CN114710544B - 一种通道建立方法及装置 - Google Patents
一种通道建立方法及装置 Download PDFInfo
- Publication number
- CN114710544B CN114710544B CN202210290192.9A CN202210290192A CN114710544B CN 114710544 B CN114710544 B CN 114710544B CN 202210290192 A CN202210290192 A CN 202210290192A CN 114710544 B CN114710544 B CN 114710544B
- Authority
- CN
- China
- Prior art keywords
- server
- client
- channel
- connection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 230000004044 response Effects 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims description 57
- 238000004891 communication Methods 0.000 abstract description 25
- 230000005540 biological transmission Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种通道建立方法及装置,应用于软件定义边界SDP网关,所述方法包括:接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;接收所述服务端反馈的同意建立所述第一通道的第一应答结果,并将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。由此在SDP网关开启SPA功能时,实现了客户端与服务端之间的通信。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通道建立方法及装置。
背景技术
在零信任软件定义边界(Software-Defined-Perimeter,SDP)架构下,要求真实的后端服务实现隐藏,在设备没有鉴权成功,SDP网关不会向外提供数据通道。为实现可靠的鉴权,需要进行多因素的单包授权服务即单包认证(Single packet authorize,SPA)。在多通道协议场景中,SDP网关开启SPA功能后,FTP(File Transport Protocol,文档传输协议)的数据传输模式中,当服务端有主动向客户端传输数据的需求时,由于SDP网关开启了SPA功能,导致目前的方案中服务端无法将数据传输至客户端;
此外,客户端要访问服务端时,需要SDP网关来检查客户端的访问权限,当客户端仅有访问服务端某个端口的权限时,若客户端有需要访问服务端上除前述某个端口以外的其他端口时,SDP网关若检查客户端不具有访问前述其他端口的权限,则会拒绝客户端的访问操作,导致无法顺利访问服务端。
因此,如何在SPD网关开启SPA功能时,实现客户端与服务端之间的通信是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种通道建立方法及装置,用以在SDP网关开启SPA功能时,实现客户端与服务端之间的通信。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种通道建立方法,应用于软件定义边界SDP网关,所述方法包括:
接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;
根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;
接收所述服务端反馈的同意建立所述第一通道的第一应答结果,并将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
根据本申请的第二方面,提供一种通道建立装置,设置于软件定义边界SDP网关中,所述装置,包括:
第一接收模块,用于接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;
第一发送模块,用于根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;
第二接收模块,用于接收所述服务端反馈的同意建立所述第一通道的第一应答结果;
第二发送模块,用于将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。
根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
本申请实施例的有益效果:
本申请实施例提供的通道建立方法,接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;接收所述服务端反馈的同意建立所述第一通道的第一应答结果,并将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。通过采用上述方法,实现了客户端与服务端之间的第一通道的建立,进而客户端就可以通过第一通道与服务端进行交互。
附图说明
图1是本申请实施例提供的一种通道建立方法的流程示意图;
图2是本申请实施例提供的一种通道建立方法的应用场景示意图;
图3是本申请实施例提供的一种通道建立装置的结构示意图;
图4是本申请实施例提供的一种实施通道建立方法的电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请提供的通道建立方法进行详细地说明。
参见图1,图1是本申请提供的一种通道建立方法的流程图,该方法应用于软件定义边界SDP网关中,该SDP网关实施该方法时可包括如下所示步骤:
S101、接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息。
本步骤中,客户端在需要与服务端建立通信连接时,会先向SDP网关发送第一连接建立请求,然后在该第一连接建立请求中携带第一连接信息;SDP网关接收到该第一连接请求后,会从该请求中解析出第一连接信息。
S102、根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端。
本步骤中,SDP网关获取到第一连接信息时,会根据第一连接信息确认该客户端是否具有访问服务端的权限,当具有访问权限时,SDP网关会将该第一连接建立请求转发给服务端。
具体地,SDP网关在开启SPA功能之后,客户端或服务端正常向SDP网关发送报文时,SDP网关对所有的报文都是不处理的,即会丢弃客户端或服务端发来的报文;有鉴于此,客户端为了能够与服务端进行交互,客户端会在向SDP网关发送第一连接请求之前,会向SDP网关发送SPA报文,该SPA报文用于让SDP网关对客户端的身份进行验证,因此,客户端会在SPA报文中携带客户端的身份信息,SDP网关对客户端的身份信息验证通过后,SDP网关会开启自身用于与客户端交互的服务端口。这样,客户端就可以基于该服务端口向SDP网关发送第一连接建立请求。
需要说明的是,SDP网关会预先记录SDP控制器下发的客户端具有服务端的访问权限的实际连接信息,然后当从第一连接建立请求中解析出第一连接信息后,可以判断SDP控制器下发的实际连接信息是否包括第一连接信息,当包括时,则确认客户端具有访问服务端的权限。
S103、接收所述服务端反馈的同意建立所述第一通道的第一应答结果,并将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
具体地,服务端接收到前述第一连接建立请求后,若同意与客户端建立通信连接,则会向SDP网关发送该请求的同意应答结果,即上述第一应答结果,这样SDP网关接收到该第一应答结果后,就可以将其转发给客户端,这样客户端就可以基于该第一应答结果建立其与服务端之间的第一通道。
需要说明的是,在建立连接请求时,在交互过程中可以但不限于采用文件传输协议(File Transfer Protocol,FTP)等等。
通过执行上述方法,实现了客户端与服务端之间的第一通道的建立,进而客户端就可以通过第一通道与服务端交互。
此外,SDP网关还会记录从上述第一连接信息,这样当客户端或服务端再次与对方交互时,可以利用该第一连接信息实现。
在此基础上,本实施例提供的通道建立方法,还包括:接收服务端发起的第二通道的第二连接建立请求,并确定所述第二连接建立请求的第二连接信息;将所述第二连接建立请求发送给所述客户端,以建立所述服务端与所述客户端之间的所述第二通道;将所述第一连接信息与所述第二连接信息进行关联处理,得到第一关联关系并根据所述第一关联关系更新本地的关联关系表。
具体地,服务端也有主动建立与客户端之间通信连接的需求,基于此,服务端会向SDP网关发送第二连接建立请求,这样,SDP网关接收到该第二连接建立请求时,可以确定出服务端发起第二连接请求的第二连接信息,然后将第二连接请求发送给客户端,这样,客户端在接收到第二连接建立请求后,建立与服务端之间的第二通道,进而通过第二通道实现客户端与服务端之间的通信交互。由此也就实现了,多通道协议下客户端与服务端之间基于不同通道的交互。
此外,为了实现多通道协议下,客户端与服务端之间的顺畅访问,本申请还会建立第一连接信息与第二连接信息之间的第一关联关系,然后将该第一关联关系更新到SDP网关记录的关联关系表中。这样,后续客户端与服务端进行交互时,SDP网关可以利用上述关联关系表中记录的关联关系来实现。
在此基础上,本实施例中的第一连接信息包括上述客户端访问上述服务端的第一访问信息,上述第一访问信息为SDP控制器下发的允许客户端访问上述服务端的访问信息;上述第二连接信息包括上述服务端上用于建立上述第二通道的第二访问信息。
在此基础上,本实施例提供的通道建立方法,还包括:接收发送端基于所述第二通道发送的第一数据处理请求;并确定所述第一数据处理请求的第一目标访问信息;利用所述第一目标访问信息匹配所述关联关系表;当匹配到第一关联关系时,则将所述第一数据处理请求转发给接收端;其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
具体来说,以发送端为客户端,接收端为服务端为例进行说明,当客户端有访问服务端上资源的需求时,客户端会利用第二通道发送第一数据处理请求,同时为了保证该请求能够到达服务端,会在第一数据处理请求中加入第一目标访问信息,这样,SDP网关接收到第一数据处理请求后,会从该请求中解析出第一目标访问信息,然后SDP网关会基于第一目标访问信息来判断客户端是否具有访问服务端的访问权限,判断方式可以参考步骤S102中的相关描述,此处不再详细说明。当确认基于该第一目标访问信息确认客户端不具有访问服务端的访问权限时,则SDP网关会判断第一目标访问信息是否在SDP网关存储的关联关系表中的关联关系中,当关联关系表中存在该第一目标访问信息(例如,第一目标访问信息与上述第二访问信息相同)时,则可以放行该第一数据处理请求,即,将第一数据处理请求转发到服务端,由此也就实现了资产的访问。
同理,当服务端有访问客户端上的数据的需求时,也会基于第二通道向SDP网关发送第一数据处理请求,SDP网关基于本端与服务端之间的通信连接,可以确认服务端的第一目标访问信息,然后确认第一目标访问信息是否能够与关联关系表中记录的关联关系匹配成功,当匹配到第一关联关系时,则放行该第一数据处理请求,即,将该第一数据处理请求发送给客户端,这样,也就实现了服务端访问客户端上数据的需求。
可选地,上述第一访问信息可以但不限于包括服务端的IP地址和客户端具有访问权限的、服务端上的第一端口,上述第二访问信息可以但不限于包括服务端的IP地址和服务端的第二端口。此外,上述第一端口可以为服务端上的随机端口,如21端口等等;而上述第二端口可以为服务端上的设定端口,例如20端口等等。需要说明的是,20这个端口属于FTP主动模式(端口模式)下的设定端口,当处于FTP主动模式下时,客户端会默认利用该20端口来访问服务端。这样,SDP网关就建立了包括21端口的第一连接信息与包括20端口的第二连接信息之间的第一关联关系。
具体来说,服务端的安全级别比较高,实际应用中是服务器向SDP网关发的报文一般都会被SDP网关拒绝,为了实现服务端与客户端之间的数据传输,本实施例中,服务端用20端口请求与SDP网关建立连接,即向SDP网关发送第二连接建立请求,该连接建立请求通过普通的TCP报文实现,由于此时SPA开启,但服务端又无法发送SPA报文。为了实现上述数据传输,SDP网关会记录包括上述21端口的第一连接信息与包括上述20端口的第二连接信息之间的第一关联关系,后续客户端与服务端进行数据传输时,只需要通过查找关联关系表中记录的关联关系来放通两端的数据处理请求。
需要说明的是,上述第一通道可以但不限于为控制通道、数据通道,第二通道为数据通道;当第一通道为控制通道,第二通道为数据通道时,可以支持在业务处理需要发送控制命令等控制数据的场景,例如当客户端向服务端发送业务处理请求时,会通过第一通道发送控制消息,然后通过第二通道发送数据,以实现客户端与服务端之间的数据传输;当第一通道为数据通道,第二通道为数据通道时,可以支持通过多通道均支持传输业务数据,且无需发送控制消息的场景。例如,当将本申请任一实施例提供的通道建立方法应用到FTP方案时,可以通过第一通道(控制通道)传输控制命令等,然后通过第二通道(数据通道)传输数据。
可选地,基于上述任一实施例,本实施例中的第一应答结果包括服务端反馈的第三连接信息;在此基础上,本实施例提供的通道建立方法还包括:将所述第一连接信息与所述第三连接信息进行关联处理,得到第二关联关系并根据所述第二关联关系更新本地的关联关系表。
具体地,为了实现多通道协议下,客户端与服务端之间的顺畅访问,本申请还会建立第一连接信息与第三连接信息之间的第二关联关系,然后将该第二关联关系更新到SDP网关记录的关联关系表中。这样,后续客户端与服务端进行交互时,SDP网关可以利用上述关联关系表中记录的第二关联关系来实现。
在此基础上,本实施例提供的通道建立方法,还包括:接收所述客户端发送的第三通道的第三连接建立请求,所述第三连接建立请求携带所述第三连接信息;利用所述第三连接建立请求中携带的第三连接信息匹配所述关联关系表,当匹配到上述第二关联关系时,将所述第三连接建立请求转发给所述服务端,以建立所述客户端与所述服务端之间的第三通道。
具体地,为了实现多通道通信,客户端有通过第一通道之外的通道访问服务端的需求,有鉴于此,客户端会主动向SDP网关发送第三连接建立请求,为了保证成功与服务端建立第三通道,客户端会在第三连接建立请求中携带第三连接信息。这样,SDP网关接收到第三连接建立请求后,会从该请求中解析出第三连接信息,然后根据第三连接信息判断客户端是否具有访问服务端的权限,即判断SDP控制器下发的实际连接信息是否包括第三连接信息,当不包括时,则确认客户端本身不具有访问服务端的权限,但为了能够成功访问到服务端,SDP网关会利用第三连接信息匹配关联关系表,由于上述第二关联关系包括上述第三连接信息,则确认成功匹配到关联关系表,然后将第三连接建立请求转发给服务端,由此,服务端就可以建立其与客户端之间的第三通道,由此也就实现了SDP场景下的多通道通信。
进一步地,当第一连接信息包括客户端访问所述服务端的第一访问信息时,而第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;则第三连接信息包括服务端上用于建立所述第三通道的第三访问信息;在此基础上,本实施例提供的通道建立方法,还可以包括下述过程:接收发送端基于所述第三通道发送的第二数据处理请求,所述第二数据处理请求包括第二目标访问信息;利用所述第二目标访问信息匹配所述关联关系表;当匹配到第二关联关系时,将所述第二数据处理请求转发给所述接收端;其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
具体地,以发送端为客户端,接收端为服务端为例进行说明,则当客户端有访问服务端上资源的需求时,客户端可以利用第三通道发送第二数据处理请求,同时为了保证该请求能够到达服务端,会在第二数据处理请求中加入第二目标访问信息,这样,SDP网关接收到第二数据处理请求后,会从该请求中解析出第二目标访问信息,然后SDP网关会基于第二目标访问信息来判断客户端是否具有访问服务端的访问权限,判断方式可以参考步骤S102中的相关描述,此处不再详细说明。当确认基于该第二目标访问信息确认客户端不具有访问服务端的访问权限时,则SDP网关会判断第二目标访问信息是否在SDP网关存储的关联关系表中的关联关系中,当关联关系表中存在该第二目标访问信息(例如,第二目标访问信息与上述第三访问信息相同)时,则可以放行该第二数据处理请求,即,将第二数据处理请求转发到服务端,由此也就实现了资产的访问。
同理,当服务端有访问客户端上的数据的需求时,也基于第三通道向SDP网关发送第二数据处理请求,SDP网关基于本端与服务端之间的通信连接,可以确认服务端的第二目标访问信息,然后确认第二目标访问信息是否能够与关联关系表中记录的关联关系匹配成功,当匹配成功时,则放行该第二数据处理请求,即,将该第二数据处理请求发送给客户端,这样,也就实现了服务端访问客户端上数据的需求。
可选地,上述第三连接信息可以但不限于包括服务端的IP地址和服务端上用于建立第三通道的第三端口。此外,上述第三端口可以为服务端上的随机端口,如3699端口等等。这样,SDP网关就建立了包括21端口的第一连接信息与包括3699端口的第三连接信息之间的第二关联关系。
需要说明的是,上述第一通道可以但不限于为控制通道、数据通道,第三通道为数据通道;当第一通道为控制通道,第三通道为数据通道时,可以支持在业务处理需要发送控制命令等控制数据的场景,例如当客户端向服务端发送业务处理请求时,会通过第一通道发送控制消息,然后通过第三通道发送数据,以实现客户端与服务端之间的数据传输;当第一通道为数据通道,第三通道为数据通道时,可以支持通过多通道均支持传输业务数据,且无需发送控制消息的场景。例如,当将本申请任一实施例提供的通道建立方法应用到FTP方案时,可以通过第一通道(控制通道)传输控制命令等,然后通过第三通道(数据通道)传输数据。
为了更好地理解本申请上述任一实施例提供的通道建立方法,以图2所示的场景为例进行说明,此外,以上述任一访问信息包括IP地址和端口为例进行说明。例如,服务器的IP地址10.1.11.10,第一端口D1为21端口,第二端口D2为20端口,第三端口D3为3699,则第一连接信息为10.1.11.10和21端口,第二连接信息为10.1.11.10和20,第三连接信息为10.1.11.10和3699。此外,图2中的客户端的端口分别有A1~A3,SDP网关上的入端口分别有B1~B3、出端口C1~C3;服务端上的端口分别有D1~D3。
具体地,在SDP网关开启SPA功能后,客户端会当需要通过该SDP网关访问服务端时,会从SDP控制器获取具有访问权限的服务端的第一连接信息,同时SDP控制器会将具有访问权限的实际访问信息下发到SDP网关。这样,当客户端在向SDP网关认证通过后,会向SDP网关发送携带10.1.11.10:21的第一连接建立请求,SDP网关基于端口D1:21确认21具有访问权限,则将第一连接建立请求转发给服务端;此时会向SDP网关反馈同意建立第一通道的第一应答结果,这样客户端与服务端之间的第一通道:端口A1-端口B1-端口C1-端口D1,由此第一通道也就建立成功,参考图2所示的通道1。
为了实现多通道的通信,服务端也有主动建立与第二通道的需求,即服务端会向SDP网关发送第二连接建立请求,而SDP网关可以基于该第二连接建立请求的报文进入SDP网关的端口C3确认服务端输出第该第二连接建立请求的端口D3,此时,SDP网关就能够确定出第二连接信息:10.1.11.10:20,这样,SDP网关就可以建立第一连接信息(10.1.11.10:21)与第二连接信息之间的第一关联关系(10.1.11.10:20),然后将第二连接建立请求发送给客户端,以实现建立客户端与服务端之间的第二通道:端口A3-端口B3-端口C3-端口D3,参考图2所示的通道3。这样,后续发送端(客户端或服务端)在基于第二通道实现业务处理时,就可以通过匹配上述第一关联关系,当匹配成功时,则会将业务处理请求发送给接收端(服务端或客户端)。
为了实现多通道的通信,服务端会在第一应答结果中携带第三连接信息:10.1.11.10:3699,SDP网关接收到第一应答结果后,会从中解析出第三连接信息,然后建立第三连接信息(10.1.11.10:3699)与第一连接信息(10.1.11.10:21)之间的第二关联关系,同时,将第三连接关系转发给客户端;这样,当客户端在建立第三通道时,就可以向SDP网关发送第三连接建立请求,在该请求中携带第三连接信息,SDP网关就可以利用解析出的第三连接信息来匹配上述第二关联关系,当匹配成功时,则将第三连接建立请求转发给服务端,从而实现了服务端与客户端之间的第三通道的建立,第三通道为:端口A2-端口B2-端口C2-端口D2,参考图2中的通道2。
值得注意的是,上述第一通道、第二通道和第三通道建立成功后,当第一通道为控制通道时,第一通道属于单向通道,可以实现客户端到服务端方向的单向通信;而当第二通道和第三通道为数据通道时,由于采用全双工通信,因此第二通道和第三通道属于双向通道,通道的两方可以实现相互通信。
基于同一发明构思,本申请还提供了与上述通道建立方法对应的通道建立装置。该通道建立装置的实施具体可以参考上述对通道建立方法的描述,此处不再一一论述。
参见图3,图3是本申请一示例性实施例提供的一种通道建立装置,设置于软件定义边界SDP网关中,上述装置,包括:
第一接收模块301,用于接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;
第一发送模块302,用于根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;
第二接收模块303,用于接收所述服务端反馈的同意建立所述第一通道的第一应答结果;
第二发送模块304,用于将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
可选地,上述第二接收模块303,还用于接收服务端发起的第二通道的第二连接建立请求,并确定所述第二连接建立请求的第二连接信息;
上述第二发送模块304,还用于将所述第二连接建立请求发送给所述客户端,以建立所述服务端与所述客户端之间的所述第二通道;
所述装置,还包括:
第一关联模块(图中未示出),用于将所述第一连接信息与所述第二连接信息进行关联处理,得到第一关联关系并根据所述第一关联关系更新本地的关联关系表。
可选地,上述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第二连接信息包括所述服务端上用于建立所述第二通道的第二访问信息;在此基础上,本实施例提供的通道建立装置,还包括:
第三接收模块(图中未示出),用于接收发送端基于所述第二通道发送的第一数据处理请求;并确定所述第一数据处理请求的第一目标访问信息;
第一匹配模块(图中未示出),用于利用所述第一目标访问信息匹配所述关联关系表;
第三发送模块(图中未示出),用于当所述第一匹配模块匹配到所述第一关联关系时,则将所述第一数据处理请求转发给接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
可选地,上述第一应答结果包括服务端反馈的第三连接信息;在此基础上,本实施例提供的通道建立装置,还包括:第二关联模块(图中未示出)和第二匹配模块(图中未示出),其中:
第二关联模块(图中未示出),用于将所述第一连接信息与所述第三连接信息进行关联处理,得到第二关联关系并根据所述第二关联关系更新本地的关联关系表;
所述第一接收模块301,还用于接收所述客户端发送的第三通道的第三连接建立请求,所述第三连接建立请求携带所述第三连接信息;
第二匹配模块(图中未示出),用于利用所述第三连接建立请求中携带的第三连接信息匹配所述关联关系表;
所述第一发送模块302,还用于当所述第二匹配模块匹配到所述第二关联关系时,将所述第三连接建立请求转发给所述服务端,以建立所述客户端与所述服务端之间的第三通道。
可选地,所述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第三连接信息包括所述服务端上用于建立所述第三通道的第三访问信息;所述装置,还包括:
第四接收模块(图中未示出),用于接收发送端基于所述第三通道发送的第二数据处理请求,所述第二数据处理请求包括第二目标访问信息;
第三匹配模块(图中未示出),用于利用所述第二目标访问信息匹配所述关联关系表;
第四发送模块(图中未示出),用于当所述第三匹配模块匹配到所述第二关联关系时,将所述第二数据处理请求转发给所述接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于为上述SDP网关。如图4所示,该电子设备包括处理器401和机器可读存储介质402,机器可读存储介质402存储有能够被处理器401执行的计算机程序,处理器401被计算机程序促使执行本申请任一实施例所提供的报文获取方法。此外,该电子设备还包括通信接口403和通信总线404,其中,处理器401,通信接口403,机器可读存储介质402通过通信总线404完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例所提供的报文获取方法。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种通道建立方法,其特征在于,应用于软件定义边界SDP网关,所述SDP网关开启SPA功能,所述方法包括:
接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;
根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;
接收所述服务端反馈的同意建立所述第一通道的第一应答结果,并将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
2.根据权利要求1所述的方法,其特征在于,还包括:
接收服务端发起的第二通道的第二连接建立请求,并确定所述第二连接建立请求的第二连接信息;
将所述第二连接建立请求发送给所述客户端,以建立所述服务端与所述客户端之间的所述第二通道;
将所述第一连接信息与所述第二连接信息进行关联处理,得到第一关联关系并根据所述第一关联关系更新本地的关联关系表。
3.根据权利要求2所述的方法,其特征在于,所述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第二连接信息包括所述服务端上用于建立所述第二通道的第二访问信息;所述方法,还包括:
接收发送端基于所述第二通道发送的第一数据处理请求;并确定所述第一数据处理请求的第一目标访问信息;
利用所述第一目标访问信息匹配所述关联关系表;
当匹配到所述第一关联关系时,则将所述第一数据处理请求转发给接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
4.根据权利要求1所述的方法,其特征在于,所述第一应答结果包括服务端反馈的第三连接信息;所述方法,还包括:
将所述第一连接信息与所述第三连接信息进行关联处理,得到第二关联关系并根据所述第二关联关系更新本地的关联关系表;
所述方法,还包括:
接收所述客户端发送的第三通道的第三连接建立请求,所述第三连接建立请求携带所述第三连接信息;
利用所述第三连接建立请求中携带的第三连接信息匹配所述关联关系表,当匹配到所述第二关联关系时,将所述第三连接建立请求转发给所述服务端,以建立所述客户端与所述服务端之间的第三通道。
5.根据权利要求4所述的方法,其特征在于,所述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第三连接信息包括所述服务端上用于建立所述第三通道的第三访问信息;所述方法,还包括:
接收发送端基于所述第三通道发送的第二数据处理请求,所述第二数据处理请求包括第二目标访问信息;
利用所述第二目标访问信息匹配所述关联关系表;
当匹配到所述第二关联关系时,将所述第二数据处理请求转发给接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
6.一种通道建立装置,其特征在于,设置于软件定义边界SDP网关中,所述SDP网关开启SPA功能,所述装置,包括:
第一接收模块,用于接收客户端发送的第一通道的第一连接建立请求,所述第一连接建立请求包括用于连接服务端的第一连接信息;
第一发送模块,用于根据所述第一连接信息,若确认所述客户端具有访问服务端的访问权限,则将所述第一连接建立请求转发给所述服务端;
第二接收模块,用于接收所述服务端反馈的同意建立所述第一通道的第一应答结果;
第二发送模块,用于将所述第一应答结果转发给所述客户端,以建立所述客户端与所述服务端之间的所述第一通道。
7.根据权利要求6所述的装置,其特征在于,
所述第二接收模块,还用于接收服务端发起的第二通道的第二连接建立请求,并确定所述第二连接建立请求的第二连接信息;
所述第二发送模块,还用于将所述第二连接建立请求发送给所述客户端,以建立所述服务端与所述客户端之间的所述第二通道;
所述装置,还包括:
第一关联模块,用于将所述第一连接信息与所述第二连接信息进行关联处理,得到第一关联关系并根据所述第一关联关系更新本地的关联关系表。
8.根据权利要求7所述的装置,其特征在于,所述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第二连接信息包括所述服务端上用于建立所述第二通道的第二访问信息;所述装置,还包括:
第三接收模块,用于接收发送端基于所述第二通道发送的第一数据处理请求;并确定所述第一数据处理请求的第一目标访问信息;
第一匹配模块,用于利用所述第一目标访问信息匹配所述关联关系表;
第三发送模块,用于当所述第一匹配模块匹配到所述第一关联关系时,则将所述第一数据处理请求转发给接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
9.根据权利要求6所述的装置,其特征在于,所述第一应答结果包括服务端反馈的第三连接信息;所述装置,还包括:第二关联模块和第二匹配模块,其中:
第二关联模块,用于将所述第一连接信息与所述第三连接信息进行关联处理,得到第二关联关系并根据所述第二关联关系更新本地的关联关系表;
所述第一接收模块,还用于接收所述客户端发送的第三通道的第三连接建立请求,所述第三连接建立请求携带所述第三连接信息;
第二匹配模块,用于利用所述第三连接建立请求中携带的第三连接信息匹配所述关联关系表;
所述第一发送模块,还用于当所述第二匹配模块匹配到所述第二关联关系时,将所述第三连接建立请求转发给所述服务端,以建立所述客户端与所述服务端之间的第三通道。
10.根据权利要求9所述的装置,其特征在于,所述第一连接信息包括所述客户端访问所述服务端的第一访问信息,所述第一访问信息为SDP控制器下发的允许客户端访问所述服务端的访问信息;所述第三连接信息包括所述服务端上用于建立所述第三通道的第三访问信息;所述装置,还包括:
第四接收模块,用于接收发送端基于所述第三通道发送的第二数据处理请求,所述第二数据处理请求包括第二目标访问信息;
第三匹配模块,用于利用所述第二目标访问信息匹配所述关联关系表;
第四发送模块,用于当所述第三匹配模块匹配到所述第二关联关系时,将所述第二数据处理请求转发给接收端;
其中,当发送端为客户端时,接收端为服务端;当发送端为服务端时,接收端为客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210290192.9A CN114710544B (zh) | 2022-03-23 | 2022-03-23 | 一种通道建立方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210290192.9A CN114710544B (zh) | 2022-03-23 | 2022-03-23 | 一种通道建立方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710544A CN114710544A (zh) | 2022-07-05 |
| CN114710544B true CN114710544B (zh) | 2023-11-03 |
Family
ID=82169405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210290192.9A Active CN114710544B (zh) | 2022-03-23 | 2022-03-23 | 一种通道建立方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710544B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580986A (zh) * | 2012-07-30 | 2014-02-12 | 华为终端有限公司 | 一种实时通信方法、终端设备、实时通信服务器及*** |
| CN106254433A (zh) * | 2016-07-28 | 2016-12-21 | 杭州迪普科技有限公司 | 一种建立tcp通信连接的方法及装置 |
| CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
| CN109587275A (zh) * | 2019-01-08 | 2019-04-05 | 网宿科技股份有限公司 | 一种通信连接的建立方法及代理服务器 |
| CN110602112A (zh) * | 2019-09-19 | 2019-12-20 | 四川长虹电器股份有限公司 | 一种mqtt安全传输数据的方法 |
| CN111586026A (zh) * | 2020-04-30 | 2020-08-25 | 广州市品高软件股份有限公司 | 一种基于sdn的软件定义边界实现方法及*** |
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019127241A1 (en) * | 2017-12-28 | 2019-07-04 | Siemens Aktiengesellschaft | Message queuing telemetry transport (mqtt) data transmission method, apparatus, and system |
| US11190489B2 (en) * | 2019-06-04 | 2021-11-30 | OPSWAT, Inc. | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter |
-
2022
- 2022-03-23 CN CN202210290192.9A patent/CN114710544B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103580986A (zh) * | 2012-07-30 | 2014-02-12 | 华为终端有限公司 | 一种实时通信方法、终端设备、实时通信服务器及*** |
| CN106254433A (zh) * | 2016-07-28 | 2016-12-21 | 杭州迪普科技有限公司 | 一种建立tcp通信连接的方法及装置 |
| CN108429730A (zh) * | 2018-01-22 | 2018-08-21 | 北京智涵芯宇科技有限公司 | 无反馈安全认证与访问控制方法 |
| CN109587275A (zh) * | 2019-01-08 | 2019-04-05 | 网宿科技股份有限公司 | 一种通信连接的建立方法及代理服务器 |
| CN110602112A (zh) * | 2019-09-19 | 2019-12-20 | 四川长虹电器股份有限公司 | 一种mqtt安全传输数据的方法 |
| CN111586026A (zh) * | 2020-04-30 | 2020-08-25 | 广州市品高软件股份有限公司 | 一种基于sdn的软件定义边界实现方法及*** |
| CN112261067A (zh) * | 2020-12-21 | 2021-01-22 | 江苏易安联网络技术有限公司 | 一种多级单包授权的方法及*** |
Non-Patent Citations (3)
| Title |
|---|
| Changqing Sun ; Fuquan Zheng ; Guangxu Zhou ; Kun Guo.Design and Implementation of Cloud-based Single-channel LoRa IIoT Gateway Using Raspberry Pi.《2020 39th Chinese Control Conference (CCC)》.2020,全文. * |
| 基于WebRTC的视频会议***开发;石芮;成洪豪;孙立民;;智能计算机与应用(06);全文 * |
| 构建基于SDP技术的网络安全体系;朱良海;张义超;袁震;;网络安全和信息化(12);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114710544A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9003042B2 (en) | P2P file transmission system and method | |
| EP3907973A1 (en) | Method for establishing communication connection and proxy server | |
| CN110365701B (zh) | 客户终端设备的管理方法、装置、计算设备及存储介质 | |
| MX2007010921A (es) | Metodo para comunicacion entre una aplicacion y un cliente. | |
| US20120278854A1 (en) | System and method for device addressing | |
| US20210234835A1 (en) | Private cloud routing server connection mechanism for use in a private communication architecture | |
| US20110035413A1 (en) | Diameter bus communications between processing nodes of a network element | |
| CN109714367B (zh) | 基于互联网的设备接入***及方法 | |
| CN109309684A (zh) | 一种业务访问方法、装置、终端、服务器及存储介质 | |
| CN110691110B (zh) | 一种通信方法、装置、***、终端、设备及介质 | |
| WO2021139311A1 (zh) | 一种路由转发方法、装置、路由设备及可读存储介质 | |
| US10129263B2 (en) | Tokenization for network authorization routing | |
| CN114710544B (zh) | 一种通道建立方法及装置 | |
| WO2017185934A1 (zh) | 一种管理设备及设备管理方法 | |
| KR20090112714A (ko) | 오프라인 저장을 위한 사용자 액세스 정책 | |
| US7774464B2 (en) | Automatic syncML client profile creation for new servers | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN115297098A (zh) | 边缘服务获取方法和装置、边缘计算***、介质、设备 | |
| CN108055262A (zh) | 视频会议终端注册方法、终端及网守 | |
| CN114928459A (zh) | 用于私有通讯架构的连接方法与电脑可读取媒体 | |
| WO2015021842A1 (zh) | 访问ott应用、服务器推送消息的方法及装置 | |
| CN113596890B (zh) | 通信方法、***、装置及存储介质 | |
| CN113676540B (zh) | 一种连接建立方法及装置 | |
| EP4395279A1 (en) | Communication method and communication system | |
| CN112804224B (zh) | 一种基于微服务的认证鉴权方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |