CN114422165A - 一种过sql代理安全隔离装置的服务穿透方法及系统 - Google Patents
一种过sql代理安全隔离装置的服务穿透方法及系统 Download PDFInfo
- Publication number
- CN114422165A CN114422165A CN202111440386.4A CN202111440386A CN114422165A CN 114422165 A CN114422165 A CN 114422165A CN 202111440386 A CN202111440386 A CN 202111440386A CN 114422165 A CN114422165 A CN 114422165A
- Authority
- CN
- China
- Prior art keywords
- request
- service
- data
- proxy
- external network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000035515 penetration Effects 0.000 title claims abstract description 13
- 230000003993 interaction Effects 0.000 claims abstract description 33
- 238000012795 verification Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 abstract description 3
- 230000000977 initiatory effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种过SQL代理安全隔离装置的服务穿透方法及系统,包括1、外网系统发起请求,数据写入请求队列;2、请求队列屏蔽并发,将结构化数据写入网闸支持的中间库;3、后置代理服务批量读取请求数据;4、线程池解析请求数据,创建请求线程,并发对内网数据中台目标服务发起请求;5、请求结果放入响应队列,屏蔽并发,将数据写入中间库;6、前置代理服务单线程高频轮询中间库,批量读取响应数据到MAP;7、请求队列从MAP获取响应数据反馈给外网业务系统。本发明支撑内外网多种服务类型的快捷交互,解决应用间内外网业务服务安全交互问题,实现内外网业务实时交互更好地支撑基于数据中台的内外网服务贯通。
Description
技术领域
本发明属于信息技术领域,主要涉及应用系统交互过程中,在过SQL代理安全隔离装置进行内外网服务交互时的方法及系统。
背景技术
按照管理信息大区“双网双机、分区分域、等级保护、多层防护”的安全策略,通过自主研发并部署信息安全网络隔离装置,将管理信息大区划分为信息内网和信息外网,从而实现了信息内外网安全有效的逻辑强隔离:仅允许内外网间必须的业务数据在可控的数据库通信方式下实现交换,数据访问过程可控、交互数据真实可靠,禁止信息内网主机对互联网的任何访问。
目前国网总部内外网各部署了一套数据中台,已经产生内外网服务交换需求,由于内外网通过SQL代理安全隔离装置隔离,服务交互困难,目前市面上大都是通过安全隔离装置进行数据库表及文件方式进行数据交互,不支持服务方式进行交互,但是业务上对于内外网服务交互的需求越来越迫切。
发明内容
发明目的:本发明的目的在于提供一种安全、高效、可靠的过SQL代理安全隔离装置的服务穿透方法及系统。
技术方案:本发明的过SQL代理安全隔离装置的服务穿透方法,包括如下步骤:
(1)外网系统根据注册的服务ID发起请求,请求数据写入请求队列;
(2)请求队列屏蔽并发,批量将服务请求解析成结构化数据写入网闸支持的中间库;
(3)后置代理服务批量读取请求数据;
(4)线程池解析请求数据,创建请求线程,并发对内网数据中台目标服务发起请求;
(5)请求结果放入响应队列,屏蔽并发,批量将数据写入中间库;
(6)前置代理服务单线程高频轮询中间库,批量读取响应数据到MAP;
(7)请求队列从MAP获取响应数据反馈给外网业务系统。
进一步地,步骤(1)中,发起请求后,外网交互组件前置代理收到请求进行安全规则校验,不通过则返回没有通过的校验信息,通过则外网交互组件前置代理对通过安全校验的请求进行解析,生成标准的内部请求结构化数据。
进一步地,所述安全规则包括IP白名单、口令和服务规范。
本发明还公开了一种过SQL代理安全隔离装置的服务穿透系统,包括外网业务系统、内网数据中台、内外网数据交互组件、内网中间库以及SQL网闸;外网业务系统需要访问内网数据中台服务,通过在内外网数据交互组件注册获取服务ID,外网业务系统根据ID访问前置代理穿透SQL网闸,后置代理将请求转给内网数据中台目标服务获取返回值反馈给前置代理,最终反馈外网业务系统,系统支持基于HTTP请求的跨网闸代理访问。
进一步地,所述跨网闸代理包括Webservice和RESTful。
有益效果:与现有技术相比,本发明具有如下显著优点:本发明通过研究统一的服务内外网交互功能,支撑内外网多种服务类型的快捷交互,解决应用间内外网业务服务安全交互问题,实现内外网业务实时交互,屏蔽了并发请求风险,满足国网公司对于系统网络安全性、可靠性、实时性提出的严格要求,服务于国网物资、电商等内外网服务交互需求,更好地支撑基于数据中台的内外网服务贯通,满足国网公司内外网实时交互需求,减少了互联网大区服务端的部署,提高了生产中服务器的利用率,具有较好的通用性,有非常好的市场前景。
附图说明
图1为本发明的系统架构及数据流转示意图;
图2为本发明的方法交互流程示意图。
具体实施方式
下面结合附图对本发明的技术方案作进一步说明。
如图1所示,一种过SQL代理安全隔离装置的服务穿透系统,包括外网业务系统、内网数据中台、内外网数据交互组件、内网中间库以及SQL网闸。外网业务系统需要访问内网数据中台服务,通过在内外网数据交互组件注册获取服务ID,外网业务系统根据ID访问前置代理穿透SQL网闸,后置代理将请求转给内网数据中台目标服务获取返回值反馈给前置代理,最终反馈外网业务系统。系统支持基于HTTP请求的跨网闸代理访问,包括Webservice、RESTful。具体步骤如下:
1、外网系统根据注册的服务ID发起请求,请求数据写入请求队列;
2、请求队列屏蔽并发,批量将服务请求解析成结构化数据写入网闸支持的中间库;
3、后置代理服务批量读取请求数据;
4、线程池解析请求数据,创建请求线程,并发对内网数据中台目标服务发起请求;
5、请求结果放入响应队列,屏蔽并发,批量将数据写入中间库;
6、前置代理服务单线程高频轮询中间库,批量读取响应数据到MAP;
7、请求队列从MAP获取响应数据反馈给外网业务系统。
如图2所示,一种过SQL代理安全隔离装置的服务穿透系统能够实现外网业务系统穿透SQL网闸访问内网数据中台服务。具体步骤如下:
1、外网业务系统发送服务请求;
2、外网交互组件前置代理收到请求进行IP白名单、口令、服务规范等安全规则校验,不通过则返回没有通过的校验信息,通过则执行下一步;
3、外网交互组件前置代理对通过安全校验的请求进行解析,生成标准的内部请求结构体;
4、外网交互组件前置代理将解析后请求结构体通过SQL网闸的安全驱动写入内网中间库;
5、内网交互组件后置代理读取内网中间库中的请求结构体并恢复成原请求去请求目标端内网数据中台;
6、内网数据中台给出请求反馈ACK,内网交互组件后置代理将ACK写入内网中间库;如调用超时,也会将超时信息写入内网中间库;
7、外网交互组件前置代理过SQL网闸读取中间库ACK信息,并进行解析最终反馈给外网业务系统,如超时未收到反馈也会将超时信息反馈给外网业务系统。至此完成了一个服务从外网到内网穿透SQL网闸的完整调用。
Claims (5)
1.一种过SQL代理安全隔离装置的服务穿透方法,其特征在于,包括如下步骤:
(1)外网系统根据注册的服务ID发起请求,请求数据写入请求队列;
(2)请求队列屏蔽并发,批量将服务请求解析成结构化数据写入网闸支持的中间库;
(3)后置代理服务批量读取请求数据;
(4)线程池解析请求数据,创建请求线程,并发对内网数据中台目标服务发起请求;
(5)请求结果放入响应队列,屏蔽并发,批量将数据写入中间库;
(6)前置代理服务单线程高频轮询中间库,批量读取响应数据到MAP;
(7)请求队列从MAP获取响应数据反馈给外网业务系统。
2.根据权利要求1所述的过SQL代理安全隔离装置的服务穿透方法,其特征在于,步骤(1)中,发起请求后,外网交互组件前置代理收到请求进行安全规则校验,不通过则返回没有通过的校验信息,通过则外网交互组件前置代理对通过安全校验的请求进行解析,生成标准的内部请求结构化数据。
3.根据权利要求2所述的过SQL代理安全隔离装置的服务穿透方法,其特征在于,所述安全规则包括IP白名单、口令和服务规范。
4.一种过SQL代理安全隔离装置的服务穿透系统,其特征在于,包括外网业务系统、内网数据中台、内外网数据交互组件、内网中间库以及SQL网闸;外网业务系统需要访问内网数据中台服务,通过在内外网数据交互组件注册获取服务ID,外网业务系统根据ID访问前置代理穿透SQL网闸,后置代理将请求转给内网数据中台目标服务获取返回值反馈给前置代理,最终反馈外网业务系统,系统支持基于HTTP请求的跨网闸代理访问。
5.根据权利要求4所述的过SQL代理安全隔离装置的服务穿透系统,其特征在于,所述跨网闸代理包括Webservice和RESTful。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440386.4A CN114422165A (zh) | 2021-11-30 | 2021-11-30 | 一种过sql代理安全隔离装置的服务穿透方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440386.4A CN114422165A (zh) | 2021-11-30 | 2021-11-30 | 一种过sql代理安全隔离装置的服务穿透方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114422165A true CN114422165A (zh) | 2022-04-29 |
Family
ID=81266267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111440386.4A Pending CN114422165A (zh) | 2021-11-30 | 2021-11-30 | 一种过sql代理安全隔离装置的服务穿透方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114422165A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN110636096A (zh) * | 2018-06-25 | 2019-12-31 | 中国科学院沈阳自动化研究所 | 基于数据库存储过程的电力内外网信息交互接口服务系统 |
| CN111741017A (zh) * | 2020-07-23 | 2020-10-02 | 平安国际智慧城市科技股份有限公司 | 内外网之间的数据传输方法及相关设备 |
-
2021
- 2021-11-30 CN CN202111440386.4A patent/CN114422165A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636096A (zh) * | 2018-06-25 | 2019-12-31 | 中国科学院沈阳自动化研究所 | 基于数据库存储过程的电力内外网信息交互接口服务系统 |
| CN109150702A (zh) * | 2018-08-16 | 2019-01-04 | 南京南瑞信息通信科技有限公司 | 一种连通信息内外网的高性能移动接入网关及其方法 |
| CN111741017A (zh) * | 2020-07-23 | 2020-10-02 | 平安国际智慧城市科技股份有限公司 | 内外网之间的数据传输方法及相关设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9916455B2 (en) | Systems and methods for assessing the compliance of a computer across a network | |
| US20210226997A1 (en) | Systems and Methods for In-Session Refresh of Entitlements Associated with Web Applications | |
| CN102984159B (zh) | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 | |
| DE202017105755U1 (de) | Spektrumzugriff für ortsfestes LTE-Teilnehmergerät | |
| CN106713271A (zh) | 一种基于单点登录的Web系统登录约束方法 | |
| US11436314B2 (en) | System and method for provisioning non-enterprise client devices with access credentials | |
| CN114039759A (zh) | 一种面向信创领域的高性能网关鉴权方法与系统 | |
| CN101789968A (zh) | 安全的企业移动办公应用交付方法 | |
| CN108777699A (zh) | 一种基于物联网多域协同架构下的应用跨域访问方法 | |
| CN103034799A (zh) | 一种内核级的桌面访问控制方法 | |
| CN103546470A (zh) | 安全访问方法、系统及装置 | |
| CN111970254B (zh) | 访问控制及配置方法、装置、电子设备和存储介质 | |
| CN114422165A (zh) | 一种过sql代理安全隔离装置的服务穿透方法及系统 | |
| CN106550056A (zh) | 一种域名解析方法及装置 | |
| CN112163026A (zh) | 一种用于整合多类技术应用数据的多源异构接口管控方法 | |
| DE60215482T2 (de) | Architektur zur bereitstellung von internetdiensten | |
| CN107707569A (zh) | Dns请求处理方法及dns系统 | |
| CN106936832B (zh) | 企业级的网络准入方法及系统 | |
| CN105930512A (zh) | 一种插入广告的方法、装置、服务器、客户端和系统 | |
| CN1279785C (zh) | 一种目标用户设备私密性信息修改后的处理方法 | |
| CN107770203B (zh) | 一种服务请求转发方法、装置及系统 | |
| CN107911379B (zh) | 一种cas服务器 | |
| CN112153163A (zh) | 基于mqtt的安全通信方法及其系统 | |
| CN107124429B (zh) | 一种基于双数据表设计的网络业务安全保护方法及系统 | |
| CN112367297B (zh) | 一种业务控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |