CN117938838A - 一种传输方法、设备以及计算机可读介质 - Google Patents

一种传输方法、设备以及计算机可读介质 Download PDF

Info

Publication number
CN117938838A
CN117938838A CN202410104205.8A CN202410104205A CN117938838A CN 117938838 A CN117938838 A CN 117938838A CN 202410104205 A CN202410104205 A CN 202410104205A CN 117938838 A CN117938838 A CN 117938838A
Authority
CN
China
Prior art keywords
file
data packet
breakpoint
client device
control information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410104205.8A
Other languages
English (en)
Inventor
吴佳乐
陈良金
侯金辰
李逸骏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yundun Information Technology Co ltd
Original Assignee
Shanghai Yundun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yundun Information Technology Co ltd filed Critical Shanghai Yundun Information Technology Co ltd
Priority to CN202410104205.8A priority Critical patent/CN117938838A/zh
Publication of CN117938838A publication Critical patent/CN117938838A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种传输方法、设备以及计算机可读介质,该方案基于零信任网络的构架,采用先认证后传输的方式,替代了传统的VPN结合文件传输应用的方式,因此不会因为不同底层环境协议或者品牌的VPN和文件传输应用而存在组件兼容性影响文件稳定传输的问题,该方案中的应用访问策略用于确定具有访问权限的目标应用,指定用户身份可以访问指定的应用,以最小化授权原则划分身份权限,从而在用户层面的基础上,进一步在应用层面上实现精细化的访问权限控制。由于在传输数据时,客户端设备与业务服务器之间并不直接交互,而是通过零信任网络的身份网关透传关于文件内容的数据包,并使用连接器作为业务服务器的代理,因此可以有效确保了安全性。

Description

一种传输方法、设备以及计算机可读介质
技术领域
本申请涉及信息技术领域,尤其涉及一种传输方法、设备以及计算机可读介质。
背景技术
目前的远程办公环境下,在传输大文件时由于传输时间较长,可能会由于网络环境不稳定导致传输异常,因此需要断点续传的功能来确保文件顺利传输。现有断点续传的方案,大多通过VPN(Virtual Private Network,虚拟专用网络)与文件传输应用客户端搭配使用的方式实现,这种方案可能存在以下问题:
1、在此种方案中,VPN负责搭建传输隧道,文件传输应用客户端基于所述传输隧道来完成文件传输,并且基于传输协议实现断点续传。但是,不同传输协议、不同厂商提供的VPN和文件传输应用之间可能存在组件冲突不兼容的情况,从而会影响文件的稳定传输。
2、当前大部分的断点续传方案所使用的传输协议中,都仅支持默认的断点时长,用户难以自定义的去控制断点时长,当出现大并发的文件传输时,可能会由于传输异常时间超过断点时长而导致断点续传功能失效的情况发生。
3、此种方案进行文件传输时的安全保障来自于VPN构建的传输隧道,其中,商用VPN可能会针对传输隧道做加密,而开源的VPN大部分是基于TCP传输协议直接构建一个传输隧道,都难以在应用和用户身份的层面上进行更加精细的安全访问控制。
发明内容
本申请的一个目的是提供一种传输方法、设备以及计算机可读介质,至少用以解决现有方案在实现断点续传时不同厂商的VPN和文件传输应用之间可能存在组件冲突不兼容,而影响文件传输的稳定性,同时也难以在应用和用户的层面实现精细的安全访问控制的问题。
为解决上述问题,本申请实施例提供了一种传输方法,所述方法应用于客户端设备,所述方法包括:
向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证;
获取身份网关在认证通过后下发的应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
在进行文件上传时,通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
在进行文件下载时,通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种传输方法,所述方法应用于零信任网络的连接器,所述方法包括:
在进行文件上传时,通过身份网关获取客户端设备发送的关于文件内容的数据包,并将所述数据包发送给所述目标应用对应的业务服务器,其中,所述目标应用根据应用访问策略确定,所述应用访问策略由身份网关对所述客户端设备的用户身份进行认证通过后向所述客户端设备下发;
在进行文件下载时,通过身份网关向所述客户端设备发送关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种传输方法,所述方法应用于零信任网络的身份网关,所述方法包括:
获取客户端设备发起的身份认证请求;
根据所述身份认证请求对所述客户端设备进行认证;
在认证通过后,向所述客户端设备下发应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
在进行文件上传时,透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
在进行文件下载时,透传所述连接器向客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,用于在文件上传或文件下载异常后根据所述断点续传控制信息继续传输未完成上传或下载的数据包,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置。
本申请实施例还提供了一种用于实现文件传输的客户端设备,所述客户端设备包括:
认证交互模块,用于向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证;获取身份网关在认证通过后下发的应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
第一上传模块,用于在进行文件上传时,通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
第一下载模块,用于在进行文件下载时,通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
第一续传模块,用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种用于实现文件传输的连接器,所述连接器部署于零信任网络中,包括:
第二上传模块,用于在进行文件上传时,通过身份网关获取客户端设备发送的关于文件内容的数据包,并将所述数据包发送给所述目标应用对应的业务服务器,其中,所述目标应用根据应用访问策略确定,所述应用访问策略由身份网关对所述客户端设备的用户身份进行认证通过后向所述客户端设备下发;
第二下载模块,用于在进行文件下载时,通过身份网关向所述客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
第二续传模块,用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种用于实现文件传输的身份网关,所述身份网关部署于零信任网络中,包括:
认证处理模块,用于获取客户端设备发起的身份认证请求,根据所述身份认证请求对所述客户端设备进行认证,并在认证通过后,向所述客户端设备下发应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
透传模块,用于在进行文件上传时,透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;以及在进行文件下载时,透传所述连接器向客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,用于在文件上传或文件下载异常后根据所述断点续传控制信息继续传输未完成上传或下载的数据包,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置。
本申请实施例还提供了一种计算设备,该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发所述设备执行所述的传输方法。
此外,本申请实施例还提供了一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现所述的传输方法。
相较于现有技术,本申请实施例提供的传输方案中,基于零信任网络的构架,采用先认证后传输的方式,替代了传统的VPN结合文件传输应用的方式,因此不会因为不同底层环境协议或者品牌的VPN和文件传输应用而存在组件兼容性影响文件稳定传输的问题。其中,客户端设备在传输之前先向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证,从而在用户层面上对访问的安全进行控制,然后可以获取身份网关在认证通过后下发的应用访问策略,其中,所述应用访问策略用于确定具有访问权限的目标应用,指定用户身份可以访问指定的应用,以最小化授权原则划分身份权限,从而在用户层面的基础上,进一步在应用层面上实现精细化的访问权限控制。
在进行文件上传时,客户端设备通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;在进行文件下载时,客户端设备通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,所述数据包的协议头中至少包括断点续传控制信息,使得客户端设备能够根据断点续传控制信息恢复上传或下载后续的文件,实现对断点续传的功能进行控制,当文件上传或文件下载异常后,若数据包的协议头中具有断点续传控制信息,则可以根据所述断点续传控制信息继续传输未完成上传或下载的数据包,从而实现文件的断点续传。由于在传输数据时,客户端设备与业务服务器之间并不直接交互,而是通过零信任网络的身份网关透传关于文件内容的数据包,并使用连接器作为业务服务器的代理,因此可以有效确保了安全性。并且由于所述断点续传控制信息至少包括起始标识符和终止标识符,能够分别用于标识数据包中文件内容的开始位置和结束位置,便于用户在大文件传输的过程中更加方便地控制数据包所携带的文件内容,由此可以根据网络波动情况灵活调整传输量。
附图说明
图1为实现本申请实施例所提供的传输方法的相关设备之间的整体构架示意图;
图2为本申请实施例所提供的传输方法中相关设备之间的交互流程示意图;
图3为采用本申请实施例提供的方案实现文件传输时的交互流程示意图;
图4为本申请实施例方案中的一种客户端设备中用于进行文件上传和下载的应用界面的示意图;
图5为本申请实施例提供的一种用于实现文件传输的客户端设备的结构示意图;
图6为本申请实施例提供的一种用于实现文件传输的连接器的结构示意图;
图7为本申请实施例提供的一种用于实现文件传输的身份网关的结构示意图;
图8为本申请实施例中的一种用于实现文件传输的计算设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请一个典型的配置中,终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本申请实施例提供了一种传输方法,该方法基于零信任网络的构架,采用先认证后传输的方式,替代了传统的VPN结合文件传输应用的方式,因此不会因为不同底层环境协议或者品牌的VPN和文件传输应用而存在组件兼容性影响文件稳定传输的问题。其中,客户端设备在传输之前先向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证,从而在用户层面上对访问的安全进行控制,然后可以获取身份网关在认证通过后下发的应用访问策略,其中,所述应用访问策略用于确定具有访问权限的目标应用,指定用户身份可以访问指定的应用,以最小化授权原则划分身份权限,从而在用户层面的基础上,进一步在应用层面上实现精细化的访问权限控制。
在进行文件上传时,客户端设备通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器。而在进行文件下载时,客户端设备通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,所述数据包的协议头中至少包括断点续传控制信息,使得客户端设备能够根据断点续传控制信息恢复上传或下载后续的文件,实现对断点续传的功能进行控制,当文件上传或文件下载异常后,若数据包的协议头中具有断点续传控制信息,则可以根据所述断点续传控制信息继续传输未完成上传或下载的数据包,从而实现文件的断点续传。由于在传输数据时,客户端设备与业务服务器之间并不直接交互,而是通过零信任网络的身份网关透传关于文件内容的数据包,并使用连接器作为业务服务器的代理,因此可以有效确保了安全性。并且由于所述断点续传控制信息至少包括起始标识符和终止标识符,能够分别用于标识数据包中文件内容的开始位置和结束位置,便于用户在大文件传输的过程中更加方便地控制数据包所携带的文件内容,由此可以根据网络波动情况灵活调整传输量。
图1示出了实现本申请实施例所提供的传输方法的相关设备的整体构架,包括客户端设备110、身份网关120、连接器130以及业务服务器140。其中,所述身份网关120、连接器130以及业务服务器140位于零信任网络内,当客户端设备110与业务服务器140之间需要基于ZTNA(Zero Trust Network Access,零信任网络访问)的技术实现文件传输。在进行文件传输的过程中,身份网关120用于对客户端设备110进行身份认证并下发应用访问策略,同时在通过身份认证后透传关于文件内容的数据包,连接器130作为业务服务器140的代理,与客户端设备110之间传输关于文件内容的数据包。
其中,客户端设备110的具体实现可以是用户实际所使用的各类终端设备,包括但不限于计算机、手机、平板电脑、智能手表等各类设备,用户可以使用客户端设备来访问业务服务器中的目标应用,进行文件的上传或下载。身份网关120、连接器130以及业务服务器140的具体实现可以包括但不限于如网络主机、单个网络服务器、多个网络服务器集中的服务器或者是分布式云网络中的服务器等。在此所述分布式云网络由基于云计算(CloudComputing)的大量主机或网络服务器构成。分布式云网络可以是边缘云网络,该边缘云网络可以基于云计算技术的核心和边缘计算的能力,构筑在边缘基础设施之上的云计算平台,以形成边缘位置的计算、网络、存储、安全、应用等能力全面的弹性云平台,身份网关可以是边缘云网络中的边缘节点。应当注意的是,本申请实施例并不限制分布式网络具体为何种网络,任意多台计算设备组成的分布式架构的网络均适用于本申请。
图2示出了本申请实施例提供的一种传输方法的交互流程,至少包括以下的处理步骤:
步骤S201,客户端设备向零信任网络的身份网关发起身份认证请求。本申请实施例提供的传输方案为了确保数据的安全,会基于ZTNA技术实现的文件传输,因此在进行文件传输之前需要先进行身份认证,确认访问者的身份是否符合要求。由此,基于ZTNA的身份认证机制,排除不具备访问权限的访问者,使得此类访问者无法上传和下载文件,提升数据的安全性。
步骤S202,身份网关获取客户端设备发起的身份认证请求,根据所述身份认证请求对所述客户端设备进行认证。
其中,身份认证请求中可以包含当前使用客户端设备的用户的身份信息,如用户名、用户标识、用户所属的分组等。身份网关可以根据预先设定的认证策略对身份信息进行验证,判断发起身份认证请求的用户是否符合认证策略中设定的认证条件。例如,认证策略中可以包括一黑名单,当用户标识或用户名不在该黑名单中时,判定认证通过。还如,认证策略中也可以设定一分组列表,当用户所属的分组属于该分组列表所包含的分组时,判定认证通过。在此,本领域技术人员应当理解,上述关于身份网关进行认证的具体方式仅为举例,现有或今后出现的基于类似原理的其它形式如果能够适用于本申请,也应该包含在本申请的保护范围内,并以引用的形式包含于此。
步骤S203,在认证通过后,身份网关向所述客户端设备下发应用访问策略。
其中,所述应用访问策略用于确定具有访问权限的目标应用,由此基于客户端设备的身份划分权限,明确客户端设备的当前身份可以在应用访问策略所授权的目标应用上传或下载文件。例如,若客户端设备的当前用户User1,身份网关在完成身份认证后,可以向客户端设备下发与其身份匹配的应用访问策略,该应用访问策略明确了用户User1所使用的客户端设备可以访问哪些目标应用。由此,本方案以最小化授权的原则划分身份权限,指定身份可以在指定应用上传下载文件,避免没有权限的用户访问目标应用,进一步提升了数据的安全性。
步骤S204,客户端获取身份网关在认证通过后下发的应用访问策略。在获取到身份网关下发的应用访问策略之后,客户端设备即可确定其具有的应用访问权限,由此可以从指定的目标应用下载文件或者向目标应用上传文件。
步骤S205,在进行文件上传时,客户端设备通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包。在该过程中,身份网关的作用是透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,不对数据包做其它的处理,使得连接器可以通过身份网关获取客户端设备发送的关于文件内容的数据包。
步骤S206,连接器在接收到来自客户端设备的数据包后,将所述数据包发送给所述目标应用对应的业务服务器。在该过程中,连接器作为业务服务器的代理,实现与客户端设备之间的数据交互,由此可以避免实际存储文件的业务服务器对外暴露,提升网络的安全性。
步骤S207,在进行文件下载时,连接器作为目标应用对应的业务服务器的代理,从所述业务服务器接收需要发送给客户端设备关于文件内容的数据包,并通过身份网关向所述客户端设备发送关于文件内容的数据包。
步骤S208,客户端设备通过身份网关透传的方式,从所述零信任网络内的连接器接收关于文件内容的数据包,由此实现文件的下载。
步骤S209,在文件上传或文件下载出现异常后,客户端设备、连接器以及业务服务器之间会根据所述断点续传控制信息保持文件响应状态,继续传输未完成上传或下载的数据包。
其中,文件上传或文件下载的异常可以是由文件传输路径上任意的设备所在的网络出现波动、切换甚至中断所导致,例如当客户端设备的网络出现波动时,可能会在一定的时间段内导致其无法继续发送或接受数据包,从而引起文件上传或文件下载的异常。
本申请实施例的方案中,可以通过在所述数据包的协议头中添加断点续传标识来对本次文件的上传或下载是否启用断点续传功能进行标记。例如,若在发送的数据包的协议头中添加了断点续传标识,则表示本次文件传输启用了断点续传功能,因此当文件上传或文件下载异常后,可以根据所述断点续传标识继续传输未完成上传或下载的数据包。否则,若发送的数据包的协议头中未添加断点续传标识,当文件上传或文件下载异常后,则无法继续该文件的传输,需要重新上传或下载该文件的所有文件内容。在实际场景中,用户在使用客户端设备进行文件上传或下载时,可以在客户端设备的应用界面中选择是否启用断点续传功能,当选择启用时,则会在数据包的协议头中添加断点续传标识,同时生成对应的断点续传控制信息。其中,断点续传标识用于标记本次传输过程开启了断点续传的功能,而断点续传控制信息则用于对具体的断点续传过程进行控制。
由于目前现有的大部分文件传输应用在实现断点续传功能时都依赖于已有的一些底层传输协议,如FTP(File Transfer Protocol,文件传输协议)、SFTP(SSH FileTransfer Protocol,基于安全外壳的文件传输协议)、SCP(Secure Copy Protocol,安全复制协议)或者HTTP(Hypertext Transfer Protocol,超文本传输协议)等。这些协议对于断点时长的控制都采用默认的时长设置,难以对断点时长进行自定义的控制,当网络恢复的时长超过默认的时长时,例如在并发量较大的文件传输场景中时,容易发生断点续传失效的情况,使得断点续传功能的可靠性不足。
为了解决该问题,本申请一些实施例的方案中,采用了自定义的传输协议,从而在数据包的协议头中添加更多自定义的信息,例如可以对断点时长进行自定义设置,以可以根据需求设置对应的时长,实现更加稳定的断点续传功能。由此,客户端设备可以在进行文件的上传或下载之前,确定断点时长,该断点时长可以自定义设置。例如,在大并发的传输场景中,用户可以主动设置更长的断点时长,以实现更加可靠的断点续传功能。
在实际场景中,在客户端设备的应用界面也可以提供断点时长的输入入口,由此用户在客户端设备的应用界面中选择是否启用断点续传功能,可以同时设置本次传输的断点时长。由于采用了自定义的传输协议,因此可以在协议头设置自定义字段,将本实施例中与断点续传功能相关的信息通过字段信息的形式写入到自定义字段中,例如前述的断点续传控制信息、断点时长等信息,均可以添加至一个或多个自定义字段中,从而实现灵活的断点续传控制。由此,本实施例中所传输的数据包的协议头的自定义字段中至少可以包括断点续传控制信息和断点时长,断点时长可以在协议头的自定义字段中进行自定义设置。
自定义传输协议的协议头中除了断点续传控制信息、断点时长等字段之外,还可以包括协议名称、消息类型、负载长度等字段。其中,协议名称标明了本次传输所使用的传输协议,用于区分不同版本的传输协议。消息类型用于区分不同种类的消息,例如请求消息、响应消息。负载长度是指该数据包所发送的关于文件内容的具体数据的长度。由此,可以根据实际应用场景的需要,设置不同的协议头的字段,使得传输过程中可以实现具有更加丰富的自定义配置,从而可以为不同方式的传输方式构建不同的协议格式,通过设置各种不同功能的协议头字段,改变协议传输过程中的策略下发,提供更加丰富的加密传输方式。
由此,在文件上传或文件下载异常后,涉及文件传输的相关设备可以先判断是否在断点时长内恢复,若异常情况在断点时长内恢复,则可以根据所述断点续传控制信息继续传输未完成上传或下载的数据包。若异常情况未在断点时长内恢复,则终止本次文件的上传或下载,不再等待异常情况的恢复,后续若需要完成该文件的传输,需要重新发送所有关于该文件的文件内容。
本申请实施例方案中,客户端设备所实现的相应功能可以由客户端设备上所运行的客户端应用的文件传输模块实现,而连接器上所实现的相应功能可以由连接器上运行的服务组件实现。由此,本方案可以通过在客户端设备上运行的客户端应用上开放文件传输模块,搭配部署在零信任网络内的连接器上的服务组件,实现端到端一体化的综合解决方案。
在本申请的一些实施例中,客户端设备可以在文件上传或文件下载异常后与所述零信任网络保持心跳探测。其中,客户端设备可以与零信任网络中任意一个与其进行交互的设备保持心跳探测,例如可以是零信任网络的边缘节点,也可以是零信任网络中与客户端设备进行数据交互的连接器等,具体可以根据零信任网络的实际构架灵活设置。
通过心跳探测的探测结果,可以确定客户端设备与零信任网络之间的连通性,进而可以根据连通性发生变化的具体时间点,可以确定文件的传输是否在断点时长内恢复。具体地,客户端设备在文件上传或文件下载异常后的断点时长内,可以与所述零信任网络保持心跳探测,根据心跳探测的结果,判断文件上传或文件下载是否在断点时长内恢复。例如,客户端设备文件发生传输异常后,可以启动一计时器,并定时向零信任网络发送发送心跳探测数据包,在计时器达到预先设定的断点时长之前,若客户端设备与零信任网络之间的传输异常已经恢复,则客户端设备将会接收到零信任网络返回的心跳探测的应答包,此时即可确定文件上传或文件下载在断点时长内恢复。否则,若在计时器达到预先设定的断点时长之后,客户端设备仍未收到零信任网络返回的心跳探测的应答包,则表示文件上传或文件下载未在断点时长内恢复。
其中,心跳探测的实现方式可以利用TCP(Transmission Control Protocol,传输控制协议)建连握手的机制,例如在传输发生异常之后,身份网关可以复用向客户端设备响应的应答包,并且记录断点续传控制信息,当接收客户端设备第三次握手的数据包时,判断本次的异常情况恢复,此时客户端设备可以继续上传或下载后续的文件内容。
本申请实施例中的所述断点续传控制信息可以至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置。例如,若本实施例中的起始标识符和终止标识符分别为0xAA和0xBB,其中,0xAA表示数据包中所携带的文件内容在整个文件中的起始位置为第AA个字节,0xBB表示数据包中所携带的文件内容在整个文件中的终止位置为第BB个字节,Ox表示AA和BB均为十六进制。由此可以便于用户在大文件传输的过程中更加方便地控制数据包所携带的文件内容,从而根据网络波动情况灵活调整传输量。
本申请实施例中的所述断点续传控制信息还可以包括序列号。所述序列号用于作为所述数据包的唯一标识信息,以便于进行文件上传或下载的设备判断该数据包是否已经在发生异常之前完成传输。由此,通过上述的起始标识符、终止标识符和序列号可以更加精准的判断文件中的哪些文件内容已经完成传输,可以避免在断点续传的过程中重复传输或者丢失,提升传输效率。
在文件上传或文件下载异常后,客户端设备与连接器之间可以根据已完成传输的文件数据包中的断点续传控制信息确定已完成传输的文件内容。其中,客户端设备可以根据已完成传输的文件内容,通过身份网关透传的方式向所述零信任网络内的连接器发送关于未完成传输的文件内容的数据包,或者通过身份网关透传的方式从所述零信任网络内的连接器接收关于未完成传输的文件内容的数据包。而连接器可以根据已完成传输的文件内容,通过身份网关透传的方式从客户端设备获取关于未完成传输的文件内容的数据包,或者通过身份网关透传的方式向所述客户端设备发送关于未完成传输的文件内容的数据包。
图4示出了本申请实施例所使用的自定义传输协议的协议头的具体内容。该自定义传输协议可以基于TCP协议进行二次开发封装的应用层协议,通过按照文件传输过程的特点自定义协议头的字段信息,从而可以适配零信任网络,并且可以通过字段信息来控制文件上传和下载的过程。其中,该自定义传输协议的协议头包括如下的字段信息:
Method:文件请求方式,可选参数包括UP(上传)和DOWN(下载);
URL:上传和下载的URL(Uniform Resource Locator,统一资源定位符);
Version:协议版本号;
Open Byte:数据包的起始标识符,表示数据包中的文件内容在上传或下载的整个文件中的起始位置字节数,标识每一个数据包中文件内容的开始位置;
Closing Byte:数据包的终止标识符,表示数据包中的文件内容在上传或下载的整个文件中的结束位置字节数,标识每一个数据包中文件内容的结束位置;
Serial Number:数据包的唯一序列号,防止数据包重复发送或者丢失;
Dwell Time:数据包停留时长,与客户端设备中设置断点时长保持一致。在这个停留时长内,当传输网络恢复后,客户端设备将探测最新数据包序列号和终止标识符,从而判定下一次请求的起始标识符。
Byte Length:数据包的数据长度,可根据传输网络的实际波动情况调整负载数据大小;
Payload:负载数据,即数据包中实际传输的关于文件内容的具体数据。
在断点续传场景中,相关的字段信息主要包括Open Byte、Closing Byte、SerialNumber、Dwell Time和Byte Length,可以通过定义这几个字段的取值来控制数据包的传输过程。
本实施例中,将数据包中关于文件内容的具体位置的信息使用了两个字段信息来表示,分别为Open Byte和Closing Byte,使得本方案可以更加灵活方便的控制文件内容的传输。其原因在于:在其它的传输协议中,如http(Hypertext Transfer Protocol,超文本传输协议)协议,是通过range字段来控制文件内容的传输,该字段属于范围取值,且步长固定,因此在传输古城中无法有效根据网络当前的波动情况来做适应,调整range范围的大小。而本申请实施例的方案中,客户端和连接器可以感知网络波动情况,来调整Open Byte、Closing Byte以及Byte Length的具体数值,在网络质量好时加大传输量,在网络质量差时降低传输量。同时,在网络中断后,可以根据Dwell Time保持连接状态,等到网络恢复实现断点续传。
本实施例种,以名为“LargeFile.zip”的文件的下载过程为例,客户端设备在下载该文件时,其中一个数据包的协议头字段可以包括如下内容:
Method:DOWN
URL:"/files/LargeFile.zip"
Version:1.0;
Open Byte:0
Closing Byte:2000000000
Serial Number:MD5(0_2000000000_/files/LargeFile.zip)
Dwell Time:10seconds
Byte Length:Adjustable
在进行文件下载的过程中,客户端和服务器之间的网络环境可能发生变化。例如,由于网络环境由良好突然变差时,该传输协议通过感知当前网环境的状态,降低ByteLength以减小每个数据包中的数据量,确保传输过程稳定。而在网络质量变好时,该传输协议则会根据实时网络情况,适度增加数据包的数据量,提高传输速度。
当发生网络中断时,此时客户端设备可以记录下最后成功传输的数据包中的序列号和结束位置字节数,并根据停留时长(Dwell Time)机制维持当前的连接状态,等待网络恢复。在10秒内,一旦网络恢复之后,数据包的发送方可以根据已经成功传输的数据包中的序列号和结束位置字节数判断需要继续传输的起始位置字节数,以实现无缝的断点续传。
在进行续传时,由于发送方是根据序列号和结束位置字节数来发送客户端设备缺失的数据包,这些数据包的序列号使用了数据包的起始位置字节数、结束位置字节数和文件的URL进行MD5编码生成,这样的设计保证了每个传输包的唯一性。由此,在续传后续的文件内容时,可以通过序列号来保证数据包的唯一性,防止发生重复发送数据包的情况,确保精准的丢失补传。
由此可知,上述自定义传输协议是为了满足大文件传输的需求而设计的,其主要特点是自定义协议头部字段,包括起始位置字节数、结束位置字节数、序列号、停留时长和数据长度等。这些可自定义的字段允许了对数据包进行灵活的控制,保证了数据传输中任意切片的精准丢失补传。
相较于HTTP协议中固定的range字段,该自定义传输协议的设计更加灵活,通过允许客户端和连接器感知网络环境变化并调整数据长度,可以更好地适应不同网络条件。在网络质量良好时,传输协议可以增大每个数据包的传输量以提高传输速度,而在网络环境较差时,传输协议则可以降低每个数据包的传输量以避免数据丢失或延迟。此外,传输协议中的停留时长(Dwell Time)机制可保持连接状态,在网络中断后自定义时间内进行续传,以确保断点续传的有效性。
在进行文件下载时,为了使得文件的传输过程更加稳定,连接器可以在文件下载的过程中向所述目标应用的业务服务器发起关于文件的异步回源。通过异步回源,即使客户端设备与连接器之间的传输链路发生异常,导致暂时无法继续文件内容的传输,连接器于业务服务器之间仍然保持文件内容的正常传输,将还未完成传输的文件内容缓存在连接器本地,为传输链路的恢复做好准备。由此,当客户端设备与连接器之间的传输链路的异常恢复后,连接器不需要再从业务服务器实时获取需要的文件内容,而是直接从本地读取后续的文件内容,发送给客户端设备即可,由此可以使得整个传输过程更加稳定。此外,通过异步回源的方式,当同一个文件被下载一次后,由于了连接器会可以缓存该文件,其它客户端设备再次从该连接器请求下载该文件时,可以直接从连接器获取该文件,不需要再次向业务服务器获取,由此可以提升下载速度,节约业务服务器的带宽资源。
此外,本申请实施例的方案还提供添加水印的功能,客户端设备在完成文件的下载之后,可以在文件中添加水印信息,对文件的来源或者其它信息进行标记,避免下载的文件被滥用,从而在一定程度上提升数据的安全性。例如,对于一些图片、文档等可读文件,可以在背景中添加关于水印信息的文字或图片,标记下载该图片或者文档的用户、所属部门等。
图3示出了采用本申请实施例提供的方案在零信任网络实现文件断点续传的交互过程,主要包括了身份认证、访问授权、文件上传、文件下载等几个流程,具体如下:
S1,身份认证流程。用户在客户端设备110上完成用户登录之后,向身份网关120发起身份认证请求,对用户进行身份验证,以确认访问者的身份。
S2,访问授权流程。身份网关120向客户端设备110下发应用访问策略,明确该访问者可以访问哪些目标应用。
S3,文件上传流程,该上传流程可以包括以下几个子步骤:
S3.1,客户端设备110发起文件上传,通过身份网关120透传的方式向连接器130发送数据包。在上传时,用户可以在客户端设备的应用界面选择上传文件,并开启断点续传功能,同时设定断点时长。本申请实施例的一种应用界面中可以至少包括上传区域、下载区域和断点续传按键,若需要发起文件上传,可以在其中的文件上传区域输入需要上传的文件,然后通过点击界面中的断点续传按键可以选择是否开启断点续传功能,同时设定的断点时长。
以基于TCP改进的自定义传输协议为例,数据包的传输在数据传输层实现,该传输过程具体可以包括以下流程:首先,客户端设备110与身份网关120之间通过TCP三次握手的方式构建通讯隧道,然后基于该通讯隧道向身份网关120发送数据包。由于开启了断点续传功能,该数据包的协议头的自定义字段中添加了关于断点续传的相关字段信息,如断点时长、起始标识符、终止标识符、序列号等字段信息。身份网关120在收到数据包之后,通过TCP三次握手的方式与连接器130构建通讯隧道,将数据包直接转发给连接器130,实现数据包的透传。
S3.2,连接器130接收身份网关120透传的数据包,作为业务服务器140的代理,向其发送数据包。
S3.3,业务服务器140向连接器130返回上传成功的响应信息。
S3.4,连接器130将上传成功的响应信息通过身份网关120透传至客户端设备。
在S3的文件上传流程中,若网络出现波动、切换甚至中断等异常情况时,连接器130可以基于协议头的起始标识符、终止标识符和序列号字段保持文件上传的响应状态。由于传输中断前的数据包的协议头中设置了断点时长,客户端设备110、身份网关120以及连接器130之间不会在断点时长内断开已建立的通讯隧道,同时连接器130还会在断点时长内与客户端设备110与之间发起心跳探测,当通过通讯隧道获得包含断点续传控制信息的心跳响应后,即可恢复文件的上传,实现断点续传功能。
S4,文件下载流程,该下载流程可以包括以下几个子步骤:
S4.1,客户端设备110通过身份网关120透传的方式向连接器130发送文件下载请求。在下载时,用户可以在客户端设备的应用界面选择下载文件,并开启断点续传功能,同时设定断点时长。以前述的应用界面为例,用户可以在其中的文件下载区域输入需要下载的文件,然后通过点击界面中的断点续传按键可以选择是否开启断点续传功能,同时设定的断点时长。
S4.2,连接器130接收身份网关120透传的文件下载请求,作为业务服务器140的代理,向业务服务器140请求关于文件的数据包。
S4.3,业务服务器140向连接器130返回所请求的文件的数据包。
S4.4,连接器130将所述文件的数据包通过身份网关120透传至客户端设备。
在S4的文件下载流程中,若网络出现波动、切换甚至中断等异常情况时,连接器130可以基于协议头的起始标识符、终止标识符和序列号字段保持文件下载的响应状态,同时在断点时长内与客户端设备110与之间发起心跳探测,当获得包含断点续传控制信息的心跳响应后,即可恢复文件的下载,继续向客户端设备110发送数据包,实现断点续传功能。此外,连接器130可以在下载过程中开启关于所述文件的异步回源,确保客户端设备与连接器之间的网络异常期间,连接器到业务服务器之间可以保持正常传输,预先将文件缓存至连接器,确保网络恢复后的续传更加高效、稳定。
本申请实施例还提供了一种用于实现文件传输的客户端设备,所述客户端设备的结构如图5所示,包括认证交互模块510、第一上传模块520、第一下载模块530和第一续传模块540。其中,认证交互模块510用于向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证;获取身份网关在认证通过后下发的应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用。第一上传模块520用于在进行文件上传时,通过身份网关透传的方式,向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器。第一下载模块530用于在进行文件下载时,通过身份网关透传的方式,从所述零信任网络内的连接器接收关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息。第一续传模块540用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种用于实现文件传输的连接器,所述连接器部署于零信任网络中,其结构如图6所示,包括第二上传模块610、第二下载模块620以及第二续传模块630。其中,第二上传模块610用于在进行文件上传时,通过身份网关获取从客户端设备发送的关于文件内容的数据包,并将所述数据包发送给所述目标应用对应的业务服务器,其中,所述目标应用根据应用访问策略确定,所述应用访问策略由身份网关对所述客户端设备的用户身份进行认证通过后向所述客户端设备下发。第二下载模块620用于在进行文件下载时,通过身份网关向所述客户端设备发送关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息。第二续传模块630用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
本申请实施例还提供了一种用于实现文件传输的身份网关,所述身份网关部署于零信任网络中,其结构如图7所示,包括认证处理模块710和透传模块720。其中,认证处理模块710用于获取客户端设备发起的身份认证请求,根据所述身份认证请求对所述客户端设备进行认证,并在认证通过后,向所述客户端设备下发应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用。透传模块720用于在进行文件上传时,透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;以及在进行文件下载时,透传所述连接器向客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,用于在文件上传或文件下载异常后根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
此外,本申请实施例还提供了一种计算设备,该计算设备的结构如图8所示,包括用于存储计算机程序指令的存储器810和用于执行计算机程序指令的处理器820,其中,当该计算机程序指令被该处理器执行时,触发所述处理器执行所述传输方法。
本申请实施例中的方法和/或实施例可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在该计算机程序被处理单元执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图或框图示出了按照本申请各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的针对硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请实施例还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个计算机程序指令,所述计算机程序指令可被处理器执行以实现前述本申请的多个实施例的方法和/或技术方案的步骤。
此外,本申请实施例还提供了一种计算机程序,所述计算机程序存储于计算机设备,使得计算机设备执行所述控制代码执行的方法。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一些实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。

Claims (17)

1.一种传输方法,所述方法应用于客户端设备,其特征在于,所述方法包括:
向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证;
获取身份网关在认证通过后下发的应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
在进行文件上传时,通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
在进行文件下载时,通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
确定断点时长,其中,所述断点时长可在所述数据包的协议头的自定义字段进行自定义设置;
在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包,包括:
在文件上传或文件下载异常后,判断是否在断点时长内恢复;
若在断点时长内恢复,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
3.根据权利要求2所述的方法,其特征在于,在文件上传或文件下载异常后,判断是否在断点时长内恢复,包括:
在文件上传或文件下载异常后的断点时长内,与所述零信任网络保持心跳探测;
根据心跳探测的结果,判断文件上传或文件下载是否在断点时长内恢复。
4.根据权利要求1所述的方法,其特征在于,在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包,包括:
在文件上传或文件下载异常后,根据已完成传输的文件数据包中的断点续传控制信息确定已完成传输的文件内容;
根据已完成传输的文件内容,通过身份网关透传的方式向所述零信任网络内的连接器发送关于未完成传输的文件内容的数据包,或者通过身份网关透传的方式从所述零信任网络内的连接器接收关于未完成传输的文件内容的数据包。
5.根据权利要求1所述的方法,其特征在于,所述断点续传控制信息还包括序列号,所述序列号用于作为所述数据包的唯一标识信息。
6.一种传输方法,所述方法应用于零信任网络的连接器,其特征在于,所述方法包括:
在进行文件上传时,通过身份网关获取客户端设备发送的关于文件内容的数据包,并将所述数据包发送给所述目标应用对应的业务服务器,其中,所述目标应用根据应用访问策略确定,所述应用访问策略由身份网关对所述客户端设备的用户身份进行认证通过后向所述客户端设备下发;
在进行文件下载时,通过身份网关述客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
7.根据权利要求6所述的方法,其特征在于,在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包,包括:
在文件上传或文件下载异常后,判断是否在断点时长内恢复;
若在断点时长内恢复,根据所述断点续传控制信息继续传输未完成上传或下载的数据包,其中,所述断点时长可在所述数据包的协议头的自定义字段进行自定义设置。
8.根据权利要求7所述的方法,其特征在于,在文件上传或文件下载异常后,判断是否在断点时长内恢复,包括:
在文件上传或文件下载异常后的断点时长内,与所述客户端设备保持心跳探测;
根据心跳探测的结果,判断文件上传或文件下载是否在断点时长内恢复。
9.根据权利要求6所述的方法,其特征在于,在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包,包括:
在文件上传或文件下载异常后,根据已完成传输的文件数据包中的断点续传控制信息确定已完成传输的文件内容;
根据已完成传输的文件内容,通过身份网关透传的方式从客户端设备获取关于未完成传输的文件内容的数据包,或者通过身份网关透传的方式向所述客户端设备发送关于未完成传输的文件内容的数据包。
10.根据权利要求6所述的方法,其特征在于,所述断点续传控制信息还包括序列号,所述序列号用于作为所述数据包的唯一标识信息。
11.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在进行文件下载时,向所述目标应用的业务服务器发起关于文件的异步回源。
12.一种传输方法,所述方法应用于零信任网络的身份网关,其特征在于,所述方法包括:
获取客户端设备发起的身份认证请求;
根据所述身份认证请求对所述客户端设备进行认证;
在认证通过后,向所述客户端设备下发应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
在进行文件上传时,透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
在进行文件下载时,透传所述连接器向客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,用于在文件上传或文件下载异常后根据所述断点续传控制信息继续传输未完成上传或下载的数据包,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置。
13.一种用于实现文件传输的客户端设备,其特征在于,所述客户端设备包括:
认证交互模块,用于向零信任网络的身份网关发起身份认证请求,以使所述身份网关根据所述身份认证请求对所述客户端设备的用户身份进行认证;获取身份网关在认证通过后下发的应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
第一上传模块,用于在进行文件上传时,通过身份网关透传的方式向所述零信任网络内的连接器发送关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;
第一下载模块,用于在进行文件下载时,通过身份网关透传的方式从所述零信任网络内的连接器接收关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
第一续传模块,用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
14.一种用于实现文件传输的连接器,其特征在于,所述连接器部署于零信任网络中,包括:
第二上传模块,用于在进行文件上传时,通过身份网关获取客户端设备发送的关于文件内容的数据包,并将所述数据包发送给所述目标应用对应的业务服务器,其中,所述目标应用根据应用访问策略确定,所述应用访问策略由身份网关对所述客户端设备的用户身份进行认证通过后向所述客户端设备下发;
第二下载模块,用于在进行文件下载时,通过身份网关向所述客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置;
第二续传模块,用于在文件上传或文件下载异常后,根据所述断点续传控制信息继续传输未完成上传或下载的数据包。
15.一种用于实现文件传输的身份网关,其特征在于,所述身份网关部署于零信任网络中,包括:
认证处理模块,用于获取客户端设备发起的身份认证请求,根据所述身份认证请求对所述客户端设备进行认证,并在认证通过后,向所述客户端设备下发应用访问策略,所述应用访问策略用于确定具有访问权限的目标应用;
透传模块,用于在进行文件上传时,透传所述客户端设备向所述零信任网络内的连接器发送的关于文件内容的数据包,以使所述连接器将所述数据包发送给所述目标应用对应的业务服务器;以及在进行文件下载时,透传所述连接器向客户端设备发送的关于文件内容的数据包,其中,发送的数据包来自于所述目标应用对应的业务服务器,所述数据包的协议头的自定义字段中至少包括断点续传控制信息,用于在文件上传或文件下载异常后根据所述断点续传控制信息继续传输未完成上传或下载的数据包,所述断点续传控制信息至少包括起始标识符和终止标识符,所述起始标识符和终止标识符分别用于标识数据包中文件内容的开始位置和结束位置。
16.一种计算设备,该设备包括用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发所述设备执行权利要求1至12中任一项所述的方法。
17.一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如权利要求1至12中任一项所述的方法。
CN202410104205.8A 2024-01-24 2024-01-24 一种传输方法、设备以及计算机可读介质 Pending CN117938838A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410104205.8A CN117938838A (zh) 2024-01-24 2024-01-24 一种传输方法、设备以及计算机可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410104205.8A CN117938838A (zh) 2024-01-24 2024-01-24 一种传输方法、设备以及计算机可读介质

Publications (1)

Publication Number Publication Date
CN117938838A true CN117938838A (zh) 2024-04-26

Family

ID=90760484

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410104205.8A Pending CN117938838A (zh) 2024-01-24 2024-01-24 一种传输方法、设备以及计算机可读介质

Country Status (1)

Country Link
CN (1) CN117938838A (zh)

Similar Documents

Publication Publication Date Title
US10587544B2 (en) Message processing method, processing server, terminal, and storage medium
US9762643B2 (en) Providing hosted virtual desktop infrastructure services
CN110999260B (zh) 在基于代理的网络通信中的控制数据的传输
US10034057B2 (en) Message processing method, device, gateway, STB and IPTV
US20120246226A1 (en) System and method for sharing data from a local network to a remote device
EP4161117A1 (en) Data transmission method and system, electronic device, and computer readable storage medium
CN112235266A (zh) 一种数据处理方法、装置、设备及存储介质
WO2012163005A1 (zh) 访问虚拟专用网络的方法、装置以及网关设备
US11799942B2 (en) Terminal device and communication method
US10462265B2 (en) On-demand startup of offline servers and connection routing
US11961074B2 (en) Method and system for a network device to obtain a trusted state representation of the state of the distributed ledger technology network
CN111726328B (zh) 用于对第一设备进行远程访问的方法、系统以及相关设备
CN110688233B (zh) 基于rxjs的客户端ipc通讯方法、存储介质、设备及系统
CN117938838A (zh) 一种传输方法、设备以及计算机可读介质
CN114584558B (zh) 云边协同分布式api网关系统及api调用方法
CN115766902A (zh) 一种通过quic发送非敏感数据的方法、装置、设备、介质
JP2006025211A (ja) ピアツーピア端末装置並びにピアツーピア通信システム、ピアツーピア通信方法、ピアツーピア端末プログラム
CN114124935A (zh) Ftp服务的实现方法、系统、设备及存储介质
Moon et al. Cedos: A network architecture and programming abstraction for delay-tolerant mobile apps
CN116708027B (zh) 一种多端远程协同通信方法、装置、设备及存储介质
EP3435629B1 (en) Transport of control data in proxy-based network communications
US11991152B2 (en) Bypassing IKE firewall for cloud-managed IPSec keys in SDWAN fabric
JPWO2018225330A1 (ja) 通信装置、中継装置、情報処理システム、通信システム、通信方法、およびプログラム
CN117354205A (zh) 握手复用方法、设备以及计算机可读介质
CN116346923A (zh) 业务处理方法、系统及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination