[发明专利]安全的网关接口

说明书

本发明涉及供网络用的安全的网关接口，及更具体地涉及但不限于一种安全的网关接口，用于允许外部网络用户启动一个使用内部资源的特许事务而不破坏安全防火墙。

图1阐述一个现有技术安全的网关接口(SGI)9，它具有用于处理来自外部网络(例如INTERNET)上任何用户的用户/顾客请求2的外服务器4(例如超文本传送协议守护器HTTPD)和用于处理来自内部网络上的任何用户(例如为具体公司工作的任何人)的请求的内服务器7和内数据库8。SGI9还包括用于阻止从外部启动内数据库8上内部事务的防火墙6。因此防火墙6禁止外部顾客对内部网络(即内服务器7和内数据库8)启动直接连接。此限制禁止有效事务，例如产品和服务购买请求，因顾客就是不能自外部网络启动内部事务。

对上面描述的问题的常规解法包括在防火墙6中开一个供内向通信用的特定端口(例如端口84)。然而此解法明显地使内部网络易受外部攻击。另一个解法是将全部所需资源(即数据库8)放置于外服务器4上。然而，此解法仍然禁止执行内部事务。此外，外服务器4可能没有足够大的存储器以保持全部所需资源或者资源可能保密性太强而不能放置于外服务器上(如顾客数据)，因而限制可提供的服务。

因此十分需要一种技术，用于允许顾客启动一个使用内部业务资源的特许业务事务而不破坏安全防火墙。

因此，一种由计算机实施的方法，独特地编程的计算机系统和包括计算机可读程序装置的制造产品允许外部网络顾客启动一个使用内部网络上的内部业务资源的特许业务事务而不破坏安全防火墙。

具体地说，该方法操作一个内计算机系统以允许一个外计算机系统启动一个使用内部资源的事务请求而不破坏内计算机系统与外计算机系统之间的安全防火墙。该方法包括对由内计算机启动的内计算机系统与外计算机系统之间的连接进行认证，从而建立一个认证的连接的第一步。第二步包括由外计算机系统调用一个外计算机系统收到的事务请求。第三步包括响应于对事务请求的调用，由外计算机系统建立一个包括事务请求和用于执行事务请求的过程环境变量的串。第四步包括由外计算机系统通过认证的连接将串传送至内计算机系统。第五步包括由内计算机系统确认该事务请求。第六步包括由内计算机系统重建初始过程环境。最后一步包括由内计算机系统执行事务请求从而生成一个输出。

因此，本发明的一个目的是建立一个对用户和实际事务程序都透明的安全的网关接口。

另一个目的是允许用户有效地通过防火墙向使用内部资源的内部网络启动一个事务。

又一个目的是允许用户只启动特许事务的有效集合。

还有一个目的是在外计算机系统收到来自用户的事务请求之前安全地特许内计算机系统与外计算机系统之间的一个连接。

再有一个目的是将事务程序存放于防火墙内部而不必修改它们。

现参照附图只通过例子描述本发明，附图中：

图1阐述用于实施本发明的常规网络系统的框图；

图2阐述用于实施本发明的代表性硬件配置；

图3阐述根据优选实施例的安全的网关接口(SGI)的框图；以及

图4阐述先前在图3中阐述的SGI的更详细过程流程图。

优选实施例包括一个由计算机实施的方法，一个独特地编程的计算机系统和一个存储器，该存储器所包括的详细逻辑用于操作一个内计算机系统以允许一个外部用户/顾客启动一个使用内部业务资源的特许业务事务而不破坏安全防火墙。

本发明实现于图2中阐明的计算机系统上。计算机系统100包括中央处理单元(CPU)10，例如用于处理高速缓存15的IBM的PowerPC601或Intel的486微处理器，随机存取存储器(RAM)14，只读存储器16和非易失性RAM(NVRAM)32。由I/O适配器18控制的一个或更多盘20提供长期存储。可采用其它不同存储介质，包括带，CD-ROM，和WORM驱动器。也可提供可卸存储介质以存放数据或计算机过程指令。(IBM和Power PC是国际商业机器公司的注册商标和Intel是英特尔公司的注册商标)。