CN110572438A - 一种网络连接建立方法、装置、网络设备和存储介质 - Google Patents
一种网络连接建立方法、装置、网络设备和存储介质 Download PDFInfo
- Publication number
- CN110572438A CN110572438A CN201910747757.XA CN201910747757A CN110572438A CN 110572438 A CN110572438 A CN 110572438A CN 201910747757 A CN201910747757 A CN 201910747757A CN 110572438 A CN110572438 A CN 110572438A
- Authority
- CN
- China
- Prior art keywords
- data packet
- confirmation
- authentication value
- synchronous
- sequence number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Abstract
本发明提出了一种网络连接建立方法、装置、网络通信设备和存储介质,用以在保证网络服务的安全性和可靠性,提高网络设备处理性能的同时,减少连接资源的开销,所述网络连接建立方法,包括:在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
Description
技术领域
本发明涉及网络传输技术领域,尤其涉及一种网络连接建立方法、装置和存储介质方法及装置。
背景技术
在高性能负载均衡处理中,为了检测网络环境中存在的服务攻击,保证服务的正常、安全运作,在DPDK(Data Plane Development Kit,数据平面开发套件)框架基础上,在应用层实现了TCP(Transmission Control Protocol传输控制协议)粘合技术。TCP粘合技术实现了在建立连接完成后,可直接在应用层处理网络数据报文,绕开了Linux内核协议栈处理,使得数据处理性能有了大幅度提升。基于TCP粘合技术实现的数据处理流程如图1所示,包括以下步骤:
步骤1、客户端(Client)发送SYN(同步数据包)给Proxy(代理服务器)。
步骤2、Proxy回应SYN+ACK(同步确认数据包)给Client。
步骤3、Client发送ACK(确认数据包)给Proxy。
步骤4、Client发送data给Proxy。
步骤5、Proxy根据data做负载均衡选择Server。
本步骤中,Proxy缓存客户端发来的数据包(data),并解析数据包内容,获得URL信息等,如果获取成功,则调用负载均衡算法,选择(Select)一台后台服务器(Server)。
步骤6、Proxy发送SYN给Server。
步骤7、Server回应SYN+ACK给Proxy。
步骤8、Proxy发送data+ACK给负载均衡选择的Server。
本步骤中,Proxy将缓存的数据设置ACk标记,发送给选择出的真实服务器。
步骤9、Server通过Proxy改写(adjust)序列号(Seq)与Client通信。
步骤10、Client通过Proxy改写序列号与Server通信。
基于DPDK的应用层TCP粘合技术实现了在负载均衡设备与服务端建立连接后,不经过内核处理,直接在用户控件处理相关业务,减少了内核态与用户态的频繁切换,极大提高了负载均衡设备的处理性能。
但是,TCP粘合技术,在建立连接过程中,需要先与内核的防攻击模块建立连接,确认不存在攻击后,再与负载均衡设备(Proxy)中的业务模块建立连接,这样,多次建立连接,导致连接资源占用率较高。
发明内容
本发明要解决的技术问题是基于TCP粘合技术,在建立连接过程中,存在多次建立连接,导致连接资源占用率较高,提供一种网络连接建立方法、装置、网络设备和存储介质。
本发明采用的技术方案是提供一种网络连接建立方法,包括:
在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;
向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;
在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;
如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
在一种可能的实施方式中,所述第一鉴权值或者所述第二鉴权值为Cookie值。
在一种可能的实施方式中,在建立连接成功之后,还包括:
在接收到所述客户端发送的数据包后,提取所述数据包中携带的数据访问信息;
根据所述数据访问信息,利用负载均衡算法选择建立连接的服务器。
在一种可能的实施方式中,所述确认序列号为所述初始序列号加1。
本发明还提供另外一种网络连接建立方法,包括:
接收代理服务器发送的同步确认数据包,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值;
向所述代理服务器返回确认数据包,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
在一种可能的实施方式中,所述第一鉴权值和所述第二鉴权值为Cookie值。
本发明还提供一种网络连接建立装置,包括:
第一确定单元,用于在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;
发送单元,用于向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;
第二确定单元,用于在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;
控制单元,用于如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
在一种可能的实施方式中,所述第一鉴权值和所述第二鉴权值为Cookie值。
在一种可能的实施方式中,本发明提供的网络连接装置,还包括:
提取单元,用于在接收到所述客户端发送的数据包后,提取所述数据包中携带的数据访问信息;
负载均衡单元,用于根据所述数据访问信息,利用负载均衡算法选择建立连接的服务器。
在一种可能的实施方式中,所述确认序列号为所述初始序列号加1。
本发明还提供另外一种网络连接建立装置,包括:
接收单元,用于接收代理服务器发送的同步确认数据包,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值;
响应单元,用于向所述代理服务器返回确认数据包,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
在一种可能的实施方式中,所述第一鉴权值和所述第二鉴权值为Cookie值。
本发明还提供一种网络通信设备,所述网络通信设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任一网络连接建立方法所述的任一步骤。
本发明还提供一种计算机存储介质,所述计算机存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一网络连接建立方法所述的任一步骤。
采用上述技术方案,本发明至少具有下列优点:
本发明所述网络连接建立方法、装置、网络通信设备和存储介质,通过在应用层检测是否存在服务攻击,从而减少了与内核的防攻击模块建立连接,在保证服务的安全性和可靠性的前提下,减少了连接资源开销。
附图说明
图1为现有的基于TCP粘合技术的网络连接流程示意图;
图2本发明实施例的网络连接建立过程中,客户端与代理服务器以及服务端之间交互的数据包中序列号处理流程示意图;
图3为本发明实施例的第一种网络连接建立方法的实施流程示意图;
图4为本发明实施例的第二种网络连接建立方法的实施流程示意图;
图5为本发明实施例的第一种网络连接装置的结构示意图;
图6为本发明实施例的第二种网络连接装置的结构示意图;
图7为本发明实施例的网络通信设备的结构示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
现有的基于TCP粘合技术的网络连接建立过程中,为了避免服务攻击,保证数据处理的安全性和可靠性,需要先与内核的防攻击模块建立连接,确认不存在攻击后,再与代理服务器中的业务模块建立连接,这样多次建立连接,导致连接资源占用率高。有鉴于此,本发明实施例中,将Linux内核协议栈的拒绝服务攻击功能与TCP粘合交换技术融合,在基于DPDK技术实现负载均衡,既能提高负载均衡性能,减少内核防攻击模块处理,又能保留Linux内核协议栈拒绝服务攻击的能力。
如图2所示,其为本发明实施例中,网络连接建立过程中,客户端与代理服务器以及服务端之间交互的数据包中序列号处理流程示意图,包括以下步骤:
S21、客户端(Client)向代理服务器(Proxy)发送同步数据包(syn)。
其中,在同步数据包中seq(序列号)=100。
S22、代理服务器向客户端发送同步确认数据包(syn+ack)。
其中,确认同步数据包中seq=200,ack(确认序列号)=101。
S23、客户端向代理服务器发送确认数据包(ack)。
其中,确认数据包中seq=101,ack=201。
S24、客户端向代理服务器发送数据包(data1)。
在发送的数据包中seq=101,ack=201,len(长度)=10.
S25、代理服务器根据接收到的数据包,利用负载均衡算法,选择后台服务器继续与其建立连接。
S26、代理服务器向后台服务器(Server)发送同步数据包。
其中,发送的同步数据包中seq=100。
S27、后台服务器向代理服务器发送同步确认数据包。
其中,同步确认数据包括中seq=300,ack=101。
S28、代理服务器向后台服务器发送数据包。
其中,数据包中seq=101,ack=301,len=5。
S29、后台服务器向代理服务器发送确认数据包。
本步骤中,后台服务器向代理服务器发送data1的确认数据包(ack)。其中,9:seq=301,ack=101+5=106。
S210、代理服务器向客户端发送确认数据包。
本步骤中,代理服务器向客户端data1的确认数据包(ack)。其中,9:seq=201,ack=101+10=111。
S211、后台服务器向代理服务器发送数据包(data3)。
本步骤中,数据包中seq=301,ack=106,len=4。
S212、代理服务器向客户端发送数据包(data3)。
本步骤中,数据包中12:seq=201,ack=111,len=2。
S213、客户端向代理服务器发送确认数据包。
本步骤中,客户端向代理服务器发送data3的确认数据包,其中,seq=111,ack=201+2=203。
S214、代理服务器向后台服务器发送确认数据包。
本步骤中,代理服务器向后台服务器发送data3的确认数据包,其中,seq=106,ack=301+4=305。
为了减少网络连接建立过程中对连接资源的占用,本发明实施例中,在步骤S22和步骤S23结合syscookie的实现,在无需与内核的防攻击模块建立连接的情况下,达到拒绝服务攻击的能力,在保证服务安全性和可靠性的同时,减少连接资源的开销。以下结合图3对本发明实施例提供的网络连接建立方法的实施流程进行详细说明,包括以下步骤:
S31、在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值。
其中,代理服务器在接收到客户端发送的同步数据包之后,根据同步数据包计算出第一鉴权值,具体实施时,第一鉴权值可以为Cookie值。
S32、向客户端发送同步确认数据包,同步确认数据包中携带的初始序列号为确定出的第一鉴权值。
本步骤中,代理服务器使用计算出的第一鉴权值作为向客户端返回的同步确认数据包的初始序列号发送给客户端。
S33、在接收到客户端返回的确认数据包后,根据确认数据包确定第二鉴权值,确认数据包中携带有确认序列号。
本步骤中,客户端在接收到代理服务器发送的同步确认数据包之后,向代理服务器发送确认数据包,代理服务器根据确认数据包计算第二鉴权值,具体实施时,第二鉴权值可以为Cookie值,代理服务器根据确认数据包的报文头信息计算Cookie值。
具体实施时,确认数据包中携带的确认序列号为初始序列号加1。
S34、如果第二鉴权值与确认序列号相同,则建立连接成功;否则,建立连接失败。
本步骤中,如果代理服务器比较第二鉴权值与确认数据包中携带的确认序列号,如果相同,则确定连接建立成功,为客户端分配资源,允许客户端进行后续流程,如果不同,则确定连接建立失败,将不给客户端分配资源,不允许后续流程。
具体实施时,如果确定连接建立成功,则代理服务器在接收到客户端发送的数据包后,解析接收到的数据包,从中提取数据包中携带的数据访问信息,例如,URL(统一资源定位符)信息,根据提取的数据访问信息,利用负载均衡算法选择建立连接的服务器,并发起与选择出的服务器建立连接的流程。
以上介绍了代理服务器实施本发明实施例提供的网络连接建立方法的实施流程,基于同一技术构思,本发明实施例还提供了一种客户端实施的网络连接建立方法,其实现原理与上述介绍的代理服务器实施网络连接建立方法相同,这里不再赘述。如图4所示,客户端实施的网络连接建立方法,可以包括以下步骤;
S 41、接收代理服务器发送的同步确认数据包。
其中,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值。
S42、向代理服务器返回确认数据包。
其中,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
具体实施时,第一鉴权值和第二鉴权值可以为Cookie值。
本发明实施例提供的网络连接建立方法中,与现有的TCP粘合技术实现流程相比,本发明在三次握手过程中,在应用层就可以检测是否存在服务攻击,减少与内核防攻击模块建立连接,如果检测到存在攻击时,则不与业务模块建立连接。其在DPDK应用层基于TCP粘合的基础上,通过syncookie技术,有效避免了服务攻击,在保证了服务的安全性和可靠性,提高设备处理性能的同时,还能够减少连接资源的占用。
基于同一技术构思,本发明实施例还分别提供了一种代理服务器侧和客户端侧实施的网络连接建立装置。
如图5所示,其为代理服务器侧实施的网络连接建立装置的结构示意图,包括:
第一确定单元51,用于在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;
发送单元52,用于向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;
第二确定单元53,用于在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;
控制单元54,用于如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
在一种可能的实施方式中,所述第一鉴权值和所述第二鉴权值为Cookie值。
在一种可能的实施方式中,本发明提供的网络连接装置,还包括:
提取单元,用于在接收到所述客户端发送的数据包后,提取所述数据包中携带的数据访问信息;
负载均衡单元,用于根据所述数据访问信息,利用负载均衡算法选择建立连接的服务器。
在一种可能的实施方式中,所述确认序列号为所述初始序列号加1。
如图6所示,其为客户端侧实施的网络连接建立装置的结构示意图,包括:
接收单元61,用于接收代理服务器发送的同步确认数据包,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值;
响应单元62,用于向所述代理服务器返回确认数据包,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
在一种可能的实施方式中,所述第一鉴权值和所述第二鉴权值为Cookie值。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
在介绍了本发明示例性实施方式的网络连接建立方法和装置之后,接下来,介绍根据本发明的另一示例性实施方式的网络通信设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
在一些可能的实施方式中,根据本发明的网络通信设备可以至少包括至少一个处理器、以及至少一个存储器。其中,所述存储器存储有程序代码,当所述程序代码被所述处理器执行时,使得所述处理器执行本说明书上述描述的根据本发明各种示例性实施方式的网络连接建立方法中的步骤。例如,所述处理器可以执行如图3中所示的步骤S31、在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值,和步骤S32、向客户端发送同步确认数据包,同步确认数据包中携带的初始序列号为确定出的第一鉴权值;以及步骤S33、在接收到客户端返回的确认数据包后,根据确认数据包确定第二鉴权值,确认数据包中携带有确认序列号;步骤S34、如果第二鉴权值与确认序列号相同,则建立连接成功;否则,建立连接失败;或者,执行如图4中所示的步骤S41、接收代理服务器发送的同步确认数据包,和步骤S42、向代理服务器返回确认数据包。
下面参照图7来描述根据本发明的这种实施方式的网络通信设备70。图7显示的网络通信设备70仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,网络通信设备70以通用计算设备的形式表现。网络通信设备70的组件可以包括但不限于:上述至少一个处理器71、上述至少一个存储器72、连接不同系统组件(包括存储器72和处理器71)的总线73。
总线73表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储器72可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)721和/或高速缓存存储器722,还可以进一步包括只读存储器(ROM)723。
存储器72还可以包括具有一组(至少一个)程序模块724的程序/实用工具725,这样的程序模块724包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
网络通信设备70也可以与一个或多个外部设备74(例如键盘、指向设备等)通信,还可与一个或者多个使得用户能与网络通信设备70交互的设备通信,和/或与使得该网络通信设备70能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口75进行。并且,网络通信设备70还可以通过网络适配器76与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器76通过总线73与用于网络通信设备70的其它模块通信。应当理解,尽管图中未示出,可以结合网络通信设备70使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
在一些可能的实施方式中,本发明提供的网络连接建立方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的网络连接建立方法中的步骤,例如,所述计算机设备可以执行如图3中所示的步骤S31、在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值,和步骤S32、向客户端发送同步确认数据包,同步确认数据包中携带的初始序列号为确定出的第一鉴权值;以及步骤S33、在接收到客户端返回的确认数据包后,根据确认数据包确定第二鉴权值,确认数据包中携带有确认序列号;步骤S34、如果第二鉴权值与确认序列号相同,则建立连接成功;否则,建立连接失败;或者,执行如图4中所示的步骤S41、接收代理服务器发送的同步确认数据包,和步骤S42、向代理服务器返回确认数据包。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于网络连接建立的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (10)
1.一种网络连接建立方法,其特征在于,包括:
在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;
向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;
在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;
如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
2.根据权利要求1所述的方法,其特征在于,所述第一鉴权值或者所述第二鉴权值为Cookie值。
3.根据权利要求1所述的方法,其特征在于,在建立连接成功之后,还包括:
在接收到所述客户端发送的数据包后,提取所述数据包中携带的数据访问信息;
根据所述数据访问信息,利用负载均衡算法选择建立连接的服务器。
4.根据权利要求1、2或3所述的方法,其特征在于,所述确认序列号为所述初始序列号加1。
5.一种网络连接建立方法,其特征在于,包括:
接收代理服务器发送的同步确认数据包,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值;
向所述代理服务器返回确认数据包,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
6.根据权利要求5所述的方法,其特征在于,所述第一鉴权值和所述第二鉴权值为Cookie值。
7.一种网络连接建立装置,其特征在于,包括:
第一确定单元,用于在接收客户端发送的同步数据包时,根据所述同步数据包确定第一鉴权值;
发送单元,用于向所述客户端发送同步确认数据包,所述同步确认数据包中携带的初始序列号为确定出的第一鉴权值;
第二确定单元,用于在接收到所述客户端返回的确认数据包后,根据所述确认数据包确定第二鉴权值,所述确认数据包中携带有确认序列号;
控制单元,用于如果所述第二鉴权值与所述确认序列号相同,则建立连接成功;否则,建立连接失败。
8.一种网络连接建立装置,其特征在于,包括:
接收单元,用于接收代理服务器发送的同步确认数据包,所述同步确认数据包为所述代理服务器在接收到的同步数据包之后发送的,所述同步确认数据包中携带有初始序列号,所述初始序列号为根据所述同步数据包确定出的第一鉴权值;
响应单元,用于向所述代理服务器返回确认数据包,所述确认数据包中携带有确认序列号,由所述代理服务器根据所述确认数据包确定第二鉴权值,并根据所述第二鉴权值和所述确认序列号确定是否允许建立连接。
9.一种网络通信设备,其特征在于,所述网络通信设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至4或者5或6中任一项所述的方法的步骤。
10.一种计算机存储介质,所述计算机存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4或者5或6任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910747757.XA CN110572438A (zh) | 2019-08-14 | 2019-08-14 | 一种网络连接建立方法、装置、网络设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910747757.XA CN110572438A (zh) | 2019-08-14 | 2019-08-14 | 一种网络连接建立方法、装置、网络设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110572438A true CN110572438A (zh) | 2019-12-13 |
Family
ID=68775406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910747757.XA Pending CN110572438A (zh) | 2019-08-14 | 2019-08-14 | 一种网络连接建立方法、装置、网络设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110572438A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800499A (zh) * | 2020-06-30 | 2020-10-20 | 北京百度网讯科技有限公司 | 一种数据传输方法、装置及电子设备 |
| CN115720174A (zh) * | 2022-11-30 | 2023-02-28 | 广西壮族自治区信息中心 | 黑名单例外的设置方法、装置、设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8200957B1 (en) * | 2007-08-20 | 2012-06-12 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
| US20130263245A1 (en) * | 2012-03-12 | 2013-10-03 | Yi Sun | Distributed tcp syn flood protection |
| CN104219215A (zh) * | 2013-06-05 | 2014-12-17 | 深圳市腾讯计算机系统有限公司 | 一种tcp连接的建立方法、装置、终端、服务器及系统 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| US20160308727A1 (en) * | 2013-12-10 | 2016-10-20 | Universidad De Alcala | Method for establishing and clearing paths and forwarding frames for transport connections, and network bridge |
| CN106470238A (zh) * | 2015-08-20 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 应用于服务器负载均衡中的连接建立方法及装置 |
| CN107995233A (zh) * | 2016-10-26 | 2018-05-04 | 阿里巴巴集团控股有限公司 | 建立连接的方法及相应的设备 |
| CN109088892A (zh) * | 2018-10-19 | 2018-12-25 | 网宿科技股份有限公司 | 数据传输方法、系统以及代理服务器 |
| US20190191014A1 (en) * | 2017-12-19 | 2019-06-20 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Data transmission method and gateway as well as server and computer-readable storage medium |
-
2019
- 2019-08-14 CN CN201910747757.XA patent/CN110572438A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8200957B1 (en) * | 2007-08-20 | 2012-06-12 | F5 Networks, Inc. | Using SYN-ACK cookies within a TCP/IP protocol |
| US20130263245A1 (en) * | 2012-03-12 | 2013-10-03 | Yi Sun | Distributed tcp syn flood protection |
| CN104219215A (zh) * | 2013-06-05 | 2014-12-17 | 深圳市腾讯计算机系统有限公司 | 一种tcp连接的建立方法、装置、终端、服务器及系统 |
| US20160308727A1 (en) * | 2013-12-10 | 2016-10-20 | Universidad De Alcala | Method for establishing and clearing paths and forwarding frames for transport connections, and network bridge |
| CN106470238A (zh) * | 2015-08-20 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 应用于服务器负载均衡中的连接建立方法及装置 |
| CN105827646A (zh) * | 2016-05-17 | 2016-08-03 | 浙江宇视科技有限公司 | Syn攻击防护的方法及装置 |
| CN107995233A (zh) * | 2016-10-26 | 2018-05-04 | 阿里巴巴集团控股有限公司 | 建立连接的方法及相应的设备 |
| US20190191014A1 (en) * | 2017-12-19 | 2019-06-20 | Beijing Baidu Netcom Science And Technology Co., Ltd. | Data transmission method and gateway as well as server and computer-readable storage medium |
| CN109088892A (zh) * | 2018-10-19 | 2018-12-25 | 网宿科技股份有限公司 | 数据传输方法、系统以及代理服务器 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111800499A (zh) * | 2020-06-30 | 2020-10-20 | 北京百度网讯科技有限公司 | 一种数据传输方法、装置及电子设备 |
| CN111800499B (zh) * | 2020-06-30 | 2022-04-15 | 北京百度网讯科技有限公司 | 一种数据传输方法、装置及电子设备 |
| CN115720174A (zh) * | 2022-11-30 | 2023-02-28 | 广西壮族自治区信息中心 | 黑名单例外的设置方法、装置、设备及存储介质 |
| CN115720174B (zh) * | 2022-11-30 | 2023-05-23 | 广西壮族自治区信息中心 | 黑名单例外的设置方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10142425B2 (en) | Session reliability for a redirected USB device | |
| US7287082B1 (en) | System using idle connection metric indicating a value based on connection characteristic for performing connection drop sequence | |
| US20190020536A1 (en) | Enabling planned upgrade/downgrade of network devices without impacting network sessions | |
| US8495135B2 (en) | Preventing cross-site request forgery attacks on a server | |
| US9288227B2 (en) | Systems and methods for transparently monitoring network traffic for denial of service attacks | |
| US8925068B2 (en) | Method for preventing denial of service attacks using transmission control protocol state transition | |
| US20160198021A1 (en) | Dynamic protocol switching | |
| US7089311B2 (en) | Methods, systems and computer program products for resuming SNA application-client communications after loss of an IP network connection | |
| CN112202872A (zh) | 一种数据转发方法、api网关及消息服务系统 | |
| US20140082180A1 (en) | Information processor apparatus, information processing method, and recording medium | |
| US20140280883A1 (en) | Secure URL update for HTTP redirects | |
| CN108737343B (zh) | 一种安全访问网络的实现方法及装置 | |
| US20240073274A1 (en) | Accelerating connections to a host server | |
| JP7344315B2 (ja) | ネットワークベースのサービスのためのfire-and-forgetオフロードメカニズム | |
| US20140237538A1 (en) | Input prediction in a database access control system | |
| CN110572438A (zh) | 一种网络连接建立方法、装置、网络设备和存储介质 | |
| CN114221954A (zh) | 文件传输方法及装置、电子设备及存储介质 | |
| CN108833590A (zh) | 一种语音识别服务代理服务器及代理方法 | |
| US20210314414A1 (en) | Facilitating inter-proxy communication via an existing protocol | |
| US11444882B2 (en) | Methods for dynamically controlling transmission control protocol push functionality and devices thereof | |
| CN107395550B (zh) | 一种网络攻击的防御方法及服务器 | |
| CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
| CN103051679B (zh) | 数据传输方法及接口设备、云优化控制设备 | |
| CN113765972A (zh) | 数据请求响应方法、装置、系统、服务器和存储介质 | |
| CN113542324A (zh) | 一种消息推送方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191213 |