CN112887211B - 一种网际协议报文数据转发系统 - Google Patents
一种网际协议报文数据转发系统 Download PDFInfo
- Publication number
- CN112887211B CN112887211B CN202110105224.9A CN202110105224A CN112887211B CN 112887211 B CN112887211 B CN 112887211B CN 202110105224 A CN202110105224 A CN 202110105224A CN 112887211 B CN112887211 B CN 112887211B
- Authority
- CN
- China
- Prior art keywords
- data
- address
- gre
- server
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种网际协议报文数据转发系统,所述系统包括:第一接入设备、第一中转设备组和第一转发设备;在物联网运营平台的公网出入口通过架设该系统,使用第一接入设备对接移动运营商的APN专网通道,承担网际协议报文、GRE数据包和应用报文数据的分解工作,提高了数据处理能力;在第一中转设备组上配置安全策略,对应用报文进行黑白名单过滤,提高了安全保障能力;使用第一转发设备根据后台业务主机的流量状态进行动态的业务报文分发,降低了业务主机流量压力。
Description
技术领域
本发明涉及数据处理技术领域,特别涉及一种网际协议报文数据转发系统。
背景技术
常规的物联网应用场景中,前端的物联网设备是通过移动运营商的移动通信网络与物联网运营平台进行连接的。在移动运营商与物联网运营平台间,则是通过搭建接入点(Access Point Name,APN)专网进行连接。具体在APN专网中,移动运营商首先将物联网设备与物联网运营平台间的业务报文信息和平台的业务主机地址信息封装在应用报文数据中,再把应用报文数据封装在端到端的通用路由封装协议(Generic RoutingEncapsulation,GRE)数据包中,再使用网际协议(Internet Protocol,IP)对GRE数据包进行数据传输。
以前的物联网运营平台由于物联网业务比较简单,所以都是将业务主机挂在公网上与APN直接对接。于是,业务主机不仅要负责分解网际协议报文、GRE数据包和应用报文数据,还要负责从应用报文数据中拆分出业务报文,对其进行业务处理。
这样的处理机制,随着物联网运营平台的业务复杂度增加、访问流量增加,逐渐暴露出一些问题,例如,在业务复杂度增加时,不得不部署更多的业务主机在公网上,这会导致业务主机受外网攻击的几率增大;又例如,在处理大流量的并发访问时,由于对协议报文的分解工作占据了业务主机的大量处理资源,会导致处理具体业务的过程变得滞后、超时等。
为了解决这些问题,我们提出了一种解决方案,首先将所有业务主机从公网撤回到内网,这样可以降低业务主机受外网攻击的几率,提高业务的安全度;然后,对物联网运营平台的网络结构进行改造,采用微服务架构的处理模式,这样就可以使用多台业务主机处理同类型业务,避免了大流量并发访问时的业务阻塞问题。
而采用这样的解决方案,就必须处理好外网与内网的数据转发效率。如果仅仅是按常规方案,使用一个大数据分流网关设备做为转发接口,并将所有转发任务都置于其上,我们发现,要保证流量通顺就要牺牲安全策略,这无形中又为后端业务平台增加了运维风险。
发明内容
本发明的目的,就是针对现有技术的缺陷,提供一种网际协议报文数据转发系统,该系统包括第一接入设备、第一中转设备组和第一转发设备;在物联网运营平台的公网出入口通过架设该系统来替换日常的大数据分流网关设备,可以提高数据处理能力、提高安全保障能力、降低业务主机流量压力。
为实现上述目的,本发明实施例提供了一种网际协议报文数据转发系统,所述系统包括:第一接入设备、第一中转设备组和第一转发设备;所述第一中转设备组包括多个第一中转设备;
所述第一接入设备与每个所述第一中转设备连接;所述第一接入设备用于接收从移动运营商接入点APN服务器发送的第一网际协议IP报文数据;并对所述第一IP报文数据中的第一源IP地址数据和第一目的IP地址数据,进行第一地址校验处理;所述第一地址校验处理成功,则对所述第一IP报文数据,进行第一通用路由封装GRE协议数据提取处理,生成第一GRE数据;并根据所述第一GRE数据,进行第一数据校验处理;所述第一数据校验处理成功,则从所述第一GRE数据中,提取出第一GRE体数据,做为第一应用报文数据;并根据所述第一源IP地址数据,查询反映源地址与中转地址对应关系的第一对应关系表,生成对应的第一中转地址数据;并将所述第一应用报文数据,向与所述第一中转地址数据对应的所述第一中转设备发送;
每个所述第一中转设备均与所述第一转发设备连接;每个所述第一中转设备从所述第一应用报文数据中,提取出第一内网主机地址数据;根据预设的第一地址黑名单,对所述第一内网主机地址数据,进行第一黑名单过滤处理;所述第一黑名单过滤处理成功,则根据预设的第一地址白名单,对所述第一内网主机地址数据,进行第一白名单过滤处理;所述第一白名单过滤处理成功,则将所述第一应用报文数据,向所述第一转发设备发送;
所述第一转发设备与多个内部服务器连接;所述第一转发设备用于根据所述第一应用报文数据的所述第一内网主机地址数据,查询反映主机地址与服务器地址对应关系的第二对应关系表,得到多个第一服务器地址数据;并统计每个所述第一服务器地址数据对应的所述内部服务器的数据流量,生成对应的第一服务器流量数据;并将流量最小的所述第一服务器流量数据对应的所述第一服务器地址数据,做为第一转发地址数据;再从所述第一应用报文数据中,提取出第一应用报文体数据做为第一业务报文数据;并将所述第一业务报文数据,向所述第一转发地址数据对应的所述内部服务器发送。
优选的,
所述第一IP报文数据包括第一IP报文头数据和第一IP报文体数据;所述第一IP报文头数据包括所述第一源IP地址数据、所述第一目的IP地址数据和第一协议类型数据;
所述第一GRE数据包括第一GRE头数据和所述第一GRE体数据;所述第一GRE头数据包括第一校验状态位数据、第二校验状态位数据、第一校验码数据和第二校验码数据;
所述第一应用报文数据包括第一应用报文头数据和所述第一应用报文体数据;所述第一应用报文头数据包括所述第一内网主机地址数据。
优选的,
所述第一接入设备具体用于在所述第一地址校验处理时,于预设的第一IP地址列表中,查询与所述第一源IP地址数据对应的第一APN地址记录的索引,生成第一索引数据;当所述第一索引数据不为空、且所述第一目的IP地址数据与预设的本机IP地址数据匹配时,所述第一地址校验处理成功;所述第一IP地址列表包括多个所述第一APN地址记录。
优选的,
所述第一接入设备具体用于在所述第一通用路由封装GRE协议数据提取处理时,从所述第一IP报文数据中,提取出所述第一协议类型数据;当所述第一协议类型数据为GRE类型时,将所述第一IP报文数据的所述第一IP报文体数据,做为所述第一GRE数据。
优选的,
所述第一接入设备具体用于在所述第一数据校验处理时,对所述第一GRE数据的所述第一校验状态位数据和所述第二校验状态位数据进行识别;当所述第一校验状态位数据和所述第二校验状态位数据均为激活状态时,对所述第一GRE数据进行校验码计算,生成第一临时校验码数据,若所述第一临时校验码数据与所述第一校验码数据匹配、且所述第二校验码数据与预设的GRE关键字数据匹配,则所述第一数据校验处理成功;当仅有所述第一校验状态位数据为激活状态时,对所述第一GRE数据进行校验码计算,生成第二临时校验码数据,若所述第二临时校验码数据与所述第一校验码数据匹配,则所述第一数据校验处理成功;当仅有所述第二校验状态位数据为激活状态时,若所述第二校验码数据与所述GRE关键字数据匹配,则所述第一数据校验处理成功。
优选的,
所述第一接入设备具体用于在所述查询反映源地址与中转地址对应关系的第一对应关系表时,根据所述第一源IP地址数据,对所述第一对应关系表的所有第一对应关系记录进行轮询;当被轮询的所述第一对应关系记录的第一源地址字段与所述第一源IP地址数据匹配时,提取被轮询的所述第一对应关系记录的第一中转地址字段,做为所述第一中转地址数据;所述第一对应关系表包括多个所述第一对应关系记录;所述第一对应关系记录包括所述第一源地址字段和所述第一中转地址字段。
优选的,
每个所述第一中转设备具体用于在所述第一黑名单过滤处理时,对所述第一地址黑名单的所有第一黑名单地址数据进行轮询,当所述第一地址黑名单中没有与所述第一内网主机地址数据匹配的所述第一黑名单地址数据时,所述第一黑名单过滤处理成功;所述第一地址黑名单包括多个所述第一黑名单地址数据。
优选的,
每个所述第一中转设备具体用于在所述第一白名单过滤处理时,对所述第一地址白名单的所有第一白名单地址数据进行轮询,当所述第一地址白名单中有与所述第一内网主机地址数据匹配的所述第一白名单地址数据时,所述第一白名单过滤处理成功;所述第一地址白名单包括多个所述第一白名单地址数据。
优选的,
每个所述第一中转设备具体用于在所述第一黑名单过滤处理时,若所述所述第一地址黑名单中所述第一黑名单地址数据的数量为空,则默认所述第一黑名单过滤处理成功;
每个所述第一中转设备具体用于在所述第一白名单过滤处理时,若所述所述第一地址白名单中所述第一白名单地址数据的数量为空,则默认所述第一白名单过滤处理成功。
优选的,
所述第一转发设备具体用于在所述查询反映主机地址与服务器地址对应关系的第二对应关系表时,对所述第二对应关系表的所有第二对应关系记录进行轮询;当被轮询的所述第二对应关系记录的第一主机地址字段与所述第一内网主机地址数据匹配时,提取被轮询的所述第二对应关系记录的第一服务器字段中的多个服务器地址信息做为所述多个第一服务器地址数据;所述第二对应关系表包括多个所述第二对应关系记录;所述第二对应关系记录包括所述第一主机地址字段和所述第一服务器字段;所述第一服务器字段包括多个所述服务器地址信息。
本发明实施例提供一种网际协议报文数据转发系统,该系统包括第一接入设备、第一中转设备组和第一转发设备;在物联网运营平台的公网出入口架设该系统,使用第一接入设备对接移动运营商的APN专网通道,承担网际协议报文、GRE数据包和应用报文数据的分解工作,提高了数据处理能力;在第一中转设备组上配置安全策略,对应用报文进行黑白名单过滤,提高了安全保障能力;使用第一转发设备根据后台业务主机的流量状态进行动态的业务报文分发,降低了业务主机流量压力。
附图说明
图1为本发明实施例提供的一种网际协议报文数据转发系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本本发明实施例提供的一种网际协议报文数据转发系统,如图1为本发明实施例提供的一种网际协议报文数据转发系统的结构示意图所示,网际协议报文数据转发系统10包括:第一接入设备101、第一中转设备组102和第一转发设备103;其中,第一中转设备组102包括多个第一中转设备102i,i为大于0的整数。
第一接入设备101与每个第一中转设备102i连接;第一接入设备101用于接收从移动运营商APN服务器发送的第一IP报文数据;并对第一IP报文数据中的第一源IP地址数据和第一目的IP地址数据,进行第一地址校验处理;第一地址校验处理成功,则对第一IP报文数据,进行第一通用路由封装GRE协议数据提取处理,生成第一GRE数据;并根据第一GRE数据,进行第一数据校验处理;第一数据校验处理成功,则从第一GRE数据中,提取出第一GRE体数据,做为第一应用报文数据;并根据第一源IP地址数据,查询反映源地址与中转地址对应关系的第一对应关系表,生成对应的第一中转地址数据;并将第一应用报文数据,向与第一中转地址数据对应的第一中转设备102i发送;
其中,第一IP报文数据包括第一IP报文头数据和第一IP报文体数据;第一IP报文头数据包括第一源IP地址数据、第一目的IP地址数据和第一协议类型数据;
第一GRE数据包括第一GRE头数据和第一GRE体数据;第一GRE头数据包括第一校验状态位数据、第二校验状态位数据、第一校验码数据和第二校验码数据;
第一应用报文数据包括第一应用报文头数据和第一应用报文体数据;第一应用报文头数据包括第一内网主机地址数据;
第一对应关系表包括多个第一对应关系记录;第一对应关系记录包括第一源地址字段和第一中转地址字段。
这里,第一IP报文数据的数据格式符合国际互联网工程任务组(The InternetEngineering Task Force,IETF)发布的请求注解(Request For Comments,RFC)规范组中关于IPV4版本或IPV6版本的IP报文数据格式要求,包括报文头也就是第一IP报文头数据和报文体也就是第一IP报文体数据两部分;在第一IP报文头数据中包含了该报文的来源地址信息也就是第一源IP地址数据、包含了该报文的目的地址信息也就是第一目的IP地址数据、包含了该报文携带的上层应用协议数据的协议类型信息也就是第一协议类型数据;在第一IP报文体数据中携带的就是基于IP协议之上的上层应用协议数据。
这里,第一GRE数据的数据格式符合IETF发布的RFC规范组中关于GRE报文的数据格式要求,包括报文头也就是第一GRE头数据和报文体也就是第一GRE体数据两部分;在第一GRE头数据中包含了该报文的2个安全校验状态位信息也就是第一、二校验状态位数据,以及对应的校验码信息也就是第一、二校验码数据;在第一GRE体数据中携带的就是基于GRE协议之上的上层应用协议数据,也就是第一应用报文数据。
这里,第一应用报文数据中按GRE报文的数据格式要求,也包括了报文头也就是第一应用报文头数据与报文体也就是第一应用报文体数据两部分,第一应用报文头数据中包括了内网目的主机的地址信息也就是第一内网主机地址数据,第一应用报文体数据中携带的是物联网设备与物联网平台之间约定的协议报文数据也就是下文中会提及的第一业务报文数据。
这里,第一对应关系表是反映源地址与中转地址对应关系的数据表项;表中每个第一对应关系记录对应一个移动运营商APN服务器,每个第一对应关系记录的第一源地址字段就为该记录对应的APN服务器的地址信息,第一中转地址字段对应的要对该服务器发送的IP报文数据进行安全策略评估的第一中转设备102i的地址信息。
这里,移动运营商APN服务器就是与物联网平台对接的APN专网的服务器,可以有多个APN服务器与第一接入设备101连接;第一接入设备101接收某个APN服务器发送的第一IP报文数据之后,首先通过第一地址校验处理,对APN服务器的地址进行校验;若该地址为当前接入设备允许对接的APN地址,则从第一IP报文数据中,分解出第一GRE数据;再根据第一GRE数据的2个安全校验状态位信息,进行第一数据校验处理;若第一数据校验处理成功,说明当前接收的第一GRE数据为合法数据,则从第一GRE数据中分解出第一应用报文数据来,并向预先分配好的与不同APN服务器对应的第一中转设备102i进行发送。
在本发明实施例提供的一个具体实现方式中,第一接入设备101具体用于在第一地址校验处理时,于预设的第一IP地址列表中,查询与第一源IP地址数据对应的第一APN地址记录的索引,生成第一索引数据;当第一索引数据不为空、且第一目的IP地址数据与预设的本机IP地址数据匹配时,第一地址校验处理成功;
其中,第一IP地址列表包括多个第一APN地址记录。
这里,第一接入设备101接收某个APN服务器发送的第一IP报文数据之后,要校验该APN服务器是否为当前接入设备允许对接的APN服务器;具体的校验步骤就是:使用发送报文的APN服务器的地址信息也就是第一IP报文数据中第一源IP地址数据,查询预先设定的第一IP地址列表,该表的每个第一APN地址记录中存储了一个APN服务器的地址信息;若在该表中找到了与第一源IP地址数据对应的第一APN地址记录,则第一索引数据不为空、反之为空;若第一索引数据不为空,说明第一源IP地址数据对应的APN服务器为第一接入设备101允许对接的APN服务器,则第一地址校验处理被视作为成功。
在本发明实施例提供的另一个具体实现方式中,第一接入设备101具体用于在第一通用路由封装GRE协议数据提取处理时,从第一IP报文数据中,提取出第一协议类型数据;当第一协议类型数据为GRE类型时,将第一IP报文数据的第一IP报文体数据,做为第一GRE数据。
这里,如前文所述,在第一IP报文头数据中包含了该报文携带的上层应用协议数据的协议类型信息也就是第一协议类型数据;而按照RFC规范组对IPV4或IPV6的数据格式描述,第一协议类型数据可以包括多个协议类型,例如传输控制协议(TransmissionControl Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)和GRE协议等等;因为本发明实施例,只对GRE类型进行解析,所以只有在第一协议类型数据具体为GRE类型时,第一IP报文体数据中携带的基于IP协议之上的上层应用协议数据才是第一GRE数据。
在本发明实施例提供的另一个具体实现方式中,第一接入设备101具体用于在第一数据校验处理时,对第一GRE数据的第一校验状态位数据和第二校验状态位数据进行识别;当第一校验状态位数据和第二校验状态位数据均为激活状态时,对第一GRE数据进行校验码计算,生成第一临时校验码数据,若第一临时校验码数据与第一校验码数据匹配、且第二校验码数据与预设的GRE关键字数据匹配,则第一数据校验处理成功;当仅有第一校验状态位数据为激活状态时,对第一GRE数据进行校验码计算,生成第二临时校验码数据,若第二临时校验码数据与第一校验码数据匹配,则第一数据校验处理成功;当仅有第二校验状态位数据为激活状态时,若第二校验码数据与GRE关键字数据匹配,则第一数据校验处理成功。
这里,如前文所述,在第一GRE头数据中包含了该报文的2个安全校验状态位信息也就是第一、二校验状态位数据,以及对应的校验码信息也就是第一、二校验码数据;按照RFC规范组对GRE数据格式的描述,只有第一或第二校验状态位数据处于激活状态时,第一或第二校验码数据才会出现在第一GRE头数据中;为保障数据报文的安全性,在本发明实施例,要求必须对GRE数据进行校验,并且支持三种校验方式:
1)同时激活第一、二校验状态位数据,意味着要对第一、二校验码数据都进行校验;第一校验码数据的计算方法可以为RFC规范组的标准计算方法也可以为自定义的计算方法,第一接入设备101根据该计算方法重新计算出一个临时校验码也就是第一临时校验码数据,并使之与第一校验码数据进行比对,若相同则第一校验码数据的校验成功;第二校验码数据实际就是一个类似关键字的数据,在APN服务器与第一接入设备101两端可以通过该关键字进行身份识别,在第二校验状态位数据被激活时,从第一GRE头数据中提取出第二校验码数据与本地预先存储的GRE关键字数据进行比对,若相同则第二校验码数据的校验成功;在第一、二校验码数据的校验都成功的情况下,说明第一GRE数据的数据来源可信,当前接收的第一GRE数据为合法数据,第一数据校验处理被视作为成功;
2)只激活第一校验状态位数据,意味只需对第一校验码数据都进行校验;第一校验码数据的校验方式与上述1)中的处理步骤相同,在第一校验码数据校验成功的情况下,说明第一GRE数据的数据来源可信,当前接收的第一GRE数据为合法数据,第一数据校验处理被视作为成功;
3)只激活第二校验状态位数据,意味只需对第二校验码数据都进行校验;第二校验码数据的校验方式与上述1)中的处理步骤相同,在第二校验码数据校验成功的情况下,说明第一GRE数据的数据来源可信,当前接收的第一GRE数据为合法数据,第一数据校验处理被视作为成功。
在本发明实施例提供的另一个具体实现方式中,第一接入设备101具体用于在查询反映源地址与中转地址对应关系的第一对应关系表时,根据第一源IP地址数据,对第一对应关系表的所有第一对应关系记录进行轮询;当被轮询的第一对应关系记录的第一源地址字段与第一源IP地址数据匹配时,提取被轮询的第一对应关系记录的第一中转地址字段,做为第一中转地址数据。
这里,第一接入设备101在完成对第一GRE数据的第一数据校验处理之后,从中提取出第一应用报文数据,后续还需要根据系统预先设定的安全策略对第一应用报文数据进行进一步的过滤筛查;又为了保证第一接入设备101不发生数据阻塞,本发明实施例提供的系统会将这个过滤筛查工作交到与第一接入设备101连接的第一中转设备组102中的某个第一中转设备102i上进行处理;在向第一中转设备102i进行发送第一应用报文数据之前,第一接入设备101需要查询第一对应关系表选择第一中转设备102i的地址;在第一对应关系表中预先设定了APN服务器与第一中转设备102i的对应关系,表中每个第一对应关系记录对应一个APN服务器,记录中第一源地址字段对应APN服务器的地址也就是第一源IP地址数据,记录中的第一中转地址字段则对应第一中转设备组102中的某个第一中转设备102i的具体地址信息。这里,每个第一中转设备102i可以对应多个APN服务器,但一个APN服务器只能对应一个第一中转设备102i。
每个第一中转设备102i均与第一转发设备103连接;每个第一中转设备102i从第一应用报文数据中,提取出第一内网主机地址数据;根据预设的第一地址黑名单,对第一内网主机地址数据,进行第一黑名单过滤处理;第一黑名单过滤处理成功,则根据预设的第一地址白名单,对第一内网主机地址数据,进行第一白名单过滤处理;第一白名单过滤处理成功,则将第一应用报文数据,向第一转发设备103发送;
其中,第一地址黑名单包括多个第一黑名单地址数据;第一地址白名单包括多个第一白名单地址数据。
这里,第一中转设备组102中的每个第一中转设备102i上都预先设定了一组安全策略,例如黑白名单策略,该组安全策略是用于检查第一应用报文数据中的第一内网主机地址数据是否为外网可以访问的主机地址,目的是为了隔绝外网对后台非开放主机的非法访问,例如后台数据库系统等。在第一中转设备102i接收到第一应用报文数据之后,会从中提取出第一内网主机地址数据,并分别通过黑白名单进行过滤筛查,若该内网主机地址数据未出现在黑名单中则第一黑名单过滤处理成功,若该内网主机地址数据出现在白名单中或白名单为空则第一白名单过滤处理成功,若第一黑、白名单过滤处理均为成功,则说明第一应用报文数据通过了安全策略检测,第一内网主机地址数据确实为外网可以访问的主机地址,后续第一中转设备102i会向第一转发设备103转发第一应用报文数据。
在本发明实施例提供的另一个具体实现方式中,每个第一中转设备102i具体用于在第一黑名单过滤处理时,对第一地址黑名单的所有第一黑名单地址数据进行轮询,当第一地址黑名单中没有与第一内网主机地址数据匹配的第一黑名单地址数据时,第一黑名单过滤处理成功。
这里,第一地址黑名单为一个存储了多个第一黑名单地址数据的数据表项,每个第一黑名单地址数据对应一个严禁外网访问的内部主机地址,当第一内网主机地址数据与所有第一黑名单地址数据都不匹配时,说明第一内网主机地址数据不属于严禁访问的主机范围,第一黑名单过滤处理被视作为成功。
另外,在本发明实施例提供的另一个具体实现方式中,每个第一中转设备具体用于在第一黑名单过滤处理时,若第一地址黑名单中第一黑名单地址数据的数量为空,则默认第一黑名单过滤处理成功。
这里,系统在配置黑白名单策略的时候,若外网访问的内部主机地址有限,则可以不必要配置黑名单,只需要在白名单中进行开放限制即可;当第一地址黑名单中第一黑名单地址数据的数量为空时,说明没有配置黑名单策略,则第一中转设备102i默认第一黑名单过滤处理成功,继续处理后续步骤。
在本发明实施例提供的另一个具体实现方式中,每个第一中转设备102i具体用于在第一白名单过滤处理时,对第一地址白名单的所有第一白名单地址数据进行轮询,当第一地址白名单中有与第一内网主机地址数据匹配的第一白名单地址数据时,第一白名单过滤处理成功。
这里,白名单策略的设置主要是为了防范黑名单的漏设而制定的,第一地址白名单为一个存储了多个第一白名单地址数据的数据表项,每个第一白名单地址数据对应一个向外网开放访问的内部主机地址,当第一内网主机地址数据与其中某个第一白名单地址数据匹配时,说明第一内网主机地址数据属于开发访问的主机范围,第一白名单过滤处理被视作为成功。
在本发明实施例提供的另一个具体实现方式中,每个第一中转设备具体用于在第一白名单过滤处理时,若第一地址白名单中第一白名单地址数据的数量为空,则默认第一白名单过滤处理成功。
这里,系统在配置黑白名单策略的时候,若内网的主机数目有限,使用黑名单即可屏蔽所有不开放的主机地址,那么也可以不必要配置白名单,只需要在黑名单中进行屏蔽即可;当第一地址白名单中第一白名单地址数据的数量为空时,说明没有配置白名单策略,则第一中转设备102i默认第一白名单过滤处理成功,继续处理后续步骤。
第一转发设备103与多个内部服务器连接;第一转发设备103用于根据第一应用报文数据的第一内网主机地址数据,查询反映主机地址与服务器地址对应关系的第二对应关系表,得到多个第一服务器地址数据;并统计每个第一服务器地址数据对应的内部服务器的数据流量,生成对应的第一服务器流量数据;并将流量最小的第一服务器流量数据对应的第一服务器地址数据,做为第一转发地址数据;再从第一应用报文数据中,提取出第一应用报文体数据做为第一业务报文数据;并将第一业务报文数据,向第一转发地址数据对应的内部服务器发送;
其中,第二对应关系表包括多个第二对应关系记录;第二对应关系记录包括第一主机地址字段和第一服务器字段;第一服务器字段包括多个服务器地址信息。
在本发明实施例提供的另一个具体实现方式中,第一转发设备103具体用于在查询反映主机地址与服务器地址对应关系的第二对应关系表时,对第二对应关系表的所有第二对应关系记录进行轮询;当被轮询的第二对应关系记录的第一主机地址字段与第一内网主机地址数据匹配时,提取被轮询的第二对应关系记录的第一服务器字段中的多个服务器地址信息做为多个第一服务器地址数据。
这里,如前文所述,第一应用报文体数据中携带了物联网设备与物联网平台之间约定的协议报文数据,第一业务报文数据即是该协议报文数据,,第一业务报文数据的数据格式可以为超文本传输协议(HyperText Transfer Protocol,HTTP)数据格式、还可以为超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)数据格式,还可以为预先约定的其他数据格式。
这里,第一转发设备103主要是负责对第一应用报文数据中的第一业务报文数据进行转发的工作,转发的对象就是第一应用报文数据中第一内网主机地址数据对应的内部服务器。由前文可知,内网采用的是微服务架构的处理模式,也就是说可以有多个内部服务器处理同类型的业务报文;如果还依照以前常规的端到端的转发模式,也即是一个内网主机地址只对应一台具体的内部服务器,那就没有体现出微服务架构的优势,不但造成冗余服务器的资源浪费,还同样不能避免单台服务器处理大并发时的阻塞问题。本发明实施例在第一转发设备103上预设了一个第二对应关系表,表中每个第二对应关系记录的第一主机地址字段对应一个内网主机地址,但第一服务器字段中分配了多个内网服务器地址与之对应;在第一转发设备103要对第一业务报文数据进行转发之前,通过查询第二对应关系表得到与第一内网主机地址数据实际对应的多个内网服务器的地址信息,并从中选择一个流量最不饱和的内网服务器作为最终转发服务器,这样一来就达到了对内部服务器进行流量分流的目的。
本发明实施例提供一种网际协议报文数据转发系统,该系统包括第一接入设备、第一中转设备组和第一转发设备;在物联网运营平台的公网出入口架设该系统,使用第一接入设备对接移动运营商的APN专网通道,承担网际协议报文、GRE数据包和应用报文数据的分解工作,提高了数据处理能力;在第一中转设备组上配置安全策略,对应用报文进行黑白名单过滤,提高了安全保障能力;使用第一转发设备根据后台业务主机的流量状态进行动态的业务报文分发,降低了业务主机流量压力。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种网际协议报文数据转发系统,其特征在于,所述系统包括:第一接入设备、第一中转设备组和第一转发设备;所述第一中转设备组包括多个第一中转设备;
所述第一接入设备与每个所述第一中转设备连接;所述第一接入设备用于接收从移动运营商接入点APN服务器发送的第一网际协议IP报文数据;并对所述第一IP报文数据中的第一源IP地址数据和第一目的IP地址数据,进行第一地址校验处理;所述第一地址校验处理成功,则对所述第一IP报文数据,进行第一通用路由封装GRE协议数据提取处理,生成第一GRE数据;并根据所述第一GRE数据,进行第一数据校验处理;所述第一数据校验处理成功,则从所述第一GRE数据中,提取出第一GRE体数据,做为第一应用报文数据;并根据所述第一源IP地址数据,查询反映源地址与中转地址对应关系的第一对应关系表,生成对应的第一中转地址数据;并将所述第一应用报文数据,向与所述第一中转地址数据对应的所述第一中转设备发送;
每个所述第一中转设备均与所述第一转发设备连接;每个所述第一中转设备从所述第一应用报文数据中,提取出第一内网主机地址数据;根据预设的第一地址黑名单,对所述第一内网主机地址数据,进行第一黑名单过滤处理;所述第一黑名单过滤处理成功,则根据预设的第一地址白名单,对所述第一内网主机地址数据,进行第一白名单过滤处理;所述第一白名单过滤处理成功,则将所述第一应用报文数据,向所述第一转发设备发送;
所述第一转发设备与多个内部服务器连接;所述第一转发设备用于根据所述第一应用报文数据的所述第一内网主机地址数据,查询反映主机地址与服务器地址对应关系的第二对应关系表,得到多个第一服务器地址数据;并统计每个所述第一服务器地址数据对应的所述内部服务器的数据流量,生成对应的第一服务器流量数据;并将流量最小的所述第一服务器流量数据对应的所述第一服务器地址数据,做为第一转发地址数据;再从所述第一应用报文数据中,提取出第一应用报文体数据做为第一业务报文数据;并将所述第一业务报文数据,向所述第一转发地址数据对应的所述内部服务器发送;
其中,所述第一IP报文数据包括第一IP报文头数据和第一IP报文体数据;所述第一IP报文头数据包括所述第一源IP地址数据、所述第一目的IP地址数据和第一协议类型数据;
所述第一GRE数据包括第一GRE头数据和所述第一GRE体数据;所述第一GRE头数据包括第一校验状态位数据、第二校验状态位数据、第一校验码数据和第二校验码数据;
所述第一应用报文数据包括第一应用报文头数据和所述第一应用报文体数据;所述第一应用报文头数据包括所述第一内网主机地址数据。
2.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
所述第一接入设备具体用于在所述第一地址校验处理时,于预设的第一IP地址列表中,查询与所述第一源IP地址数据对应的第一APN地址记录的索引,生成第一索引数据;当所述第一索引数据不为空、且所述第一目的IP地址数据与预设的本机IP地址数据匹配时,所述第一地址校验处理成功;所述第一IP地址列表包括多个所述第一APN地址记录。
3.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
所述第一接入设备具体用于在所述第一通用路由封装GRE协议数据提取处理时,从所述第一IP报文数据中,提取出所述第一协议类型数据;当所述第一协议类型数据为GRE类型时,将所述第一IP报文数据的所述第一IP报文体数据,做为所述第一GRE数据。
4.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
所述第一接入设备具体用于在所述第一数据校验处理时,对所述第一GRE数据的所述第一校验状态位数据和所述第二校验状态位数据进行识别;当所述第一校验状态位数据和所述第二校验状态位数据均为激活状态时,对所述第一GRE数据进行校验码计算,生成第一临时校验码数据,若所述第一临时校验码数据与所述第一校验码数据匹配、且所述第二校验码数据与预设的GRE关键字数据匹配,则所述第一数据校验处理成功;当仅有所述第一校验状态位数据为激活状态时,对所述第一GRE数据进行校验码计算,生成第二临时校验码数据,若所述第二临时校验码数据与所述第一校验码数据匹配,则所述第一数据校验处理成功;当仅有所述第二校验状态位数据为激活状态时,若所述第二校验码数据与所述GRE关键字数据匹配,则所述第一数据校验处理成功。
5.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
所述第一接入设备具体用于在所述查询反映源地址与中转地址对应关系的第一对应关系表时,根据所述第一源IP地址数据,对所述第一对应关系表的所有第一对应关系记录进行轮询;当被轮询的所述第一对应关系记录的第一源地址字段与所述第一源IP地址数据匹配时,提取被轮询的所述第一对应关系记录的第一中转地址字段,做为所述第一中转地址数据;所述第一对应关系表包括多个所述第一对应关系记录;所述第一对应关系记录包括所述第一源地址字段和所述第一中转地址字段。
6.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
每个所述第一中转设备具体用于在所述第一黑名单过滤处理时,对所述第一地址黑名单的所有第一黑名单地址数据进行轮询,当所述第一地址黑名单中没有与所述第一内网主机地址数据匹配的所述第一黑名单地址数据时,所述第一黑名单过滤处理成功;所述第一地址黑名单包括多个所述第一黑名单地址数据。
7.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
每个所述第一中转设备具体用于在所述第一白名单过滤处理时,对所述第一地址白名单的所有第一白名单地址数据进行轮询,当所述第一地址白名单中有与所述第一内网主机地址数据匹配的所述第一白名单地址数据时,所述第一白名单过滤处理成功;所述第一地址白名单包括多个所述第一白名单地址数据。
8.根据权利要求1所述的网际协议报文数据转发系统,其特征在于,
所述第一转发设备具体用于在所述查询反映主机地址与服务器地址对应关系的第二对应关系表时,对所述第二对应关系表的所有第二对应关系记录进行轮询;当被轮询的所述第二对应关系记录的第一主机地址字段与所述第一内网主机地址数据匹配时,提取被轮询的所述第二对应关系记录的第一服务器字段中的多个服务器地址信息做为所述多个第一服务器地址数据;所述第二对应关系表包括多个所述第二对应关系记录;所述第二对应关系记录包括所述第一主机地址字段和所述第一服务器字段;所述第一服务器字段包括多个所述服务器地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110105224.9A CN112887211B (zh) | 2021-01-26 | 2021-01-26 | 一种网际协议报文数据转发系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110105224.9A CN112887211B (zh) | 2021-01-26 | 2021-01-26 | 一种网际协议报文数据转发系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112887211A CN112887211A (zh) | 2021-06-01 |
| CN112887211B true CN112887211B (zh) | 2021-11-16 |
Family
ID=76053579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110105224.9A Active CN112887211B (zh) | 2021-01-26 | 2021-01-26 | 一种网际协议报文数据转发系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887211B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070578B (zh) * | 2021-09-27 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 用户私有网络内网互通方法、系统、计算机和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770766A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 二层报文传输方法 |
| CN102694738A (zh) * | 2012-06-15 | 2012-09-26 | 北京傲天动联技术有限公司 | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 |
| CN109600293A (zh) * | 2018-12-24 | 2019-04-09 | 青岛海信电子设备股份有限公司 | 一种gre隧道建立方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101547132B (zh) * | 2008-03-25 | 2012-06-20 | 华为技术有限公司 | 一种建立数据转发隧道的方法、系统和装置 |
| CN102025606B (zh) * | 2009-09-23 | 2012-12-19 | 中兴通讯股份有限公司 | 一种数据传输方法及系统 |
| CN104753857B (zh) * | 2013-12-26 | 2018-03-09 | 华为技术有限公司 | 网络流量控制设备及其安全策略配置方法及装置 |
| CN104993993B (zh) * | 2015-05-13 | 2018-06-15 | 华为技术有限公司 | 一种报文处理方法、设备和系统 |
| CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
-
2021
- 2021-01-26 CN CN202110105224.9A patent/CN112887211B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1770766A (zh) * | 2004-11-02 | 2006-05-10 | 华为技术有限公司 | 二层报文传输方法 |
| CN102694738A (zh) * | 2012-06-15 | 2012-09-26 | 北京傲天动联技术有限公司 | 在虚拟专用网网关转发报文的方法以及虚拟专用网网关 |
| CN109600293A (zh) * | 2018-12-24 | 2019-04-09 | 青岛海信电子设备股份有限公司 | 一种gre隧道建立方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Huawei"s GRE Tunnel Bonding Protocol;N. Leymann等;《IETF》;20170531;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112887211A (zh) | 2021-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8191119B2 (en) | Method for protecting against denial of service attacks | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| EP1433076B1 (en) | Protecting against distributed denial of service attacks | |
| US8166547B2 (en) | Method, apparatus, signals, and medium for managing a transfer of data in a data network | |
| US7367052B1 (en) | Access list key compression | |
| EP1802023B1 (en) | System and method for controling ngn service-based firewall | |
| US9917928B2 (en) | Network address translation | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| US7584506B2 (en) | Method and apparatus for controlling packet transmission and generating packet billing data on wired and wireless network | |
| US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
| US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
| EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
| US10819682B1 (en) | Systems and methods for high-efficiency network-packet filtering | |
| EP2399197B1 (en) | Service access using a service address | |
| US20020178356A1 (en) | Method for setting up secure connections | |
| Kantola | 6G network needs to support embedded trust | |
| CN112887211B (zh) | 一种网际协议报文数据转发系统 | |
| CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| CN112383559A (zh) | 地址解析协议攻击的防护方法及装置 | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| CN114710560A (zh) | 数据处理方法、系统及代理设备、终端设备 | |
| CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
| CN113726689B (zh) | 一种安全业务处理方法以及装置 | |
| RU2812087C1 (ru) | Система и способ анализа входящего потока трафика | |
| Stokes et al. | ICMP covert channel resiliency |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Room 437, Building 18, No. 1889 Huandao East Road, Hengqin New District, Zhuhai City, Guangdong Province, 519031 Patentee after: Guangdong Shumi Technology Co.,Ltd. Address before: 100020 2902 Shangdu south tower, SOHO, Chaoyang District, Beijing Patentee before: BEIJING SHOWMAC NETWORK TECHNOLOGY CO.,LTD. |
|
| CP03 | Change of name, title or address |