CN110278192B - 外网访问内网的方法、装置、计算机设备及可读存储介质 - Google Patents
外网访问内网的方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN110278192B CN110278192B CN201910419273.2A CN201910419273A CN110278192B CN 110278192 B CN110278192 B CN 110278192B CN 201910419273 A CN201910419273 A CN 201910419273A CN 110278192 B CN110278192 B CN 110278192B
- Authority
- CN
- China
- Prior art keywords
- message
- request
- server
- intranet
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种外网访问内网的方法体,该方法包括:当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种外网访问内网的方法、装置、计算机设备及可读存储介质。
背景技术
目前,存在内网和外网的概念,内网为企业内部的局域网,而外网是面向大众开发的互联网;基于安全性的考虑,外网用户不能随便访问内网的功能;但是,随着互联网和信息技术的发展和应用,越来越多的企业要求外网用户能够访问企业内网的功能;但是,目前还没有一种即安全又便捷的允许外网用户访问内网功能的方法。
发明内容
本发明的目的在于提供一种外网访问内网的方法、装置、计算机设备及可读存储介质,解决了现有技术中外网功能和内网功能不能互联的技术问题。
本发明是通过下述技术方案来解决上述技术问题:
根据本发明的一个方面,提供了一种外网访问内网的方法,包括如下步骤:
当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
进一步的,所述当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息,具体包括:
所述外网服务器接收由所述外网访问端发送来的第一请求访问消息;其中,所述第一请求访问消息包括:需要访问的***功能的功能编号;
根据所述功能编号,利用预设的对应关系表,确定出与所述功能编号对应的功能类型;其中,所述功能类型包括:内网功能和外网功能;
当所述功能编号对应的为内网功能时,向所述内网服务器发送请求建连消息。
进一步的,在所述向内网服务器发送请求建连消息之前,所述方法还包括:
获取包含在所述第一请求访问消息中的所述外网访问端的身份识别信息,并判断所述身份识别信息是否存在于预设的白名单和黑名单中;
若存在于所述白名单中,则身份验证通过,向所述内网服务器发送请求建连消息;
若存在于所述黑名单中,则身份验证失败,向所述外网访问端发送拒绝访问消息;
若不存在于所述白名单和黑名单中,则将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证;并在接收到由所述预设终端发送来的身份验证通过消息时向所述内网服务器发送请求建连消息,或者在接收到由所述预设终端发送来的身份验证失败消息时,向所述外网访问端发送拒绝访问消息。
进一步的,在身份验证通过的情况下,所述方法还包括:
根据所述身份识别信息确定出所述外网访问端的访问级别,查找与确定出的访问级别对应的禁止访问名单,并判断所述功能编号是否存在于查找到的禁止访问名单中;
若是,则向所述外网访问端发送拒绝访问消息;
若否,则向所述内网服务器发送请求建连消息。
进一步的,所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,具体包括:
将所述第二请求访问消息的目的地址设置为所述临时IP地址,并将所述第二请求访问消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求访问消息中的消息内容,并将所述消息内容添加到所述第二请求访问消息中。
进一步的,所述将所述第二请求访问消息通过所述临时连接发送给所述内网服务器之后,所述方法还包括:
所述外网服务器接收由所述内网服务器发送来的第一请求应答消息,并将所述第一请求应答消息重新打包为第二请求应答消息,并将所述第二请求应答消息发送给所述外网访问端。
进一步的,所述将所述第一请求应答消息重新打包为第二请求应答消息,具体包括:
将所述第二请求应答消息的目的地址设置为所述外网访问端的IP地址,并将所述第二请求应答消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求应答消息中的消息内容,并将所述消息内容添加到所述第二请求应答消息中。
为了实现上述目的,本发明还提供一种外网访问内网的装置,具体包括:
发送模块,用于当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
接收模块,用于所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
建连模块,用于所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
转发模块,用于所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
为了实现上述目的,本发明还提供一种计算机设备,具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述方法的步骤。
本发明提供的外网访问内网的方法、装置、计算机设备及可读存储介质,可以通过外网服务器将外网访问端的访问请求转发给内网服务器,以供内网工程处理所述访问请求,并将内网工程反馈回的访问响应转发给外网访问端;解决了现有技术中外网功能和内网功能不能互联的技术问题;此外,在本发明中,通过为每个***功能配置对应的功能编码,并通过功能编码对***功能的类型进行区分,解决了现有技术中开发人员需要分开去开发内网功能和外网功能的技术问题,减少了开发人员的发开量。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为实施例一提供的外网访问内网的方法的一种可选的流程示意图;
图2为实施例三提供的外网访问内网的装置的一种可选的程序模块示意图;
图3为实施例四提供的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
下面结合附图对本发明提供的外网访问内网的方法进行说明。
图1为本发明外网访问内网的方法的一种可选的流程示意图,如图1所示,该方法可以包括以下步骤:
步骤S101:当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息。
具体的,步骤S101,包括:
步骤A1:所述外网服务器接收由所述外网访问端发送来的第一请求访问消息;其中,所述第一请求访问消息包括:需要访问的***功能的功能编号;
步骤A2:根据所述功能编号,利用预设的对应关系表,确定出与所述功能编号对应的功能类型;其中,所述功能类型包括:内网功能和外网功能;
步骤A3:当所述功能编号对应的为内网功能时,向所述内网服务器发送请求建连消息。
其中,在步骤A1之前,所述方法还包括:
所述当外网服务器接收对应关系表,并进行存储;其中,所述对应关系表包括:功能编号以及分别与每个功能编号对应的功能类型;
在现有技术中,由于有些功能需要在内网执行,而有些功能需要在外网执行,所以内网功能的开发代码与外网功能的开发代码不能通用;因此,需要将开发人员分为两批,各自开发对应的***功能。由于开发人员需要知道自己开发的是内网功能还是外网功能,并对内网功能和外网功能的代码做区别处理,所以每个开发人员不能专注于业务逻辑代码的开发,增加了开发人员的工作量。而在本实施例中,开发人员虽然还是需要知道自己开发的是内网功能还是外网功能,但是,可以使用一套代码来开发内网功能和外网功能,不需要对内网功能的代码和外网功能的代码做区别;每当开发人员开发好一个***功能之后,会为该***功能分配对应的功能编号,以及在对应关系表中记录该***功能的功能编号以及该***功能的功能类型,从而建立出功能编号与功能类型的对应关系,并将所述对应关系表存储到所述外网服务器中,以供后期使用。
在***功能开发之后会统一的为各个***功能分配功能编号,并建立每个功能编号与功能类型的对应关系,通过查看对应关系表,便可知道功能编号对应的是内网功能还是外网功能。当所述功能编号对应的功能类型为内网功能时,所述需要访问的***功能为内网功能;当所述功能编号对应的功能类型为外网功能时,所述需要访问的***功能为外网功能。
进一步的,在所述向内网服务器发送请求建连消息之前,所述方法还包括:
获取包含在所述第一请求访问消息中的所述外网访问端的身份识别信息,并判断所述身份识别信息是否存在于预设的白名单和黑名单中;
若存在于所述白名单中,则身份验证通过,向所述内网服务器发送请求建连消息;
若存在于所述黑名单中,则身份验证失败,向所述外网访问端发送拒绝访问消息;
若不存在于所述白名单和黑名单中,则将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证;并在接收到由所述预设终端发送来的身份验证通过消息时向所述内网服务器发送请求建连消息,或者在接收到由所述预设终端发送来的身份验证失败消息时,向所述外网访问端发送拒绝访问消息。
优选的,身份识别信息为:MAC(Media Access Control Address,媒体访问控制地址)。
在本实施例中,通过白名单和黑名单对外网访问端进行身份验证;其中,在所述白名单中存储有各个可信终端的身份识别信息,在所述黑名单中存储有各个不可信终端的身份识别信息。当外网访问端的身份识别信息不存在白名单和黑名单中时,将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证,并在接收到由所述预设终端发送来的验证通过消息时,将所述身份识别信息添加到所述白名单中,或者在接收到由所述预设终端发送来的验证失败消息时,将所述身份识别信息添加到所述黑名单中。
当然,在实际应用中,也可以通过签名、秘钥等其他身份验证方式对外网访问端的身份进行验证。例如,当使用签名进行身份验证时,外网服务器判断在第一请求访问消息中是否包括预设签名,若是,则身份验证通过,若否,则身份验证失败。
更进一步的,在身份验证通过的情况下,所述方法还包括:
根据所述身份识别信息确定出所述外网访问端的访问级别,查找与确定出的访问级别对应的禁止访问名单,并判断所述功能编号是否存在于查找到的禁止访问名单中;
若是,则向所述外网访问端发送拒绝访问消息;
若否,则向所述内网服务器发送请求建连消息。
其中,所述根据所述身份识别信息确定出所述外网访问端的访问级别,具体包括:
在所述白名单中确定出所述身份识别信息对应的访问级别。
在所述白名单中还记录有与每个身份识别信息对应的访问级别;例如,设置高、中、低三个访问级别,高访问级别的身份识别信息对应的外网访问端可访问的内网功能的数量多于低访问级别的身份识别新消息对应的外网访问端可访问的内网功能的数量。
需要说明的是,每个身份识别信息的访问级别是事先设置好的并记录在所述白名单中的。
其中,每个访问级别有对应的禁止访问名单,在禁止访问名单中包含有禁止被外网访问端访问的内网功能的功能编号。当外网服务器判断出请求访问消息中的功能编号出现在对应的访问级别的禁止访问名单中时,外网服务器向外网访问端发送拒绝访问消息,以拒绝外网访问端访问该功能编号对应的内网功能。
步骤S102:所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址。
在本实施例中,为了提高外网访问内网的安全性,内网服务器会为外网服务器分配一个临时IP地址,且该临时IP地址具有一定时长的使用期限,即所述临时连接具有一定时长的使用期限,在所述使用期限内,外网服务器可以向内网服务器发送消息以及内网服务器可以向外网服务器发送消息,在所述使用期限外,所述外网服务器与所述内网服务器断开连接。
步骤S103:所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接。
步骤S104:所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
具体的,所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,包括:
将所述第二请求访问消息的目的地址设置为所述临时IP地址,并将所述第二请求访问消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求访问消息中的消息内容,并将所述消息内容添加到所述第二请求访问消息中。
在本实施例中,外网服务器会向内网服务器发送一个新的请求,这个新的请求会包含原请求所携带的数据和参数,当内网获取到这个新的请求时,会去做相应的业务处理。
其中,当所述内网服务器接收到所述第二请求访问消息时执行如下操作:
步骤B1:所述内网服务器判断接收到的第二请求访问消息中的源地址是否为所述外网服务器的地址;若是,则执行步骤B2,若否,则向所述外网服务器发送拒绝访问消息。
当所述内网服务器接收到所述请求建连消息时,获取所述请求建连消息中的源地址,并建立所述源地址与所述临时IP地址的关联关系。
当所述内网服务器接收到所述第二请求访问消息时会对第二请求访问消息的源地址进行验证。
步骤B2:所述内网服务器根据所述第二请求访问消息执行相应的功能操作,并向所述外网服务器发送第一请求应答消息。
进一步的,在所述将所述第二请求访问消息通过所述临时连接发送给所述内网服务器之后,所述方法还包括:
所述外网服务器接收由所述内网服务器发送来的第一请求应答消息,并将所述第一请求应答消息重新打包为第二请求应答消息,并将所述第二请求应答消息发送给所述外网访问端。
更进一步的,所述将所述第一请求应答消息重新打包为第二请求应答消息,具体包括:
将所述第二请求应答消息的目的地址设置为所述外网访问端的IP地址,并将所述第二请求应答消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求应答消息中的消息内容,并将所述消息内容添加到所述第二请求应答消息中。
在本实施例中,若外网访问端请求访问内网工程的内网功能,则会通过外网工程中的外网服务器进行访问请求的转发;在外网服务器转发了访问请求之后,外网的逻辑流程暂停,等待内网处理结果的返回。内网处理完请求后,会生成相应的请求应答,并通过外网服务器将该请求应答转发给外网访问端。在此过程中,外网访问端是没有感知的,不影响其他的逻辑处理。
实施例二
本发明还提供了另外一种可选的外网访问内网的方法,该方法具体包括以下步骤:
步骤S1:外网服务器接收由外网访问端发送来的第一请求访问消息;其中,所述第一请求访问消息包括:需要访问的***功能的功能编号。
具体的,在步骤S1之前,所述方法还包括:
接收对应关系表,并进行存储;其中,所述对应关系表包括:功能编号以及分别与每个功能编号对应的功能类型;
所述功能类型包括:内网功能和外网功能。
步骤S2:所述外网服务器根据所述功能编号,判断需要访问的***功能是否为内网功能。
具体的,步骤S2包括:
根据所述功能编号,利用所述对应关系表,确定出与所述功能编号对应的功能类型。
当所述功能编号对应的功能类型为内网功能时,所述需要访问的***功能为内网功能;当所述功能编号对应的功能类型为外网功能时,所述需要访问的***功能为外网功能。
步骤S3:在所述需要访问的***功能为内网功能的情况下,所述外网服务器对所述外网访问端进行身份验证。
具体的,在所述第一请求访问消息中还包括:所述外网访问端的身份识别信息。
优选的,身份识别信息为:MAC(Media Access Control Address,媒体访问控制地址)。
进一步的,步骤S3,包括:
判断所述身份识别信息是否存在于预设的白名单和黑名单中;
若存在于所述白名单中,则身份验证通过,并执行步骤S4;
若存在于所述黑名单中,则身份验证失败,并向所述外网访问端发送拒绝访问消息;
若不存在于所述白名单和黑名单中,则将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证;在接收到由所述预设终端发送来的验证通过消息时执行步骤S4,或者在接收到由所述预设终端发送来的验证失败消息时,向所述外网访问端发送拒绝访问消息。
步骤S4:在身份验证通过的情况下,所述外网服务器根据所述身份识别信息确定出所述外网访问端的访问级别,查找与确定出的访问级别对应的禁止访问名单,并判断所述功能编号是否存在于查找到的禁止访问名单中;
若是,则向所述外网访问端发送拒绝访问消息;
若否,则执行步骤S5。
进一步的,所述根据所述身份识别信息确定出所述外网访问端的访问级别,具体包括:
在所述白名单中确定出所述身份识别信息对应的访问级别。
在所述白名单中还记录有与每个身份识别信息对应的访问级别;例如,设置高、中、低三个访问级别,高访问级别的身份识别信息对应的外网访问端可访问的内网功能的数量多于低访问级别的身份识别新消息对应的外网访问端可访问的内网功能的数量。
其中,每个身份识别信息的访问级别是事先设置好的并记录在所述白名单中的。
更进一步的,每个访问级别有对应的禁止访问名单,在禁止访问名单中包含有禁止被外网访问端访问的内网功能的功能编号。当外网服务器判断出请求访问消息中的功能编号出现在对应的访问级别的禁止访问名单中时,外网服务器向外网访问端发送拒绝访问消息,以拒绝外网访问端访问该功能编号对应的内网功能。
步骤S5:所述外网服务器向所述内网服务器发送请求建连消息,并接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息中包括由所述内网服务器为所述外网服务器临时分配的临时IP地址。
步骤S6:所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接。
步骤S7:所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
具体的,所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,包括:
将所述第二请求访问消息的目的地址设置为所述临时IP地址,并将所述第二请求访问消息的源地址设置为所述外网服务的IP地址;
获取所述第一请求访问消息中的消息内容,并将所述消息内容添加到所述第二请求访问消息中。
步骤S8:所述内网服务器判断接收到的第二请求访问消息中的源地址是否为所述外网服务器的地址;若是,则执行步骤S9,若否,则向所述外网服务器发送拒绝访问消息。
具体的,当所述内网服务器接收到所述请求建连消息时,获取所述请求建连消息中的源地址,并建立所述源地址与所述临时IP地址的关联关系。
当所述内网服务器接收到所述第二请求访问消息时会对第二请求访问消息的源地址进行验证。
步骤S9:所述内网服务器根据所述第二请求访问消息执行相应的功能操作,并向所述外网服务器发送第一请求应答消息。
步骤S10:所述外网服务器接收所述第一请求应答消息,并将所述第一请求应答消息重新打包为转发给所述外网访问端的第二请求应答消息。
具体的,步骤S10,包括:
将所述第二请求应答消息的目的地址设置为所述外网访问端的IP地址,并将所述第二请求应答消息的源地址设置为所述外网服务的IP地址;
获取所述第一请求应答消息中的消息内容,并将所述消息内容添加到所述第二请求应答消息中。
步骤S11:所述外网服务器将所述第二请求应答消息发送至所述外网访问端。
实施例三
基于上述实施例一中提供的外网访问内网的方法,本实施例中提供一种外网访问内网的装置,具体地,图2示出了该外网访问内网的装置的可选的结构框图,该外网访问内网的装置被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明。本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合描述外网访问内网的装置在存储介质中的执行过程,以下描述将具体介绍本实施例各程序模块的功能。
如图2所示,该外网访问内网的装置具体包括以下组成部分:
发送模块201,用于当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
接收模块202,用于所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
建连模块203,用于所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
转发模块204,用于所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
具体的,发送模块201,包括:
接收单元,用于所述外网服务器接收由所述外网访问端发送来的第一请求访问消息;其中,所述第一请求访问消息包括:需要访问的***功能的功能编号;
确定单元,用于根据所述功能编号,利用预设的对应关系表,确定出与所述功能编号对应的功能类型;其中,所述功能类型包括:内网功能和外网功能;
发送单元,用于当所述功能编号对应的为内网功能时,向所述内网服务器发送请求建连消息。
进一步的,所述装置还包括:
验证模块,用于在所述向内网服务器发送请求建连消息之前,获取包含在所述第一请求访问消息中的所述外网访问端的身份识别信息,并判断所述身份识别信息是否存在于预设的白名单和黑名单中;若存在于所述白名单中,则身份验证通过,向所述内网服务器发送请求建连消息;若存在于所述黑名单中,则身份验证失败,向所述外网访问端发送拒绝访问消息;若不存在于所述白名单和黑名单中,则将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证;并在接收到由所述预设终端发送来的身份验证通过消息时向所述内网服务器发送请求建连消息,或者在接收到由所述预设终端发送来的身份验证失败消息时,向所述外网访问端发送拒绝访问消息。
其中,所述验证模块,还用于:
在身份验证通过的情况下,根据所述身份识别信息确定出所述外网访问端的访问级别,查找与确定出的访问级别对应的禁止访问名单,并判断所述功能编号是否存在于查找到的禁止访问名单中;若是,则向所述外网访问端发送拒绝访问消息;若否,则向所述内网服务器发送请求建连消息。
进一步的,所述转发模块204,具体用于:
将所述第二请求访问消息的目的地址设置为所述临时IP地址,并将所述第二请求访问消息的源地址设置为所述外网服务器的IP地址;获取所述第一请求访问消息中的消息内容,并将所述消息内容添加到所述第二请求访问消息中。
更进一步的,所述装置还包括:
处理模块,用于在所述将所述第二请求访问消息通过所述临时连接发送给所述内网服务器之后,所述外网服务器接收由所述内网服务器发送来的第一请求应答消息,并将所述第一请求应答消息重新打包为第二请求应答消息,并将所述第二请求应答消息发送给所述外网访问端。
其中,所述处理模块,具体用于:
将所述第二请求应答消息的目的地址设置为所述外网访问端的IP地址,并将所述第二请求应答消息的源地址设置为所述外网服务器的IP地址;获取所述第一请求应答消息中的消息内容,并将所述消息内容添加到所述第二请求应答消息中。
实施例四
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图3所示,本实施例的计算机设备30至少包括但不限于:可通过***总线相互通信连接的存储器301、处理器302。需要指出的是,图3仅示出了具有组件301-302的计算机设备30,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器301(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器301可以是计算机设备30的内部存储单元,例如该计算机设备30的硬盘或内存。在另一些实施例中,存储器301也可以是计算机设备30的外部存储设备,例如该计算机设备30上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器301还可以既包括计算机设备30的内部存储单元也包括其外部存储设备。在本实施例中,存储器301通常用于存储安装于计算机设备30的操作***和各类应用软件,例如实施例二的外网访问内网的装置的程序代码等。此外,存储器301还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器302在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器302通常用于控制计算机设备30的总体操作。
具体的,在本实施例中,处理器302用于执行处理器302中存储的外网访问内网的方法的程序,所述外网访问内网的方法的程序被执行时实现如下步骤:
当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
实施例五
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种外网访问内网的方法,其特征在于,所述方法包括:
当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
2.根据权利要求1所述的外网访问内网的方法,其特征在于,所述当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息,具体包括:
所述外网服务器接收由所述外网访问端发送来的第一请求访问消息;其中,所述第一请求访问消息包括:需要访问的***功能的功能编号;
根据所述功能编号,利用预设的对应关系表,确定出与所述功能编号对应的功能类型;其中,所述功能类型包括:内网功能和外网功能;
当所述功能编号对应的为内网功能时,向所述内网服务器发送请求建连消息。
3.根据权利要求2所述的外网访问内网的方法,其特征在于,在所述向内网服务器发送请求建连消息之前,所述方法还包括:
获取包含在所述第一请求访问消息中的所述外网访问端的身份识别信息,并判断所述身份识别信息是否存在于预设的白名单和黑名单中;
若存在于所述白名单中,则身份验证通过,向所述内网服务器发送请求建连消息;
若存在于所述黑名单中,则身份验证失败,向所述外网访问端发送拒绝访问消息;
若不存在于所述白名单和黑名单中,则将所述身份识别信息发送至预设终端,以供所述预设终端进行身份验证;并在接收到由所述预设终端发送来的身份验证通过消息时向所述内网服务器发送请求建连消息,或者在接收到由所述预设终端发送来的身份验证失败消息时,向所述外网访问端发送拒绝访问消息。
4.根据权利要求3所述的外网访问内网的方法,其特征在于,在身份验证通过的情况下,所述方法还包括:
根据所述身份识别信息确定出所述外网访问端的访问级别,查找与确定出的访问级别对应的禁止访问名单,并判断所述功能编号是否存在于查找到的禁止访问名单中;
若是,则向所述外网访问端发送拒绝访问消息;
若否,则向所述内网服务器发送请求建连消息。
5.根据权利要求1所述的外网访问内网的方法,其特征在于,所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,具体包括:
将所述第二请求访问消息的目的地址设置为所述临时IP地址,并将所述第二请求访问消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求访问消息中的消息内容,并将所述消息内容添加到所述第二请求访问消息中。
6.根据权利要求1所述的外网访问内网的方法,其特征在于,在所述将所述第二请求访问消息通过所述临时连接发送给所述内网服务器之后,所述方法还包括:
所述外网服务器接收由所述内网服务器发送来的第一请求应答消息,并将所述第一请求应答消息重新打包为第二请求应答消息,并将所述第二请求应答消息发送给所述外网访问端。
7.根据权利要求6所述的外网访问内网的方法,其特征在于,所述将所述第一请求应答消息重新打包为第二请求应答消息,具体包括:
将所述第二请求应答消息的目的地址设置为所述外网访问端的IP地址,并将所述第二请求应答消息的源地址设置为所述外网服务器的IP地址;
获取所述第一请求应答消息中的消息内容,并将所述消息内容添加到所述第二请求应答消息中。
8.一种外网访问内网的装置,其特征在于,所述装置包括:
发送模块,用于当外网服务器接收到由外网访问端发送来的用于访问内网功能的第一请求访问消息时,向内网服务器发送请求建连消息;
接收模块,用于所述外网服务器接收由所述内网服务器反馈回的同意建连消息;其中,所述同意建连消息包括:由所述内网服务器为所述外网服务器分配的临时IP地址;
建连模块,用于所述外网服务器根据所述临时IP地址建立与所述内网服务器的临时连接;
转发模块,用于所述外网服务器将所述第一请求访问消息重新打包为第二请求访问消息,并将所述第二请求访问消息通过所述临时连接发送给所述内网服务器,以供所述内网服务器根据所述第二请求访问消息调用对应的内网功能。
9.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910419273.2A CN110278192B (zh) | 2019-05-20 | 2019-05-20 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910419273.2A CN110278192B (zh) | 2019-05-20 | 2019-05-20 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110278192A CN110278192A (zh) | 2019-09-24 |
| CN110278192B true CN110278192B (zh) | 2022-10-25 |
Family
ID=67960142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910419273.2A Active CN110278192B (zh) | 2019-05-20 | 2019-05-20 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110278192B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131303A (zh) * | 2019-12-31 | 2020-05-08 | 苏宁云计算有限公司 | 一种请求数据的校验***和方法 |
| CN111683045B (zh) * | 2020-04-28 | 2023-08-01 | 中国平安财产保险股份有限公司 | 会话信息处理方法、装置、设备及存储介质 |
| CN111818100B (zh) * | 2020-09-04 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
| CN114765614B (zh) * | 2020-12-31 | 2023-11-10 | 华为技术有限公司 | 一种访问局域网服务设备的方法及电子设备 |
| CN113709162A (zh) * | 2021-08-30 | 2021-11-26 | 康键信息技术(深圳)有限公司 | 内网数据的获取方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968181A (zh) * | 2005-11-15 | 2007-05-23 | 中兴通讯股份有限公司 | 一种实现媒体流报文穿越网络地址转换器的方法 |
| CN101656645A (zh) * | 2008-08-20 | 2010-02-24 | 华为技术有限公司 | 外部设备与家庭网络内部设备通讯的方法、设备及*** |
| CN102111311A (zh) * | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
| CN102148767A (zh) * | 2011-05-12 | 2011-08-10 | 杭州华三通信技术有限公司 | 一种基于nat的数据路由方法及其装置 |
| CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | ***通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN105162787A (zh) * | 2015-09-17 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 外网终端访问厂商设备或内网终端的方法和装置 |
-
2019
- 2019-05-20 CN CN201910419273.2A patent/CN110278192B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1968181A (zh) * | 2005-11-15 | 2007-05-23 | 中兴通讯股份有限公司 | 一种实现媒体流报文穿越网络地址转换器的方法 |
| CN101656645A (zh) * | 2008-08-20 | 2010-02-24 | 华为技术有限公司 | 外部设备与家庭网络内部设备通讯的方法、设备及*** |
| CN102111311A (zh) * | 2011-03-18 | 2011-06-29 | 杭州华三通信技术有限公司 | 通过二层隧道协议访问监控私网的方法及服务器 |
| CN102148767A (zh) * | 2011-05-12 | 2011-08-10 | 杭州华三通信技术有限公司 | 一种基于nat的数据路由方法及其装置 |
| CN104811507A (zh) * | 2014-01-26 | 2015-07-29 | ***通信集团湖南有限公司 | 一种ip地址获取方法及装置 |
| CN105162787A (zh) * | 2015-09-17 | 2015-12-16 | 深圳市深信服电子科技有限公司 | 外网终端访问厂商设备或内网终端的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于VPN的校园网络资源的访问;郑春阳等;《沧州师范专科学校学报》;20100315(第01期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110278192A (zh) | 2019-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110278192B (zh) | 外网访问内网的方法、装置、计算机设备及可读存储介质 | |
| CN109492378B (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
| WO2015096695A1 (zh) | 一种应用程序的安装控制方法、***及装置 | |
| CN111181975B (zh) | 一种账号管理方法、装置、设备及存储介质 | |
| CN111343168B (zh) | 一种身份验证的方法、装置、计算机设备及可读存储介质 | |
| CN110445769B (zh) | 业务***的访问方法及装置 | |
| CN109462601B (zh) | 基于eSIM的多平台访问方法及装置 | |
| EP3552098A1 (en) | Operating system update management for enrolled devices | |
| CN110839014B (zh) | 一种认证方法、装置、计算机设备及可读存储介质 | |
| CN110008758B (zh) | 一种id获取方法、装置、电子设备及存储介质 | |
| CN108777691B (zh) | 网络安全防护方法及装置 | |
| EP2341457A2 (en) | System and method for loading application classes | |
| RU2491623C1 (ru) | Система и способ проверки файлов на доверенность | |
| CN111177703B (zh) | 操作***数据完整性的确定方法及装置 | |
| CN112448956A (zh) | 一种短信验证码的权限处理方法、装置和计算机设备 | |
| CN108289080B (zh) | 一种访问文件***的方法、装置和*** | |
| CN111753270A (zh) | 应用程序登录验证方法、装置、设备和存储介质 | |
| CN111259368A (zh) | 一种登录***的方法及设备 | |
| CN111125721A (zh) | 一种进程启动的控制方法、计算机设备和可读存储介质 | |
| CN113779562A (zh) | 基于零信任的计算机病毒防护方法、装置、设备及介质 | |
| CN112637167A (zh) | ***登录方法、装置、计算机设备和存储介质 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及*** | |
| US20190098045A1 (en) | Browser injection prevention method, browser client and apparatus | |
| US10268823B2 (en) | Device, system, and method for securing executable operations | |
| CN105787359A (zh) | 进程守护方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |