面向網絡隔離架構的業務流行為控制高可信交互框架①

黃姍姍,蔣厚明,胡 牧,劉士進,魏珍珍

(南京南瑞信息通信科技有限公司,南京 210008)

1 研究背景

隨著移動互聯網的迅猛發展,越來越多大型企業需要在外網部署針對客戶或者員工的互聯網應用,例如報銷、員工辦公和外網移動作業應用等[1],但這些應用訪問的數據大都保存在企業內網,如果直接將企業內網數據暴露到互聯網,將帶來嚴重的安全風險[2].在信息外網部署各業務系統相應的移動服務,甚至單獨開發一套支撐互聯網移動應用的移動服務,不僅無法復用已在內網建設的移動應用服務,還增加了互聯網移動應用的開發成本,同時將業務應用服務部署在信息外網會帶來數據泄露的風險以及其他安全隱患[3].因此,如何在保障數據安全的基礎上實現移動應用的高效訪問成為企業尤其是大型企業移動信息化的重要研究難題.已有的電力內外網隔離環境即時消息傳輸[4]沒有提供數據加解密等功能,且只驗證了用于文本傳輸的效果,沒有涉及工單下載、圖片信息資源同步等操作的時效性;信息內外網邊界安全檢測系統[5]、智能電網信息內外網[6]、內外網數據安全交換技術[7]過于簡略,提供的功能不能滿足當下的實際需求.

為解決這一難題,在自主研發高性能、低延遲的移動接入網關的基礎上,本文提出一種面向網絡隔離架構的業務流行為控制的高可信交互框架,在網絡安全防護要求下,分解業務數據跨安全區交互過程,設計了一種訪問轉換與通信方法,實現了業務數據通過各型隔離裝置的安全、可信傳輸和業務流行為控制,基本業務的完整數據訪問流程用時少于0.2 s;還提供內容過濾、數據加密、流量控制等應用層的安全防護措施,實現對業務流的控制.解決了企業互聯網移動應用難以訪問復雜安全架構下的高安全區業務數據的問題,確保了業務系統關鍵服務的安全.

2 高可信交互框架

該面向網絡隔離架構的業務流行為控制的高可信交互框架的目標是給大型企業移動信息化提供移動接入網關、安全防護、內外網穿透、數據跨網雙向通信和業務流控制等服務.下文從移動接入網關、高可信交互框架兩個模塊進行闡述.

2.1 高性能移動接入網關

面向網絡隔離架構的高可信交互框架在信息外網和信息內網高安全區部署高可信交互框架,并引入移動接入網關,網關又名網間連接器、協議轉換器,用于2個協議不同的網絡或系統間[4].本框架中網關作為互聯網移動應用與內網業務系統進行服務訪問和通信交互的中介,其主要作用是會話共享、內容過濾、服務路由和性能監控.

移動接入網關包括前置機服務器、中間庫服務器以及后置機服務器3個部分.其中,前置機服務器部署在信息外網,后置機服務器和中間庫服務器部署在信息內網,如圖1所示.

圖1 移動接入網關結構圖

部署在信息外網的前置機與互聯網移動應用直接相連,后置機與內網業務應用服務直接相連,中間庫作為前后置機數據交換的中轉站,前后置機輪詢獲取中間庫數據.信息內外網之間通過安全隔離裝置進行服務訪問和數據交互[6].

前置機和后置機均包括會話管理模塊、服務發現模塊、服務代理模塊、任務調度模塊、數據清理模塊.具體的功能架構圖如圖2所示.

圖2 移動接入網關功能架構圖

前置機基于多路復用高性能IO通信框架實現[8],負責發布面向移動終端的代理服務,解析移動終端請求,并按一定格式序列化保存到中間庫,然后異步等待響應結果返回給移動終端.同時提供白名單、內容過濾、請求分發、并發控制、負載均衡策略適配等功能.

后置機通過輪詢等方式提取中間庫中的請求數據,并反序列化成相應的請求對象,然后調用目標服務獲取響應,并將得到的響應結果保存到中間庫,同時提供對目標服務的性能監控、日志統計、異常分析等功能.

移動接入網關中間庫,作為前置機和后置機數據交互的中介,通過內存表設計方案提高數據訪問效率和負載能力.前置機、后置機采用對等設計,即采用相同的設計架構,實現雙向通信.

將移動接入網關作為企業對外的統一入口,提供會話共享、服務代理等功能;對請求的數據進行簽名、校驗、協議轉換、壓縮并進行安全過濾[9];并在互聯網移動終端與后端業務系統間建立安全數據通道,實現重要業務數據的全文加密傳輸和業務安全交互.信息內網、信息外網穿透服務單節點支持多用戶并發,可獨立部署,支持集群部署,支持在不停機的情況下通過服務發現模塊動態向集群中添加節點,并自行均衡分配任務給各節點,使新加入的節點處于服務狀態,動態擴展,分攤并發壓力,具有較強的橫向可擴展性和一定的智能性.

2.2 高可信交互框架

目前大多公司信息內網和信息外網之間架設的物理隔離裝置,只允許SQL語句從信息外網穿透隔離裝置進入信息內網,正常的HTTP請求無法從信息外網到達信息內網[10].然而實際應用中存在大量信息內網和外網之間進行Web服務訪問的應用場景[11],因此迫切需要一種能夠實現信息內網和信息外網互聯互通的解決方案.

因此,項目組研究實現了高性能、低延遲信息內外網數據穿透技術,并提供數據跨網雙向通信和業務流行為控制.以互聯網移動應用訪問內網業務系統為例,給出具體的信息流轉結構圖如圖3所示.

圖3 高可信交互框架功能層級圖

當互聯網移動應用主動發起HTTP請求時,請求通過負載均衡后先發送到前置機.對于合法請求,前置機創建會話,并檢測是否存在可用后置機節點,如果存在則批量緩存請求并內容轉換,將請求通過優先級通道,附加消息相關信息后轉換為SQL語句并通過部署于互聯網和高安全區之間的隔離裝置寫入到中間庫,如果不存在則直接將失敗信息發送給互聯網移動應用.

后置機輪詢中間庫獲取SQL請求信息,解析后發送到真實的內網業務應用系統,并等待響應信息;內網業務應用服務返回響應信息后,后置機將響應信息按照與前置機相同機制轉換為SQL語句寫入到中間庫;前置機輪詢中間庫獲取響應信息,并將響應信息發送給互聯網移動應用,實現HTTP請求從外網到內網的穿透.

這一框架既能使互聯網移動應用發出的請求穿透隔離裝置訪問內網業務應用系統,也能將內網業務應用系統發出的請求發送到互聯網移動應用.將信息內網的服務選擇性的“暴露”出來,實現透明訪問.當內網服務需要向外網服務“推送”數據時,能夠實現逆向訪問.

面向網絡隔離架構的業務流行為控制的高可信交互框架,在網絡安全防護要求下控制業務流行為,可通過訪問轉換為任何接入的業務應用系統提供通信和數據的可行傳輸服務.

3 實例結果及分析

為了驗證該框架的有效性和實用性,將其應用于電力行業移動信息化,在移動互聯網技術基礎上,通過掌上終端、服務器、個人計算機等多平臺的信息交互,實現配網搶修、移動巡檢、用電采集等業務.這些業務對應的業務系統只能部署在電網信息內網,與之對應的移動應用均位于互聯網,一線員工在移動終端上工作,通過該面向網絡隔離架構的業務流行為控制交互框架與內網業務系統進行數據傳輸和通信.

以配網搶修業務為例,在電網信息內網部署前置機服務器(8核16 GB)和中間庫(16核32 GB),在信息外網部署后置機服務器(8核16 GB),中間庫和后置機之間加裝隔離裝置(8核16 GB),并在中間庫中配置配網搶修業務系統地址,在移動終端(Android8.0)配置被隔離裝置映射后服務地址,移動終端通過網關訪問真實的內網服務,以此連通內網業務服務和互聯網終端.當配網搶修終端在現場采集到信息,先發送給前置機,經由前置機寫入中間庫,后置機輪詢中間庫,提取信息并發送給業務系統.根據各個使用現場的業務內容和訪問量,測試查詢、工單下載、圖片資源信息同步業務和三種業務混合工作分別在200、300和500并發數下的響應時間和事物通過率,實驗數據如表1所示.

由表1中數據可以看出,移動運維的查詢業務、工單下載業務、圖片資源信息同步和3種操作混合業務,在并發量為200、300和500時的平均響應時間均在0.2秒以內;且事務完全通過,無一失敗.文獻[4]中也給出了文本消息傳輸的及時性和穩定性的實驗結果,如表2所示,盡管業務并發量和業務內容不相同,本文所述方法在響應時間和事物通過率方面仍然具有一定的優勢.

引入移動接入網關作為隔離裝置,在內網業務系統和互聯網移動終端之間搭建面向網絡隔離架構的業務流行為控制高可信交互框架,并沒有增加業務實際響應時間;當并發訪問量過大時,網關能動態擴展前后置機節點,并自行均衡負載到各節點.當交互的數據中包含用戶名密碼等信息時,前后置機會分別進行加解密操作,保證信息的安全性.

表1 不同業務高并發時響應時間記錄表

表2 文本消息傳輸的及時性與穩定性[4]

該框架的創新與實現,使得大型企業開展互聯網移動應用建設時,業務系統仍可保留在高安全區,部署方式不變,互聯網移動應用可復用內網已有的業務系統,提高了資源的利用率,降低了互聯網移動應用部署的復雜度和難度,有效保障了系統安全.通過移動終端統一接入,統一安全防護,推動了移動應用微服務、微應用化,降低應用系統間的耦合度[9],最終縮短移動應用的開發周期.引入高性能、低延遲信息內外網數據穿透技術,拓展和豐富移動外網安全防護解決方案.