WO2011020397A1 - 网络代理实现方法及装置 - Google Patents

Description

网络代理实现方法及装置 本申请要求于 2009年 8月 17日提交中国专利局， 申请号为

200910166303.X, 发明名称为 "网络代理实现方法及装置" 的中国专利申 请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明实施例涉及计算机网络技术领域， 尤其是一种网络代理实现方法 及装置。 背景技术

随着网络的普及应用， 网络攻击、 病毒文件传播、 垃圾邮件泛滥等网络 安全问题日益严重， 防火墙、 病毒网关、 邮件网关等网关设备随着运营商、 企业用户的迫切需要应运而生。 网关设备为了对数据流中的应用数据进行还 原， 首先需要对数据流中的应用数据进行緩存， 在应用数据进行緩存的过程 中， 代理网关既充当客户端又充当服务端， 分别与真实的服务端和客户端通 信， 截取应用数据并将应用数据进行緩存， 在该过程中， 真实的客户端与服 务端通常并不知道与其交互数据的对端的真实身份。 在客户端与服务端建立 连接的过程中， 网关设备通常是在三次握手时开始进行全代理， 客户端与网 关设备的代理服务器建立连接， 网关设备的代理客户端与服务器端建立连接。

发明人在实施本发明的过程中发现， 现有技术中由于代理客户端发起三 次握手进行连接后才能获知服务端是否处于工作状态， 当客户端与服务端建 立连接后若服务端处于关闭状态， 则会导致代理客户端与服务端建立连接后 又迅速断开， 从而影响了用户体验。 发明内容

本发明实施例的目的在于提供一种网络代理实现方法及装置， 使客户端 在获取到服务端的状态信息后再建立代理连接， 从而确保建立第二连接的可 靠性， 提高用户体验。

本发明实施例提供了一种网络代理实现方法， 包括：

建立客户端与服务端之间的第一连接， 使所述客户端通过所述第一连接 获取所述服务端的状态信息；

若所述月良务端的状态信息显示所述月良务端为开启状态， 则建立所述客户 端与所述服务端之间的第二连接， 使所述客户端与所述服务端通过所述第二 连接传输数据报文。

本发明实施例还提供了一种网络代理实现装置， 包括：

第一建立模块， 用于建立客户端与服务端之间的第一连接， 使所述客户 端通过所述第一连接获取所述服务端的状态信息；

第二建立模块， 用于当所述服务端的状态信息显示所述服务端为开启状 态， 则建立所述客户端与所述服务端之间的第二连接， 使所述客户端与所述 服务端通过所述第二连接传输数据报文。 务端的第二连接之前通过建立第一连接获知服务端的状态信息， 当服务端的 状态信息为开启时才建立第二连接， 从而确保建立第二连接的可靠性， 提高 了用户体验。 附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明网络代理实现方法一个实施例的流程示意图；

图 2为本发明网络代理实现方法又一个实施例的流程示意图；

图 3为图 2所示实施例建立第一连接的信令流程图； 图 4为图 2所示实施例建立第二连接的信令流程图；

图 5为图 2所示实施例客户端与服务端发送数据报文的信令流程图; 图 6为图 2所示实施例断开第二连接的信令流程图；

图 7为本发明网络代理实现装置一个实施例的结构示意图；

图 8为本发明网络代理实现装置又一个实施例的结构示意图；

图 9为本发明实施例所适用系统的结构示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明网络代理实现方法一个实施例的流程示意图，如图 1所示， 本实施例包括以下步骤：

步骤 101、 通过代理适配器建立客户端与服务端之间的第一连接， 使客 户端通过第一连接获取服务端的状态信息；

步骤 102、 若服务端的状态信息显示所述服务端为开启状态， 则建立客 户端与服务端之间的第二连接， 使客户端与服务端通过第二连接传输数据报 文。

本发明实施例提供的网络代理实现方法， 在建立客户端与服务端的第二 连接之前通过建立第一连接获知服务端的状态信息， 当服务端的状态信息为 开启状态时才建立第二连接， 从而确保建立第二连接的可靠性， 提高了用户 体验。

图 2为本发明网络代理实现方法又一个实施例的流程示意图， 图 3为图 2所示实施例建立第一连接的信令流程图， 图 4为图 2所示实施例建立第二 连接的信令流程图， 图 5为图 2所示实施例客户端与服务端发送数据报文的 信令流程图， 图 6为图 2所示实施例断开第二连接的信令流程图。 如图 2所示， 本实施例包括以下步骤：

步骤 201、 通过代理适配器建立客户端与服务端之间的第一连接， 使客 户端通过第一连接获取服务端的状态信息；

步骤 202、 若服务端的状态信息显示为开启状态， 则建立客户端与服务 端之间的第二连接， 使客户端与服务端通过第二连接传输数据报文；

步骤 203、 若服务端的状态信息显示服务端为关闭状态， 则断开客户端 与服务端之间的第一连接。

步骤 204、 断开客户端与服务端的第二连接。

示例性的，在步骤 201中，客户端与服务端之间的第一连接可以通过 TCP 协议的三次握手协议实现， 具体地， 如图 3所示， 第一连接的建立过程可以 包括以下步骤：

步骤 2011、 网关代理实现装置接收客户端发送的第一建立请求消息 ( SYN ) , 并将该第一建立请求信息发送给服务端；

步骤 2012、 网关代理实现装置接收从服务端返回的第一建立确认消息

( SYN-ACK ) , 并将该第一建立确认消息发送给客户端；

步骤 2013、 网关代理实现装置接收客户端返回的第一连接确认消息 ( ACK ) , 将该第一连接确认消息发送给所述服务端。

在上述步骤 2011 ~ 2013完成后，可通过网关代理实现装置在服务端和客 户端之间建立起第一连接。

示例性的， 在步骤 202中， 若客户端获取到服务端的状态信息显示服务 端为开启状态， 则通过网关代理实现装置在客户端与服务端之间建立第二连 接， 具体地， 如图 4所示， 建立第二连接的过程可以包括： 通过传输控制协 议（Transmission Control Protocol, 简称： TCP ) 的三次握手建立第三连接， 以及通过 TCP协议的三次握手建立第四连接， 使得客户端与服务端通过第三 连接与第四连接形成第二连接； 具体步骤如下所示： 步骤 2021、 网关代理实现装置的代理服务端接收代理适配器伪装成客户 端发送的第二建立请求消息 （SYN ) ；

步骤 2022、 代理服务端根据第二建立请求消息向代理适配器发送第二建 立确认消息 （SYN-ACK ) ；

步骤 2023、 代理服务端接收从代理适配器根据所述第二建立确认消息发 送的第二连接确认消息 （ACK ) ；

在上述步骤 2021 ~ 2023的 TCP协议的三次握手之后， 可通过网关代理 实现装置在代理服务端和代理适配器之间建立起第三连接。

步骤 2024、 网关代理实现装置的代理客户端向代理适配器发送第三建立 请求消息 （ SYN ) ；

步骤 2025、 代理客户端接收代理适配器根据第三建立请求消息发送的第 三建立确认消息 （SYN-ACK ) ；

步骤 2026、 代理客户端根据第三建立确认消息向代理适配器发送第三连 接确认消息 （ACK ) 。

在上述步骤 2024 ~ 2026的 TCP的三次握手之后， 可通过网关代理实现 装置在代理服务端和代理适配器之间建立起第四连接。

进一步地， 若客户端获取到服务端的状态信息为开启， 具体地， 如图 5 所示， 通过网关代理实现装置在客户端与服务端之间通过第二连接传输数据 报文可以包括如下步骤：

步骤 202 、 网关代理实现装置的代理服务端接收客户端通过第三连接 发送的数据报文；

步骤 2022 、 代理服务端在接收到数据报文后向客户端返回第一确认消 息 ( ACK ) ；

步骤 2023 、 网关代理实现装置对数据报文进行业务处理；

其中，对数据报文进行业务处理可以包括对所述数据报文进行病毒扫描， 或者， 对所述数据报文进行过滤。 步骤 2024 、 网关代理实现装置的代理客户端将处理后的数据报文通过 第四连接发送给服务端；

步骤 2025 、 代理客户端接收服务端在接收到数据报文后返回的第二确 认消息 （ACK ) 。

示例性的， 在步骤 204中， 如图 6所示， 网关代理实现装置断开客户端 与服务端的第二连接具体可以包括如下步骤：

步骤 2041、 网关代理实现装置的代理服务端接收客户端发送的第一结束 请求消息 （FIN ) ；

步骤 2042、 代理服务端根据所接收的第一结束请求消息向客户端返回第 一结束确认消息 （FIN-ACK ) ；

步骤 2043、 网关代理实现装置的代理客户端向服务端发送第二结束请求 消息 ( FIN ) ；

步骤 2044、 代理客户端接收服务端根据第二结束请求消息返回的第二结 束确认消息 （FIN-ACK ) 。

本发明实施例提供的网络代理实现方法， 在建立客户端与服务端的第二 连接之前通过建立第一连接获知服务端的状态信息， 当服务端的状态信息为 开启时才建立第二连接， 从而确保建立第二连接的可靠性， 并且第二连接的 建立为数据报文的业务处理屏蔽了网络链路的复杂状态， 提高了用户体验。

图 7为本发明网络代理实现装置一个实施例的结构示意图，如图 7所示， 本实施例包括： 第一建立模块 71和第二建立模块 72, 其中：

第一建立模块 71 , 用于通过代理适配器建立客户端与服务端之间的第一 连接， 使所述客户端通过所述第一连接获取所述服务端的状态信息；

第二建立模块 72, 用于当所述服务端的状态信息显示服务端为开启状态 时， 建立所述客户端与所述服务端之间的第二连接， 使所述客户端与所述服 务端通过所述第二连接传输数据报文。

本发明实施例提供的网络代理实现装置，在第二建立模块 72建立客户端 与服务端的第二连接之前通过第一建立模块 71 建立第一连接获知服务端的 状态信息， 当服务端的状态信息为开启时才建立第二连接， 从而确保建立第 二连接的可靠性， 提高了用户体验。

图 8为本发明网络代理实现装置又一个实施例的结构示意图， 如图 8所 示， 本实施例包括： 第一建立模块 81、 第二建立模块 82、 断开模块 83。

其中，第一建立模块 81通过代理适配器建立客户端与服务端之间的第一 连接， 使所述客户端通过所述第一连接获取所述服务端的状态信息； 若所述 服务端的状态信息为开启，则第二建立模块 82建立所述客户端与所述服务端 之间的第二连接， 使所述客户端与所述服务端通过所述第二连接传输数据报 文； 断开模块 83用于断开所述客户端与所述服务端的第二连接。

进一步地， 第一建立模块 81进一步还可以包括： 第一收发单元 811、 第 二收发单元 812、 第三收发单元 813; 其中， 第一收发单元 811接收客户端发 送的第一建立请求消息（SYN ) , 并将所述第一建立请求信息发送给服务端； 第二收发单元 812接收从所述服务端返回的第一建立确认消息（ SYN-ACK ) , 并将所述第一建立确认消息发送给所述客户端； 第三收发单元 813接收所述 客户端返回的第一连接确认消息 （ACK ) , 将所述第一连接确认消息发送给 所述服务端； 上述过程即实现了建立客户端与服务端之间的第一连接。

进一步地， 第二建立模块 82还可以包括： 第一建立单元 821和第二建立 单元 822; 其中， 第一建立单元 821通过三次握手建立代理适配器和代理服 务端之间的第三连接， 第二建立单元 822通过三次握手建立所述代理适配器 和代理客户端之间的第四连接， 使得客户端与服务端通过第一建立单元 821 建立的第三连接与第二建立单元 822建立的第四连接形成第二连接。

进一步地， 第一建立单元 821建立第三连接的过程可以为： 第一建立单 元 821接收代理适配器伪装成所述客户端发送的第二建立请求消息， 根据所 述第二建立请求消息向所述代理适配器发送第二建立确认消息， 以及接收从 所述客户端根据所述第二建立确认消息发送的第二连接确认消息； 上述过程 第一建立单元 821 即可实现网关代理实现装置与代理适配器的第三连接； 第 二建立单元 822建立第四连接的过程可以为： 第二建立单元 822向所述代理 适配器发送第三建立请求消息， 接收所述代理适配器根据所述第三建立请求 消息发送的第三建立确认消息， 根据所述第三建立确认消息向所述代理适配 器发送第三连接确认消息； 第二建立单元 822即可实现网关代理实现装置与 代理适配器的第四连接。

第二建立模块 82还可以包括： 数据接收单元 823、 业务处理单元 824、 数据发送单元 825; 其中， 数据接收单元 823接收所述客户端通过第一建立 单元 821建立的第三连接发送的数据报文； 业务处理单元 824对所述数据报 文进行业务处理； 数据发送单元 825将处理后的所述数据 "¾文通过第二建立 单元 822建立的第四连接发送给所述服务端。

进一步地， 业务处理单元 824可以包括： 扫描子单元 8241 , 用于对所述 数据报文进行病毒扫描； 和 /或， 过滤子单元 8242, 用于对所述数据报文进行 过滤。

本发明实施例提供的网络代理实现装置，在第二建立模块 82建立客户端 与服务端的第二连接之前通过第一建立模块 81 建立第一连接获知服务端的 状态信息， 当服务端的状态信息显示为开启状态时才建立第二连接， 从而确 保建立第二连接的可靠性， 并且第二连接的建立为数据报文的业务处理屏蔽 了网络链路的复杂状态， 提高了用户体验。

图 9为本发明实施例所适用系统的结构示意图， 如图 9所示， 本实施例 所适用的系统包括： 客户端 91、 服务端 92、 代理适配器 93、 代理客户端 94、 代理服务端 95; 其中， 代理适配器 93、 代理客户端 94、 代理服务端 95形成 本发明实施例中的网络代理实现装置。

当客户端 91需要向服务端 92需要通过网络代理实现装置发送数据报文 时， 客户端 91需要通过三次握手与服务端建立连接， 该三次握手实现过程具 体为：代理适配器 93在接收到客户端 91发送的第一建立连接请求消息（ SYN ) 后将该第一建立连接请求消息通过代理适配器 93发送给服务端 92, 服务端 92向代理适配器 93发送第一建立确认消息 （SYN-ACK ) , 代理适配器 93 将该第一建立确认消息发送给客户端 91 , 客户端 91在接收到该第一建立确 认消息后，代理适配器 93将该发送第一连接确认消息 ( ACK )发送给服务端， 从而建立客户端 91与服务端 92之间的第一连接。 通过该第一连接， 客户端 91可以获取服务端 92的状态信息， 即客户端 91可以获取到服务端 92是处 于开启还是关闭的状态， 进一步根据获取到的状态信息确定是否需要建立后 续的第二连接。

当客户端 91获取到服务端 92的状态信息为开启时，代理适配器 93伪装 成客户端通过虚拟网卡向代理服务端 95发送第二建立请求消息 ( SYN ) , 代 理服务端 95根据接收到的第二建立请求消息 ( SYN )通过虚拟网卡向代理适 配器 93发送第二建立确认消息 （SYN-ACK ) , 通过 TCP的三次握手之后， 网关代理实现装置即可在代理服务端 95和代理适配器 93之间建立起第三连 接； 之后， 代理客户端 94向代理适配器 93发送第三建立请求消息（SYN ) , 代理客户端 94接收代理适配器 93根据第三建立请求消息发送的第三建立确 认消息 （SYN-ACK ) , 代理客户端 94根据第三建立确认消息向代理适配器 93发送第三连接确认消息（ACK ) , 通过 TCP的三次握手之后， 网关代理实 现装置即可在代理客户端 94和代理适配器 93之间建立起第四连接， 在第三 连接和第四连接建立后， 客户端 91与服务端 92通过第三连接与第四连接即 可形成第二连接。

当第二连接建立后， 客户端 91通过代理适配器 93发送数据报文， 代理 适配器 93将该数据报文重定向至虚拟网卡，虚拟网卡将该数据报文发送给网 络代理实现装置， 网络代理实现装置对数据报文进行业务处理， 具体可以为 对数据报文进行病毒扫描， 或者， 对数据报文进行过滤； 网络代理实现装置 将处理后的数据报文通过虚拟网卡发送给代理适配器 93后， 代理适配器 93 将该数据报文进行重定向后发送给服务端 92。 当数据报文传输完毕后， 还可以进行断开连接的操作， 具体为： 客户端 91向代理服务端 95发送第一结束请求消息（FIN )； 代理服务端 95根据第一结束请求消息向客户端 91返回第一结束确认消息（FIN-ACK )； 代理客户端 94向服务端 92发送的第二结束请求消息 （FIN ) ； 代理客户端 94 接收服务端 92 根据第二结束请求消息返回的第二结束确认消息 ( FIN-ACK ) , 结束本次数据报文的处理过程。

在图 9所示本发明实施例所适用系统中，若网络代理实现装置具体为反病 毒网关， 则以超文本传送协议（Hypertext transfer protocol, 简称： HTTP )为 例， 则具体过程如下： 反病毒网关收到目的地址为 80端口的 SYN报文， 开始 建立第一连接和第二连接， 即建立 HTTP代理连接； 将客户端的数据报文重定 向至网络代理实现装置， 则网络代理实现装置提取数据报文进行病毒扫描。 由于在互联网络上 80端口承载的应用层协议不一定是 HTTP ,例如也可以为端 对端 （peer-to-peer, 简称： P2P )协议， 如果把 P2P协议上送至网络代理实现 装置，则极大地消耗系统资源，此时若代理适配器检测出从客户端发送的 SYN 报文之后的数据报文不是基于 HTTP协议的报文，则直接通过代理适配器转发 至虚拟网卡， 而不需要将数据报文发送至网络代理实现装置进行病毒扫描处 理。

若网络代理实现装置具体为邮件过滤网关， 则以简单邮件传送协议 ( Simple mail transfer protocol , 简称： SMTP )协议为例， 则具体过程如下： 网络代理实现装置收到目的地址为 25端口的 SYN"¾文， 开始建立第一连接和 第二连接， 即建立 SMTP代理连接； 将客户端发送的邮件文件重定向至网络代 理实现装置， 获取到邮件文件并进行过滤。

上述本发明实施例中， 在客户端与服务端建立连接的过程中， 网关代理 实现装置在第一次握手时建立第一连接， 当客户端获取到服务端的状态信息 后， 根据状态信息建立第二连接， 在该第二连接建立的过程中， 客户端与网 关代理实现装置的代理服务器建立第三连接， 网关代理实现装置的代理客户 端与服务器端建立第四连接， 为网络代理实现装置对数据报文进行业务处理 屏蔽了网络链路的复杂状态， 提高了用户体验。

本领域普通技术人员可以理解： 实现上述实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机可读取存 储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存 储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权 利 要 求

1、 一种网络代理实现方法， 其特征在于， 包括：

通过代理适配器建立客户端与服务端之间的第一连接， 使所述客户端通 过所述第一连接获取所述服务端的状态信息；

若所述月良务端的状态信息显示所述月良务端为开启状态， 则建立所述客户 端与所述服务端之间的第二连接， 使所述客户端与所述服务端通过所述第二 连接传输数据报文。

2、 根据权利要求 1所述的方法， 其特征在于， 所述建立客户端与服务端 之间的第一连接包括：

通过代理适配器接收客户端发送的第一建立请求消息， 并将所述第一建 立请求信息发送给服务端；

接收从所述服务端返回的第一建立确认消息， 并将所述第一建立确认消 息发送给所述客户端；

接收所述客户端返回的第一连接确认消息， 将所述第一连接确认消息发 送给所述服务端。

3、 根据权利要求 1所述的方法， 其特征在于， 所述建立所述客户端与所 述服务端之间的第二连接包括：

通过三次握手建立所述代理适配器和代理服务端之间的第三连接， 以及 通过三次握手建立所述代理适配器和代理客户端之间的第四连接， 使得所述 客户端与所述服务端通过所述第三连接与第四连接形成第二连接。

4、 根据权利要求 3所述的方法， 其特征在于， 所述使所述客户端与所述 服务端通过所述第二连接传输数据报文包括：

接收所述客户端通过所述第三连接发送的数据报文；

对所述数据报文进行业务处理；

将处理后的所述数据报文通过所述第四连接发送给所述服务端。

5、 根据权利要求 4所述的方法， 其特征在于， 所述对所述数据报文进行 业务处理包括：

对所述数据报文进行病毒扫描； 或者，

对所述数据报文进行过滤。

6、 根据权利要求 1 ~ 5任一所述的方法， 其特征在于， 还包括： 若所述月良务端的状态信息显示所述月良务端为关闭状态， 则断开所述客户 端与所述服务端之间的第一连接。

7、 一种网络代理实现装置， 其特征在于， 包括：

第一建立模块， 用于通过代理适配器建立客户端与服务端之间的第一连 接， 使所述客户端通过所述第一连接获取所述服务端的状态信息；

第二建立模块， 用于当所述服务端的状态信息显示所述服务端为开启状 态， 则建立所述客户端与所述服务端之间的第二连接， 使所述客户端与所述 服务端通过所述第二连接传输数据报文。

8、 根据权利要求 7所述的装置， 其特征在于， 所述第一建立模块包括： 第一收发单元， 用于接收客户端发送的第一建立请求消息， 并将所述第 一建立请求信息发送给服务端；

第二收发单元， 用于接收从所述服务端返回的第一建立确认消息， 并将 所述第一建立确认消息发送给所述客户端；

第三收发单元， 用于接收所述客户端返回的第一连接确认消息， 将所述 第一连接确认消息发送给所述服务端。

9、 根据权利要求 7所述的装置， 其特征在于， 所述第二建立模块包括： 第一建立单元， 用于通过三次握手建立代理适配器和代理服务端之间的 第三连接；

第二建立单元， 用于通过三次握手建立所述代理适配器和代理客户端之 间的第四连接， 使得所述客户端与所述服务端通过所述第三连接与第四连接 形成第二连接。

10、 根据权利要求 9所述的装置， 其特征在于， 所述第二建立模块还包 数据接收单元，用于接收所述客户端通过所述第三连接发送的数据报文； 业务处理单元， 用于对所述数据报文进行业务处理；

数据发送单元， 用于将处理后的所述数据报文通过所述第四连接发送给 所述服务端。

11、根据权利要求 10所述的装置，其特征在于，所述业务处理单元包括： 扫描子单元， 用于对所述数据报文进行病毒扫描； 和 /或，

过滤子单元， 用于对所述数据报文进行过滤。