储的访问内网资源账号或者token进行对比，若认证中心服务器中存在接收到的访问内网资源账号或者token，则向内网服务器返回通过认证的消息，内网服务器根据返回的通过认证消息确定访问请求通过合法性认证。若认证中心服务器中不存在接收到的访问内网资源账号或者token，则向内网服务器返回未通过认证的消息，内网服务器根据返回的未通过认证消息确定访问请求未通过合法性认证。

另外，为了保证访问请求在传输过程中的安全性，需要将访问请求中包含的信息加密后发送给内网服务器。需要说明的是，加密使用的加密算法是应用客户端与内网服务器提前约定好的加密算法。

204、接收内网服务器返回的响应结果。

本步骤的实现方式与图1步骤102的实现方式相同，此处不再赘述。

进一步的，本发明实施例还提供了一种访问数据的方法，如图3所示，该方法应用于内网服务器，包括：

301、通过双向通信连接接收公网应用客户端发送的访问请求。

其中双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器。本实施例中内网服务器为用于连接内网与公网的服务器，但是为了保证内网数据的安全，需要将内网服务器上所有外部可以访问的端口进行屏蔽。具体的屏蔽方式可以通过防火墙进行设置：防火墙设置允许从内网服务器到公网中的连接，阻拦由公网主动进入内网服务器的连接。

由于公网应用客户端无法主动对内网服务器进行访问，但是还需要通过内网服务器访问内网数据中心服务器中的数据，因此需要内网服务器主动与公网应用客户端建立双向通信连接，然后通过双向通信连接实现相互的通信。

访问请求为公网应用客户端对访问内网数据中心服务器中数据的请求，即公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求，将访问请求发送给内网服务器实际是由公网应用客户端中包含的请求代理程序发送的。其中，请求代理程序嵌在公网应用客户端中，该请求代理程序对外提供webservice接口，能够接收公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求。

访问请求中包含请求类型、请求目标、请求参数、请求唯一编码。访问请求的类型具体的包括增加数据、删除数据、修改数据以及查询数据。其中，增加数据是向内网数据中心服务器中增加相应的数据信息；删除数据是将内网数据中心服务器中相应的数据删除；修改数据是将内网数据中心服务器中的数据修改为指定内容；查询数据是按照访问请求中声明的规则查询内网数据中心服务器中的数据内容。请求参数是与请求类型相对应的，如果请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。

302、通过认证中心服务器对访问请求进行合法性认证。

在将访问请求转发给请求处理服务器之前，需要将访问请求包含的可以访问内网数据中心服务器的访问凭证发送给认证中心服务器，然后由认证服务器中心对访问凭证进行合法性的认证，若访问凭证通过合法性认证表示访问请求通过合法性认证，通过合法性认证的访问请求才可以进入下一步的处理，否则中止该访问请求的处理，返回错误消息。

需要说明的是访问凭证是由认证中心服务器下发的，因此认证服务器中存储有合法的访问凭证，当公网应用客户端携带访问凭证发送访问请求后，认证服务器可以根据存储的合法的访问凭证对访问请求中包含的访问凭据进行合法性认证。

303、将通过合法性认证的访问请求转发给请求处理服务器。

将通过合法性认证的访问请求转发给请求处理服务器之后，请求处理服务器根据接收到的访问请求从内网数据中心服务器中获得响应结果。

具体的请求处理服务器根据接收到的访问请求从内网数据中心服务器中获得响应结果的过程为：首先，请求处理器对访问请求中的请求类型、请求目标进行解析。请求类型包括增加数据、删除数据、修改数据以及查询数据。解析请求类型为根据请求类型确定请求参数的含义，具体的，若请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。解析请求目标为确定请求的数据在哪个内网数据中心服务器中的哪个表中；第二，根据解析结果生成查询请求；第三，将查询请求发送至内网数据中心服务器；第五，接收内网服务器返回的对应查询请求的响应结果，对应查询请求的响应结果即为对应访问请求的响应结果。

另外为了保证响应结果在传输过程中的安全性，通过请求处理器会对响应结果进行加密，加密之后返回给内网服务器。其中加密使用的加密算法是内网服务器与请求处理服务器之前约定好的。

304、接收请求处理服务器返回的响应结果。

接收请求处理服务器返回的加密的响应结果。

305、将响应结果通过双向通信连接返回给对应的公网应用客户端。

将加密的响应结果按照约定的加密算法解密后返回给对应的公网应用客户端。

在内网服务器中可能会包含属于不同公网应用客户端的多个访问请求对应的多个响应结果，因此在内网服务器接收到响应结果后需要根据响应结果中的请求唯一编码将响应结果发送给对应的公网应用客户端。其中，请求唯一编码是由请求处理服务器将响应结果返回给内网服务器之前根据对应的访问请求添加的，添加的请求唯一编码与公网应用客户端之间的映射关系在公网服务器中有记录。

本发明实施例提供的访问数据的方法，能够由内网服务器通过双向通信连接接收访问请求，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；然后内网服务器将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

进一步的，对于步骤302中的访问凭据，本实例中对应的访问凭据为访问内网资源账号或者访问令牌token。访问内网资源账号或者访问令牌token是公网应用客户端通过认证中心服务器获取的。具体的获取过程可以参看图2步骤201，此处不再赘述。

进一步的，作为对上述各实施例的实现，本发明实施例的另一实施例还提供了一种访问数据的装置，该装置位于公网应用客户端侧，用于实现上述图1以及图2所述的方法。如图4所示，该装置包括：发送单元41以及接收单元42。

发送单元41，用于将访问请求通过双向通信连接发送给内网服务器，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；

访问请求为公网应用客户端对访问内网数据中心服务器中数据的请求，即公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求，将访问请求发送给内网服务器实际是由公网应用客户端中包含的请求代理程序发送的。其中，请求代理程序嵌在公网应用客户端中，该请求代理程序对外提供webservice接口，能够接收公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求。

访问请求中包含请求类型、请求目标、请求参数、请求唯一编码。访问请求的类型具体的包括增加数据、删除数据、修改数据以及查询数据。其中，增加数据是向内网数据中心服务器中增加相应的数据信息；删除数据是将内网数据中心服务器中相应的数据删除；修改数据是将内网数据中心服务器中的数据修改为指定内容；查询数据是按照访问请求中声明的规则查询内网数据中心服务器中的数据内容。请求参数是与请求类型相对应的，如果请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。

其中，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器。本实施例中内网服务器为用于连接内网与公网的服务器，但是为了保证内网数据的安全，需要将内网服务器上所有公网可以访问的端口进行屏蔽。具体的屏蔽方式可以通过防火墙进行设置：防火墙设置为允许从内网服务器到公网中的连接，阻拦由公网主动进入内网服务器的连接。

由于公网应用客户端无法主动对内网服务器进行访问，但是还需要通过内网服务器访问内网数据中心服务器中的数据，因此需要内网服务器主动与公网应用客户端建立双向通信连接，然后通过双向通信连接实现相互的通信。

将访问请求通过双向通信连接发送给内网服务器的目的为：使内网服务器将访问请求转发给请求处理服务器，请求处理服务器根据接收到的访问请求从内网数据中心服务器中获得响应结果，并将接收到的响应结果返回给内网服务器，内网服务器最终将响应结果返回给对应的公网应用客户端。

需要说明的是，在内网服务器中可能会包含属于不同公网应用客户端的多个访问请求对应的多个响应结果，因此在内网服务器接收到响应结果后需要根据响应结果中的请求唯一编码将响应结果发送给对应的公网应用客户端。其中，请求唯一编码是由请求处理服务器将响应结果返回给内网服务器之前根据对应的访问请求添加的，添加的请求唯一编码与公网应用客户端之间的映射关系在内网服务器中有记录。

接收单元42，用于接收内网服务器返回的响应结果，响应结果为内网数据中心服务器对访问请求的响应结果。

接收响应结果的是公网应用客户端中包含的请求代理程序，当请求代理程序接收到响应结果后需要将响应结果返回给公网应用客户端中的公网应用程序，以使公网应用程序对响应结果进行下一步的处理，比如展示给用户等。

进一步的，如图5所示，装置进一步包括：

获取单元43，用于在将访问请求通过双向通信连接发送给内网服务器之前，通过认证中心服务器获取访问内网资源账号或访问令牌token，访问内网资源账号和token为认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

在公网应用客户端发起访问请求之前，需要获取访问内网资源账号，访问内网资源账号是访问内网数据中心服务器中数据的凭证。具体的公网应用客户端获取访问内网资源账号的过程为：先由公网组织在认证中心服务器中进行注册，内网组织注册的信息包括公网组织机构的名称、负责人联系方式以及需要请求的内网资源等信息；然后由内网的管理员登录认证中心服务器后获取内网组织注册的信息，并根据内网组织注册的信息对对应的公网组织进行审核，具体审核的方式通常为线下审核，比如通过电话或者现场考察等方式进行审核；在通过审核后，认证中心服务器会为公网组织下发访问内网资源账号；然后将访问内网资源账号与公网应用客户端进行绑定。需要说明的是，对于一个公网组织获得的访问内网资源账号可以与多个公网应用客户端绑定。还需要说明的是，本实施例中内网的管理员是实际的人员，公网组织是使用公网应用客户端的具体的组织机构。

另外，为了保证公网组织获得的访问内网资源账号本身的安全性，本实施例使用OAuth2.0协议，使公网应用客户端不获取访问内网资源账号而是通过认证中心服务器获得对应访问内网资源账号的访问令牌token，将token作为访问内网数据中心服务器中数据的访问凭证。因此认证中心服务器下发的是token，并且与公网应用客户端进行绑定的也是token。

注册单元44，用于携带访问内网资源账号或token在认证中心服务器中进行注册，以使内网服务器根据注册的信息与公网应用客户端建立双向通信连接。

获取到访问内网资源账号或token后，公网应用客户端携带访问内网资源账号或token到认证中心服务器中进行注册，对应注册的信息为客户端注册信息，其中客户端注册信息包括公网应用客户端对应的公网IP地址、访问的端口号以及访问内网资源账号或token。其中公网IP地址为公网应用客户端所在的公网对应的公网IP地址。

携带访问内网资源账号或token在认证中心服务器中进行注册的目的为：使内网服务器从认证中心服务器中获取客户端注册信息，并向客户端注册信息中包含的公网IP地址以及访问端口号对应的公网应用客户端发送建立双向通信连接的请求，使公网应用客户端可以接受建立双向通信连接的请求，并在双方互相校核后，最终内网服务器与公网应用客户端建立双向通信连接。实际应用中，内网服务器与公网客户端在建立双向通信连接时双方的校核可以通过双方约定串码的方式，比如内网服务器发送串码1234时，公网应用客户端需要对应的响应5678，通过这种方式来达到双方的信任，最终建立双向通信连接。

进一步的，发送单元41用于：

将包含访问内网资源账号或token的请求通过双向通信连接发送给内网服务器，以使内网服务器在接收到访问请求后根据访问内网资源账号或token对访问请求进行合法性认证。

进一步的，发送单元41用于：

将访问请求中包含的信息加密后发送给内网服务器。

本发明实施例提供的访问数据的装置，能够由公网应用客户端将访问请求通过双向通信连接发送给内网服务器，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；内网服务器接收到访问请求后，将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

进一步的，作为对上述各实施例的实现，本发明实施例的另一实施例还提供了一种访问数据的装置，该装置位于内网服务器侧，用于实现上述图3所述的方法。如图6所示，该装置包括：请求接收单元61、认证单元62、转发单元63、结果接收单元64以及返回单元65。

请求接收单元61，用于通过双向通信连接接收公网应用客户端发送的访问请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，访问请求为公网应用客户端访问内网数据中心服务器的请求；

其中双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器。本实施例中内网服务器为用于连接内网与公网的服务器，但是为了保证内网数据的安全，需要将内网服务器上所有外部可以访问的端口进行屏蔽。具体的屏蔽方式可以通过防火墙进行设置：防火墙设置允许从内网服务器到公网中的连接，阻拦由公网主动进入内网服务器的连接。

由于公网应用客户端无法主动对内网服务器进行访问，但是还需要通过内网服务器访问内网数据中心服务器中的数据，因此需要内网服务器主动与公网应用客户端建立双向通信连接，然后通过双向通信连接实现相互的通信。

访问请求为公网应用客户端对访问内网数据中心服务器中数据的请求，即公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求，将访问请求发送给内网服务器实际是由公网应用客户端中包含的请求代理程序发送的。其中，请求代理程序嵌在公网应用客户端中，该请求代理程序对外提供webservice接口，能够接收公网应用客户端中的公网应用程序对内网数据中心服务器的访问请求。

访问请求中包含请求类型、请求目标、请求参数、请求唯一编码。访问请求的类型具体的包括增加数据、删除数据、修改数据以及查询数据。其中，增加数据是向内网数据中心服务器中增加相应的数据信息；删除数据是将内网数据中心服务器中相应的数据删除；修改数据是将内网数据中心服务器中的数据修改为指定内容；查询数据是按照访问请求中声明的规则查询内网数据中心服务器中的数据内容。请求参数是与请求类型相对应的，如果请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。

认证单元62，用于通过认证中心服务器对访问请求进行合法性认证；

在将访问请求转发给请求处理服务器之前，需要将访问请求包含的可以访问内网数据中心服务器的访问凭证发送给认证中心服务器，然后由认证服务器中心对访问凭证进行合法性的认证，若访问凭证通过合法性认证表示访问请求通过合法性认证，通过合法性认证的访问请求才可以进入下一步的处理，否则中止该访问请求的处理，返回错误消息。

需要说明的是访问凭证是由认证中心服务器下发的，因此认证服务器中存储有合法的访问凭证，当公网应用客户端携带访问凭证发送访问请求后，认证服务器可以根据存储的合法的访问凭证对访问请求中包含的访问凭据进行合法性认证。

转发单元63，用于将通过合法性认证的访问请求转发给请求处理服务器，以使请求处理服务器根据访问请求从内网数据中心服务器中获得响应结果，响应结果为内网数据中心服务器对访问请求的响应结果；

具体的请求处理服务器根据接收到的访问请求从内网数据中心服务器中获得响应结果的过程为：首先，请求处理器对访问请求中的请求类型、请求目标进行解析。请求类型包括增加数据、删除数据、修改数据以及查询数据。解析请求类型为根据请求类型确定请求参数的含义，具体的，若请求类型为增加数据，则请求参数部分为增加的数据内容；如果请求类型为删除数据，则请求参数部分为删除数据的键值；如果请求类型为修改数据，则请求参数部分包括数据键值以及修改的内容；如果请求类型为查询数据，则请求参数部分为查询条件。解析请求目标为确定请求的数据在哪个内网数据中心服务器中的哪个表中；第二，根据解析结果生成查询请求；第三，将查询请求发送至内网数据中心服务器；第五，接收内网服务器返回的对应查询请求的响应结果，对应查询请求的响应结果即为对应访问请求的响应结果。

结果接收单元64，用于接收请求处理服务器返回的响应结果；

返回单元65，用于将响应结果通过双向通信连接返回给对应的公网应用客户端。

在内网服务器中可能会包含属于不同公网应用客户端的多个访问请求对应的多个响应结果，因此在内网服务器接收到响应结果后需要根据响应结果中的请求唯一编码将响应结果发送给对应的公网应用客户端。其中，请求唯一编码是由请求处理服务器将响应结果返回给内网服务器之前根据对应的访问请求添加的，添加的请求唯一编码与公网应用客户端之间的映射关系在公网服务器中有记录。

进一步的，如图7所示，装置进一步包括：

获取单元66，用于在通过双向通信连接接收公网应用客户端发送的访问请求之前，从认证中心服务器中获取公网应用客户端对应的注册的信息，注册的信息中包含公网应用客户端对应的访问内网资源账号或者访问令牌token，访问内网资源账号和token为认证中心服务器下发的用于访问内网数据中心服务器的访问凭证；

建立单元67，用于根据注册的信息与对应的公网应用客户端建立双向通信连接。

进一步的，如图7所示，认证单元62，包括：

提取模块621，用于从访问请求中提取访问内网资源账号或token；

认证模块622，用于将访问内网资源账号或token发送给认证中心服务器进行合法性认证。

进一步的，如图7所示，装置进一步包括：

第一加密单元68，用于将通过合法性认证的访问请求加密后转发给请求处理服务器；

第二加密单元69，用于将响应结果加密后通过双向通信连接返回给对应的公网应用客户端。

本发明实施例提供的访问数据的装置，能够由内网服务器通过双向通信连接接收访问请求，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；然后内网服务器将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

进一步的，本发明的最后一个实施例还提供了一种访问数据的系统，用以实现图1至图3所示的方法。本系统实施例与前述方法实施例对应，能够实现前述方法实施例中的全部内容。为便于阅读，本系统实施例仅对前述方法实施例中的内容进行概要性描述，不对方法实施例中的细节内容进行逐一赘述。如图8所示，该系统包括公网应用客户端81、内网服务器82、认证中心服务器83、请求处理服务器84、内网数据中心服务器85，其中，公网应用客户端81包括上述图4或图5所示的装置，内网服务器82包括图6或图7所示的装置。具体的：

公网应用客户端81，用于接收访问请求，访问请求为公网应用客户端访问内网数据中心服务器的请求；将访问请求通过双向通信连接发送给内网服务器，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；接收内网服务器返回的响应结果，响应结果为内网数据中心服务器对访问请求的响应结果。

内网服务器82，用于通过双向通信连接接收公网应用客户端发送的访问请求；通过认证中心服务器对访问请求进行合法性认证；将通过合法性认证的访问请求转发给请求处理服务器；接收请求处理服务器返回的响应结果；并且，将响应结果通过双向通信连接返回给对应的公网应用客户端；

认证中心服务器83，用于接收公网应用客户端的注册，为公网应用客户端下发访问内网资源账号和访问令牌token，访问内网资源账号和token为用于访问内网数据中心服务器的访问凭证；根据访问内网资源账号和token对内网服务器接收到的访问请求进行合法性认证；

请求处理服务器84，用于接收内网服务器转发的访问请求；根据访问请求从内网数据中心服务器中获得响应结果；

内网数据中心服务器85，用于对访问请求进行响应，并将响应结果返回给请求处理服务器。

本发明实施例提供的访问数据的系统，能够由公网应用客户端将访问请求通过双向通信连接发送给内网服务器，访问请求为公网应用客户端访问内网数据中心服务器的请求，双向通信连接为内网服务器主动与公网应用客户端建立的连接，内网服务器为能够访问公网并且不能被公网主动访问的服务器；内网服务器接收到访问请求后，将访问请求转发给请求处理服务器，请求处理服务器位于内网中，然后由请求处理服务器根据访问请求向内网数据中心服务器获取对应访问请求的响应结果，并将响应结果返回给内网服务器，最终由内网服务器将响应结果返回给公用应用客户端。与现有技术相比，这种访问数据的方式去除了公网中的公网数据中心，使内网数据中心服务器中的数据不会直接暴露在公网中，因此可以提高内网数据中心服务器中数据的安全性。另外去除了隔离网络中的网闸，通过内网服务器来屏蔽公网对内网的主动访问，保证了内网数据中心的安全，然后在公网应用客户端想要访问内网数据中心时通过由内网服务器主动与公网应用客户端建立的双向通信连接来实现内网与公网之间的数据交互，因此在保证内网数据安全的基础上也提高了数据交换的速率。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如访问数据的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。