[发明专利]应用安全代理方法以及应用安全代理系统

说明书

技术领域

本发明涉及计算机技术领域，更具体地说，本发明涉及一种可动态扩展的应用安全代理方法以及应用安全代理系统。

背景技术

在客户端/应用服务器的分布式应用系统架构中，通常采用应用服务的安全代理（本文中简称“应用安全代理”）技术，其中对访问应用服务器的客户端用户身份进行鉴别、权限进行控制，同时还要对应用协议进行识别和过滤等，实现对应用服务的安全保护。在部署方式上，通常在应用服务器的网络前端配置网关式的安全代理设备。

传统安全代理技术的实现方式有以下几种：a)在服务端部署单台安全代理设备，其稳定性和性能都只能依赖单台服务端安全代理设备，一旦服务端安全代理设备出现故障，会导致所有用户和应用全部瘫痪；b)在服务端部署2台安全代理设备并实现冷备份，其中2台服务端安全代理设备配置相同，可同时加电，但是同时只能有一台接入网络工作，在出现故障时才手工切换到另外一台设备，而其优点是故障恢复快，缺点是需手工切换，稳定性和性能都没有提高；c)在服务端部署2台安全代理设备并实现热备份，其中2台服务端安全代理设备配置相同，可同时加电，且同时接入网络，但是同时只能有一台进入工作状态，在出现故障时能自动切换到另外一台设备，其优点是能自动恢复故障，稳定性有提高，缺点是性能没有提高。

发明内容

本发明所要解决的技术问题是针对现有技术中存在上述缺陷，提供一种高安全性、高稳定性和高性能的可动态扩展的应用安全代理方法及系统。

根据本发明的第一方面，提供了一种应用安全代理方法，其中，多个安全代理设备同时连接在流量均衡器上；为每个安全代理设备分配一个终端虚拟地址池；终端与安全代理设备通信时，流量均衡器将数据转发到某个存活的安全代理设备；在安全代理设备完成终端的身份认证之后为终端分配虚拟地址；终端使用虚拟地址与内网应用服务器通信。

优选地，终端发送给应用服务器的IP（Internet Protocol，网络协议）报文被加密封装后发送给与之通信的安全代理设备，然后被解密解封并转发给其访问的应用服务器。

优选地，在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由，以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备，然后被加密封装后转发到所述终端。

优选地，其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。

根据本发明的第二方面，提供了一种应用安全代理系统，其包括：终端、多个安全代理设备、流量均衡器、以及应用服务器，其中，多个安全代理设备同时连接在流量均衡器上；每个安全代理设备分配有一个终端虚拟地址池；终端与安全代理设备通信时，流量均衡器将数据转发到某个存活的安全代理设备；在安全代理设备完成终端的身份认证之后为终端分配虚拟地址；终端使用虚拟地址与内网应用服务器通信。

优选地，终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备，然后被解密解封并转发给其访问的应用服务器。

优选地，其中可动态增加或减少同时连接在流量均衡器上的安全代理设备的数量。

优选地，在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由，以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备，然后被加密封装后转发到所述终端。

本发明提供了一种将地址池分配、动态地址分配、流量均衡和静态路由分配多种技术有效融合的安全代理方法及系统，应用于应用系统的安全防护，实现同时对多种应用协议的安全代理。在本发明的可动态扩展的应用安全代理方法及系统中，实现了安全代理系统规模的动态扩展、性能的动态扩展和服务端多台安全代理设备的流量均衡。通过本发明，有效解决了传统代理技术代理设备多、操作不灵活等问题，通过一台设备即可恢复整个代理系统故障，极大提高了系统稳定性；同时，实现了用户信息和流量数据的有效均衡，也在很大程度上提高了代理系统的综合性能。

附图说明

结合附图，并通过参考下面的详细描述，将会更容易地对本发明有更完整的理解并且更容易地理解其伴随的优点和特征，其中：

图1示意性地示出了根据本发明第一优选实施例的应用安全代理方法的流程图。

图2示意性地示出了根据本发明第一优选实施例的的应用安全代理方法的示意图。

图3示意性地示出了根据本发明第二优选实施例的应用安全代理方法的流程图。

图4示意性地示出了根据本发明第二优选实施例的的应用安全代理方法的示意图。