内外网通讯方法、装置、内网终端和代理服务器与流程

1.本公开涉及计算机技术领域，尤其涉及智慧医疗等应用场景的通讯和数据安全领域。


背景技术：

2.随着医院信息化的发展，为了更方便的医患交流，医生需要在线与院外患者进行视频通话。然而，医院为保证应用运行的绝对安全，绝大多数是采用内外网物理隔离的方式，这种方式理论上确实把医院的核心应用最大限度的隔离开来，具有较高的安全性，但同时为医患之间的数据交互加上了一层很难逾越的屏障。


技术实现要素：

3.本公开提供了一种内外网通讯方法、装置、内网终端、代理服务器、计算机可读存储介质和计算机程序产品。
4.根据本公开的第一方面，提供了一种内外网通讯方法，应用于代理服务器，该方法包括：
5.响应于来自内网终端的超文本传输安全协议https请求，从内网终端的客户问候报文中获取服务器名称标识sni信息；
6.根据sni信息确定应用层域名；
7.根据应用层域名获取对应的ip地址；
8.根据获取到的ip地址，将https请求转发至外网的目标服务器。
9.根据本公开的第二方面，提供了一种内外网通讯方法，应用于内网终端，该方法包括：
10.基于安全协议握手请求，向代理服务器发送客户问候报文，客户问候报文中包括服务器名称标识信息；
11.响应于代理服务器返回的握手成功信息，向代理服务器发送超文本传输安全协议https请求。
12.根据本公开的第三方面，提供了一种内外网通讯装置，应用于代理服务器，该装置包括：
13.sni信息获取模块，用于响应于来自内网终端的超文本传输安全协议https请求，从内网终端的客户问候报文中获取服务器名称标识sni信息；
14.域名确定模块，用于根据sni信息确定应用层域名；
15.ip地址获取模块，用于根据应用层域名获取对应的ip地址；
16.https请求转发模块，用于根据获取到的ip地址，将https请求转发至外网的目标服务器。
17.根据本公开的第四方面，提供了一种内外网通讯装置，应用于内网终端，该装置包括：
18.客户问候报文发送模块，用于基于安全协议握手请求，向代理服务器发送客户问候报文，客户问候报文中包括服务器名称标识信息；
19.https请求发送模块，用于响应于代理服务器返回的握手成功信息，向代理服务器发送超文本传输安全协议https请求。
20.根据本公开的第五方面，提供了一种代理服务器，包括：
21.至少一个处理器；以及
22.与至少一个处理器通信连接的存储器；其中，
23.存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行本公开任意实施例中应用于代理服务器的方法。
24.根据本公开的第六方面，提供了一种内网终端，包括：
25.至少一个处理器；以及
26.与至少一个处理器通信连接的存储器；其中，
27.存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行本公开任意实施例中应用于内网终端的方法。
28.根据本公开的第七方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，计算机指令用于使计算机执行本公开任意实施例提供的方法。
29.根据本公开的第八方面，提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现本公开任意实施例提供的方法。
30.本公开实施例的技术方案可以基于代理服务器实现正向代理，从而打通内外网通讯。
31.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
32.附图用于更好地理解本方案，不构成对本公开的限定。其中：
33.图1是根据本公开实施例的应用场景的示意图；
34.图2是根据本公开实施例应用于代理服务器的内外网通讯方法的流程图；
35.图3是根据本公开实施例应用于内网终端的内外网通讯方法的流程图；
36.图4是根据本公开实施例的一个应用示例图；
37.图5是根据本公开实施例的又一个应用示例图；
38.图6是根据本公开实施例的再一个应用示例图；
39.图7是根据本公开实施例应用于代理服务器的内外网通讯装置的框图；
40.图8是根据本公开实施例应用于内网终端的内外网通讯装置的框图；
41.图9是用来实现本公开实施例的方法的电子设备的框图。
具体实施方式
42.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同
样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
43.图1为本公开实施例的应用场景示意图。如图1所示，内网也叫局域网(local area network，lan)，内网终端101可以是硬件，如手机、平板、便携计算机或台式计算机等具有显示屏的电子设备。内网终端101可以是软件，当内网终端101为软件时，可安装于上述电子设备中。内网终端101通常是多个，并通过内网进行通讯，以保证数据隐私和安全。公网是相对于内网而言的外网，目标服务器103基于公网为用户(如外网终端104)提供服务。其中，为了实现需要可以配置任意数量的终端、网络和服务器。
44.根据本公开实施例的内外网通讯方法，提供一种代理服务器，可将内网终端101的请求转发至目标服务器103，实现正向代理，进而打通内外网。
45.示例性地，本公开实施例的内外网通讯方法可以应用于智慧医疗场景。例如：内网终端101可以为医生客户端，公网终端104可以为患者客户端。基于本公开实施例的内外网通讯方法，可实现医生客户端和患者客户端之间的视频通话。
46.具体地，本公开实施例提供一种内外网通讯方法，应用于代理服务器，如图2所示，该方法可以包括：
47.步骤s201：响应于来自内网终端的超文本传输安全协议(https)请求，从内网终端的客户问候(client hello)报文中获取服务器名称标识(server name indication，sni)信息；
48.步骤s202：根据sni信息确定应用层域名；
49.步骤s203：根据应用层域名获取对应的ip地址；
50.步骤s204：根据获取到的ip地址，将https请求转发至外网的目标服务器。
51.对于音视频媒体流来说，需要使用https协议进行数据传输，因此，代理服务器在进行转发时需要申请配置额外的证书颁发机构(certification authority，ca)签发的证书，即ca证书，还需要对ca证书进行解密。
52.而本公开实施例的方法中，不需要单独申请代理服务器的ca证书，而是基于sni信息获得应用层域名，进而得到外网目标服务器的ip地址。也就是说，本公开实施例的方法中，代理服务器并不需要对加密的http目的服务器(本实施例中为目标服务器)统一资源定位系统(uniform resource locator，url)文件进行解密，即可得知要访问的域名，从而实现内外网打通，流程简单，部署自动化，可极大节约人力。
53.其中，sni信息来自于内网终端在客户问候报文中。示例性地，在步骤s202之前还包括：内网终端向代理服务器发送安全协议握手请求，进而将client hello报文发送给代理服务器。从而，代理服务器的sni信息获取模块从第一个client hello报文获得sni信息，并基于sni信息解析到要访问的域名。
54.示例性地，对于nginx服务器，sni信息获取模块为ngx_stream_ssl_preread_module模块。
55.在一种实施方式中，在步骤s203中可以包括：将https请求经过防火墙转发至目标服务器。
56.正向代理允许客户端通过它访问任意网站，因此数据安全措施显得尤为重要，以确保为经过授权的客户端提供服务。而基于物理防火墙可以保证通讯过程中的数据安全，从而在打通内外网交互的同时，保证了内网数据(如医生端和患者端之间的视频通话)的安
全。
57.示例性地，防火墙可以配置为支持防范多种拒绝服务(denial of service，dos)攻击和分布式拒绝服务(distributed denial of service，ddos)攻击；支持通过基于ip地址的黑白名单，对报文进行快速过滤；支持对http协议的文件上传下载、post、浏览网页、http代理等应用行为进行控制。支持对文件传输协议(file transfer protocol，ftp)的文件上传下载等应用行为进行控制。
58.具体地，可以预先对防火墙进行设置，包括：
59.在一种实施方式中，预先对代理服务器进行配置。配置信息可以包括：传输控制(transmission control protocol，tcp)信令代理信息、443端口监听信息和用户数据报协议(user datagram protocol，udp)媒体服务代理信息，从而实现媒体流数据传输服务的正向代理。
60.代理服务器可以为反向代理服务器，如nginx服务器。由于nginx服务器的1.12.x版本在udp转发时存在问题，具体表现是udp的源端口会发生变化，导致没有稳定的源端口，因此，本实施例中的nginx的版本为1.16以上，并加入开启udp转发模块。进一步地，通过编辑conf目录下的nginx.conf文件，配置443端口监听信息、tcp信令代理信息和udp媒体服务(10010)代理信息。
61.对于反向代理服务器来说，主要提供反向代理，例如将防火墙后面的服务器提供给因特网(internet)用户访问；为后端的多台服务器提供负载平衡，或为后端较慢的服务器提供缓冲服务；启用高级url策略和管理技术，从而使处于不同的web服务器系统的web页面同时存在于同一个url空间下。
62.本实施例的方法中，基于反向代理服务器可以提供正向代理，为在防火墙内的局域网客户端提供访问internet的途径，实现内外网的打通，且不需要代理服务器单独配置相应证书和目标服务器建立请求连接。
63.具体地，代理服务器作为正向代理处理https请求时，需要访问的url文件加密封装在了安全传输层协议/安全套接层(transport layer security/secure socket layer，tls/ssl)中，代理服务器并不通过解密url文件获得客户端想要访问的域名，仅做透传代理，由内网终端和目标服务器做直接tls/ssl交互。
64.在一种实施方式中，该方法还可以包括：配置hosts文件，以使内网终端通过下载hosts文件获取代理服务器的内网ip地址。
65.图3示出根据本公开实施例的内外网通讯方法，应用于内网终端，如图3所示，该方法包括：
66.步骤s301：基于安全协议握手请求，向代理服务器发送client hello报文，client hello报文中包括sni信息；
67.步骤s302：响应于代理服务器返回的握手成功信息，向代理服务器发送https请求。
68.在一种实施方式中，内网终端基于内网域名(domain name server，dns)服务器获得代理服务器的内网ip地址。具体地，在步骤s302中可以包括：基于内网dns服务器获取代理服务器的内网ip地址；根据该内网ip地址，向代理服务器发送所述https请求。
69.在另一种实施方式中，如果没有内网dns服务器，可以根据内网终端预存的域名ip
地址关联(hosts)文件确定代理服务器的内网ip地址。具体地，在步骤s302中可以包括：根据内网终端中的hosts文件，确定代理服务器的内网ip地址；根据内网ip地址，向代理服务器发送https请求。
70.其中，hosts文件可以从代理服务器下载得到。示例性地，可以预先在代理服务器中写一个可执行文件，然后在内网终端输入一个链接地址就可以下载该可执行文件，点击执行就可以把hosts文件配置写如内网终端。
71.下面结合图4阐述本公开实施例中内网终端与代理服务器进行交互的一个示例。如图4所示，该示例的方法包括：
72.步骤s401：内网终端向内网dns服务器发送请求；
73.步骤s402：dns服务器向内网终端返回代理服务器的内网ip地址；
74.步骤s403：内网终端基于内网ip地址向代理服务器发送https请求；
75.步骤s404：代理服务器通过获取第一次client hello报文中的sni信息，得到应用层域名，并向外网dns服务器发送请求；
76.步骤s405：外网dns服务器通过解析应用层域名得到目标服务器的ip地址，并向代理服务器返回目标服务器的ip地址；
77.步骤s406：代理服务器基于目标服务器的ip地址将https请求经过防火墙转发至目标服务器，从而完成内外网的信息流通；其中，随https请求一起转发的还有url文件，以使目标服务器区分需要返回的数据；
78.步骤s407：目标服务器根据https请求返回相应的数据；
79.步骤s408：代理服务器将目标服务器返回的数据转发至内网终端。
80.由于是正向代理，并使用sni信息获取了域名，因此不需要配置代理服务器的ca证书。
81.如前述，本公开实施例的内外网通讯方法可以应用于智慧医疗场景，用于医生端和患者端之间的通话。在该场景中，如图5所示，内网为医院内网，内网终端为医生端，例如医生电脑100，外网终端为患者端，目标服务器为业务服务器，内网dns服务器为医院内部服务200，并基于实时通讯技术(real time communication，rtc)服务器提供的rtc服务(如百度rtc服务)，进行患者端和医生端之间的视频通话。
82.下面结合如图6介绍基于本公开实施例的内外网通讯方法实现医院内网和公网打通的示例。
83.在该示例中，可以在客户端的rtc软件开发工具包(software development kit，sdk)和医院内部dns服务器预先配置一些信息。例如：(1)在百度rtc sdk中设置候选者ip(candidateip)为医院内网的代理服务器ip。web sdk中，设置brtc_start()函数的candidateip参数为代理服务器的ip地址，如果candidateip为null，则不走代理；(2)在sdk中设置mediaserverip为百度云视频服务器目标ip地址，需要和医院内网nginx中的udp数据流目标ip配置保持一致；(3)h5中所使用的编程文件(javascript，js)尽量下载放到本地服务器上，避免代理服务器做过多配置；(4)在内部dns服务器上配置对应域名指向代理服务器，这样rtc的信令服务器和医生端或患者端的视频通话请求就会被代理服务器代理(如果没有内部dns服务器，则需要在每台医生电脑配置hosts文件)。
84.如图6所示，该示例的方法可以包括：
85.步骤1和2：医生客户端向内部dns服务器发起视频请求，通过配置的内网dns服务器或hosts文件获取到代理服务器在内网的ip地址；
86.步骤3：医生客户端向代理服务器ngnix发送https请求，nginx通过ngx_stream_ssl_preread_module模块获取client hello报文中的sni信息，从而得到应用层域名；
87.步骤4和5：代理服务器将应用层域名发送给外部dns服务器，以得到外部dns服务器解析的ip地址，即业务服务器的ip地址；
88.步骤6：代理服务器基于业务服务器的ip地址，将https请求经过防火墙转发到业务服务器，从而完成内外网的信息流通；
89.步骤7和8：业务服务器通过代理服务器向医生客户端返回相应的数据。例如：医生客户端发https请求到业务服务器，希望查询患者客户端的通话状态，那么业务服务器通过代理服务器返回通话状态给医生客户端。
90.当医生客户端查询到患者客户端的通话状态为空闲的时候，医生客户端通过代理服务器和百度rtc服务器建立与患者客户端之间的连接。
91.由此，通过代理服务器转发信令和音视频媒体流的方案，可以实现医院内外网使用智能屏进行视频通话的需求，且不会对医院数据安全产生影响。
92.图7示出根据本公开实施例的一种内外网通讯装置，应用于代理服务器。如图7所示，该装置包括：
93.sni信息获取模块701，用于响应于来自内网终端的https请求，从内网终端的客户问候报文中获取sni信息；
94.域名确定模块702，用于根据sni信息确定应用层域名；
95.ip地址获取模块703，用于根据应用层域名获取对应的ip地址；
96.https请求转发模块704，用于根据获取到的ip地址，将https请求转发至外网的目标服务器。
97.在一种实施方式中，https请求转发模块具体用于：
98.将https请求经过防火墙转发至目标服务器。
99.在一种实施方式中，https请求转发模块具体用于：
100.根据代理服务器的配置信息，将https请求转发至外网的目标服务器，其中，配置信息包括传输控制信令代理信息、443端口监听信息和用户数据报协议媒体服务代理信息。
101.在一种实施方式中，代理服务器为反向代理服务器。
102.在一种实施方式中，该装置还包括：
103.域名ip地址关联文件配置模块，用于配置域名ip地址关联文件，以使内网终端通过下载域名ip地址关联文件获取代理服务器的内网ip地址。
104.图8示出根据本公开实施例的一种内外网通讯装置，应用于内网终端。如图8所示，该装置包括：
105.客户问候报文发送模块801，用于基于安全协议握手请求，向代理服务器发送客户问候报文，客户问候报文中包括服务器名称标识信息；
106.https请求发送模块802，用于响应于代理服务器返回的握手成功信息，向代理服务器发送超文本传输安全协议https请求。
107.在一种实施方式中，https请求发送模块包括：
108.第一内网ip地址获取子模块，用于基于内网域名服务器获取代理服务器的内网ip地址；
109.第一https请求发送子模块，用于根据内网ip地址，向代理服务器发送https请求。
110.在一种实施方式中，https请求模块包括：
111.第二内网ip地址获取子模块，用于根据内网终端中的域名ip地址关联文件，确定代理服务器的内网ip地址，其中，域名ip地址关联文件是从代理服务器下载得到；
112.第二https请求发送子模块，用于根据内网ip地址，向代理服务器发送https请求。
113.本公开实施例各装置中的各模块的功能可以参见上述方法中的对应描述，在此不再赘述。
114.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。其中，电子设备可以是内网终端，也可以是代理服务器。
115.图9示出了可以用来实施本公开的实施例的示例电子设备的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
116.如图9所示，该电子设备包括计算单元901，其可以根据存储在只读存储器(rom)902中的计算机程序或者从存储单元908加载到随机访问存储器(ram)903中的计算机程序，来执行各种适当的动作和处理。在ram 903中，还可存储该电子设备操作所需的各种程序和数据。计算单元901、rom 902以及ram 903通过总线904彼此相连。输入/输出(i/o)接口905也连接至总线904。
117.该电子设备中的多个部件连接至i/o接口905，包括：输入单元906，例如键盘、鼠标等；输出单元907，例如各种类型的显示器、扬声器等；存储单元908，例如磁盘、光盘等；以及通信单元909，例如网卡、调制解调器、无线通信收发机等。通信单元909允许该电子设备通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
118.计算单元901可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元901的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元901执行上文所描述的各个方法和处理。例如，在一些实施例中，上文所描述的各个方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元908。在一些实施例中，计算机程序的部分或者全部可以经由rom 902和/或通信单元909而被载入和/或安装到该电子设备上。当计算机程序加载到ram 903并由计算单元901执行时，可以执行上文所描述的各个方法的一个或多个步骤。备选地，在其他实施例中，计算单元901可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行上文所描述的各个方法。
119.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实
现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
120.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
121.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
122.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者车道线球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
123.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
124.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
125.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
126.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明
白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。