WO2022057000A1

WO2022057000A1 - 一种数据代理方法、系统及代理服务器

Info

Publication number: WO2022057000A1
Application number: PCT/CN2020/122547
Authority: WO
Inventors: 陈加伟; 谢文伟; 王力鹏
Original assignee: 厦门网宿有限公司
Priority date: 2020-09-16
Filing date: 2020-10-21
Publication date: 2022-03-24
Also published as: CN112272158A

Abstract

本申请公开了一种数据代理方法、系统及代理服务器，其中，所述方法包括：接收客户端发送的访问请求，所述访问请求中的目的IP地址指向代理服务器，所述访问请求中的访问域名为基于原始内网域名改写生成的虚拟域名；将所述访问请求中的所述访问域名还原为所述原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向客户端反馈包含所述虚拟域名的响应数据。

Description

一种数据代理方法、系统及代理服务器

交叉引用

本申请要求于2020年09月16日递交的名称为“一种数据代理方法、系统及代理服务器”、申请号为202010973585.0的中国专利申请的优先权，其通过引用被全部并入本申请。

技术领域

本申请涉及互联网技术领域，特别涉及一种数据代理方法、系统及代理服务器。

背景技术

随着网络安全形势日益严峻，为了阻断来自外部网络的攻击，越来越多的企业和机构将业务限制在内部网络中，禁止来自外部网络的访问，然而很多时候机构内部人员又需要从外部网络访问内部应用，虚拟专用网络(Virtual Private Network，简称为VPN)技术便应运而生。

网页虚拟专用网络(Web Virtual Private Network，简称为WebVPN)提供基于web的内网应用访问控制，允许用户访问只对内部网络开放的web应用。区别于传统VPN技术，WebVPN无需用户安装客户端软件或者浏览器插件，用户可以直接通过浏览器访问登录页面进行身份验证，这大大降低了VPN技术的使用门槛，提升了用户体验。但是在现有的WebVPN系统中，用户的请求先经由VPN代理服务器，如此一来，用户请求中的域名都指向代理域名，代理服务器如何有效区分用户请求实际访问的目标，成为WebVPN技术中的一大难题。

发明内容

本申请的目的在于提供一种数据代理方法、系统及代理服务器，能够有效地区分用户请求实际访问的目标。

为实现上述目的，本申请一方面提供一种数据代理方法，所述方法包括：接收客户端发送的访问请求，所述访问请求中的目的IP地址指向代理服务器；将所述访问请求中的访问域名还原为原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向所述客户端反馈包含所述虚拟域名的响应数据。

在一实施例中，所述访问请求中的目的IP地址由公共DNS服务器直接解析得到，或者由智能DNS服务器解析得到的，其中所述智能DNS服务器接收公共DNS服务器转发的域名解析请求，并将解析结果通过所述公共DNS服务器响应给所述客户端。

在一实施例中，所述方法进一步包含：接收鉴权服务器响应的授权响应数据；在所述授权响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，并向所述客户端反馈包含所述虚拟域名的授权响应数据。

在一实施例中，所述客户端基于接收到的所述授权响应数据或所述响应数据生成所述访问请求。

在一实施例中，所述资源获取请求基于所述访问请求改写得到。

在一实施例中，将所述访问请求中的所述访问域名还原为所述原始内网域名包括：识别所述原始内网域名被改写时的改写规则，并提取所述访问请求中的所述访问域名；按照所述改写规则将所述访问域名还原为所述原始内网域名。

在一实施例中，所述域名信息符合替换规则包括：将所述域名信息在泛域名白名单中进行匹配，若存在与所述域名信息相匹配的目标泛域名，判定所述域名信息符合替换规则。

在一实施例中，将所述域名信息替换为虚拟域名包括：按照所述原始内网域名被改写时的改写规则，将所述域名信息改写为虚拟域名，并利用所述虚拟域名替换所述响应数据中对应的域名信息。

在一实施例中，所述方法还包括：判断所述响应数据中是否包含cookie设置项，若包含cookie设置项，将所述cookie设置项中domain信息内的权限域名改写为所述虚拟域名，并缓存cookie信息与所述权限域名之间的关联关系。

在一实施例中，所述方法还包括：当再次接收到所述客户端发送的内网访问请求时，若所述内网访问请求的访问域名还原后得到的原始内网域名中包含所述关联关系中的权限域名，则在向所述原始内网域名指向的内网服务器发送资源获取请求时，携带的所述权限域名对应的cookie信息。

为实现上述目的，本申请另一方面还提一种代理服务器，所述代理服务器包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现上述的数据代理方法。

为实现上述目的，本申请另一方面还提供一种数据代理系统，所述数据代理系统包括代理服务器、公共DNS服务器、智能DNS服务器以及内网服务器，其中：所述公共DNS服务器，用于接收客户端发来的域名解析请求，并在识别出所述域名解析请求中的域名包含指定泛域名时，直接基于所述代理服务器的IP地址对所述域名解析请求进行响应，或者将所述域名解析请求转发至所述智能DNS服务器；所述智能DNS服务器，用于生成所述域名解析请求对应的目的IP地址，并将所述目的IP地址反馈给所述客户端，以使得所述客户端向所述目的IP地址指向的代理服务器发起访问请求；所述代理服务器，用于将所述访问请求中的所述访问域名还原为原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向所述客户端反馈包含所述虚拟域名的响应数据。

由上可见，本申请提供的技术方案，当公共DNS服务器接收到携带指定泛域名的域名解析请求时，可直接基于代理服务器的IP地址对该域名解析请求进行响应，或者可以将域名解析请求转发至智能DNS服务器处。智能DNS服务器可以解析出对应的代理服务器的IP地址，并将该IP地址提供给客户端，使得客户端能够向对应的代理服务器发起访问请求。这样，经过泛域名的判定方式，即使出现泛域名下新的子域名，也能够将新的子域名引导至代理服务器处。

代理服务器接收到客户端发起的访问请求，可根据访问请求中的访问域名，还原出对应的原始内网域名。代理服务器可以根据该原始内网域名，识别出对应的内网服务器，从而向内网服务器发起资源获取请求。代理服务器接收到内网服务器反馈的响应数据后，如果该响应数据中包含域名信息，并且该域名信息符合替换规则，那么表明该域名信息表征的是内网域名。代理服务器可以将该域名信息替换为虚拟域名，并向客户端反馈包含该虚拟域名的响应数据，从而使得客户端后续基于响应数据发出的新的访问请求中的访问域名为虚拟域名。

由上可见，由于内网域名不能通过公网直接访问，因此客户端发出和接收到的都可以是经过处理的虚拟域名。该虚拟域名经过代理服务器处理后，可以转换为对应的原始内网域名，及内网应用的真实域名，从而由代理服务器识别出实际请求的内网应用，并从对应的内网服务器上获取到客户端请求的内网资源，完成数据代理过程。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种数据代理系统的架构示意图；

图2是本申请实施例提供的一种数据代理方法的步骤示意图；

图3是本申请实施例提供的一种代理服务器的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作详细描述。

本申请提供一种数据代理方法，该方法可以应用于如图1所示的系统架构中。请参阅图1，该系统架构中可以包括客户端、代理服务器、鉴权服务器、公共域名系统(Domain Name System，简称为DNS)服务器、智能DNS服务器以及内网服务器。

其中，客户端可以是用户的终端设备，用户可通过安装在客户端的浏览器发送访问请求。

公共DNS服务器一般为网络运营商部署的DNS服务器，客户端发送的DNS解析请求可被公共DNS服务器接收，公共DNS服务器对外开放的操作配置权限较小，一般仅允许进行简单的配置，在本申请的实施例中，可通过在公共DNS服务器上配置简单的转发规则，实现将包含特定泛域名的DNS解析请求转发至智能DNS服务器。

智能DNS服务器一般由网络服务提供商部署，网络服务提供商的开发人员可在智能DNS服务器上自由配置相关的操作规则，可以接收由公共DNS服务器转发的DNS解析请求，并按照预设规则对其进行解析。

鉴权服务器可以用于对用户身份进行鉴权认证，以确定用户身份是否合法，并下发对应的内网资源访问权限。

代理服务器可以作为虚拟专用网络(Virtual Private Network，简称为VPN)网关，接收客户端的访问请求，并可通过VPN网络与内网服务器建立通信连接，以转发客户端发送的访问请求至对应的内网服务器，并接收内网服务器针对访问请求的响应数据，进而将响应数据发送至客户端。代理服务器，可实现客户端与内网服务器之间的数据代理。

内网服务器可以为部署在内网环境中的源站服务器，运行有提供服务的应用程序，用于对访问请求进行响应。

值得注意的是，在一个实施例中，代理服务器通过VPN网络与内网服务器建立通信连接，其中所使用的VPN网络可基于广域软件定义网络(Software-Defined Wide Area Network，简称为SD-WAN)架构实现。

在一个实施例中，当客户端需要访问内网资源时，可以先通过鉴权服务器进行权限认证。具体地，客户端可以向代理服务器发起登陆请求，代理服务器将登陆请求转发至鉴权服务器进行权限验证，鉴权服务器可根据用户信息用户权限进行验证，并在验证通过后，反馈授权响应数据，授权响应数据中可包含访问内网资源的页面，例如，功能索引页面。在索引页面中，可以包含用于访问各项内网资源的跳转入口。例如，索引页面中可以包含企业内各个分支机构的访问入口，还可以包含各项业务的数据支持入口等。在鉴权服务器响应的索引页面中，这些访问入口的链接均被写入页面代码中，链接中可包含对应内网资源的域名，即原始内网域名，例如，上海分支机构的原始内网域名可以是SH.wangsu.com。然而，如果直接向客户端展示包含这些原始内网域名的索引页面，那么当客户端直接基于这些原始内网域名时发出访问请求时，是无法被代理服务器接收的，进而无法通过代理服务器访问内网资源，这样会导致访问失败。鉴于此，代理服务器在接收到鉴权服务器反馈的授权响应数据后，可对索引页面其中的原始内网域名进行改写，以通过改写后的访问链接，将客户端基于索引页面发起的访问请求引导至代理服务器处进行处理。

在一个实施例中，代理服务器在对原始内网域名进行改写时，可以遵循预设的改写规则。

首先，可以预先设置一个指定泛域名，改写后的原始内网域名需要包含该指定泛域名。举例来说，原始内网域名例如可以是SH.wangsu.com，那么可以设置指定泛域名为wsvpn.com，其中，该指定泛域名便可以为代理域名，即指向VPN代理服务的域名，改写后的原始内网域名中，都将包含该代理域名，如此一来，便可通过DNS调度，将基于改写后的域名发送的访问请求引导至代理服务器。

其次，在对原始内网域名进行改写时，可以通过哈希算法或者其它编码算法，将原始内网域名转换为对应的字符串，然后该字符串可以作为前缀，并将代理域名作为后缀，共同形成改写后的原始内网域名，也可称为虚拟域名。例如，SH.wangsu.com经过哈希运算之后，可以得到字符串key1，然后便可以将key1.wsvpn.com作为基于原始内网域名改写得到的虚拟域名。值得注意的是，在对原始内网域名转换为对应的字符串时，也可基于其他规则进行设定，只需保证不同的原始内网域名对应的字符串也不同即可，从而使得代理服务器可基于字符串识别出对应的原始内网域名。

在一实施例中，代理服务器可在本地保存原始内网域名与字符串的映射关系，用于在接收到客户端的访问请求时，基于映射关系，识别出原始内网域名。

在一实施例中，若原始内网域名所对应的字符串是基于预设算法得到的，代理服务器可基于逆运算将字符串还原为原始内网域名。

在一实施例中，代理服务器在于索引页面中的原始内网域名进行改写时，还可以在虚拟域名中添加其他识别信息，例如，虚拟域名中还可以包含企业信息，用于区分客户端所属的企业，这样，当网络服务提供商在为多个不同的企业提供代理服务时，可根据虚拟域名中的企业信息来进行流量调度，具体将在下文说明。在本实施中，其他识别信息可与原始内网域名对应的字符串组合成为一新的字符串，以构成上述Key1。

在一实施例中，代理服务器在对索引页面中的原始内网域名的改写完成后，可将索引页面响应给客户端，使得客户端可基于索引页面访问相应的内网资源。客户端在接收到响应信息后，浏览器可对索引页面进行展示，并基于用户的选择生成相应的访问请求，在生成访问请求前，客户端需先获取访问请求的目的地址，具体的，可通过向公共DNS服务器发送域名解析请求来获取目的地址。由于索引页面中的原始内网域名已被改写成对应的虚拟域名，因此，客户端发出的域名解析请求中的访问域名为虚拟域名。

在一实施例中，公共DNS服务器接收到客户端发送的域名解析请求后，可在识别出域名解析请求中的域名包含指定泛域名时，将所述域名解析请求转发至智能DNS服务器。在本实施例中，可预先在公共DNS服务器中配置简单的转发策略，来实现将指定泛域名的域名解析请求转发至智能DNS服务器。如上文所述，公共DNS服务器一般有网络运营商部署，对外开放的配置权限较少，因此无法直接在公共DNS服务器上配置解析规则，使得可直接将包含指定泛域名的域名解析为代理服务器的地址，从而通过配置简单的转发策略，将包含指定泛域名的解析请求转发由智能DNS服务器来处理。可以理解的是，若可直接在公共DNS服务器上配置解析策略，本申请实施例中的智能DNS服务器所实现的功能可由公共DNS服务器来实现。

在本实施例中，智能DNS服务器可以是额外部署的DNS服务器，该智能DNS服务器可以专用于处理携带上述虚拟域名的域名解析请求。在智能DNS服务器中，可以存储指定泛域名与代理服务器IP地址的映射关系表。这样，智能DNS服务器接收到公共DNS服务器转发的域名解析请求后，通过识别其中的泛域名，便可以解析得到代理服务器的IP地址。

在一个实施例中，由于同时需要进行数据代理的企业不止一家，在每个企业侧可设有专门的代理服务器，为了将访问请求引导至对应的代理服务器上，在智能DNS服务器中还可以配置企业与代理服务器之间的映射关系。这样，智能DNS服务器在接收到域名解析请求时，可以提取域名解析请求中的企业信息，如上文所述，虚拟域名中可包含企业信息，并在所述映射关系表中查询与提取的所述企业信息相匹配的代理服务器。然后，可以识别该相匹配的代理服务器的IP地址，作为响应IP。

在本实施例中，智能DNS服务器解析得到代理服务器的IP地址后，便可以通过公共DNS服务器，将该IP地址反馈给客户端。这样，客户端便可以完成域名解析的过程，从而可以构建访问请求，并将该访问请求发送至对应的代理服务器处。该访问请求可以是符合网络通信协议的请求，例如在该访问请求中可以包含五元组信息。其中，代理服务器的IP地址便可以作为目的IP地址。

在一个实施例中，为了使得代理服务器能够正常处理客户端发来的访问请求，可以预先在代理服务器中配置代理域名，同时一并配置用于支持该代理域名的泛域名证书。其中，该代理域名便可以是上述的指定泛域名。例如，该代理域名可以是*.wsvpn.com，并且在代理服务器中可以配置该泛域名的证书，从而支持该泛域名的访问。

在一实施例中，代理服务器接收到客户端发来的访问请求后，可以提取其中的访问域名，并可以将该访问域名还原为对应的原始内网域名，从而向所述原始内网域名指向的内网服务器发起资源获取请求。举例来说，代理服务器接收到的访问请求为http://key1.wsvpn.com，其中key1.wsvpn.com为原始内网域名改写得到的虚拟域名，wsvpn.com为对应的代理域名。此时，代理服务器可以从访问请求中提取出虚拟域名(访问域名)中的key1，并识别原始内网域名被改写时的改写规则，该改写规则例如可以是上述的哈希算法或者其它的编码算法。然后，代理服务器可以按照该改写规则，对提取的key1进行逆运算，从而将访问域名还原为对应的原始内网域名，该原始内网域名例如可以是SH.wangsu.com。

在得到原始内网域名后，代理服务器可以对访问请求进行改写，以生成资源获取请求，并发往原始内网域名指向的目标内网服务器，以获取内网资源。其中，改写访问请求的方式可包含，将访问请求的URL中的虚拟域名改写为原始内网域名以得到新的URL，代理服务器基于新的URL生成发往目标内网服务器的资源获取请求。

在本实施例中，内网服务器接收到代理服务器发来的资源获取请求后，可以将对应的资源作为响应数据反馈给代理服务器。由于响应数据中可能包含响应页面，即响应访问请求而展示的新页面，而响应页面数据中很可能其他访问链接，也就是响应页面中会包含原始内网域名，在这种情况下，代理服务器还需对响应页面进行改写，以保证客户端基于响应页面生成的访问请求可被代理服务器接收，并且可让代理服务器能识别出用户真实的请求的内网域名，其中，代理服务器对响应页面的改写方法可参照上述索引页面的改写方法，在此不再赘述。

值得注意的是，在一实施例中，代理服务器并不需要对索引页面或者响应页面中的所有域名都进行改写，因为有些域名并不需要进行数据代理，在这种场景下，代理服务器在进行页面改写的过程中，可以先判断页面中包含的域名信息是否符合替换规则。判断的依据可以是，该域名信息是否在代理服务器的泛域名白名单中。如果在，则说明该域名信息符合替换规则，需要进行域名改写和替换。而如果该域名信息不在泛域名白名单中，则无需对其进行改写和替换。举例来说，响应数据中包括域名A和域名B，其中，域名A是公网中已经存在的域名，或者是指向其它资源服务器的域名，那么该域名A可以由客户端直接访问，该域名A不会存储于泛域名白名单中，因此无需对其进行改写和替换。而域名B指向该企业的内网服务器，因此为了后续客户端能够正常通过该域名B对内网服务器进行访问，就需要对其进行改写和替换。

为了防止因访问请求中携带的cookie信息不全导致的访问异常，代理服务器可以将权限域名与cookie信息进行绑定并缓存关联关系，从而可基于关联关系查询访问请求应该携带的cookie信息。

在本申请的一个实施例中，由于内网服务器反馈的响应数据中可能包含set-cookie，其域(domain)值可为内网域名，即该cookie信息对应的权限域名，也就是说，客户端在针对权限域名发起访问请求时，需携带对应的cookie信息以供内网服务器进行验证。

然而，本申请所提供的实施例中，客户端发起的访问请求，都是基于改写后的虚拟域名发出的，因此代理服务器需要将响应数据中的set-cookie的domain值修改为对应的虚拟域名，使得客户端基于该虚拟域名发送访问请求时，自动携带该cookie信息。值得注意的是，在本申请的其他实施例中，也可直接将domain字段中的信息进行删除。

同时，代理服务器可在本地将cookie信息与权限域名进行绑定，并缓存两者的关联关系，当再次接收到所述客户端发送的内网访问请求时，在对访问域名进行还原后，可判断还原得到的原始内网域名中是否包含有关联关系中保存的权限域名，若包含，则可根据保存的关联关系获得权限域名对应的cookie信息，进而在向原始内网域名指向的内网服务器发送资源获取请求时，携带的所述权限域名对应的cookie信息。基于此，可保证发往内网服务器的资源获取请求可正确携带所需的cookie信息，避免内网服务器因cookie信息不全而拒绝访问。

具体地，在本实施例中，代理服务器在接收到内网服务器反馈的响应数据后，可以判断该响应数据中是否包含cookie设置项(set-cookie)，在识别出响应数据中包含cookie设置项后，可以检测其中的domain信息，该domain信息内可以携带与cookie信息相绑定的权限域名，一般为原始内网域名，则需要将权限域名改写为对应的虚拟域名，从而使得客户端本地在根据set-cookie生成cookie信息时，将该cookie信息与权限域名相关联，同时建立权限域名与cookie信息之间的关联关系，使得代理服务器可基于访问域名还原得到的原始内网域名来查询该关联关系，并确定是否有对应的cookie信息。具体地，内网域名的改写及还原的方式，可以参考前文的描述，这里便不再赘述。

在本实施例中，将domain信息中的权限域名替换为对应的虚拟域名之后，当客户端可基于接收到的set-cookie在本地设置对应的cookie信息，后续便可以根据访问请求中的虚拟域名查找到对应的cookie信息，并携带该cookie信息进行资源访问，在实际应用中，domain信息中的权限域名可能为完整的域名，也可能为泛域名，也就是说，当权限域名为泛域名时，客户端向该泛域名下的各子域名发送请求时，都需要携带该cookie信息，然而由于改写得到的虚拟域名无法体现出这种关联关系，因此，需要由代理服务器进一步进行cookie信息的确认，使得发往内网服务器的资源获取请求中，携带有正确的cookie信息，从而防止访问异常。

例如，泛域名baidu.com下可以有www.baidu.com和tieba.baidu.com这两个子域名，那么可以将这两个子域名的cookie信息均与泛域名baidu.com关联。这样，代理服务器在接收到客户端发来的访问请求时，如果访问请求中的访问域名还原后的原始内网域名中具备该泛域名，那么可以携带与该泛域名相关联的cookie信息，向内网服务器发送资源获取请求。

基于以上描述的内容，本申请一个实施例提供一种数据代理方法，应用于代理服务器，请参阅图2，所述方法包括以下步骤。

S1：接收客户端发送的访问请求，其中所述访问请求中的目的IP地址指向代理服务器。

基于上述实施例可知，代理服务器接收到的客户端发送的请求，是由客户端基于代理服务器反馈的授权响应信息或响应信息生成的，因此访问请求中的访问域名是由代理服务器改写得到的虚拟域名，经过DNS解析，该虚拟域名被解析为指向代理服务器的IP地址，从而使得访问请求中的目的IP指向代理服务器，进而该访问请求被代理服务器接收。

S3：将所述访问请求中的所述访问域名还原为所述原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求。

S5：接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向客户端反馈包含所述虚拟域名的响应数据。

综上所述，本申请实施例所提供的数据代理方法，通过将发送给客户端操作的页面信息中的原始内网域名改写为虚拟域名，使得客户端发出的内网资源访问请求可被代理服务器接收，并且代理服务器可基于虚拟域名识别出客户端实际请求的目标内网应用，从而实现不同内网应用的区分；更进一步的，由于虚拟域名的格式为域名的正常格式，因此，当页面存在域名格式校验或其他处理逻辑时，由于格式不变，使得不会发生校验异常的情况，避免因改写而导致页面逻辑无法正常执行的问题。

请参阅图3，本申请还提供一种代理服务器，所述代理服务器包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，可以实现上述的数据代理方法。

基于相同的发明构思，本申请还提供一种数据代理系统，所述数据代理系统包括代理服务器、公共DNS服务器、智能DNS服务器以及内网服务器，其中：

所述公共DNS服务器，用于接收客户端发来的域名解析请求，并在识别出所述域名解析请求中的域名包含指定泛域名时，直接基于所述代理服务器的IP地址对所述域名解析请求进行响应，或者将所述域名解析请求转发至所述智能DNS服务器；

所述智能DNS服务器，用于生成所述域名解析请求对应的目的IP地址，并将所述目的IP地址反馈给所述客户端，以使得所述客户端向所述目的IP地址指向的代理服务器发起访问请求；

所述代理服务器，用于将所述访问请求中的所述访问域名还原为所述原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向客户端反馈包含所述虚拟域名的响应数据。

在一个实施例中，所述智能DNS服务器中配置有企业信息与代理服务器的映射关系表，所述智能DNS服务器包括：

企业信息匹配单元，用于提取所述域名解析请求中的企业信息，并在所述映射关系表中查询与提取的所述企业信息相匹配的代理服务器；

IP地址反馈单元，用于将所述相匹配的代理服务器的IP地址作为目的IP地址反馈给所述客户端。

在一个实施例中，所述代理服务器包括：

内网域名信息提取单元，用于识别所述原始内网域名被改写时的改写规则，并提取所述访问请求中的所述访问域名；

改写单元，用于按照所述改写规则将所述访问域名还原为所述原始内网域名。

在一个实施例中，所述代理服务器还包括：

domain信息改写单元，用于判断所述响应数据中是否包含cookie设置项，若包含cookie设置项，将所述cookie设置项中domain信息内的权限域名改写为虚拟域名，并建立cookie信息与所述权限域名之间的关联关系。

在一个实施例中，所述domain信息改写单元包括：

缓存模块，用于缓存所述权限域名与cookie信息的关联关系；

cookie查询模块，用于当再次接收到所述客户端发送的内网访问请求时，若所述内网访问请求的访问域名还原后得到的原始内网域名中包含所述关联关系中的权限域名，则在向所述原始内网域名指向的内网服务器发送资源获取请求时，携带的所述权限域名对应的cookie信息。

在一个实施例中，所述系统还包括鉴权服务器，所述鉴权服务器用于接收所述代理服务器转发的登陆请求，并在验证通过所述客户端的权限后，向所述代理服务器反馈授权响应信息；其中，在所述授权响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，所述代理服务器将所述域名信息被替换为虚拟域名。

由上可见，本申请提供的技术方案，当公共DNS服务器接收到携带指定泛域名的域名解析请求时，可以直接基于代理服务器的IP对其进行响应，或者将域名解析请求转发至智能DNS服务器处。智能DNS服务器可以解析出对应的代理服务器的IP地址，并将该IP地址提供给客户端，使得客户端能够向对应的代理服务器发起访问请求。这样，经过泛域名的判定方式，即使出现泛域名下新的子域名，也能够将新的子域名引导至代理服务器处。

客户端发起的访问请求中的访问域名，是基于原始内网域名改写得到的虚拟域名，该虚拟域名经过代理服务器处理后，可以还原为对应的原始内网域名。代理服务器可以根据该原始内网域名，识别出对应的内网服务器，从而向内网服务器发起资源获取请求。代理服务器接收到内网服务器反馈的响应数据后，如果该响应数据中包含域名信息，并且该域名信息符合替换规则，那么表明该域名信息表征的是内网域名。代理服务器可以将该域名信息替换为虚拟域名，并向客户端反馈包含该虚拟域名的响应数据，从而使得客户端后续基于响应数据发出的新的访问请求中的访问域名为虚拟域名。

由上可见，由于内网域名不能通过公网直接访问，因此客户端发出和接收到的都可以是经过处理的虚拟域名。该虚拟域名经过代理服务器处理后，可以转换为对应的内网域名，从而由代理服务器识别出实际请求的内网应用，并从对应的内网服务器上获取到客户端请求的内网资源，完成数据代理过程。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，针对系统和代理服务器的实施例来说，均可以参照前述方法的实施例的介绍对照解释。

通过以上的实施例的描述，本领域的技术人员可以清楚地了解到各实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本申请的部分实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种数据代理方法，包括：

接收客户端发送的访问请求，其中，所述访问请求中的目的IP地址指向代理服务器；

将所述访问请求中的所述访问域名还原为原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；

接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向所述客户端反馈包含所述虚拟域名的所述响应数据。
根据权利要求1所述的方法，其中，所述访问请求中的目的IP地址由公共DNS服务器直接解析得到，或者由智能DNS服务器解析得到的，其中所述智能DNS服务器接收公共DNS服务器转发的域名解析请求，并将解析结果通过所述公共DNS服务器响应给所述客户端。
根据权利要求1所述的方法，其中，所述方法进一步包含：

接收鉴权服务器响应的授权响应数据；

在所述授权响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，并向所述客户端反馈包含所述虚拟域名的授权响应数据。
根据权利要求1或3所述的方法，其中，所述客户端基于接收到的所述授权响应数据或所述响应数据生成所述访问请求。
根据权利要求1所述的方法，其中，所述资源获取请求基于所述访问请求改写得到。
根据权利要求1所述的方法，其中，将所述访问请求中的所述访问域名还原为所述原始内网域名包括：

识别所述原始内网域名被改写时的改写规则，并提取所述访问请求中的所述访问域名；

按照所述改写规则将所述访问域名还原为所述原始内网域名。
根据权利要求1所述的方法，其中，所述域名信息符合替换规则包括：

将所述域名信息在泛域名白名单中进行匹配，若存在与所述域名信息相匹配的目标泛域名，判定所述域名信息符合替换规则。
根据权利要求1或7所述的方法，其中，将所述域名信息替换为虚拟域名包括：

按照所述原始内网域名被改写时的改写规则，将所述域名信息改写为虚拟域名，并利用所述虚拟域名替换所述响应数据中对应的域名信息。
根据权利要求1所述的方法，其中，所述方法还包括：

判断所述响应数据中是否包含cookie设置项，若包含cookie设置项，将所述cookie设置项中domain信息内的权限域名改写为所述虚拟域名，并缓存cookie信息与所述权限域名之间的关联关系。
根据权利要求9所述的方法，其中，所述方法还包括：

当再次接收到所述客户端发送的内网访问请求时，若所述内网访问请求的访问域名还原后得到的原始内网域名中包含所述关联关系中的权限域名，则在向所述原始内网域名指向的内网服务器发送资源获取请求时，携带的所述权限域名对应的cookie信息。
一种代理服务器，包括存储器和处理器，所述存储器用于存储计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1至10中任一所述的方法。
一种数据代理系统，包括代理服务器、公共DNS服务器、智能DNS服务器以及内网服务器，其中：

所述公共DNS服务器，用于接收客户端发来的域名解析请求，并在识别出所述域名解析请求中的域名包含指定泛域名时直接基于所述代理服务器的IP地址对所述域名解析请求进行响应，或者将所述域名解析请求转发至所述智能DNS服务器；

所述智能DNS服务器，用于生成所述域名解析请求对应的目的IP地址，并将所述目的IP地址反馈给所述客户端，以使得所述客户端向所述目的IP地址指向的代理服务器发起访问请求；

所述代理服务器，用于将所述访问请求中的访问域名还原为原始内网域名，并向所述原始内网域名指向的内网服务器发起资源获取请求；接收所述内网服务器针对所述资源获取请求反馈的响应数据，并在所述响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，将所述域名信息替换为虚拟域名，所述虚拟域名的泛域名为代理域名，并向客户端反馈包含所述虚拟域名的响应数据。
根据权利要求12所述的系统，其中，所述智能DNS服务器中配置有企业信息与代理服务器的映射关系表，所述智能DNS服务器包括：

企业信息匹配单元，用于提取所述域名解析请求中的企业信息，并在所述映射关系表中查询与提取的所述企业信息相匹配的代理服务器；

IP地址反馈单元，用于将所述相匹配的代理服务器的IP地址作为目的IP地址反馈给所述客户端。
根据权利要求12所述的系统，其中，所述代理服务器包括：

内网域名信息提取单元，用于识别所述原始内网域名被改写时的改写规则，并提取所述访问请求中的所述访问域名；

改写单元，用于按照所述改写规则将所述访问域名还原为所述原始内网域名。
根据权利要求12所述的系统，其中，所述代理服务器还包括：

domain信息改写单元，用于判断所述响应数据中是否包含cookie设置项，若包含cookie设置项，将所述cookie设置项中domain信息内的权限域名改写为代理域名，并建立cookie信息与所述权限域名之间的关联关系。
根据权利要求15所述的系统，其中，所述domain信息改写单元包括：

缓存模块，用于缓存所述权限域名与cookie信息的关联关系；

cookie查询模块，用于当再次接收到所述客户端发送的内网访问请求时，若所述内网访问请求的访问域名还原后得到的原始内网域名中包含所述关联关系中的权限域名，则在向所述原始内网域名指向的内网服务器发送资源获取请求时，携带的所述权限域名对应的cookie信息。
根据权利要求12所述的系统，其中，所述系统还包括鉴权服务器，所述鉴权服务器用于接收所述代理服务器转发的登陆请求，并在验证通过所述客户端的权限后，向所述代理服务器反馈授权响应信息；其中，在所述授权响应数据中包含域名信息以及所述域名信息符合替换规则的情况下，所述代理服务器将所述域名信息替换为虚拟域名。