一种基于服务侧的数据安全访问方法及系统与流程
本发明属于计算机网络技术领域,具体涉及一种基于服务侧的数据安全访问方法及系统。
背景技术:
对安全性要求极高企业(如银行)通常会在内部网络会设立一个dmz区,,在这个区域放置一些必须公开的服务器设施,如企业web服务器、ftp服务器等,这个区域访问内网会受到严格的限制,只允许访问内网固定的服务和资源,内网不能访问该区域,以此来提高内网安全性。但是现在企业不得不面临内部建设,即要支持公网访问也要访问公网的情况(例如:请求微信公众号接口,请求apple的推送服务)。
公网访问内网:公网隔离区的服务不得不访问内部多个资源,(例如ftp服务需要访问内网的存储服务器),这相当于把内网的服务暴露在了公网隔离区,安全上面大打折扣。
技术实现要素:
针对现有技术中的缺陷,本发明提供了一种基于服务侧的数据安全访问方法及系统,通过内网消息队列装置,公网不仅可以访问内网的资源和服务,而且内网不再直接暴露资源和服务,安全性更佳。
第一方面,本发明提供了一种基于服务侧的数据安全访问方法,包括以下步骤:
公网服务器接收客户端的客户请求,根据客户请求生成最终请求,将最终请求发送给内网消息队列装置;
内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求;
内网服务器根据最终请求生成响应,将响应发送给内网消息队列装置;
公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给客户端。
优选地,所述公网服务器包括若干个公网应用服务器,所述内网消息队列装置包括若干个消息队列模块,所述内网服务器包括若干个内网应用服务器;
每个消息队列模块设有唯一的模块名,每个公网应用服务器设有唯一的公服务器名,每个内网应用服务器设有唯一的内服务器名。
优选地,所述公网服务器接收客户端的客户请求,根据客户请求生成最终请求,将最终请求发送给内网消息队列装置具体为:
公网应用服务器接收客户端的客户请求,对客户请求进行合规校验;根据校验合规的客户请求生成最终请求;将最终请求发送给内网消息队列装置的第一消息队列模块;最终请求包括客户请求、用于标记客户请求对应的客户端的会话id和用于标记公网应用服务器的公服务器名。
优选地,所述内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求具体为:
与第一消息队列模块相关联的内网应用服务器访问第一消息队列模块,并获取第一消息队列模块反馈的最终请求。
优选地,所述内网服务器根据最终请求生成响应,将响应发送给内网消息队列装置具体为:
内网应用服务器对最终请求进行解析,得到客户请求、会话id和公服务器名;根据客户请求生成回复消息,再根据回复消息和会话id生成响应;根据公服务器名,将响应发送给与公服务器名相关联的内网消息队列装置的第二消息模块。
优选地,所述公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给客户端具体为:
公服务器名所标记的公网应用服务器访问第二消息模块,并获取第二队列模块反馈的响应,对响应进行解析,得到回复消息和会话id,检查会话id是否存在,若存在将回复消息发送给会话id所标记的客户端。
优选地,所述第一消息队列模块和第二消息队列模块为相同的消息队列模块或不同的消息队列模块。
第二方面,本发明提供了一种基于服务侧的数据安全访问方法,包括以下步骤:
内网服务器接收服务端的内部请求,根据内部请求生成最终请求,将最终请求发送给内网消息队列装置;
外网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求;
外网服务器根据最终请求生成响应,将响应发送给内网消息队列装置;
内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给服务端。
第三方面,本发明提供了一种基于服务侧的数据安全访问系统,适用于第一方面和第二方面所述的基于服务侧的数据安全访问方法,包括:
公网服务器,用于将接收的客户端的客户请求发送给内网消息队列装置,并通过内网消息队列装置获取内网服务器对客户请求的响应;还用于对服务端的内部请求做出响应;
内网消息队列装置,用于实现公网服务器和内网服务器之间的通信;
内网服务器,用于将接收的服务端的内部请求发送给内网消息队列装置,并通过内网消息队列装置获取外网服务器对内部请求的响应;还用于对客户端的客户请求做出响应;
公网服务器和内网消息队列装置之间设有用于过滤数据的第一防火墙,所述内网消息队列装置和内网服务器之间设有用于过滤数据的第二防火墙。
优选地,所述公网服务器包括若干个公网应用服务器,所述内网消息队列装置包括若干个消息队列模块,所述内网服务器包括若干个内网应用服务器;
每个消息队列模块设有唯一的模块名,每个公网应用服务器设有唯一的公服务器名,每个内网应用服务器设有唯一的内服务器名。
本发明的有益效果为:通过内网消息队列装置,公网不仅可以访问内网的资源和服务,而且内网不再直接暴露资源和服务,安全性更佳。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本实施例中基于服务侧的数据安全访问方法的流程图;
图2为本实施例中基于服务侧的数据安全访问系统的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
实施例一:
本实施例提供了一种基于服务侧的数据安全访问方法,该方法在公网服务器、内网消息队列装置和内网服务器上运行。
所述公网服务器包括第一公网应用服务器、第二公网应用服务器……第l(正整数)公网应用服务器等若干个公网应用服务器。
所述内网消息队列装置包括第一消息队列模块、第二消息队列模块……第n(正整数)消息队列模块等若干个消息队列模块。
所述内网服务器包括第一内网应用服务器、第二内网应用服务器……第m内网应用服务器等若干个内网应用服务器。
每个消息队列模块设有唯一的模块名(例如模块f1、模块f2……模块fn等),每个公网应用服务器设有唯一的公服务器名(例如公服f1、公服f2……公服fl等),每个内网应用服务器设有唯一的内服务器名(例如内服f1、内服f2……内服fm等)。
本实施例的方法,如图1所示,包括以下步骤:
s1,公网服务器接收客户端的客户请求,根据客户请求生成最终请求,将最终请求发送给内网消息队列装置。
所述s1具体为:
公网应用服务器接收客户端的客户请求,对客户请求进行合规校验;根据校验合规的客户请求生成最终请求;将最终请求发送给内网消息队列装置的第一消息队列模块;最终请求包括客户请求、用于标记客户请求对应的客户端的会话id和用于标记公网应用服务器的公服务器名。
例如,客户端x向第二公网应用服务器f2发起的客户请求,第二公网应用服务器进行合规校验,校验这个请求是否合法。第二公网应用服务器f2保持与客户端x的会话,并为此生成唯一的会话id,该会话id为客户端标记x,合规校验后生成最终请求,最终请求包括客户请求、x(x为会话id)、外服f2(第二公网应用服务器f2的服务器名),然后将最终请求发送给第一消息队列模块f1。
s2,内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求。
所述s2具体为:
与第一消息队列模块相关联的内网应用服务器访问第一消息队列模块,并获取第一消息队列模块反馈的最终请求。
例如与第一消息队列模块f1相关联的第一内网应用服务器f1访问第一消息队列模块f1,并得到最终请求。
s3,内网服务器根据最终请求生成响应,将响应发送给内网消息队列装置。
所述s3具体为:
内网应用服务器对最终请求进行解析,得到客户请求、会话id和公服务器名;根据客户请求生成回复消息,再根据回复消息和会话id生成响应;根据公服务器名,将响应发送给与公服务器名相关联的内网消息队列装置的第二消息模块。
例如,第一内网应用服务器f1对最终请求进行解析,得到客户请求、x、外服f2。根据客户请求生成回复消息,将回复消息和x一起打包生成响应,将响应发送到外服f2的通道第二消息队列模块f2上。
s4,公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给客户端。
所述s4具体为:
公服务器名所标记的公网应用服务器访问第二消息模块,并获取第二队列模块反馈的响应,对响应进行解析,得到回复消息和会话id,检查会话id是否存在,若存在将回复消息发送给会话id所标记的客户端。
本实例中的所述第一消息队列模块和第二消息队列模块可以为相同的消息队列模块,也可以为不同的消息队列模块。
例如第二公网应用服务器f2访问第二消息模块f2,并对获得的响应进行解析,得到回复消息和x,当检测客户端x在线时,将回复消息反馈给客户端x,从而完成通信。
综上所述,本实施例中通过内网消息队列装置,公网客户端不仅可以访问内网的资源和服务,而且内网不再直接暴露资源和服务,安全性更佳。
实施例二:
本实施例提供了一种基于服务侧的数据安全访问方法,包括以下步骤:
内网服务器接收服务端的内部请求,根据内部请求生成最终请求,将最终请求发送给内网消息队列装置;
外网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求;
外网服务器根据最终请求生成响应,将响应发送给内网消息队列装置;
内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给服务端。
本实施例与实施例一的区别在于,实施例一阐述了公网客户端访问内网数据的方法,本实施例阐述了内网服务端访问公网数据方法。本实施例的方法的实现过程与实施例一相似。
实施例三:
本实施例提供了一种基于服务侧的数据安全访问系统,适用于实施例一和实施例二所述的基于服务侧的数据安全访问方法,如图2所示,包括:
公网服务器,用于将接收的客户端的客户请求发送给内网消息队列装置,并通过内网消息队列装置获取内网服务器对客户请求的响应;还用于对服务端的内部请求做出响应;
内网消息队列装置,用于实现公网服务器和内网服务器之间的通信;
内网服务器,用于将接收的服务端的内部请求发送给内网消息队列装置,并通过内网消息队列装置获取外网服务器对内部请求的响应;还用于对客户端的客户请求做出响应;
本实施例的系统有三道防火墙墙,公网服务器和内网消息队列装置之间设有用于过滤数据的第一防火墙,所述内网消息队列装置和内网服务器之间设有用于过滤数据的第二防火墙,公网服务器和客户端之间设有用于过滤数据的第三防火墙。
客户端只能单向主动访问公网服务器,公网服务器不能主动访问外网客户端。公网服务器只能单向主动访问内网消息队列装置,内网服务器只能单向主动访问内网消息队列装置,内网消息队列装置不能主动访问公网服务器和内网服务器。内外网的数据通信全部通过内网消息队列装置,均使用ssl加密通信。
本实施例的所述公网服务器包括第一公网应用服务器、第二公网应用服务器……第l(正整数)公网应用服务器等若干个公网应用服务器。
所述内网消息队列装置包括第一消息队列模块、第二消息队列模块……第n(正整数)消息队列模块等若干个消息队列模块。
所述内网服务器包括第一内网应用服务器、第二内网应用服务器……第m内网应用服务器等若干个内网应用服务器。
每个消息队列模块设有唯一的模块名(例如模块f1、模块f2……模块fn等),每个公网应用服务器设有唯一的公服务器名(例如公服f1、公服f2……公服fl等),每个内网应用服务器设有唯一的内服务器名(例如内服f1、内服f2……内服fm等)。
本实施例的系统可以实现公网客户端访问内网数据,也能实现内网服务端访问公网数据,其中公网客户端访问内网数据的方法如下:
s1,公网服务器接收客户端的客户请求,根据客户请求生成最终请求,将最终请求发送给内网消息队列装置。
所述s1具体为:
公网应用服务器接收客户端的客户请求,对客户请求进行合规校验;根据校验合规的客户请求生成最终请求;将最终请求发送给内网消息队列装置的第一消息队列模块;最终请求包括客户请求、用于标记客户请求对应的客户端的会话id和用于标记公网应用服务器的公服务器名。
例如,客户端x向第二公网应用服务器f2发起的客户请求,第二公网应用服务器进行合规校验,校验这个请求是否合法。第二公网应用服务器f2保持与客户端x的会话,并为此生成唯一的会话id,该会话id为客户端标记x,合规校验后生成最终请求,最终请求包括客户请求、x(x为会话id)、外服f2(第二公网应用服务器f2的服务器名),然后将最终请求发送给第一消息队列模块f1。
s2,内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求。
所述s2具体为:
与第一消息队列模块相关联的内网应用服务器访问第一消息队列模块,并获取第一消息队列模块反馈的最终请求。
例如与第一消息队列模块f1相关联的第一内网应用服务器f1访问第一消息队列模块f1,并得到最终请求。
s3,内网服务器根据最终请求生成响应,将响应发送给内网消息队列装置。
所述s3具体为:
内网应用服务器对最终请求进行解析,得到客户请求、会话id和公服务器名;根据客户请求生成回复消息,再根据回复消息和会话id生成响应;根据公服务器名,将响应发送给与公服务器名相关联的内网消息队列装置的第二消息模块。
例如,第一内网应用服务器f1对最终请求进行解析,得到客户请求、x、外服f2。根据客户请求生成回复消息,将回复消息和x一起打包生成响应,将响应发送到外服f2的通道第二消息队列模块f2上。
s4,公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给客户端。
所述s4具体为:
公服务器名所标记的公网应用服务器访问第二消息模块,并获取第二队列模块反馈的响应,对响应进行解析,得到回复消息和会话id,检查会话id是否存在,若存在将回复消息发送给会话id所标记的客户端。
本实例中的所述第一消息队列模块和第二消息队列模块可以为相同的消息队列模块,也可以为不同的消息队列模块。
例如第二公网应用服务器f2访问第二消息模块f2,并对获得的响应进行解析,得到回复消息和x,当检测客户端x在线时,将回复消息反馈给客户端x,从而完成通信。
其中内网服务端访问公网数据的方法如下:
内网服务器接收服务端的内部请求,根据内部请求生成最终请求,将最终请求发送给内网消息队列装置;
外网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求;
外网服务器根据最终请求生成响应,将响应发送给内网消息队列装置;
内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应,对响应进行解析得到回复消息,将回复消息发送给服务端。
本实施例中公网客户端访问内网数据的方法和公网客户端访问内网数据的方法的实现过程相似。
综上所述,本实施例中通过内网消息队列装置,公网客户端不仅可以访问内网的资源和服务,而且内网不再直接暴露资源和服务,安全性更佳。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和系统,可以通过其它的方式实现。例如,以上所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。上述单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
- 还没有人留言评论。精彩留言会获得点赞!