CN104011702B - 用于经编程性服务呼叫访问逻辑网络的系统和方法 - Google Patents
用于经编程性服务呼叫访问逻辑网络的系统和方法 Download PDFInfo
- Publication number
- CN104011702B CN104011702B CN201280049058.4A CN201280049058A CN104011702B CN 104011702 B CN104011702 B CN 104011702B CN 201280049058 A CN201280049058 A CN 201280049058A CN 104011702 B CN104011702 B CN 104011702B
- Authority
- CN
- China
- Prior art keywords
- logic network
- logic
- network
- service
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/177—Initialisation or configuration control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了用于配置逻辑网络的各种实施方案。客户端通过服务呼叫发出请求以创建包括逻辑网络网关和用于用户访问所述逻辑网络网关的账户的逻辑网络。响应于所述服务呼叫,创建并配置所述逻辑网络,并将确认提供至所述客户端。
Description
本申请要求2011年10月4日提交的指定序列号为13/252,604且题为“用于经编程性服务呼叫访问逻辑网络的技术(TECHNIQUES FOR ACCESSING LOGICAL NETWORKS VIA APROGRAMMATIC SERVICE CALL)”的共同未决的美国非临时申请的优先权,其全文以引用方式在此并入本文。
背景
人们使用计算装置与其他计算装置且与彼此进行通信。有时,人们会分散至远程和/或不同的位置,但他们仍需进行通信,就好像他们位于中心一样。
附图简述
参照下列附图可以更好地理解本公开的许多方面。附图中的组件不一定要按比例绘制,相反要将重点放在清楚地说明本公开的原则上。此外,在附图中若干视图中的各处,相同的参考数字表示相应的部分。
图1为根据本公开的各种实施方案的网络化环境的示图。
图2为示出根据本公开的各种实施方案的被实施作为在图1所示的网络化环境中的客户端计算装置中执行的逻辑网络应用的部分的功能的一个实例的流程图。
图3A和图3B为示出根据本公开的各种实施方案的被实施作为在图1所示的网络化环境中的计算装置中执行的逻辑网络配置管理器的部分的功能的一个实例的流程图。
图4为示出根据本公开的各种实施方案的被实施作为在图1所示的网络化环境中的计算装置中执行的逻辑网络网关服务的部分的功能的一个实例的流程图。
图5为示出根据本公开的各种实施方案的被实施作为在图1所示的网络化环境中的计算装置中执行的逻辑网络配置管理器的部分的功能的另一个实例的流程图。
图6为提供根据本公开的各种实施方案的在图1所示的网络化环境中采用的计算装置的一个实例说明的示意性方框图。
图7为提供根据本公开的各种实施方案的在图1所示的网络化环境中采用的客户端计算装置的一个实例说明的示意性方框图。
详细描述
本公开涉及以编程方式配置逻辑网络,通过该逻辑网络,一个或多个客户端装置可与逻辑网络中的其他计算装置进行通信。用户通过在客户端装置和计算装置上的逻辑网络网关服务之间建立逻辑网络隧道而连接至逻辑网络。使用关于可能建立逻辑网络隧道的用户以及用户可连接至的一个或多个逻辑网络的信息配置逻辑网络网关服务。在下面的讨论中,提供了对系统和其组件的一般描述,随后则提供了关于其运行的讨论。
参照图1,示出了根据各种实施方案的网络化环境100。网络化环境100包括通过网络109进行通信的一个或多个计算装置103、一个或多个客户端装置106和一个或多个计算装置143。网络109包括(例如)互联网、内联网、外联网、广域网(WAN)、局域网(LAN)、有线网络、无线网络或其他适当的网络等或两个或多个此类网络的任意组合。
每个计算装置103可由云计算服务提供商或其他提供商运行。计算装置103可包括(例如)服务器计算机或提供计算能力的任何其他系统。或者,可采用(例如)在一个或多个服务器排列(bank)或计算机排列或其他布置中布置的多个计算装置103。多个计算装置103一起可包括(例如)云计算资源、网格计算资源和/或任何其他分布式计算布置。这种计算装置103可位于单一安装中或可分布在许多不同的地理位置上。为方便起见,计算装置103在本文中均是指单数形式。尽管每个计算装置103均是指单数形式,但要理解的是在上述各种布置中也可采用复数。
逻辑网络141为计算装置103创建且运行的逻辑网络。逻辑网络141可包括各种虚拟或实际装置,如一个或多个计算装置143和/或客户端装置106。逻辑网络141便于独家网络和/或互联网络的出现,通过该独家网络和/或互联网络,逻辑网络141中的装置可与位于逻辑网络141内和可能位于其外的其他装置进行通信。
计算装置143可包括在计算装置103上运行的一个或多个虚拟计算机,或计算装置143可包括(例如)服务器计算机或提供计算能力的任何其他系统。或者,可采用(例如)在一个或多个服务器排列或计算机排列或其他布置中布置的多个计算装置143。多个计算装置143一起可包括(例如)云计算资源、网格计算资源和/或任何其他分布式计算布置。这种计算装置143可位于单一安装中或可分布在许多不同的地理位置上。此外,在各种实施方案中,计算装置143可逻辑上存在于或不存在于逻辑网络141中。为方便起见。计算装置143在本文中均是指单数形式。尽管每个计算装置143均是指单数形式,但要理解的是在上述各种布置中也可采用复数。
根据各种实施方案,可在计算装置143中执行各种应用和/或其他功能。在计算装置143上执行的组件(例如)可包括用户AAA服务147。用户AAA服务147可额外地将认证、授权和/或记账(AAA)服务提供至逻辑网络141、逻辑网络网关服务145和/或其他服务和装置。可使用协议(如终端访问控制器访问控制系统+(TACACS+)、远程认证拨入用户服务(RADIUS)、Diameter协议或能被理解的其他协议)提供服务。
根据各种实施方案,可在计算装置103中执行各种应用和/或其他功能。此外,各种数据被存储在计算装置103可访问的数据存储112中。数据存储112可代表能被理解的多个数据存储。被存储在数据存储112中的数据(例如)与下面描述的各应用和/或功能实体的运行相关联。
在计算装置103上执行的组件(例如)包括逻辑网络配置管理器121、逻辑网络用户管理器123和逻辑网络网关服务145。在计算装置103上执行的组件也可包括未在本文进行详细讨论的其他应用、服务、进程、系统、引擎或功能。被存储在数据存储112中的数据包括可通过应用访问的数据,例如,逻辑网络配置数据131和用户账户134,以及可能的其他数据。
在各种实施方案中,在计算装置103上执行的组件可利用任何类型的中间件框架与在客户端装置106上执行的客户端应用或与在计算装置103上执行的其他应用进行通信。这种框架的实例包括远程过程调用、面向服务的架构协议(SOAP)、代表性状态传输(REST)、Windows通信基础和其他框架。
可执行逻辑网络配置管理器121以提供界面,从而便于经编程性服务呼叫创建和配置逻辑网络141。为此,可执行逻辑网络配置管理器121以将一个或多个计算装置143安装至逻辑网络141中、将逻辑网络141与逻辑网络网关服务145相关联并配置逻辑网络网关服务145。在一个实施方案中,逻辑网络配置管理器121所提供的界面可包括电子内容,如网页或其他类型的网络内容,其被提供至客户端装置106。在另一实施方案中,逻辑网络配置管理器121可提供中间件框架以与在客户端装置106上执行的客户端应用进行通信。
可执行逻辑网络用户管理器123以提供界面,从而便于经编程性服务呼叫管理用于至少逻辑网络141和逻辑网络网关服务145的用户账户。在实现该作用的过程中,逻辑网络用户管理器123可允许创建、移除、导入、导出和编辑用户和组账户,以及进行与账户相关联的许可。作为一个非限制性实例,用于用户/组账户的许可可包括账户是否可建立隧道、账户可连接至的逻辑网络、账户可连接至的网络和/或装置等。
在一个实施方案中,逻辑网络用户管理器123提供的界面可包括电子内容,如网页或其他类型的网络内容,其被提供至客户端装置106。在另一实施方案中,逻辑网络用户管理器123可提供中间件框架以与在客户端装置106上执行的客户端应用进行通信。
逻辑网络用户管理器123可额外地将认证、授权和/或记账(AAA)服务提供至逻辑网络141和逻辑网络网关服务145。可使用协议(如终端访问控制器访问控制系统+(TACACS+)、远程认证拨入用户服务(RADIUS)、Diameter协议或能被理解的其他协议)提供服务。
可执行逻辑网络网关服务145以经由逻辑网络隧道149为客户端装置106提供访问逻辑网络141。逻辑网络隧道149便于存在于逻辑网络141中且同时从另一网络(如互联网)远程连接的客户端装置106的出现。此外,逻辑网络隧道149可进一步地支持确保通过逻辑网络隧道149进行的通信的保密性、完整性和认证的方法。为此,可使用互联网协议安全(IPsec)、第二层隧道协议(L2TP)、安全套接层/传输层安全(SSL/TLS)和/或能被理解的其他协议建立逻辑网络隧道149。逻辑网络网关服务145可使用与建立与客户端装置106的逻辑网络隧道149相关的认证、授权和/或记账(AAA)服务。可使用协议(如TACACS+、RADIUS、Diameter协议或能被理解的其他协议)接收服务。
被存储在数据存储112中的数据可包括(例如)逻辑网络配置数据131、用户账户134和可能的其他数据。逻辑网络配置数据131可包括与逻辑网络141相关的配置信息,如逻辑网络标识符、网络配置、安装在逻辑网络141中的计算装置143、逻辑网络网关服务145配置、用于逻辑网络网关服务145的AAA配置等。
每个用户账户134可与逻辑网络141的各用户相关联且可包括信息,如全名、用户标识符、密码、在一个或多个用户组中的成员资格、用户/组许可、使用情况日志和/或与用户和AAA服务相关的其他数据。作为一个非限制性实例,使用情况日志可包括每个账户保持逻辑网络隧道149的总时间、逻辑网络隧道149的数量、所使用的总带宽等。
客户端装置106代表与各客户相关联的多个装置。客户端装置106可被耦合至网络109且可进一步地经逻辑网络隧道149在逻辑网络141上进行通信。客户端装置106可包括(例如)基于处理器的系统,如计算机系统。这种计算机系统可被具体化为台式计算机、笔记本计算机、个人数字助理、蜂窝电话、机顶盒、音乐播放器、视频播放器、媒体播放器、联网板、平板计算机系统、游戏机或具有类似能力的其他装置的形式。客户端106可包括显示器157。显示器157可包括(例如)一个或多个装置,如阴极射线管(CRT)、液晶显示器(LCD)屏幕、基于气体等离子体的平板显示器、LCD投影机或其他类型的显示装置等。
客户端装置106可被配置成执行各种应用,如逻辑网络应用169、浏览器161和/或其他应用。可在客户端装置106中执行逻辑网络应用169以便于建立至计算装置103的逻辑网络网关服务145的一个或多个逻辑网络隧道149。可进一步地执行逻辑网络应用169以管理逻辑网络141的配置,以及经逻辑网络网关服务145对逻辑网络141的访问。可在客户端装置106中执行浏览器161(例如)以访问并呈现网络页面,如网页或通过计算装置103和/或其他服务器提供的其他网络内容,从而在显示器157上呈现用户界面166。可在客户端装置106中进一步地执行浏览器161以便于建立至计算装置103上的逻辑网络网关服务145的逻辑网络隧道149。客户端装置106可被配置成执行逻辑网络应用169和浏览器161之外的应用,如例如电子邮件应用、即时消息应用和/或其他应用。
接下来,提供了关于网络化环境100的各种组件的运行的一般描述。首先,客户端装置106向逻辑网络配置管理器121发出请求以创建逻辑网络141。可经浏览器161、逻辑网络应用169或能够发出编程性服务请求的另一应用发出从客户端装置106至逻辑网络配置管理器121的请求。客户端装置106可进一步地配置逻辑网络141以包括一个或多个网络地址分配,如一系列的互联网协议(IP)地址,其可用于在逻辑网络141上进行通信的装置。此外,客户端装置106可进一步地配置逻辑网络141以在逻辑网络141中包括一个或多个计算装置143。
此外,客户端装置106向逻辑网络配置管理器121发出编程性服务请求以将逻辑网络网关服务145与逻辑网络141相关联。逻辑网络网关服务145将允许用户通过使用逻辑网络隧道149而在逻辑网络141中进行通信。在一个实施方案中,逻辑网络网关服务145的用户和其相关联的许可由逻辑网络用户管理器123管理。在该实施方案中,客户端装置106可请求逻辑网络用户管理器123运行诸如根据逻辑网络网关服务145的用户列表添加、导入、编辑或移除用户和/或许可。可经浏览器161、逻辑网络应用169或能够发出编程性服务请求的另一应用发出从客户端装置106至逻辑网络用户管理器123的请求。
在第二实施方案中,逻辑网络网关服务145的用户和其相关联的许可由计算装置143或逻辑网络网关服务145可访问的另一计算装置上的用户AAA服务147管理。在第三实施方案中,对逻辑网络网关服务145的用户的管理可与对与逻辑网络网关服务145相关的用户许可的管理相分离。
一旦逻辑网络配置管理器121经源自客户端装置106的一个或多个编程性服务请求接收必要的配置数据,逻辑网络配置管理器121则经编程性服务请求创建逻辑网络141、供应任何计算装置143并配置逻辑网络网关服务145。
接下来,参照图2,其示出了提供根据各种实施方案的逻辑网络应用169(图1)的一部分的运行的一个实例的流程图。要理解的是,图2所示的流程图仅提供了可用于实施如本文所述的逻辑网络应用169的一部分的运行的许多不同类型的功能布置的实例。作为替代方案,图2所示的流程图可被视为描绘根据一个或多个实施方案的在客户端装置106(图1)中实施的方法的步骤的实例。
开始于方框203,逻辑网络应用169向逻辑网络配置管理器121(图1)发出服务呼叫以创建逻辑网络141。可经浏览器161、逻辑网络应用169或能够发出编程性服务请求的另一应用发出从客户端装置106至逻辑网络配置管理器121的请求。源自客户端装置106的请求可进一步地配置逻辑网络141以包括一个或多个网络地址分配,如一系列的互联网协议(IP)地址,其可用于参与逻辑网络141的装置。
接下来,在方框204中,逻辑网络应用169向逻辑网络配置管理器121发出服务呼叫以在逻辑网络141中包括一个或多个计算装置143。作为一个非限制性实例,计算装置143可以是云计算装置、虚拟计算装置或能够包括在逻辑网络141中的任何计算装置。在各种实施方案中,计算装置143也许仅能够在逻辑网络141中进行通信或与其他网络如互联网或其他逻辑网络141上的装置进行通信。
随后,在方框206中,逻辑网络应用169向逻辑网络配置管理器121发出服务呼叫以将逻辑网络网关服务145与逻辑网络141相关联。逻辑网络网关服务145将允许远程装置的用户通过使用逻辑网络隧道149而在逻辑网络141中进行通信。可使用IPsec、L2TP、SSL/TLS或能被理解的其他协议建立逻辑网络隧道149。
接下来,在方框209中,逻辑网络应用169向逻辑网络配置管理器121发出服务呼叫以配置逻辑网络网关服务145,从而认证用户。进行认证功能以积极地识别用户,且认证功能可使用一个或多个技术,如用户名/密码、数字证书、硬件令牌、生物识别技术和/或其他技术。逻辑网络网关服务145可在逻辑网络网关服务145中对用户进行本地认证,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123进行认证逻辑网络网关服务145的用户的功能。在替代实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置进行认证逻辑网络网关服务145的用户的功能。
然后,在方框212中,逻辑网络应用169向逻辑网络配置管理器121发出服务呼叫以配置逻辑网络网关服务145的用户/组许可。可进行授权功能以确定被分配至用户/组的许可。作为非限制性实例,用于用户/组账户的许可可能包括账户是否可以建立逻辑网络隧道149、账户可访问的逻辑网络141、账户可访问的网络和/或装置等。逻辑网络网关服务145可在逻辑网络网关服务145中对用户授权进行本地确定,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123进行授权逻辑网络网关服务145的用户的功能。在替代实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置进行认证逻辑网络网关服务145的用户的功能。
随后,在方框215中,逻辑网络应用169向逻辑网络配置管理器121发出服务呼叫以配置用于每个用户的使用情况记账。作为非限制性实例,使用情况记账可包括连接时间、所使用的带宽、所建立的逻辑网络隧道149的数量和能被理解的其他度量。逻辑网络网关服务145可在逻辑网络网关服务145中对使用情况记账进行本地存储,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123为逻辑网络网关服务145进行使用情况记账的功能。在替代实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置为逻辑网络网关服务145进行使用情况记账的功能。
此外,可配置逻辑网络网关服务145,从而通过不同的装置进行在方框209-215中讨论的认证、授权和记账功能。作为非限制性实例,可使用可通过互联网进行访问的轻型目录访问协议(LDAP)服务器执行认证功能,可通过逻辑网络用户管理器123使用TACACS+协议执行授权功能,且可利用计算装置143使用Diameter协议执行使用情况记账功能。
接着,在方框218中,如果逻辑网络应用169从逻辑网络配置管理器121接收到指示在创建和配置逻辑网络141时出现失败的返回码,那么在方框220中,逻辑网络应用169则可提供失败的通知。此后,如图所示,逻辑网络应用169的部分的执行则可以结束。或者,如果逻辑网络应用169从逻辑网络配置管理器121接收到指示成功创建和配置逻辑网络141的返回码,那么在方框221中,逻辑网络应用169则可提供成功的通知。代替或除了从逻辑网络配置管理器121接收成功返回码,逻辑网络应用169可接收客户端装置106建立至逻辑网络网关服务145的逻辑网络隧道149所必需的配置数据。此后,如图所示,逻辑网络应用169的部分的执行则可以结束。
配置数据可采用要被用户读取的文档、可通过逻辑网络应用169或客户端装置106上的其他应用解释的文件的形式或可被理解的另一形式。配置数据可包括用于建立逻辑网络隧道149的指令、逻辑网络网关服务145所支持的逻辑网络隧道149的类型、逻辑网络网关145的网络地址等。此后,如图所示,逻辑网络应用169的部分的执行结束。
现在转向图3A和图3B,其示出了提供根据各种实施方案的逻辑网络配置管理器121(图1)的一部分的运行的一个实例的流程图。要理解的是,图3A和图3B所示的流程图仅提供了可用于实施如本文所述的逻辑网络配置管理器121的一部分的运行的许多不同类型的功能布置的实例。作为替代方案,图3A和图3B所示的流程图可被视为描绘根据一个或多个实施方案的在计算装置103(图1)中实施的方法的步骤的实例。
从方框303开始,逻辑网络配置管理器121在从客户端装置106(图1)接收到用于创建逻辑网络141的服务呼叫后创建用于逻辑网络141的数据结构。可使用各种协议(如超文本传输协议(HTTP)、安全HTTP(HTTPS)和/或包括远程过程调用、SOAP、REST、Windows通信基础和其他框架的中间框架)发出从客户端装置106至逻辑网络配置管理器121的请求。源自客户端装置106的服务呼叫可进一步地配置逻辑网络141的数据结构以包括一个或多个网络地址分配,如一系列的IP地址,其可用于参与逻辑网络141的装置。
接下来,在方框304中,逻辑网络配置管理器121在从客户端装置106接收到用于在逻辑网络141中包括一个或多个计算装置143的服务呼叫后创建数据结构以在逻辑网络141中包括一个或多个计算装置143。作为非限制性实例,计算装置143可以是云计算装置、虚拟计算装置或能够包括在逻辑网络141中的任何计算装置。在各种实施方案中,计算装置143也许仅能够在逻辑网络141中进行通信或与其他网络如互联网或其他逻辑网络141上的装置进行通信。
接着,在方框306中,逻辑网络配置管理器121在从客户端106接收到用于将逻辑网络网关服务145与逻辑网络141相关联的服务呼叫时创建数据结构以将逻辑网络网关服务145与逻辑网络141相关联。逻辑网络网关服务145将允许远程装置的用户通过使用逻辑网络隧道149而在逻辑网络141中进行通信。可使用IPsec、L2TP、SSL/TLS或能被理解的其他协议建立逻辑网络隧道149。
接下来,在方框309中,逻辑网络配置管理器121在从客户端106接收到用于配置逻辑网络网关服务145以认证用户的服务呼叫后创建数据结构以配置逻辑网络网关服务145以认证用户。进行认证功能以积极地识别用户且逻辑网络网关服务145可在逻辑网络网关服务145中对用户进行本地认证,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123进行认证逻辑网络网关服务145的用户的功能。在另一个实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置进行认证逻辑网络网关服务145的用户的功能。
接着,在方框312中,逻辑网络配置管理器121在从客户端106接收到用于配置逻辑网络网关服务145的用户许可的服务呼叫时创建数据结构以配置逻辑网络网关服务145的用户许可。可进行授权功能以确定分配给用户的许可。逻辑网络网关服务145可在逻辑网络网关服务145中对用户授权进行本地确定,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123进行授权逻辑网络网关服务145的用户的功能。在另一个实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置进行认证逻辑网络网关服务145的用户的功能。
随后,在方框315中,逻辑网络配置管理器121在从客户端106接收到用于配置用于每个用户的使用情况记账的服务呼叫后创建数据结构以配置用于每个用户的使用情况记账。作为非限制性实例,使用情况记账可包括连接时间、所使用的带宽、所建立的逻辑网络隧道149的数量和能被理解的其他度量。逻辑网络网关服务145可在逻辑网络网关服务145中对使用情况记账进行本地存储,或其可整体或部分地依赖于其他装置以执行该功能。如果逻辑网络网关服务145依赖于其他装置以执行这些功能,那么逻辑网络网关服务145则可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议与这些其他装置进行通信。在一个实施方案中,可通过逻辑网络用户管理器123为逻辑网络网关服务145进行使用情况记账的功能。在另一个实施方案中,可通过计算装置143或逻辑网络网关服务145可访问的另一计算装置为逻辑网络网关服务145进行使用情况记账的功能。
此外,可配置与在方框309-315中讨论的逻辑网络网关服务145的认证、授权和记账功能对应的数据结构,从而可通过不同的装置实现这些数据结构。作为非限制性实例,可使用可通过互联网进行访问的LDAP服务器执行认证功能,且可通过逻辑网络用户管理器123使用TACACS+协议执行授权功能。继续说明该实例,可利用计算装置143使用Diameter协议执行使用情况记账功能。
接着,在方框318中,逻辑网络配置管理器121经编程性服务请求创建逻辑网络141、供应任何计算装置143并配置逻辑网络网关服务145。服务呼叫可包括至少根据从客户端装置106接收的服务呼叫而创建的数据结构。随后,在方框319中,如果当前分配给逻辑网络141和逻辑网络网关服务145的运行的计算资源已达到最大阈值,那么在方框320中,逻辑网络配置管理器121或另一服务则可根据需要分配额外的计算资源。
接下来,在方框321中,如果逻辑网络配置管理器121未能创建逻辑网络141和/或从逻辑网络网关服务145接收到指示失败的返回码,或未能在超时期间内接收任何返回码,那么在方框324中,逻辑网络配置管理器121则可通知客户端装置106出现失败。此后,如图所示,逻辑网络配置管理器121的部分的执行结束。
或者,在方框327中,逻辑网络配置管理器121可传输指示成功创建和配置逻辑网络141的返回码,和/或逻辑网络配置管理器121可传输客户端装置106建立至逻辑网络网关服务145的逻辑网络隧道149所必需的配置数据。配置数据可采用要被用户读取的文档、可通过逻辑网络应用169或客户端装置106上的其他应用解释的文件的形式或可被理解的另一形式。配置数据可包括用于建立逻辑网络隧道149的指令、逻辑网络网关服务145所支持的逻辑网络隧道149的类型、逻辑网络网关145的网络地址等。此后,如图所示,逻辑网络配置管理器121的部分的执行结束。
接下来,参照图4,其示出了提供根据各种实施方案的逻辑网络网关服务145(图1)的一部分的运行的一个实例的流程图。要理解的是,图4所示的流程图仅提供了可用于实施如本文所述的逻辑网络网关服务145的一部分的运行的许多不同类型的功能布置的实例。作为替代方案,图4所示的流程图可被视为描绘根据一个或多个实施方案的在计算装置103(图1)中实施的方法的步骤的实例。
开始于方框403,逻辑网络网关服务145从客户端装置106接收建立逻辑网络隧道149(图1)的请求。作为响应,逻辑网络网关服务145可从客户端装置106请求认证证书。可使用互联网安全关联和密钥管理协议(ISAKMP)、SSL/TLS握手或通过能被理解的其他技术实现初始客户端请求。接下来,在方框406中,逻辑网络网关服务145可从客户端装置106接收证书并使用逻辑网络用户管理器123、计算装置143上的用户AAA服务147或另一认证服务来认证证书。为此,可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议进行认证。
如果在方框409中客户端认证失败或未在超时期间内接收到响应,那么在方框430中,逻辑网络网关服务145则传输失败代码至客户端,且如图所示,逻辑网络网关服务145的该部分的执行结束。或者,如果客户端认证成功,那么在方框412中,逻辑网络网关服务145可使用逻辑网络用户管理器123、计算装置143上的用户AAA服务147或另一授权服务请求与客户端相关联的许可。为此,可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议进行授权。
如果在方框415中客户未能具有必要的许可或未在超时期间内接收到响应,那么在方框430中,逻辑网络网关服务145则传输失败代码至客户端,且如图所示,逻辑网络网关服务145的该部分的执行结束。或者,在方框418中,如果当前分配给逻辑网络141和逻辑网络网关服务145的运行的计算资源已达到最大阈值,那么在方框421中,逻辑网络网关服务或另一服务则可根据需要分配额外的计算资源。
接下来,在方框424中,逻辑网络网关服务145可开始或继续使用ISAKMP、SSL/TLS握手或通过能被理解的其他技术对逻辑网络隧道149的建立进行协商。如果在方框427中未能建立逻辑网络隧道149,那么在方框430中逻辑网络网关服务145可将适当的返回码传输至客户端,且如图所示,逻辑网络网关服务145的该部分的执行结束。或者,如果成功建立了逻辑网络隧道149,那么在方框433中逻辑网络网关服务145可将适当的返回码传输至客户端,且如图所示,逻辑网络网关服务145的该部分的执行结束。
接下来,参照图5,其示出了提供根据各种实施方案的逻辑网络配置管理器121(图1)的一部分的运行的一个实例的流程图。要理解的是,图5所示的流程图仅提供了可用于实施如本文所述的逻辑网络配置管理器121的一部分的运行的许多不同类型的功能布置的实例。作为替代方案,图5所示的流程图可被视为描绘根据一个或多个实施方案的在计算装置103(图1)中实施的方法的步骤的实例。
开始于方框503,逻辑网络配置管理器121从客户端装置106接收通过网络109建立通信的请求。作为响应,逻辑网络网关服务145可从客户端装置106请求认证证书。可使用HTTP、HTTPS、中间件框架或能被理解的其他技术实现初始客户端请求。接下来,在方框506中,逻辑网络配置管理器121可从客户端装置106接收证书并使用逻辑网络用户管理器123、计算装置143上的用户AAA服务147或另一认证服务来认证证书。为此,可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议进行认证。
如果在方框509中客户端认证失败或未在超时期间内接收到响应,那么在方框521中,逻辑网络配置管理器121则传输适当的失败代码至客户端,且如图所示,逻辑网络配置管理器121的该部分的执行结束。或者,如果客户端认证成功,那么在方框512中,逻辑网络配置管理器121可使用逻辑网络用户管理器123、计算装置143上的用户AAA服务147或另一授权服务请求与客户端相关联的许可。为此,可使用TACACS+、RADIUS、Diameter协议或能被理解的其他类似协议进行授权。
然后,在方框515中,逻辑网络配置管理器121确定客户端是否拥有必要的授权以禁用其他用户账户。可至少部分地通过与授权行动中识别的客户账户相关联的许可确定授权。如果客户端不拥有必要的授权或如果未在超时期间内接收到响应,那么在方框521中,逻辑网络配置管理器121则传输适当的失败代码至客户端,且如图所示,逻辑网络配置管理器121的该部分的执行结束。或者,在方框524中,如果授权客户端禁用用户账户,逻辑网络配置管理器121则可接收与禁用用户账户相关联的输入。这种输入可与用于要被禁用的账户的账户标识符、账户被禁用的持续时间、要禁用账户的时间、是否应将账户与当前逻辑网络隧道149断开连接等相关。同样地,也可使用类似的技术禁用一个以上的账户和/或组。
接着,在方框527中,除了可采取的可能的其他行动外,逻辑网络配置管理器121可将与禁用账户/组相关联的信息传输至逻辑网络网关服务145、逻辑网络用户管理器123、计算装置143上的用户AAA服务147和/或另一配置的认证/授权服务。随后,在方框530中,如果逻辑网络配置管理器121未能接收成功确认或未能在超时期间内接收任何确认,那么在方框521中,逻辑网络配置管理器121则将适当的失败代码传输至客户端,且如图所示,逻辑网络配置管理器121的该部分的执行结束。
或者,如果通过相关联的装置和/或服务成功地确认了所发送的通知,那么逻辑网络配置管理器121则可在方框533中将适当的返回码传输至客户端,且如图所示,逻辑网络配置管理器121的该部分的执行结束。
接下来,参照图6,其示出了根据本公开的实施方案的计算装置103的示意性方框图。计算装置103包括至少一个处理器电路,其(例如)具有处理器603和存储器606,这两个组件均被耦合至本地接口609。为此,计算装置103可包括(例如)至少一个服务器计算机或类似装置。本地接口609可包括(例如)具有随附地址的数据总线/控制总线或能被理解的其他总线结构。
数据和可通过处理器603执行的几个组件均被存储在存储器606中。特别地,逻辑网络配置管理器121、逻辑网络用户管理器123、逻辑网络网关服务145和可能的其他应用则被存储在存储器606中且可通过处理器603执行。数据存储112和其他数据也可被存储在存储器606中。此外,操作系统可被存储在存储器606中且可通过处理器603执行。
现在转向图7,其示出了根据本公开的实施方案的客户端装置106的示意性方框图。客户端装置106包括至少一个处理器电路,其(例如)具有处理器703和存储器706,这两个组件均被耦合至本地接口709。为此,客户端装置106可包括(例如)基于处理器的系统,如计算机系统。这种计算机系统可被具体化为台式计算机、笔记本计算机、个人数字助理、蜂窝电话、机顶盒、音乐播放器、视频播放器、媒体播放器、联网板、平板计算机系统、游戏机或具有类似能力的其他装置的形式。本地接口709可包括(例如)具有随附地址的数据总线/控制总线或能被理解的其他总线结构。
数据和可通过处理器703执行的几个组件均被存储在存储器706中。特别地,逻辑网络应用169和可能的其他应用则被存储在存储器706中且可通过处理器703执行。此外,操作系统可被存储在存储器706中且可通过处理器703执行。
参照图6和图7,要理解的是,也可有被存储在存储器606或706中且可通过各自处理器603或703执行的能被理解的其他应用。在本文所讨论的任何组件均是通过软件的形式实施的情况下,可使用一些编程语言中的任意一种语言,如例如C、C++、C#、Objective C、Java、Javascript、Perl、PHP、Visual Basic、Python、Ruby、Delphi、Flash或其他编程语言。
一些软件组件被存储在存储器606或706中且可通过各自处理器603或703执行。在这个方面,术语“可执行”表示程序文件采用了最终可通过处理器603或703运行的形式。可执行程序的实例可以是(例如)能被翻译成采用能被加载至存储器606或706的随机访问部分中且可通过各自处理器603或703运行的格式的机器代码、可通过合适的格式(如能被加载至存储器606或706的随机访问部分中且可通过各自处理器603或703运行的目标代码)表示的源代码或可由另一可执行程序解释以在存储器606或706的随机访问部分中生成要通过各自处理器603或703执行的指令的源代码等的编译程序。可执行程序可被存储在存储器606或706中的任何部分或组件中,存储器606或706包括(例如)随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、存储卡、光盘(如压缩盘(CD)或数字多功能光盘(DVD))、软盘、磁带或其他存储器组件。
本文定义的存储器606或706包括易失性和非易失性存储器以及数据存储组件两者。易失性组件为在断电后不保留数据值的组件。非易失性组件为在断电后保留数据的组件。因此,存储器606或706可包括(例如)随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、经存储卡读取器访问的存储卡、经相关联的软盘驱动器访问的软盘、经光盘驱动器访问的光盘、经适当的磁带驱动器访问的磁带和/或其他存储器组件或这些存储器组件中的任意两个或多个的组合。此外,RAM可包括(例如)静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)或磁性随机存取存储器(MRAM)和其他这样的装置。ROM可包括(例如)可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类似的存储器装置。
此外,各自处理器603或703可代表多个处理器且各自存储器606或706可代表分别在并行处理电路中运行的多个存储器。在这种情况下,本地接口609或709可以是便于在各自多个处理器603或703中的任意两个之间、在任何各自处理器603或703和各自存储器606或706中的任何一个之间或在各自存储器606或706中的任意两个之间等进行通信的适当的网络109(图1)。本地接口609或709可包括被设计为协调该通信(包括例如进行负载平衡)的额外系统。处理器603或703可以是电性的或一些其他可用的构造。
尽管本文所述的逻辑网络配置管理器121、逻辑网络用户管理器123、逻辑网络网关服务145、逻辑网络应用169和其他各种系统可被具体化为如上所讨论的软件或通过通用硬件执行的代码,但作为替代方案,其也可被具体化为专用硬件或软件/通用硬件的组合和专用硬件。如果被具体化为专用硬件,则每个能被实施为采用一些技术中任意一个或其组合的电路或状态机。这些技术可包括但不限于具有逻辑门以在施加一个或多个数据信号后执行各种逻辑功能的离散逻辑电路、具有适当的逻辑门的专用集成电路或其他组件等。通常,这些技术是为本领域的技术人员所公知的,且因此不在本文进行详细描述。
图2-图5的流程图示出了逻辑网络配置管理器121、逻辑网络网关服务145和逻辑网络应用169的部分的实施方式的功能和运行。如果被具体化为软件,每个方框则可表示包括用于执行指定逻辑功能的程序指令的代码模块、代码分段或代码部分。程序指令可被具体化为包括以编程语言写入的人可读语句的源代码的形式或包括可通过合适的执行系统(如计算机系统或其他系统中的处理器603或703)识别的数字指令的机器代码的形式。机器代码可从源代码等转换得到。如果被具体化为硬件,每个方框则表示用于执行指定逻辑功能的电路或一些互连电路。
尽管图2-图5所示的流程图示出了执行的特定顺序,但要理解的是执行的顺序也可不同于所示的顺序。例如,相对于所示的顺序,可打乱两个或多个方框的执行顺序。此外,可同时或部分同时地执行图2-图5中连续示出的两个或多个方框。进一步地,在一些实施方案中,可跳过或省略图2-图5中示出的方框中的一个或多个。此外,任意数量的计数器、状态变量、警示信号机或消息可被添加至本文所述的逻辑流程以为了加强的效用、记账、性能测量或提供检修辅助等。要理解的是,所有这些变化都处于本公开的范围中。
此外,本文所述的包括软件或代码的任何逻辑或应用(包括逻辑网络配置管理器121、逻辑网络用户管理器123、逻辑网络网关服务145和逻辑网络应用169)均可被具体化为任何非临时性计算机可读介质以供指令执行系统(如例如计算机系统或其他系统中的处理器603或703)使用或与其联合使用。在这个意义上说,逻辑可包括(例如)语句,其包括能从计算机可读介质获得的且可通过指令执行系统执行的指令和声明。在本公开的上下文中,“计算机可读介质”可以是能包含、存储或维持本文所述的逻辑或应用以供指令执行系统使用或与其联合使用的任何介质。计算机可读介质可包括许多物理介质(如例如磁性、光学或半导体介质)中的任何一个。合适的计算机可读介质更多的具体实例将包括但不限于磁带、磁性软盘、磁硬盘驱动器、存储卡、固态驱动器、USB闪存驱动器或光盘。此外,计算机可读介质可以是随机存取存储器(RAM),其包括例如静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)或磁性随机存取存储器(MRAM)。此外,计算机可读介质可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类型的存储器装置。
本公开的各种实例实施方案可通过下列条款进行描述:
条款1. 一种使在计算装置中的可执行程序具体化的非临时性计算机可读介质,该程序包括:
在至少一个计算装置中接收到第一服务呼叫时创建描述逻辑网络网关的数据结构的代码;
响应于第一服务呼叫传输用于逻辑网络网关的句柄的代码;
在至少一个计算装置中接收到第二服务呼叫时创建描述逻辑网络网关的多个客户端的数据结构的代码;
响应于第二服务呼叫传输用于客户端的句柄的代码;
在至少一个计算装置中接收到第三服务呼叫时创建描述与客户端相关联的多个许可的数据结构的代码;
响应于第三服务呼叫传输用于与客户端相关联的许可的句柄的代码;
在至少一个计算装置中接收到第四服务呼叫时创建描述客户端对逻辑网络网关的使用情况的记账的数据结构的代码;
响应于第四服务呼叫传输用于客户端对逻辑网络网关的使用情况的记账的句柄的代码;
在至少一个计算装置中接收到第五服务呼叫时创建包括逻辑网络网关、客户端、与客户端相关联的许可和客户端对逻辑网络网关的使用情况的记账的逻辑网络的代码;
响应于第五服务呼叫传输与客户端装置建立与逻辑网络网关的连接相关联的配置数据的代码。
条款2. 根据条款1所述的非临时性计算机可读介质,其中逻辑网络网关还包括在分布式计算配置中组织的多个逻辑网络网关。
条款3. 一种系统,其包括:
至少一个计算装置;以及
可在至少一个计算装置中执行的逻辑网络配置管理器,逻辑网络配置管理器包括:
在接收到服务呼叫时创建逻辑网络的逻辑,其中,逻辑网络包括逻辑网络网关和与逻辑网络网关相关联的多个客户端账户;以及
发送与逻辑网络的创建相关联的确认数据的逻辑。
条款4. 根据条款3所述的系统,其中逻辑网络网关还包括在分布式计算配置中布置的多个逻辑网络网关。
条款5. 根据条款3所述的系统,其中与逻辑网络网关相关联的客户端账户用于进一步地根据多个网络地址建立与逻辑网络网关的连接。
条款6. 根据条款3所述的系统,其中逻辑网络网关便于在客户端装置和至少一个逻辑网络之间进行通信。
条款7. 根据条款3所述的系统,其中与逻辑网络网关相关联的客户端账户被存储在逻辑网络内的至少一个计算装置中。
条款8. 根据条款3所述的系统,其还包括可执行的逻辑网络用户管理器,逻辑网络用户管理器包括:
在接收到至少一个服务呼叫时创建客户端账户的逻辑;
响应于至少一个服务呼叫发送与客户端账户的创建对应的确认数据的逻辑;
在接收到至少一个服务呼叫时将客户端账户与逻辑网络网关相关联的逻辑;以及
响应于至少一个服务呼叫发送与客户端账户和逻辑网络网关的相关联对应的确认数据的逻辑。
条款9. 根据条款3所述的系统,其中逻辑网络还包括对应于与逻辑网络网关相关联的客户端账户的多个许可。
条款10. 根据条款9所述的系统,其中许可还包括授予客户端账户网络访问多个网络地址目的地的许可。
条款11. 根据条款9所述的系统,其中许可还包括根据多个网络地址目的地限制客户端账户的网络访问。
条款12. 根据条款3所述的系统,其中逻辑网络还包括与逻辑网络网关相关联的客户端账户对逻辑网络网关的使用情况的记账的配置。
条款13. 根据条款12所述的系统,其中逻辑网络网关的使用情况的记账被存储在逻辑网络内的至少一个计算装置上。
条款14. 根据条款12所述的系统,其中逻辑网络网关的使用情况的记账被存储在至少一个计算装置上。
条款15. 一种方法,其包括下列步骤:
在至少一个计算装置中接收到服务呼叫时创建包括逻辑网络网关、与逻辑网络网关相关联的多个客户端账户和与客户端账户对应的多个许可的逻辑网络;以及
响应于到至少一个计算装置的服务呼叫,传输与客户端装置建立和逻辑网络网关的连接相关联的配置数据。
条款16. 根据条款15所述的方法,其中逻辑网络网关还包括在分布式计算配置中布置的多个逻辑网络网关。
条款17. 根据条款15所述的方法,其中逻辑网络还包括在逻辑网络内的至少一个计算装置。
条款18. 根据条款15所述的方法,其中客户端账户还包括定义与逻辑网络网关相关联的至少一个客户端组中的成员资格的数据。
条款19. 根据条款18所述的方法,其中客户端账户和至少一个客户端组被存储在逻辑网络内的至少一个计算装置上。
条款20. 根据条款18所述的方法,其中客户端账户和至少一个客户端组被存储在至少一个计算装置上。
条款21. 根据条款15所述的方法,其中与客户端账户对应的许可还包括授予客户端账户网络访问多个网络地址目的地的许可。
条款22. 根据条款15所述的方法,其中与客户端账户对应的许可还包括根据多个网络地址目的地限制客户端账户的网络访问。
条款23. 一种系统,其包括:
至少一个计算装置;以及
可在至少一个计算装置中执行的逻辑网络网关服务,逻辑网络网关服务包括:
通过网络从客户端接收用于通过网络建立逻辑网络隧道的请求的逻辑;
通过网络从与建立逻辑网络隧道相关联的客户端接收至少一个证书的逻辑;
至少部分地基于至少一个证书认证客户端的逻辑;
监控被分配至逻辑网络网关服务的多个第一计算资源的使用的逻辑;
如果使用满足预定的分配阈值则分配至少一个可用第二计算资源以增加第一计算资源的逻辑;以及
通过网络与客户端协商以建立逻辑网络隧道的逻辑。
条款24. 根据条款23所述的系统,其中逻辑网络网关服务还包括从与客户端建立逻辑网络隧道相关联的数据存储获得多个许可的逻辑。
条款25. 根据条款23所述的系统,其中逻辑网络网关服务还包括如果使用满足预定的释放阈值则释放第一计算资源的一部分的逻辑。
条款26. 根据条款23所述的系统,其中逻辑网络网关服务还包括至少部分地基于从管理员接收到终止逻辑网络隧道的通知而终止逻辑网络隧道的逻辑。
应强调的是,本公开的上述实施方案仅仅是为了清楚理解本公开的原理而阐明的实施方式的可能实例。在基本上不脱离本公开的精神和原理的情况下,可对上述实施方案进行许多变化和修改。所有这些修改和变化都旨在包括在本公开的范围之内并受到所附权利要求的保护。
Claims (16)
1.一种系统,其包括:
至少一个计算装置;以及
可在所述至少一个计算装置中执行的逻辑网络配置管理器,其中在被执行时,所述逻辑网络配置管理器促使所述至少一个计算装置至少:
经由计算服务提供商运行的逻辑网络网关从与所述计算服务提供商的客户相关联的客户端装置接收用以连接至所述计算服务提供商运行的逻辑网络的至少一个编程性服务呼叫;
响应于对源自所述客户端装置的所述至少一个编程性服务呼叫的接收,创建多个使用情况记账,所述多个使用情况记账中的单独一些与多个客户账户中的相应一些相关联并且所述使用情况记账具有以下项中的至少一个:连接时间、所使用的带宽量和所建立的逻辑网络隧道的数量;
响应于对源自所述客户端装置的所述至少一个编程性服务呼叫的接收,创建包括所述逻辑网络网关和所述多个客户账户的逻辑网络的编程性配置;
响应于对源自所述客户端装置的所述至少一个编程性服务呼叫的接收而根据所述编程性配置创建在所述客户端装置和被附接至所述逻辑网络的多个虚拟计算机之间的逻辑网络隧道,其中所述虚拟计算机与所述客户指定的网络地址相关联,且其中所述计算服务提供商运行用于与所述计算服务提供商相关联的多个客户账户的多个逻辑网络;
发送与所述逻辑网络隧道的创建相关联的确认数据至所述客户端装置。
2.根据权利要求1所述的系统,其中所述逻辑网络网关还包括在分布式计算配置中布置的多个逻辑网络网关。
3.根据权利要求1所述的系统,其中与所述逻辑网络网关相关联的所述多个客户账户用于进一步地根据多个网络地址建立与所述逻辑网络网关的连接。
4.根据权利要求1所述的系统,其中所述逻辑网络网关便于在所述客户端装置和至少一个逻辑网络之间进行通信。
5.根据权利要求1所述的系统,其中与所述逻辑网络网关相关联的所述多个客户账户被存储在所述逻辑网络内的至少一个计算装置中。
6.根据权利要求1所述的系统,其还包括可在所述至少一个计算装置中执行的逻辑网络用户管理器,其中在被执行时,所述逻辑网络用户管理器促使所述至少一个计算装置:
在接收到所述至少一个编程性服务呼叫时创建所述多个客户账户;
响应于所述至少一个编程性服务呼叫发送与所述多个客户账户的所述创建对应的确认数据;
在接收到所述至少一个编程性服务呼叫时将所述多个客户账户与所述逻辑网络网关相关联;以及
响应于所述至少一个编程性服务呼叫发送与所述多个客户账户和所述逻辑网络网关的所述相关联对应的确认数据。
7.根据权利要求1所述的系统,其中所述逻辑网络还包括对应于与所述逻辑网络网关相关联的所述多个客户账户中的单独一些的多个许可。
8.根据权利要求7所述的系统,其中所述多个许可中的至少一个还包括根据多个网络地址目的地限制所述多个客户账户的网络访问。
9.根据权利要求1所述的系统,其中所述逻辑网络还包括与所述逻辑网络网关相关联的所述多个客户账户对所述逻辑网络网关的所述多个使用情况记账的配置。
10.一种方法,其包括下列步骤:
由计算服务提供商经至少一个计算装置为在所述计算服务提供商提供的环境内的客户创建逻辑网络,其中所述逻辑网络包括与所述客户指定的多个网络地址相关联的一个或多个虚拟计算机;
响应于对源自客户端装置的至少一个编程性服务呼叫的接收,由所述至少一个计算装置创建多个使用情况记账,所述多个使用情况记账中的单独一些与多个客户账户中的相应一些相关联并且所述使用情况记账具有以下项中的至少一个:连接时间、所使用的带宽量和所建立的逻辑网络隧道的数量;
响应于对源自所述客户端装置的所述至少一个编程性服务呼叫的接收,由所述至少一个计算装置创建包括逻辑网络网关和所述多个客户账户的逻辑网络的编程性配置;
响应于从客户端装置接收所述至少一个编程性服务呼叫,由所述至少一个计算装置创建在所述客户端装置和所述逻辑网络之间的逻辑网络隧道,从而使所述客户端装置看起来好像存在于所述逻辑网络中;以及
由所述至少一个计算装置将与所述逻辑网络隧道的创建相关联的确认数据传输至所述客户端装置。
11.根据权利要求10所述的方法,其中所述逻辑网络网关还包括在分布式计算配置中布置的多个逻辑网络网关。
12.根据权利要求10所述的方法,其中所述逻辑网络还包括在所述逻辑网络内的至少一个计算装置。
13.根据权利要求10所述的方法,其中所述多个客户账户还包括定义与所述逻辑网络网关相关联的至少一个客户端组中的成员资格的数据。
14.根据权利要求13所述的方法,其中所述多个客户账户和所述至少一个客户端组被存储在所述逻辑网络内的至少一个计算装置上。
15.根据权利要求10所述的方法,还包括创建与所述多个客户账户中的单独一些相对应的多个许可,所述多个许可中的至少一个还包括授予所述多个客户账户对多个网络地址目的地的网络访问。
16.根据权利要求10所述的方法,还包括创建与所述多个客户账户中的单独一些相对应的多个许可,所述多个许可中的至少一个还包括根据多个网络地址目的地限制所述多个客户账户的网络访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/252,604 US8819229B1 (en) | 2011-10-04 | 2011-10-04 | Techniques for accessing logical networks via a programmatic service call |
| US13/252604 | 2011-10-04 | ||
| PCT/US2012/000479 WO2013052115A1 (en) | 2011-10-04 | 2012-10-04 | Techniques for accessing logical networks via a programmatic service call |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104011702A CN104011702A (zh) | 2014-08-27 |
| CN104011702B true CN104011702B (zh) | 2017-04-19 |
Family
ID=48044055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280049058.4A Active CN104011702B (zh) | 2011-10-04 | 2012-10-04 | 用于经编程性服务呼叫访问逻辑网络的系统和方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8819229B1 (zh) |
| EP (1) | EP2748715B1 (zh) |
| JP (1) | JP2014534502A (zh) |
| CN (1) | CN104011702B (zh) |
| AU (1) | AU2012319193B2 (zh) |
| CA (1) | CA2850114C (zh) |
| RU (1) | RU2587421C2 (zh) |
| SG (1) | SG2014014310A (zh) |
| WO (1) | WO2013052115A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10764129B2 (en) * | 2017-04-18 | 2020-09-01 | Amazon Technologies, Inc. | Logic repository service supporting adaptable host logic |
| CN111585880B (zh) * | 2020-05-13 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 业务系统中的网关控制方法、装置及电子设备 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073172A (en) | 1997-07-14 | 2000-06-06 | Freegate Corporation | Initializing and reconfiguring a secure network interface |
| US6049826A (en) | 1998-02-04 | 2000-04-11 | 3Com Corporation | Method and system for cable modem initialization using dynamic servers |
| US7325058B1 (en) * | 2000-11-13 | 2008-01-29 | Cisco Technology, Inc. | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites |
| US7051089B1 (en) * | 2001-10-24 | 2006-05-23 | Cisco Technology, Inc. | Techniques for automatically delegating address spaces among dynamic host configuration servers |
| US7617317B2 (en) * | 2001-12-03 | 2009-11-10 | Sprint Spectrum L.P. | Method and system for allowing multiple service providers to serve users via a common access network |
| US7469294B1 (en) * | 2002-01-15 | 2008-12-23 | Cisco Technology, Inc. | Method and system for providing authorization, authentication, and accounting for a virtual private network |
| EP1504356B1 (en) * | 2002-05-03 | 2019-04-17 | Unium Inc. | Method and apparatus for persistent connections to a device through the use of multiple physical network connections and connection hand-offs between multiple bands, modes and networks |
| KR100485769B1 (ko) * | 2002-05-14 | 2005-04-28 | 삼성전자주식회사 | 서로 다른 홈네트워크에 존재하는 네트워크장치간의접속을 제공하기 위한 장치 및 방법 |
| US7143435B1 (en) * | 2002-07-31 | 2006-11-28 | Cisco Technology, Inc. | Method and apparatus for registering auto-configured network addresses based on connection authentication |
| US8077681B2 (en) * | 2002-10-08 | 2011-12-13 | Nokia Corporation | Method and system for establishing a connection via an access network |
| GB2411091B (en) | 2002-11-12 | 2007-05-30 | Next Generation Broadband Inc | Intelligent configuration bridge system and method for adding supplemental capabilities to an existing high speed data infrastructure |
| US7804826B1 (en) * | 2002-11-15 | 2010-09-28 | Nortel Networks Limited | Mobile IP over VPN communication protocol |
| US10375023B2 (en) * | 2004-02-20 | 2019-08-06 | Nokia Technologies Oy | System, method and computer program product for accessing at least one virtual private network |
| US8194640B2 (en) * | 2004-12-31 | 2012-06-05 | Genband Us Llc | Voice over IP (VoIP) network infrastructure components and method |
| JP4628938B2 (ja) * | 2005-12-02 | 2011-02-09 | 三菱電機株式会社 | データ通信システム、端末装置およびvpn設定更新方法 |
| US8108525B2 (en) * | 2006-08-03 | 2012-01-31 | Citrix Systems, Inc. | Systems and methods for managing a plurality of user sessions in a virtual private network environment |
| US7840701B2 (en) | 2007-02-21 | 2010-11-23 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method |
| US20080228865A1 (en) * | 2007-03-15 | 2008-09-18 | Nazareno Brier Cruzada | Electronic personal computing and videophone system consisting of a remote server system providing dynamic, subscription based virtual computing services & resources, a thin client hardware device connected to a television set and wireless keyboard & mouse, and a wireless mobile device (a Pocket PC Phone) |
| US7756141B1 (en) * | 2007-09-20 | 2010-07-13 | Nortel Networks Limited | Bimodal burst switching |
| US8515015B2 (en) * | 2008-05-09 | 2013-08-20 | Verizon Patent And Licensing Inc. | Method and system for test automation and dynamic test environment configuration |
| US9137209B1 (en) * | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US8230050B1 (en) * | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US8924982B2 (en) * | 2010-01-12 | 2014-12-30 | Amazon Technologies, Inc. | Managing private use of program execution capacity |
| US9479480B2 (en) * | 2010-01-29 | 2016-10-25 | Citrix Systems, Inc. | Systems and methods of using SSL pools for WAN acceleration |
| CN102845123B (zh) * | 2011-04-19 | 2015-07-08 | 华为技术有限公司 | 虚拟私云的连接方法及隧道代理服务器 |
-
2011
- 2011-10-04 US US13/252,604 patent/US8819229B1/en active Active
-
2012
- 2012-10-04 SG SG2014014310A patent/SG2014014310A/en unknown
- 2012-10-04 CA CA2850114A patent/CA2850114C/en active Active
- 2012-10-04 AU AU2012319193A patent/AU2012319193B2/en active Active
- 2012-10-04 CN CN201280049058.4A patent/CN104011702B/zh active Active
- 2012-10-04 EP EP12837988.0A patent/EP2748715B1/en active Active
- 2012-10-04 RU RU2014117681/08A patent/RU2587421C2/ru active
- 2012-10-04 WO PCT/US2012/000479 patent/WO2013052115A1/en active Application Filing
- 2012-10-04 JP JP2014534543A patent/JP2014534502A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP2748715A1 (en) | 2014-07-02 |
| AU2012319193B2 (en) | 2016-03-17 |
| RU2587421C2 (ru) | 2016-06-20 |
| EP2748715B1 (en) | 2017-04-12 |
| CN104011702A (zh) | 2014-08-27 |
| EP2748715A4 (en) | 2015-04-01 |
| CA2850114C (en) | 2016-11-29 |
| SG2014014310A (en) | 2014-07-30 |
| CA2850114A1 (en) | 2013-04-11 |
| AU2012319193A1 (en) | 2014-04-10 |
| RU2014117681A (ru) | 2015-11-10 |
| US8819229B1 (en) | 2014-08-26 |
| WO2013052115A1 (en) | 2013-04-11 |
| JP2014534502A (ja) | 2014-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11621954B2 (en) | Token based one-time password security | |
| CN108475249B (zh) | 分布式、分散式数据聚合 | |
| US8667579B2 (en) | Methods, systems, and computer readable media for bridging user authentication, authorization, and access between web-based and telecom domains | |
| US9819673B1 (en) | Authentication and authorization of a privilege-constrained application | |
| US8595806B1 (en) | Techniques for providing remote computing services | |
| CN104364792B (zh) | 用于多个网络站点的账户管理系统 | |
| KR102315794B1 (ko) | 계정에 연결하고 서비스 프로세스를 제공하기 위한 방법 및 디바이스 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN104253812A (zh) | 委托用于web服务的认证 | |
| CN103930897A (zh) | 移动应用、单点登录管理 | |
| CN106416125A (zh) | 用于虚拟机实例的自动目录加入 | |
| CN104734849A (zh) | 对第三方应用进行鉴权的方法及系统 | |
| CN106664291A (zh) | 用于对本地网络设备提供安全访问的系统和方法 | |
| CN109067785A (zh) | 集群认证方法、装置 | |
| TW201909072A (zh) | 電子帳戶的掛失、解掛、業務管理方法、裝置及設備 | |
| CN106663268A (zh) | 具有临时匿名身份的平台身份架构 | |
| CN110276202A (zh) | 一种反序列化漏洞的检测方法及装置 | |
| CN107580000A (zh) | 数字证书认证方法及装置 | |
| CN108335191A (zh) | 金融账户的开户方法、金融服务系统端及计算机存储介质 | |
| CN107948210A (zh) | 一种登录方法、装置、客户端、服务器及介质 | |
| CN104011702B (zh) | 用于经编程性服务呼叫访问逻辑网络的系统和方法 | |
| JP6542672B2 (ja) | オンライン取引プラットフォームのアカウントを制御すること | |
| Lomotey et al. | Middleware-layer for authenticating mobile consumers of amazon s3 data | |
| US11489830B2 (en) | Source authentication of website content | |
| CN108141434A (zh) | 经由设备通知提供多因素认证凭证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |