本發明公開了一種基于應用層用于連接內網和外網的路由器和路由方法。該路由器包括內網模塊和外網模塊。該路由方法中，外網模塊將客戶端所發送的數據拆解成應用數據和授權訪問信息，然后對授權訪問信息進行驗證，授權訪問信息驗證通過后將應用數據、應用ID和會話ID發送至內網模塊。內網模塊根據應用ID找出相應的應用服務器的內網地址和端口，然后將應用數據發送至相應內網地址和端口的應用服務器。內網模塊將應用服務器所發送的應用數據和相應的會話ID發送至外網模塊。外網模塊根據會話ID找出相應的客戶端的外網地址和端口，然后根據數據密鑰對應用數據加密后發送給客戶端。

技術領域

本發明涉及外網與內網的安全交互技術，特別涉及內網安全保護技術。

背景技術

外網是面向大眾開放的互聯網，而內網是企業內部的專有私網。隨著互聯網和信息技術的發展和應用，特別是移動互聯網高速發展的情況下，越來越多的企業用戶要求在外網的終端能夠訪問企業內部的專有私網。這要求內網與外網互聯。但內網與外網的互聯面臨嚴重的網絡安全問題?，F有技術下，內網與外網的互聯通常通過NAT（Network AddressTranslation，網絡地址轉換）設備實現。互聯網上的黑客容易攻擊內網，造成企業用戶的損失。通過NAT設備實現內網與外網互聯方式，內網與外網之間的安全通過網絡防火墻等軟件實現。這種機制下無法防范蠕蟲病毒的攻擊和系統漏洞攻擊。

發明內容

本發明所要解決的問題：外網與內網互聯中內網的網絡安全問題。

為解決上述問題，本發明采用的方案如下：

根據本發明的一種基于應用層用于連接內網和外網的路由器，該路由器包括兩個計算機系統：內網模塊和外網模塊；內網模塊和外網模塊均獨立包含有處理器、隨機存儲器、只讀存儲器、以太網接口和配置接口；內網模塊和外網模塊的以太網接口用于分別連接內網和外網；內網模塊和外網模塊的配置接口用于連接配置終端；內網模塊和外網模塊通過數據線相連；所述外網模塊用于：

接收到客戶端所發送的數據后，將所接收到的數據拆解成應用數據和授權訪問信息，然后對授權訪問信息進行驗證，授權訪問信息驗證通過后將應用數據、應用ID和會話ID發送至內網模塊；

接收到內網模塊所發送的應用數據和會話ID后，根據會話ID找出相應的客戶端的外網地址和端口，然后根據數據密鑰對應用數據加密后發送給客戶端；

所述內網模塊用于：

接收到外網模塊所發送的應用數據、應用ID和會話ID后，根據應用ID找出相應的應用服務器的內網地址和端口，然后將應用數據發送至相應內網地址和端口的應用服務器；

接收到應用服務器所發送的應用數據后，將應用數據和相應的會話ID發送至外網模塊。

進一步，根據本發明的基于應用層用于連接內網和外網的路由器，所述授權訪問信息包括授權許可碼、訪問口令和數據密鑰；所述外網模塊還被用于：與可信驗證服務器進行交互生成授權許可碼、訪問口令和數據密鑰，并保存授權許可碼、訪問口令、數據密鑰及其對應關系。

進一步，根據本發明的基于應用層用于連接內網和外網的路由器，外網模塊還被用于：接收配置終端的配置指令，并保存配置指令中配置數據；該配置數據為外網模塊的配置數據，包括外網端口和應用ID的對應關系；所述配置終端通過外網模塊的配置接口與外網模塊相連。

進一步，根據本發明的基于應用層用于連接內網和外網的路由器，內網模塊還被用于：接收配置終端的配置指令，并保存配置指令中配置數據；該配置數據為內網模塊的配置數據，包括應用服務器的內網地址和端口和應用ID的對應關系；所述配置終端通過內網模塊的配置接口與內網模塊相連。