一种业务系统的间接访问方法及系统与流程

本发明实施例涉及网络安全领域，具体涉及一种业务系统的间接访问方法及系统。

背景技术：

在移动化和云化的大背景下，越来越多的企业使用移动设备、云应用进行办公，通过移动设备来访问企业的业务系统，企业的业务系统是指提供给企业人员使用的，对业务处理过程进行针对性支持的业务员信息系统，能够为企业中繁杂的工作提供有力的工具支撑，例如：oa系统、erp系统以及crm系统等。

但是这些系统一般在开发时仅支持http协议，但是由于http协议不具有安全性，企业在使用该系统时，需要对系统进行改造，将企业业务系统改造成支持https协议的系统，若不改造则可能带来系统安全问题。对于此问题，目前还没有无需对企业业务系统进行改造就实现安全协议转换的方法。

技术实现要素：

本发明实施例的目的在于提供一种业务系统的间接访问方法及系统，用以解决现有技术中，必须对企业业务系统自身的传输协议进行改造才能进行安全访问的问题。

为实现上述目的，本发明实施例主要提供如下技术方案：

第一方面，本发明实施例提供了一种业务系统的间接访问方法，所述方法包括：在业务系统的服务器端部署网关；浏览器客户端与所述网关建立https通信连接；浏览器客户端通过私有dns向网关发送访问请求；网关接收所述访问请求，并与所述业务系统建立http通信连接，获取业务系统的服务器资源；其中，所述网关同时支持https通信协议与http通信协议。

进一步地，所述私有dns的功能，具体包括：将业务系统的配置信息下发给浏览器和网关，所述配置信息包括业务系统的https协议的虚拟域名、http协议的真实ip地址和对应的网关ip；用户通过浏览器输入https的虚拟域名发送访问请求时，浏览器根据配置信息，将https的虚拟域名解析到网关ip上，以控制数据包通过https协议发送到网关；网关收到数据包后，再根据所述配置信息，将网关ip关联至对应的业务系统真实ip地址，以控制数据包通过http协议发到业务系统。

进一步地，所述配置信息由管理员在后台配置，再通过后台将配置信息下发至浏览器和网关。

进一步地，业务系统的服务器支持基于http或https的查询机制，并通过http或https接受所述私有dns的查询消息。

进一步地，所述网关用于：与客户端建立https连接，接收客户端的请求数据包和后台下发的配置信息；判断所述请求数据包的转发规则；与所述业务系统建立http连接；根据所述转发规则将请求数据包转发至对应位置。

进一步地，所述网关还用于：根据网络传输数据的类型进行https与http协议之间的转换，并根据配置信息将业务系统的网关ip关联至业务系统真实ip地址。

第二方面，本发明实施例还提供一种业务系统的间接访问系统，

所述系统包括客户端和服务器，所述客户端用于客户通过浏览器访问业务系统，并与网关建立连接；所述服务器，用于创建业务系统、部署网关以及执行一个或多个程序指令，用以执行一种业务系统的间接访问方法，所述网关用于接收客户端发送的请求数据包，并对所述请求数据包的传输协议进行转换，与业务系统建立连接，根据转发规则将所述请求数据包转发至对应位置。

第三方面，本发明实施例还提供一种计算机可读存储介质，

所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被一种业务系统的间接访问系统执行一种业务系统的间接访问方法。

本发明实施例提供的技术方案至少具有如下优点：

本发明实施例通过网关与客户端建立https连接，与业务系统建立http连接，网关自身支持https协议和http协议，只需在业务系统的网络出口布置该网关，即可实现https和http的互相转换，无需对业务系统自身进行改造，且能够保证业务系统暴露在外网部分的数据安全。

附图说明

图1为本发明实施例提供的一种业务系统的间接访问方法的流程图。

图2为本发明实施例提供的一种业务系统的私有dns功能说明图。

图3为本发明实施例提供的一种业务系统的间接访问方法的数据传输关系图。

图4为本发明实施例提供的一种业务系统的间接访问系统结构图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、接口、技术之类的具体细节，以便透彻理解本发明。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

本发明实施例提供一种业务系统的间接访问方法，参考图1，该方法包括：

s1、在业务系统的服务器端部署网关；

网关设置在客户端和内网业务系统应用之间，通过客户端发出的对业务系统的访问请求都是要经过网关的验证和过滤。服务器用来对所有的客户端网页进行管理，制定安全策略，且与企业已有的身份管理系统对接。

需要说明的是该网关同时支持https(securehypertexttransferprotocol)安全超文本传输协议和http(hypertexttransferprotocol)超文本传输协议，https是由netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。https实际上应用了netscape的完全套接字层(ssl)作为http应用层的子层。网关能够通过进行https协议与http协议之间的转换，具体地，通过和ssl(securesocketlayer，安全套接层)组合使用，加密通信内容，建立安全通信线路实现http到https的转换，通过标准解密操作实现https到http的转换。

s2、浏览器客户端与网关建立https通信连接；

由于浏览器与网关之间的数据是暴露在互联网中的，因此为了保证数据的安全，需要建立浏览器与网关之间的https通信连接。

s3、浏览器客户端通过私有dns向网关发送访问请求，

具体地，参考图2，管理员在后台进行信息配置，再通过后台将配置信息下发至浏览器和网关将业务系统的配置信息下发给浏览器和网关，配置信息包括业务系统的https协议的虚拟域名、http协议的真实ip地址和对应的网关ip；该https协议的虚拟域名、http协议的真实ip地址和对应的网关ip均为一一对应关系；

当用户通过浏览器输入https的虚拟域名发送访问请求时，浏览器根据配置信息，将https的虚拟域名解析到网关ip上，以控制数据包通过https协议发送到网关；

网关收到数据包后，再根据所述配置信息，将网关ip关联至对应的业务系统真实ip地址，以控制数据包通过http协议发到业务系统。

其中，业务系统的服务器支持基于http或https的查询机制，并通过http或https接受私有dns的查询消息，以便于根据数据包的具体内容获取目标内部链接相对应的资源数据。

另外，参考图3，当客户端发出访问请求时，网关首先与客户端建立https连接，用于接收客户端的请求数据包；网关判断请求数据包的转发规则，以便于根据数据包的类型将数据包发送到对应位置，网关将遵循https协议的数据包转换成http后，与业务系统建立http连接，执行转发规则将请求数据包转发至对应位置。此方法能够使业务系统暴露在外网的部分进行加密，保证其安全性，但是又无需对业务系统自身进行改造。

s4、网关接收访问请求，并与业务系统建立http通信连接，获取业务系统的服务器资源；

其中，网关接收访问请求后对于需要预先建立网关与服务器的关联关系，将网关ip地址和业务系统的真实ip地址形成映射关系，将网关和业务系统进行关联。可以理解为：预先将业务系统的身份信息发送给网关进行存储。以便于网关确定业务系统的位置，确定其在云端或本地或服务器上。

本发明实施例通过网关与客户端建立https连接，与业务系统建立http连接，网关自身支持https协议和http协议，只需在业务系统的网络出口布置该网关，即可实现https和http的互相转换，无需对业务系统自身进行改造，且能够保证业务系统暴露在外网部分的数据安全。

与上述实施例对应的，本发明实施例提供一种业务系统的间接访问系统，参考图4，该系统包括客户端和服务器，

客户端用于客户通过浏览器发送访问请求与网关建立连接，访问业务系统服务器以获取服务器资源。

服务器，用于创建业务系统、部署网关以及执行一个或多个程序指令，用以执行一种业务系统的间接访问方法。

网关用于接收客户端发送的请求数据包，并对请求数据包的传输协议进行https和http之间的转换，根据转发规则将请求数据包转发至对应位置；

上述网关还用于与服务器ip地址进行关联，实现客户端的访问请求与服务器真实ip地址之间的转接。

本发明实施例通过网关与客户端建立https连接，与业务系统建立http连接，网关自身支持https协议和http协议，只需在业务系统的网络出口布置该网关，即可实现https和http的互相转换，无需对业务系统自身进行改造，且能够保证业务系统暴露在外网部分的数据安全。

与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，其特征在于，所述计算机存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被一种业务系统的间接访问系统执行一种业务系统的间接访问方法。

本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的方法。

在本发明实施例中，存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(read-onlymemory，简称rom)、可编程只读存储器(programmablerom，简称prom)、可擦除可编程只读存储器(erasableprom，简称eprom)、电可擦除可编程只读存储器(electricallyeprom，简称eeprom)或闪存。

易失性存储器可以是随机存取存储器(randomaccessmemory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(staticram，简称sram)、动态随机存取存储器(dynamicram，简称dram)、同步动态随机存取存储器(synchronousdram，简称sdram)、双倍数据速率同步动态随机存取存储器(doubledataratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlinkdram，简称sldram)和直接内存总线随机存取存储器(directrambusram，简称drram)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。