应用安全代理方法以及应用安全代理系统

摘要

本发明提供了一种应用安全代理方法以及应用安全代理系统。多个安全代理设备同时连接在流量均衡器上；为每个安全代理设备分配一个终端虚拟地址池；终端与安全代理设备通信时，流量均衡器将数据转发到某个存活的安全代理设备；在安全代理设备完成终端的身份认证之后为终端分配虚拟地址；终端使用虚拟地址与内网应用服务器通信。终端发送给应用服务器的IP报文被加密封装后发送给与之通信的安全代理设备，然后被解密解封并转发给其访问的应用服务器。在安全代理设备内网使用三层交换机实现对各虚拟地址段的静态路由，以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属地址池对应的安全代理设备，然后被加密封装后转发到所述终端。

说明书

技术领域

本发明涉及计算机技术领域，更具体地说，本发明涉及一种可动态扩 展的应用安全代理方法以及应用安全代理系统。

背景技术

在客户端/应用服务器的分布式应用系统架构中，通常采用应用服务的 安全代理（本文中简称“应用安全代理”）技术，其中对访问应用服务器 的客户端用户身份进行鉴别、权限进行控制，同时还要对应用协议进行识 别和过滤等，实现对应用服务的安全保护。在部署方式上，通常在应用服 务器的网络前端配置网关式的安全代理设备。

传统安全代理技术的实现方式有以下几种：a)在服务端部署单台安 全代理设备，其稳定性和性能都只能依赖单台服务端安全代理设备，一旦 服务端安全代理设备出现故障，会导致所有用户和应用全部瘫痪；b)在服 务端部署2台安全代理设备并实现冷备份，其中2台服务端安全代理设备 配置相同，可同时加电，但是同时只能有一台接入网络工作，在出现故障 时才手工切换到另外一台设备，而其优点是故障恢复快，缺点是需手工切 换，稳定性和性能都没有提高；c)在服务端部署2台安全代理设备并实现 热备份，其中2台服务端安全代理设备配置相同，可同时加电，且同时接 入网络，但是同时只能有一台进入工作状态，在出现故障时能自动切换到 另外一台设备，其优点是能自动恢复故障，稳定性有提高，缺点是性能没 有提高。

发明内容

本发明所要解决的技术问题是针对现有技术中存在上述缺陷，提供一 种高安全性、高稳定性和高性能的可动态扩展的应用安全代理方法及系 统。

根据本发明的第一方面，提供了一种应用安全代理方法，其中，多个 安全代理设备同时连接在流量均衡器上；为每个安全代理设备分配一个终 端虚拟地址池；终端与安全代理设备通信时，流量均衡器将数据转发到某 个存活的安全代理设备；在安全代理设备完成终端的身份认证之后为终端 分配虚拟地址；终端使用虚拟地址与内网应用服务器通信。

优选地，终端发送给应用服务器的IP（Internet Protocol，网络协议） 报文被加密封装后发送给与之通信的安全代理设备，然后被解密解封并转 发给其访问的应用服务器。

优选地，在安全代理设备内网使用三层交换机实现对各虚拟地址段的 静态路由，以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属 地址池对应的安全代理设备，然后被加密封装后转发到所述终端。

优选地，其中可动态增加或减少同时连接在流量均衡器上的安全代理 设备的数量。

根据本发明的第二方面，提供了一种应用安全代理系统，其包括：终 端、多个安全代理设备、流量均衡器、以及应用服务器，其中，多个安全 代理设备同时连接在流量均衡器上；每个安全代理设备分配有一个终端虚 拟地址池；终端与安全代理设备通信时，流量均衡器将数据转发到某个存 活的安全代理设备；在安全代理设备完成终端的身份认证之后为终端分配 虚拟地址；终端使用虚拟地址与内网应用服务器通信。

优选地，终端发送给应用服务器的IP报文被加密封装后发送给与之通 信的安全代理设备，然后被解密解封并转发给其访问的应用服务器。

优选地，其中可动态增加或减少同时连接在流量均衡器上的安全代理 设备的数量。

优选地，在安全代理设备内网使用三层交换机实现对各虚拟地址段的 静态路由，以使得应用服务器发送给终端虚拟地址的IP报文被转发到所属 地址池对应的安全代理设备，然后被加密封装后转发到所述终端。

本发明提供了一种将地址池分配、动态地址分配、流量均衡和静态路 由分配多种技术有效融合的安全代理方法及系统，应用于应用系统的安全 防护，实现同时对多种应用协议的安全代理。在本发明的可动态扩展的应 用安全代理方法及系统中，实现了安全代理系统规模的动态扩展、性能的 动态扩展和服务端多台安全代理设备的流量均衡。通过本发明，有效解决 了传统代理技术代理设备多、操作不灵活等问题，通过一台设备即可恢复 整个代理系统故障，极大提高了系统稳定性；同时，实现了用户信息和流 量数据的有效均衡，也在很大程度上提高了代理系统的综合性能。

附图说明

结合附图，并通过参考下面的详细描述，将会更容易地对本发明有更 完整的理解并且更容易地理解其伴随的优点和特征，其中：

图1示意性地示出了根据本发明第一优选实施例的应用安全代理方法 的流程图。

图2示意性地示出了根据本发明第一优选实施例的的应用安全代理方 法的示意图。

图3示意性地示出了根据本发明第二优选实施例的应用安全代理方法 的流程图。

图4示意性地示出了根据本发明第二优选实施例的的应用安全代理方 法的示意图。

需要说明的是，附图用于说明本发明，而非限制本发明。注意，表示 结构的附图可能并非按比例绘制。并且，附图中，相同或者类似的元件标 有相同或者类似的标号。

具体实施方式

为了使本发明的内容更加清楚和易懂，下面结合具体实施例和附图对 本发明的内容进行详细描述。

本发明将地址池分配、动态地址分配、流量均衡和静态路由分配多种 技术结合起来，构建多台安全代理设备并行工作的代理系统，实现了代理 系统规模的可动态扩展，在多台代理设备并行工作模式下，只要还有一台 设备能够正常工作，就能自动恢复系统故障，提高了系统稳定性；针对多 用户并行访问和数据传输，能够将用户和流量均衡到多个设备上，对系统 综合性能的提高有很大帮助。

在根据本发明实施例的应用安全代理方法及系统中，多个安全代理设 备（在下文描述的具体实施例中为代理服务器）外网口同时连接在流量均 衡器上（可动态增加或减少）；将均衡器的会话保持策略配置为基于客户 端源地址的会话保持，即对来自同一IP地址的所有访问请求被保持到同一 台安全代理设备外网口；为每个安全代理设备分配一个终端虚拟地址池； 终端与安全代理设备通信时，流量均衡器将数据转发到某个存活的安全代 理设备；在安全代理设备完成终端的身份认证之后为终端分配虚拟地址； 终端使用虚拟地址与内网应用服务器通信；终端发送给内网应用服务器的 IP报文被加密封装后发送给与之通信的安全代理设备，然后被解密解封并 转发给其访问的内网应用服务器；在安全代理设备内网使用三层交换机实 现对各虚拟地址段的静态路由，保证内网应用服务器发送给某个终端虚拟 地址的IP报文被转发到所属地址池对应的安全代理设备，然后被加密封装 后转发到终端，由终端解密解封后转发给终端中的具体应用；作为影响系 统带宽和响应时间等性能指标的关键设备，安全代理设备的数量可根据用 户需求配置（动态增加或减少），实现系统规模的动态扩展。

由此，实现了服务端安全代理设备的流量均衡和系统性能的动态扩 展，实现了系统整体的高安全性、高稳定性和高性能。

下面将结合附图来描述本发明的具体优选实施例。

<第一优选实施例>

图1示意性地示出了根据本发明第一优选实施例的应用安全代理方法 的流程图，图2示意性地示出了根据本发明第一优选实施例的的应用安全 代理方法的示意图。

如图2所示，第一终端TER₁连接至负载均衡器M₁，负载均衡器M₁连接至第一安全代理服务器PR₁、第二安全代理服务器PR₂…第N安全代 理服务器PR_N，第一安全代理服务器PR₁、第二安全代理服务器PR₂…第 N安全代理服务器PR_N通过三层交换机M₂连接至第一应用服务器SV₁、 第二应用服务器SV₂…第M应用服务器SV_M。

并且，如图1和图2所示，根据本发明第一优选实施例的应用安全代 理方法包括：

第一步骤ST11：第一终端TER₁请求建立安全通道；

第二步骤ST12：根据预先设定的均衡策略（均衡策略可以是进行轮流 分配的轮询模式，或者是选择连接数最少的最小连接数模式，或者是选择 响应时间最短的最快模式等），负载均衡器M₁将第一终端TER₁发送的建 立安全通道请求分配到存活的第一安全代理服务器PR₁；

第三步骤ST13：第一安全代理服务器PR₁与第一终端TER₁建立安全 通道，并为第一终端TER₁分配虚拟地址12.1.1.2；

第四步骤ST14：第一终端TER₁发送访问第二应用服务器SV₂的请求；

第五步骤ST15：在安全通道中发送从虚拟地址12.1.1.2到第二应用服 务器SV₂的访问请求；

第六步骤ST16：通过三层交换机M₂将来自虚拟地址12.1.1.2的访问 请求转发到第二应用服务器SV₂；

第七步骤ST17：通过三层交换机M₂的静态路由将发往虚拟地址 12.1.1.2的访问应答转发到第一安全代理服务器PR₁；

第八步骤ST18：在安全通道中发送从第二应用服务器SV₂到虚拟地 址12.1.1.2的访问应答；

第九步骤ST19：第一终端TER₁接收第二应用服务器SV₂发送的访问 应答。

<第二优选实施例>

图3示意性地示出了根据本发明第二优选实施例的应用安全代理方法 的流程图，图4示意性地示出了根据本发明第二优选实施例的的应用安全 代理方法的示意图。其中，第二实施例是在第一实施例的基础上进一步进 行的，省略第一实施例的相关步骤的描述。

如图4所示，第二终端TER₂也连接至负载均衡器M₁。

如图3和图4所示，根据本发明第二优选实施例的应用安全代理方法 包括：

第一后续步骤ST21：第二终端TER₂请求建立安全通道；

第二后续步骤ST22：由于第二安全代理服务器PR₂失效，根据均衡策 略，负载均衡器将终端TER₂发送的建立安全通道请求分配给存活的第N 安全代理服务器PR_N；

第三后续步骤ST23：第N安全代理服务器PR_N与第一终端TER₁建 立安全通道，并为第二终端TER₂分配虚拟地址12.1.N.2；

第四后续步骤ST24：第二终端TER₂发送访问第M应用服务器SV_M的请求；

第五后续步骤ST25：在安全通道中发送从虚拟地址12.1.N.2到第M 应用服务器SV_M的访问请求；

第六后续步骤ST26：通过交换机将来自虚拟地址12.1.N.2的访问请求 转发到第M应用服务器SV_M；

第七后续步骤ST27：通过交换机的静态路由将发往虚拟地址12.1.N.2 的访问应答转发到第N安全代理服务器PR_N；

第八后续步骤ST28：在安全通道中发送从第M应用服务器SV_M到虚 拟地址12.1.N.2的访问应答；

第九后续步骤ST29：第二终端TER₂接收第M应用服务器SV_M发送 的访问应答。

此外，需要说明的是，说明书中的术语“第一”、“第二”、“第三”等 描述仅仅用于区分说明书中的各个组件、元素、步骤等，而不是用于表示 各个组件、元素、步骤之间的逻辑关系或者顺序关系等。

可以理解的是，虽然本发明已以较佳实施例披露如上，然而上述实施 例并非用以限定本发明。对于任何熟悉本领域的技术人员而言，在不脱离 本发明技术方案范围情况下，都可利用上述揭示的技术内容对本发明技术 方案作出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此， 凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例 所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的 范围内。