一种局域网服务互联网化的方法和系统

摘要

本发明公开了一种局域网服务互联网化的方法和系统，包括，企业客户端与公共服务网关保持实时网络连接；公共服务网关统一服务请求；基于客户ID的安全认证和服务路由；基于自定义协议实现数据透明传输；包装和还原原始服务协议以复用现有系统服务；从而可以在不改动内部应用服务的前提下，实现在互联网环境下对运行于局域网的内部服务进行安全便捷的访问。

说明书

技术领域

本发明涉及局域网互联网化技术领域，具体地，涉及一种局域网服务互联网化的方法和系统。

背景技术

涉及企业运营的私密数据，通常保存在企业内部服务器上，相应业务的应用服务也只能在局域网内访问。随着企业发展和营销模式的变革，随时随地进行企业业务操作、协同办公等成为企业信息化的必要需求。传统的局域网内部服务模式已无法满足企业信息化的移动互联要求。

通常企业会采取以下方式对内部服务进行改造，实现互联网化的信息服务：

迁移到基于互联网的Saas服务产品；

调整IT架构，通过租用主机、网络映射等方式，把企业内部服务公开到互联网环境。

结合企业的具体情况，以上方式均存在着不足，具体包括：

成本：无论是迁移到Saas产品，还是调整的IT架构，都会相应增加企业的运营成本，包括软硬件采购、人力、时间等；

安全性：在局域网环境下，可以很方便的实现企业内部数据与外部网络环境的隔离。但使用Saas产品或把内部服务公开到互联网环境，都意味着企业数据存在着泄漏的安全问题。

对于软件厂商，一方面需要考虑开发基于互联网的Saas产品并引导现有用户迁移，另一方面也要考虑那些基于成本或安全性不希望迁移的用户，如果把产品互联网化依赖于用户IT架构调整，在增加用户负担的同时，也会大大增加软件厂商的维护和支持成本。

CN201410779493.3一种局域网服务的访问方法，本文描述的方法与之相比，主要差异体现在：

1、 针对专利重点描述了在移动应用场景中的微服务集成访问，解决了移动平台下对运行于企业局域网内的微服务系统的访问，着重说明了微服务的注册、审核、删除等逻辑和方案，这些内容偏重于业务服务系统的集成方案。本文提供的发明中，重点说明了访问局域网服务的技术方案，该技术方案重点解决了访问局域网服务的核心问题：外部网络环境对内部系统的访问通道和安全性。对于业务系统集成而言，基于该技术方案可实现对包含微服务在内的业务服务系统的访问。

2、 本文描述的方法，提供了以下在针对专利中未详细描述的关键技术细节：

外部网络与内部网络之间的连接特性；

数据传输通道与协议。

发明内容

本发明的目的在于，针对上述问题，提出一种局域网服务互联网化的方法和系统，以实现在不改动内部应用服务的前提下，实现在互联网环境下对运行于局域网的内部服务进行安全便捷的访问的优点。

为实现上述目的，本发明采用的技术方案是：一种局域网服务互联网化的方法和系统，主要包括：

步骤1：终端应用系统向公共服务网关发起服务请求；

步骤2：公共服务网关收到服务请求后，为该请求生成唯一的请求会话ID；

步骤3：公共服务网关提取服务请求中的企业ID和密钥，对请求进行认证，认证未通过时，禁止本次请求；

步骤4：对于通过安全认证的请求，公共服务网关根据企业ID定位企业的连接，选择可用连接向企业客户端发送请求；

步骤5：企业客户端接收到服务请求后，还原原始服务协议，分发到内部服务系统，由内部服务系统进行业务处理和响应；

步骤6：企业客户端把业务服务响应封装为网关服务协议数据报文，携带请求会话ID发送到公共服务网关；

步骤7：公共服务网关收到企业客户端的响应数据后，根据请求会话ID，把请求响应返回到发起服务请求的终端应用系统。

进一步地，步骤4中或步骤6中，公共服务网关与企业客户端进行数据传输时，具体为，使用自定义协议实现在公共服务网关和企业客户端之间进行安全透明的数据传输，具体包括，实现数据的透明传输，即公共服务网关和企业客户端在传输业务数据时，不关注业务数据内容，所有的数据在系统中不进行解析或保留记录；

实现数据的加密，具体为使用加密通道进行数据传输，在启用标准安全协议如SSL在基础上，数据使用企业唯一的私有密钥进行加密，确保数据安全性；

实现数据的压缩和分包，具体为对于大数据进行自动压缩和分包，在公共服务网关和企业客户端之间传输时分别进行压缩/解压和分包/合并；

实现多并发连接异步传输，具体为，在通过实时连接传输数据时，经过分包的大数据在多个并发连接中异步发送，并由任务调度单元根据需要动态控制并发连接数，以提高数据传输效率。

进一步地，步骤1中，所述服务请求的具体组成部分包括，

企业标识，每个连接到公共服务网关的企业，系统为其分配一个固定的企业ID，作为企业客户端、终端应用连接到服务网关的企业标识，该标识作为不同企业在整个系统中的路由和身份认证标识；

安全认证信息，每个企业包含一组与其企业ID关联的密钥，企业客户端和企业终端应用在接入系统时，需要提供特定的密钥进行安全认证，只有通过安全认证的连接和请求才能通过企业服务网关；

服务协议，企业现有应用中，可能包含多个不同的业务系统，这些业务系统中，终端应用可用采用不同的协议与服务进行通信。在公共服务网关和企业客户端之间，系统采用统一的自定义通信协议，原始的服务协议将被封装在自定义协议的数据报文内，由企业客户端在接收到服务请求后，还原原始协议，确保业务服务可按现有协议处理请求，实现业务服务复用；

服务请求参数：服务请求的业务参数，参数内容由具体业务服务识别和处理，公共服务网关和企业客户端仅对数据进行传输。

进一步地，一种局域网互联网化的系统，包括终端应用系统、公共服务网关、企业客户端和企业内部服务系统，所述企业内部服务系统包括企业内部服务器，所述公共服务网关分别与终端应用系统和企业客户端连接，所述企业内部服务器向企业客户端提供服务，企业内部服务系统通过企业客户端接入公共服务网关，企业用户使用终端应用，通过公共服务网关的接入和路由服务，访问企业内部系统，具体为，

所述企业内部服务器仅向连接到公共服务网关的企业客户端提供服务，企业客户端本身不对外提供连接服务，而是作为客户端连接到公共服务网关提供连接服务，

所述公共服务网关与企业客户端的连接具体为，

实现实时连接，即连接具备断线重连机制，能够在网络环境改变后自动重新连接，保证服务可用性；

实现动态扩展，即连接服务能够根据数据传输情况调整单个客户端与公共网关服务器间的连接数，在大数据传输时增加连接数以提高性能，或在空闲时减少连接以释放可用资源；

拥有连接标识，即每个连接具有唯一的标识，以及对应的企业标识，以便在服务请求和响应过程中，由系统选择正确的连接路由到不同的企业内部服务。

进一步地，所述公共服务网关还对企业客户端和终端应用系统的连接进行安全认证，每个接入系统的企业都具有特定的企业ID和与之匹配的密钥，企业和终端应用连接系统时，需要提供企业ID和密钥，由公共服务网关上的安全认证服务对相关信息进行验证，未通过安全认证时将禁止连接和访问企业服务。

进一步地，所述公共服务网关，是由运行于互联网环境的一组服务器，以及服务器上运行的网关服务构成的整体系统，面向企业客户的终端用户提供公共服务，具体包括具有固定的互联网访问地址以及相应的服务端口；支持企业客户端的接入；支持终端应用系统在互联网环境访问；提供数据传输通道，支持把终端应用访问请求路由到对应企业的内部服务系统，并把企业内部服务的响应数据返回到终端应用；以及对终端应用访问进行安全认证和过滤。

进一步地，所述企业客户端运行于企业局域网环境，用于与公共服务网关建立网络连接和传输通道，由企业客户安装部署于企业内部服务器上，具体包括可访问互联网的环境模块和可访问企业内部服务模块。

本发明各实施例的一种局域网服务互联网化的方法和系统，包括，企业客户端与公共服务网关保持实时网络连接；公共服务网关统一服务请求；基于客户ID的安全认证和服务路由；基于自定义协议实现数据透明传输；包装和还原原始服务协议以复用现有系统服务；从而可以在不改动内部应用服务的前提下，实现在互联网环境下对运行于局域网的内部服务进行安全便捷的访问。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例所述的局域网服务互联网化系统的结构组成图；

图2为本发明实施例所述的局域网服务互联网化系统的部分结构组成图；

图3为现有技术企业在需要面向互联网环境提供内部服务时候的服务模型；

图4为本发明实施例所述的局域网服务互联网化的方法的流程图；

图5为本发明实施例所述的局域网服务互联网化原业务服务的工作原理流程图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

具体地，一种实现企业内部局域网服务互联网化的方法，可在不改动内部应用服务的前提下，实现在互联网环境下对运行于局域网的内部服务进行安全便捷的访问。

基于背景技术分析，本发明从软件厂商角度，提供一种企业局域网应用服务互联网化的方法，实现已有产品的移动互联需求：

1、为用户提供统一的互联网化服务和部署方案；

2、复用现有产品和企业IT架构，降低用户成本；

确保企业内部服务和数据在互联网环境的便捷访问和安全。

如图1和图2所示，通过为企业用户提供统一的公共服务网关，集中处理互联网环境中对企业内部服务的访问。

基于本发明实现的系统包含以下两个核心部分：

1、公共服务网关

2、企业客户端

在本发明描述的方案中，企业内部服务系统通过企业客户端接入公共服务网关，企业用户使用终端应用，通过公共服务网关的接入和路由服务，访问企业内部系统。

公共服务网关

公共服务网关是由运行于互联网环境的一组服务器，以及服务器上运行的网关服务构成的整体系统，由软件厂商提供部署和维护，面向企业客户的终端用户提供公共服务。具体地，公共服务网关具备以下要素：

1、固定的互联网访问地址，如域名或固定IP，以及相应的服务端口；

2、支持企业客户端接入；

3、支持终端应用在互联网环境访问；

4、提供数据传输通道，支持把终端应用访问请求路由到对应企业的内部服务系统，并把企业内部服务的响应数据返回到终端应用；

对终端应用访问进行安全认证和过滤。

企业客户端

企业客户端运行于企业局域网环境，用于与公共服务网关建立网络连接和传输通道。企业客户端由软件厂商提供安装程序和技术支持，由企业客户安装部署于企业内部服务器上。具体地，企业客户端具备以下要素：

可访问互联网环境；

可访问企业内部服务系统。

结合图3，相对于本发明提供的方法，客户企业在需要面向互联网环境提供内部服务时，通常在IT构架层进行改造，把内部服务公开到外部环境，其服务模型为：

在这样的模型中，企业私有网关通常需要具备固定IP地址，并且需要开放特写服务端口。这就意味着额外的成本和更高的安全风险。而且，IT环节的部署和配置需要专业的IT人员进行人工操作，很多规模较小的企业往往不具备这样的条件。

在本发明提供的方法中，公共服务网关解决了因IT构架调整带来的成本和安全风险问题，企业基于现有的IT架构和产品部署环境，无需额外调整即可支持内部服务的互联网访问。其服务模型为如图1所示

具体差异体现于：

由软件厂商提供统一的公共服务网关，面向互联网用户提供服务；

在企业内部服务器之上，增加公共网关的企业客户端，该客户端以软件形式运行，不改动或依赖企业IT架构；

企业客户端运行于企业局域网内，仅需要对互联网环境的单向访问，不需要固定的IP或服务端口；

由软件厂商统一提供互联网环境中的安全保障。

本发明采用以下技术细节实现上述方案：

1、企业客户端与公共服务网关保持实时网络连接；

2、公共服务网关统一服务请求；

3、基于客户ID的安全认证和服务路由；

4、基于自定义协议实现数据透明传输；

包装和还原原始服务协议以复用现有系统服务。

实时网络连接

在其他技术实现方案中，企业服务器作为服务提供方，需要面向互联网环境提供连接服务，以便终端应用建立连接。在本发明描述的方案中，企业服务器仅需要向公共服务网关的企业客户端提供服务，企业客户端本身不对外提供连接服务，而是作为客户端连接到公共服务网关提供的连接服务。公共服务网关与企业客户端之间的连接具有以下特性：

实时连接：连接具备断线重连机制，能够在网络环境改变后自动重新连接，保证服务可用性；

动态扩展：连接服务能够根据数据传输情况调整单个客户端与公共网关服务器间的连接数，在大数据传输时增加连接数以提高性能，或在空闲时减少连接以释放可用资源。

连接标识：每个连接具有唯一的标识，以及对应的企业标识，以便在服务请求和响应过程中，由系统选择正确的连接路由到不同的企业内部服务。

服务请求

公共服务网关统一接收由终端应用发出的服务请求，服务请求由以下部分构成：

企业标识：每个连接到公共服务网关的企业，系统为其分配一个固定的企业ID，作为企业客户端、终端应用连接到服务网关的企业标识，该标识作为不同企业在整个系统中的路由和身份认证标识；

安全认证信息：每个企业包含一组与其企业ID关联的密钥，企业客户端和企业终端应用在接入系统时，需要提供特定的密钥进行安全认证，只有通过安全认证的连接和请求才能通过企业服务网关；

服务协议：企业现有应用中，可能包含多个不同的业务系统，这些业务系统中，终端应用可用采用不同的协议与服务进行通信。在公共服务网关和企业客户端之间，系统采用统一的自定义通信协议，原始的服务协议将被封装在自定义协议的数据报文内，由企业客户端在接收到服务请求后，还原原始协议，确保业务服务可按现有协议处理请求，实现业务服务复用；

服务请求参数：服务请求的业务参数，参数内容由具体业务服务识别和处理，公共服务网关和企业客户端仅对数据进行传输。

安全认证

公共服务网关对企业客户端和终端应用的连接进行安全认证。每个接入系统的企业都具有特定的企业ID和与之匹配的密钥，企业和终端应用连接系统时，需要提供企业ID和密钥，由公共服务网关上的安全认证服务对相关信息进行验证，未通过安全认证时将禁止连接和访问企业服务。

服务路由

如图4所示，在本发明提供的方法中，不同的企业和企业用户都连接到统一的公共服务网关。系统使用服务ID和安全认证信息，确保服务请求被路由到匹配的企业服务进行处理和响应。具体流程为：

1、公共服务网关收到服务请求后，为该请求生成唯一的请求会话ID；

2、公共服务网关提取服务请求中的企业ID和密钥，对请求进行认证，认证未通过时，禁止本次请求；

3、对于通过安全认证的请求，公共服务网关根据企业ID定位企业的连接，选择可用连接向企业客户端发送请求；

4、企业客户端接收到服务请求后，还原原始服务协议，分发到内部服务系统，由内部服务系统进行业务处理和响应；

5、企业客户端把业务服务响应封装为网关服务协议数据报文，携带请求会话ID发送到公共服务网关；

6、公共服务网关收到企业客户端的响应数据后，根据请求会话ID，把请求响应返回到发起服务请求的终端应用。

数据传输

本发明使用自定义协议实现在公共服务网关和企业客户端之间进行安全透明的数据传输。具体地：

1、 数据透明传输：公共服务网关和企业客户端在传输业务数据时，不关注业务数据内容，所有的数据在系统中不进行解析或保留记录；

2、 加密：使用加密通道进行数据传输，在启用标准安全协议如SSL在基础上，数据使用企业唯一的私有密钥进行加密，确保数据安全性；

3、 压缩和分包：对于大数据进行自动压缩和分包，在公共服务网关和企业客户端之间传输时分别进行压缩/解压和分包/合并；

多并发连接异步传输：在通过实时连接传输数据时，经过分包的大数据在多个并发连接中异步发送，并由任务调度单元根据需要动态控制并发连接数，以提高数据传输效率。

原始服务协议

本发明提供的方法中，现有业务服务无须改造即可经由公共服务网关在互联网环境进行访问。原业务服务的请求协议，在公共服务网关和企业客户端之间被封装传递，在调用业务服务之前被还原为原始服务协议，业务服务不需要任何改动即可处理来自互联网环境的服务请求。

本发明提供的方法，相对于现有技术，在解决企业内部服务移动互联化的问题上取得的有益效果主要体现于：

企业客户用于系统建设的成本降低。现有技术中，企业需要在IT架构层面进行较多的投入，如固定IP、日常IT配置和维护等。本发明提供方法中的公共服务网关统一解决了所有企业用户的IT环节问题，由软件厂商提供互联网环境的统一访问入口和服务，企业可不需要具备独立的固定IP或进行IT构架调整，只需要在能访问互联网的内部服务器上部署公共服务网关的企业客户端即可；

服务稳定性得到有效保障。企业的互联网接入通常受到电信运营商的限制，比如地域或运营商差异造成的带宽或速率问题，以及运营商因安全考虑对接入服务器的对外开放端口限制等。通过调整企业IT架构互联实现网访问内部服务，往往会因为这些限制导致服务稳定性较差。在本发明中，互联网接入层面的服务由软件厂商提供统一的专业化部署和维护，可有效保证服务访问的稳定性。

企业数据的安全性大大提升。现有技术方案中，通过IT架构方案把企业内部服务器映射为公共服务器，意味着企业服务器完全暴露在互联网环境作为公共服务，企业内部数据面临着较大的安全风险。本发明描述的方案中，企业内部服务器不需要向外部映射或公开，仅需要安装客户端连接到公共服务网关，把原技术方案中的公共服务器角色转换为了私有客户端角色，屏蔽了外部环境对企业内部数据非法访问的可能性。而且软件厂商提供的公共服务网关，可提供专业的安全防护措施，保证对企业内部数据的安全访问。

现有产品和服务能够最大程度复用。本发明提供的方法中，对于现有产品和服务，保留了原始服务协议，使得现有服务和应用都无须改动或在极少改动下即可适配互联网环境访问，这对于软件厂商和企业用户来说，在开发维护和实施应用环节，都会降低成本、提高效率。最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。