CN110995730B - 数据传输方法、装置、代理服务器和代理服务器集群 - Google Patents
数据传输方法、装置、代理服务器和代理服务器集群 Download PDFInfo
- Publication number
- CN110995730B CN110995730B CN201911272728.9A CN201911272728A CN110995730B CN 110995730 B CN110995730 B CN 110995730B CN 201911272728 A CN201911272728 A CN 201911272728A CN 110995730 B CN110995730 B CN 110995730B
- Authority
- CN
- China
- Prior art keywords
- proxy server
- request
- merging
- requests
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种数据传输方法、装置、代理服务器和代理服务器集群,该方法可应用于代理服务器集群中的第一代理服务器;该方法包括:对接收到的多个第一通信请求进行合并预处理,得到第一合并请求;通过代理服务器集群中的各个代理服务器所构成的单一的通信链路,对第一合并请求进行信道加密传输,以使在代理服务器集群中的目标代理服务器接收到第一合并请求后,对第一合并请求进行还原处理,得到多个第二通信请求,并对多个第二通信请求中的每个请求进行转发。以此可以改善现有技术中难以兼顾数据安全与多信道加密负荷的问题。
Description
技术领域
本申请涉及数据处理领域,具体而言,涉及一种数据传输方法、装置、代理服务器和代理服务器集群。
背景技术
代理服务器(Proxy Server)是网络的中转站,负责转发合法的网络信息,对转发进行控制和登记。代理服务器可以代理网络用户去取得网络信息。一般情况下,用户不是直接访问目标服务器以取得想要的信息,而是向代理服务器发出请求,由代理服务器实现目标浏览器与服务器之间的数据交互。
但是,目前在采用代理服务器进行流量转发时,难以兼顾数据安全与多信道加密负荷问题。
发明内容
本申请实施例的目的在于提供一种数据传输方法、装置、代理服务器和代理服务器集群,用以改善现有技术中难以兼顾数据安全与多信道加密负荷的问题。
第一方面,实施例提供一种数据传输方法,应用于代理服务器集群中的第一代理服务器;所述方法包括:
对接收到的多个第一通信请求进行合并预处理,得到第一合并请求;
通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路,对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,并对所述多个第二通信请求中的每个请求进行转发。
在上述方法中,先对多个第一通信请求进行合并预处理,再通过代理服务器集群中单一的通信链路对第一合并请求进行信道加密传输,然后由代理服务器集群中的目标代理服务器对第一合并请求进行还原,最后将还原得到的多个第二通信请求进行转发。由于是基于单一的通信链路对多个请求对应的合并请求进行信道加密传输,相较于传统的数据加密方式,能够降低数据加密方式下的密钥本身容易被暴力破解的风险。且由于是以单一的通信链路进行信道加密传输,可以改善多请求状况下的多信道通信加密负荷过大的问题。上述方法可以有效应对大量的请求,不仅考虑到整个集群中多个请求的内部转发安全问题,还改善了多信道加密负荷大的缺陷。
在可选的实施方式中,所述对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对指定时间段内接收到的多个第一通信请求进行合并预处理,得到所述第一合并请求。
通过上述实现方式,可以对来自外部客户端的多个请求实现请求缓冲处理,可以降低进入信道的请求数量,避免请求负载对代理服务器集群造成过大负担。
在可选的实施方式中,所述对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对接收到的所述多个第一通信请求中的每个请求进行数据加密,得到多个加密请求;
将所述多个加密请求进行合并,得到所述第一合并请求。
通过上述实现方式可以对接收到的多个第一通信请求先进行数据加密,再做合并处理,从而得到第一合并请求,以此可以进一步提升流量转发过程中的数据安全性。
在可选的实施方式中,所述对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对接收到的所述多个第一通信请求进行合并,得到第一初始合并请求;
将所述第一初始合并请求进行加密,得到所述第一合并请求。
通过上述实现方式,先对接收到的多个第一通信请求进行合并,再进行数据加密,可以在信道加密的基础上进一步提升流量转发过程中的数据安全性,并避免对每个请求进行加密。
在可选的实施方式中,在第一代理服务器作为目标代理服务器时,所述方法还包括:
在接收到所述代理服务器集群中的第二代理服务器发送的第二合并请求后,对所述第二合并请求进行拆分,得到相互独立的多个加密请求,作为多个第三通信请求;
对所述多个第三通信请求中的每个请求进行转发。
通过上述实现方式,在第一代理服务器作为目标代理服务器,承担转发任务时,先对接收到的第二合并请求进行拆分,得到独立的加密请求再进行转发,可以提升代理服务器集群的内部转发安全性,且能实现集群内部的批量转发。
在可选的实施方式中,在第一代理服务器作为目标代理服务器时,所述方法还包括:
在接收到所述代理服务器集群中的第二代理服务器发送的第二合并请求后,对所述第二合并请求进行解密,得到第二初始合并请求;
对所述第二初始合并请求进行拆分,得到多个第三通信请求。
通过上述实现方式,在第一代理服务器作为目标代理服务器,承担转发任务时,可以根据接收到的第二合并请求快速拆分得到多个第三通信请求,从而有利于快速对拆分出的多个第三通信请求进行转发。
在可选的实施方式中,在所述通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路,对所述第一合并请求进行信道加密传输之前,所述方法还包括:
接收对所述代理服务器集群中的所有代理服务器对应的路由线路进行初始化的初始化配置信息;
根据所述初始化配置信息,与所述代理服务器集群中的其他代理服务器进行多路复用处理,以便所述第一代理服务器与所述其他代理服务器共同构成单一的通信链路,所述单一的通信链路中的指定代理服务器用于接收外部客户端的通信请求。
通过上述实现方式,代理服务器集群中的每个代理服务器都可以相同的初始化配置方式,快速形成单一的通信链路,从而可以为多个外部请求提供长期有效的固定信道,有利于提升多请求转发的效率,减少了建立链路的次数,有利于改善多信道加密负荷问题。
在可选的实施方式中,所述通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,包括:
通过所述代理服务器集群中的所述单一的通信链路,以安全套接层的信道加密方式对所述第一合并请求进行信道加密并传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,以安全套接层的信道解密方式对所述第一合并请求进行还原处理,得到多个第二通信请求。
通过上述实现方式,相较于单纯的数据加密方式,以安全套接层的信道加密方式对请求数据进行传输,可以提升流量转发过程中的数据安全性。
第二方面,实施例提供一种数据传输装置,应用于代理服务器集群,包括:
预处理模块,用于对接收到的多个第一通信请求进行合并预处理,得到第一合并请求;
传输模块,用于通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路,对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,并对所述多个第二通信请求中的每个请求进行转发。
通过上述装置可以执行前述第一方面提供的方法,能够有效应对大量的请求,不仅考虑到多个请求的内部转发安全问题,还改善了多信道加密负荷大的缺陷。
第三方面,本申请实施例提供一种代理服务器集群,包括:多个代理服务器,所述多个代理服务器用于执行前述第一方面提供的方法。
第四方面,本申请实施例提供一种代理服务器,包括:
存储器;
处理器;
所述存储器存储有所述处理器可执行的计算机程序,所述计算机程序被所述处理器执行时执行前述第一方面所述的方法。
第五方面,本申请实施例提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时执行前述第一方面所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种代理服务器集群的示意图。
图2为本申请实施例提供的一个实例中代理服务器集群与外部客户端、外部服务器之间的配合示意图。
图3为本申请实施例提供的一种数据传输方法的流程图。
图4为本申请实施例提供的一种数据传输装置的功能模块框图。
图5为本申请实施例提供的一种代理服务器的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
下面将对本申请实施例中的一些概念进行解释,以便理解方案。
SSL:Secure Socket Layer,安全套接层,是一个协议加密层。SSL最初是由网景(Netscape)公司于1994年创建,旨在通过Web创建安全的因特网通信。SSL协议是一种标准协议,用于加密浏览器和服务器之间的通信,允许通过因特网传输账号密码、银行卡、手机号等私密信息。
SSL包含记录层(Record Layer)和传输层(Transport Layer),记录层协议确定传输层数据的封装格式。传输层安全协议使X.509认证,利用非对称加密演算以对通信方做身份认证,认证之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方交换的数据做加密,保证两个应用间通信的保密性和可靠性,使通信两方之间的通信不被攻击者窃听。
TLS:Transport Layer Security,安全传输层。TLS协议是国际互联网工程任务组(The Internet Engineering Task Force,简称IETF)将SSL标准化后公布的标准协议,TLS可以视为SSL的新版本。
多路复用(Multiplexing):在数据通信***或计算机网络***中,传输媒体的带宽或容量往往会大于传输单一信号的需求,为了有效地利用通信线路,因此会考虑在一个信道同时传输多路信号。采用多路复用技术能把多个信号组合起来在一条物理信道上进行传输。
请参阅图1,图1为本申请实施例提供的一种代理服务器集群100的示意图。如图1所示,该代理服务器集群100中包括多个代理服务器(B1、B2、B3、B4、B5表示代理服务器),代理服务器集群100中的任意代理服务器都可以成为本申请实施例中的第一代理服务器,从而接收多个请求。代理服务器集群100中的任意代理服务器也可以成为本申请实施例中的目标代理服务器,从而承担转发任务。代理服务器集群100中的多个代理服务器可以用于执行下述的数据传输方法。
代理服务器集群100中的代理服务器可以作为对数据进行透明传输的节点(pass-through),透明传输是指在通讯过程中不关注传输数据的具体业务内容,只关注转发的地址。
代理服务器集群100中的多个代理服务器也可以配合完成定制的业务流程,例如,代理服务器集群100中的部分代理服务器可以对接收到的数据做特定的业务处理并将处理后的数据进行转发,以使得代理服务器集群100转发给外部服务器的请求数据是符合约定规范的数据。
在一个实例中,图1中的代理服务器B1可以对接收到的数据进行过滤处理,以滤除无效的请求数据,代理服务器B2可以对数据进行脱敏处理,以降低敏感数据的泄露风险,代理服务器B3可以对请求的数据类型进行适配并打上标记。
可以理解的是,实际应用中,本领域技术人员可以对代理服务器集群100中各个代理服务器的具体业务功能进行配置。
需要说明的是,在本申请实施例中,在对代理服务器集群100中的各个代理服务器进行初始化后,各个代理服务器可以构成单一的通信链路,以建立固定的通信信道,即,无需在每次接收到请求时都重新构建通信链路。构成该单一的通信链路的所有代理服务器可以保持长连接关系,其中,在保持长连接关系期间,在一个链路上可以连续发送多个数据包。
请参阅图2,图2是本申请实施例提供的一个实例中代理服务器集群100与外部客户端200、外部服务器300之间的配合示意图。图2中的B1、B2、B3、Bn表示代理服务器集群100中的代理服务器。
如图2所示,代理服务器集群100可以接收来自多个外部客户端200(图2中的A1、A2、A3表示外部客户端200)的请求,也可以接收来自同一客户端的多个请求,代理服务器集群100在接收到多个请求后,当代理服务器集群100中的第一代理服务器接收到多个请求时,可以对多个请求进行合并预处理,并以代理服务器集群100中各个代理服务器构成的单一的通信链路对请求进行加密传输(传输过程可包括代理服务器集群100中各个节点的内部转发),最后可以将还原得到的多个请求转发给对应的外部服务器300(图2中的C1、C2表示外部服务器300)。
请参阅图3,图3为本申请实施例提供的一种数据传输方法的流程图,该方法可应用于图1或图2所示的代理服务器集群100中的第一代理服务器。第一代理服务器可以是代理服务器集群100中的任意服务器。
如图3所示,该方法可包括步骤S31-S32。
S31:对接收到的多个第一通信请求进行合并预处理,得到第一合并请求。
其中,第一代理服务器接收到的多个第一通信请求可以是来源于同一个外部客户端,也可以是来源于不同的外部客户端的,还可以是来源于代理服务器集群中的其他代理服务器的。
S32:通过代理服务器集群中的各个代理服务器所构成的单一的通信链路,对第一合并请求进行信道加密传输,以使在代理服务器集群中的目标代理服务器接收到第一合并请求后,对第一合并请求进行还原处理,得到多个第二通信请求,并对多个第二通信请求中的每个请求进行转发。
关于S31,可以由代理服务器集群中的指定代理服务器接收外部客户端(例如图2中的外部客户端200)的通信请求。
作为一种实现方式,第一代理服务器可以作为接收外部通信请求的指定代理服务器,从而直接对来自外部客户端的多个请求进行合并预处理。
作为另一种实现方式,来自外部客户端的多个通信请求可以在经过代理服务器集群中的部分代理服务器进行特定业务处理之后,再被发送给第一代理服务器。第一代理服务器将接收到的多个请求作为多个第一通信请求进行合并预处理。特定业务处理包括但不限于:对无效请求进行过滤、对请求数据进行标记、对请求数据进行脱敏处理等。
当多个第一通信请求到达第一代理服务器后,第一代理服务器可以对多个第一通信请求进行数据加密、封装合并等预处理,以得到第一合并请求。
关于S32,当多个外部请求到达代理服务器集群后,代理服务器集群可以无需为每一个到达的通信请求分别建立与目标服务器的网络通信连接,而是通过代理服务器集群中的各个代理服务器所构成的单一的通信链路,以信道加密的方式对合并后的请求进行加密传输。目标服务器是指每个外部请求对应访问的外部服务器(例如图2中的外部服务器300)。
通过S31-S32,在代理服务器集群面临的请求量大的情况下,第一代理服务器可以将多个实际请求进行合并,触发单一通信链路对合并的第一合并请求进行信道加密传输,在单个通信链路中实现了多个实际请求的连接虚拟化,将原本的多信道转换为单一通信链路通信,只需要对单一的通信链路进行信道加密,能够改善多信道通信加密负荷过大的缺陷。
当第一代理服务器发出的第一合并请求被传输至目标代理服务器时,目标代理服务器可以将以信道加密方式传输过来的第一合并请求拆分为多个第二通信请求,以便于对多个第二通信请求中的每个请求分别进行转发,从而将每个通信请求转发至下一个代理服务器或每个请求原本对应的目标服务器。
其中,第二通信请求可以是完全还原得到的请求,也可以是部分还原得到的请求。
通过上述方法,代理服务器集群中的第一代理服务器可以对来自外部客户端的多个第一通信请求进行合并预处理,并通过代理服务器集群中单一的通信链路对第一合并请求进行信道加密传输,然后由代理服务器集群中的目标代理服务器对第一合并请求进行还原,最后将还原得到的多个第二通信请求进行转发。由于是基于单一的通信链路对多个请求对应的合并请求进行信道加密传输,相较于单纯的对称加密、非对称加密等数据加密方式,能够降低数据加密方式下的密钥本身容易被暴力破解的风险,相较于单纯以CA证书认证加密的方式,可以降低因碰到盗版***或被病毒攻击导致CA证书被篡改的风险。且由于是以单一的通信链路进行信道加密传输,可以改善多请求状况下的多信道通信加密负荷过大的问题。因此,通过上述方法的原理可以有效应对大量的请求,对大量请求进行合并、信道加密传输、还原、转发,尽可能降低请求负载过大带来的处理风险。
需要说明的是,前述数据传输方法可以与传统的数据加密方式组合使用,例如,在信道加密传输的过程中也可以对请求数据本身进行数据加密处理。
作为一种实现方式,上述S31可以包括子步骤S310。
S310:对指定时间段内接收到的多个第一通信请求进行合并预处理,得到第一合并请求。
其中,本领域技术人员可以根据实际需要任意配置指定时间段的时间长度,以将指定时间段内达到代理服务器集群的多个请求进行合并预处理,例如指定时间段可以是3秒、5秒、10秒、30秒等。
在一个实例中,第一代理服务器可以对5秒内接收到80个第一通信请求进行合并预处理,得到第一合并请求。
在上述实现方式中,通过对指定时间段内的多个第一通信请求进行合并预处理,可以对多个请求实现请求数据的缓冲处理,这可以降低进入后续信道的请求数量,降低请求负载,避免对代理服务器集群造成过大负担。
作为上述S31的一种可选实施方式,上述S31可以包括子步骤S311-S312。
S311:对接收到的多个第一通信请求中的每个请求进行数据加密,得到多个加密请求。
其中,数据加密方式可以是对称加密,也可以是非对称加密。为了便于后续解密,请求方可以在正式发起第一通信请求之前,先向接收方发一个链路请求,以使接收方收到链路请求后根据约定的规则返回一个随机码给链路请求发起方,链路请求发起方在得到随机码后可以根据随机码生成对应的密钥。生成的该密钥可以用于对第一通信请求加密。例如,生成的该密钥可以随着第一通信请求一并发送给代理服务器集群中的第一代理服务器,以使第一代理服务器在对第一通信请求进行合并预处理时用该密钥进行数据加密,从而使得代理服务器集群中接收到第一合并数据的目标代理服务器能够进行数据解密。
S312:将多个加密请求进行合并,得到第一合并请求。
作为一种实现方式,可以通过打包、封装的方式对多个加密请求进行合并。
在一个实例中,第一代理服务器可以先对接收到的多个第一通信请求进行过滤,以滤除部分请求,然后再进行数据加密与合并。
其中,合并的第一合并请求是多个外部实际请求数据的真实模拟,合并的请求可以包括数据报头部、数据报内容等。第一合并请求的数据报内容与第一通信请求的实际内容有关。
通过上述实现方式,可以对接收到的多个第一通信请求先进行数据加密,再做合并处理,从而得到第一合并请求,以此可以进一步提升流量转发过程中的数据安全性。
对应上述子步骤S312,在代理服务器集群中的目标代理服务器接收到第一代理服务器发出的第一合并请求后,可以对第一合并请求进行拆分,得到相互独立的多个加密请求,作为多个第二通信请求。
其中,目标代理服务器可以将还原得到的多个加密请求作为多个第二通信请求,将第二通信请求中的每个请求转发给下一个代理服务器或每个请求对应的目标服务器。若目标代理服务器将第二通信请求转发给下一个代理服务器,可以在对第二通信请求进行解密还原后再进行转发。
通过上述实现方式,若第一代理服务器是单一的通信链路中的首个服务器,上述方法可以使得外部请求进入代理服务器集群的内部以后,在集群内部的转发过程是安全的,并且由于请求数据是基于单一的固定通信链路进行信道加密转发的,避免了每个第一通信请求都分别重新查找路由线路并重新建立相应链路的情况,可以提升多个请求的转发效率。若第一代理服务器是单一的通信链路中的中间服务器,上述实现方式可以在快速转发的同时提升集群内部的转发安全性。
作为上述S31的另一种可选实施方式,上述S31可以包括子步骤S313-S314。
S313:对接收到的多个第一通信请求进行合并,得到第一初始合并请求。
S314:将第一初始合并请求进行加密,得到第一合并请求。
子步骤S313-S314与上述子步骤S311-S312的区别在于,S311-S312是先对每个请求进行加密,再对加密后的请求进行合并,而S313-S314是先对多个请求进行合并,再对合并后的请求进行加密。
作为一种合并方式,可以按照每个第一通信请求的访问地址对多个第一通信请求进行合并,以便于后续转发时能够快速将访问同一目标服务器的请求进行转发。
作为另一种合并方式,可以直接将上述S310中指定时间段内接收到的多个第一通信请求进行合并。
关于S314,考虑到代理服务器集群中单一通信链路的目标代理服务器需要对各个第二通信请求进行转发,因此在S314中对初始合并请求进行数据加密时,不论是以哪种数据加密方式进行处理的,都需要目标代理服务器能够对合并请求进行解密,从而保证目标代理服务器能够成功对多个请求进行转发。本领域技术人员可以事先设定代理服务器集群内部的各个代理服务器之间对于数据本身的加密、解密方式。
通过上述实现方式,第一代理服务器可以对接收到的多个第一通信请求先进行合并处理,再进行加密,从而得到第一合并请求,以此可以在信道加密的基础上进一步提升流量转发过程中的数据安全性,并避免对每个请求进行加密。
对应上述子步骤S313-S314,在代理服务器集群中的目标代理服务器接收到第一合并请求后,可以对第一合并请求进行解密,得到第一初始合并请求,然后对第一初始合并请求进行拆分,得到多个第二通信请求。
在第一代理服务器通过上述实现方式对第一通信请求进行处理后,有利于单一通信链路中的后续目标代理服务器可以快速拆分得到多个第二通信请求,并对拆分出的多个第二通信请求进行转发处理。
在实际应用中,为了避免转发给目标服务器的第二通信请求完全暴露,第一代理服务器在对第一通信请求进行合并时可以分批次合并,并分批次加密。例如,可以将访问2个目标服务器的10个第一通信请求先根据目标服务器的地址合并为两个子合并请求,并分别对两个子合并请求进行数据加密,然后将两个加密过的子合并请求合并为一个第一初始合并请求,以使得后续的目标代理服务器在对第一初始合并请求进行拆分时,得到的多个第二通信请求不完全暴露。
需要说明的是,第一代理服务器既可以作为发送方,用于向单一通信链路中的其他代理服务器发送第一合并请求,也可以作为接收方,用于接收单一通信链路中其他代理服务器发送的第二合并请求。
例如,当外部服务器需要通过代理服务器集群向外部客户端返回响应数据时,原本作为数据发送方的第一代理服务器可以转变为数据接收方,可以作为目标代理服务器。当外部客户端通过代理服务器集群向外部服务器发送请求时,作为中间节点的第一代理服务器也具有流量转发能力,第一代理服务器可以作为目标代理服务器。
作为一种实现方式,在第一代理服务器作为目标代理服务器时,数据传输方法还可以包括步骤S33-S34。
S33:在接收到代理服务器集群中的第二代理服务器发送的第二合并请求后,对第二合并请求进行拆分,得到相互独立的多个加密请求,作为多个第三通信请求。
第二代理服务器可以是代理服务器集群中除了第一代理服务器以外的任意服务器。
S34:对多个第三通信请求中的每个请求进行转发。
关于第一代理服务器作为目标代理服务器时,对于第二合并请求、第三通信请求的处理过程,可以参照前述描述中目标代理服务器针对S311-S312的还原处理过程,在此不再赘述。
作为另一种实现方式,在第一代理服务器作为目标代理服务器时,数据传输方法还可以包括步骤S35-S36。
S35:在接收到代理服务器集群中的第二代理服务器发送的第二合并请求后,对第二合并请求进行解密,得到第二初始合并请求。
S36:对第二初始合并请求进行拆分,得到多个第三通信请求。
这种实施方式中,关于第一代理服务器作为目标代理服务器时,对于第二合并请求、第三通信请求的处理过程,可以参照前述描述中目标代理服务器针对S313-S314的还原处理过程,在此不再赘述。
通过上述两种实现方式,可以在第一代理服务器作为目标代理服务器承担转发任务时,在考虑到集群内部转发安全性的情况下对还原得到的请求进行快速转发。
可选的,在执行上述S32之前,数据传输方法还可以包括初始化阶段,初始化阶段包括步骤S301-S302。
S301:接收对代理服务器集群中的所有代理服务器对应的路由线路进行初始化的初始化配置信息。
S302:根据初始化配置信息,与代理服务器集群中的其他代理服务器进行多路复用处理,以便第一代理服务器与其他代理服务器共同构成单一的通信链路。
其中,单一的通信链路中的指定代理服务器(可以是第一代理服务器)用于接收外部客户端的通信请求。
初始化配置信息中定义了代理服务器集群中的服务器数量、服务器标记、服务器的数据转发要求。服务器标记可用于对加入代理服务器集群的各个服务器进行排序,从而形成包括多个代理服务器的通信链路。
作为一种实现方式,代理服务器集群中每个代理服务器接收到的初始化配置信息不同,集群中的每个代理服务器(包括第一代理服务器)根据各自接收到的初始化配置信息分别完成初始化后,可以对链路进行检测从而测试链路的通畅性。
通过上述实现方式,不仅可以让第一代理服务器进行初始化,还可让代理服务器集群中除了第一代理服务器以外的其他代理服务器也能进行初始化,从而让第一代理服务器与代理服务器集群中除了第一代理服务器以外的其他代理服务器共同构成单一的通信链路。
作为另一种实现方式,可以通过控制器选中代理服务器集群中的多个服务器(包括第一代理服务器),并向选中的代理服务器发送初始化配置信息,从而使得被选中的代理服务器根据接收到的初始化配置信息进行初始化。在各代理服务器完成初始化后,可以向该控制器返回成功标识,以表示当前的代理服务器顺利完成初始化配置。
通过上述实现方式,可以对代理服务器集群中的所有代理服务器对应的路由线路进行初始化,以对所有代理服务器进行多路复用处理,得到所有代理服务器构成的单一的通信链路。
可以理解的是,被选中的服务器可以是代理服务器集群中的全部或部分服务器,只需满足能够得到包括多个代理服务器的单一的通信链路即可。
当代理服务器集群的各个代理服务器经过初始化配置,构建得到单一的通信链路后,根据该通信链路可确定固定的信道,并维持各个代理服务器之间的长连接关系,从而对来自外部客户端多个请求进行处理,只要代理服务器集群所在的***没有关停,初始化得到的通信链路即可保持。
通过上述初始化阶段的实现方式,可以为多个外部请求提供长期有效的固定信道,从而提升多请求转发的效率,并且由于单一的通信链路是初始化确定的,可以减少后续建立链路的次数,也有利于改善多信道加密负荷问题。
可选的,上述S32可以包括子步骤S321:通过代理服务器集群中的单一的通信链路,以安全套接层的信道加密方式对第一合并请求进行信道加密并传输,以使在代理服务器集群中的目标代理服务器接收到第一合并请求后,以安全套接层的信道解密方式对第一合并请求进行还原处理,得到多个第二通信请求。
其中,安全套接层的信道加密方式又称SSL加密方式,在上述实现方式中,通过SSL加密方式对单一的通信链路加密可以提升流量转发过程中的数据安全性。
可以理解的是,在第一代理服务器作为目标代理服务器时,若第一代理服务器接收到以安全套接层的信道加密方式传输的第二合并请求,可以通过安全套接层的信道解密方式对第二合并请求进行还原处理,以得到多个第三通信请求,然后可以对多个第三通信请求中的每个请求进行转发。
可选的,在一些实施例中,可以采用TLS加密方式代替SSL加密方式。
上述方法可以减轻多请求、多信道下的数据加密处理负担,可适用于并发量大且对安全要求高的服务数据通信,提高连接请求效率。
基于同一个发明构思,请参阅图4,本申请实施例还提供一种数据传输装置400,该装置可应用于前述的代理服务器集群100,例如可以安装在代理服务器集群100任意服务器中(包括第一代理服务器)。该数据传输装置400可用于执行前述的数据传输方法。在实际应用中,数据传输装置400中用于实现前述数据传输方法的各软件功能模块可以部署在多个代理服务器上,即可以分布到多个网络单元上,本领域技术人员可以根据实际需要选择功能模块的部署方式以实现前述的数据传输方法,也可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。
如图4所示,该数据传输装置400包括:预处理模块401、传输模块402、还原模块403、转发模块404。
预处理模块401,用于对接收到的多个第一通信请求进行合并预处理,得到第一合并请求。
传输模块402,用于通过代理服务器集群中的各个代理服务器所构成的单一的通信链路,对第一合并请求进行信道加密传输,以使在代理服务器集群中的目标代理服务器接收到第一合并请求后,对第一合并请求进行还原处理,得到多个第二通信请求,并对多个第二通信请求中的每个请求进行转发。
通过上述装置可以执行前述的数据传输方法,相较于单纯的数据加密方式,能够降低数据加密方式下的密钥本身容易暴力破解的风险,相较于单纯以CA证书认证加密的方式,可以降低因碰到盗版***或被病毒攻击导致CA证书被篡改的风险。上述装置可以有效应对大量的请求,改善多请求状况下的多信道通信加密负荷过大的问题。
可选的,预处理模块401还可用于:对指定时间段内接收到的多个第一通信请求进行合并预处理,得到第一合并请求。
可选的,预处理模块401可以包括数据加密模块、合并模块。
作为一种实现方式,数据加密模块可用于对接收到的多个第一通信请求中的每个请求进行数据加密,得到多个加密请求,合并模块可用于将多个加密请求进行合并,得到第一合并请求。
作为另一种实现方式,合并模块可用于对接收到的多个第一通信请求进行合并,得到第一初始合并请求,数据加密模块可用于将第一初始合并请求进行加密,得到第一合并请求。
作为一种实现方式,还原模块403可用于在接收到代理服务器集群中的第二代理服务器发送的第二合并请求后,对第二合并请求进行拆分,得到相互独立的多个加密请求,作为多个第三通信请求;转发模块404可用于对多个第三通信请求中的每个请求进行转发。
作为另一种实现方式,还原模块403可用于在接收到代理服务器集群中的第二代理服务器发送的第二合并请求后,对第二合并请求进行解密,得到第二初始合并请求;对第二初始合并请求进行拆分,得到多个第三通信请求。
可选的,上述装置还可包括初始化模块,初始化模块用于接收对代理服务器集群中的所有代理服务器对应的路由线路进行初始化的初始化配置信息;根据初始化配置信息,与代理服务器集群中的其他代理服务器进行多路复用处理,以便第一代理服务器与其他代理服务器共同构成单一的通信链路。
可选的,传输模块402用于通过代理服务器集群中的单一的通信链路,以安全套接层的信道加密方式对第一合并请求进行信道加密并传输,以使在代理服务器集群中的目标代理服务器接收到第一合并请求后,以安全套接层的信道解密方式对第一合并请求进行还原处理,得到多个第二通信请求。
基于同一发明构思,如图5所示,本申请实施例还提供一种代理服务器,该代理服务器可以是前述代理服务器集群中的任意服务器。该代理服务器包括存储器501、处理器502、通信总线503。通信总线503用于实现代理服务器中各组件之间的直接或间接通信。
存储器501是一种存储介质,可以是随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)等,可用于存储初始化配置信息,还可用于存储计算机程序,例如可以执行前述数据传输装置的各个软件功能模块,用以实现前述的数据传输方法。
处理器502具有运算处理能力,可以是中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)、专用集成电路等处理器,用以实现本申请实施例中公开的方法、步骤,处理器502可以执行存储器501中存储的计算机程序,从而执行前述实施例中的方法。
可以理解的是,图5所示结构仅为示意,具体实施时,代理服务器还可以有更多的组件。
基于同样的发明构思,本申请实施例还提供一种存储介质,其上存储有计算机程序,计算机程序在被运行时执行前述实施例提供的方法。存储介质可以是硬盘、软盘等磁性介质,也可以是固态硬盘等半导体介质。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品可存储在各个代理服务器的存储介质中,用以执行本申请各个实施例的方法。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种数据传输方法,其特征在于,应用于包括第一代理服务器的代理服务器集群;所述方法包括:
由所述第一代理服务器,对接收到的多个第一通信请求进行合并预处理,得到第一合并请求;
由所述代理服务器集群中的每一代理服务器,接收对所述代理服务器集群中的所有代理服务器对应的路由线路进行初始化的初始化配置信息;
根据所述初始化配置信息,对所述第一代理服务器与所述代理服务器集群中的其他代理服务器进行多路复用处理,以便所述第一代理服务器与所述其他代理服务器共同构成单一的通信链路,所述单一的通信链路中的指定代理服务器用于接收外部客户端的通信请求;
通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路,对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,并对所述多个第二通信请求中的每个请求进行转发。
2.根据权利要求1所述的方法,其特征在于,所述由所述第一代理服务器,对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对指定时间段内接收到的多个第一通信请求进行合并预处理,得到所述第一合并请求。
3.根据权利要求1所述的方法,其特征在于,所述由所述第一代理服务器,对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对接收到的所述多个第一通信请求中的每个请求进行数据加密,得到多个加密请求;
将所述多个加密请求进行合并,得到所述第一合并请求。
4.根据权利要求1所述的方法,其特征在于,所述由所述第一代理服务器,对接收到的多个第一通信请求进行合并预处理,得到第一合并请求,包括:
对接收到的所述多个第一通信请求进行合并,得到第一初始合并请求;
将所述第一初始合并请求进行加密,得到所述第一合并请求。
5.根据权利要求1所述的方法,其特征在于,在第一代理服务器作为目标代理服务器时,所述方法还包括:
在接收到所述代理服务器集群中的第二代理服务器发送的第二合并请求后,对所述第二合并请求进行拆分,得到相互独立的多个加密请求,作为多个第三通信请求;
对所述多个第三通信请求中的每个请求进行转发。
6.根据权利要求1所述的方法,其特征在于,所述通过所述代理服务器集群中的各个代理服务器所构成的单一的通信链路对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,包括:
通过所述代理服务器集群中的所述单一的通信链路,以安全套接层的信道加密方式对所述第一合并请求进行信道加密并传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,以安全套接层的信道解密方式对所述第一合并请求进行还原处理,得到多个第二通信请求。
7.一种数据传输装置,其特征在于,应用于包括第一代理服务器的代理服务器集群,包括:
设置于第一代理服务器的预处理模块,用于对接收到的多个第一通信请求进行合并预处理,得到第一合并请求;
设置于代理服务器集群中的每一代理服务器的初始化模块,用于接收对所述代理服务器集群中的所有代理服务器对应的路由线路进行初始化的初始化配置信息;
处理模块,根据所述初始化配置信息,对所述第一代理服务器与所述代理服务器集群中的其他代理服务器进行多路复用处理,以便所述第一代理服务器与所述其他代理服务器共同构成单一的通信链路,所述单一的通信链路中的指定代理服务器用于接收外部客户端的通信请求;
传输模块,用于通过代理服务器集群中的各个代理服务器所构成的单一的通信链路,对所述第一合并请求进行信道加密传输,以使在所述代理服务器集群中的目标代理服务器接收到所述第一合并请求后,对所述第一合并请求进行还原处理,得到多个第二通信请求,并对所述多个第二通信请求中的每个请求进行转发。
8.一种代理服务器集群,其特征在于,包括多个代理服务器,所述多个代理服务器用于执行权利要求1-6任一项所述的方法。
9.一种代理服务器,其特征在于,包括:
存储器;
处理器;
所述存储器存储有所述处理器可执行的计算机程序,所述计算机程序被所述处理器执行时执行权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911272728.9A CN110995730B (zh) | 2019-12-11 | 2019-12-11 | 数据传输方法、装置、代理服务器和代理服务器集群 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911272728.9A CN110995730B (zh) | 2019-12-11 | 2019-12-11 | 数据传输方法、装置、代理服务器和代理服务器集群 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995730A CN110995730A (zh) | 2020-04-10 |
| CN110995730B true CN110995730B (zh) | 2022-07-05 |
Family
ID=70092771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911272728.9A Active CN110995730B (zh) | 2019-12-11 | 2019-12-11 | 数据传输方法、装置、代理服务器和代理服务器集群 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995730B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157661B (zh) * | 2020-09-07 | 2024-01-16 | 北京奇艺世纪科技有限公司 | 数据请求方法、数据处理方法、相关装置、设备及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102497353A (zh) * | 2011-10-28 | 2012-06-13 | 深圳第七大道科技有限公司 | 多服务器分布式数据处理方法、服务器及*** |
| CN103701714A (zh) * | 2013-12-25 | 2014-04-02 | 北京奇虎科技有限公司 | 页面提取方法、服务器及网络*** |
| CN105531951A (zh) * | 2014-07-29 | 2016-04-27 | 华为技术有限公司 | 数据加密传输方法和装置 |
| US10069928B1 (en) * | 2015-01-21 | 2018-09-04 | Amazon Technologies, Inc. | Translating requests/responses between communication channels having different protocols |
| CN110012467A (zh) * | 2019-04-18 | 2019-07-12 | 苏州博联科技有限公司 | 窄带物联网的分组认证方法 |
-
2019
- 2019-12-11 CN CN201911272728.9A patent/CN110995730B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102497353A (zh) * | 2011-10-28 | 2012-06-13 | 深圳第七大道科技有限公司 | 多服务器分布式数据处理方法、服务器及*** |
| CN103701714A (zh) * | 2013-12-25 | 2014-04-02 | 北京奇虎科技有限公司 | 页面提取方法、服务器及网络*** |
| CN105531951A (zh) * | 2014-07-29 | 2016-04-27 | 华为技术有限公司 | 数据加密传输方法和装置 |
| US10069928B1 (en) * | 2015-01-21 | 2018-09-04 | Amazon Technologies, Inc. | Translating requests/responses between communication channels having different protocols |
| CN110012467A (zh) * | 2019-04-18 | 2019-07-12 | 苏州博联科技有限公司 | 窄带物联网的分组认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995730A (zh) | 2020-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210385201A1 (en) | Systems and methods for secure multi-party communications using aproxy | |
| CN110870277B (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| US10069800B2 (en) | Scalable intermediate network device leveraging SSL session ticket extension | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| US9509663B2 (en) | Secure distribution of session credentials from client-side to server-side traffic management devices | |
| EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
| US8732462B2 (en) | Methods and apparatus for secure data sharing | |
| US20070258468A1 (en) | Intermediate network node supporting packet analysis of encrypted payload | |
| US8104082B2 (en) | Virtual security interface | |
| CN114503507A (zh) | 安全的发布-订阅通信方法和设备 | |
| CA3064696A1 (en) | Systems and methods for data encryption for cloud services | |
| JP7194732B2 (ja) | データ送信のための装置及び方法 | |
| US20080133915A1 (en) | Communication apparatus and communication method | |
| CN106031097A (zh) | 业务处理方法及装置 | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| CN114142995A (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
| EP3220604B1 (en) | Methods for client certificate delegation and devices thereof | |
| CN110995730B (zh) | 数据传输方法、装置、代理服务器和代理服务器集群 | |
| CN114679265B (zh) | 流量获取方法、装置、电子设备和存储介质 | |
| CN114143038A (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
| CN114244569B (zh) | Ssl vpn远程访问方法、***和计算机设备 | |
| JP2023535011A (ja) | 量子ストリーミング | |
| CN106464684A (zh) | 业务处理方法及装置 | |
| CN116915733A (zh) | 一种讯邮一体即时通讯*** | |
| CN114268499A (zh) | 数据传输方法、装置、***、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000 Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, no.219, Tianfu Third Street, Chengdu pilot Free Trade Zone, hi tech Zone, Chengdu, Sichuan Province 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |