一种通过短消息开关网络服务通道的方法及系统

本发明涉及网络技术领域，具体涉及一种通过短消息开关网络服务通道的方法及系统。

如图1所示，常见的互联网服务大体分两种服务对象:1、对互联网公众开放WEB访问。2、对内部人员和合作方开放通过互联网WEB、客户端或者VPN进行业务访问和后台维护。如图2所示，这两种方式的登陆访问和维护均有防火墙在互联网区域到内网区域完成隔离功能。防火墙根据内部需要设置固定的访问策略，并配置内网对公网的NAT转换，对互联网公网地址或地址段能访问的内网IP地址或地址段和服务端口进行限制。

此种方式存在如下弊端：虽然可设置向互联网开放有限的端口(如80、8080、1433、1521、443、21、22、23)，也可以限制被访问的IP地址或地址段，或者有些VPN设置个性化访问策略，但是因为无法完全对源地址或地址段进行精确限制，互联网侧的攻击者本身仍可以通过端口遍历等方式探知服务的存在借以寻脆弱性并进行攻击。

针对上述技术问题，本发明提供一种通过短消息开关网络服务通道的方法及系统。

本发明解决上述技术问题的技术方案如下：一种通过短消息开关网络服务通道的方法，包括：

接收申请人发送的第一短消息；

对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验；

如果校验通过，则在系统对外服务的防火墙增加所述申请的IP地址并通知所述申请人通过，否则通知所述申请人不通过。

本发明的有益效果是：用户通过短消息发送所申请的IP地址，经校验通过后即可针对申请人所申请的IP地址开通网络服务通道,从而可以对源地址或地址段进行精确限制，降低了被攻击的风险，普遍适用于外部网络公网服务服务通道以及各企业内部网络私网服务通道的开启和关闭。

在上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验，具体包括：

判断所述第一短消息的发送号码是否为已登记的手机号码或根据预设规则设定的信任手机号码，所述IP地址是否合法并且属于预设规则的IP地址集。

进一步，在校验通过之后，在系统对外服务的防火墙增加所述申请的IP地址之前，还包括：

向所述申请人的上级审批人发送审批请求；

如果审批通过，则执行所述在系统对外服务的防火墙增加所述申请的IP地址的步骤。

进一步，还包括：

当接收到所述申请人发送的第二短消息时，在系统对外服务的防火墙删除所述申请的IP地址。

进一步，还包括：

当所述申请人使用所申请的IP地址进行工作的时长超过预设时长时，在系统对外服务的防火墙删除所述申请的IP地址。

为实现上述发明目的，本发明还提供一种通过短消息开关网络服务通道的系统，包括：

接收模块，用于接收申请人发送的第一短消息；

校验模块，用于对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验；

增加及通知模块，用于如果所述校验模块校验通过，则在系统对外服务的防火墙增加所述申请的IP地址并通知所述申请人通过，否则通知所述申请人不通过。

进一步，所述校验模块，具体用于：

判断所述第一短消息的发送号码是否为已登记的手机号码或根据预设规则设定的信任手机号码，所述IP地址是否合法并且属于预设规则的IP地址集。

进一步，还包括：

审批模块，用于在所述校验模块校验通过之后，在所述增加及通知模块在系统对外服务的防火墙增加所述申请的IP地址之前，向所述申请人的上级审批人发送审批请求；

所述增加及通知模块，用于如果所述审批模块审批通过，则在系统对外服务的防火墙增加所述申请的IP地址。

进一步，还包括：

接收及删除模块，用于当接收到所述申请人发送的第二短消息时，在系统对外服务的防火墙删除所述申请的IP地址。

进一步，还包括：

计时及删除模块，用于当所述申请人使用所申请的IP地址进行工作的时长超过预设时长时，在系统对外服务的防火墙删除所述申请的IP地址。

图1为传统的互联网网络服务形式；

图2为传统的带防火墙的互联网网络服务形式；

图3为网络隧道打通示意图；

图4为本发明实施例提供的一种通过短消息开关网络服务通道的方法的流程图；

图5为本发明实施例提供的另一种通过短消息开关网络服务通道的方法的流程图；

图6为本发明实施例提供的一种某系统互联网服务通过短消息加入访问信任源IP的流程交互示意图。

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

图4为本发明实施例提供的一种通过短消息开关网络服务通道的方法的流程图，包括：

S41、接收申请人发送的第一短消息；

具体的，如图4所示，开始时，由申请人通过实名认证的手机号发起向网络服务的业务短代码的申请开通网络服务通道的短消息(短息、彩信均可)，内容包含登陆的公网IP地址或地址段到某业务代码，将需要发起访问的源IP地址或地址段上报到WEB服务器或资源控制端。

S42、对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验；

具体的，该步骤中，对短消息发送号码和短消息内的申请IP地址进行校验(合法手机号必需为系服务系统之前登记的手机号码或其它规则设定的信任手机号码，IP地址必须合理合法且是某种规则圈定的IP地址集，如中国大陆IP地址范围等等)；

S43、如果校验通过，则在系统对外服务的防火墙增加所述申请的IP地址并通知所述申请人通过，否则通知所述申请人不通过。

具体的，如果经过校验确认为合法的IP地址或地址段且业务控制逻辑允许该IP地址或地址段和手机号码进行申请，则触发相关的流程脚本，对防火墙策略中的允许访问IP地址河地址段进行增加。增加以后，原来对整个互联网不可见的服务便犹如打通了一条向单一IP地址或IP地址段的隧道使得访问和通信得以进行，申请人即可登录服务系统的VPN或WEB界面执行工作，如图3所示。

最后，如系统判断通过，则通过短消息通知申请人通过且IP增加成功，如系统判断无法通过申请则短消息告知申请人并通知管理员和审计员进行关注，如图6所示。

本发明实施例提供的一种通过短消息开关网络服务通道的方法，由用户通过短消息发送所申请的IP地址，经校验通过后即可针对申请人所申请的IP地址开通网络服务通道,从而可以对源地址或地址段进行精确限制，降低了被攻击的风险，普遍适用于外部网络公网服务服务通道以及各企业内部网络私网服务通道的开启和关闭。

可选地，在该实施例中，步骤S2，具体包括：

判断所述第一短消息的发送号码是否为已登记的手机号码或根据预设规则设定的信任手机号码，所述IP地址是否合法并且属于预设规则的IP地址集。

可选地，作为本发明的一个实施例中，如图5所示，该方法包括：

S51、接收申请人发送的第一短消息；

S52、对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验；

S53、如果校验通过，则向所述申请人的上级审批人发送审批请求；

S54、如果审批通过，则在系统对外服务的防火墙增加所述申请的IP地址并通知所述申请人通过，否则通知所述申请人不通过。

在该实施例中，在系统对外服务的防火墙增加所述申请的IP地址之前，增加了审批人审批的步骤，申请人的审批人收到审批请求，对情况确认并进行短消息审批，申请人的审批人审批不通过则：短消息告知申请人未通过，通知管理员和审计员进行关注，如图6所示。

可选地，在该实施例中，如图4所示，该方法还包括：

S44、当接收到所述申请人发送的第二短消息时，在系统对外服务的防火墙删除所述申请的IP地址。

具体的，如图6所示，申请人执行完工作，关闭访问后，即可通过短消息申请关闭，通道自动对之前申请的IP地址进行删除。

可选地，在该实施例中，如图4所示，该方法还包括：

S45、当所述申请人使用所申请的IP地址进行工作的时长超过预设时长时，在系统对外服务的防火墙删除所述申请的IP地址。

具体的，当工作超时后，通道也会自动对之前申请的IP地址进行删除。

本发明实施例提供一种通过短消息开关网络服务通道的系统，包括：

接收模块，用于接收申请人发送的第一短消息；

校验模块，用于对所述第一短消息的发送号码和所述第一短消息内所申请的IP地址进行校验；

增加及通知模块，用于如果所述校验模块校验通过，则在系统对外服务的防火墙增加所述申请的IP地址并通知所述申请人通过，否则通知所述申请人不通过。

可选地，在该实施例中，所述校验模块，具体用于：

判断所述第一短消息的发送号码是否为已登记的手机号码或根据预设规则设定的信任手机号码，所述IP地址是否合法并且属于预设规则的IP地址集。

可选地，在该实施例中，所述系统还包括：

审批模块，用于在所述校验模块校验通过之后，在所述增加及通知模块在系统对外服务的防火墙增加所述申请的IP地址之前，向所述申请人的上级审批人发送审批请求；

所述增加及通知模块，用于如果所述审批模块审批通过，则在系统对外服务的防火墙增加所述申请的IP地址。

可选地，在该实施例中，所述系统还包括：

接收及删除模块，用于当接收到所述申请人发送的第二短消息时，在系统对外服务的防火墙删除所述申请的IP地址。

可选地，在该实施例中，所述系统还包括：

计时及删除模块，用于当所述申请人使用所申请的IP地址进行工作的时长超过预设时长时，在系统对外服务的防火墙删除所述申请的IP地址。

读者应理解，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述系统实施例描述的功能模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。