[发明专利]一种公网应用系统与内网应用系统间双向访问方法及系统

权利要求书

1.一种公网应用系统与内网应用系统间双向访问方法，其特征在于：包括公网应用系统向内网应用系统的访问方法，如下步骤：

步骤A1. 针对公网应用系统向内网应用系统所发出的Web请求，判断该Web请求是否基于HTTPS协议，是则进入步骤A2；否则拒绝该Web请求；

步骤A2. 针对该Web请求进行SSL卸载处理，更新为基于HTTP协议的Web请求，然后进入步骤A3；

步骤A3. 针对该Web请求的URL进行文根解析，获得该Web请求所对应的业务类别文根信息，并判断该业务类别文根信息、是否属于公网应用系统和内网应用系统之间预设各业务类别文根集合，是则进入步骤A4；否则拒绝该Web请求；

步骤A4. 根据该Web请求所对应的业务类别文根信息，应用公网应用系统和内网应用系统之间预设各数字签名证书中的相应数字签名证书，针对该Web请求中消息体的业务报文进行解密，获得解密后的业务报文，并进行验证数字签名处理，用于验证Web请求发起方的身份、以及业务数据的完整性，若验证通过，则进入步骤A5；若验证不通过，则拒绝该Web请求；

步骤A5. 根据语义分析和预设匹配规则的联合检测技术，针对该Web请求中的消息头和消息体进行流量异常检测，若不存在异常，则进入步骤A6；若存在异常，则将该Web请求发起方的IP地址加入预设不允许通过IP地址的黑名单中，并过滤掉该Web请求；

步骤A6. 判断该Web请求发起方的IP地址、是否属于公网应用系统和内网应用系统之间预设允许通过IP地址的白名单，是则进入步骤A7；否则不允许该Web请求转发，并拒绝该Web请求；

步骤A7. 判断该Web请求发起方的IP地址、是否属于黑名单，是则不允许该Web请求转发，并拒绝该Web请求；否则允许该Web请求转发，并进入步骤A8；

步骤A8. 根据该Web请求所对应的业务类别文根信息，构建路由转发规则，并针对该Web请求中的消息体，发起新Web请求，并转发至内网应用系统，实现代理转发处理。

2.根据权利要求1所述一种公网应用系统与内网应用系统间双向访问方法，其特征在于：还包括内网应用系统向公网应用系统的访问方法，如下步骤：

步骤B1. 针对内网应用系统向公网应用系统所发出的Web请求，判断该Web请求是否基于HTTP协议，是则进入步骤B2；否则拒绝该Web请求；

步骤B2. 针对该Web请求的URL进行文根解析，获得该Web请求所对应的业务类别文根信息，并判断该业务类别文根信息、是否属于公网应用系统和内网应用系统之间预设各业务类别文根集合，是则进入步骤B3；否则拒绝该Web请求；

步骤B3. 根据该Web请求所对应的业务类别文根信息，应用公网应用系统和内网应用系统之间预设各数字签名证书中的相应数字签名证书，针对该Web请求中消息体的业务报文进行加密，获得加密后的业务报文，并进行数字签名处理，用于验证Web请求发起方的身份、以及业务数据的完整性，若数字签名成功，则进入步骤B4；若数字签名不成功，则拒绝该Web请求；

步骤B4. 针对该Web请求进行SSL加载处理，更新为基于HTTPS协议的Web请求，然后进入步骤B5；

步骤B5. 根据该Web请求所对应的业务类别文根信息，构建路由转发规则，并针对该Web请求中的消息体，发起新Web请求，并转发至公网应用系统，实现代理转发处理。

3.一种应用权利要求1或2所述一种公网应用系统与内网应用系统间双向访问方法的系统，其特征在于：包括互联网前置系统，置于公网应用系统与内网应用系统之间的通信链路上，用于执行步骤A1至步骤A8，实现公网应用系统向内网应用系统的访问方法；以及用于执行步骤B1至步骤B5，实现公网应用系统向内网应用系统的访问方法。

4.根据权利要求3所述一种应用公网应用系统与内网应用系统间双向访问方法的系统，其特征在于：所述互联网前置系统包括代理模块、安全模块、日志模块、用户管理模块和高可用性模块；其中，代理模块用于实现内网应用系统与公网应用系统之间双向通信的代理；安全模块用于实现所述双向访问方法中的白名单机制、白名单机制、报文验签、以及流量异常检测功能；日志模块用于实现代理模块的业务日志、安全模块的业务日志、以及互联网前置系统的配置操作日志。