一种基于服务侧的数据安全访问方法技术

本发明专利技术涉及计算机网络技术领域，具体涉及一种基于服务侧的数据安全访问方法；本发明专利技术通过公网服务器将客户端的发送一级访问请求转换为二级访问请求，并将二级访问请求发送给消息队列模块，消息队列模块将二级访问请求发送给沙盒模块进行合规检验，若合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器，镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块，消息队列模块将接收到的反馈响应发送给公网服务器，公网服务器将接收到的反馈响应发送回客户端；本发明专利技术能够有效地解决现有技术存在安全性不佳和资源消耗较大等问题。不佳和资源消耗较大等问题。不佳和资源消耗较大等问题。

【技术实现步骤摘要】
一种基于服务侧的数据安全访问方法


[0001]本专利技术涉及计算机网络
，具体涉及一种基于服务侧的数据安全访问方法。

技术介绍

[0002]对安全性要求极高企业(如银行)通常会在内部网络会设立一个DMZ区，在这个区域放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器等，这个区域访问内网会受到严格的限制，只允许访问内网固定的服务和资源，内网不能访问该区域，以此来提高内网安全性。但是现在企业不得不面临内部建设，即要支持公网访问也要访问公网的情况(例如：请求微信公众号接口，请求Apple的推送服务)。
[0003]公网访问内网：公网隔离区的服务不得不访问内部多个资源，(例如ftp服务需要访问内网的存储服务器)，这相当于把内网的服务暴露在了公网隔离区，安全上面大打折扣。
[0004]在申请号为：CN201810049379.3的专利文件中公开了一种基于服务侧的数据安全访问方法及系统，包括以下步骤：公网服务器接收客户端的客户请求，根据客户请求生成最终请求，将最终请求发送给内网消息队列装置；内网服务器访问内网消息队列装置并获取内网消息队列装置反馈的最终请求；内网服务器根据最终请求生成响应，将响应发送给内网消息队列装置；公网服务器访问内网消息队列装置并获取内网消息队列装置反馈的响应，对响应进行解析得到回复消息，将回复消息发送给客户端。本专利技术通过内网消息队列装置，公网不仅可以访问内网的资源和服务，而且内网不再直接暴露资源和服务，安全性更佳。
[0005]但是，其在实际应用的过程中仍存在以下不足：第一，安全性不佳，因为其仅仅通过公网服务器对客户端的请求进行合规校验，这就存在含有病毒的访问请求躲过公网服务器的检查并潜入内网服务器的可能。
[0006]第二，资源消耗较大，因为其公网服务器和内网服务器都需要主动的读取消息队列装置中是否有发送给自己的消息，这使得每个公网应用服务器和内网应用服务器都需要不停的扫描消息队列装置。

技术实现思路

[0007]解决的技术问题针对现有技术所存在的上述缺点，本专利技术提供了一种基于服务侧的数据安全访问方法，能够有效地解决现有技术存在安全性不佳和资源消耗较大等问题。
[0008]技术方案为实现以上目的，本专利技术通过以下技术方案予以实现：一种基于服务侧的数据安全访问方法，包括以下步骤：步骤（1），客户端向公网服务器发送一级访问请求；
步骤（2），公网服务器根据接收到的访问请求生成二级访问请求，并将二级访问请求发送给消息队列模块；步骤（3），消息队列模块将二级访问请求发送给沙盒模块进行合规检验；步骤（4），若上述步骤（3）中的合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器；步骤（5），镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块；步骤（6），消息队列模块将接收到的反馈响应发送给公网服务器；步骤（7），公网服务器将接收到的反馈响应发送回客户端。
[0009]更进一步地，所述公网服务器包括设置在外网中的若干个公网应用服务器，所述消息队列模块包括请求消息队列模块和反馈消息队列模块，所述镜像服务器包括若干个镜像应用服务器，所述内网服务器包括设置在内部局域网中的若干个内网应用服务器，所述客户端包括设置在外网中的若干个客户终端。
[0010]更进一步地，所述公网应用服务器、请求消息队列模块、反馈消息队列模块、镜像应用服务器、内网应用服务器和客户终端均有唯一的地址名。
[0011]更进一步地，所述消息队列模块与公网服务器之间设有防火墙，并且所述消息队列模块与镜像服务器之间也设有防火墙。
[0012]更进一步地，所述镜像服务器只能对内网服务器中指定的区域进行实时的信息复制。
[0013]更进一步地，所述公网应用服务器接收来自客户终端发送的一级访问请求并对该一级访问请求进行解析并进行合规检验，若合规检验通过，则生成二级访问请求并将该二级访问请求发送至请求消息队列模块，若合规检验不通过，则不响应，并向对应的客户终端返回无效请求信息；所述一级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名和用于标记公网应用服务器的地址名；所述二级访问请求包括客户请求内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名、用于标记镜像应用服务器的地址名、用于标记访问消息队列模块的地址名和用于标记沙盒模块的地址名。
[0014]更进一步地，所述请求消息队列模块将二级访问请求发送至沙盒模块，所述沙盒模块对二级访问请求进行解析并运行二级访问请求来对其进行合规检验，若合规检验通过，则将二级访问请求发送至镜像应用服务器，若合规检验不通过，则不响应，并依次向反馈消息队列模块、公网应用服务器和客户终端返回无效请求信息。
[0015]更进一步地，所述镜像应用服务器对接收到二级访问请求进行解析，并生成反馈响应，所述反馈响应包括与客户请求内容对应的反馈内容、用于标记客户请求内容对应的客户端的地址名、用于标记公网应用服务器的地址名和用于标记反馈消息队列模块的地址名。
[0016]更进一步地，所述镜像应用服务器将反馈响应发送至反馈消息队列模块，所述反馈消息队列模块对反馈响应进行解析来将反馈响应发送至对应的公网应用服务器。
[0017]更进一步地，所述公网应用服务器对接收到的反馈信息进行解析来将反馈响应发送至对应的客户终端。
[0018]有益效果采用本专利技术提供的技术方案，与已知的公有技术相比，具有如下有益效果：本专利技术通过公网服务器将客户端的发送一级访问请求进行合规检验并转换为二级访问请求，然后将通过合规检验的二级访问请求发送给消息队列模块，消息队列模块将二级访问请求发送给沙盒模块进行合规检验，若合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器，镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块，消息队列模块将接收到的反馈响应发送给公网服务器，公网服务器将接收到的反馈响应发送回客户端，其中镜像服务器只能对内网服务器中指定的区域进行实时的信息复制，并且消息队列模块与公网服务器之间设有防火墙，同时消息队列模块与镜像服务器之间也设有防火墙的设计。
[0019]这样可以通过公网服务器和沙盒模块对客户端发送的访问请求进行两次合规检验，同时在镜像服务器的配合下使得，访问请求只能镜像服务器之间进行交流，从而将内网服务器与访问请求隔离；此外，访问请求和反馈响应的传递都是接收方收到消息后主动将消息及时的转送出去，从而使得镜像服务器和公网服务器不需要实时地对消息队列模块进行扫描。
[0020]达到有效地提升内网服务器的安全，同时也有效地降低服务器资源消耗的效果。
附图说明
[0021]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于服务侧的数据安全访问方法，其特征在于：包括以下步骤：步骤（1），客户端向公网服务器发送一级访问请求；步骤（2），公网服务器根据接收到的访问请求生成二级访问请求，并将二级访问请求发送给消息队列模块；步骤（3），消息队列模块将二级访问请求发送给沙盒模块进行合规检验；步骤（4），若上述步骤（3）中的合规检验通过，则沙盒模块将二级访问请求发送给镜像服务器；步骤（5），镜像服务器根据接收到的二级访问请求生成反馈响应，并将反馈响应发送给消息队列模块；步骤（6），消息队列模块将接收到的反馈响应发送给公网服务器；步骤（7），公网服务器将接收到的反馈响应发送回客户端。2.根据权利要求1所述的一种基于服务侧的数据安全访问方法，其特征在于，所述公网服务器包括设置在外网中的若干个公网应用服务器，所述消息队列模块包括请求消息队列模块和反馈消息队列模块，所述镜像服务器包括若干个镜像应用服务器，所述内网服务器包括设置在内部局域网中的若干个内网应用服务器，所述客户端包括设置在外网中的若干个客户终端。3.根据权利要求2所述的一种基于服务侧的数据安全访问方法，其特征在于，所述公网应用服务器、请求消息队列模块、反馈消息队列模块、镜像应用服务器、内网应用服务器和客户终端均有唯一的地址名。4.根据权利要求1所述的一种基于服务侧的数据安全访问方法，其特征在于，所述消息队列模块与公网服务器之间设有防火墙，并且所述消息队列模块与镜像服务器之间也设有防火墙。5.根据权利要求1所述的一种基于服务侧的数据安全访问方法，其特征在于，所述镜像服务器只能对内网服务器中指定的区域进行实时的信息复制。6.根据权利要求2所述的一种基于服务侧的数据安全访问方法，其特征在于，所述公网应用服务器接收来自客户终端发送的一级访问请求并...

【专利技术属性】
技术研发人员：吴欣，胡厚鹏，欧家祥，董天强，吴才远，余云昊，肖艳红，高正浩，何沛林，邓玥丹，陈泽瑞，李航峰，张丽娟，李慧娟，母天石，赖宇阳，吴昊，王依云，邓建锋，宋强，
申请(专利权)人：南方电网数字电网研究院有限公司，
类型：发明
国别省市：