CN102904905A - 应用安全代理方法以及应用安全代理系统 - Google Patents
应用安全代理方法以及应用安全代理系统 Download PDFInfo
- Publication number
- CN102904905A CN102904905A CN2012104523593A CN201210452359A CN102904905A CN 102904905 A CN102904905 A CN 102904905A CN 2012104523593 A CN2012104523593 A CN 2012104523593A CN 201210452359 A CN201210452359 A CN 201210452359A CN 102904905 A CN102904905 A CN 102904905A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security agent
- tsm security
- virtual address
- agent equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种应用安全代理方法以及应用安全代理系统。多个安全代理设备同时连接在流量均衡器上;为每个安全代理设备分配一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信。终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的应用服务器。在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到所述终端。
Description
技术领域
本发明涉及计算机技术领域,更具体地说,本发明涉及一种可动态扩展的应用安全代理方法以及应用安全代理系统。
背景技术
在客户端/应用服务器的分布式应用系统架构中,通常采用应用服务的安全代理(本文中简称“应用安全代理”)技术,其中对访问应用服务器的客户端用户身份进行鉴别、权限进行控制,同时还要对应用协议进行识别和过滤等,实现对应用服务的安全保护。在部署方式上,通常在应用服务器的网络前端配置网关式的安全代理设备。
传统安全代理技术的实现方式有以下几种:a)在服务端部署单台安全代理设备,其稳定性和性能都只能依赖单台服务端安全代理设备,一旦服务端安全代理设备出现故障,会导致所有用户和应用全部瘫痪;b)在服务端部署2台安全代理设备并实现冷备份,其中2台服务端安全代理设备配置相同,可同时加电,但是同时只能有一台接入网络工作,在出现故障时才手工切换到另外一台设备,而其优点是故障恢复快,缺点是需手工切换,稳定性和性能都没有提高;c)在服务端部署2台安全代理设备并实现热备份,其中2台服务端安全代理设备配置相同,可同时加电,且同时接入网络,但是同时只能有一台进入工作状态,在出现故障时能自动切换到另外一台设备,其优点是能自动恢复故障,稳定性有提高,缺点是性能没有提高。
发明内容
本发明所要解决的技术问题是针对现有技术中存在上述缺陷,提供一种高安全性、高稳定性和高性能的可动态扩展的应用安全代理方法及系统。
根据本发明的第一方面,提供了一种应用安全代理方法,其中,多个安全代理设备同时连接在流量均衡器上;为每个安全代理设备分配一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信。
优选地,终端发送给应用服务器的IP(Internet Protocol,网络协议)报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的应用服务器。
优选地,在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到所述终端。
优选地,其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。
根据本发明的第二方面,提供了一种应用安全代理系统,其包括:终端、多个安全代理设备、流量均衡器、以及应用服务器,其中,多个安全代理设备同时连接在流量均衡器上;每个安全代理设备分配有一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信。
优选地,终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的应用服务器。
优选地,其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。
优选地,在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到所述终端。
本发明提供了一种将地址池分配、动态地址分配、流量均衡和静态路由分配多种技术有效融合的安全代理方法及系统,应用于应用系统的安全防护,实现同时对多种应用协议的安全代理。在本发明的可动态扩展的应用安全代理方法及系统中,实现了安全代理系统规模的动态扩展、性能的动态扩展和服务端多台安全代理设备的流量均衡。通过本发明,有效解决了传统代理技术代理设备多、操作不灵活等问题,通过一台设备即可恢复整个代理系统故障,极大提高了系统稳定性;同时,实现了用户信息和流量数据的有效均衡,也在很大程度上提高了代理系统的综合性能。
附图说明
结合附图,并通过参考下面的详细描述,将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征,其中:
图1示意性地示出了根据本发明第一优选实施例的应用安全代理方法的流程图。
图2示意性地示出了根据本发明第一优选实施例的的应用安全代理方法的示意图。
图3示意性地示出了根据本发明第二优选实施例的应用安全代理方法的流程图。
图4示意性地示出了根据本发明第二优选实施例的的应用安全代理方法的示意图。
需要说明的是,附图用于说明本发明,而非限制本发明。注意,表示结构的附图可能并非按比例绘制。并且,附图中,相同或者类似的元件标有相同或者类似的标号。
具体实施方式
为了使本发明的内容更加清楚和易懂,下面结合具体实施例和附图对本发明的内容进行详细描述。
本发明将地址池分配、动态地址分配、流量均衡和静态路由分配多种技术结合起来,构建多台安全代理设备并行工作的代理系统,实现了代理系统规模的可动态扩展,在多台代理设备并行工作模式下,只要还有一台设备能够正常工作,就能自动恢复系统故障,提高了系统稳定性;针对多用户并行访问和数据传输,能够将用户和流量均衡到多个设备上,对系统综合性能的提高有很大帮助。
在根据本发明实施例的应用安全代理方法及系统中,多个安全代理设备(在下文描述的具体实施例中为代理服务器)外网口同时连接在流量均衡器上(可动态增加或减少);将均衡器的会话保持策略配置为基于客户端源地址的会话保持,即对来自同一IP地址的所有访问请求被保持到同一台安全代理设备外网口;为每个安全代理设备分配一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信;终端发送给内网应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的内网应用服务器;在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,保证内网应用服务器发送给某个终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到终端,由终端解密解封后转发给终端中的具体应用;作为影响系统带宽和响应时间等性能指标的关键设备,安全代理设备的数量可根据用户需求配置(动态增加或减少),实现系统规模的动态扩展。
由此,实现了服务端安全代理设备的流量均衡和系统性能的动态扩展,实现了系统整体的高安全性、高稳定性和高性能。
下面将结合附图来描述本发明的具体优选实施例。
<第一优选实施例>
图1示意性地示出了根据本发明第一优选实施例的应用安全代理方法的流程图,图2示意性地示出了根据本发明第一优选实施例的的应用安全代理方法的示意图。
如图2所示,第一终端TER1连接至负载均衡器M1,负载均衡器M1连接至第一安全代理服务器PR1、第二安全代理服务器PR2…第N安全代理服务器PRN,第一安全代理服务器PR1、第二安全代理服务器PR2…第N安全代理服务器PRN通过三层交换机M2连接至第一应用服务器SV1、第二应用服务器SV2…第M应用服务器SVM。
并且,如图1和图2所示,根据本发明第一优选实施例的应用安全代理方法包括:
第一步骤ST11:第一终端TER1请求建立安全通道;
第二步骤ST12:根据预先设定的均衡策略(均衡策略可以是进行轮流分配的轮询模式,或者是选择连接数最少的最小连接数模式,或者是选择响应时间最短的最快模式等),负载均衡器M1将第一终端TER1发送的建立安全通道请求分配到存活的第一安全代理服务器PR1;
第三步骤ST13:第一安全代理服务器PR1与第一终端TER1建立安全通道,并为第一终端TER1分配虚拟地址12.1.1.2;
第四步骤ST14:第一终端TER1发送访问第二应用服务器SV2的请求;
第五步骤ST15:在安全通道中发送从虚拟地址12.1.1.2到第二应用服务器SV2的访问请求;
第六步骤ST16:通过三层交换机M2将来自虚拟地址12.1.1.2的访问请求转发到第二应用服务器SV2;
第七步骤ST17:通过三层交换机M2的静态路由将发往虚拟地址12.1.1.2的访问应答转发到第一安全代理服务器PR1;
第八步骤ST18:在安全通道中发送从第二应用服务器SV2到虚拟地址12.1.1.2的访问应答;
第九步骤ST19:第一终端TER1接收第二应用服务器SV2发送的访问应答。
<第二优选实施例>
图3示意性地示出了根据本发明第二优选实施例的应用安全代理方法的流程图,图4示意性地示出了根据本发明第二优选实施例的的应用安全代理方法的示意图。其中,第二实施例是在第一实施例的基础上进一步进行的,省略第一实施例的相关步骤的描述。
如图4所示,第二终端TER2也连接至负载均衡器M1。
如图3和图4所示,根据本发明第二优选实施例的应用安全代理方法包括:
第一后续步骤ST21:第二终端TER2请求建立安全通道;
第二后续步骤ST22:由于第二安全代理服务器PR2失效,根据均衡策略,负载均衡器将终端TER2发送的建立安全通道请求分配给存活的第N安全代理服务器PRN;
第三后续步骤ST23:第N安全代理服务器PRN与第一终端TER1建立安全通道,并为第二终端TER2分配虚拟地址12.1.N.2;
第四后续步骤ST24:第二终端TER2发送访问第M应用服务器SVM的请求;
第五后续步骤ST25:在安全通道中发送从虚拟地址12.1.N.2到第M应用服务器SVM的访问请求;
第六后续步骤ST26:通过交换机将来自虚拟地址12.1.N.2的访问请求转发到第M应用服务器SVM;
第七后续步骤ST27:通过交换机的静态路由将发往虚拟地址12.1.N.2的访问应答转发到第N安全代理服务器PRN;
第八后续步骤ST28:在安全通道中发送从第M应用服务器SVM到虚拟地址12.1.N.2的访问应答;
第九后续步骤ST29:第二终端TER2接收第M应用服务器SVM发送的访问应答。
此外,需要说明的是,说明书中的术语“第一”、“第二”、“第三”等描述仅仅用于区分说明书中的各个组件、元素、步骤等,而不是用于表示各个组件、元素、步骤之间的逻辑关系或者顺序关系等。
可以理解的是,虽然本发明已以较佳实施例披露如上,然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言,在不脱离本发明技术方案范围情况下,都可利用上述揭示的技术内容对本发明技术方案作出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (8)
1.一种应用安全代理方法,其特征在于,其中,多个安全代理设备同时连接在流量均衡器上;为每个安全代理设备分配一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信。
2.根据权利要求1所述的应用安全代理方法,其特征在于,终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的应用服务器。
3.根据权利要求1或2所述的应用安全代理方法,其特征在于,在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到所述终端。
4.根据权利要求1或2所述的应用安全代理方法,其特征在于,其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。
5.一种应用安全代理系统,其特征在于包括:终端、多个安全代理设备、流量均衡器、以及应用服务器,其中,多个安全代理设备同时连接在流量均衡器上;每个安全代理设备分配有一个终端虚拟地址池;终端与安全代理设备通信时,流量均衡器将数据转发到某个存活的安全代理设备;在安全代理设备完成终端的身份认证之后为终端分配虚拟地址;终端使用虚拟地址与内网应用服务器通信。
6.根据权利要求5所述的应用安全代理系统,其特征在于,终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备,然后被解密解封并转发给其访问的应用服务器。
7.根据权利要求5或6所述的应用安全代理系统,其特征在于,其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。
8.根据权利要求5或6所述的应用安全代理系统,其特征在于,在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由,以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备,然后被加密封装后转发到所述终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210452359.3A CN102904905B (zh) | 2012-11-13 | 2012-11-13 | 应用安全代理方法以及应用安全代理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210452359.3A CN102904905B (zh) | 2012-11-13 | 2012-11-13 | 应用安全代理方法以及应用安全代理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102904905A true CN102904905A (zh) | 2013-01-30 |
| CN102904905B CN102904905B (zh) | 2015-10-07 |
Family
ID=47576941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210452359.3A Active CN102904905B (zh) | 2012-11-13 | 2012-11-13 | 应用安全代理方法以及应用安全代理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102904905B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次系统的安全防护系统 |
| CN105245530A (zh) * | 2015-10-21 | 2016-01-13 | 上海红神信息技术有限公司 | 一种信息安全传输代理系统 |
| CN109525544A (zh) * | 2018-06-01 | 2019-03-26 | 中央军委后勤保障部信息中心 | 一种基于密码机集群的业务系统访问方法及系统 |
| CN109743357A (zh) * | 2018-12-13 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种业务访问连续性的实现方法及装置 |
| CN111147389A (zh) * | 2018-11-06 | 2020-05-12 | 营利度富信息系统(上海)有限公司 | Tcp长连接服务器负载均衡系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127701A (zh) * | 2007-07-24 | 2008-02-20 | 深圳市深信服电子科技有限公司 | 利用网络设备实现代理服务器负载均衡的方法 |
| CN101699793A (zh) * | 2008-04-23 | 2010-04-28 | 北京恒泰实达科技发展有限公司 | 一种实现代理服务器自动备份和负载均衡的方法 |
| CN101902400A (zh) * | 2010-07-21 | 2010-12-01 | 成都市华为赛门铁克科技有限公司 | 网关负载均衡方法、系统和客户端设备 |
| CN102487378A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息工程集团有限公司 | 一种用于保障信息安全的前置安全系统 |
| CN102684969A (zh) * | 2011-03-18 | 2012-09-19 | 日电(中国)有限公司 | Vpn节点及其标识解析代理及方法、和vpn服务器 |
-
2012
- 2012-11-13 CN CN201210452359.3A patent/CN102904905B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101127701A (zh) * | 2007-07-24 | 2008-02-20 | 深圳市深信服电子科技有限公司 | 利用网络设备实现代理服务器负载均衡的方法 |
| CN101699793A (zh) * | 2008-04-23 | 2010-04-28 | 北京恒泰实达科技发展有限公司 | 一种实现代理服务器自动备份和负载均衡的方法 |
| CN101902400A (zh) * | 2010-07-21 | 2010-12-01 | 成都市华为赛门铁克科技有限公司 | 网关负载均衡方法、系统和客户端设备 |
| CN102487378A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息工程集团有限公司 | 一种用于保障信息安全的前置安全系统 |
| CN102684969A (zh) * | 2011-03-18 | 2012-09-19 | 日电(中国)有限公司 | Vpn节点及其标识解析代理及方法、和vpn服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 唐黎 等: "支持IPSEC VPN 的负载均衡器设计", 《计算机与信息技术》, 20 February 2009 (2009-02-20) * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103269332A (zh) * | 2013-04-22 | 2013-08-28 | 中国南方电网有限责任公司 | 面向电力二次系统的安全防护系统 |
| CN105245530A (zh) * | 2015-10-21 | 2016-01-13 | 上海红神信息技术有限公司 | 一种信息安全传输代理系统 |
| CN105245530B (zh) * | 2015-10-21 | 2018-04-13 | 上海红神信息技术有限公司 | 一种信息安全传输代理系统 |
| CN109525544A (zh) * | 2018-06-01 | 2019-03-26 | 中央军委后勤保障部信息中心 | 一种基于密码机集群的业务系统访问方法及系统 |
| CN109525544B (zh) * | 2018-06-01 | 2021-08-13 | 中央军委后勤保障部信息中心 | 一种基于密码机集群的业务系统访问方法及系统 |
| CN111147389A (zh) * | 2018-11-06 | 2020-05-12 | 营利度富信息系统(上海)有限公司 | Tcp长连接服务器负载均衡系统及方法 |
| CN109743357A (zh) * | 2018-12-13 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种业务访问连续性的实现方法及装置 |
| CN109743357B (zh) * | 2018-12-13 | 2022-03-01 | 杭州迪普科技股份有限公司 | 一种业务访问连续性的实现方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102904905B (zh) | 2015-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107947357B (zh) | 一种基于安全接入区的配电自动化数据采集装置及方法 | |
| CN100531209C (zh) | 一种实现主备状态同步的方法和系统 | |
| CN102904905B (zh) | 应用安全代理方法以及应用安全代理系统 | |
| CN102594814B (zh) | 基于端末的网络访问控制系统 | |
| JP4693518B2 (ja) | マルチキャスト通信装置及びこれを用いたponシステム | |
| CN101160909B (zh) | 一种在弹性分组环上实现虚拟路由冗余协议的方法及系统 | |
| CN101262350B (zh) | 一种Portal双机热备份的实现方法、系统及设备 | |
| EP2916499B1 (en) | Ip packet processing method, apparatus and network system | |
| CN103023987A (zh) | 一种基于tcp连接的多路复用的方法 | |
| Glanz et al. | Egypt leaders found ‘off’switch for Internet | |
| CN101515896B (zh) | 安全套接字层协议报文转发方法、装置、系统及交换机 | |
| CN101809519A (zh) | 在服务技师与可以远程诊断和/或可以远程维护的自动化环境的故障组件之间建立安全连接的方法 | |
| CN102710649A (zh) | 一种用于电力信息采集系统的网络安全架构 | |
| CN103346923A (zh) | 双机负载均衡设备的管理方法和装置 | |
| CN104853002A (zh) | 一种基于sdn网络的dns解析系统与解析方法 | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| EP1721235B1 (de) | Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes | |
| CN102571598A (zh) | Vrrp组流量同步切换方法和路由设备 | |
| CN103441877A (zh) | 服务器网络集群的管理系统和方法 | |
| CN104954339A (zh) | 一种电力应急抢修远程通信方法及系统 | |
| CN103475491A (zh) | 一种无密码安全登录的远程维护系统和实现方法 | |
| CN101594353A (zh) | 调度指挥系统通用通信平台的通讯方法 | |
| KR101686995B1 (ko) | 소프트웨어 정의 네트워크와 네트워크 기능 가상화를 이용하는 IPSec VPN 장치, IPSec VPN 시스템 및 IPSec VPN 방법 | |
| CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 | |
| CN100556027C (zh) | 一种基于网络密钥交换协议的地址更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |