内网访问方法及系统与流程

本发明实施例涉及安全通信，尤其涉及一种内网访问方法及系统。

背景技术：

1、目前提供http（hypertext transfer protocol，超文本传输协议）访问的服务端使用公网ip对外暴露80/443端口，浏览器/客户端提出服务请求，服务端和客户端建立连接，则可以互相通信。由于安全限制或者无对外ip的条件，http服务端无法对公网暴露80/443端口，导致外部无法调用内网http服务。

技术实现思路

1、本发明实施例提供一种内网访问方法及系统，通过发布订阅模式，实现外部客户端能够安全地访问内网http服务。

2、第一方面，本发明实施例提供了一种内网访问方法，应用于内网访问系统，所述内网访问系统包括：部署于内网的至少一http代理服务、部署于外网的http转发服务以及支持发布订阅模式的数据库，所述至少一http代理服务以及所述http转发服务均连接所述数据库；所述方法包括：

3、每个所述http代理服务以及所述http转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个http代理服务与所述http转发服务之间通信数据的对称加密密钥；其中，每个所述http代理服务预置有非对称密钥对中的私钥，所述http转发服务预置有所有http代理服务的私钥对应的公钥；

4、所述http转发服务与各个所述http代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的http服务。

5、作为一个实施例，所述数据库为redis，所述http转发服务订阅redis的对称密钥协商公共频道；

6、所述每个所述http代理服务以及所述http转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个http代理服务与所述http转发服务之间通信数据的对称加密密钥，包括：

7、任一http代理服务通知所述数据库生成用于接收协商对称密钥的临时频道，所述任一http代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求；

8、所述http转发服务监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥，并采用所述任一http代理服务的私钥对应的公钥对所述对称加密密钥加密，将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道；

9、所述任一http代理服务通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一http代理服务与所述http转发服务之间的对称加密密钥。

10、作为一个实施例，所述每个所述http代理服务以及所述http转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个http代理服务与所述http转发服务之间通信数据的对称加密密钥，包括：每个所述http代理服务按照预设更新周期进行协商得到对应的对称加密密钥。通信过程中定期使用非对称密钥协商对称加密密钥对，保证了数据传输的安全性。

11、作为一个实施例，所述每个所述http代理服务以及所述http转发服务基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个http代理服务与所述http转发服务之间通信数据的对称加密密钥，包括：

12、每个所述http代理服务根据所述http代理服务与所述http转发服务之间的通信频率确定密钥更新周期，并按照所述密钥更新周期进行协商得到对应的对称加密密钥。

13、作为一个实施例，所述http转发服务以及所述http代理服务基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的http服务，包括：

14、所述http转发服务接收到外网客户端的请求后，通知所述redis生成临时通信频道，所述http转发服务订阅所述临时通信频道并采用目标http代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求，并将所述加密访问请求发布至所述redis的数据传输专用频道；

15、所述目标http代理服务监听订阅的数据传输专用频道得到所述加密访问请求后，采用对称加密密钥解密后得到所述请求的请求数据，将所述请求数据转发至所述内网的http服务后得到响应结果，然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道；

16、所述http转发服务通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后，采用所述目标http代理服务的对称加密密钥解密，并将解密后的所述响应结果返回所述客户端。

17、第二方面，本发明实施例还提供了一种内网访问系统，包括：部署于内网的至少一http代理服务、部署于外网的http转发服务以及支持发布订阅模式的数据库，所述至少一http代理服务以及所述http转发服务均与所述数据库相连；

18、每个所述http代理服务以及所述http转发服务用于基于预置的非对称密钥以及所述数据库的发布订阅模式协商得到各个http代理服务与所述http转发服务之间通信数据的对称加密密钥；其中，每个所述http代理服务预置有非对称密钥对中的私钥，所述http转发服务预置有所有http代理服务的私钥对应的公钥；

19、所述http转发服务与各个所述http代理服务用于基于所述数据库的发布订阅模式以及所述对称加密密钥访问所述内网的http服务。

20、作为一个实施例，所述数据库为redis，所述http转发服务订阅redis的对称密钥协商公共频道；

21、任一http代理服务用于通知所述数据库生成用于接收协商对称密钥的临时频道，所述任一http代理服务订阅所述用于接收协商对称密钥的临时频道并向所述对称密钥协商公共频道发送协商密钥请求；

22、所述http转发服务用于监听所述对称密钥协商公共频道得到所述协商密钥请求后生成对称加密密钥，并采用所述任一http代理服务的私钥对应的公钥对所述对称加密密钥加密，将加密的所述对称加密密钥发布至所述用于接收协商对称密钥的临时频道；

23、所述任一http代理服务用于通过已经订阅的所述用于接收协商对称密钥的临时频道监听到加密的所述对称加密密钥后采用预置的私钥解密后得到所述任一http代理服务与所述http转发服务之间的对称加密密钥。

24、作为一个实施例，包括：

25、每个所述http代理服务以及所述http转发服务用于按照预设更新周期进行协商得到对应的对称加密密钥。

26、作为一个实施例，包括：每个所述http代理服务用于根据所述http代理服务与所述http转发服务之间的通信频率确定密钥更新周期，并按照所述密钥更新周期进行协商得到对应的对称加密密钥。

27、作为一个实施例，包括：

28、所述http转发服务用于接收到外网客户端的请求后，通知所述redis生成临时通信频道，所述http转发服务订阅所述临时通信频道并采用目标http代理服务的对称加密密钥对所述请求的请求数据以及所述临时通信频道的信息加密得到加密访问请求，并将所述加密访问请求发布至所述redis的数据传输专用频道；

29、所述目标http代理服务还用于监听订阅的数据传输专用频道得到所述加密访问请求后，采用对称加密密钥解密后得到所述请求的请求数据，将所述请求数据转发至所述内网的http服务后得到响应结果，然后将所述响应结果采用对称加密密钥加密后发布至所述临时通信频道；

30、所述http转发服务还用于通过已经订阅的所述临时通信频道监听得到加密的所述响应结果后，采用所述目标http代理服务的对称加密密钥解密，并将解密后的所述响应结果返回所述客户端。

31、本发明实施例提供的技术方案与现有技术相比至少具备以下积极效果：

32、本发明实施例在内网侧部署http代理服务，在外网侧部署http转发服务以及支持发布订阅模式的数据库的基础上，通过http代理服务以及http转发服务基于数据库的发布订阅模式以及预置的非对称密钥协商得到各个http代理服务与http转发服务之间通信数据的对称加密密钥；http转发服务以及http代理服务基于发布订阅模式以及对称加密密钥访问内网的http服务，实现了内网http无法对外暴露80/443端口的情况下的对外访问，且通信过程中通过对称密钥加解密数据，提高了网络的安全可靠性；同时各http代理服务以及http转发服务分别存储服务端与客户端的一对公私密钥证书，确保不同区域的内网http服务安全隔离。