一种基于应用层用于连接内网和外网的路由器和路由方法与流程

本发明涉及外网与内网的安全交互技术，特别涉及内网安全保护技术。

背景技术：

外网是面向大众开放的互联网，而内网是企业内部的专有私网。随着互联网和信息技术的发展和应用，特别是移动互联网高速发展的情况下，越来越多的企业用户要求在外网的终端能够访问企业内部的专有私网。这要求内网与外网互联。但内网与外网的互联面临严重的网络安全问题。现有技术下，内网与外网的互联通常通过nat（networkaddresstranslation，网络地址转换）设备实现。互联网上的黑客容易攻击内网，造成企业用户的损失。通过nat设备实现内网与外网互联方式，内网与外网之间的安全通过网络防火墙等软件实现。这种机制下无法防范蠕虫病毒的攻击和系统漏洞攻击。

技术实现要素：

本发明所要解决的问题：外网与内网互联中内网的网络安全问题。

为解决上述问题，本发明采用的方案如下：

根据本发明的一种基于应用层用于连接内网和外网的路由器，该路由器包括两个计算机系统：内网模块和外网模块；内网模块和外网模块均独立包含有处理器、随机存储器、只读存储器、以太网接口和配置接口；内网模块和外网模块的以太网接口用于分别连接内网和外网；内网模块和外网模块的配置接口用于连接配置终端；内网模块和外网模块通过数据线相连；所述外网模块用于：

接收到客户端所发送的数据后，将所接收到的数据拆解成应用数据和授权访问信息，然后对授权访问信息进行验证，授权访问信息验证通过后将应用数据、应用id和会话id发送至内网模块；

接收到内网模块所发送的应用数据和会话id后，根据会话id找出相应的客户端的外网地址和端口，然后根据数据密钥对应用数据加密后发送给客户端；

所述内网模块用于：

接收到外网模块所发送的应用数据、应用id和会话id后，根据应用id找出相应的应用服务器的内网地址和端口，然后将应用数据发送至相应内网地址和端口的应用服务器；

接收到应用服务器所发送的应用数据后，将应用数据和相应的会话id发送至外网模块。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，所述授权访问信息包括授权许可码、访问口令和数据密钥；所述外网模块还被用于：与可信验证服务器进行交互生成授权许可码、访问口令和数据密钥，并保存授权许可码、访问口令、数据密钥及其对应关系。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，外网模块还被用于：接收配置终端的配置指令，并保存配置指令中配置数据；该配置数据为外网模块的配置数据，包括外网端口和应用id的对应关系；所述配置终端通过外网模块的配置接口与外网模块相连。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，内网模块还被用于：接收配置终端的配置指令，并保存配置指令中配置数据；该配置数据为内网模块的配置数据，包括应用服务器的内网地址和端口和应用id的对应关系；所述配置终端通过内网模块的配置接口与内网模块相连。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，所述内网模块和外网模块通过数据线相连采用双口ram内存共享方式，也就是，该路由器还包括有双口随机存储器；该双口随机存储器的两个端口分别连接两个计算机系统的处理器。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，所述内网模块和外网模块通过数据线相连采用p-ata接口、s-ata接口、rs-485接口或usb接口。

进一步，根据本发明的基于应用层用于连接内网和外网的路由器，所述配置接口为usb接口。

根据本发明的一种基于应用层用于连接内网和外网的路由方法，该路由方法涉及一种基于应用层用于连接内网和外网的路由器；该路由器包括两个计算机系统：内网模块和外网模块；内网模块和外网模块均独立包含有处理器、随机存储器、只读存储器、以太网接口和配置接口；内网模块和外网模块的以太网接口用于分别连接内网和外网；内网模块和外网模块的配置接口用于连接配置终端；内网模块和外网模块通过数据线相连；该路由方法包括以下步骤：

外网模块接收到客户端所发送的数据后，将所接收到的数据拆解成应用数据和授权访问信息，然后对授权访问信息进行验证，授权访问信息验证通过后将应用数据、应用id和会话id发送至内网模块；

内网模块接收到外网模块所发送的应用数据、应用id和会话id后，根据应用id找出相应的应用服务器的内网地址和端口，然后将应用数据发送至相应内网地址和端口的应用服务器；

内网模块接收到应用服务器所发送的应用数据后，将应用数据和相应的会话id发送至外网模块；

接收到内网模块所发送的应用数据和会话id后，根据会话id找出相应的客户端的外网地址和端口，然后根据数据密钥对应用数据加密后发送给客户端。

进一步，根据本发明的基于应用层用于连接内网和外网的路由方法，所述授权访问信息包括授权许可码、访问口令和数据密钥；该路由方法还包括步骤：外网模块与可信验证服务器进行交互生成授权许可码、访问口令和数据密钥，并保存授权许可码、访问口令、数据密钥及其对应关系。

进一步，根据本发明的基于应用层用于连接内网和外网的路由方法，该路由方法还包括如下步骤：

外网模块接收配置终端的配置指令，并保存配置指令中配置数据；该配置数据为外网模块的配置数据，包括外网端口和应用id的对应关系；

内网模块接收配置终端的配置指令，并保存配置指令中配置数据；该配置数据为内网模块的配置数据，包括应用服务器的内网地址和端口和应用id的对应关系。

本发明的技术效果如下：本发明外网模块和内网模块之间相互物理隔离，交互基于应用层的路由，从而规避系统漏洞存在的安全风险。

附图说明

图1是本发明实施例路由器的部件连接结构示意图。

图2是本发明实施例路由器在内网和外网连接中应用的结构示意图。

具体实施方式

下面结合附图对本发明做进一步详细说明。

一种基于应用层用于连接内网和外网的路由器，如图1所示，包括两个计算机系统：第一计算机系统和第二计算机系统。其中，第一计算机系统包括第一处理器211、第一只读存储器212、第一随机存储器213、第一以太网接口214和第一usb接口215。第一处理器211连接第一只读存储器212、第一随机存储器213、第一以太网接口214和第一usb接口215。第二计算机系统包括第二处理器221、第二只读存储器222、第二随机存储器223、第二以太网接口224和第二usb接口225。第二处理器221连接第二只读存储器222、第二随机存储器223、第二以太网接口224和第二usb接口225。两个计算机系统均安装在电路板220上。两个计算机系统之间通过双口随机存储器230相连。双口随机存储器230的双口分别连接第一处理器211和第二处理器221。两个计算机系统分别安装有两套独立的操作系统和应用程序模块。两套独立的操作系统和应用程序模块分别被存储于第一只读存储器212和第二只读存储器222中。此外，第一只读存储器212和第二只读存储器222为非易失性存储器，通常还存储有配置参数。第一随机存储器213和第二随机存储器223分别作为两个计算机系统的处理器执行程序时的内存。第一usb接口215和第二usb接口225分别是两个计算机系统的配置接口，用于连接配置终端。配置终端通过usb方式分别连接两个计算机系统后分别实现两个计算机系统内操作系统和应用程序模块的更新以及参数配置。

上述实施例的两个计算机系统中，第一计算机系统是本发明所指内网模块，第二计算机系统是本发明所指的外网模块。也就是内网模块通过第一以太网接口214连接内网，外网模块通过第二以太网接口224连接外网。

本发明路由器在网络上应用的拓扑连接，如图2所示。该拓扑连接组成一个系统，该系统包括应用服务器110、客户端120、应用层路由器130、可信验证服务器140以及配置终端150。应用服务器110位于内网，是与客户端120进行应用数据交互的服务器。客户端120可以是位于外网的智能手机、掌上电脑等移动设备，也可以是位于外网的台式计算机或便携式计算机等设备。可信验证服务器140可以由单独的一台服务器实现，也可以是多台服务器组成的服务器集群实现。可信验证服务器140位于外网，并通过网络与客户端120相连。可信验证服务器140用于对客户端120进行可信验证。应用层路由器130，即为本发明所指的基于应用层用于连接内网和外网的路由器，置于外网与内网之间，并连接外网与内网，包括外网模块132和内网模块131。内网模块131和外网模块132即为本发明路由器的两个计算机系统。其中，内网模块131连接内网，并通过内网网络连接内网的应用服务器110；外网模块132连接外网，并通过外网网络连接外网的客户端120和可信验证服务器140。内网模块131和内网模块132相连。应用层路由器130可以有多个，每个应用层路由器130对应于一个内网。每个内网内与内网模块131相连的应用服务器110可以有多个。每个外网模块132连接的客户端120可以有多个。配置终端150用于对内网模块131、外网模块132以及可信验证服务器140进行参数配置。

在上述的系统中，客户端120与应用服务器110进行通信时，首先，向可信验证服务器140发起可信验证，可信验证通过后，客户端120通过可信验证服务器140通过获得授权访问信息。然后客户端120再根据授权访问信息通过本发明的路由器进行与应用服务器110的交互。授权访问信息包括外网模块的外网地址和端口、数据密钥、访问口令、授权许可码等信息。

外网模块的外网地址和端口，也就是外网的ip地址和端口，用于客户端和外网模块建立网络连接。外网模块的外网地址和端口通过可信验证服务器对用户id、应用id的匹配获得。可信验证服务器通过数据库保存了外网模块的外网地址和端口、用户id和应用id的对应关系。可信验证服务器保存外网模块的外网地址和端口、用户id和应用id的对应关系，通过预先的配置处理过程实现配置。

数据密钥用于客户端与外网模块通信交互时数据加解密。数据密钥依赖于客户端与外网模块通信交互时数据加解密所采用的加密算法。客户端与外网模块通信交互时数据加解密通常采用对称加密算法，比如aes、sm1或des等对称加密算法。客户端与外网模块通信交互时数据加解密也可以采用乱码本有限变换加解密方法，数据密钥是动态随机生成的乱码本。乱码本有限变换加解密方法记载于专利文献cn104579646a，本说明书不再赘述。数据密钥可以是预先配置的静态数据，也可以由外网模块和可信验证服务器交互后动态生成。数据密钥为预先配置的静态数据方式下，可以通过预先的配置处理过程实现配置数据密钥。数据密钥动态生成的方式下，可信验证服务器与外网模块进行交互生成数据密钥。可信验证服务器与外网模块进行交互生成数据密钥过程中，数据密钥可以是由可信验证服务器通过随机方式生成，也可以由外网模块通过随机方式生成。需要指出的是，本领域技术人员理解，可信验证服务器与外网模块交互生成数据密钥还存在有更多方法，这些方法的细节并不是本发明所要讨论的范畴，本说明书不再赘述。

访问口令和授权许可码用于客户端与外网模块进行交互时，外网模块对客户端进行身份验证。访问口令和授权许可码均可以是静态数据或动态生成。访问口令为静态数据的情况下，访问口令由预先的配置处理过程实现配置。授权许可码为静态数据的情况下，授权许可码可以由预先的配置处理过程实现配置，也可以是前述注册过程中的注册序列号。访问口令和授权许可码为动态生成的方式下，访问口令和授权许可码可以是随机的字符串。

本发明中，外网模块优选为与可信验证服务器进行交互生成授权许可码、访问口令和数据密钥，具体过程为：首先由可信验证服务器生成授权许可码、访问口令和数据密钥后发送至外网模块。授权许可码优选为注册序列号，访问口令和数据密钥优选为由可信验证服务器通过随机方式生成。然后外网模块接收到授权许可码、访问口令和数据密钥后，在内存中保存授权许可码、访问口令、数据密钥及其对应关系。

客户端与可信验证服务器所进行的可信验证过程并不是本发明所讨论的范畴，本说明不再赘述。

客户端120再根据授权访问信息通过本发明的路由器进行与应用服务器110的交互包含两种情形：第一种情形是客户端120通过本发明的路由器向应用服务器110发送应用数据；第二种情形是应用服务器110通过本发明的路由器向客户端120发送应用数据。客户端120通过本发明的路由器向应用服务器110发送应用数据的过程如下：

首先，客户端将应用数据和授权访问信息相结合后发送给应用层路由器的外网模块。客户端向应用服务器发送的数据由明文和密文所组成。明文是前述的授权许可码，密文是访问口令和应用数据根据数据密钥加密后的数据。

然后，外网模块接收到客户端所发送的数据后，所接收到的数据拆解成应用数据和授权访问信息，然后对授权访问信息进行验证，授权访问信息验证通过后将应用数据、应用id和会话id发送至内网模块。将所接收到的数据拆解成应用数据和授权访问信息也就是通过数据中的明文获得授权许可码和通过数据中的密文解密后获得应用数据和访问口令的过程。对授权访问信息进行验证是根据授权许可码和访问口令进行验证的过程，也就是比较数据报文拆解得到的授权许可码和访问口令是否与外网模块所保存的授权许可码和访问口令是否一致。本步骤中的应用id是存于非易失性存储器中的信息，通过预先的配置处理过程实现配置。会话id是外网模块和客户端建立连接时生成，用于标识网络连接套接字(socket)。

最后，内网模块接收到外网模块所发送的应用数据、应用id和会话id后，根据应用id找出相应的应用服务器的内网地址和端口，然后将应用数据发送至相应内网地址和端口的应用服务器。内网模块通过非易失性存储器存储有应用服务器的内网地址和端口和应用id的对应关系。应用服务器的内网地址和端口和应用id的对应关系由预先的配置处理过程实现配置。

应用服务器110通过本发明的路由器向客户端120发送应用数据的过程如下：

首先，内网模块接收到应用服务器所发送的应用数据后，将应用数据和相应的会话id发送至外网模块。

然后，外网模块接收到内网模块所发送的应用数据和会话id后，根据会话id找出相应的客户端的外网地址和端口，然后根据数据密钥对应用数据加密后发送给客户端。实际处理过程中，根据会话id找出相应的客户端的外网地址和端口，是根据会话id找到相应网络连接套接字的过程。

上述两种情形的处理过程中，内网模块和外网模块所执行的动作即为本发明所指的路由方法。也就是该路由方法涉及由外网的客户端至内网的应用服务器的所进行路由处理过程和内网的应用服务器至外网的客户端所进行的路由处理过程。由上述两种路由处理过程可以看出，本发明的路由器的内网模块和外网模块，并非直接对内网和外网的网络地址和端口进行映射转换，中间通过应用id和会话id的指代，因此是应用层面的路由器。显而易见地，本发明技术方案之下，应用层路由器仅仅对指定的应用程序进行数据报文的路由，而且内网模块和外网模块相互物理隔离，因此，对于应用服务器上非指定的应用程序或操作系统中所存在的系统漏洞，外网也无法进行攻击。

前述各步骤中涉及了配置处理过程。配置处理过程是上述系统的架构中配置终端150与内网模块131、外网模块132、应用层路由器130进行交互的处理过程。配置终端150通过配置接口分别连接内网模块131和外网模块132，并通过网络连接可信验证服务器140。配置接口在图1所示的实施方式下，为usb接口。本发明中，配置接口优选为usb接口。配置终端150通过配置接口分别向内网模块131和外网模块132下发配置数据或更新程序软件。内网模块131和外网模块132则保存配置数据。

内网模块的配置数据包括但不限于前述内网模块131中应用服务器的内网地址和端口和应用id的对应关系。外网模块的配置数据包括但不限于：客户端模块与外网模块通信交互所用的数据密钥、访问口令和授权许可码为静态数据时的数据密钥、访问口令和授权许可码和应用id的的对应关系，或者客户端模块与外网模块通信交互所用的数据密钥动态生成所需的与可信验证服务器进行交互的协议参数，外网模块的外网端口和应用id的对应关系。