一种分布式加密服务网关及实现方法与流程

本发明涉及计算机网络和信息安全技术领域，特别涉及一种分布式加密服务网关及实现方法。

背景技术：

随着计算机网络技术的发展，特别是大数据和云计算技术的快速发展，网络访问量和数据流量也相应快速增长，与此同时，面临的网络安全问题日益严重，传统的安全解决方案面临冲击，例如硬件安全模式不具备扩展能力而无法灵活适应云模式，本地网关加密技术在大数据环境下无法满足吞吐量的要求。总而言之，传统的解决方案已经难以同时兼顾安全性、部署和扩展灵活性及海量数据处理能力的要求。

现有专利CN201510133710.6公开的一种安全通信方法、网关、网络侧服务器及系统和现有专利CN201410005035.4公开的用于云存储服务的透明加密/解密网关，这两项专利中提供的安全功能是通过网关内部的软件来实现，而且只是在网关的控制软件内部加入一些加解密等安全逻辑，不具备应用接口和网络负载均衡控制等功能，这将无法满足系统对吞吐量和网络数据处理能力的需求；此外，现有专利CN201210060613.5公开的负载均衡方法及负载均衡装置和现有专利CN201010184118.6公开的负载均衡方法和负载均衡器，这两项专利均涉及传统的负载均衡实现方法的创新，但是其不涉及加解密等安全服务，导致安全系数较低，无法为用户提供安全服务网关，无法满足大数据时代的互联网应用安全需求。

同时，传统的安全解决方案需要应用开发者耗费大量的资源和精力在与自身核心业务逻辑无关的技术领域，导致应用开发成本高，开发周期长，同时为了加强网络数据处理能力，客户还需要耗费大量的资源和精力用于设备的管理、配置和维护，进一步提高了开发和运维成本，因此，急需开发一种能够为用户提供安全服务网关，具备安全服务功能、网络服务功能，且具备较高的冗余性和扩展性的分布式加密服务网关及实现方法。

技术实现要素：

为了解决现有网关安全性较低，且无法满足系统对吞吐量和网络数据处理能力的需求，同时网关安全解决方案需要应用开发者耗费大量的资源和精力在与自身核心业务逻辑无关的技术领域，导致应用开发成本高，开发周期长等问题，本发明提供了一种高安全性、高可靠性、高部署灵活性，且可扩展的分布式加密服务网关及实现方法。

本发明具体技术方案如下：

本发明提供了一种分布式加密服务网关，包括相同通讯的基础网络服务子系统、安全服务子系统、通讯服务子系统，所述基础网络服务子系统、所述安全服务子系统均通过所述通讯服务子系统与用户应用相通讯，其中，

所述基础网络服务子系统用于提供基础的网络服务功能，并用于接收所述用户应用通过网络发送的安全服务请求，对所述安全服务请求进行过滤筛选，同时根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配；

所述安全服务子系统用于将分配后的所述安全服务请求进行轮询处理生成指令信息，并将所述指令信息通过可远程访问的加密服务器集群进行响应处理并生成响应结果，同时将生成的响应结果进行解析；

所述通讯服务子系统用于负责各子系统之间通讯链路的建立和数据的透传，并用于将解析后的结果发送至所述用户应用。

进一步的，所述基础网络服务子系统包括相通讯的基础设施模块、控制模块、API接口模块、业务应用模块及接口服务模块；

所述基础设施模块用于负责基于网络数据的处理、转发和收集状态；所述控制模块用于管理网络中的所有设备，并虚拟整个网络资源，实现资源分配；所述API接口模块用于为所述用户应用提供调用接口；所述业务应用模块用于通过所述控制模块的API管理能力控制设备的报文转发功能，同时用于将网络的控制权开放给用户应用；所述接口服务模块用于通过所述控制模块为上层业务应用开放接口，同时使所述业务应用模块能够调用底层的网络资源和能力。

进一步的，所述基础设施模块包括流量监测单元、访问统计单元、负载计算单元、及内存监测单元，所述流量监测单元用于监测网络中所有设备的流量状况信息；所述访问统计单元用于统计网络中所有设备的实际在线人数和实际访问量；所述负载计算单元用于计算网络中所有设备正在处理的所述用户应用的数量和正在下载的数据量；所述内存监测单元用于监测网络中所有设备的内存使用信息和CPU使用信息。

进一步的，所述安全服务子系统包括相通讯的数据I/O模块、指令处理模块、加密服务器集群、安全服务接口模块，所述数据I/O模块用于接收分配后的所述安全服务请求，同时将所述安全服务请求放入请求队列，发送至所述指令处理模块；所述指令处理模块用于对所述安全服务请求进行轮询处理，同时生成指令信息，并将所述指令信息通过所述数据I/O模块发送至所述加密服务器集群，所述加密服务器集群用于对所述指令信息进行响应处理并生成响应结果，发送至所述指令处理模块，所述指令处理模块对所述响应结果进行解析，并将解析后的结果通过所述通讯服务子系统发送至所述用户应用；所述安全服务接口模块用于为所述业务应用模块提供安全服务功能。

进一步的，所述分布式加密服务系统还包括与所述基础网络服务子系统和所述安全服务子系统均相通讯的应用管理服务子系统，所述应用管理服务子系统包括相通讯的系统监测模块、日志服务模块、系统管理模块、策略管理模块、应用接口模块，所述系统监测模块用于对整个系统的运行状态进行监控，若出现影响系统正常运行的异常，则所述系统监测模块切换启用备份系统，若出现不影响系统正常运行的异常，则所述系统监测模块用于向所述日志服务模块发送记录日志的信息，同时以短信或邮件的形式通知系统管理员；所述日志服务模块用于对系统运行的日志进行记录，并能够提供日志的查询、导出；所述系统管理模块用于为用户提供对系统进行配置管理的操作界面；所述策略管理模块用于设定策略配置，所述策略配置包括判断系统异常状态阈值、分配加密服务器规则；所述应用接口模块用于提供与所述用户应用连接的应用接口。

优选的，所述应用管理服务子系统还包括加密服务器监测模块用于实时监控加密服务器集群中若干加密服务器的实时工作状态，实时工作状态包括连接状态、响应时间、设备日志；

优选的，所述加密服务器集群包括相通讯的加密服务器筛选单元、处理单元，所述加密服务器筛选单元接收所述应用管理服务子系统监控的加密服务器集群中若干加密服务器的实时工作状态，并根据所述实时工作状态筛选所述加密服务器；所述处理单元将筛选出的所述加密服务器对所述指令信息进行响应处理，并生成响应结果。

本发明还提供了一种分布式加密服务网关的实现方法，所述方法包括以下步骤：

S1、提供基础网关；

S2、在所述基础网关上配置基础网络服务子系统和通讯服务子系统；

S3、在所述基础网关上继续配置安全服务子系统即得到分布式加密服务网关，所述安全服务子系统通过远程访问的加密服务器集群为所述基础网关提供安全服务。

进一步的，步骤S2中，所述基础网络服务子系统包括相通讯的基础设施模块、控制模块、API接口模块、业务应用模块及接口服务模块；

所述基础设施模块用于负责基于网络数据的处理、转发和收集状态；所述控制模块用于管理网络中的所有设备，并虚拟整个网络资源，实现资源分配；所述API接口模块用于为所述用户应用提供调用接口；所述业务应用模块用于通过所述控制模块的API管理能力控制设备的报文转发功能，同时用于将网络的控制权开放给用户应用；所述接口服务模块用于通过所述控制模块为上层业务应用开放接口，同时使所述业务应用模块能够调用底层的网络资源和能力。

进一步的，步骤S3中，所述安全服务子系统包括相通讯的数据I/O模块、指令处理模块、加密服务器集群、安全服务接口模块，所述数据I/O模块用于接收分配后的所述安全服务请求，同时将所述安全服务请求放入请求队列，发送至所述指令处理模块；所述指令处理模块用于对所述安全服务请求进行轮询处理，同时生成指令信息，并将所述指令信息通过所述数据I/O模块发送至所述加密服务器集群，所述加密服务器集群用于对所述指令信息进行响应处理并生成响应结果，发送至所述指令处理模块，所述指令处理模块对所述响应结果进行解析，并将解析后的结果通过所述通讯服务子系统发送至所述用户应用；所述安全服务接口模块用于为所述业务应用模块提供安全服务功能。

进一步的，所述方法还包括：

S4、步骤S3中实现的分布式加密服务网关还配置有与所述基础网络服务子系统和所述安全服务子系统均相通讯的应用管理服务子系统；

所述应用管理服务子系统包括相通讯的系统监测模块、日志服务模块、系统管理模块、策略管理模块、应用接口模块，所述系统监测模块用于对整个系统的运行状态进行监控，若出现影响系统正常运行的异常，则所述系统监测模块切换启用备份系统，若出现不影响系统正常运行的异常，则所述系统监测模块用于向所述日志服务模块发送记录日志的信息，同时以短信或邮件的形式通知系统管理员；所述日志服务模块用于对系统运行的日志进行记录，并能够提供日志的查询、导出；所述系统管理模块用于为用户提供对系统进行配置管理的操作界面；所述策略管理模块用于设定策略配置，所述策略配置包括判断系统异常状态阈值、分配加密服务器规则；所述应用接口模块用于提供与所述用户应用连接的应用接口。

本发明的有益效果如下：本发明提供的分布式加密服务网关通过分布式方式集成的多种软硬件模块和加密服务器集群为用户应用提供安全服务、网络服务、应用服务器的可靠灵活性网关，其具有很高的冗余性和扩展性，能够满足系统吞吐量和处理能力高速增长的需求；此外，本发明使用加密机集群为网关提供安全服务，网关系统内部整合了负载均衡等网结络服务，提供软件形态的应用服务，使得用户无需自己处理安全和网络服务等逻辑，只需要专注自身的业务应用，解决目前应用开发周期长，成本高的问题，此外，本发明提供的网关的实现方法比较简单，便于设置和实施，可以有效满足大数据时代的互联网应用安全需求，为网络的安全使用和灵活控制提高了可靠的途经。

附图说明

图1为实施例1所述的一种分布式加密服务网关的结构示意图；

图2为实施例2所述的一种分布式加密服务网关中基础网络服务子系统的结构框图；

图3为实施例2所述的一种分布式加密服务网关中基础设施模块的结构框图；

图4为实施例3所述的一种分布式加密服务网关中安全服务子系统的结构示意图；

图5为实施例4所述的一种分布式加密服务网关的结构示意图；

图6为实施例4所述的一种分布式加密服务网关中应用管理服务子系统的结构框图；

图7为实施例4所述的一种分布式加密服务网关中加密服务器集群的结构框图；

图8为实施例5所述的一种分布式加密服务网关的实现方法的流程图。

其中：1、基础网络服务子系统；101、基础设施模块；1011、流量监测单元；1012、访问统计单元；1013、负载计算单元；1014、内存监测单元；102、控制模块；103、API接口模块；104、业务应用模块；105、接口服务模块；2、安全服务子系统；201、数据I/O模块；202、指令处理模块；203、加密服务器集群；2031、加密服务器筛选单元；2032、处理单元；204、安全服务接口模块；3、通讯服务子系统；4、应用管理服务子系统；401、系统监测模块；402、日志服务模块；403、系统管理模块；404、策略管理模块；405、应用接口模块；406、加密服务器监测模块。

具体实施方式

下面结合附图和以下实施例对本发明作进一步详细说明。

实施例1

如图1所示，本发明实施例1提供了一种分布式加密服务网关，包括相同通讯的基础网络服务子系统1、安全服务子系统2、通讯服务子系统3，所述基础网络服务子系统1、所述安全服务子系统2均通过所述通讯服务子系统3与用户应用相通讯，其中，

所述基础网络服务子系统1用于提供基础的网络服务功能，并用于接收所述用户应用通过网络发送的安全服务请求，对所述安全服务请求进行过滤筛选，同时根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配。

实际使用时，基础网络服务子系统1用于将传统网络的控制平面与数据转发平面进行分离，通过集中的控制器中的软件平台去实现可编程化控制底层硬件，实现对网络资源灵活的按需调配，基础网络服务子系统11为系统提供基础的网络服务功能。

所述安全服务子系统2用于将分配后的所述安全服务请求进行轮询处理生成指令信息，并将所述指令信息通过可远程访问的加密服务器集群203进行响应处理并生成响应结果，同时将生成的响应结果进行解析；安全服务子系统2通过可远程访问的加密服务器集群203，为加密服务系统提供高可靠性的安全功能，如加解密服务等。

所述通讯服务子系统3用于负责各子系统之间通讯链路的建立和数据的透传，并用于将解析后的结果发送至所述用户应用。通讯服务子系统3用于建立网络服务子系统、安全服务子系统2之间的通讯链路，各个模块之间可以通过通讯服务子系统3进行数据的交互。同时，也可以根据策略配置选择通过安全服务模子系统为通讯服务子系统3的通讯链路提供硬件级别的加密保护。

本发明提供的整个安全服务网关以分布式形式整合了处理安全业务逻辑、网络服务相关的软硬件以及其它辅助功能模块，以一个可以无缝接入用户系统的“盒子”形式提供加解密等安全服务以服务的形式提供给用户，具备很高的部署灵活性。

将可远程访问的加密服务器集群203作为安全服务系统的一个分布式模块，为安全业务逻辑提供高可靠的硬件级别的安全保障，其安全级别远高于现有的采用软件加解密的安全网关。此外，对加密服务器集群203的访问操作都在安全服务系统内部实现，其安全业务逻辑在系统内部根据配置策略在系统内自动为用户应用添加处理，用户无需关心其处理逻辑，同时系统内部集成了运行实时监控、备份切换等模块，具备了很高的冗余度。

通过集中的软件控制器实现网络资源的统一管理、整合以及虚拟化后，采用规范化的接口为上层应用提供按需的网络资源及服务，实现网络能力开放，按需提供，可通过扩展增强系统吞吐量。

在本发明为用户应用提供了可靠的安全服务网关，用户应用在开发时只需要关心具体的业务逻辑，不需要关心与其核心业务逻辑无关的流程处理，例如加解密、负载均衡等安全服务，用户应用通过外部的接口调用连接加密服务网关，通过加密服务网关获取相应的安全服务。

本发明提供的分布式加密服务网关在具体使用时，能够实现加密服务的方法包括以下步骤：

首先当用户应用需要安全服务时，用户应用通过网络向系统发送请求，此时系统开始运行，具体方法为：

提供一个加密服务系统即网关，加密服务系统接入网络，用户应用通过B/S方式或者C/S方式，使用外部的应用接口与系统连接，通过通讯链路向系统发送安全服务请求；

S1、接收用户应用通过网络发送的安全服务请求；

S2、对所述安全服务请求进行过滤筛选，例如限流处理、隔离非法请求等；

S3、根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配；

S4、将分配后的所述安全服务请求放入请求队列，并对所述安全服务请求进行轮询处理，同时生成指令信息；

S5、将步骤S4中生成的所述指令信息通过加密服务器集群203进行响应处理并生成响应结果，通过可远程访问的加密服务器集群203完成诸如数据加解密，数字签名，身份验证等功能；

S6、对步骤S5中生成的响应结果进行解析，并将解析后的结果发送至所述用户应用。

实施例2

如图2所示，本发明在实施例1的基础上进一步限定了所述基础网络服务子系统1包括相通讯的基础设施模块101、控制模块102、API接口模块103、业务应用模块104及接口服务模块105；

所述基础设施模块101用于负责基于网络数据的处理、转发和收集状态，所述基础设施模块101还用于采集网络设备的状态信息，所述网络设备优选为若干网络服务器，所述状态信息包括运行数据和性能数据，所述运行数据包括流量状况信息、实际在线人数、和/或正在处理的所述用户应用的数量、和/或正在下载的数据量、和/或实际访问量，所述性能数据包括内存使用信息、CPU使用信息；所述控制模块102用于管理网络中的所有设备，并虚拟整个网络资源，实现资源分配，所述控制子模块还用于根据采集的所述网络设备的状态信息和所述安全服务请求对所述网络设备提供的网络资源进行均衡分配；所述API接口模块103用于为所述用户应用提供调用接口；所述业务应用模块104用于通过所述控制模块102的API管理能力控制设备的报文转发功能，同时用于将网络的控制权开放给用户应用；所述接口服务模块105用于通过所述控制模块102为上层业务应用开放接口，同时使所述业务应用模块104能够调用底层的网络资源和能力。

如图3所示，需要进一步阐述的是，所述基础设施模块101包括流量监测单元1011、访问统计单元1012、负载计算单元1013、及内存监测单元1014，所述流量监测单元1011用于监测网络中所有设备的流量状况信息；所述访问统计单元1012用于统计网络中所有设备的实际在线人数和实际访问量；所述负载计算单元1013用于计算网络中所有设备正在处理的所述用户应用的数量和正在下载的数据量；所述内存监测单元1014用于监测网络中所有设备的内存使用信息和CPU使用信息。

基础网络服务子系统1的控制模块102通过基础设施模块101上述的各个单元检测的状态信息和用户应用的安全服务请求全局化合理分配网络资源，平衡节点负载，实现整体动态平衡。

优选的，所述基础网络服务子系统1还包括过滤模块，所述过滤模块用于对所述安全服务请求进行过滤筛选，判断所述安全服务请求是否为拦截请求；若是，则拦截所述安全服务请求。

在具体应用时，对所述安全服务请求进行过滤筛选，筛选方法包括：根据访问控制规则和安全管理规则使用边界防护防火墙对所述安全服务请求进行过滤筛选，判断所述安全服务请求是否为拦截请求；若是，则拦截所述安全服务请求；其中，所述访问控制规则包括访问黑名单信息，所述安全管理规则包括请求报文格式、请求过滤规则及防火墙端口设置条件。

优选的，判断所述用户应用发送的所述安全服务请求是否为拦截用户应用的步骤包括：

①、获取所述用户应用开启的进程；

②、加载预设的黑名单进程列表和白名单进程列表；

③、判断所述进程是否存在于所述黑名单进程列表或所述白名单进程列表中，若所述黑名单进程列表中存在所述进程时，则判定所述用户应用为拦截用户应用，若所述白名单进程列表中存在所述进程时，则判定该用户应用发送的安全服务请求不为拦截请求。

实施例3

如图4所示，本发明实施例3在实施例1的基础上进一步限定了所述安全服务子系统2包括相通讯的数据I/O模块201、指令处理模块202、加密服务器集群203、安全服务接口模块204，所述数据I/O模块201用于接收分配后的所述安全服务请求，同时将所述安全服务请求放入请求队列，发送至所述指令处理模块202；所述指令处理模块202用于对所述安全服务请求进行轮询处理，同时生成指令信息，并将所述指令信息通过所述数据I/O模块201发送至所述加密服务器集群203，所述加密服务器集群203用于对所述指令信息进行响应处理并生成响应结果，发送至所述指令处理模块202，所述指令处理模块202对所述响应结果进行解析，并将解析后的结果通过所述通讯服务子系统3发送至所述用户应用；所述安全服务接口模块204用于为所述业务应用模块104提供安全服务功能。

在具体应用时，对所述安全服务请求进行轮询处理的方法包括：

S4-1：将对所述安全服务请求进行解析处理。

S4-2：添加预设的安全业务逻辑信息，安全业务逻辑信息为系统预设信息，可以根据用户需求变化而修改安全业务逻辑，根据用户应用类型，系统内部根据预设为用户应用添加安全业务逻辑，比如用户应用需要进行数据对称加密，由系统内部为用户应用实现数据对称加密的业务逻辑，在此过程中，系统自动完成，用户应用不需要进行相应的操作。

S4-3：将解析后的所述安全服务请求与所述安全业务逻辑信息进行封装，并生成封装后的指令信息。指令信息内包含有安全服务请求及指令，所述的指令包括加密指令或解密指令，加密服务器集群203根据指令信息内指令对安全服务请求进行处理。

实施例4

如图5和6所示，本发明实施例4在实施例5的基础上进一步限定了所述分布式加密服务系统还包括与所述基础网络服务子系统1和所述安全服务子系统2均相通讯的应用管理服务子系统4，所述应用管理服务子系统4包括相通讯的系统监测模块401、日志服务模块402、系统管理模块403、策略管理模块404、应用接口模块405，所述系统监测模块401用于对整个系统的运行状态进行监控，若出现影响系统正常运行的异常，则所述系统监测模块401切换启用备份系统，若出现不影响系统正常运行的异常，则所述系统监测模块401用于向所述日志服务模块402发送记录日志的信息，同时以短信或邮件的形式通知系统管理员；所述日志服务模块402用于对系统运行的日志进行记录，并能够提供日志的查询、导出；所述系统管理模块403用于为用户提供对系统进行配置管理的操作界面；所述策略管理模块404用于设定策略配置，所述策略配置包括判断系统异常状态阈值、分配加密服务器规则；所述应用接口模块405用于提供与所述用户应用连接的应用接口。

应用管理服务子系统4为加密服务系统的运行提供管理环境，同时为用户应用与加密服务系统的对接提供了途经。应用管理服务子系统4完全可以根据用户的需求进行定制。

应用管理服务子系统4对系统的运行情况进行实时监测，并根据监测自动采用相应的措施，同时对日志进行记录。

优选的，所述应用管理服务子系统4还包括加密服务器监测模块406用于实时监控加密服务器集群203中若干加密服务器的实时工作状态，实时工作状态包括连接状态、响应时间、设备日志；

如图7所示，优选的，所述加密服务器集群203包括相通讯的加密服务器筛选单元2031、处理单元2032，所述加密服务器筛选单元2031接收所述应用管理服务子系统4监控的加密服务器集群203中若干加密服务器的实时工作状态，并根据所述实时工作状态筛选所述加密服务器；所述处理单元2032将筛选出的所述加密服务器对所述指令信息进行响应处理，并生成响应结果。

在具体应用时，生成的所述指令信息通过加密服务器集群203进行响应处理的方法包括：

S5-1：实时监控加密服务器集群203中若干加密服务器的实时工作状态，实时工作状态包括连接状态、响应时间、设备日志；

S5-2：根据所述实时工作状态筛选所述加密服务器；

S5-3：将筛选出的所述加密服务器对所述指令信息进行响应处理，并生成响应结果。

优选的，根据所述实时工作状态筛选所述加密服务器的方法包括：

根据监控的所述实时工作状态，优先选择当前连接数较少、响应时间较短或设备日志监控正常的所述加密服务器。

加密服务器内内置有若干指令集，根据收到的指令信息进行处理，比如收到一个指令信息是对指令信息中包含的数据进行加密操作，加密服务器就对指令中的数据进行加密处理，生成密文数据。响应结果就是指令的处理结果，生成的密文数据即为响应结果，加密后的密文数据发送给用户应用即可。

实施例5

如图8所示，本发明还提供了一种分布式加密服务网关的实现方法，所述方法包括以下步骤：

S1、提供基础网关；

S2、在所述基础网关上配置基础网络服务子系统1和通讯服务子系统3；

S3、在所述基础网关上继续配置安全服务子系统2即得到分布式加密服务网关，所述安全服务子系统2通过远程访问的加密服务器集群203为所述基础网关提供安全服务。

通过集中的软件控制器实现网络资源的统一管理、整合以及虚拟化后，采用规范化的接口为上层应用提供按需的网络资源及服务，实现网络能力开放，按需提供，可通过扩展增强系统吞吐量。

该分布式加密服务系统核心的加密服务器集群203以及其他软硬件模块，也可按需进行扩展，以增强安全服务的处理能力。

与现有技术相比，本发明提供的网关能够提供负载均衡等网络服务，有效提高网络吞吐量和处理能力，此外，本发明采用加密服务器集群203进行加解密，安全级别较高，此外，本发明通过可扩展的应用服务与用户应用对接，使得用户不必关心该如何处理安全业务及网络传输等环节，可使用户专注于其核心业务逻辑，如需保证敏感数据的安全只需要调用本发明提供的系统即可，大大节省了用户开发应用的时间，降低了应用开发成本和运维成本，此外，该方法采用分布式方式，具备较高的部署灵活性，无论是网络吞吐量还是处理能力的需求增长，均可通过系统内核心的加密服务器集群203和其它软硬件模块的扩展来满足，具备高度的扩展性，非常适应大数据时代的互联网应用安全需求。

实施例6

本发明在实施例5的基础上，进一步限定了步骤S2中，所述基础网络服务子系统1包括相通讯的基础设施模块101、控制模块102、API接口模块103、业务应用模块104及接口服务模块105；

所述基础设施模块101用于负责基于网络数据的处理、转发和收集状态；所述控制模块102用于管理网络中的所有设备，并虚拟整个网络资源，实现资源分配；所述API接口模块103用于为所述用户应用提供调用接口；所述业务应用模块104用于通过所述控制模块102的API管理能力控制设备的报文转发功能，同时用于将网络的控制权开放给用户应用；所述接口服务模块105用于通过所述控制模块102为上层业务应用开放接口，同时使所述业务应用模块104能够调用底层的网络资源和能力。

安全服务网关自身的网络安全防护手段主要依靠基础网络服务子系统1提供，包括基础设施模块101的内外层隔离和安全防护；控制模块102的授权访问控制，实时监控及防护策略；业务应用模块104的安全服务准入规则和可扩展的软件编程接口；以上手段有效兼顾了系统的安全性和扩展性。

需要进一步说明的是，步骤S3中，所述安全服务子系统2包括相通讯的数据I/O模块201、指令处理模块202、加密服务器集群203、安全服务接口模块204，所述数据I/O模块201用于接收分配后的所述安全服务请求，同时将所述安全服务请求放入请求队列，发送至所述指令处理模块202；所述指令处理模块202用于对所述安全服务请求进行轮询处理，同时生成指令信息，并将所述指令信息通过所述数据I/O模块201发送至所述加密服务器集群203，所述加密服务器集群203用于对所述指令信息进行响应处理并生成响应结果，发送至所述指令处理模块202，所述指令处理模块202对所述响应结果进行解析，并将解析后的结果通过所述通讯服务子系统3发送至所述用户应用；所述安全服务接口模块204用于为所述业务应用模块104提供安全服务功能。

为了实现对网关的实时监测和管理，本发明提供的实现安全服务网关的方法还包括：

S4、步骤S3中实现的分布式加密服务网关还配置有与所述基础网络服务子系统1和所述安全服务子系统2均相通讯的应用管理服务子系统4。

所述应用管理服务子系统4包括相通讯的系统监测模块401、日志服务模块402、系统管理模块403、策略管理模块404、应用接口模块405，所述系统监测模块401用于对整个系统的运行状态进行监控，若出现影响系统正常运行的异常，则所述系统监测模块401切换启用备份系统，若出现不影响系统正常运行的异常，则所述系统监测模块401用于向所述日志服务模块402发送记录日志的信息，同时以短信或邮件的形式通知系统管理员；所述日志服务模块402用于对系统运行的日志进行记录，并能够提供日志的查询、导出；所述系统管理模块403用于为用户提供对系统进行配置管理的操作界面；所述策略管理模块404用于设定策略配置，所述策略配置包括判断系统异常状态阈值、分配加密服务器规则；所述应用接口模块405用于提供与所述用户应用连接的应用接口。

本发明不局限于上述最佳实施方式，任何人在本发明的启示下都可得出其他各种形式的产品，但不论在其形状或结构上作任何变化，凡是具有与本申请相同或相近似的技术方案，均落在本发明的保护范围之内。