本發明涉及計算機網絡和信息安全技術領域，特別涉及一種分布式加密服務網關及實現方法。

背景技術：

隨著計算機網絡技術的發展，特別是大數據和云計算技術的快速發展，網絡訪問量和數據流量也相應快速增長，與此同時，面臨的網絡安全問題日益嚴重，傳統的安全解決方案面臨沖擊，例如硬件安全模式不具備擴展能力而無法靈活適應云模式，本地網關加密技術在大數據環境下無法滿足吞吐量的要求。總而言之，傳統的解決方案已經難以同時兼顧安全性、部署和擴展靈活性及海量數據處理能力的要求。

現有專利CN201510133710.6公開的一種安全通信方法、網關、網絡側服務器及系統和現有專利CN201410005035.4公開的用于云存儲服務的透明加密/解密網關，這兩項專利中提供的安全功能是通過網關內部的軟件來實現，而且只是在網關的控制軟件內部加入一些加解密等安全邏輯，不具備應用接口和網絡負載均衡控制等功能，這將無法滿足系統對吞吐量和網絡數據處理能力的需求；此外，現有專利CN201210060613.5公開的負載均衡方法及負載均衡裝置和現有專利CN201010184118.6公開的負載均衡方法和負載均衡器，這兩項專利均涉及傳統的負載均衡實現方法的創新，但是其不涉及加解密等安全服務，導致安全系數較低，無法為用戶提供安全服務網關，無法滿足大數據時代的互聯網應用安全需求。

同時，傳統的安全解決方案需要應用開發者耗費大量的資源和精力在與自身核心業務邏輯無關的技術領域，導致應用開發成本高，開發周期長，同時為了加強網絡數據處理能力，客戶還需要耗費大量的資源和精力用于設備的管理、配置和維護，進一步提高了開發和運維成本，因此，急需開發一種能夠為用戶提供安全服務網關，具備安全服務功能、網絡服務功能，且具備較高的冗余性和擴展性的分布式加密服務網關及實現方法。

技術實現要素：

為了解決現有網關安全性較低，且無法滿足系統對吞吐量和網絡數據處理能力的需求，同時網關安全解決方案需要應用開發者耗費大量的資源和精力在與自身核心業務邏輯無關的技術領域，導致應用開發成本高，開發周期長等問題，本發明提供了一種高安全性、高可靠性、高部署靈活性，且可擴展的分布式加密服務網關及實現方法。

本發明具體技術方案如下：

本發明提供了一種分布式加密服務網關，包括相同通訊的基礎網絡服務子系統、安全服務子系統、通訊服務子系統，所述基礎網絡服務子系統、所述安全服務子系統均通過所述通訊服務子系統與用戶應用相通訊，其中，

所述基礎網絡服務子系統用于提供基礎的網絡服務功能，并用于接收所述用戶應用通過網絡發送的安全服務請求，對所述安全服務請求進行過濾篩選，同時根據篩選通過的所述安全服務請求對網絡資源進行負載均衡分配；

所述安全服務子系統用于將分配后的所述安全服務請求進行輪詢處理生成指令信息，并將所述指令信息通過可遠程訪問的加密服務器集群進行響應處理并生成響應結果，同時將生成的響應結果進行解析；

所述通訊服務子系統用于負責各子系統之間通訊鏈路的建立和數據的透傳，并用于將解析后的結果發送至所述用戶應用。

進一步的，所述基礎網絡服務子系統包括相通訊的基礎設施模塊、控制模塊、API接口模塊、業務應用模塊及接口服務模塊；

所述基礎設施模塊用于負責基于網絡數據的處理、轉發和收集狀態；所述控制模塊用于管理網絡中的所有設備，并虛擬整個網絡資源，實現資源分配；所述API接口模塊用于為所述用戶應用提供調用接口；所述業務應用模塊用于通過所述控制模塊的API管理能力控制設備的報文轉發功能，同時用于將網絡的控制權開放給用戶應用；所述接口服務模塊用于通過所述控制模塊為上層業務應用開放接口，同時使所述業務應用模塊能夠調用底層的網絡資源和能力。

進一步的，所述基礎設施模塊包括流量監測單元、訪問統計單元、負載計算單元、及內存監測單元，所述流量監測單元用于監測網絡中所有設備的流量狀況信息；所述訪問統計單元用于統計網絡中所有設備的實際在線人數和實際訪問量；所述負載計算單元用于計算網絡中所有設備正在處理的所述用戶應用的數量和正在下載的數據量；所述內存監測單元用于監測網絡中所有設備的內存使用信息和CPU使用信息。

進一步的，所述安全服務子系統包括相通訊的數據I/O模塊、指令處理模塊、加密服務器集群、安全服務接口模塊，所述數據I/O模塊用于接收分配后的所述安全服務請求，同時將所述安全服務請求放入請求隊列，發送至所述指令處理模塊；所述指令處理模塊用于對所述安全服務請求進行輪詢處理，同時生成指令信息，并將所述指令信息通過所述數據I/O模塊發送至所述加密服務器集群，所述加密服務器集群用于對所述指令信息進行響應處理并生成響應結果，發送至所述指令處理模塊，所述指令處理模塊對所述響應結果進行解析，并將解析后的結果通過所述通訊服務子系統發送至所述用戶應用；所述安全服務接口模塊用于為所述業務應用模塊提供安全服務功能。

進一步的，所述分布式加密服務系統還包括與所述基礎網絡服務子系統和所述安全服務子系統均相通訊的應用管理服務子系統，所述應用管理服務子系統包括相通訊的系統監測模塊、日志服務模塊、系統管理模塊、策略管理模塊、應用接口模塊，所述系統監測模塊用于對整個系統的運行狀態進行監控，若出現影響系統正常運行的異常，則所述系統監測模塊切換啟用備份系統，若出現不影響系統正常運行的異常，則所述系統監測模塊用于向所述日志服務模塊發送記錄日志的信息，同時以短信或郵件的形式通知系統管理員；所述日志服務模塊用于對系統運行的日志進行記錄，并能夠提供日志的查詢、導出；所述系統管理模塊用于為用戶提供對系統進行配置管理的操作界面；所述策略管理模塊用于設定策略配置，所述策略配置包括判斷系統異常狀態閾值、分配加密服務器規則；所述應用接口模塊用于提供與所述用戶應用連接的應用接口。

優選的，所述應用管理服務子系統還包括加密服務器監測模塊用于實時監控加密服務器集群中若干加密服務器的實時工作狀態，實時工作狀態包括連接狀態、響應時間、設備日志；

優選的，所述加密服務器集群包括相通訊的加密服務器篩選單元、處理單元，所述加密服務器篩選單元接收所述應用管理服務子系統監控的加密服務器集群中若干加密服務器的實時工作狀態，并根據所述實時工作狀態篩選所述加密服務器；所述處理單元將篩選出的所述加密服務器對所述指令信息進行響應處理，并生成響應結果。

本發明還提供了一種分布式加密服務網關的實現方法，所述方法包括以下步驟：

S1、提供基礎網關；

S2、在所述基礎網關上配置基礎網絡服務子系統和通訊服務子系統；

S3、在所述基礎網關上繼續配置安全服務子系統即得到分布式加密服務網關，所述安全服務子系統通過遠程訪問的加密服務器集群為所述基礎網關提供安全服務。

進一步的，步驟S2中，所述基礎網絡服務子系統包括相通訊的基礎設施模塊、控制模塊、API接口模塊、業務應用模塊及接口服務模塊；

所述基礎設施模塊用于負責基于網絡數據的處理、轉發和收集狀態；所述控制模塊用于管理網絡中的所有設備，并虛擬整個網絡資源，實現資源分配；所述API接口模塊用于為所述用戶應用提供調用接口；所述業務應用模塊用于通過所述控制模塊的API管理能力控制設備的報文轉發功能，同時用于將網絡的控制權開放給用戶應用；所述接口服務模塊用于通過所述控制模塊為上層業務應用開放接口，同時使所述業務應用模塊能夠調用底層的網絡資源和能力。

進一步的，步驟S3中，所述安全服務子系統包括相通訊的數據I/O模塊、指令處理模塊、加密服務器集群、安全服務接口模塊，所述數據I/O模塊用于接收分配后的所述安全服務請求，同時將所述安全服務請求放入請求隊列，發送至所述指令處理模塊；所述指令處理模塊用于對所述安全服務請求進行輪詢處理，同時生成指令信息，并將所述指令信息通過所述數據I/O模塊發送至所述加密服務器集群，所述加密服務器集群用于對所述指令信息進行響應處理并生成響應結果，發送至所述指令處理模塊，所述指令處理模塊對所述響應結果進行解析，并將解析后的結果通過所述通訊服務子系統發送至所述用戶應用；所述安全服務接口模塊用于為所述業務應用模塊提供安全服務功能。

進一步的，所述方法還包括：

S4、步驟S3中實現的分布式加密服務網關還配置有與所述基礎網絡服務子系統和所述安全服務子系統均相通訊的應用管理服務子系統；

所述應用管理服務子系統包括相通訊的系統監測模塊、日志服務模塊、系統管理模塊、策略管理模塊、應用接口模塊，所述系統監測模塊用于對整個系統的運行狀態進行監控，若出現影響系統正常運行的異常，則所述系統監測模塊切換啟用備份系統，若出現不影響系統正常運行的異常，則所述系統監測模塊用于向所述日志服務模塊發送記錄日志的信息，同時以短信或郵件的形式通知系統管理員；所述日志服務模塊用于對系統運行的日志進行記錄，并能夠提供日志的查詢、導出；所述系統管理模塊用于為用戶提供對系統進行配置管理的操作界面；所述策略管理模塊用于設定策略配置，所述策略配置包括判斷系統異常狀態閾值、分配加密服務器規則；所述應用接口模塊用于提供與所述用戶應用連接的應用接口。

本發明的有益效果如下：本發明提供的分布式加密服務網關通過分布式方式集成的多種軟硬件模塊和加密服務器集群為用戶應用提供安全服務、網絡服務、應用服務器的可靠靈活性網關，其具有很高的冗余性和擴展性，能夠滿足系統吞吐量和處理能力高速增長的需求；此外，本發明使用加密機集群為網關提供安全服務，網關系統內部整合了負載均衡等網結絡服務，提供軟件形態的應用服務，使得用戶無需自己處理安全和網絡服務等邏輯，只需要專注自身的業務應用，解決目前應用開發周期長，成本高的問題，此外，本發明提供的網關的實現方法比較簡單，便于設置和實施，可以有效滿足大數據時代的互聯網應用安全需求，為網絡的安全使用和靈活控制提高了可靠的途經。

附圖說明

圖1為實施例1所述的一種分布式加密服務網關的結構示意圖；

圖2為實施例2所述的一種分布式加密服務網關中基礎網絡服務子系統的結構框圖；

圖3為實施例2所述的一種分布式加密服務網關中基礎設施模塊的結構框圖；

圖4為實施例3所述的一種分布式加密服務網關中安全服務子系統的結構示意圖；

圖5為實施例4所述的一種分布式加密服務網關的結構示意圖；

圖6為實施例4所述的一種分布式加密服務網關中應用管理服務子系統的結構框圖；

圖7為實施例4所述的一種分布式加密服務網關中加密服務器集群的結構框圖；

圖8為實施例5所述的一種分布式加密服務網關的實現方法的流程圖。

其中：1、基礎網絡服務子系統；101、基礎設施模塊；1011、流量監測單元；1012、訪問統計單元；1013、負載計算單元；1014、內存監測單元；102、控制模塊；103、API接口模塊；104、業務應用模塊；105、接口服務模塊；2、安全服務子系統；201、數據I/O模塊；202、指令處理模塊；203、加密服務器集群；2031、加密服務器篩選單元；2032、處理單元；204、安全服務接口模塊；3、通訊服務子系統；4、應用管理服務子系統；401、系統監測模塊；402、日志服務模塊；403、系統管理模塊；404、策略管理模塊；405、應用接口模塊；406、加密服務器監測模塊。

具體實施方式

下面結合附圖和以下實施例對本發明作進一步詳細說明。

實施例1

如圖1所示，本發明實施例1提供了一種分布式加密服務網關，包括相同通訊的基礎網絡服務子系統1、安全服務子系統2、通訊服務子系統3，所述基礎網絡服務子系統1、所述安全服務子系統2均通過所述通訊服務子系統3與用戶應用相通訊，其中，

所述基礎網絡服務子系統1用于提供基礎的網絡服務功能，并用于接收所述用戶應用通過網絡發送的安全服務請求，對所述安全服務請求進行過濾篩選，同時根據篩選通過的所述安全服務請求對網絡資源進行負載均衡分配。

實際使用時，基礎網絡服務子系統1用于將傳統網絡的控制平面與數據轉發平面進行分離，通過集中的控制器中的軟件平臺去實現可編程化控制底層硬件，實現對網絡資源靈活的按需調配，基礎網絡服務子系統11為系統提供基礎的網絡服務功能。

所述安全服務子系統2用于將分配后的所述安全服務請求進行輪詢處理生成指令信息，并將所述指令信息通過可遠程訪問的加密服務器集群203進行響應處理并生成響應結果，同時將生成的響應結果進行解析；安全服務子系統2通過可遠程訪問的加密服務器集群203，為加密服務系統提供高可靠性的安全功能，如加解密服務等。

所述通訊服務子系統3用于負責各子系統之間通訊鏈路的建立和數據的透傳，并用于將解析后的結果發送至所述用戶應用。通訊服務子系統3用于建立網絡服務子系統、安全服務子系統2之間的通訊鏈路，各個模塊之間可以通過通訊服務子系統3進行數據的交互。同時，也可以根據策略配置選擇通過安全服務模子系統為通訊服務子系統3的通訊鏈路提供硬件級別的加密保護。

本發明提供的整個安全服務網關以分布式形式整合了處理安全業務邏輯、網絡服務相關的軟硬件以及其它輔助功能模塊，以一個可以無縫接入用戶系統的“盒子”形式提供加解密等安全服務以服務的形式提供給用戶，具備很高的部署靈活性。

將可遠程訪問的加密服務器集群203作為安全服務系統的一個分布式模塊，為安全業務邏輯提供高可靠的硬件級別的安全保障，其安全級別遠高于現有的采用軟件加解密的安全網關。此外，對加密服務器集群203的訪問操作都在安全服務系統內部實現，其安全業務邏輯在系統內部根據配置策略在系統內自動為用戶應用添加處理，用戶無需關心其處理邏輯，同時系統內部集成了運行實時監控、備份切換等模塊，具備了很高的冗余度。

通過集中的軟件控制器實現網絡資源的統一管理、整合以及虛擬化后，采用規范化的接口為上層應用提供按需的網絡資源及服務，實現網絡能力開放，按需提供，可通過擴展增強系統吞吐量。

在本發明為用戶應用提供了可靠的安全服務網關，用戶應用在開發時只需要關心具體的業務邏輯，不需要關心與其核心業務邏輯無關的流程處理，例如加解密、負載均衡等安全服務，用戶應用通過外部的接口調用連接加密服務網關，通過加密服務網關獲取相應的安全服務。

本發明提供的分布式加密服務網關在具體使用時，能夠實現加密服務的方法包括以下步驟：

首先當用戶應用需要安全服務時，用戶應用通過網絡向系統發送請求，此時系統開始運行，具體方法為：

提供一個加密服務系統即網關，加密服務系統接入網絡，用戶應用通過B/S方式或者C/S方式，使用外部的應用接口與系統連接，通過通訊鏈路向系統發送安全服務請求；

S1、接收用戶應用通過網絡發送的安全服務請求；

S2、對所述安全服務請求進行過濾篩選，例如限流處理、隔離非法請求等；

S3、根據篩選通過的所述安全服務請求對網絡資源進行負載均衡分配；

S4、將分配后的所述安全服務請求放入請求隊列，并對所述安全服務請求進行輪詢處理，同時生成指令信息；

S5、將步驟S4中生成的所述指令信息通過加密服務器集群203進行響應處理并生成響應結果，通過可遠程訪問的加密服務器集群203完成諸如數據加解密，數字簽名，身份驗證等功能；

S6、對步驟S5中生成的響應結果進行解析，并將解析后的結果發送至所述用戶應用。

實施例2

如圖2所示，本發明在實施例1的基礎上進一步限定了所述基礎網絡服務子系統1包括相通訊的基礎設施模塊101、控制模塊102、API接口模塊103、業務應用模塊104及接口服務模塊105；

所述基礎設施模塊101用于負責基于網絡數據的處理、轉發和收集狀態，所述基礎設施模塊101還用于采集網絡設備的狀態信息，所述網絡設備優選為若干網絡服務器，所述狀態信息包括運行數據和性能數據，所述運行數據包括流量狀況信息、實際在線人數、和/或正在處理的所述用戶應用的數量、和/或正在下載的數據量、和/或實際訪問量，所述性能數據包括內存使用信息、CPU使用信息；所述控制模塊102用于管理網絡中的所有設備，并虛擬整個網絡資源，實現資源分配，所述控制子模塊還用于根據采集的所述網絡設備的狀態信息和所述安全服務請求對所述網絡設備提供的網絡資源進行均衡分配；所述API接口模塊103用于為所述用戶應用提供調用接口；所述業務應用模塊104用于通過所述控制模塊102的API管理能力控制設備的報文轉發功能，同時用于將網絡的控制權開放給用戶應用；所述接口服務模塊105用于通過所述控制模塊102為上層業務應用開放接口，同時使所述業務應用模塊104能夠調用底層的網絡資源和能力。

如圖3所示，需要進一步闡述的是，所述基礎設施模塊101包括流量監測單元1011、訪問統計單元1012、負載計算單元1013、及內存監測單元1014，所述流量監測單元1011用于監測網絡中所有設備的流量狀況信息；所述訪問統計單元1012用于統計網絡中所有設備的實際在線人數和實際訪問量；所述負載計算單元1013用于計算網絡中所有設備正在處理的所述用戶應用的數量和正在下載的數據量；所述內存監測單元1014用于監測網絡中所有設備的內存使用信息和CPU使用信息。

基礎網絡服務子系統1的控制模塊102通過基礎設施模塊101上述的各個單元檢測的狀態信息和用戶應用的安全服務請求全局化合理分配網絡資源，平衡節點負載，實現整體動態平衡。

優選的，所述基礎網絡服務子系統1還包括過濾模塊，所述過濾模塊用于對所述安全服務請求進行過濾篩選，判斷所述安全服務請求是否為攔截請求；若是，則攔截所述安全服務請求。

在具體應用時，對所述安全服務請求進行過濾篩選，篩選方法包括：根據訪問控制規則和安全管理規則使用邊界防護防火墻對所述安全服務請求進行過濾篩選，判斷所述安全服務請求是否為攔截請求；若是，則攔截所述安全服務請求；其中，所述訪問控制規則包括訪問黑名單信息，所述安全管理規則包括請求報文格式、請求過濾規則及防火墻端口設置條件。

優選的，判斷所述用戶應用發送的所述安全服務請求是否為攔截用戶應用的步驟包括：

①、獲取所述用戶應用開啟的進程；

②、加載預設的黑名單進程列表和白名單進程列表；

③、判斷所述進程是否存在于所述黑名單進程列表或所述白名單進程列表中，若所述黑名單進程列表中存在所述進程時，則判定所述用戶應用為攔截用戶應用，若所述白名單進程列表中存在所述進程時，則判定該用戶應用發送的安全服務請求不為攔截請求。

實施例3

如圖4所示，本發明實施例3在實施例1的基礎上進一步限定了所述安全服務子系統2包括相通訊的數據I/O模塊201、指令處理模塊202、加密服務器集群203、安全服務接口模塊204，所述數據I/O模塊201用于接收分配后的所述安全服務請求，同時將所述安全服務請求放入請求隊列，發送至所述指令處理模塊202；所述指令處理模塊202用于對所述安全服務請求進行輪詢處理，同時生成指令信息，并將所述指令信息通過所述數據I/O模塊201發送至所述加密服務器集群203，所述加密服務器集群203用于對所述指令信息進行響應處理并生成響應結果，發送至所述指令處理模塊202，所述指令處理模塊202對所述響應結果進行解析，并將解析后的結果通過所述通訊服務子系統3發送至所述用戶應用；所述安全服務接口模塊204用于為所述業務應用模塊104提供安全服務功能。

在具體應用時，對所述安全服務請求進行輪詢處理的方法包括：

S4-1：將對所述安全服務請求進行解析處理。

S4-2：添加預設的安全業務邏輯信息，安全業務邏輯信息為系統預設信息，可以根據用戶需求變化而修改安全業務邏輯，根據用戶應用類型，系統內部根據預設為用戶應用添加安全業務邏輯，比如用戶應用需要進行數據對稱加密，由系統內部為用戶應用實現數據對稱加密的業務邏輯，在此過程中，系統自動完成，用戶應用不需要進行相應的操作。

S4-3：將解析后的所述安全服務請求與所述安全業務邏輯信息進行封裝，并生成封裝后的指令信息。指令信息內包含有安全服務請求及指令，所述的指令包括加密指令或解密指令，加密服務器集群203根據指令信息內指令對安全服務請求進行處理。

實施例4

如圖5和6所示，本發明實施例4在實施例5的基礎上進一步限定了所述分布式加密服務系統還包括與所述基礎網絡服務子系統1和所述安全服務子系統2均相通訊的應用管理服務子系統4，所述應用管理服務子系統4包括相通訊的系統監測模塊401、日志服務模塊402、系統管理模塊403、策略管理模塊404、應用接口模塊405，所述系統監測模塊401用于對整個系統的運行狀態進行監控，若出現影響系統正常運行的異常，則所述系統監測模塊401切換啟用備份系統，若出現不影響系統正常運行的異常，則所述系統監測模塊401用于向所述日志服務模塊402發送記錄日志的信息，同時以短信或郵件的形式通知系統管理員；所述日志服務模塊402用于對系統運行的日志進行記錄，并能夠提供日志的查詢、導出；所述系統管理模塊403用于為用戶提供對系統進行配置管理的操作界面；所述策略管理模塊404用于設定策略配置，所述策略配置包括判斷系統異常狀態閾值、分配加密服務器規則；所述應用接口模塊405用于提供與所述用戶應用連接的應用接口。

應用管理服務子系統4為加密服務系統的運行提供管理環境，同時為用戶應用與加密服務系統的對接提供了途經。應用管理服務子系統4完全可以根據用戶的需求進行定制。

應用管理服務子系統4對系統的運行情況進行實時監測，并根據監測自動采用相應的措施，同時對日志進行記錄。

優選的，所述應用管理服務子系統4還包括加密服務器監測模塊406用于實時監控加密服務器集群203中若干加密服務器的實時工作狀態，實時工作狀態包括連接狀態、響應時間、設備日志；

如圖7所示，優選的，所述加密服務器集群203包括相通訊的加密服務器篩選單元2031、處理單元2032，所述加密服務器篩選單元2031接收所述應用管理服務子系統4監控的加密服務器集群203中若干加密服務器的實時工作狀態，并根據所述實時工作狀態篩選所述加密服務器；所述處理單元2032將篩選出的所述加密服務器對所述指令信息進行響應處理，并生成響應結果。

在具體應用時，生成的所述指令信息通過加密服務器集群203進行響應處理的方法包括：

S5-1：實時監控加密服務器集群203中若干加密服務器的實時工作狀態，實時工作狀態包括連接狀態、響應時間、設備日志；

S5-2：根據所述實時工作狀態篩選所述加密服務器；

S5-3：將篩選出的所述加密服務器對所述指令信息進行響應處理，并生成響應結果。

優選的，根據所述實時工作狀態篩選所述加密服務器的方法包括：

根據監控的所述實時工作狀態，優先選擇當前連接數較少、響應時間較短或設備日志監控正常的所述加密服務器。

加密服務器內內置有若干指令集，根據收到的指令信息進行處理，比如收到一個指令信息是對指令信息中包含的數據進行加密操作，加密服務器就對指令中的數據進行加密處理，生成密文數據。響應結果就是指令的處理結果，生成的密文數據即為響應結果，加密后的密文數據發送給用戶應用即可。

實施例5

如圖8所示，本發明還提供了一種分布式加密服務網關的實現方法，所述方法包括以下步驟：

S1、提供基礎網關；

S2、在所述基礎網關上配置基礎網絡服務子系統1和通訊服務子系統3；

S3、在所述基礎網關上繼續配置安全服務子系統2即得到分布式加密服務網關，所述安全服務子系統2通過遠程訪問的加密服務器集群203為所述基礎網關提供安全服務。

通過集中的軟件控制器實現網絡資源的統一管理、整合以及虛擬化后，采用規范化的接口為上層應用提供按需的網絡資源及服務，實現網絡能力開放，按需提供，可通過擴展增強系統吞吐量。

該分布式加密服務系統核心的加密服務器集群203以及其他軟硬件模塊，也可按需進行擴展，以增強安全服務的處理能力。

與現有技術相比，本發明提供的網關能夠提供負載均衡等網絡服務，有效提高網絡吞吐量和處理能力，此外，本發明采用加密服務器集群203進行加解密，安全級別較高，此外，本發明通過可擴展的應用服務與用戶應用對接，使得用戶不必關心該如何處理安全業務及網絡傳輸等環節，可使用戶專注于其核心業務邏輯，如需保證敏感數據的安全只需要調用本發明提供的系統即可，大大節省了用戶開發應用的時間，降低了應用開發成本和運維成本，此外，該方法采用分布式方式，具備較高的部署靈活性，無論是網絡吞吐量還是處理能力的需求增長，均可通過系統內核心的加密服務器集群203和其它軟硬件模塊的擴展來滿足，具備高度的擴展性，非常適應大數據時代的互聯網應用安全需求。

實施例6

本發明在實施例5的基礎上，進一步限定了步驟S2中，所述基礎網絡服務子系統1包括相通訊的基礎設施模塊101、控制模塊102、API接口模塊103、業務應用模塊104及接口服務模塊105；

所述基礎設施模塊101用于負責基于網絡數據的處理、轉發和收集狀態；所述控制模塊102用于管理網絡中的所有設備，并虛擬整個網絡資源，實現資源分配；所述API接口模塊103用于為所述用戶應用提供調用接口；所述業務應用模塊104用于通過所述控制模塊102的API管理能力控制設備的報文轉發功能，同時用于將網絡的控制權開放給用戶應用；所述接口服務模塊105用于通過所述控制模塊102為上層業務應用開放接口，同時使所述業務應用模塊104能夠調用底層的網絡資源和能力。

安全服務網關自身的網絡安全防護手段主要依靠基礎網絡服務子系統1提供，包括基礎設施模塊101的內外層隔離和安全防護；控制模塊102的授權訪問控制，實時監控及防護策略；業務應用模塊104的安全服務準入規則和可擴展的軟件編程接口；以上手段有效兼顧了系統的安全性和擴展性。

需要進一步說明的是，步驟S3中，所述安全服務子系統2包括相通訊的數據I/O模塊201、指令處理模塊202、加密服務器集群203、安全服務接口模塊204，所述數據I/O模塊201用于接收分配后的所述安全服務請求，同時將所述安全服務請求放入請求隊列，發送至所述指令處理模塊202；所述指令處理模塊202用于對所述安全服務請求進行輪詢處理，同時生成指令信息，并將所述指令信息通過所述數據I/O模塊201發送至所述加密服務器集群203，所述加密服務器集群203用于對所述指令信息進行響應處理并生成響應結果，發送至所述指令處理模塊202，所述指令處理模塊202對所述響應結果進行解析，并將解析后的結果通過所述通訊服務子系統3發送至所述用戶應用；所述安全服務接口模塊204用于為所述業務應用模塊104提供安全服務功能。

為了實現對網關的實時監測和管理，本發明提供的實現安全服務網關的方法還包括：

S4、步驟S3中實現的分布式加密服務網關還配置有與所述基礎網絡服務子系統1和所述安全服務子系統2均相通訊的應用管理服務子系統4。

所述應用管理服務子系統4包括相通訊的系統監測模塊401、日志服務模塊402、系統管理模塊403、策略管理模塊404、應用接口模塊405，所述系統監測模塊401用于對整個系統的運行狀態進行監控，若出現影響系統正常運行的異常，則所述系統監測模塊401切換啟用備份系統，若出現不影響系統正常運行的異常，則所述系統監測模塊401用于向所述日志服務模塊402發送記錄日志的信息，同時以短信或郵件的形式通知系統管理員；所述日志服務模塊402用于對系統運行的日志進行記錄，并能夠提供日志的查詢、導出；所述系統管理模塊403用于為用戶提供對系統進行配置管理的操作界面；所述策略管理模塊404用于設定策略配置，所述策略配置包括判斷系統異常狀態閾值、分配加密服務器規則；所述應用接口模塊405用于提供與所述用戶應用連接的應用接口。

本發明不局限于上述最佳實施方式，任何人在本發明的啟示下都可得出其他各種形式的產品，但不論在其形狀或結構上作任何變化，凡是具有與本申請相同或相近似的技術方案，均落在本發明的保護范圍之內。