专利名称:一种数据可靠传输的方法及其系统的制作方法
技术领域:
本发明涉及网络中数据传输领域,更具体的是涉及一种数据可靠传输 的方法及其系统。
背景技术:
随着网络的发展,越来越多的业务在网络上开展,为了保证业务的安 全性,防止数据在传输过程中遭到篡改,保证数据的完整性,在传输数据
时通常应用IPsec (IP Security,是保护IP协议安全通信的标准)或TLS (Transport Layer Security,传输层安全)协议。网络的发展也带来网络设 备越来越多,不可避免地出现跨多端传输数据的情况,例如"通过代理或
转发服务器传输数据",然而IPSec和TLS只能保证端到端的数据安全, 缺少保证跨多端可靠传输数据的手段。
例如如图1所示,客户端与代理(中继)设备通过IPSec协议通讯, 代理(或中继)设备与服务器通过TLS协议通讯,IPSec与TLS能够保证 端到端的数据可靠性,也就是说可以保证客户端与代理(或中继)设备间、 代理(或中继)设备与服务器间的数据可靠性,但这并不能保证客户端与 服务器间数据传输的可靠性,如图2所示,客户端通过代理(或中继)连 接服务器,在向服务器的请求中有一属性值foo值为x,当代理(或中继) 设备改此值为y时,所述服务器并不能发现foo值已经改变。
发明内容
本发明所要解决的技术问题在于提供一种数据可靠传输的方法及其 系统,以解决现有技术中无法保证跨多端可靠传输数据的问题。
为了解决上述问题,本发明提供了一种数据可靠传输的方法,其特征
在于,包括以下步骤
(1) 客户端向代理或中继设备发送建立虚拟传输通道请求信息;
(2) 当代理或中继设备支持建立虚拟传输通道信息,则发送到所述 客户端请求的目的服务器;否则返回给所述客户端不支持的响应信息,所 述客户端请求建立虚拟传输通道失败,不再继续下面步骤;
(3) 当所述服务器接收到并支持建立虚拟传输通道信息时,向所述 代理或中继设备发送支持响应的确认建立连接信息,否则所述服务器发送 拒绝建立连接信息给所述代理或中继设备;
(4 )所述代理或中继设备将该服务器的反馈的信息发送到发起请求 的客户端,当所述客户端收到确认建立连接信息时,在此虚拟传输通道上 应用安全传输协议并开始传输数据;当所述客户端收到拒绝建立连接信息 时,该客户端断开连接。
本发明所述的方法,其中,步骤(4)中所述安全传输协议为IPSEC 或TLS协议。
本发明所述的方法,其中,步骤(4)中当所述客户端收到确认建立 连接信息时,在此虚拟传输通道上应用安全传输协议并开始传输数据,进 一步包括在传输数据过程中,所述代理或中继设备不修改受保护的数据。
本发明所述的方法,其中,所述步骤(2)进一步包括
当代理或中继设备支持建立虚拟传输通道信息,则向下一级的代理或 中继设备发送该请求信息,所述下一级的设备进行判断是否支持该请求信 息,如支持则继续向下一级的代理或中继设备发送该请求信息并判断,直 到发送到所述客户端请求的目的服务器;如其中某一级设备不支持该请求 信息则返回给所述客户端不支持的响应信息,则传输通道建立失败,不再 继续下面步骤。
其中,所述步骤(3)进一步包括
当所述服务器接收到并支持建立虚拟传输通道信息时,向所述上一级 的代理或中继设备发送支持响应的确认建立连接信息,否则所述服务器发
送拒绝建立连接信息给所述上一级的代理或中继设备。
为了解决上述问题,本发明还提供了一种数据可靠传输的系统,其特
征在于,包括客户端、代理或中继设备和服务器,其中,
所述客户端,用于向代理或中继设备发送建立虚拟传输通道请求信 息,以及用于在收到所述代理或中继设备转发的服务器发送的确认建立连
接信息时,在此虚拟传输通道上应用安全传输协议并开始传输数据;当所 述客户端收到拒绝建立连接信息时,该客户端断开连接;
所述代理或中继设备,用于判断是否支持建立虚拟传输通道信息,如 支持则发送到所述客户端请求的目的服务器;否则返回给所述客户端不支 持的响应信息;以及用于将服务器的反馈的信息发送到发起请求的客户 端;
所述服务器,用于接收并判断是否支持建立虚拟传输通道信息,当支 持时向所述代理或中继设备发送支持响应的确认建立连接信息,否则所述 服务器发送拒绝建立连接信息给所述代理或中继设备。
本发明所述的系统,其中,所述安全传输协议为IPSEC或TLS协议。
其中,所述代理或中继设备,进一步用于当所述客户端收到确认建立 连接信息时,在此虛拟传输通道上应用安全传输协议并开始传输数据过程 中不修改受保护的数据。
本发明所述的系统,其中,所述系统的代理或中继设备包括多个级别 的代理或中继设备时,当代理或中继设备支持建立虚拟传输通道信息,则 向下一级的代理或中继设备发送该请求信息,所述下一级的设备进行判断 是否支持该请求信息,如支持则继续向下一级的代理或中继设备发送该请 求信息并判断,直到发送到所述客户端请求的目的服务器;如其中某一级 设备不支持该请求信息则返回给所述客户端不支持的响应信息,则传输通 道建立失败,不再继续下面步骤。
相对于传统的可靠传输方法,本发明有以下优势
1、实现了跨多端的数据可靠传输。
2、与现存的安全传输协议(IPSEC/TLS)不冲突,并能充分利用。
图l是本发明现有技术所述的数据传输的系统结构图; 图2是本发明现有技术所述的数据传输的方法流程图; 图3是本发明实施例所述的一种数据可靠传输的系统结构图; 图4是本发明实施例所述的一种数据可靠传输的方法流程图5是本发明实施例所述的一种应用于TLS协议的数据可靠传输的 方法流程图。
具体实施例方式
本发明为了解决传统技术方案存在的弊端,通过以下具体实施例进一 步阐述本发明所述的一种数据可靠传输的方法及其系统,以下对具体实施 方式进行详细描述,但不作为对本发明的限定。
如图3所示,为本发明实施例所述的一种数据可靠传输的系统结构 图,从逻辑上变"跨多端"传输为"端对端"传输,首先客户端与服务器建立 一个虚拟的安全传输通道,在传输数据时,指定一些数据为受保护的数据, 规定代理或中继只能透传这些受保护的数据,不能更改这些数据,此时逻 辑上传输数据时仅存在两端,因此可在此虚拟通道上应用IPSec或TLs协 议保障传输数据的安全性。
如图4所示,对应于图3所示的系统,为本发明实施例所述的一种数 据可靠传输的方法流程图。大致步骤如下
步骤401、客户端向代理或中继设备发送建立虚拟传输通道请求信息;
步骤402、如果代理或中继设备支持建立虚拟传输通道,则向下一级 设备发送该建立虛拟传输通道请求信息,否则返回不支持建立虚拟传输通 道响应信息,则通道建立失败,不再继续下面步骤;重复此步骤直到下一 级设备为请求的目的设备服务器;
步骤403、如果服务器支持建立虚拟传输通道,则向上一级设备发送 "建立虚拟传输通道响应"中确认建立连接,否则拒绝建立连接;
步骤404、代理或中继设备根据服务器的响应信息,再向上一设备发 送建立虚拟传输通道响应信息,重复此步骤直到上一级设备为最初发起请 求的客户端;
步骤405、客户端收到该建立虚拟传输通道响应信息后,如果响应信 息中确认建立虚拟传输通道,在此虚拟传输通道上应用IPSEC或TLS协 议,否则断开连接;开始传输数据,在传输数据过程中,代理或中继不修 改受保护的数据。
本发明所述方法进一步在如图5示的设施环境中,客户端C通过代理 P与服务器S建立通讯,其中代理P支持虚拟传输通道(VTT, virtual transport tunnel )。本实施例将体现如果代理P修改了传输数据,则服务 器S能够检测出来。本实施例中在虚拟通道上应用TLS协议。
具体实施步骤如下
步骤501 、客户端C向代理P发送VTT REQ.(建立虚拟传输通道请 求)。
步骤502、代理P收到客户端C发送的VTT REQ.后,向下一级设备 服务器S发送VTTREQ.;
步骤503、所述服务器S支持建立虚拟传输通道,则向上一级设备 代理P发送VTTRSP.(建立虚拟传输通道响应)中确认建立连接;
步骤504、代理P向客户端C发送VTTRSP.,确认建立VTT;
步骤505、客户端C通过VTT向服务器S发送数据,传输数据时应 用TLS协议(过程为标准过程);指定其中属性值foo为受保护值,foo 初始值为x。实际传输时,客户端首先将数据发送给代理P;
步骤506、为检测验证VTT的可靠性,代理P非法修改受保护的属 性值foo值为y,并发送给服务器S;服务器S收到代理P发送的数据后, 因为属性值foo为指定受保护的值,服务器S运用TLS中的校验算法(例
如非对称的或公共密钥的密码术)检测foo值是否被修改,因为此时 TLS建立在客户端C与服务器S两端,并非建立在代理P与服务器S两 端,服务器S所以必定能检测出foo值被修改过。
相对于传统的可靠传输方法,本发明实施例有以下优势
1、 实现了跨多端的数据可靠传输。
2、 与现存的安全传输协议(IPSEC/TLS)不沖突,并能充分利用。 当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质
形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种数据可靠传输的方法,其特征在于,包括以下步骤(1)客户端向代理或中继设备发送建立虚拟传输通道请求信息;(2)当代理或中继设备支持建立虚拟传输通道信息,则发送到所述客户端请求的目的服务器;否则返回给所述客户端不支持的响应信息,所述客户端请求建立虚拟传输通道失败,不再继续下面步骤;(3)当所述服务器接收到并支持建立虚拟传输通道信息时,向所述代理或中继设备发送支持响应的确认建立连接信息,否则所述服务器发送拒绝建立连接信息给所述代理或中继设备;(4)所述代理或中继设备将该服务器的反馈的信息发送到发起请求的客户端,当所述客户端收到确认建立连接信息时,在此虚拟传输通道上应用安全传输协议并开始传输数据;当所述客户端收到拒绝建立连接信息时,该客户端断开连接。
2、 如权利要求l所述的方法,其特征在于,步骤(4)中所述安全传 输协议为IPSEC或TLS协议。
3、 如权利要求1或2所述的方法,其特征在于,步骤(4)中当所述 客户端收到确认建立连接信息时,在此虚拟传输通道上应用安全传输协议 并开始传输数据,进一步包括在传输数据过程中,所述代理或中继设备 不修改受保护的数据。
4、 如权利要求l所述的方法,其特征在于,所述步骤(2)进一步包括当代理或中继设备支持建立虚拟传输通道信息,则向下一级的代理或 中继设备发送该请求信息,所述下一级的设备进行判断是否支持该请求信 息,如支持则继续向下一级的代理或中继设备发送该请求信息并判断,直 到发送到所述客户端请求的目的服务器;如其中某一级设备不支持该请求 信息则返回给所述客户端不支持的响应信息,则传输通道建立失败,不再 继续下面步骤。
5、 如权利要求4所述的方法,其特征在于,所述步骤(3)进一步包括当所述服务器接收到并支持建立虚拟传输通道信息时,向所述上一级 的代理或中继设备发送支持响应的确认建立连接信息,否则所述服务器发 送拒绝建立连接信息给所述上一级的代理或中继设备。
6、 一种数据可靠传输的系统,其特征在于,包括客户端、代理或 中继设备和服务器,其中,所述客户端,用于向代理或中继设备发送建立虚拟传输通道请求信 息,以及用于在收到所述代理或中继设备转发的服务器发送的确认建立连 接信息时,在此虚拟传输通道上应用安全传输协议并开始传输数据;当所 述客户端收到拒绝建立连接信息时,该客户端断开连接;所述代理或中继设备,用于判断是否支持建立虚拟传输通道信息,如 支持则发送到所述客户端请求的目的服务器;否则返回给所述客户端不支 持的响应信息;以及用于将服务器的反馈的信息发送到发起请求的客户端;所述服务器,用于接收并判断是否支持建立虚拟传输通道信息,当支 持时向所述代理或中继设备发送支持响应的确认建立连接信息,否则所述 服务器发送拒绝建立连接信息给所述代理或中继设备。
7、 如权利要求6所述的系统,其特征在于,所述安全传输协议为IPSEC 或TLS协议。
8、 如权利要求6或7所述的系统,其特征在于,所述代理或中继设 备,进一步用于当所述客户端收到确认建立连接信息时,在此虚拟传输通 道上应用安全传输协议并开始传输数据过程中不修改受保护的数据。
9、 如权利要求6所述的系统,其特征在于,所述系统的代理或中继 设备包括多个级别的代理或中继设备时,当代理或中继设备支持建立虚拟 传输通道信息,则向下一级的代理或中继设备发送该请求信息,所述下一级的设备进行判断是否支持该请求信息,如支持则继续向下一级的代理或 中继设备发送该请求信息并判断,直到发送到所述客户端请求的目的服务器;如其中某一级设备不支持该请求信息则返回给所述客户端不支持的响 应信息,则传输通道建立失败,不再继续下面步骤。
全文摘要
本发明公开一种数据可靠传输的方法及系统,该方法包括客户端向代理或中继设备发送建立虚拟传输通道请求信息;当代理或中继设备支持该信息,则发送到客户端请求的目的服务器;否则返回给客户端不支持的响应信息,客户端请求建立虚拟传输通道失败,不再继续下面步骤;当服务器接收到并支持该信息时,向代理或中继设备发送支持响应的确认建立连接信息,否则服务器发送拒绝建立连接信息给代理或中继设备;代理或中继设备将该服务器的反馈的信息发送到发起请求的客户端,当客户端收到确认建立连接信息时,在此虚拟传输通道上应用安全传输协议并开始传输数据;当客户端收到拒绝建立连接信息时,该客户端断开连接。本发明实现了跨多端的数据可靠传输。
文档编号H04L9/32GK101394396SQ20071015222
公开日2009年3月25日 申请日期2007年9月19日 优先权日2007年9月19日
发明者夏正勋 申请人:中兴通讯股份有限公司