CN117812058A - 一种信息处理方法及节点、管理设备、装置、存储介质 - Google Patents

一种信息处理方法及节点、管理设备、装置、存储介质 Download PDF

Info

Publication number
CN117812058A
CN117812058A CN202311808613.3A CN202311808613A CN117812058A CN 117812058 A CN117812058 A CN 117812058A CN 202311808613 A CN202311808613 A CN 202311808613A CN 117812058 A CN117812058 A CN 117812058A
Authority
CN
China
Prior art keywords
application
information
data packet
communication data
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311808613.3A
Other languages
English (en)
Inventor
叶华鑫
唐恒鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Information Security Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Information Security Co ltd filed Critical Shenzhen Shenxinfu Information Security Co ltd
Priority to CN202311808613.3A priority Critical patent/CN117812058A/zh
Publication of CN117812058A publication Critical patent/CN117812058A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种信息处理方法及节点、管理设备、装置、存储介质,包括:在接收到客户端发送的通信数据包的情况下,从通信数据包中获取标识信息;标识信息为管理设备向客户端发送的;根据标识信息及对应关系确定通信数据包对应的应用信息,对应关系是管理设备发送的,对应关系表征应用信息和标识信息的对应关系。

Description

一种信息处理方法及节点、管理设备、装置、存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种信息处理方法及节点、管理设备、装置、存储介质。
背景技术
随着电子技术的发展,一些跨境公司全球组网的需求愈来愈强烈,相关技术中,由于许多软件运营服务(Software as a Service,SAAS)应用采用超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS),且存在大量域名不同但应用指网际互连协议(Internet Protocol,IP)端口相同的多个源站共用的情况,以及流量是加密的固统一资源定位器(Uniform Resource Locator,URL)对外不可见,固传统的“IP+端口+协议”的方式只能在境内通过内容分发网络(Content Delivery Network,CDN)进行访问或者直接将流量全部都转发至境外进行访问,如此,降低了通信访问时的访问速度。
发明内容
为解决上述技术问题,本申请实施例期望提供一种信息处理方法及节点、管理设备、装置、存储介质,能够提高通信访问时的访问速度。
本申请的技术方案是这样实现的:
本申请实施例提供一种信息处理方法,应用于信息处理节点,所述信息处理方法包括:
在接收到客户端发送的通信数据包的情况下,从所述通信数据包中获取标识信息;所述标识信息为管理设备向所述客户端发送的;
根据所述标识信息及对应关系确定所述通信数据包对应的应用信息,所述对应关系是所述管理设备发送的,所述对应关系表征应用信息和所述标识信息的对应关系。
本申请实施例提供一种信息处理方法,应用于管理设备,所述信息处理方法包括:
在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向所述信息处理节点同步应用信息和标识信息之间的对应关系;
向所述客户端发送标识信息,以供所述客户端向信息处理节点发送所述标识信息及通信数据包,信息处理节点根据所述标识信息及所述对应关系识别所述通信数据包对应的应用信息。
本申请实施例提供了一种信息处理节点,所述信息处理节点包括:
第一获取单元,用于在接收到客户端发送的通信数据包的情况下,从所述通信数据包中获取标识信息;所述标识信息为管理设备向所述客户端发送的;
第一确定单元,用于根据所述标识信息及对应关系确定所述通信数据包对应的应用信息,所述对应关系是所述管理设备发送的,所述对应关系表征应用信息和所述标识信息的对应关系。
本申请实施例提供了一种管理设备,所述管理设备包括:
第一发送单元,用于在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向所述信息处理节点同步应用信息和标识信息之间的对应关系;向所述客户端发送标识信息,以供所述客户端向信息处理节点发送所述标识信息及通信数据包,信息处理节点根据所述标识信息及所述对应关系识别所述通信数据包对应的应用信息。
本申请实施例提供了一种装置,所述装置包括:
存储器、处理器和通信总线,所述存储器通过所述通信总线与所述处理器进行通信,所述存储器存储所述处理器可执行的信息处理的程序,当所述信息处理的程序被执行时,通过所述处理器执行上述所述的应用于信息处理节点中的信息处理方法;或通过所述处理器执行上述所述的应用于管理设备中的信息处理方法。
本申请实施例提供了一种存储介质,其上存储有计算机程序,应用于信息处理节点和管理设备,其特征在于,该计算机程序被处理器执行时实现上述所述的应用于信息处理节点中的信息处理方法;该计算机程序被处理器执行时实现上述所述的应用于管理设备中的信息处理方法。
本申请实施例提供了一种信息处理方法及节点、管理设备、装置、存储介质,信息处理方法包括:在接收到客户端发送的通信数据包的情况下,从通信数据包中获取标识信息;标识信息为管理设备向客户端发送的;根据标识信息及对应关系确定通信数据包对应的应用信息,对应关系是管理设备发送的,对应关系表征应用信息和标识信息的对应关系。采用上述方法实现方案,信息处理节点通过从通信数据包中获取目标应用的标识信息,使得可以根据标识信息及对应关系确定出通信数据包对应的应用信息,在该应用信息标识目标应用为境内应用的情况下,可以直接在境内进行访问;在该应用信息标识目标应用为境外应用的情况下,可以直接将该流量转发至境外进行访问,不会再出现将境外的流量通过境内CDN再转发至境外或者是将境内的流量转发至国外后再转发会国内处理的情况,从而提高了通信访问时的访问速度。
附图说明
图1为本申请实施例提供的一种信息处理方法流程图;
图2为本申请实施例提供的一种示例性的POP首包识别组件架构示意图;
图3为本申请实施例提供的一种信息处理方法流程图;
图4为本申请实施例提供的一种示例性的HTTPS应用识别&加速系统示意图;
图5为本申请实施例提供的一种示例性的HTTPS识别&加速总体流程图;
图6为本申请实施例提供的一种信息处理节点的组成结构示意图;
图7为本申请实施例提供的一种装置的组成结构示意图;
图8为本申请实施例提供的一种管理设备的组成结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供了一种信息处理方法,一种信息处理方法应用于信息处理节点,图1为本申请实施例提供的一种信息处理方法流程图,如图1所示,信息处理方法可以包括:
S101、在接收到客户端发送的通信数据包的情况下,从通信数据包中获取标识信息;标识信息为管理设备向客户端发送的。
本申请实施例提供的一种信息处理方法适用于对目标应用进行通信访问的场景下。
在本申请实施例中,信息处理节点可以以各种形式来实施。例如,本申请中描述的信息处理节点可以包括诸如手机、照相机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等装置,以及诸如数字TV、台式计算机、服务器等装置。
在本申请实施例中,客户端可以为个人电脑(personal computer,PC)端。
需要说明的是,信息处理节点中可以为入网点。其中,入网点为pop(point-of-presence)。
需要说明的是,入网点位于网络企业的边缘外侧,是访问企业网络内部的进入点,外界提供的服务通过POP进入,这些服务包括Internet接入,广域连接以及电话服务(PSTN)。
在本申请实施例中,标识信息为管理设备生成的用于标识目标应用的信息。
需要说明的是,该标识信息可以为管理设备为目标应用生成的虚拟地址信息,也可以为管理设备为目标应用生成的字符标识,具体的标识信息可以根据实际情况进行确定,本申请实施例对此不作限定。
需要说明的是,目标应用可以为SAAS应用,如Office365,目标应用也可以为其他的应用,具体的目标应用可以根据实际情况进行确定,本申请实施例对此不作限定。
还需要说明的是,SAAS应用包括境内SAAS应用和境外SAAS应用。
需要说明的是,管理设备可以为SASE云平台控制中心的域名系统(Domain NameSystem,DNS)和应用管理服务。其中,安全访问服务边缘(Secure Access Service Edge,SASE)是一种基于云服务的网络和网络安全服务融合的架构。具体的,SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
需要说明的是,管理设备还可以为云技术中的管理中心,信息处理节点可以为云技术中的边缘云节点。
以上需要注意的是,以上的管理设备和信息处理节点、引流端等设备并不一定是上述两种情况的通信拓扑结构,还可以是其他可以实现本方案的通信拓扑结构,这里不做限定。
这里还需要注意的是,对于客户端不清楚是否该将流量引流过来、以及不清楚将加速流量引流至多个pop中的哪一个pop中,pop也无法识别出客户端期望访问的是境内CDN应用还是SAAS应用(可以是境内SAAS应用或境外SAAS应用)的问题,可以将DNS解析服务器指向SASE平台的DNS代理服务,利用DNS代理服务识别已配置的应用,响应客户端的应用解析请求,向客户端传输该应用的虚拟IP(标识信息)。在客户端将流量传输至信息处理节点(pop)的情况下,信息处理节点根据虚拟IP及端口号识别出客户端期望访问的应用(目标应用),从而实现首包识别,提高通信访问时的访问速度。
在本申请实施例中,通信数据包中携带目标应用的标识信息。
S102、根据标识信息及对应关系确定通信数据包对应的应用信息,对应关系是管理设备发送的,对应关系表征应用信息和标识信息的对应关系。
在本申请实施例中,信息处理节点从通信数据包中获取标识信息之后,就可以根据标识信息及对应关系确定通信数据包对应的应用信息。
需要说明的是,应用信息可以为目标应用的应用名称或者编号(也可以为其他的用于表示目标应用的信息);信息处理节点在确定出目标应用的应用名称之后,再获取该应用名称对应的真实IP地址,之后就可以根据真实IP地址实现客户端对该目标应用的访问过程;应用信息也可以为用于实现对目标应用访问的过程的地址,即为目标应用的真实IP地址;具体的应用信息可以根据实际情况进行确定,本申请实施例对此不作限定。
在本申请实施例中,根据标识信息及对应关系确定通信数据包对应的应用信息的过程,包括在应用信息和标识信息的对应关系中,查找与客户端传输的标识信息匹配的应用信息。
在本申请实施例中,在识别目标应用的过程中,也可以提取HTTPS的HOST(即流量包中已有的特征值),从而进行应用识别。但是这种方式需要在TCP连接建立后,收到HTTPS请求报文后才可以提取,也就意味着至少需要往返4个包,从而在一定程度上增加访问时延,降低用户体验。
示例性的,信息处理节点在接收到客户端发送的通信数据包的情况下,从该通信数据包中获取虚拟地址信息(标识信息);然后根据预设虚拟地址信息和预设应用之间的对应关系,确定出该预设虚拟地址信息对应的目标应用的信息(应用信息)。
在本申请实施例中,信息处理节点从通信数据包中获取标识信息的过程,包括:确定客户端的访问权限;在客户端具备访问权限的情况下,从通信数据包中获取标识信息。信息处理节点从通信数据包中获取标识信息之后,就根据标识信息及对应关系确定通信数据包对应的应用信息。
在本申请实施例中,信息处理节点中配置有访问控制策略,信息处理节点可以根据访问控制策略确定客户端的访问权限。
在本申请实施例中,访问控制策略可以为静态策略,也可以为动态策略,还可以为静态策略和动态策略。
示例性的,静态策略可以为访问权限表,若访问权限表中的可访问设备中包括该客户端的情况下,该客户端就有访问权限;若访问权限表中的可访问设备中不包括该客户端的情况下,该客户端就没有访问权限。
示例性的,动态策略可以为确定客户端的安全性,在客户端中病毒了的情况下,该客户端就没有访问权限;在客户端为安全设备了的情况下,该客户端就有访问权限。
示例性的,在客户端为安全设备了的情况下,进一步确定该客户端是否为访问权限表中的可访问设备,若是,则客户端就有访问权限;否则,该客户端没有访问权限。
示例性的,信息处理节点在接收到客户端发送的通信数据包的情况下,确定该客户端的访问权限;在该客户端具备访问权限的情况下,信息处理节点就从该通信数据包中获取虚拟地址信息(标识信息);然后根据预设虚拟地址信息和预设应用之间的对应关系,确定出该预设虚拟地址信息对应的目标应用的信息(应用信息)。
在本申请实施例中,信息处理节点从通信数据包中获取标识信息,并根据标识信息及对应关系确定通信数据包对应的应用信息之后,就进一步根据应用信息对应的通信参数确定是否需要对通信数据包进行处理。
需要说明的是,通信参数包括信息处理节点访问目标应用的时延、信息处理节点任务量、信息处理节点的工作状态等。示例性的,可以根据该时延来确定是否对通信数据包进行处理。如,可以在信息处理节点访问目标应用的时延小于或者等于预设时延的情况下,就确定该信息处理节点需要对通信数据包进行处理;否则,该信息处理节点需要对通信数据包进行处理。或者,在多个信息处理节点都接收到客户端发送的通信数据包的情况下,分别获取多个信息处理节点访问目标应用的多个时延,从该多个时延中筛选时延值最小的目标时延,并确定该目标时延对应的信息处理节点为需要对通信数据包进行处理的节点。
还需要说明的是,若该信息处理节点需要对通信数据包进行处理,则该信息处理节点就将该通信数据包转发至目标应用;若该信息处理节点不需要对通信数据包进行处理,则该信息处理节点就忽略该通信数据包,不向目标应用转发该通信数据包。
在本申请实施例中,客户端在利用多个信息处理节点对目标应用进行通信访问的情况下,会将通信数据包发给多个信息处理节点中的每一个信息处理节点,以在从多个信息处理节点中确定出需要对通信数据包进行处理的信息处理节点的情况下,利用该信息处理节点将该通信数据包转发至目标应用处。
在本申请实施例中,若需要对通信数据包进行处理,则根据应用信息对应的地址转发通信数据包。
需要说明的是,应用信息对应的地址为目标应用的IP地址。在信息处理节点确定出需要对通信数据包进行处理的情况下,该信息处理节点就向应用信息对应的地址转发通信数据包。
还需要说明的是,应用信息对应的地址可以为该应用信息中携带的IP地址,也可以为根据该应用信息确定出来的IP地址。
在本申请实施例中,信息处理节点根据应用信息对应的地址转发通信数据包的过程,包括:在应用信息对应的地址为预设区域范围外的地址的情况下,通过骨干网向网络连接器发送通信数据包,以供网络连接器向应用信息对应的地址转发通信数据包;在应用信息对应的地址为预设区域范围内的地址的情况下,通过内容分发网络向应用信息对应的地址转发通信数据包。
在本申请实施例中,预设区域范围可以为信息处理节点中配置的区域范围,也可以为其他设备传输至信息处理节点中的区域范围,还可以为信息处理节点通过其他的方式得到的区域范围,具体的信息处理节点得到预设区域范围的方式可以根据实际情况进行确定,本申请实施例对此不作限定。
需要说明的是,预设区域范围可以为境内范围。预设区域范围外即为境外范围。
在本申请实施例中,在目标应用为境外的应用的情况下,信息处理节点就通过骨干网传输通道向网络连接器发送通信数据包,在目标应用为境内的应用的情况下,信息处理节点就通过内容分发网络向目标应用发送通信数据包。
需要说明的是,内容分发网络(Content Delivery Network,CDN)就是采用更多的缓存服务器(CDN边缘节点),布放在用户访问相对集中的地区或网络中。当用户访问网站时,利用全局负载技术,将用户的访问指向距离最近的缓存服务器上,由缓存服务器响应用户请求。
在本申请实施例中,若信息处理节点需要对通信数据包进行处理,则该信息处理节点就向客户端发送提示信息,提示信息包括通信数据包的通信路径;以供客户端根据通信路径继续发送通信数据包之后的数据包。
示例性的,信息处理节点在接收到客户端发送的通信数据包的情况下,确定该客户端的访问权限;在该客户端具备访问权限的情况下,信息处理节点就从该通信数据包中获取虚拟地址信息(标识信息);然后根据预设虚拟地址信息和预设应用之间的对应关系,确定出该预设虚拟地址信息对应的目标应用的信息(应用信息);根据信息处理节点访问目标应用的时延(应用信息对应的通信参数)确定是否需要对通信数据包进行处理。若需要对通信数据包进行处理(在该信息处理节点的时延小于其他信息处理节点的时限的情况下),则根据应用信息对应的地址转发通信数据包(即在应用信息对应的地址为预设区域范围外的地址的情况下,通过骨干网向网络连接器发送通信数据包,以供网络连接器向应用信息对应的地址转发通信数据包;在应用信息对应的地址为预设区域范围内的地址的情况下,通过内容分发网络向应用信息对应的地址转发通信数据包);并向客户端发送提示信息,提示客户端继续向该信息处理节点发送通信数据包之后的数据包。
在本申请实施例中,入网点如图2所示:入网点(信息处理节点)内实现了一系列组件,其中:POP、平台交互服务器主要负责接收SASE云平台下发的应用信息(SASE云平台中的管理设备下发目标应用的应用信息)及虚拟IP等信息(标识信息);POP配置中心用于存储各类如应用配置等信息,以及各个POP访问应用的时延;POP引流服务器用于接收PC客户端引流上来的流量;应用识别组件读取应用、虚拟IP列表从而对应用进行首包识别(从通信数据包中获取标识信息,根据标识信息及对应关系确定通信数据包对应的应用信息);DNS解析服务用于查询该应用真实的IP;NAT组件用于将虚拟IP NAT转化为DNS服务解析出来的真实IP(将通信数据包中的标识信息转化为应用信息);应用管控用于控制用户是否有权限访问应用;应用审计用于审计这次访问行为并产生访问记录最终上报到中心端。当流量被引流到POP后,首先根据虚拟IP(标识信息)识别出应用(确定目标应用),由应用管控控制用户能否访问(确定客户端的访问权限),由应用审计记录下访问行为。在配置中心还存有各个POP访问应用的时延,如果识别出SAAS应用,那么POP会查询本POP是否最优访问路径,如果是则进行下一步处理(根据应用信息对应的通信参数确定是否需要对通信数据包进行处理;若需要对通信数据包进行处理,则根据应用信息对应的地址转发通信数据包)。接下来POP会代理流量的访问,那么就将虚拟IP还原成真实的SAAS应用IP,如果没有真实域名-IP的缓存,则通过DNS解析服务到权威DNS机构解析服务的真实IP,并存于缓存中以加快下一次的解析。然后由NAT组件将虚拟IP还原为真实的SAAS应用IP。最终通过分发器决定流量下一跳的走向,如访问境内CDN应用或通过骨干网访问境外SAAS应用。
可以理解的是,信息处理节点通过从通信数据包中获取目标应用的标识信息,使得可以根据标识信息及对应关系确定出通信数据包对应的应用信息,在该应用信息标识目标应用为境内应用的情况下,可以直接在境内进行访问;在该应用信息标识目标应用为境外应用的情况下,可以直接将该流量转发至境外进行访问,不会再出现将境外的流量通过境内CDN再转发至境外或者是将境内的流量转发至国外后再转发会国内处理的情况,从而提高了通信访问时的访问速度。
本申请实施例提供了一种信息处理方法,一种信息处理方法应用于管理设备,图3为本申请实施例提供的一种信息处理方法流程图,如图3所示,信息处理方法可以包括:
S201、在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向信息处理节点同步应用信息和标识信息之间的对应关系。
本申请实施例提供的一种信息处理方法适用于对目标应用进行通信访问的场景下。
在本申请实施例中,管理设备可以以各种形式来实施。例如,本申请中描述的管理设备可以包括诸如手机、照相机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等装置,以及诸如数字TV、台式计算机、服务器等装置。
在本申请实施例中,客户端可以为PC端。
在本申请实施例中,目标应用可以为SAAS应用,如Office365,目标应用也可以为其他的应用,具体的目标应用可以根据实际情况进行确定,本申请实施例对此不作限定。
还需要说明的是,SAAS应用包括境内SAAS应用和境外SAAS应用。
需要说明的是,管理设备可以为SASE云平台控制中心的DNS和应用管理服务。其中,SASE为安全访问服务边缘,一种基于云服务的网络和网络安全服务融合的架构。SASE是一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。实体的身份可与人员、人员组(分支办公室)、设备、应用、服务、物联网系统或边缘计算场地相关联。
在本申请实施例中,在管理设备中存在目标应用的应用解析结果的情况下,就确定管理设备中配置了该目标应用,管理设备在接收到客户端发送的目标应用的应用解析请求的情况下,就可以根据配置的应用解析结果向信息处理节点同步应用信息和标识信息之间的对应关系;在管理设备中不存在目标应用的设备信息的情况下,就确定未配置该目标应用。
在本申请实施例中,标识信息为管理设备配置目标应用时生成的用于标识目标应用的信息。
需要说明的是,该标识信息可以为管理设备为目标应用生成的虚拟地址信息,也可以为管理设备为目标应用生成的字符标识,具体的标识信息可以根据实际情况进行确定,本申请实施例对此不作限定。
在本申请实施例中,标识信息可以为管理设备为目标应用生成的唯一标识该目标应用的信息。若标识信息为管理设备为目标应用生成的虚拟地址信息,则可以为目标应用的唯一虚拟映射地址信息。
在本申请实施例中,应用信息可以为目标应用的应用名称或者编号(也可以为其他的用于表示目标应用的信息);信息处理节点在确定出目标应用的应用名称之后,再获取该应用名称对应的真实IP地址,之后就可以根据真实IP地址实现客户端对该目标应用的访问过程;应用信息也可以为用于实现对目标应用访问的过程的地址,即为目标应用的真实IP地址;具体的应用信息可以根据实际情况进行确定,本申请实施例对此不作限定。
S202、向客户端发送标识信息,以供客户端向信息处理节点发送标识信息及通信数据包,信息处理节点根据标识信息及对应关系识别通信数据包对应的应用信息。
在本申请实施例中,管理设备在接收到客户端发送的目标应用的应用解析请求、且确定出管理设备中配置了该目标应用的情况下,就向客户端发送标识信息。
在本申请实施例中,管理设备生成标识信息的方式为现有技术中的方式,具体的实施过程可以根据实际情况进行确定,本申请实施例对此不作限定。
在本申请实施例中,管理设备向客户端发送标识信息的方式为现有技术中的方式,具体的实施过程可以根据实际情况进行确定,本申请实施例对此不作限定。
在本申请实施例中,一种示例性的HTTPS应用识别&加速系统如图4所示:共包括五个模块:SASE平台控制中心(包括管理设备)、安全POP(信息处理节点)、骨干网、PC端(客户端)和连接器(网络连接器)。其中,SASE平台控制中心提供租户配置管理(如应用、访问策略、连接器管理等)。用户可以在平台配置需要经SASE平台代理、管控、审计的应用。SASE平台控制中心也包含DNS代理解析服务,主要对已配置的应用分配虚拟IP从而唯一标识一个应用。安全POP包含应用识别能力,用于对访问流量进行识别及管控,是决定拒绝流量的访问、直接从境内访问或通过骨干网加速访问的执行者。其中包含从平台应用管控服务下发的应用,用于对HTTPS应用的识别。骨干网是由多个安全POP点及运营商专线组建成SaseCloud骨干网,可为网络质量需求高的用户提供高质量、高可靠的网络通道。PC端是客户用于进行网络访问的设备,其中安装有SASE平台提供的引流器。连接器是连接安全POP及客户应用的服务器。
在本申请实施例中,一种示例性的HTTPS识别&加速总体流程如图5所示:当客户端发起SAAS应用X的访问,应用识别主要由DNS代理技术完成,应用加速由POP内应用识别及应用骨干网加速技术完成。主要流程包括:
步骤1:客户端向DNS代理服务(管理设备)发起请求解析应用IP(客户端向管理设备发送目标应用的应用解析请求)。
步骤2:DNS代理服务查询应用管理服务中配置的应用,如果已配置应用,则分配一个虚拟IP(在配置了目标应用的情况下,向客户端发送标识信息)。
步骤3:应用管理服务将应用、虚拟IP等信息同步到POP,DNS代理服务响应DNS解析结果(管理设备配置的应用解析结果向信息处理节点同步应用信息和标识信息之间的对应关系)。
步骤4:PC将流量引流至POP点,POP点根据虚拟IP做应用识别,并转发流量到境内或通过骨干网访问境外应用(客户端向多个信息处理节点发送通信数据包;多个信息处理节点中的每一个信息处理节点从通信数据包中获取标识信息,根据标识信息及对应关系确定通信数据包对应的应用信息,在应用信息对应的地址为预设区域范围外的地址的情况下,通过骨干网向网络连接器发送通信数据包,以供网络连接器向应用信息对应的地址转发通信数据包;在应用信息对应的地址为预设区域范围内的地址的情况下,通过内容分发网络向应用信息对应的地址转发通信数据包)。
在本申请实施例中,对于一个HTTPS应用(目标应用),不同的域名对应一个IP的应用识别问题已经在HTTPS首包识别中解决。那客户端将流量引到那个POP呢,再一次在PC端上实现应用识功能吗?但这个功能是在POP内实现的,客户端如果再实现一次,非常消耗客户端的性能,并降低用户的体验。为解决这个问题,本方案引入首包探测方案,如在图4的HTTPS应用识别&加速系统中所示,POP内存在各个应用列表,以及各个POP访问应用的时延,PC将流量的首包发送至所有的POP后,POP会根据虚拟IP、端口等信息(应用标识)查询应用列表,如果通过虚拟IP识别出该应用,则再查询本POP是否是访问最佳的POP(根据应用信息对应的通信参数确定是否需要对通信数据包进行处理),如果是则对流量进行处理及转发(若需要对通信数据包进行处理,则根据应用信息对应的地址转发通信数据包),当流量的响应包回到PC,PC则在连接跟踪中记录流量访问路径,后续流量则按照缓存记录的路径转发既可。因此PC客户端就无须实现应用识别,也不需要关心将流量引流到哪个POP访问体验最佳。对于识别出来的境内CDN流量,则直接从POP出口通过互联网进行代理访问,对于境外流量则通过骨干网进行加速,减少CDN流量对骨干网带宽的消耗。
可以理解的是,管理设备在配置了目标应用的应用解析结果的情况下,就配置的应用解析结果向信息处理节点同步应用信息和标识信息之间的对应关系,并向客户端发送标识信息,使得客户端在向信息处理节点中传输通信数据包的情况下,可以在该通信数据包中携带目标应用的标识信息,以便信息处理节点根据该标识信息以及应用信息和标识信息之间的对应关系确定出客户端期待访问的目标应用的应用信息,在该应用信息标识目标应用为境内应用的情况下,可以直接在境内进行访问;在该应用信息标识目标应用为境外应用的情况下,可以直接将该流量转发至境外进行访问,不会再出现将境外的流量通过境内CDN再转发至境外或者是将境内的流量转发至国外后再转发会国内处理的情况,从而提高了通信访问时的访问速度。
基于与上述信息处理方法的同一发明构思,本申请实施例提供了一种信息处理节点1,对应于一种信息处理方法;图6为本申请实施例提供的一种信息处理节点的组成结构示意图一,该信息处理节点1可以包括:
第一获取单元11,用于在接收到客户端发送的通信数据包的情况下,从所述通信数据包中获取标识信息;所述标识信息为管理设备向所述客户端发送的;
第一确定单元12,用于标识信息及对应关系确定所述通信数据包对应的应用信息,所述对应关系是所述管理设备发送的,所述对应关系表征应用信息和所述标识信息的对应关系。
在本申请的一些实施例中,所述第一确定单元12,用于根据所述应用信息对应的通信参数确定是否需要对所述通信数据包进行处理。
在本申请的一些实施例中,所述信息处理节点还包括转发单元;
所述转发单元,用于若需要对所述通信数据包进行处理,则根据所述应用信息对应的地址转发所述通信数据包。
在本申请的一些实施例中,所述信息处理节点还包括第二发送单元;
所述第二发送单元,用于在所述应用信息对应的地址为预设区域范围外的地址的情况下,通过骨干网向网络连接器发送所述通信数据包,以供所述网络连接器向所述应用信息对应的地址转发所述通信数据包;在所述应用信息对应的地址为所述预设区域范围内的地址的情况下,通过内容分发网络向所述应用信息对应的地址转发所述通信数据包。
在本申请的一些实施例中,所述第二发送单元,用于向所述客户端发送提示信息,所述提示信息包括所述通信数据包的通信路径;以供所述客户端根据所述通信路径继续发送所述通信数据包之后的数据包。
需要说明的是,在实际应用中,上述第一获取单元11和第一确定单元12可由装置2上的处理器13实现,具体为CPU(Central Processing Unit,中央处理器)、MPU(Microprocessor Unit,微处理器)、DSP(Digital Signal Processing,数字信号处理器)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等实现;上述数据存储可由装置1上的存储器14实现。
本申请实施例还提供了一种装置2,如图7所示,所述装置2包括:处理器13、存储器14和通信总线15,所述存储器14通过所述通信总线15与所述处理器13进行通信,所述存储器14存储所述处理器13可执行的程序,当所述程序被执行时,通过所述处理器13执行如上述所述的应用于信息处理节点中的信息处理方法。
在实际应用中,上述存储器14可以是易失性存储器(volatile memory),例如随机存取存储器(Random-Access Memory,RAM);或者非易失性存储器(non-volatile memory),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard DiskDrive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器13提供指令和数据。
本申请实施例提供了一种计算机可读存储介质,其上有计算机程序,所述程序被处理器13执行时实现如上述所述的应用于信息处理节点中的信息处理方法。
可以理解的是,信息处理节点通过从通信数据包中获取目标应用的标识信息,使得可以根据标识信息及对应关系确定出通信数据包对应的应用信息,在该应用信息标识目标应用为境内应用的情况下,可以直接在境内进行访问;在该应用信息标识目标应用为境外应用的情况下,可以直接将该流量转发至境外进行访问,不会再出现将境外的流量通过境内CDN再转发至境外或者是将境内的流量转发至国外后再转发会国内处理的情况,从而提高了通信访问时的访问速度。
基于与上述信息处理方法的同一发明构思,本申请实施例提供了一种管理设备3,对应于一种信息处理方法;图8为本申请实施例提供的一种管理设备的组成结构示意图一,该管理设备3可以包括:
第一发送单元21,用于在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向所述信息处理节点同步应用信息和标识信息之间的对应关系;向所述客户端发送标识信息,以供所述客户端向信息处理节点发送所述标识信息及通信数据包,信息处理节点根据所述标识信息及所述对应关系识别所述通信数据包对应的应用信息。
需要说明的是,在实际应用中,上述第一发送单元21可由装置2上的处理器13实现,具体为CPU(Central Processing Unit,中央处理器)、MPU(Microprocessor Unit,微处理器)、DSP(Digital Signal Processing,数字信号处理器)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等实现;上述数据存储可由装置2上的存储器14实现。
本申请实施例还提供了一种装置2,如图7所示,所述装置2包括:处理器13、存储器14和通信总线15,所述存储器14通过所述通信总线15与所述处理器13进行通信,所述存储器14存储所述处理器13可执行的程序,当所述程序被执行时,通过所述处理器13执行如上述所述的应用于管理设备中的信息处理方法。
在实际应用中,上述存储器14可以是易失性存储器(volatile memory),例如随机存取存储器(Random-Access Memory,RAM);或者非易失性存储器(non-volatile memory),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard DiskDrive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器13提供指令和数据。
本申请实施例提供了一种计算机可读存储介质,其上有计算机程序,所述程序被处理器13执行时实现如上述所述的应用于管理设备中的信息处理方法。
可以理解的是,管理设备在配置了目标应用的应用解析结果的情况下,就配置的应用解析结果向信息处理节点同步应用信息和标识信息之间的对应关系,并向客户端发送标识信息,使得客户端在向信息处理节点中传输通信数据包的情况下,可以在该通信数据包中携带目标应用的标识信息,以便信息处理节点根据该标识信息以及应用信息和标识信息之间的对应关系确定出客户端期待访问的目标应用的应用信息,在该应用信息标识目标应用为境内应用的情况下,可以直接在境内进行访问;在该应用信息标识目标应用为境外应用的情况下,可以直接将该流量转发至境外进行访问,不会再出现将境外的流量通过境内CDN再转发至境外或者是将境内的流量转发至国外后再转发会国内处理的情况,从而提高了通信访问时的访问速度。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (10)

1.一种信息处理方法,其特征在于,应用于信息处理节点,所述方法包括:
在接收到客户端发送的通信数据包的情况下,从所述通信数据包中获取标识信息;所述标识信息为管理设备向所述客户端发送的;
根据所述标识信息及对应关系确定所述通信数据包对应的应用信息,所述对应关系是所述管理设备发送的,所述对应关系表征应用信息和所述标识信息的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述应用信息对应的通信参数确定是否需要对所述通信数据包进行处理。
3.根据权利要求2所述的方法,其特征在于,该方法还包括:
若需要对所述通信数据包进行处理,则根据所述应用信息对应的地址转发所述通信数据包。
4.根据权利要求3所述的方法,其特征在于,所述根据所述应用信息对应的地址转发所述通信数据包,包括:
在所述应用信息对应的地址为预设区域范围外的地址的情况下,通过骨干网向网络连接器发送所述通信数据包,以供所述网络连接器向所述应用信息对应的地址转发所述通信数据包;
在所述应用信息对应的地址为所述预设区域范围内的地址的情况下,通过内容分发网络向所述应用信息对应的地址转发所述通信数据包。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
向所述客户端发送提示信息,所述提示信息包括所述通信数据包的通信路径;以供所述客户端根据所述通信路径继续发送所述通信数据包之后的数据包。
6.一种信息处理方法,其特征在于,应用于管理设备,所述方法包括:
在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向所述信息处理节点同步应用信息和标识信息之间的对应关系;
向所述客户端发送标识信息,以供所述客户端向信息处理节点发送所述标识信息及通信数据包,信息处理节点根据所述标识信息及所述对应关系识别所述通信数据包对应的应用信息。
7.一种管理设备,其特征在于,所述管理设备包括:
第一发送单元,用于在接收到客户端发送的目标应用的应用解析请求的情况下,根据配置的应用解析结果向所述信息处理节点同步应用信息和标识信息之间的对应关系;向所述客户端发送标识信息,以供所述客户端向信息处理节点发送所述标识信息及通信数据包,信息处理节点根据所述标识信息及所述对应关系识别所述通信数据包对应的应用信息。
8.一种信息处理节点,其特征在于,所述信息处理节点包括:
第一获取单元,用于在接收到客户端发送的通信数据包的情况下,从所述通信数据包中获取标识信息;所述标识信息为管理设备向所述客户端发送的;
第一确定单元,用于根据所述标识信息及对应关系确定所述通信数据包对应的应用信息,所述对应关系是所述管理设备发送的,所述对应关系表征应用信息和所述标识信息的对应关系。
9.一种装置,其特征在于,所述装置包括:
存储器、处理器和通信总线,所述存储器通过所述通信总线与所述处理器进行通信,所述存储器存储所述处理器可执行的信息处理的程序,当所述信息处理的程序被执行时,通过所述处理器执行如权利要求1至5任一项所述的方法;或通过所述处理器执行如权利要求6所述的方法。
10.一种存储介质,其上存储有计算机程序,应用于信息处理节点和管理设备,其特征在于,该计算机程序被处理器执行时实现权利要求1至5任一项所述的方法;该计算机程序被处理器执行时实现权利要求6所述的方法。
CN202311808613.3A 2023-12-25 2023-12-25 一种信息处理方法及节点、管理设备、装置、存储介质 Pending CN117812058A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311808613.3A CN117812058A (zh) 2023-12-25 2023-12-25 一种信息处理方法及节点、管理设备、装置、存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311808613.3A CN117812058A (zh) 2023-12-25 2023-12-25 一种信息处理方法及节点、管理设备、装置、存储介质

Publications (1)

Publication Number Publication Date
CN117812058A true CN117812058A (zh) 2024-04-02

Family

ID=90434244

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311808613.3A Pending CN117812058A (zh) 2023-12-25 2023-12-25 一种信息处理方法及节点、管理设备、装置、存储介质

Country Status (1)

Country Link
CN (1) CN117812058A (zh)

Similar Documents

Publication Publication Date Title
US11057351B1 (en) System and method for session affinity in proxy media routing
US10356097B2 (en) Domain name system and method of operating using restricted channels
US10305859B2 (en) Applying security policy to an application session
US10212124B2 (en) Facilitating content accessibility via different communication formats
US9160703B2 (en) Request routing management based on network components
US9712422B2 (en) Selection of service nodes for provision of services
US9501345B1 (en) Method and system for creating enriched log data
US8577992B1 (en) Request routing management based on network components
US20170295185A1 (en) System and method to associate a private user identity with a public user identity
US9900155B2 (en) Security techniques for cooperative file distribution
EP3170091B1 (en) Method and server of remote information query
US10263950B2 (en) Directing clients based on communication format
US8140647B1 (en) System and method for accelerated data uploading
EP3754947B1 (en) System and method for identifying ott applications and services
US20110270924A1 (en) Peer to Peer Network
CN108418847B (zh) 一种网络流量缓存系统、方法及装置
WO2017161965A1 (zh) 一种动态域名系统dns重定向方法、装置及系统
US20230198987A1 (en) Systems and methods for controlling accessing and storing objects between on-prem data center and cloud
EP3579526B1 (en) Resource file feedback method and apparatus
CN109451094B (zh) 一种获取源站ip地址方法、系统、电子设备和介质
US20130191894A1 (en) Integrating Server Applications with Multiple Authentication Providers
CN117812058A (zh) 一种信息处理方法及节点、管理设备、装置、存储介质
WO2022135132A1 (zh) 业务处理方法、装置、电子设备及存储介质
CN114006724B (zh) 一种加密dns解析器发现及认证的方法与系统
CN114615315A (zh) 线上会话的通讯方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination