一种基于国网隔离装置安全的HTTP服务网关实现方法制造方法及图纸

本发明专利技术公开了一种基于国网隔离装置安全的HTTP服务网关实现方法，包括以下步骤：1）外网网关负责接收外网客户端的请求后对请求进行安全检查和过滤，将合法请求序列化后并写入隔离装置；2）内网网关服务以一定频率从隔离装置获取客户端请求实体，反序列化为HTTP请求并调用目标服务，将响应信息序列化后写入隔离装置；3）外网网关服务以一定频率从隔离装置获取响应信息实体反序列并返回给外网客户端。本发明专利技术可实现外网客户端安全高效的访问内网服务。明可实现外网客户端安全高效的访问内网服务。明可实现外网客户端安全高效的访问内网服务。

【技术实现步骤摘要】
一种基于国网隔离装置安全的HTTP服务网关实现方法


[0001]本专利技术涉及一种基于国网隔离装置安全的HTTP服务网关实现方法，属于内外网穿透访问的系统


技术介绍

[0002]随着智能设备的普及、移动互联网应用条件的不断成熟，智能设备为移动办公开发提供了技术支持；不断提高的劳动力成本以及企业高效运营管理的需求，促使形成了移动办公的趋势。
[0003]移动办公在给企业带来工作流程规范自动化、高效处理事务、高效利用劳动力、节约成本这些好处的同时，在实现上也给企业带来了挑战各种各样的挑战，其中安全属于众多挑战中比较突出的一个。
[0004]为了解决内外网穿透所带来的安全问题，国家电网采用了电力专用网络安全隔离装置，该装置是一种专门为电力系统“二次安全防护设计”的一款单向电力系统隔离装置。
[0005]目前基于隔离装置的内外网穿透的主要实现方式是将业务相关的表创建在隔离装置存储数据库中，内外网通过操作同一个数据库的方式来达到交互的目的。这种方式的缺点主要有以下三个：1）内网网的通信通过数据库表，每次业务变化都修改修改数据库表；2）对于每个业务都需要提供一张单独的表，随着业务的增多表的数量也会随之增长，增加了系统维护的负担；3）不支持HTTP请求。

技术实现思路

[0006]本专利技术所要解决的技术问题是克服现有技术的缺陷，提供一种基于国网隔离装置安全的HTTP服务网关实现方法，通过序列化以及反序列化HTTP请求和响应将内网穿透的实现方式统一，增加了内外网服务调用的灵活性。<br/>[0007]为达到上述目的，本专利技术提供一种基于国网隔离装置安全的HTTP服务网关实现方法，包括以下步骤：1）外网网关服务接收外网客户端的请求后对外网客户端的请求进行安全检查和过滤，将安全的外网网关服务的请求序列化后写入国网隔离装置；2）内网网关服务以一定频率从国网隔离装置获取外网客户端的请求，内网网关服务将外网客户端的请求反序列化为HTTP请求并调用目标服务，内网网关服务将目标服务的HTTP响应信息进行解析得到响应信息反序列后写入国网隔离装置；3）外网网关服务以一定频率从国网隔离装置获取响应信息反序列并返回给外网客户端。
[0008]优先地，步骤1）包括以下内容：当外网网关服务接收到外网客户端的请求时，外网网关服务根据配置的白名单对
外网客户端的请求进行检查过滤，判断外网客户端的请求是否安全，白名单中预先写入安全的外网客户端的请求；如果外网客户端的请求不在白名单中，外网网关服务判断外网客户端的请求为不安全服务，外网网关服务立即返回请求不合法的响应信息给外网客户端，外网网关服务拒绝外网客户端的请求进入内网网关服务；如果外网客户端的请求在白名单中，外网网关服务为外网客户端的请求生成一个唯一标志，并将外网客户端的请求以及唯一标志以键值对的形式保留在外网网关服务中并持久化存入国网隔离装置中，最后建立外网客户端与外网网关服务的长连接。
[0009]优先地，步骤2）包括以下内容：内网网关服务以一定频率从国网隔离装置中获取外网客户端的请求以及唯一标志，内网网关服务根据外网客户端的请求构造出HTTP请求并通过异步的方式去调用目标服务；在获取目标服务的HTTP响应信息之后，内网网关服务将目标服务的HTTP响应信息进行解析得到响应信息反序列以及唯一标志持久化后存入国网隔离装置中。
[0010]优先地，步骤2）包括以下内容：外网网关服务定时从国网隔离装置中获取响应信息反序列以及唯一标志，根据唯一标志找到对应的长连接，外网网关服务将响应信息反序列构造成HTTP响应信息并通过对应的长连接返回给外网客户端。
[0011]优先地，步骤2）还包括以下内容：外网网关服务以一定的频率从国网隔离装置数据库中获取响应信息反序列，根据响应信息反序列中的请求的唯一标志对目标服务的HTTP响应信息进行逻辑判断；当唯一标志存在于请求标志与消息订阅发布对象构成的一一对应关系中时，找到对应的消息订阅发布对象，调用消息订阅发布对象的发布方法将响应消息反序列发布出去，消息订阅者在接收到响应消息反序列之后，从响应消息反序列中获取响应头信息反序列以及响应消息体，并将响应头信息反序列和响应消息体构造成HTTP响应信息返回给外网客户端，并将与响应消息对应的外网客户端的请求从键值对中删除；外网网关服务会以一定的频率对外网网关服务中以键值对形式保留的外网客户端的请求进行超时判断，即超过3秒请求仍未被处理则认为是请求超时；若检测出外网客户端的请求为超时请求，外网网关服务会返回给外网客户端请求超时响应信息，响应信息为请求超时，并将对应的外网客户端请求存入超时请求记录中，最后将超时的外网客户端请求从键值对中删除。
[0012]当唯一标志存在于超时请求记录中时，则更新国网隔离装置的响应信息表中对应的响应信息状态为超时状态；当唯一标志既不存在于请求标志与外网客户端的请求构成键值对中，也不存在于超时请求记录中时，则更新国网隔离装置的响应信息表中对应的响应信息状态为丢失。
[0013]优先地，外网网关服务和内网网关服务之间的请求传递是通过持久化的HTTP请求实现的。
[0014]优先地，外网客户端的请求的信息包括请求的唯一标志、目标服务的URL、HTTP请求的方法、请求是否处理的状态、请求发起时间、HTTP内容类型、HTTP请求头和消息主体。
[0015]本专利技术所达到的有益效果：
本专利技术提供一种基于国网隔离装置安全的HTTP服务网关实现方法，通过序列化以及反序列化HTTP请求和响应将内网穿透的实现方式统一，增加了内外网服务调用的灵活性。使用本专利技术为HTTP服务网关，适用于所有内外网服务调用的业务，改变了以往对于每一种数据的穿透都需要定制化开发的状况。
附图说明
[0016]图1是本专利技术的流程图。
具体实施方式
[0017]以下实施例仅用于更加清楚地说明本专利技术的技术方案，而不能以此来限制本专利技术的保护范围。
[0018]一种基于国网隔离装置安全的HTTP服务网关实现方法，包括以下步骤：1）外网网关服务接收外网客户端的请求后对外网客户端的请求进行安全检查和过滤，将安全的外网网关服务的请求序列化后写入国网隔离装置；2）内网网关服务以一定频率从国网隔离装置获取外网客户端的请求，内网网关服务将外网客户端的请求的信息反序列化为HTTP请求并调用目标服务，内网网关服务将目标服务的HTTP响应信息进行解析得到响应信息反序列后写入国网隔离装置；目标服务的HTTP响应信息也指内网业务系统（印章系统）响应消息，包括Content
‑
type:application/json utf
‑
8，HTTP响应消息体内容为{successful:true}。
[0019]3）外网网关服务以一定频率从国网隔离装置获取响应信息反序列并返回给外网客户端。
[0020]进一步地，本实施例中步骤1）包括以下内容：当外网网关服务接收到外网客户端的请求时，外网网关服务根据配置的白名单对外网客户端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国网隔离装置安全的HTTP服务网关实现方法，其特征在于，包括以下步骤：1）外网网关服务接收外网客户端的请求后对外网客户端的请求进行安全检查和过滤，将安全的外网网关服务的请求序列化后写入国网隔离装置；2）内网网关服务以一定频率从国网隔离装置获取外网客户端的请求，内网网关服务将外网客户端的请求反序列化为HTTP请求并调用目标服务，内网网关服务将目标服务的HTTP响应信息进行解析得到响应信息反序列后写入国网隔离装置；3）外网网关服务以一定频率从国网隔离装置获取响应信息反序列并返回给外网客户端。2.根据权利要求1所述的一种基于国网隔离装置安全的HTTP服务网关实现方法，其特征在于，步骤1）包括以下内容：当外网网关服务接收到外网客户端的请求时，外网网关服务根据配置的白名单对外网客户端的请求进行检查过滤，判断外网客户端的请求是否安全，白名单中预先写入安全的外网客户端的请求；如果外网客户端的请求不在白名单中，外网网关服务判断外网客户端的请求为不安全服务，外网网关服务立即返回请求不合法的响应信息给外网客户端，外网网关服务拒绝外网客户端的请求进入内网网关服务；如果外网客户端的请求在白名单中，外网网关服务为外网客户端的请求生成一个唯一标志，并将外网客户端的请求以及唯一标志以键值对的形式保留在外网网关服务中并持久化存入国网隔离装置中，最后建立外网客户端与外网网关服务的长连接。3.根据权利要求1所述的一种基于国网隔离装置安全的HTTP服务网关实现方法，其特征在于，步骤2）包括以下内容：内网网关服务以一定频率从国网隔离装置中获取外网客户端的请求以及唯一标志，内网网关服务根据外网客户端的请求构造出HTTP请求并通过异步的方式去调用目标服务；在获取目标服务的HTTP响应信息之后，内网网关服务将目标服务的HTTP响应信息进行解析得到响应信息反序列以及唯一标志持久化后存入国网隔离装置中。4.根据权利要求1所述的一种基于国网隔离装置安全的HTTP服务网关实现方法，其特征在于，步骤2）包括以下内容：外网网关服务定时从国网隔离装置中获取响应信息反序列以...

【专利技术属性】
技术研发人员：薛飞，童霏，俞珍秒，
申请(专利权)人：南京南瑞信息通信科技有限公司，
类型：发明
国别省市：