CN107517249A - 一种云信息交换系统 - Google Patents
一种云信息交换系统 Download PDFInfo
- Publication number
- CN107517249A CN107517249A CN201710689866.1A CN201710689866A CN107517249A CN 107517249 A CN107517249 A CN 107517249A CN 201710689866 A CN201710689866 A CN 201710689866A CN 107517249 A CN107517249 A CN 107517249A
- Authority
- CN
- China
- Prior art keywords
- service
- connection
- client
- machine
- service number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种云信息交换系统,其包括:配置连接规则:云信息交换系统连接方式包括服务连接以及客户连接;配置转发规则:云信息交换系统只对信息进行转发,不处理具体的信息服务;配置审核规则:云信息交换系统的连接只有通过了审核后,该连接才能发送信息到系统并由系统转发到对应的连接;配置信息交换规则:云信息交换系统中的信息以帧为单位进行交换,在云信息交换系统中,包含两种帧,一种为控制帧,一种为数据帧。
Description
技术领域
本发明涉及云信息技术领域,特别涉及一种云信息交换系统。
背景技术
现有的信息服务存在以下缺陷:1:信息服务包含了进销存服务,POS 系统服务,ERP服务,客户关系服务等等。2:每个小微企业要提供信息服务就需要在互联网上提供服务器、一个固定的IP地址,才能供企业内的 PC、手机、平板来访问。每个小微企业要在互联网上提供信息服务,也需要每个小微企业有一个固定的IP地址,互联网上的IPV4地址当前已经划分完毕,无法给每个小微企业都提供一个固定的IP地址。3:小微企业大多数采用ADSL接入互联网,在企业内部局域网提供信息服务的服务器也通过 ADSL连接提供的动态IP接入互联网,所以在企业外部(比如通过移动网络接入互联网)的手机或平板是无法访问到企业内部的服务器的。4:小微企业的技术力量比较薄弱、信息服务支持的预算低,在互联网上布放一个有固定IP地址的服务器会比较容易被攻击,带来安全性的问题。
如图1所示,随着手机和平板等移动设备的增多,现状的问题是:A:当前存在数量众多的中小微企业,internet上的IP地址有限,不可能为每个中小微企业都分配一个固定的IP地址。B:通过移动网络连接上internet的手机或平板,不能访问到公司内部局域网的服务器A或服务器B。C:小微企业的技术力量薄弱,没有专门的技术力量来维护一个固定IP地址的服务器的安全,容易受网络攻击从而导致信息服务不可用或资料被窃取,引发安全问题。
发明内容
有鉴于此,本发明提出一种云信息交换系统,其包括:
配置连接规则:云信息交换系统连接方式包括服务连接以及客户连接;
配置转发规则:云信息交换系统只对信息进行转发,不处理具体的信息服务;
配置审核规则:云信息交换系统的连接只有通过了审核后,该连接才能发送信息到系统并由系统转发到对应的连接;
配置信息交换规则:云信息交换系统中的信息以帧为单位进行交换,在云信息交换系统中,包含两种帧,一种为控制帧,一种为数据帧。
在本发明所述的云信息交换系统中,
所述服务连用于接供服务提供方来连接,服务提供方包括收银系统、卡系统、积分系统;
所述客户连接接供终端来连接,终端包括手机、平板、PC。
在本发明所述的云信息交换系统中,
所述客户连接中,通过客户名称来标识;客户名称包括两部分,一部分为服务标识,一部分为名称,云信息交换系统根据客户名称中的服务标识来统计某一个服务有多少个用户。
在本发明所述的云信息交换系统中,
客户连接包括以下的两种属性:
同一服务标识属性
在该客户连接中,所有的信息的客户名称的服务标识部分都是相同的;
单一客户端属性
在该客户连接中,只有一个客户端的信息发送上来,所以信息中的客户名称只有一个,在该客户连接中不包含多个客户名称。
在本发明所述的云信息交换系统中,
所述服务连接采用服务号+系统服务名称+机器号来访问一个服务连接里面具体的系统服务;
云信息交换系统定义三种服务连接属性:
(1)服务号属性
表示该服务号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的所有目的地;
(2)系统服务属性
表示该服务号的该系统服务的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的所有目的地;
(3)机器号属性
表示该服务号的该系统服务的该机器号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的该机器号;
配置不同的访问控制规则,
(1)服务号1到服务号2
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2里的任何系统服务和机器;
(2)服务号1到服务号2的系统服务B
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的任何机器;
(3)服务号1到服务号2的系统服务B的机器Q
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的机器Q;
(4)服务号1的系统服务A到服务号2
表示服务号1的系统服务A的所有机器可以发送信息到服务器2里的任何系统服务和机器;
(5)服务号1的系统服务A到服务号2的系统服务B
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的任何机器;
(6)服务号1的系统服务A到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的机器Q;
(7)服务号1的系统服务A的机器P到服务号2
表示服务号1的系统服务A的机器P可以发送信息到服务器2里的任何系统服务和机器;
(8)服务号1的系统服务A的机器P到服务号2的系统服务B
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的任何机器;
(9)服务号1的系统服务A的机器P到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的机器Q;
在该访问控制规则下,配置如下的上下级关系,假设服务号2为服务号 1的上级:
规则X:服务号1的系统服务A到服务号2的系统服务B;
规则Y:服务号2到服务号1;
根据上面的两条配置规则,控制信息的交互,首先,服务号1的系统服务A发送信息到服务号2的系统服务B,发送该报文的目的一般为信息请求,服务号2收到信息,并处理后,要发送信息返回给服务号1的系统服务A,云信息交换系统根据规则Y即可将服务号2的回应信息发送给服务号 1的系统服务A;根据上面的规则X和规则Y完成信息之间的交换。
在本发明所述的云信息交换系统中,
所述配置转发规则具体包括:在云信息交换系统中,系统与服务连接或客户连接均采用报文的形式进行数据交换,每个报文均包含目的地址和源地址,如果地址为服务连接,则地址采用上述的“服务号+系统服务名称+机器号”的信息;如果地址为客户连接,则地址采用上述的“客户名称”即服务标识+名称的信息。
在本发明所述的云信息交换系统中,
配置审核规则包括:
设置每个服务号+系统服务名称+机器号对应一个机器标识(提供该服务的服务器的机器标识,该机器标识在连接后,需要送到云信息交换系统来,云信息交换系统检查正确后,才可以在该连接进行正常信息的交互;
1:在TCP/IP环境下,连接选择为TCP长连接,有些服务端是具备Internet 上的固定IP地址的,选择每个服务号+系统服务名称+机器号要在某个特定的IP地址才连接进入;
2:为防止网络攻击,设定服务连接的IP地址范围,在云信息交换系统中,确定服务提供方是处于哪个区域,而每个区域都有个IP地址范围,所以对于不是特定IP地址范围内的服务连接,进行直接关闭;
对应于客户端,每个客户端都只能对应一个机器标识,每个客户端连接到云信息交换系统后,也必须把对应的机器标识发送上来,系统检查正确后,进行其他的信息交换;在TCP/IP环境下,客户端连接选择为TCP长连接,有些客户端是有Internet上的固定IP地址的,选择某个客户端某个特定的IP 地址才连接进入。
在本发明所述的云信息交换系统中,
配置信息交换规则包括:
在云信息交换系统中设置客户端与服务端之间的访问控制,有以下的访问控制:
(1)客户端server01.aaa到服务号1
表示客户端server01.aaa可以发送信息到服务号1的所有系统服务的所有机器
(2)客户端server01.aaa到服务号1的系统服务A
表示客户端server01.aaa可以发送信息到服务号1的系统服务A的所有机器
(3)客户端server01.aaa到服务号1的系统服务A的机器P
表示客户端server01.aaa可以发送信息到服务号1的系统服务A 的机器P
(4)服务号1到客户端server01.aaa
表示服务号1的所有系统服务的所有机器可以发送信息到客户端 server01.aaa
(5)服务号1的系统服务A到客户端server01.aaa
表示服务号1的系统服务A的所有机器发送信息到客户端server01.aaa
(6)服务号1的系统服务A的机器P到客户端server01.aaa
表示服务号1的系统服务A的机器P可以发送信息到客户端server01.aaa
在该访问控制规则下,配置如下的范围规则,假设客户端server01.aaa, 服务号1的系统服务A:
规则P:客户端server01.aaa到服务号1的系统服务A
规则Q:服务号1到客户端server01.aaa
根据上面的两条配置规则,可控制信息的交互,首先,客户端server01.aaa 发送信息到服务号1的系统服务A的机器号1,云信息交换系统根据规则 P,将客户端server01.aaa的请求信息发送到服务号1的系统服务A的机器号1,服务端处理后,发送回应信息给客户端server01.aaa,云信息交换系统可根据规则Q将信息转发到客户端server01.aaa中;
根据上面的规则P和规则Q完成客户端与服务号之间的信息交换;
(1)在一个服务号中,由于连接属性的不同,有多个连接连到云信息交换系统来,在云信息交换系统中,按照最接近的连接来路由信息,按照以下的连接属性的顺序来查找路由:
A:机器号属性
B:系统服务属性
C:服务号属性
找到最匹配的属性的连接就将信息发送到该连接;
云信息交换系统收到一个要转发给服务号1系统服务A机器H的报文时,
a:首先检查有无机器号属性的连接且为“服务号1系统服务A机器H”,如有,则将该报文发送给该连接;
b:如没有该机器号属性的连接,则检查有无系统服务属性的连接,且为“服务号1系统服务A”,如有,则将该报文发送到该连接;
c:如没有该系统服务属性的连接,则检查有无服务号属性的连接,且该服务号属性连接为“服务号1”,如有,则将该报文发送到该连接;
d:如果都没有相符的以上的三种属性的连接,则该报文无法发送出去;
(2)在云信息交换系统中,同一个属性的服务连接只能有一个;服务号1的服务号属性的连接只有一个,当有一个最新的服务号1的服务号属性的连接连接上来时,云信息交换系统如果发现之前已经有该服务号1的服务属性的连接,则会关闭之前的连接,以保证同一属性的服务连接在云信息交换系统中只有一个连接;
同样的,系统服务属性和机器号属性的连接也保证只有一个连接;
所以,服务号1的系统服务A的机器H根据不同的服务连接属性,在云信息交换系统中最多有三个连接:
服务号属性的服务号1的服务连接;
系统服务属性的服务号1的系统服务A的服务连接;
机器号属性的服务号1的系统服务A的机器H的服务连接;
(3)在云信息交换系统中,客户连接与服务连接的处理方式根据不同的连接属性,根据报文的目的客户名称来发送报文;云信息交换系统收到一个目的客户名称为server12345678.aaa的报文,云信息交换系统首先查找有没有单一客户端属性的客户名称为server12345678.aaa的客户连接,如果有,则发送到该客户连接;
如果没有,则查找有没有同一服务标识属性的服务标识为 server12345678的客户连接,如果有,则发送到该客户连接;
如果没有,云信息交换系统则无法发送出该报文;
(4)在云信息交换系统中,同一个属性的客户连接只能有一个。比如,客户名称为server12345678.aaa的同一服务标识属性的服务标识为 server12345678的客户连接只能有一个;如果在云信息交换系统中,之前已经有该客户连接,则云信息交换系统会将之前的该连接关闭。
所以,客户名称为server12345678.aaa的客户连接在云信息交换系统中最多有如下的两个客户连接:
同一服务标识属性的服务标识为server12345678的客户连接
单一客户端属性的客户名称为server12345678.aaa的客户连接。
本发明提供的云信息交换系统,相对于现有技术,能够实现:
1:云信息交换系统布放在互联网上,有固定的IP地址,可以供多个企业接入。(解决每个小微企业都需要一个固定的IP地址)
2:云信息交换系统上包含两种连接,一种为服务连接,一种为客户连接。
云信息交换系统上的服务连接供服务提供方来连接,服务提供方比如收银系统、卡系统、积分系统等。
云信息交换系统上的客户连接供终端来连接,比如手机、平板、PC等。
(解决了只有动态IP的小微企业不能提供信息服务的问题)
服务连接或客户连接不只限于IP连接,也可通过非IP链路(如光纤等高速链路)连接进入云信息交换系统。
3:云信息交换系统只对信息进行转发,不处理具体的信息服务。
4:云信息交换系统的连接只有通过了审核后,该连接才能发送信息到系统并由系统转发到对应的连接。
当云信息交换系统的连接,包含服务连接和客户连接,连接上来以后,需要通过审核后才能开始发送数据,审核的手段包含:
(1)加密传输时是否采用双方约定的密钥
(2)连接是否有IP地址限定或者地域范围限制等
(3)连接的机器辨识码是否有绑定或该连接的机器辨识码是否能连接到云信息交换系统。
(解决了非授权访问和减少了网络攻击的可能性)
另外,在安全上,服务连接和客户连接可以选择验证云信息交换系统的真实性,比如,通过非对称加密算法来验证云信息交换系统的真实性,来避免连接到虚假的云信息交换系统上。
5:云信息交换系统中的信息以帧为单位进行交换,在云信息交换系统中,包含两种帧,一种为控制帧,一种为数据帧;控制帧用于连接的审核和连接的控制等;数据帧用于连接之间的数据交换,每个数据帧都必须包含目的连接地址和来源连接地址,在云信息交换系统定义了信息交换规则,只有满足信息交换规则的数据帧才会被转发。
附图说明
图1是现有技术中网络连接示意图;
图2是本发明实施例的云信息交换系统网络连接示意图。
具体实施方式
如图1所示,如图1中所示,随着手机和平板等移动设备的增多,现状的问题是:
A:当前存在数量众多的中小微企业,internet上的IP地址有限,不可能为每个中小微企业都分配一个固定的IP地址。
B:通过移动网络连接上internet的手机或平板,不能访问到公司内部局域网的服务器A或服务器B。
C:小微企业的技术力量薄弱,没有专门的技术力量来维护一个固定IP 地址的服务器的安全,容易受网络攻击从而导致信息服务不可用或资料被窃取,引发安全问题。
如图2所示,云信息交换系统是一个网络,由多台服务器和其他配套设备(如交换机,路由器,光纤链路等)构成,为了简化云信息交换系统的网络示意图,在图2中,将云信息交换系统简化为一台云信息交换服务器。
例1:A公司局域网(LAN)内的服务器A通过ADSL连接到Internet 上的云服务交换服务器,该连接作为服务连接,手机10或平板11通过移动网络也连接到Internet上的云服务交换服务器,该连接作为客户连接,这样,手机10或平板11就可以通过Internet上的云服务交换服务器获得A 公司局域网(LAN)内的服务器A的信息服务了。同时,A公司的PCA1 和PCA2也可以通过ADSL连接到Internet上的云服务交换服务器,该连接作为客户连接,这样,A公司的PCA1和PCA2也可以通过Internet上的云服务交换服务器获得A公司局域网(LAN)内的服务器A的信息服务,这样做的好处是,可以在A公司局域网(LAN)内将服务器A和PC机(PCA1和PCA2)做隔离,避免PC机被病毒感染后,服务器A也被病毒感染。
例2:假设图2中的服务器1(固定IP地址)属于B公司,B公司局域网(LAN)内的服务器B
也属于B公司,服务器1和服务器B都需要提供信息服务,则,服务器 B和服务器1分别连接到Internet上的云服务交换服务器,这些连接均作为服务连接;PCB1、PCB2、手机B1、平板B2通过ADSL连接到Internet上的云服务交换服务器,这些连接作为客户连接,
另外,假设手机10、平板11均属于B公司,手机10、平板11通过移动网络也连接到Internet上的云服务交换服务器,这些连接也作为客户连接;这样,PCB1、PCB2、手机B1、平板B2、手机10、平板11这些终端设备均可以通过云服务交换服务器访问到服务器1和服务器B提供的信息服务。
例3:假设服务器Y属于B公司,服务器Y通过非IP连接(光纤等高速链接)连接到云交换服务器上,作为服务连接;PCB1、PCB2、手机B1、平板B2通过ADSL连接到Internet上的云服务交换服务器,这些连接作为客户连接,另外,假设手机10、平板11均属于B公司,手机10、平板 11通过移动网络也连接到Internet上的云服务交换服务器,这些连接也作为客户连接;这样,PCB1、PCB2、手机B1、平板B2、手机10、平板11 这些终端设备均可以通过云服务交换服务器访问到服务器Y提供的信息服务。
所以对于服务连接或客户连接,并不限定一定要通过TCP/IP来进行连接。
例4:假设服务器M属于B公司,服务器M通过移动基站和Internet连接到云交换服务器上,作为服务连接;PCB1、PCB2、手机B1、平板B2 通过ADSL连接到Internet上的云服务交换服务器,这些连接作为客户连接,另外,假设手机10、平板11均属于B公司,手机10、平板11通过移动网络也连接到Internet上的云服务交换服务器,这些连接也作为客户连接;这样,PCB1、PCB2、手机B1、平板B2、手机10、平板11这些终端设备均可以通过云服务交换服务器访问到服务器M提供的信息服务。
由于服务器M是通过移动基站连接到Internet上的,所以服务器M获得的也是一个动态IP,不是Internet上的一个固定IP,按照现有的方法,PCB1、 PCB2、手机B1、平板B2、手机10,平板11这些终端是不可能访问到服务器M提供的信息服务的,而通过云信息交换服务器,服务器M提供的信息服务变为可访问了。
四:系统概述
云信息交换系统上包含两种连接,一种为服务连接,一种为客户连接。
云信息交换系统上的服务连接供服务提供方来连接,服务提供方比如收银系统、卡系统、积分系统等。
云信息交换系统上的客户连接供终端来连接,比如手机、平板、PC等。
(二)在云信息交换系统中,对应于客户连接,以客户名称来标识;
客户名称由两部分组成,一部分为服务标识,一部分为名称,如:
SERVER012345678.aaa的客户名称表示服务标识为SERVER012345678, 名称为aaa
云信息交换系统可以根据客户名称中的服务标识来统计某一个服务有多少个用户。
1:在实际环境中,多个实体店的铺面收银系统都会作为服务提供方连接到云信息交换系统,
由于每个实体店均为独立的主体,所有权是独立,所以,要求云信息交换系统需要控制客户端的访问范围,不能是A店的手机P1(手机作为客户端),去访问B店的服务端;
服务标识可以理解为一个群组或一个企业的名称,比如一家实体店,有多台客户端,根据客户端名称中的服务标识,就可看出该客户端属于哪个企业或某个群组。
2:在客户连接中,可以多个客户端共用一个连接发送信息给云信息交换系统,也可以一个客户端采用一个连接发送信息给云信息交换系统,所以规定客户连接有以下的两种属性:
(1)同一服务标识属性
在该客户连接中,所有的信息的客户名称的服务标识部分都是相同的。
(2)单一客户端属性
在该客户连接中,只有一个客户端的信息发送上来,所以信息中的客户名称只有一个,在该客户连接中不包含多个客户名称。
(三)云信息交换系统中服务连接的描述:
在云信息交换系统中,一个服务连接可以提供多种服务,比如,一个店面里面,有收银系统、考勤系统、监控系统等,另外,为了系统可靠运行,由主备两台机器来实现系统的不间断运行,所以,采用服务号+系统服务名称+机器号来访问一个服务连接里面具体的系统服务,在系统中,规定 default表示一个服务连接的缺省系统服务名称;
比如:在一个实际店面中,设定它的服务号是server1234567890,收银服务是该服务号的缺省系统服务,可设定default为它的缺省系统服务名称,机器号的缺省名称为1,表示第一台机器,所以,该服务连接可定义为:server1234567890:default:1
在云信息交换系统中,可以一个服务号占用一个连接,该服务号的所有的服务名称和机器号都通过该连接来与云信息交换系统进行通讯;也可以一个服务号+系统服务名称占用一个连接,该服务号+系统服务名称的所有机器都通过该连接来与云信息交换系统进行通讯;也可以服务号+系统服务名称+机器号占用一个连接。
所以在具体的实施中,可以在一个服务号的实际位置处提供一个小的子云信息交换系统,该服务号的所有系统服务连接到该子云信息交换系统,由该子云信息交换系统汇集后通过与云信息交换系统的一个连接发送到云信息交换系统。
所以,在一个复杂的服务号中,具有多个系统服务,也有多台机器,那么,在云信息交换系统中,一个服务号有可能有多个连接上来,云信息交换系统需要每个连接表明自己的属性,以便云信息交换系统可以正确的将信息发送到目的地,云信息交换系统定义三种连接属性:
(1)服务号属性
表示该服务号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的所有目的地。
(2)系统服务属性
表示该服务号的该系统服务的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的所有目的地。
(3)机器号属性
表示该服务号的该系统服务的该机器号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的该机器号。
4:云信息交换系统上,需要控制服务号之间的访问,该控制由云信息交换系统上完成。云信息交换系统上,可配置不同的访问控制规则,如:
(1)服务号1到服务号2
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2里的任何系统服务和机器。
(2)服务号1到服务号2的系统服务B
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的任何机器。
(3)服务号1到服务号2的系统服务B的机器Q
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的机器Q。
(4)服务号1的系统服务A到服务号2
表示服务号1的系统服务A的所有机器可以发送信息到服务器2里的任何系统服务和机器。
(5)服务号1的系统服务A到服务号2的系统服务B
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的任何机器。
(6)服务号1的系统服务A到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的机器Q。
(7)服务号1的系统服务A的机器P到服务号2
表示服务号1的系统服务A的机器P可以发送信息到服务器2里的任何系统服务和机器。
(8)服务号1的系统服务A的机器P到服务号2的系统服务B
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的任何机器。
(9)服务号1的系统服务A的机器P到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的机器Q。
在该访问控制规则下,可以配置如下的上下级关系(假设服务号2为服务号1的上级):
(规则X)服务号1的系统服务A到服务号2的系统服务B
(规则Y)服务号2到服务号1
根据上面的两条配置规则,可控制信息的交互,首先,服务号1的系统服务A发送信息到服务号2的系统服务B(规则X),发送该报文的目的一般为信息请求,服务号2收到信息,并处理后,要发送信息返回给服务号 1的系统服务A,云信息交换系统根据规则Y即可将服务号2的回应信息发送给服务号1的系统服务A。
根据上面的规则X和规则Y就完成了信息之间的交换。
云信息交换系统只负责将信息包交换或路由到正确的服务端或客户端,不处理信息包中具体的服务。服务端或客户端才负责对具体事务的处理。
在云信息交换系统中,系统与服务连接或客户连接均采用报文的形式进行数据交换,每个报文均包含目的地址和源地址,如果地址为服务连接,则地址采用上述的“服务号+系统服务名称+机器号”的信息;如果地址为客户连接,则地址采用上述的“客户名称”(服务标识+名称)信息。
在云信息交换系统中,为检查服务端的安全性,可设置每个服务号+系统服务名称+机器号对应一个机器标识(提供该服务的服务器的机器标识 (机器唯一码)),该机器标识在连接后,需要送到云信息交换系统来,云信息交换系统检查正确后,才可以在该连接进行正常信息的交互。
1:在TCP/IP环境下,连接可选择为TCP长连接,有些服务端是具备 Internet上的固定IP地址的,可以选择每个服务号+系统服务名称+机器号要在某个特定的IP地址才可以连接进入,这样可以屏蔽掉不必要的连接。
2:为更好的防止网络攻击,可以设定服务连接的IP地址范围,在云信息交换系统中,系统一般知道服务提供方是处于哪个区域,比如广东,河南等,而每个区域一般都有个IP地址范围,所以不是特定IP地址范围内的服务连接,直接关闭,这样可以减少网络攻击。该选项可根据实际情况来确定是否实现。
在云信息交换系统中,对应于客户端,每个客户端都只能对应一个机器标识,每个客户端连接到云信息交换系统后,也必须把对应的机器标识发送上来,系统检查正确后,才可以进行其他的信息交换。另外,在TCP/IP 环境下,客户端连接可选择为TCP长连接,有些客户端是有Internet上的固定IP地址的,可以选择某个客户端某个特定的IP地址才可以连接进入,这样可以屏蔽掉不必要的连接。
在云信息交换系统中,需要设置客户端与服务端之间的访问控制,有以下的访问控制:
(1)客户端server01.aaa到服务号1
表示客户端server01.aaa可以发送信息到服务号1的所有系统服务的所有机器
表示客户端server01.aaa可以发送信息到服务号1的系统服务A 的所有机器
(3)客户端server01.aaa到服务号1的系统服务A的机器P
表示客户端server01.aaa可以发送信息到服务号1的系统服务A 的机器P
(4)服务号1到客户端server01.aaa
表示服务号1的所有系统服务的所有机器可以发送信息到客户端server01.aaa
(5)服务号1的系统服务A到客户端server01.aaa
表示服务号1的系统服务A的所有机器可以发送信息到客户端server01.aaa
(6)服务号1的系统服务A的机器P到客户端server01.aaa
表示服务号1的系统服务A的机器P可以发送信息到客户端 server01.aaa
在该访问控制规则下,可以配置如下的范围规则(假设客户端 server01.aaa,服务号1的系统服务A):
(规则P)客户端server01.aaa到服务号1的系统服务A
的两条配置规则,可控制信息的交互,首先,客户端server01.aaa发送信息到服务号1的系统服务A的机器号1,云信息交换系统根据规则P,将客户端server01.aaa的请求信息发送到服务号1的系统服务A的机器号1,服务端处理后,发送回应信息给客户端server01.aaa,云信息交换系统可根据规则Q将信息转发到客户端server01.aaa中。
所以,根据上面的规则P和规则Q就完成了客户端与服务号之间的信息交换。
交换及连接的路由规则
(1)在一个服务号中,由于连接属性的不同,有多个连接连到云信息交换系统来,在云信息交换系统中,按照最接近的连接来路由信息,按照以下的连接属性的顺序来查找路由:
A:机器号属性
B:系统服务属性
C:服务号属性
一找到最匹配的属性的连接就将信息发送到该连接。
云信息交换系统收到一个要转发给服务号1系统服务A机器H的报文时,
a:首先检查有无机器号属性的连接且为“服务号1系统服务A机器H”,如有,则将该报文发送给该连接;
b:如没有该机器号属性的连接,则检查有无系统服务属性的连接,且为“服务号1系统服务A”,如有,则将该报文发送到该连接;
c:如没有该系统服务属性的连接,则检查有无服务号属性的连接,且该服务号属性连接为“服务号1”,如有,则将该报文发送到该连接;
d:如果都没有相符的以上的三种属性的连接,则该报文无法发送出去。
(2)在云信息交换系统中,同一个属性的服务连接只能有一个。比如,服务号1的服务号属性的连接只有一个,当有一个最新的服务号1的服务号属性的连接连接上来时,云信息交换系统如果发现之前已经有该服务号1的服务属性的连接,则会关闭之前的连接,以保证同一属性的服务连接在云信息交换系统中只有一个连接。
同样的,系统服务属性和机器号属性的连接也保证只有一个连接。
所以,服务号1的系统服务A的机器H根据不同的服务连接属性,在云信息交换系统中最多有三个连接:
服务号属性的服务号1的服务连接;
系统服务属性的服务号1的系统服务A的服务连接
机器号属性的服务号1的系统服务A的机器H的服务连接
(3)在云信息交换系统中,客户连接与服务连接的处理方式类似,也是根据不同的连接属性,根据报文的目的客户名称来发送报文,比如:云信息交换系统收到一个目的客户名称为server12345678.aaa的报文,云信息交换系统首先查找有没有单一客户端属性的客户名称为server12345678.aaa 的客户连接,如果有,则发送到该客户连接;
如果没有,则查找有没有同一服务标识属性的服务标识为 server12345678的客户连接,如果有,则发送到该客户连接;
如果没有,云信息交换系统则无法发送出该报文。
(4)在云信息交换系统中,同一个属性的客户连接只能有一个。比如,客户名称为server12345678.aaa的同一服务标识属性的服务标识为 server12345678的客户连接只能有一个;如果在云信息交换系统中,之前已经有该客户连接,则云信息交换系统会将之前的该连接关闭。
所以,客户名称为server12345678.aaa的客户连接在云信息交换系统中最多有如下的两个客户连接:
同一服务标识属性的服务标识为server12345678的客户连接
单一客户端属性的客户名称为server12345678.aaa的客户连接。
结合本文中所公开的实施例描述的方法或算法的可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机储存器、内存、只读存储器、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其他形式的存储介质中。
可以理解的是,对于本领域的普通技术人员来说,可以根据本发明的技术构思做出其它各种相应的改变与变形,而所有这些改变与变形都应属于本发明权利要求的保护范围。
Claims (8)
1.一种云信息交换系统,其特征在于,其包括:
配置连接规则:云信息交换系统连接方式包括服务连接以及客户连接;
配置转发规则:云信息交换系统只对信息进行转发,不处理具体的信息服务;
配置审核规则:云信息交换系统的连接只有通过了审核后,该连接才能发送信息到系统并由系统转发到对应的连接;
配置信息交换规则:云信息交换系统中的信息以帧为单位进行交换,在云信息交换系统中,包含两种帧,一种为控制帧,一种为数据帧。
2.如权利要求1所述的云信息交换系统,其特征在于,
所述服务连用于接供服务提供方来连接,服务提供方包括收银系统、卡系统、积分系统;
所述客户连接接供终端来连接,终端包括手机、平板、PC。
3.如权利要求2所述的云信息交换系统,其特征在于,
所述客户连接中,通过客户名称来标识;客户名称包括两部分,一部分为服务标识,一部分为名称,云信息交换系统根据客户名称中的服务标识来统计某一个服务有多少个用户。
4.如权利要求3所述的云信息交换系统,其特征在于,
客户连接包括以下的两种属性:
同一服务标识属性
在该客户连接中,所有的信息的客户名称的服务标识部分都是相同的;
单一客户端属性
在该客户连接中,只有一个客户端的信息发送上来,所以信息中的客户名称只有一个,在该客户连接中不包含多个客户名称。
5.如权利要求4所述的云信息交换系统,其特征在于,
所述服务连接采用服务号+系统服务名称+机器号来访问一个服务连接里面具体的系统服务;
云信息交换系统定义三种服务连接属性:
(1)服务号属性
表示该服务号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的所有目的地;
(2)系统服务属性
表示该服务号的该系统服务的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的所有目的地;
(3)机器号属性
表示该服务号的该系统服务的该机器号的所有信息都可以发送给该连接,该连接可以将信息路由到该服务号的该系统服务的该机器号;
配置不同的访问控制规则,
(1)服务号1到服务号2
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2里的任何系统服务和机器;
(2)服务号1到服务号2的系统服务B
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的任何机器;
(3)服务号1到服务号2的系统服务B的机器Q
表示服务号1里面的所有系统服务和机器都可发送信息到服务号2的系统服务B的机器Q;
(4)服务号1的系统服务A到服务号2
表示服务号1的系统服务A的所有机器可以发送信息到服务器2里的任何系统服务和机器;
(5)服务号1的系统服务A到服务号2的系统服务B
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的任何机器;
(6)服务号1的系统服务A到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的所有机器可以发送信息到服务器2的系统服务B的机器Q;
(7)服务号1的系统服务A的机器P到服务号2
表示服务号1的系统服务A的机器P可以发送信息到服务器2里的任何系统服务和机器;
(8)服务号1的系统服务A的机器P到服务号2的系统服务B
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的任何机器;
(9)服务号1的系统服务A的机器P到服务号2的系统服务B的机器Q
表示服务号1的系统服务A的机器P可以发送信息到服务器2的系统服务B的机器Q;
在该访问控制规则下,配置如下的上下级关系,假设服务号2为服务号1的上级:
规则X:服务号1的系统服务A到服务号2的系统服务B;
规则Y:服务号2到服务号1;
根据上面的两条配置规则,控制信息的交互,首先,服务号1的系统服务A发送信息到服务号2的系统服务B,发送该报文的目的一般为信息请求,服务号2收到信息,并处理后,要发送信息返回给服务号1的系统服务A,云信息交换系统根据规则Y即可将服务号2的回应信息发送给服务号1的系统服务A;根据上面的规则X和规则Y完成信息之间的交换。
6.如权利要求5所述的云信息交换系统,其特征在于,
所述配置转发规则具体包括:在云信息交换系统中,系统与服务连接或客户连接均采用报文的形式进行数据交换,每个报文均包含目的地址和源地址,如果地址为服务连接,则地址采用上述的“服务号+系统服务名称+机器号”的信息;如果地址为客户连接,则地址采用上述的“客户名称”即服务标识+名称的信息。
7.如权利要求6所述的云信息交换系统,其特征在于,
配置审核规则包括:
设置每个服务号+系统服务名称+机器号对应一个机器标识(提供该服务的服务器的机器标识,该机器标识在连接后,需要送到云信息交换系统来,云信息交换系统检查正确后,才可以在该连接进行正常信息的交互;
1:在TCP/IP环境下,连接选择为TCP长连接,有些服务端是具备Internet上的固定IP地址的,选择每个服务号+系统服务名称+机器号要在某个特定的IP地址才连接进入;
2:为防止网络攻击,设定服务连接的IP地址范围,在云信息交换系统中,确定服务提供方是处于哪个区域,而每个区域都有个IP地址范围,所以对于不是特定IP地址范围内的服务连接,进行直接关闭;
对应于客户端,每个客户端都只能对应一个机器标识,每个客户端连接到云信息交换系统后,也必须把对应的机器标识发送上来,系统检查正确后,进行其他的信息交换;在TCP/IP环境下,客户端连接选择为TCP长连接,有些客户端是有Internet上的固定IP地址的,选择某个客户端某个特定的IP地址才连接进入。
8.如权利要求7所述的云信息交换系统,其特征在于,
配置信息交换规则包括:
在云信息交换系统中设置客户端与服务端之间的访问控制,有以下的访问控制:
(1)客户端server01.aaa到服务号1
表示客户端server01.aaa可以发送信息到服务号1的所有系统服务的所有机器
(2)客户端server01.aaa到服务号1的系统服务A
表示客户端server01.aaa可以发送信息到服务号1的系统服务A的所有机器
(3)客户端server01.aaa到服务号1的系统服务A的机器P
表示客户端server01.aaa可以发送信息到服务号1的系统服务A的机器P
(4)服务号1到客户端server01.aaa
表示服务号1的所有系统服务的所有机器可以发送信息到客户端server01.aaa
(5)服务号1的系统服务A到客户端server01.aaa
表示服务号1的系统服务A的所有机器发送信息到客户端server01.aaa
(6)服务号1的系统服务A的机器P到客户端server01.aaa
表示服务号1的系统服务A的机器P可以发送信息到客户端server01.aaa
在该访问控制规则下,配置如下的范围规则,假设客户端server01.aaa,服务号1的系统服务A:
规则P:客户端server01.aaa到服务号1的系统服务A
规则Q:服务号1到客户端server01.aaa
根据上面的两条配置规则,可控制信息的交互,首先,客户端server01.aaa发送信息到服务号1的系统服务A的机器号1,云信息交换系统根据规则P,将客户端server01.aaa的请求信息发送到服务号1的系统服务A的机器号1,服务端处理后,发送回应信息给客户端server01.aaa,云信息交换系统可根据规则Q将信息转发到客户端server01.aaa中;
根据上面的规则P和规则Q完成客户端与服务号之间的信息交换;
(1)在一个服务号中,由于连接属性的不同,有多个连接连到云信息交换系统来,在云信息交换系统中,按照最接近的连接来路由信息,按照以下的连接属性的顺序来查找路由:
A:机器号属性
B:系统服务属性
C:服务号属性
找到最匹配的属性的连接就将信息发送到该连接;
云信息交换系统收到一个要转发给服务号1系统服务A机器H的报文时,
a:首先检查有无机器号属性的连接且为“服务号1系统服务A机器H”,如有,则将该报文发送给该连接;
b:如没有该机器号属性的连接,则检查有无系统服务属性的连接,且为“服务号1系统服务A”,如有,则将该报文发送到该连接;
c:如没有该系统服务属性的连接,则检查有无服务号属性的连接,且该服务号属性连接为“服务号1”,如有,则将该报文发送到该连接;
d:如果都没有相符的以上的三种属性的连接,则该报文无法发送出去;
(2)在云信息交换系统中,同一个属性的服务连接只能有一个;服务号1的服务号属性的连接只有一个,当有一个最新的服务号1的服务号属性的连接连接上来时,云信息交换系统如果发现之前已经有该服务号1的服务属性的连接,则会关闭之前的连接,以保证同一属性的服务连接在云信息交换系统中只有一个连接;
同样的,系统服务属性和机器号属性的连接也保证只有一个连接;
所以,服务号1的系统服务A的机器H根据不同的服务连接属性,在云信息交换系统中最多有三个连接:
服务号属性的服务号1的服务连接;
系统服务属性的服务号1的系统服务A的服务连接;
机器号属性的服务号1的系统服务A的机器H的服务连接;
(3)在云信息交换系统中,客户连接与服务连接的处理方式根据不同的连接属性,根据报文的目的客户名称来发送报文;云信息交换系统收到一个目的客户名称为server12345678.aaa的报文,云信息交换系统首先查找有没有单一客户端属性的客户名称为server12345678.aaa的客户连接,如果有,则发送到该客户连接;
如果没有,则查找有没有同一服务标识属性的服务标识为server12345678的客户连接,如果有,则发送到该客户连接;
如果没有,云信息交换系统则无法发送出该报文;
(4)在云信息交换系统中,同一个属性的客户连接只能有一个。比如,客户名称为server12345678.aaa的同一服务标识属性的服务标识为server12345678的客户连接只能有一个;如果在云信息交换系统中,之前已经有该客户连接,则云信息交换系统会将之前的该连接关闭。
所以,客户名称为server12345678.aaa的客户连接在云信息交换系统中最多有如下的两个客户连接:
同一服务标识属性的服务标识为server12345678的客户连接
单一客户端属性的客户名称为server12345678.aaa的客户连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710689866.1A CN107517249A (zh) | 2017-08-14 | 2017-08-14 | 一种云信息交换系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710689866.1A CN107517249A (zh) | 2017-08-14 | 2017-08-14 | 一种云信息交换系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107517249A true CN107517249A (zh) | 2017-12-26 |
Family
ID=60723267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710689866.1A Pending CN107517249A (zh) | 2017-08-14 | 2017-08-14 | 一种云信息交换系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107517249A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483447A (zh) * | 2017-08-24 | 2017-12-15 | 广州中道电子科技有限公司 | 一种云信息交换系统 |
CN107566355A (zh) * | 2017-08-24 | 2018-01-09 | 广州中道电子科技有限公司 | 一种云信息交换系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
US20140096199A1 (en) * | 2012-09-28 | 2014-04-03 | Manish Dave | Device and methods for management and access of distributed data sources |
CN103793320A (zh) * | 2012-10-31 | 2014-05-14 | 晨星软件研发(深圳)有限公司 | 配合多个应用程序的整合系统和测试系统 |
CN105871917A (zh) * | 2016-06-08 | 2016-08-17 | 北京金山安全管理系统技术有限公司 | 传输控制协议tcp连接调度的方法及装置 |
CN106464736A (zh) * | 2014-10-30 | 2017-02-22 | 环球互连及数据中心公司 | 用于基于云的服务交换的实时配置和管理的互连平台 |
-
2017
- 2017-08-14 CN CN201710689866.1A patent/CN107517249A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8473620B2 (en) * | 2003-04-14 | 2013-06-25 | Riverbed Technology, Inc. | Interception of a cloud-based communication connection |
US20140096199A1 (en) * | 2012-09-28 | 2014-04-03 | Manish Dave | Device and methods for management and access of distributed data sources |
CN103793320A (zh) * | 2012-10-31 | 2014-05-14 | 晨星软件研发(深圳)有限公司 | 配合多个应用程序的整合系统和测试系统 |
CN106464736A (zh) * | 2014-10-30 | 2017-02-22 | 环球互连及数据中心公司 | 用于基于云的服务交换的实时配置和管理的互连平台 |
CN105871917A (zh) * | 2016-06-08 | 2016-08-17 | 北京金山安全管理系统技术有限公司 | 传输控制协议tcp连接调度的方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107483447A (zh) * | 2017-08-24 | 2017-12-15 | 广州中道电子科技有限公司 | 一种云信息交换系统 |
CN107566355A (zh) * | 2017-08-24 | 2018-01-09 | 广州中道电子科技有限公司 | 一种云信息交换系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104023092B (zh) | 一种实现定向流量包的方法及系统 | |
US8127339B2 (en) | Automatic, connection-based terminal or user authentication in communication networks | |
CN108306887A (zh) | 基于区块链的物联网安全与数据隐私保护系统 | |
US7171453B2 (en) | Virtual private volume method and system | |
US10003968B2 (en) | Apparatus and system effectively using a plurality of authentication servers | |
CN109871690A (zh) | 设备权限的管理方法及装置、存储介质、电子装置 | |
CN106302346A (zh) | Api调用的安全认证方法、装置、系统 | |
US8040883B2 (en) | Probe insertion for one or more network address translated addresses | |
US20020010635A1 (en) | Method of electronic commerce and profile converter used for electronic commerce | |
CN108683645A (zh) | 一种基于区块链的信息分布式域名及数据交易系统 | |
CN108496380A (zh) | 服务器、移动终端及程序 | |
CN101404643B (zh) | 基于ipsec技术实现无线单点登录系统及其运行方法 | |
SE510393C2 (sv) | Förfarande och anordning för detektering av en icke auktoriserad användaraccess till ett kommunikationsnätverk | |
CN108022100A (zh) | 一种基于区块链技术的交叉认证系统及方法 | |
CN110177015A (zh) | 一种管理终端接入网络的方法及装置 | |
CN103051643B (zh) | 云计算环境下虚拟主机安全连接动态建立方法与系统 | |
CN102484591A (zh) | 标识和跟踪网络通信中的用户 | |
JPWO2005027006A1 (ja) | ユーザ位置利用システム | |
CN106027356A (zh) | 一种隧道标识的转换方法及装置 | |
CN107517249A (zh) | 一种云信息交换系统 | |
CN109302397A (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
CN100433750C (zh) | 一种基于用户帐号的网络访问控制方法 | |
CN100593300C (zh) | 网络系统 | |
CN107566355A (zh) | 一种云信息交换系统 | |
CN107888615A (zh) | 一种节点注册的安全认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171226 |
|
RJ01 | Rejection of invention patent application after publication |