[发明专利]一种基于反向连接和应用层隧道的企业内网访问方法

说明书

本发明公开了一种基于反向连接和应用层隧道的企业内网访问方法，实现该方法的系统根据通信角色划分为：用户使用的外网终端、公网部署的中继服务器、企业内网部署的网关服务器、以及企业内网部署的应用服务器；除外网终端和中继服务器之间，其余各层级之间采用消息接收端向发送端发送请求的反向方式建立连接，采用应用层协议作为数据传输隧道；访问企业内网时，用户通过外网终端发送请求至中继服务器，中继服务器校验后将信息发送至目标网关服务器，网关服务器将信息发送至目标应用服务器，目标应用服务器执行请求，请求结果依次通过网关服务器、中继服务器返回至外网终端。本发明提供的企业内网访问方法，实现外网终端安全、高效地访问企业内网。

技术领域

本发明涉及通信技术领域，具体涉及一种基于反向连接和应用层隧道的企业内网访问方法。

背景技术

企业内网资源的访问需求由来已久，由于内外网分别使用不同的IP地址，在网络边界由NAT完成转换，对外表现为一个IP地址，导致外网终端无法直接访问内网主机。

内网访问需关注如下问题：

1)保证安全性，包括身份认证、传输安全以及权限控制等；

2)使用便捷，安装简洁，尽量减小对企业网络环境的改动；

3)操作简洁，隐藏细节，暴露给用户的配置尽量少，降低使用难度；

4)易于扩展，无论是业务扩展还是方法和系统本身的升级都应具备对现有业务影响较小，向下兼容；

5)适应企业复杂的网络环境，各个企业内网安全等级不同，网络建设也参差不齐，访问方法和系统需兼容这些差异。

发明内容

本发明提供了一种基于反向连接和应用层隧道的企业内网访问方法，实现外网终端安全、高效地访问企业内部网络。

一种基于反向连接和应用层隧道的企业内网访问方法，实现所述企业内网访问方法的系统根据通信角色划分为四个层级，分别为：用户使用的外网终端、公网部署的中继服务器、企业内网部署的网关服务器、以及企业内网部署的应用服务器；

外网终端与中继服务器之间采用消息发送端向接收端发送请求的正向方式建立连接；

中继服务器与网关服务器之间，以及网关服务器与应用服务器之间均采用消息接收端向发送端发送请求的反向方式建立连接；

各层级节点之间采用应用层协议作为数据传输隧道；

访问企业内网时，用户通过外网终端发送请求至中继服务器，中继服务器校验后将信息发送至相应的网关服务器，网关服务器将信息发送至目标应用服务器，目标应用服务器执行请求，请求结果依次通过网关服务器、中继服务器返回至外网终端。

本发明中各层级节点之间通过反向方式建立连接，即通过企业内网节点发起连接请求，这样设计的好处在于：

1)增加便捷性，内网主动向外网发起请求，无需开放新端口，新添加服务不需要再做调整，可以自动发现；

2)提高安全性，外网发起请求无法穿透内网，可有效屏蔽外网发起的攻击，同时，配置防火墙策略，使网关服务器只能通过特定端口访问指定IP和端口，即限制网关只能访问服务端主机，屏蔽由内网发起的木马攻击，进一步增加安全系数。

本发明采用应用层协议作为数据传输隧道，例如，websocket，这样带来的好处如下：

1)应用层协议可以轻松穿越网关服务器(即NAT)，屏蔽下层协议细节，稳定可靠，实现也相对简单；

2)可以代理基于TCP的所有上层协议，包括http、ssl等，屏蔽上层协议细节，基本上可以满足大部分网络请求；