[发明专利]数据处理方法及系统

说明书

技术领域

本发明涉及数据处理领域，具体而言，涉及一种数据处理方法及系统。

背景技术

防火墙是防止未经授权的用户访问网络或计算机上的某些文件的电子边界，一般地，可以通过用户计算机上的防火墙代码（“主机防火墙”）来提供防火墙，还可以在网络边缘提供专用防火墙机构（“边界防火墙”），边界防火墙与网络外的计算机接口具有内建的特殊安全预防措施，以便保护网络内计算机上的敏感文件，也即通过将网络外计算机用户隐藏在边界防火墙之后来保护一群松散管理的机器。设置边界防火墙的机器常常称为“网关”或“专用网关”。如果将防火墙用于保护网络，使网络不受因特网侵害，配置防火墙的机器常常称为“因特网网关设备”。

在一些企业网络中，客户端为了发送消息给服务端，服务端的防火墙必须开通和配置一个专有的端口。如果服务端用的是多重端点（例如同时支持TCP和SSL），服务端防火墙就必须为每一个端点开放一个独立端口，而客户端代理也必须配置需使用服务端的公有端点：服务端的主机名和防火墙开放的专有端口。上述仅仅是在典型的网络环境中单个客户端向服务端发送请求可能会遇到的问题，当网络中存在多个客户端和多个服务端的数目增加时，配置端口将更为复杂，客户端与服务器之间的通信也将变得更加繁琐，从而使得通讯的效率很低。

为了解决上述问题，现有技术中主要有以下几种方法来穿透防火墙：

（1）反弹法。该方法利用防火墙对于内部发起的连接限制不严格的特点。由于连接由内部发起,防火墙会认为它是一个合法的连接。为针对防火墙限制端口,此方法还会采用无端口、无进程、HTTP隧道、可变端口等技术来穿透防火墙，但是该方法采用了不合法的链接穿透防火墙。

(2)D.Dos法。对于简单的包过滤型防火墙,如路由器，当受到Dos攻击后,大量的数据包会使防火墙失去原有的记录,从而无法对新收到的数据包作出分析。然而,该方法只能对一些简单的防火墙有效,而且此方法不容易在程序中进行应用。

(3)分片法。分片法的基本原理是,利用防火墙一般只对分片数据包的第一个分片检查,对于后继的分片一般检查不严格。所以,可以构造一个合法的分片数据包,通过防火墙后,再把非法数据以分片形式通过防火墙,然而，这种方式数据的封装及目的端的合并特别复杂。

(4)代理法。一般来说,处于协议栈层次越高的协议越复杂,可以制定的策略也越详细,同时也越容易出现问题。代理服务是运行在OSI的应用层的防火墙,它实质上是启动两个连接,一个是客户到代理,另一个是代理到目的服务器，使用该方法如果代理存在策略漏洞,则很容易穿过漏洞进入内部网络，使得网络很不安全。

针对现有技术中在客户端与服务器通讯时，穿透防火墙过程中端口配置复杂且服务器无法向客户端回调，从而导致通讯效率低的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术在客户端与服务器通讯时，穿透防火墙过程中端口配置复杂且服务器无法向客户端回调，从而导致通讯效率低的问题，目前尚未提出有效的解决方案，为此，本发明的主要目的在于提供一种数据处理方法及系统，以解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种数据处理方法，该方法包括：启动器接收客户端发出的访问请求；启动器根据访问请求中的访问信息创建路由对象；启动器根据路由对象建立客户端与启动器之间的通信关系；启动器利用路由对象提取访问信息中的访问地址，其中，访问地址指向服务器；启动器利用路由对象访问访问地址所指向的服务器，并获取来自服务器的网络数据；以及启动器根据客户端与启动器之间的通信关系将获取到的网络数据发送至客户端。

进一步地，启动器根据访问请求中的访问信息创建路由对象的步骤包括：启动器读取访问信息中的访问地址和客户端的第二端口号；启动器根据访问地址提取服务器的第一端口号；启动器建立第一端口号与第二端口号之间的对应关系；启动器保存第一端口号、第二端口号以及第一端口号与第二端口号之间的对应关系以创建路由对象。

进一步地，启动器根据路由对象建立客户端与启动器之间的通信关系的步骤包括：启动器将第一端口号、第二端口号以及第一端口号与第二端口号之间的对应关系发送给客户端；客户端根据第一端口号、第二端口号以及第一端口号与第二端口号之间的对应关系配置路由对象，并返回配置信息以建立客户端与启动器之间的通信关系。

进一步地，在启动器接收到客户端发出的访问请求之前，方法包括：启动器搜索系统中是否存在访问请求，其中，在系统中存在访问请求的情况下，接收客户端的访问请求。