一种业务服务系统及方法与流程

1.本发明属于网络安全技术领域，具体涉及一种业务服务系统及方法。


背景技术：

2.远程办公是当今高速发展的通信业与it业交融的产物，它将通信业在沟通上的便捷、在用户上的规模，与it业在软件应用上的成熟、在业务内容上的丰富，完美结合到了一起，使之成为了继电脑无纸化办公、互联网远程化办公之后的新一代办公模式。这种最新潮的办公模式，通过在手机上安装企业信息化软件，使得手机也具备了和电脑一样的办公功能，而且它还摆脱了必须在固定场所固定设备上进行办公的限制，为企业管理者和商务人士提供了极大便利，为企业和政府的信息化建设提供了全新的思路和方向。它不仅使得办公变得随心、轻松，而且借助手机通信的便利性，使得使用者无论身处何种紧急情况，都能高效迅捷地开展工作，对于突发性事件的处理、应急性事件的部署有极为重要的意义。
3.由于远程办公需要经过开放的公网接入企事业单位的内部网络，由此远程办公使用和推广的首要问题是远程办公引入的业务安全、业务服务器的安全问题。因此需要为远程办公提供一个极为安全的解决方案，远程办公的应用才能成为可能。
4.现有的解决方案主要采用防火墙技术实现。防火墙保护的是企事业单位内部网络信息的安全，比如防止银行服务器用户账号信息、政府部门的保密信息、部队中的作战计划和战略等重要信息的泄漏。从狭义上讲，防火墙保护的是企业内部网络中各个服务器的安全，防止计算机受到来自企业外部非安全网络中的所有恶意访问或攻击行为。防火墙实现对内部网络的保护功能是通过将内外网络进行逻辑隔离来实现的，然后根据预先定制的安全策略控制通过防火墙的访问行为，从而达到对企业内部网络访问的有效控制。但是使用防火墙技术进行业务安全保护，互联网和内网实际上是联通的，业务系统仍然需要将服务器间接暴露到互联网，当业务系统存在漏洞时，会直接威胁业务系统的安全，甚至影响到业务系统所在服务器以及服务器所在网络的安全性。


技术实现要素：

5.针对现有技术中的缺陷，本发明提供一种业务服务系统及方法，提高了业务系统的安全性。
6.第一方面，一种业务服务系统，包括：
7.模拟子系统：包括多个配置有第一网络的ip地址的第一网络设备，第一网络设备之间通过第一网络连接；模拟子系统通过第一网络设备实现业务访问请求的发起、业务访问请求的镜像处理以及业务数据链路层包的返回；
8.真实子系统：包括不配置有第一网络的ip地址的第二网络设备，第二网络设备与模拟子系统通过链路连接；真实子系统通过第二网络设备实现业务数据链路层包的构造以及返回。
9.优选地，第一网络设备包括：
10.用户终端：配置第一网络的ip地址；用户终端用于供用户发起业务访问请求；
11.交换机：配置第一网络的ip地址，与用户终端通过第一网络连接；交换机用于接收业务访问请求，并对业务访问请求进行镜像处理得到镜像数据；交换机还用于将业务数据链路层包返回给对应的用户终端；
12.第一业务服务器：配置第一网络的ip地址，与交换机通过第一网络连接；第一业务服务器用于接收业务访问请求。
13.优选地，第二网络设备包括：
14.第二业务服务器：不配置第一网络的ip地址，与模拟子系统中交换机通过链路连接；第二业务服务器用于接收镜像数据，对有效的镜像数据进行处理后，构造业务数据链路层包，返回给交换机。
15.优选地，第二业务服务器与交换机之间的链路包括镜像链路和通讯链路；
16.镜像链路用于供交换机将镜像数据传输给第二业务服务器；
17.通讯链路用于供第二业务服务器将业务数据链路层包返回给交换机。
18.优选地，第二业务服务器具体用于当检测到镜像数据合法或在预设的白名单上时，判定镜像数据有效。
19.优选地，第二业务服务器具体用于对有效的镜像数据进行处理，得到处理数据，模拟第一业务服务器根据处理数据构造业务数据链路层包。
20.第二方面，一种业务服务方法，在第一方面的业务服务系统上运行；业务服务方法包括以下步骤：
21.用户终端供用户发起业务访问请求；
22.交换机接收业务访问请求，并对业务访问请求进行镜像得到镜像数据；
23.第一业务服务器接收业务访问请求；
24.第二业务服务器接收镜像数据，对有效的镜像数据进行处理后，构造业务数据链路层包，返回给交换机；
25.交换机将业务数据链路层包返回给对应的用户终端。
26.优选地，在第二业务服务器接收镜像数据之后，对有效的镜像数据进行处理之前，还包括：
27.第二业务服务器当检测到镜像数据合法或在预设的白名单上时，判定镜像数据有效。
28.优选地，第二业务服务器对有效的镜像数据进行处理后，构造业务数据链路层包具体包括：
29.第二业务服务器对有效的镜像数据进行处理，得到处理数据，模拟第一业务服务器根据处理数据构造业务数据链路层包。
30.由上述技术方案可知，本发明提供的业务服务系统及方法，模拟子系统与真实子系统在网络层面上无法进行ip通讯，即使模拟子系统中的第一网络设备被攻破，也无法访问真实子系统中的第二网络设备。该业务服务系统可以更好地帮助企业解决现有内网业务系统开放到互联网提供远程办公时面临的问题，不影响终端用户正常的业务访问，提高了业务系统的安全性。且能针对业务数据进行安全性分析，确保业务服务系统攻不破，能发现异常，并及时阻断异常或不处理异常。
附图说明
31.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。
32.图1为实施例一提供的业务服务系统的模块示意图。
33.图2为实施例一提供的业务服务系统的具体架构图。
34.图3为实施例二提供的业务服务方法的流程图。
具体实施方式
35.下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
36.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
37.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
38.如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
[0039]
实施例一：
[0040]
一种业务服务系统，参见图1，包括：
[0041]
模拟子系统1：包括多个配置有第一网络的ip地址的第一网络设备，第一网络设备之间通过第一网络连接；模拟子系统1通过第一网络设备实现业务访问请求的发起、业务访问请求的镜像处理以及业务数据链路层包的返回；
[0042]
真实子系统2：包括不配置有第一网络的ip地址的第二网络设备，第二网络设备与模拟子系统1通过链路连接；真实子系统2通过第二网络设备实现业务数据链路层包的构造以及返回。
[0043]
在本实施例中，模拟子系统1用于满足正常业务需求，模拟子系统1实现用户正常业务访问请求的发起，以及向用户返回处理业务访问请求得到的业务数据链路层包。从用户感观角度来看，用户仍然可以正常发起业务访问请求，以及正常读取业务数据链路层包。模拟子系统1中的第一网络设备都配置有应用与第一网络的ip地址，第一网络可以是一些常见的网络通信协议，这样第一网络设备之间就支持常见的网络通信协议(例如tcp/ip等)。模拟子系统1对外提供虚拟的业务服务端口，支持用户通过第一网络访问，但是不进行业务数据处理、以及响应业务访问请求。
[0044]
在本实施例中，真实子系统2不配置有第一网络的ip地址，这样真实子系统2与模
拟子系统1之间只能通过链路连接，不能通过第一网络连接，实现了真实子系统2与模拟子系统1之间的网络逻辑隔离，真实子系统2与模拟子系统1之间无直接的tcp/ip数据交换。真实子系统2用于提供真实的业务访问请求处理流程。真实子系统2只向模拟子系统1提供链路端口(例如将业务服务端口绑定在127.0.0.1)。该业务服务系统还可以增加硬件防火墙等设备进一步确保数据的单向通讯。
[0045]
该业务服务系统中，模拟子系统1与真实子系统2在网络层面上无法进行ip通讯，即使模拟子系统1中的第一网络设备被攻破，也无法访问真实子系统2中的第二网络设备。该业务服务系统可以更好地帮助企业解决现有内网业务系统开放到互联网提供远程办公时面临的问题，不影响终端用户正常的业务访问。
[0046]
进一步地，在一些实施例中，参见图2，第一网络设备包括：
[0047]
用户终端12：配置第一网络的ip地址；用户终端12用于第一业务服务器11用户发起业务访问请求；
[0048]
交换机13：配置第一网络的ip地址，与用户终端12通过第一网络连接；交换机13用于接收业务访问请求，并对业务访问请求进行镜像处理得到镜像数据；交换机13还用于将业务数据链路层包返回给对应的用户终端12；
[0049]
第一业务服务器11：配置第一网络的ip地址，与交换机13通过第一网络连接；第一业务服务器11用于接收业务访问请求。
[0050]
在本实施例中，用户终端12供用户使用，用户终端12提供正常的网络通讯以及业务系统访问的功能。用户终端12可以是移动终端(例如手机、平板等等)，也可以是固定式计算机(例如台式电脑等等)。业务访问请求可以包括要访问的ip地址、以及要访问的数据等等。
[0051]
在本实施例中，交换机13接收用户终端12的业务访问请求，并对业务访问请求进行镜像处理，得到镜像数据。镜像处理实质上实现了业务访问请求的复制。镜像数据与业务访问请求的内容实质相同，例如假设业务访问请求可以包括要访问的ip地址以及要访问的数据，那么得到的镜像数据同样包括要访问的ip地址以及要访问的数据。业务数据链路层包为对业务访问请求进行真实处理后得到的数据。交换机13将业务数据链路层包返回给对应的用户终端12，用户就可以通过用户终端12读取业务数据链路层包，实现了业务系统中正常业务访问读取操作。
[0052]
在本实施例中，第一业务服务器11只接收业务访问请求，不对业务访问请求进行实质处理，第一业务服务器11主要是与用户终端12建立tcp链接使用，也可以做成蜜罐，起到诱捕的作用。第一业务服务器11中并不存储任何实质数据，假设该业务服务系统被攻破，入侵设备访问到第一业务服务器11时，那么也读不到任何实质数据。
[0053]
进一步地，在一些实施例中，参见图2，第二网络设备包括：
[0054]
第二业务服务器21：不配置第一网络的ip地址，与模拟子系统1中交换机13通过链路连接；第二业务服务器21用于接收镜像数据，对有效的镜像数据进行处理后，构造业务数据链路层包，返回给交换机13。
[0055]
在本实施例中，第二业务服务器21可以为多个，构成一个服务器群，两个第二业务服务器之间、或者是第二业务服务器与其他设备可以通过第二网络连接，这时，第二业务服务器上可以配置第二网络的ip地址。第二业务服务器21不配置第一网络的ip地址，与交换
机13进行非网络的链路连接。第二业务服务器21根据有效的镜像数据构建业务数据链路层包，对业务访问请求进行处理后返回给交换机13。
[0056]
进一步地，在一些实施例中，参见图2，第二业务服务器21与交换机13之间的链路包括镜像链路和通讯链路；
[0057]
镜像链路用于供交换机13将镜像数据传输给第二业务服务器21；
[0058]
通讯链路用于供第二业务服务器21将业务数据链路层包返回给交换机13。
[0059]
在本实施例中，第二业务服务器21与交换机13之间设置两条链路：镜像链路和通讯链路。例如第二业务服务器21上设置一个端口作为镜像口，提供镜像链路，实现交换机13到第二业务服务器21的数据单向流动。第二业务服务器21上还设置另一个端口，提供通讯链路，实现第二业务服务器21到交换机13的数据单向流动。
[0060]
进一步地，在一些实施例中，第二业务服务器21具体用于当检测到镜像数据合法或在预设的白名单上时，判定镜像数据有效。
[0061]
在本实施例中，第二业务服务器21在接收到镜像数据时，对镜像数据的合理性进行校验，如果镜像数据非法或不在白名单上，判定镜像数据无效，则第二业务服务器21可以丢弃该镜像数据，不对镜像数据进行处理。如果镜像数据合法或在白名单上，则判断镜像数据有效，第二业务服务器21对镜像数据进行处理。这样该业务服务系统可以对业务访问请求进行合理性分析，如果发现异常可以及时进行阻断。该业务服务系统除了可以在第二业务服务器21上进行镜像数据的合理性判断，也可以在交换机13进行业务访问请求进行判断。交换机13的判断方法可以与第二业务服务器21的判断方法一致，或者是根据自身设备的特性自行设置。这样该业务服务系统就能实现请求数据的双重校验，及时阻断异常数据。
[0062]
进一步地，在一些实施例中，第二业务服务器21具体用于对有效的镜像数据进行处理，得到处理数据，模拟第一业务服务器11根据处理数据构造业务数据链路层包。
[0063]
在本实施例中，由于用户使用时，是根据预设的网络通讯协议发起业务访问请求的，所以用户终端12同样也需要根据网络通讯协议解析读取业务数据。所以第二业务服务器21对有效的镜像数据进行业务处理后，不能直接返回处理数据，否则用户终端12无法识别解析，所以第二业务服务器21需要模拟第一业务服务器11，将处理数据根据网络通讯协议构造成业务数据链路层包后再返回给交换机13。例如第二业务服务器21根据tcp/ip协议对处理数据进行构造后，才能得到业务数据链路层包。
[0064]
实施例二：
[0065]
一种业务服务方法，在上述的业务服务系统上运行；参见图3，业务服务方法包括以下步骤：
[0066]
s1：用户终端12供用户发起业务访问请求；
[0067]
s2：交换机13接收业务访问请求，并对业务访问请求进行镜像得到镜像数据；
[0068]
s3：第一业务服务器11接收业务访问请求；
[0069]
s4：第二业务服务器21接收镜像数据，对有效的镜像数据进行处理后，构造业务数据链路层包，返回给交换机13；
[0070]
s5：交换机13将业务数据链路层包返回给对应的用户终端12。
[0071]
优选地，在第二业务服务器21接收镜像数据之后，对有效的镜像数据进行处理之前，还包括：
[0072]
第二业务服务器21当检测到镜像数据合法或在预设的白名单上时，判定镜像数据有效。
[0073]
优选地，第二业务服务器21对有效的镜像数据进行处理后，构造业务数据链路层包具体包括：
[0074]
第二业务服务器21对有效的镜像数据进行处理，得到处理数据，模拟第一业务服务器11根据处理数据构造业务数据链路层包。
[0075]
本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述实施例中相应内容。
[0076]
最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。