一种数据报文处理方法及系统与流程

本技术涉及网络安全，具体涉及一种数据报文处理方法，本技术同时涉及一种数据报文处理装置、电子设备及计算机存储介质。本技术同时涉及另一种数据报文处理方法、装置、电子设备及计算机存储介质。本技术同时涉及另一种数据报文处理方法、装置、电子设备及计算机存储介质。本技术同时涉及一种数据报文处理系统。

背景技术：

1、quic-lb(quick udp intemet connection load balance)，quic负载均衡器，是一种可支持网络连接迁移和网络多路径等特性的负载均衡设备。

2、现有技术中，服务器负载均衡器中的quic-lb传输客户端与服务器端之间的数据报文时，采用的是明文传输数据报文的连接标识。这会造成网络攻击者获取连接标识中的路由因子，从而获取后端服务器与路由因子之间的映射关系，对后端服务器进行攻击。

3、因此，如何减少网络攻击者对后端服务器进行攻击的风险是需要解决的技术问题。

技术实现思路

1、本技术实施例提供一种数据报文处理方法，以减少网络攻击者对后端服务器进行攻击的风险。本技术实施例还提供一种数据报文处理系统、电子设备及计算机存储介质。本技术实施例还提供一种数据报文处理装置、电子设备及计算机存储介质。本技术实施例还提供另一种数据报文处理方法、装置、电子设备及计算机存储介质。本技术实施例还提供另一种数据报文处理方法、装置、电子设备及计算机存储介质。本技术实施例还提供一种数据报文处理系统。

2、本技术实施例提供一种数据报文处理方法，包括：获得客户端发送的数据报文包含的客户端目标连接标识；根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定；将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理。

3、可选的，还包括：获得所述服务器实例重新生成的服务器连接标识，所述服务器连接标识包含所述服务器实例的服务器标识信息；将所述服务器连接标识发送给所述客户端，替换所述客户端目标连接标识，作为第二类型的数据报文的目标连接标识，其中，所述第二类型的数据报文为客户端与服务器已完成连接建立之后传输的数据报文；其中，所述服务器实例通过如下方法重新生成所述服务器连接标识：根据所述数据报文的客户端目标连接标识中包含的客户端源地址信息和客户端源端口信息，以及由服务器标识信息生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定；根据所述服务器标识信息，以及所述服务器实例的服务器地址信息，服务器端口信息，生成所述服务器连接标识。

4、可选的，还包括：解析所述数据报文所属的报文类型；所述根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息，包括：如果所述数据报文的报文类型为第一类型的数据报文，则根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，第一类型的数据报文为客户端发起连接的过程中发送的数据报文。

5、可选的，还包括：如果所述数据报文的报文类型为第二类型，则对所述第二类型的数据报文执行如下方法：如果所述第二类型的数据报文的客户端目标连接标识处于合法状态以及加密状态，且所述第二类型的数据报文的客户端目标连接标识的第一字节中的配置旋转字段的配置版本信息处于合法状态，则解密获取所述数据报文的服务器连接标识中包含的服务器标识信息；将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理。

6、可选的，还包括：如果所述数据报文的报文类型为第二类型，且所述第二类型的数据报文的客户端目标连接标识存在如下至少一种情况，则对所述第二类型的数据报文执行所述根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息的步骤：所述第二类型的数据报文的客户端目标连接标识处于不合法状态；所述第二类型的数据报文的客户端目标连接标识处于未加密状态；所述第二类型的数据报文的客户端目标连接标识的第一字节中的配置旋转字段的配置版本信息处于不合法状态。

7、可选的，还包括：解析所述数据报文的报文头类型；所述解析所述数据报文所属的报文类型，包括：如果所述数据报文的报文头类型为长报文头类型，则解析所述数据报文所属的报文类型。

8、可选的，还包括：如果所述数据报文的报文头为短报文头类型，则对所述短报文头类型的数据报文执行如下方法：如果所述短报文头类型的数据报文的客户端目标连接标识处于合法状态以及加密状态，且所述短报文头类型的数据报文的客户端目标连接标识的第一字节中的配置旋转字段的配置版本信息处于合法状态，则解密获取所述数据报文的服务器连接标识中包含的服务器标识信息；将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理。

9、可选的，还包括：如果所述数据报文的报文头为短报文头类型，且所述短报文头类型的数据报文的客户端目标连接标识存在如下至少一种情况，则对所述短报文头类型的数据报文执行所述根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息的步骤：所述短报文头类型的数据报文的客户端目标连接标识处于不合法状态；所述短报文头类型的数据报文的客户端目标连接标识处于未加密状态；所述短报文头类型的数据报文的客户端目标连接标识的第一字节中的配置旋转字段的配置版本信息处于不合法状态。

10、可选的，还包括：获得配置中心发送的共享密钥、服务器标识信息长度信息、随机数长度信息；所述根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息，包括：将所述客户端源地址信息和所述客户端源端口信息，结合所述共享密钥、服务器标识信息长度信息、以及所述随机数长度信息，计算获得满足所述服务器标识信息长度信息的服务器标识信息。

11、可选的，所述将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理，包括：将所述服务器标识信息作为一致性路由算法的输入信息，进行一致性路由计算，获得与所述服务器标识信息对应的服务器实例。

12、可选的，还包括：如果所述客户端发送数据报文的网络通道由第一网络通道迁移至第二网络通道，则获取所述数据报文已携带的服务器连接标识中的服务器标识信息，将所述服务器标识信息对应的服务器实例作为处理所述数据报文的服务器实例。

13、可选的，所述如果所述客户端发送数据报文的网络通道由第一网络通道迁移至第二网络通道，包括如下至少一种情况：所述客户端的客户端源地址信息由第一客户端源地址信息切换为第二客户端源地址信息；所述客户端的客户端源端口信息由第一客户端源端口信息切换为第二客户端源端口信息；所述客户端通过移动通信网络建立通信连接时，所述客户端的移动通信网络信号由第一移动基站迁移至第二移动基站；所述客户端通过无线局域网访问外部网络资源时，所述无线局域网的路由器地址信息由第一路由器地址信息切换为第二路由器地址信息。

14、可选的，如果所述客户端同时连接多种通信连接方式；所述方法还包括：获得所述客户端通过多种通信连接方式发送的多个数据报文，其中，所述多个数据报文包括由所述服务器实例生成的同一个服务器连接标识；获取所述多个数据报文携带的服务器连接标识中的服务器标识信息；将具有相同的服务器标识信息的多个数据报文转发至所述服务器标识信息对应的服务器实例。

15、本技术实施例还提供一种数据报文处理方法，包括：获得负载均衡设备发送的数据报文包含的客户端目标连接标识；根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定；根据所述服务器标识信息，以及所述服务器的服务器地址信息，服务器端口信息，生成服务器连接标识；将所述服务器连接标识发送给所述负载均衡设备。

16、可选的，还包括：获得配置中心发送的共享密钥、服务器标识信息长度信息、以及随机数长度信息；所述根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息，包括：将所述客户端源地址信息和所述客户端源端口信息，结合所述共享密钥、服务器标识信息长度信息、以及所述随机数长度信息，计算获得满足所述服务器标识信息长度信息的服务器标识信息。

17、本技术实施例还提供一种数据报文处理方法，包括：将包含客户端目标连接标识的第一类型的数据报文发送给负载均衡设备，获得所述负载均衡设备返回的服务器连接标识，其中，所述第一类型的数据报文为客户端发起连接的过程中发送的数据报文；将所述服务器连接标识替换所述客户端目标连接标识，作为第二类型的数据报文的目标连接标识，其中，所述第二类型的数据报文为客户端与服务器已完成连接建立之后传输的数据报文；将所述第二类型的数据报文发送给所述负载均衡设备；其中，所述服务器连接标识包含服务器标识信息，所述服务器标识信息由所述负载均衡设备通过如下方式获得：根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定。

18、本技术实施例还提供一种数据报文处理系统，包括：负载均衡设备，服务器；所述负载均衡设备用于获得客户端发送的数据报文包含的客户端目标连接标识；根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定；将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理；所述服务器用于根据所述数据报文的客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及所述服务器标识信息生成方式，获得所述服务器标识信息；根据所述服务器标识信息，以及所述服务器实例的服务器地址信息，服务器端口信息，生成服务器连接标识；将所述服务器连接标识发送给所述负载均衡设备。

19、可选的，所述负载均衡设备还用于将所述服务器连接标识发送给客户端，替换所述客户端目标连接标识，作为第二类型的数据报文的目标连接标识，其中，所述第二类型的数据报文为客户端与服务器已完成连接建立之后传输的数据报文。

20、可选的，还包括：配置中心；所述配置中心用于分别向所述负载均衡设备和所述服务器发送共享密钥、服务器标识信息长度信息、以及随机数长度信息；所述负载均衡设备具体用于将所述客户端源地址信息和所述客户端源端口信息，结合所述共享密钥、服务器标识信息长度信息、以及所述随机数长度信息，计算获得满足所述服务器标识信息长度信息的服务器标识信息；所述服务器具体用于将所述客户端源地址信息和所述客户端源端口信息，结合所述共享密钥、服务器标识信息长度信息、以及所述随机数长度信息，计算获得满足所述服务器标识信息长度信息的服务器标识信息。

21、本技术实施例还提供一种电子设备，所述电子设备包括处理器和存储器；所述存储器中存储有计算机程序，所述处理器运行所述计算机程序后，执行上述方法。

22、本技术实施例还提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序被处理器运行后，执行上述方法。

23、与现有技术相比，本技术实施例具有如下优点：

24、本技术实施例提供一种数据报文处理方法，包括：获得客户端发送的数据报文包含的客户端目标连接标识；根据所述客户端目标连接标识中的客户端源地址信息和客户端源端口信息，以及服务器标识信息的生成方式，获得服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定；将所述数据报文转发至所述服务器标识信息对应的服务器实例，以由所述服务器实例对所述数据报文进行处理。

25、上述方法中，通过客户端目标连接标识获取客户端源地址信息和客户端源端口信息，根据客户端源地址信息和客户端源端口信息，以及由服务器标识信息生成方式，生成服务器标识信息；其中，所述服务器标识信息的生成方式由负载均衡设备与服务器之间预先确定。将数据报文转发至服务器标识信息对应的服务器实例。此方法应用于负载均衡设备，客户端源地址信息和客户端源端口信息属于负载均衡设备通过数据报文可获得的信息，预先确定的服务器标识信息生成方式属于负载均衡设备和服务器之间预先确定的服务器标识信息生成方式，由此获得的服务器标识信息无法被攻击者获取，进而减少了网络攻击者发送数据报文给服务器标识信息对应的服务器实例的概率，减少了网络攻击者对后端服务器进行攻击的风险。

26、本技术实施例还提供了一种数据报文处理方法，应用于服务器，服务器通过负载均衡设备发送的数据报文包含的客户端目标连接标识中获取客户端源地址信息和客户端源端口信息，预先确定的服务器标识信息生成方式属于负载均衡设备和服务器之间预先确定的服务器标识信息生成方法。因此，根据客户端源地址信息和客户端源端口信息，结合服务器标识信息生成方式，生成的服务器标识信息无法被网络攻击者获取，进而减少了网络攻击者发送数据给服务器标识信息对应的服务器实例的概率。在服务器标识信息无法被网络攻击者获取的基础上，服务器根据服务器标识信息，结合服务器地址信息和服务器端口信息重新生成的服务器连接标识也无法被网络攻击者获取。因此，上述方法减少了网络攻击者对后端服务器进行攻击的风险。

27、本技术实施例还提供了一种数据报文处理方法，应用于客户端，向负载均衡设备发送第一类型的数据报文包含客户端目标连接标识，负载均衡设备返回服务器连接标识，其中，服务器连接标识中包含服务器标识信息，服务器标识信息是由负载均衡设备通过客户端源地址信息和客户端源端口信息，以及服务器标识信息生成方式生成的。此种服务器标识信息的生成方式是由负载均衡设备和服务器预先确定的，其生成的服务器标识信息无法被网络攻击者获取，进而减少了网络攻击者发送数据给服务器标识信息对应的服务器实例的概率。在客户端与服务器实例建立完整连接之后，客户端将服务器标识信息替换客户端目标连接标识，作为第二类型的数据报文的目标连接标识，将第二类型的数据报文发送给负载均衡设备。此过程中，在服务器标识信息无法被网络攻击者获取的基础上，服务器连接标识也无法被网络攻击者获取。因此，上述方式减少了网络攻击者对后端服务器进行攻击的风险。

28、本技术实施例还提供了一种数据报文处理系统，负载均衡设备生成服务器标识信息的过程中，客户端源地址信息和客户端源端口信息属于负载均衡设备通过数据报文可获得的信息，预先确定的服务器标识信息生成方式属于负载均衡设备和服务器之间预先确定的服务器标识信息生成方式，由此获得的服务器标识信息无法被攻击者获取，进而减少了网络攻击者发送数据报文给服务器标识信息对应的服务器实例的概率，减少了网络攻击者对后端服务器进行攻击的风险。相应的，服务器根据客户端源地址信息和客户端源端口信息，结合该服务器标识信息生成方式，生成的服务器标识信息无法被网络攻击者获取，进而减少了网络攻击者发送数据给服务器标识信息对应的服务器实例的概率。在服务器标识信息无法被网络攻击者获取的基础上，服务器根据服务器标识信息，结合服务器地址信息和服务器端口信息重新生成的服务器连接标识也无法被网络攻击者获取。因此，该系统减少了网络攻击者对后端服务器进行攻击的风险。