一种内网主动提供外网主机调用服务的方法与流程

本发明涉及互联网中网关内网和外网之间消息传送的领域，特别是内网与外网之间实时传递并通过内网主动式传递消息的传送。

背景技术：

随着互联网技术的不断发展，互联网已经作为一项基础设施渗入到了社会生活的各个方面，成为了公共发布、获取信息的主要途径之一。另外，随着电子商务、云计算等互联网应用的兴起与发展，互联网正在逐步发展为一个具有开放的分布式计算功能的基础设施。但是由于互联网环境所具有的开放性与复杂性，使得以Web应用为代表的基于互联网的应用的安全性受到了前所未有的威胁，虽然很多机构采用了防火墙、入侵检测系统、入侵防御系统等防护工具以及更加安全的密码学等措施来进行安全确保工作，但是互联网的攻击报告仍层出不穷，使得各级机构对互联网的安全性疑窦重重。

目前,某些特殊的机构部门或企事业单位技术的高安全网络和其他低安全网络之间进行数据交换的需求日益明显，出于安全考虑，为了保证敏感数据信息的安全性，防止内部服务器上的敏感信息被泄露、篡改、破坏、监听或者被病毒侵袭，通常采用“物理隔离”方式，即在系统内部设置两个服务器，使内部网与公共网没有直接或间接地连接，但逻辑相连。这意味着网络数据包不能从一个网络流向另外一个网络，并且可信网络上的计算机和不可信网络上的计算机从不会有实际的连接。随着业务的增多，数据量的扩大，在内、外网之间建立一个既符合“物理隔离”安全要求，又能进行数据交换的设备或解决方案，成为许多特殊的机构部门或企事业单位技术的研究课题。

如今，国内在处理安全级别不同的两个网络之间的信息交换时，只允许管理员从信任网络(内网)一方对安全隔离网闸进行管理，这种管理方式使得相关数据信息只能在信任网络内部运行或调用，不允许“以外网访问内网的方式”进行，这就完全切断了安全级别较低的网络(外网)对安全级别高的网络(内网)的信息的调用需求，不但导致信息更新滞后，而且造成各对接部门间信息的不对称，严重影响工作效率。

技术实现要素：

本发明针对上述的问题，提供了一种内网主动提供外网主机调用服务的方法，该方法通过内网首先主动发起连接信号的方式，使外网和内网的数据开始及时的信息传递。

为了解决上述技术问题，本发名的技术方案如下：

一种内网主动提供外网主机调用服务的方法，包括内网主机和外网主机，所述外网主机设置有监听反馈模块；当所述内网主机向外网主机发送可连接数据包，并向网络连接池添加可连接记录后，外网主机获取可连接数据包，并从网络连接池中选取可用连接后，内网主机与外网主机建立网络通讯。

进一步的，所述内网主机与外网主机建立网络通讯后，外网主机发送协议化的数据包给内网主机，内网主机获取到数据包后解析处理，并将所需处理结果的数据协议化，发送给外网主机。

进一步的，所述内网主机预定义了安全调用的方法属性集，所述方法属性包括参数类型和参数值。

进一步的，所述外网主机发送协议化的数据包，包括符合内网主机预定义的安全调用的方法属性、方法参数和用户信息。

进一步的，所述内网主机设置有缓存机制，内网主机在处理一定时间内存在多次相同的外网主机发送的数据包时，直接返回内网主机已缓存的第一次处理结果给所述外网主机。

进一步的，所述内网主机与外网主机在不同的网段内。

进一步的，所述内网主机可随时主动发送可连接数据包。

进一步的，所述内网连接可同时发起多个连接数据包与多个外网主机连接。

进一步的，所述连接池可设置最大连接数、最小连接数和空闲连接数。

进一步的，所述外网主机获取完所有所述内网主机的数据包后，将网络链接归还连接池，连接池统一安排重用或销毁此连接。

本发明相比现有技术优点在于：

1，传统被动传递消息的方式是内网服务器监听服务端口，被动等待客户端发送网络请求并相应，此时内网服务端口是暴露在外的，容易受到攻击；而本发明主动式的方式是内网服务器没有监听任何服务端口，由内网服务器主动连接，再接受客户端请求并相应。此种模式下，由于内网服务器没有暴露任何端口，因此完全性高。

2，传统被动传递消息的方式中如果受到拒绝服务(DDoS)攻击，那么它将无法继续或者连续提供服务给客户端。而本发明主动式则根本不会受到拒绝服务(DDoS)攻击，能够提供连续不间断服务。

3，传统被动式服务容易遭受欺骗式连接和攻击，而本发明主动式服务因为主动提供特定客户端连接，无法欺骗。

4，采用自动设置最大连接数、最小连接数和空闲连接数，使得控制被访问量，避免被恶意攻击服务器，并因为空闲连接的设定，保证了新连接上的访问能快速响应。

5，内外网的连接统一销毁重用，减少了冗余。

附图说明

图1为本发明一种内网主动提供外网主机调用服务的方法的流程图；

图2为本发明一种内网主动提供外网主机调用服务的方法的结构示意图；

图3为本发明一种内网主动提供外网主机调用服务的方法的内外网主机的数据传输示意图。

具体实施方式

下面结合附图和具体实施方式对本发明进一步说明。

如图1所示，一种内网主动提供外网主机调用服务的方法，包括内网主机和外网主机，所述内网主机与外网主机在不同的网段内。所述外网主机设置有监听反馈模块，而内网主机不设置监听反馈模块；当所述内网主机向外网主机发送可连接数据包时，并会向网络连接池添加可连接记录(图中未显示)，连接池可设置最大连接数、最小连接数和空闲连接数，以此限制恶意的访问和通过空闲连接数来保证，在有新的用户连接进来时有足够的通道提供访问连接。因为外网主机设置有监听反馈模块，使得外网主机能立刻知道能不能进行内网访问连接。外网主机在需要访问的情况下，通过连接池获取可连接数据包，此时内网对应的内网主机会自动获悉是否连接成功，此时内网主机与外网主机建立网络通讯。如果内网主机未获悉有外网主机与自己连接，则自行选择是停止服务结束，还是继续发送可连接数据包，等待外网主机的访问。所述内网主机是可以随时主动发送可连接数据包的，并以此来为外网主机提供连接访问，而且内网主机是可以发起多个连接数据包，分别与多个外网主机连接。

建立网络通讯后，外网主机等待用户的业务请求信息，当取得用户输入的业务请求信息。如图3所示，则由外网主机的通迅模块来发送协议化的数据包给内网主机，其中数据包包括了符合内网主机预定义的安全调用的方法属性、方法参数和用户信息。内网主机获取到数据包后，根据预定义了安全调用的方法属性集进行解析处理，所述方法属性包括参数类型和参数值。内网主机将所需处理结果的数据协议化，发送业务响应给外网主机。外网主机接收并处理业务响应的内容，外网主机获取完所有所述内网主机的数据包后，将网络链接归还连接池，由连接池统一安排重用或销毁此连接，以便减少冗余。外网主机然后初始化网络后，等待下一次的用户业务访问，再去从连接池获取连接。如果内网主机未处理成功外网主机提出的业务请求，就会返回相应的异常处理结果发送给外网主机。

进一步的作为优化，所述内网主机设置有缓存机制，内网主机在处理一定时间内存在多次相同的外网主机发送的数据包时，直接返回内网主机已缓存的第一次处理结果给所述外网主机。这将大幅提升响应速率，给用户以更快更好的体验。

如图2所示，专网向公共互联网传输信息进行交互时，和外网主机一样，只是内网主机在获取通过公共互联网进来访问的用户，非特定用户没有相应的安全调用的方法属性集，不会提供相应的响应信息。公共互联网进来访问的用户，只有发送了带内网主机预定义的安全调用的方法属性、方法参数和用户信息的协议化的数据包，才可以建立起对应的响应信息。一般通过用户的用户名和密码来验证，还可通过相应的网盾等设备，通过设备内内置的响应信息来给内网提供验证，以此内网来决定是否响应用户的访问。

如图3所示，所述内网主机和外网主机都包括业务模块和通讯模块。在未建立起连接时，内网主机会由业务模块首先发起进程A1，给内网主机的通迅模块并建立A2进程，由A2进程向外网主机的通迅模块发送可连接数据包。外网主机的通迅模块由A3进程来接收该数据包，并根据需要决定是否发起连接请求。当需要发起连接请求时，外网主机的业务模块就启动B1进程，将信息传给外网主机的通讯模块，并结合用户模块发起进程B2，将安全调用的方法属性、方法参数和用户信息的协议化的数据包发送给内网主机的通讯模块中的传输模块，传输模块发起进程B3给交付模块并启动B4进程，将外网主机发过来的数据给内网主机的业务模块，由内网主机的业务模块来决定是否响应该信息，并依次按原路建立起B5、B6、B7、B8进程来回馈响应信息。

实施例1：

在外网主机，税务管理员需要在互联网端连接到税务局局内网查询“本月税收收入统计表”。此时先要确认输入用户的相应登陆信息，系统通过连接池查找可访问的税务局内网主机，如果获取成功，则建立通讯连接。如果连接池内没有可访问的税务局内网主机的连接方式，只能等待，不可访问相应要查询的信息。税务管理员通过互联网端连接成功，建立通讯后，可输入所要查询的对应的内容，来向税务局内网主机获取“本月税收收入统计表”。输入查询的内容会和登录的用户信息、密码一起通过AES加密算法，将加密后的信息通过外网主机的用户模块传输到税务局内网主机的传输模块，再由税务局内网主机的传输模块将信息传输给交付模块进行解密。因税务管理员只进行查询，故只会访问税务局内网主机的只读数据库，查询授权的对应业务数据。税务局内网主机将查询的信息通过交付模块进行AES加密算法加密，并传输给传输模块，将信息反馈给对应的外网主机。外网主机通过用户模块获取到反馈的信息，并进行解密后，反馈给外网主机的业务模块，呈现所要查询的“本月税收收入统计表”。外网主机无其他业务请求，且以获取所有要查询的业务信息，外网主机会归还连接方式给连接池。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员，在不脱离本发明构思的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明保护范围内。