一种基于服务侧的数据安全访问方法与流程

1.本发明涉及计算机网络技术领域，具体涉及一种基于服务侧的数据安全访问方法。


背景技术：

2.对安全性要求极高企业(如银行)通常会在内部网络会设立一个dmz区，在这个区域放置一些必须公开的服务器设施，如企业web服务器、ftp服务器等，这个区域访问内网会受到严格的限制，只允许访问内网固定的服务和资源，内网不能访问该区域，以此来提高内网安全性。但是现在企业不得不面临内部建设，即要支持公网访问也要访问公网的情况(例如：请求微信公众号接口，请求apple的推送服务)。
3.公网访问内网：公网隔离区的服务不得不访问内部多个资源，(例如ftp服务需要访问内网的存储服务器)，这相当于把内网的服务暴露在了公网隔离区，安全上面大打折扣。
4.在申请号为：cn201810049379.3的专利文件中公开了一种基于服务侧的数据安全访问方法及系统，包括以下步骤：公网服务器接收客户端的客户请求，根据客户请求生成最终请求，将最终请求发送给内网消息队列装置；内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求；内网服务器根据最终请求生成响应，将响应发送给内网消息队列装置；公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应，对响应进行解析得到回复消息，将回复消息发送给客户端。本发明通过内网消息队列装置，公网不仅可以访问内网的资源和服务，而且内网不再直接暴露资源和服务，安全性更佳。
5.但是，其在实际应用的过程中仍存在以下不足：第一，安全性不佳，因为其仅仅通过公网服务器对客户端的请求进行合规校验，这就存在含有病毒的访问请求躲过公网服务器的检查并潜入内网服务器的可能。
6.第二，资源消耗较大，因为其公网服务器和内网服务器都需要主动的读取消息队列装置中是否有发送给自己的消息，这使得每个公网应用服务器和内网应用服务器都需要不停的扫描消息队列装置。


技术实现要素：

7.解决的技术问题针对现有技术所存在的上述缺点，本发明提供了一种基于服务侧的数据安全访问方法，能够有效地解决现有技术存在安全性不佳和资源消耗较大等问题。
8.技术方案为实现以上目的，本发明通过以下技术方案予以实现：一种基于服务侧的数据安全访问方法，包括以下步骤：步骤（1），客户端向公网服务器发送一级访问请求；
步骤（2），公网服务器根据接收到的访问请求生成二级访问请求，并将二级访问请求发送给消息队列模块；步骤（3），消息队列模块将二级访问请求发送给沙盒模块进行合规检验；步骤（4），若上述步骤（3）中的合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器；步骤（5），镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块；步骤（6），消息队列模块将接收到的反馈响应发送给公网服务器；步骤（7），公网服务器将接收到的反馈响应发送回客户端。
9.更进一步地，所述公网服务器包括设置在外网中的若干个公网应用服务器，所述消息队列模块包括请求消息队列模块和反馈消息队列模块，所述镜像服务器包括若干个镜像应用服务器，所述内网服务器包括设置在内部局域网中的若干个内网应用服务器，所述客户端包括设置在外网中的若干个客户终端。
10.更进一步地，所述公网应用服务器、请求消息队列模块、反馈消息队列模块、镜像应用服务器、内网应用服务器和客户终端均有唯一的地址名。
11.更进一步地，所述消息队列模块与公网服务器之间设有防火墙，并且所述消息队列模块与镜像服务器之间也设有防火墙。
12.更进一步地，所述镜像服务器只能对内网服务器中指定的区域进行实时的信息复制。
13.更进一步地，所述公网应用服务器接收来自客户终端发送的一级访问请求并对该一级访问请求进行解析并进行合规检验，若合规检验通过，则生成二级访问请求并将该二级访问请求发送至请求消息队列模块，若合规检验不通过，则不响应，并向对应的客户终端返回无效请求信息；所述一级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名和用于标记公网应用服务器的地址名；所述二级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名、用于标记镜像应用服务器的地址名、用于标记访问消息队列模块的地址名和用于标记沙盒模块的地址名。
14.更进一步地，所述请求消息队列模块将二级访问请求发送至沙盒模块，所述沙盒模块对二级访问请求进行解析并运行二级访问请求来对其进行合规检验，若合规检验通过，则将二级访问请求发送至镜像应用服务器，若合规检验不通过，则不响应，并依次向反馈消息队列模块、公网应用服务器和客户终端返回无效请求信息。
15.更进一步地，所述镜像应用服务器对接收到二级访问请求进行解析，并生成反馈响应，所述反馈响应包括与客户请求内容对应的反馈内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名和用于标记反馈消息队列模块的地址名。
16.更进一步地，所述镜像应用服务器将反馈响应发送至反馈消息队列模块，所述反馈消息队列模块对反馈响应进行解析来将反馈响应发送至对应的公网应用服务器。
17.更进一步地，所述公网应用服务器对接收到的反馈信息进行解析来将反馈响应发送至对应的客户终端。
18.有益效果采用本发明提供的技术方案，与已知的公有技术相比，具有如下有益效果：本发明通过公网服务器将客户端的发送一级访问请求进行合规检验并转换为二级访问请求，然后将通过合规检验的二级访问请求发送给消息队列模块，消息队列模块将二级访问请求发送给沙盒模块进行合规检验，若合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器，镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块，消息队列模块将接收到的反馈响应发送给公网服务器，公网服务器将接收到的反馈响应发送回客户端，其中镜像服务器只能对内网服务器中指定的区域进行实时的信息复制，并且消息队列模块与公网服务器之间设有防火墙，同时消息队列模块与镜像服务器之间也设有防火墙的设计。
19.这样可以通过公网服务器和沙盒模块对客户端发送的访问请求进行两次合规检验，同时在镜像服务器的配合下使得，访问请求只能镜像服务器之间进行交流，从而将内网服务器与访问请求隔离；此外，访问请求和反馈响应的传递都是接收方收到消息后主动将消息及时的转送出去，从而使得镜像服务器和公网服务器不需要实时地对消息队列模块进行扫描。
20.达到有效地提升内网服务器的安全，同时也有效地降低服务器资源消耗的效果。
附图说明
21.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
22.图1为本发明的系统结构图；图2为本发明的流程示意图。
具体实施方式
23.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
24.下面结合实施例对本发明作进一步的描述。
实施例
25.本实施例的一种基于服务侧的数据安全访问方法，参照图1-2：首先设置公网服务器、消息队列模块、镜像服务器和内网服务器，构建出公网服务器、消息队列模块、镜像服务器、内网服务器和终端设备的网络系统。其中，公网服务器包括设置在外网中的若干个公网应用服务器，消息队列模块包括请求消息队列模块和反馈消息队列模块，镜像服务器包括若干个镜像应用服务器，内网服务器包括设置在内部局域网中的若干个内网应用服务器，客户端包括设置在外网中的若干个客户终端。
26.值得注意的是：镜像服务器只能对内网服务器中指定的区域进行实时的信息复制。这样可以通过镜像服务器将内网服务器与访问请求进行隔离，机访问请求不会对内网服务器有任何影响，同时内网服务器可以实时读取镜像服务器与接收到的访问请求和生成反馈响应的记录。
27.值得注意的是：公网应用服务器、请求消息队列模块、反馈消息队列模块、镜像应用服务器、内网应用服务器和客户终端均有唯一的地址名。
28.值得注意的是：消息队列模块与公网服务器之间设有防火墙，并且消息队列模块与镜像服务器之间也设有防火墙。
29.实际应用时的具体步骤为：步骤（1），客户端向公网服务器发送一级访问请求。
30.步骤（2），公网应用服务器接收来自客户终端发送的一级访问请求并对该一级访问请求进行解析并进行合规检验。
31.若合规检验通过，则生成二级访问请求并将该二级访问请求发送至请求消息队列模块；若合规检验不通过，则不响应，并向对应的客户终端返回无效请求信息。
32.值得注意的是：一级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名和用于标记公网应用服务器的地址名。
33.值得注意的是：二级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名、用于标记镜像应用服务器的地址名、用于标记访问消息队列模块的地址名和用于标记沙盒模块的地址名。
34.步骤（3），请求消息队列模块将二级访问请求发送至沙盒模块，沙盒模块对二级访问请求进行解析并运行二级访问请求来对其进行合规检验。
35.步骤（4），紧接上述上述步骤（3）：若合规检验通过，则将二级访问请求发送至镜像应用服务器；若合规检验不通过，则不响应，并依次向反馈消息队列模块、公网应用服务器和客户终端返回无效请求信息。
36.步骤（5），镜像应用服务器对接收到二级访问请求进行解析，并生成反馈响应，反馈响应包括与客户请求内容对应的反馈内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名和用于标记反馈消息队列模块的地址名，然后将反馈响应发送给消息队列模块。
37.步骤（6），反馈消息队列模块对反馈响应进行解析来将反馈响应发送至对应的公网应用服务器。
38.步骤（7），公网应用服务器对接收到的反馈信息进行解析来将反馈响应发送至对应的客户终端。
39.在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
40.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不会使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。