CN104272674A - 多隧道虚拟专用网络 - Google Patents
多隧道虚拟专用网络 Download PDFInfo
- Publication number
- CN104272674A CN104272674A CN201380022939.1A CN201380022939A CN104272674A CN 104272674 A CN104272674 A CN 104272674A CN 201380022939 A CN201380022939 A CN 201380022939A CN 104272674 A CN104272674 A CN 104272674A
- Authority
- CN
- China
- Prior art keywords
- vpn
- application
- data block
- server
- qos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 55
- 230000005540 biological transmission Effects 0.000 claims description 164
- 230000005641 tunneling Effects 0.000 claims description 128
- 238000004458 analytical method Methods 0.000 claims description 29
- 238000005538 encapsulation Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 25
- 238000012546 transfer Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000006854 communication Effects 0.000 description 10
- 238000007689 inspection Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 4
- 230000007480 spreading Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 239000000654 additive Substances 0.000 description 1
- 230000000996 additive effect Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及用于控制提供多个QoS载体(3301-330n)的传输网络(303)中的虚拟专用网络(“VPN”)中的服务质量(“QoS”)的系统和方法。所述方法涉及:通过传输网络在两个VPN端点(319,341)之间建立(601-615)多条VPN隧道(3320-332i),其中至少包括与第一QoS载体(3301)相关联的默认VPN隧道(3320)以及与第二QoS载体(3302)相关联的替换VPN隧道(3321-332i);接收(701,801)并且分析数据块;应用VPN策略(327,329)以便将所述数据块指派到默认VPN隧道或替换VPN隧道;以及将所述数据块封装在包括至少一个指示符的传输数据块(200)中。所述指示符规定是否将由传输网络利用第一QoS载体或第二QoS载体传送该传输数据块。
Description
技术领域
本发明涉及虚拟专用网络。更具体来说,本发明涉及在虚拟专用网络中提供服务质量特征。
背景技术
虚拟专用网络(“VPN”)可以被用来经由例如因特网之类的受信任的(例如公共)传输网络在专用网络与远程用户设备之间提供安全的通信。安全VPN采用加密(cryptographic)隧道化协议来保护VPN端点之间的数据通信量,这通常是通过在经由不受信任的网络进行传送之前对应用数据进行加密并且将所得到的已加密VPN有效载荷封装在传输分组中。
基于网络的应用对于服务质量具有不同的需求。举例来说,例如视频会议之类的实时双向通信应用要求低等待时间以便提供良好的用户提议,而例如文件共享之类的其他应用类型则通常在相对较高的等待时间水平下也能够提供良好的用户体验。一些传输网络技术(比如3GPP LTE)允许传输网络提供商(例如对于一定费用)为特定顾客给出更高服务水平。
术语“服务质量”(“QoS”)在这里被用来指代使用在通信系统中的多种有关特征,作为非限制性实例比如有优先级排序和/或服务水平保证。传输网络通常通过提供多个QoS载体来提供不同的QoS水平。正如本领域内已知的那样,QoS载体是由传输网络提供来用于在指定的QoS水平下传输数据的机制。可以根据被称作QoS策略的一个规则集合来为各个QoS载体指派数据。QoS策略可以基于包括应用类型、用户和/或其他数据属性等标准来定义服务水平。QoS特征可以被用来关于等待时间、带宽、掉落分组和/或其他网络质量提供不同的服务水平。
可以在基于分组的网络中的各个点处使用分组检查以便确定数据分组的属性,比如应用类型、协议、源地址、源端口号、目的地地址和/或目的地端口号。常常基于通过分组检查确定的属性来应用QoS策略。
发明内容
本发明的实施例涉及用于控制提供多个QoS载体的传输网络中的虚拟专用网络(“VPN”)中的服务质量(“QoS”)的方法。所述方法通常涉及通过传输网络在第一VPN端点与第二VPN端点之间建立多条VPN隧道。所述多条VPN隧道至少包括与第一QoS载体相关联的默认VPN隧道以及与第二QoS载体相关联的替换VPN隧道。所述方法还涉及在第一VPN端点处实施以下步骤:接收包括应用数据的第一数据块;分析第一数据块以确定其至少一项特性;基于所述分析对第一数据块应用VPN策略;基于所述应用步骤将第一数据块选择性地指派到默认VPN隧道和替换VPN隧道的其中之一;以及将第一数据块封装在传输数据块中。传输数据块包括至少一个指示符,其规定是否将由传输网络利用第一QoS载体或第二QoS载体传送该传输数据块。所述指示符是根据所述指派步骤确定的。
本发明的实施例还涉及实施前面描述的方法实施例的系统。系统实施例包括被配置成通过传输网络在第一VPN端点与第二VPN端点之间建立多条VPN隧道的至少一个电子电路。所述多条VPN隧道至少包括与第一QoS载体相关联的默认VPN隧道以及与第二QoS载体相关联的替换VPN隧道。所述至少一个电子电路还被配置成:接收包括应用数据的第一数据块;分析第一数据块以确定其至少一项特性;基于所述分析对第一数据块应用VPN策略;基于VPN策略的应用将第一数据块选择性地指派到默认VPN隧道和替换VPN隧道的其中之一;以及将第一数据块封装在传输数据块中。传输数据块包括至少一个指示符,其规定是否将由传输网络利用第一QoS载体或第二QoS载体传送该传输数据块。所述指示符是根据所述指派确定的。
附图说明
下面将参照附图来描述示例性实施例,其中相同的附图标记在各图中始终表示相同的项目,其中:
图1是对于理解本发明有用的示例性现有技术系统的示意图。
图2是对于理解本发明有用的传输数据块的示意图。
图3是对于理解本发明有用的示例性系统的示意图。
图4是对于理解本发明有用的示例性计算设备的方框图。
图5是对于理解本发明有用的网络分层图。
图6是对于理解本发明有用的根据一种示例性方法的VPN隧道建立处理的处理流程图。
图7是对于理解本发明有用的一种示例性方法的处理流程图。
图8是对于理解本发明有用的一种示例性方法的处理流程图。
具体实施方式
下面将参照附图来描述本发明。附图不是按比例绘制的,提供附图仅仅是为了说明本发明的示例性实施例。作为说明,下面将参照示例性应用来描述本发明的几个方面。应当理解的是,为了提供对于本发明的全面理解阐述了许多具体细节、关系和方法。但是相关领域技术人员将很容易认识到,可以在没有其中一项或更多项具体细节的情况下或者利用其他方法来实践本发明。此外,没有详细示出众所周知的结构或操作以免模糊本发明。本发明不限于所示出的动作或事件的排序,这是因为一些动作可以按照不同的顺序发生以及/或者与其他动作或事件同时发生。此外,并不需要所示出的所有动作或事件来实施根据本发明的方法。
本发明涉及在操作于提供多个QoS水平的传输网络上的虚拟专用网络(“VPN”)内提供不同的服务质量(“QoS”)水平。通常由VPN端点(比如VPN客户端和VPN服务器)实施的加密阻碍了传输网络对应用消息的有意义的检查。由于无法检查应用消息,传输网络对于根据消息的属性提供不同服务水平的传统尝试也无法实现。本发明的示例性实施例通过在两个VPN端点之间经由传输网络建立多条VPN隧道而克服了这样的限制。传输网络提供多个QoS载体,并且所述多条VPN隧道当中的每一条与QoS载体相关联。在VPN端点中应用VPN策略,而不是在与传输网络相关联的网关中应用。通过在VPN端点中应用VPN策略允许在对数据进行加密之前应用VPN策略。VPN策略决定向VPN隧道和相关联的QoS载体指派应用消息。作为VPN封装处理的一部分向所述数据添加一个指示符,以便标识出所述数据所被指派的VPN隧道和QoS载体。举例来说,来自运行在远程网络主机中的多项软件应用当中的每一项的通信量可以被指派到不同的VPN隧道和相关联的QoS载体,以便通过传输网络传送到VPN服务器。同样地,来自专用网络中的多个应用服务器当中的每一个的通信量可以被指派到不同的VPN隧道和相关联的QoS载体,以便通过传输网络传送到VPN客户端。本发明的示例性实施例从而为VPN内的通信量提供QoS特征。
“示例性”一词在这里被用来表明充当实例、事例或说明。在这里被描述为“示例性”的任何方面或设计不一定应当被解释成比起其他方面或设计是优选的或有利的。相反,使用“示例性”一词是为了以具体的方式给出概念。在本申请中使用的术语“或者”意图表示包含性的“或者”而不是排他性的“或者”。也就是说,除非另行规定或者可以从上下文明显看出,否则“X采用A或B”意图表示任何自然的包含性排列。也就是说,如果X采用A、X采用B或者X采用A和B全部二者,则在任何前述事例下都满足“X采用A或B”。
现在参照图1,其中提供了示例性现有技术系统100的示意图,其包括远程网络主机101、传输网络103以及专用网络105。远程网络主机101经由传输网络103与专用网络105安全地通信,其中利用传统的VPN技术来加密和封装应用消息。VPN加密阻碍了传输网络103对应用消息进行有意义的检查。因此传输网络103将所有VPN通信量指派到单一的默认QoS水平,正如后面详细描述的那样。
远程网络主机101包括处理器(未示出),其执行多个软件应用程序1101,1102,...110m以及VPN客户端119。远程网络主机101经由VPN隧道132与专用网络105通信,其经由传输网络103提供VPN客户端119与VPN服务器141之间的安全通信。在经由VPN隧道132在任一方向上进行传送之前,由VPN客户端119和/或VPN服务器141在传输数据块中对应用数据进行加密和封装。VPN对于软件应用1101,1102,...110m以及应用服务器1501,1502,...150o通常是透明的。可以利用众所周知的加密协议来实施VPN隧道132,作为非限制性实例加密协议比如有传输层安全(“TLS”)和/或安全套接字层(“SSL”)。
VPN客户端119可以从软件应用1101,1102,...110m接收针对VPN服务器141的传出应用数据。在接收到传出应用数据时,VPN客户端119对应用数据进行加密从而形成VPN有效载荷,将VPN有效载荷封装在传输数据块或“传输分组”中,并且将传输分组提供到传输网络103。VPN客户端119还从传输网络103接收传入传输数据块,对包含在其中的VPN有效载荷进行解密,并且将已解密应用数据提供到适当的软件应用1101,1102,...110m。
VPN服务器141在经由VPN隧道132向VPN客户端119发送数据时实施类似的操作。VPN服务器141经由专用网络105与多个应用服务器1501,1502,...150o通信。VPN服务器141从应用服务器1501,1502,...150o接收针对VPN客户端119的传出应用数据,对应用数据进行加密从而形成VPN有效载荷,将VPN有效载荷封装在传输分组中,并且将传输分组提供到传输网络103以供传送到VPN客户端119。
传输网络103可以提供多个QoS载体1301,1302,...130n,其分别提供不同的QoS水平。传输网络103可以包括而不限于3GPP长期演进(LTE)网络。传输网络103可以允许利用各种协议进行通信,作为非限制性实例比如有众所周知的互联网协议(“IP”)、用户数据报协议(“UDP”)和/或传输控制协议(“TCP”)。传输网络103还包括客户端侧网关121和服务器侧网关123。网关121和123当中的每一个应用QoS策略125以便将数据通信量指派到QoS载体1301,1302,...130n。在接收到传输分组时,传输网络103实施分组检查和/或分析以便确定传输分组的特性,作为非限制性实例比如有传输协议、源地址、源端口、目的地地址和/或目的地端口。传输网络103随后基于所确定的特性应用QoS策略125,以便将传输分组指派到特定QoS载体1301,1302,...130n,并且根据由所指派的QoS载体定义的服务水平来传送所述传输分组。这些处理例如可以在网关121和/或网关123中实施。网关121和网关123可以被实施为调制解调器、路由器、交换机、服务器或者本领域内已知的任何其他适当的网络装备。举例来说,客户端侧网关121可以被实施为与远程网络主机101相关联的调制解调器,并且服务器侧网关123可以被实施为与VPN服务器141相关联的路由器。
传输网络103的前述QoS操作对于非VPN数据通信量工作良好。但是传输网络103通常无法解密VPN有效载荷,因此无法确定(VPN有效载荷中的)应用数据的特性。因此,在传输分组上实施的分组检查和/或分析通常将被限制到对于传输分组报头的分析。VPN隧道132中的传输分组在传输分组报头中通常都将具有相同的数据(例如源地址、源端口、目的地地址和/或目的地端口),而与通信中所涉及的软件应用1101,1102,...110m或应用服务器1501,1502,...150o无关。举例来说,源自软件应用1101,1102,...110m的所有应用通信量被合并到针对VPN服务器141的单一VPN分组流中,因此所有这样的通信量具有完全相同的传输分组报头。因此,传输网络103无法在VPN隧道132内的不同类型的通信量之间进行区分,并且所有VPN都被指派到单一QoS载体,比如默认的QoS载体1301。因此,传输网络103关于VPN数据通信量无法有效地实施有意义的QoS特征。
现在参照图2,其中提供了示例性传输数据块200的示意图。传输数据块200可以包括而不限于TCP/IP分组和/或UDP/IP分组。示例性的传输数据块200包括封装VPN有效载荷211的IP数据报或分组。VPN有效载荷211是通过对包括应用数据201、UDP/TCP报头203、IP报头205和VPN报头207的应用分组进行加密而形成的。VPN报头207是可选的,并且可以包含与VPN客户端119和VPN服务器141之间的关系相关的另外的信息。这样的信息例如可以包括加密认证信息、加密密钥标识以及/或者与VPN的具体实现方式相关联的其他信息。传输数据块200还包括TLS报头213、UDP/TCP报头215和IP报头217。IP报头205包括标识专用网络105/305中的网络节点的源和目的地地址,比如对应于远程网络主机101/301以及应用服务器1501,1502,...150o的专用网络地址。UDP/TCP报头203包括分别标识源和目的地节点内的应用的源和目的地端口。IP报头217包括标识传输网络103/303中的网络节点的源和目的地地址,比如对应于远程网络主机101/310和VPN服务器141/341的传输网络地址。UDP/TCP报头215包括分别标识源和目的地节点内的应用的传输网络端口。
现在参照图3,其中提供了根据本发明的一个示例性实施例的提供多隧道VPN的系统300的示意图。示例性系统300包括远程网络主机301、传输网络303和专用网络305。系统300提供多隧道VPN,其允许系统300为VPN通信量提供不同的QoS水平,正如后面详细描述的那样。
远程网络主机(“RNH”)301包括处理器(未示出),其执行多个软件应用程序1101,1102,...110m以及VPN客户端319。在一个实施例中,多隧道VPN对于软件应用程序1101,1102,...110m是透明的,因此不需要修改所述软件应用程序以与系统300一同使用。VPN客户端319和VPN服务器341被配置成建立多条VPN隧道3320,3321,...332i,其分别与特定的QoS载体3301,3302,...330n相关联。每一条VPN隧道3320,3321,...332i共享相同的VPN端点。VPN端点可以包括VPN客户端319,其可以是由RNH 301执行的VPN客户端软件应用,以及由VPN服务器341执行的VPN服务器软件(未示出)。每一条替换的VPN隧道3321,...332i与默认的VPN隧道3320相关联。作为非限制性实例,建立VPN隧道3320,3321,...332i的处理可以由VPN客户端319和/或VPN服务器341发起。
可以利用隧道指示符来实现VPN隧道与QoS载体之间的关联,所述隧道指示符充当用以向VPN端点标识VPN隧道以及在传输网络303中指定QoS载体的标志。隧道指示符可以位于传输分组报头(例如TLS报头213、UDP/TCP报头215和/或IP报头217)中。在图3的示例性实施例中,隧道指示符是端口号。每一条VPN隧道3320,3321,...332i与单一QoS载体3301,3302,...330n以及隧道指示符k0,k1,...ki相关联。隧道指示符k0,k1,...ki可以被实施为源或目的地端口,并且可以在传输分组报头(例如UDP/TCP报头215)内规定。举例来说,对应于特定VPN隧道的QoS载体可以由UDP/TCP报头215中的客户端端口(源或目的地)规定。
VPN客户端319向传入和/或传出VPN通信量应用客户端VPN策略327。在传出方向上,VPN客户端319对接收自软件应用程序1101,1102,...110m的应用分组应用客户端VPN策略327,从而将每一个应用分组指派到VPN隧道3320,3321,...332i。作为非限制性实例,客户端VPN策略327可以包括例如应用协议、源端口(例如RNH端口)、目的地地址(例如应用服务器专用网络地址)和/或目的地端口(例如应用服务器端口)之类的标准。在一个示例性实施例中,客户端VPN策略327对于将呼入应用分组指派到隧道指示符(比如隧道指示符k0,k1,...ki)是有效的。在传入方向上,VPN客户端319利用与相应的VPN隧道3320,3321,...332i相关联的加密密钥和/或协议对接收自传输网络303的传输分组进行解密,正如后面详细描述的那样。VPN客户端319随后将所接收到的分组路由到适当的应用,其例如可以基于(已解密)报头203和/或205来确定。
传输网络303被配置成检查传输分组以便确定其中的隧道指示符。举例来说,传输网络303可以被配置成确定在每一个传输分组中规定的隧道指示符k0,k1,...ki。传输网络303随后应用QoS策略325,从而将每一个传输分组指派到QoS载体3301,3302,...330n。作为非限制性实例,这些功能例如可以在网关321和/或网关323中实施。举例来说,QoS策略325可以适于根据相应的隧道指示符k0,k1,...ki将传输分组指派到QoS载体3301,3302,...330n。多隧道VPN对于传输网络303可以是透明的。在一个示例性实施例中,传输网络303可以是传统的传输网络,比如传输网络103,而不需要进行修改以适应系统300的多隧道VPN。例如可以通过基于传统的传输网络中的QoS策略(例如QoS策略125)选择隧道指示符来实现兼容性。
专用网络305包括应用服务器1501,1502,...150o以及VPN客户端319。VPN服务器341可以在后面参照图6详细描述的VPN建立期间将专用网络305上的专用网络地址指派到RNH 301。在一个优选实施例中,不需要对已有的应用服务器1501,1502,...150o做出任何改变以便允许其与系统300和VPN服务器341一同工作。VPN服务器341对传入和传出VPN通信量应用服务器VPN策略329。在传出方向上,VPN服务器341对接收自应用服务器1501,1502,...150o的应用分组应用服务器VPN策略329,以便将每一个应用分组指派到VPN隧道3320,3321,...332i。作为非限制性实例,服务器VPN策略329可以包括例如应用协议、目的地地址(例如RNH专用网络地址)、目的地端口(例如RNH端口)、源地址(例如应用服务器专用网络地址)和/或源端口(例如应用服务器端口)之类的标准。在一个示例性实施例中,服务器VPN策略329对于将呼入应用分组指派到隧道指示符(比如隧道端口k0,k1,...ki)是有效的。在传入方向上,VPN服务器341对接收自传输网络303的传输分组应用服务器VPN策略329以便确定相应的VPN隧道3320,3321,...332i,其可以控制对于加密密钥和/或协议的选择,正如后面所描述的那样。
VPN策略配置
VPN策略(例如客户端VPN策略327和服务器VPN策略329)可以通过多种方式来配置。在一个示例性实施例中,VPN策略可以被配置成将对应于给定应用的所有数据指派到相同的VPN隧道。在另一个示例性实施例中,VPN策略可以被配置成基于其他标准将来自给定应用的应用消息指派到不同的VPN隧道,正如后面详细讨论的那样。
表1描绘出用于将通信量指派到VPN隧道的示例性客户端策略(例如客户端VPN策略327)。客户端VPN策略327基于例如应用分组的应用协议、源端口、目的地地址和/或目的地端口之类的标准提供通信量与VPN隧道之间的对应性。关于每一条VPN隧道的信息,比如加密密钥和/或协议,可以被存储在远程网络主机中的单独的数据结构中。
表1——客户端VPN策略327
表2描绘出用于根据应用分组的应用协议、源地址、源端口和目的地端口将来自每一个应用服务器的通信量指派到一条VPN隧道的示例性服务器VPN策略。正如后面详细讨论的那样,所述服务器VPN策略可以是多项服务器VPN策略(例如服务器VPN策略329)当中的一项,其中每一项服务器VPN策略与特定VPN客户端相关联。关于每一条VPN隧道的信息,比如加密密钥和/或协议,可以被存储在VPN服务器中的单独的数据结构中。
表2——服务器VPN策略329
表3描绘出用于存储关于VPN隧道的信息(包括加密协议和加密密钥)的示例性数据结构。类似于表3的数据结构可以被存储在远程网络主机和VPN服务器中。将会理解的是,表3是简化表示,并且多种修改将是显而易见的。
表3——VPN隧道
VPN隧道指示符 | 加密协议 | 加密密钥 |
k0 | TLS 1.2 | 密钥1 |
k1 | TLS 1.2 | 密钥2 |
k2 | TLS 1.2 | 密钥3 |
k3 | TLS 1.2 | 密钥4 |
表4描绘出用于根据RNH传输网络地址和隧道端口将传输分组指派到QoS载体(例如QoS载体3301,3302,...330n)的示例性传输网络QoS策略(例如QoS策略325)。正如后面详细讨论的那样,所述QoS策略可以是传输网络303中的多项QoS策略当中的一项,其中每一项QoS策略与特定VPN客户端或应用服务器相关联。应当提到的是,传输网络303不需要知晓VSP隧道的存在。客户端和服务器VPN策略可以被设计成与传输网络303中的现有QoS策略(例如QoS策略125)相结合来操作,从而不需要对传输网络进行任何修改。
表4——QoS策略325
在表4的示例性QoS策略中,被用来向传输网络303表明所期望的QoS载体的VPN隧道指示符是远程网络主机传输端口号,其可以是传输数据块(例如传输数据块200)的源端口或目的地端口。举例来说,所述端口可以是UDP/TCP报头215中的UDP或TCP源或目的地端口。但是将会理解的是,可以通过其他方式来实施VPN隧道指示符。
可以看到,表1和2的示例性VPN策略一同工作来对于给定的软件应用和应用服务器在全部两个方向上向相同的隧道发送通信量。换句话说,表1和表2的VPN客户端策略和VPN服务器策略分别是匹配的,从而使得去往和来自VPN服务器和VPN客户端的通信量对于给定应用被指派到相同的隧道。举例来说,针对由应用服务器1501托管的某一应用以及操作在客户端端口1上的相应的客户端软件应用1101的TCP通信量在全部两个方向上都被指派到VPN隧道指示符k0。但是显然并不需要是这种情况。举例来说,从服务器去往客户端的消息可以被认为具有高于从客户端去往服务器的消息的优先级,或者反之亦然。
虽然表1和2示出了相对简单的VPN策略,但是本领域技术人员将认识到,可以使用更加复杂的表和/或功能来将通信量指派到VPN隧道。举例来说,可以由客户端和服务器VPN策略以及/或者传输网络QoS策略使用附加的或不同的标准。在一个示例性实施例中,消息内容可以被用作VPN策略中的标准。举例来说,VPN客户端319可以被配置成检查应用消息的内容。所述检查可以包括在应用消息的文字上实施关键字搜索,以便确定所述消息是否包含表明对应于该消息的高优先级的词语。所述检查还可以包括分析应用消息,以便确定其中是否包含高优先级数据类型。随后可以将被指定为高优先级的应用消息指派到高优先级VPN隧道。
虽然表3示出了单一加密密钥被用于加密和解密全部二者,然而并不需要是这种情况。在一个示例性实施例中,每一条VPN隧道可以例如根据非对称(例如公共密钥)加密系统使用不同的加密密钥来进行加密和解密。在另一个示例性实施例中,高优先级VPN隧道可以与更加安全的加密协议和/或更长(并且更加安全)的加密密钥相关联。随着后面讨论的继续,附加的修改和增强将变得显而易见。
VPN策略提供
可以根据多种提供方法来提供VPN策略。在一个示例性实施例中,客户端和服务器VPN策略可以在传输网络处(例如在网关321和/或网关325中)被配置并且被提供到VPN服务器341(例如经由默认的VPN隧道3320),并且随后从VPN服务器341被提供到VPN客户端319。在另一个示例性实施例中,客户端和服务器VPN策略可以在VPN服务器341处被配置并且被提供到VPN客户端319。在另一个示例性实施例中,VPN策略在远程网络主机处被配置并且被提供到VPN服务器。举例来说,VPN策略可以在VPN隧道初始化阶段期间被提供。
现在参照图4,其中提供了可以被用来实施远程网络主机301和/或VPN服务器341的计算设备400的一个示例性实施例的方框图。计算设备400可以包括而不限于笔记本计算机、台式计算机、膝上型计算机、个人数字助理和平板PC。值得注意的是,计算设备400的一些或所有组件可以被实施为硬件、软件和/或硬件与软件的组合。硬件包括而不限于一个或更多电子电路。硬件组件的实例包括大型计算机、基于精简指令集计算机(“RISC”)架构的服务器、存储设备、网络以及联网组件。软件组件的实例包括网络应用客户端/服务器软件、VPN客户端/服务器软件以及数据库软件。
计算设备400可以包括比图4中所示出的更多或更少的组件。但是所示出的组件足以公开实施本发明的一个说明性实施例。图4的硬件架构代表被配置成促进在多隧道VPN中提供QoS特征的代表性计算设备的一个实施例。因此,图4的计算设备400实施了根据本发明的实施例的用于在提供多个QoS载体的传输网络中提供QoS特征的改进的方法。
如图4中所示,计算设备400包括系统接口422、用户接口402、中央处理单元(“CPU”)406、系统总线410、通过系统总线410连接到计算设备400的其他部分并且可以由其访问的存储器412、以及连接到系统总线410的硬件实体414。至少其中一些硬件实体414实施涉及访问和使用存储器412的行动,其可以是随机存取存储器(“RAM”)、盘驱动器和/或紧致盘只读存储器(“CD-ROM”)。
系统接口422允许计算设备400与外部通信设备(例如图3的传输网络303的通信设备)直接或间接地通信。举例来说,计算设备400可以通过经由共同的网络(例如图3中所示出的传输网络303)发送和接收通信而与外部通信设备(例如VPN服务器341、应用服务器1501,1502,...150o)间接地通信。
硬件实体414可以包括盘驱动器单元416,其包括存储有被配置成实施这里所描述的一项或更多项方法、规程或功能的指令420(例如软件代码)的一个或更多集合的计算机可读存储介质418。在由计算设备400执行的过程中,指令420也可以完全地或者至少部分地驻留在存储器412内和/或CPU 406内。存储器412和CPU 406也可以构成机器可读介质。这里所使用的术语“机器可读介质”指代存储指令420的一个或更多集合的单一介质或多项介质(例如集中式或分布式数据库和/或相关联的高速缓存和服务器)。这里所使用的术语“机器可读介质”还指代能够存储、编码或载送指令420的集合以供计算设备400执行并且使得计算设备400实施本发明的任何一种或更多种方法的任何介质。
在本发明的一些实施例中,硬件实体414包括被编程来促进在多隧道VPN中提供QoS特征的电子电路(例如处理器)。在这方面应当理解的是,所述电子电路可以访问并且运行安装在计算设备400上的VPN软件应用(图4中未示出)。VPN软件应用通常适于促进提供多隧道VPN。这些服务包括而不限于加密服务、VPN协商服务以及分组检查服务。随着讨论的继续进行,所列出的服务以及由计算设备400提供的其他服务将变得更加显而易见。
现在参照图5,其中提供了根据一个示例性实施例的用于提供多隧道VPN的网络分层图。已经参照图2描述了各个单独的网络层201-217。每一个网络层被显示在示例性系统300(图3中示出)的操作在该层的相应组件的下方。具体来说,软件应用1101,1102,...110m和应用服务器1501,1502,...150o操作在应用数据层201、UDP/TCP层203和IP层205。VPN客户端319和VPN服务器341操作来在VPN层207提供包括多条VPN隧道3320,3321,...332i的多隧道VPN。如前所述,每一条VPN隧道3320,3321,...332i与单一QoS载体3301,3302,...330n相关联。网关321和网关323分别在方框501和503处在IP层207实施分组检查以及应用QoS策略(例如QoS策略325)。基于分组检查501和503,每一个传输分组被指派到QoS载体3301,3302,...330n以供经由传输网络303传送。
本领域技术人员将会想到针对图5中所示的示例性实施例的各种修改。举例来说,可以在不同于层207的其他网络层提供多隧道VPN。作为另一个实例,软件应用1101,1102,...110m不需要对应用数据实施分组化,并且可以将应用数据直接提供到VPN客户端319,其可以在VPN加密和封装之前对应用数据实施分组化。
现在参照图6,其中提供了用于通过传输网络(例如传输网络303)在两个VPN端点(例如VPN客户端319和VPN服务器341)之间建立多条VPN隧道的处理流程图。在图6的示例性实施例中,所述处理开始于步骤601,此时VPN客户端319发起对应于去到VPN服务器341的默认VPN隧道(例如默认VPN隧道3320)的连接。在步骤603处,VPN客户端319和VPN服务器341针对默认VPN隧道(例如默认VPN隧道3320)的TLS安全性进行协商。步骤603可以包括关于将被用于默认隧道的加密和/或解密密钥以及加密协议的协商。在步骤605处,VPN客户端319和VPN服务器341针对默认VPN隧道实施已加密VPN协商。在步骤607处,VPN服务器341向VPN客户端319指派(例如专用网络305中的)专用网络地址。在步骤609处,VPN客户端319发起对应于新的替换隧道(例如VPN隧道3321,...332i)的连接。在步骤611处,VPN客户端319和VPN服务器341针对所述新的替换VPN隧道的TLS安全性进行协商。步骤611可以包括关于将被用于所述新的替换隧道的加密和/或解密密钥以及加密协议的协商。在步骤613处,VPN客户端319和VPN服务器341实施已加密关联,从而把新的替换VPN隧道与步骤605中建立的默认VPN隧道相关联。在步骤615处,VPN客户端319和VPN服务器341针对所述新的替换VPN隧道实施已加密VPN协商。
步骤617-627描述了远程网络主机(例如远程网络主机301)中的软件应用(例如软件应用1101,1102,...110m)与专用网络(例如专用网络305)中的应用服务器(例如应用服务器1501,1502,...150o)之间的双向通信流程。在步骤617处,VPN客户端319接收来自软件应用110m的应用消息。在步骤619处,VPN客户端319通过所选VPN隧道(例如VPN隧道3320,3321,...332i)向VPN服务器341传送已加密应用消息。在步骤621处,VPN服务器341对已加密应用消息进行解密,并且把已解密应用消息路由到目的地应用服务器150o。在步骤623处,应用服务器150o生成包括第二应用消息的响应,并且将第二应用消息传送到VPN服务器341。在步骤625处,VPN服务器在已加密服务器消息中对第二应用消息进行加密,并且通过所选VPN隧道(例如VPN隧道3320,3321,...332i)将已加密服务器消息传送到VPN客户端319。值得注意的是,在步骤625处使用的所选隧道不必是步骤619处所选的相同隧道。在步骤627处,VPN客户端319将第二应用消息传送到在步骤617处生成应用消息的原始软件应用。
本领域技术人员将会想到针对图6中所示出的示例性实施例的各种修改。举例来说,VPN连接可以由任一VPN端点(例如VPN服务器341)发起。在一个示例性实施例中,所有VPN隧道可以在VPN初始化阶段期间建立(例如步骤601-615)。举例来说,可以在VPN初始化阶段期间对于由传输网络提供的每一个QoS载体建立一条VPN隧道。在另一个示例性实施例中,步骤601-607(即默认隧道建立)在初始化阶段期间实施,步骤609-615(替换隧道建立)被“即时(on the fly)”实施以便在按需的基础上创建新的替换VPN隧道(例如按照接收自软件应用1101,1102,...110m和/或应用服务器1501,1502,...150o的针对不同QoS水平的请求)。
图7和8共同提供了用于应对提供多隧道VPN的示例性系统(比如示例性系统300)中的两个VPN端点之间的全部两个方向上的通信量的示例性详细处理流程图。图7提供了对应于从VPN客户端(例如VPN客户端319)到VPN服务器(例如VPN服务器341)的通信量的处理流程图,图8提供了对应于从VPN服务器到VPN客户端的通信量的处理流程图。图7和8的示例性处理可以可选地在VPN初始化阶段(例如图6的步骤601-615)之后实施,其中在所述VPN初始化阶段中,在VPN端点之间建立多条VPN隧道。但是也可以按照前面讨论的方式按照需要建立VPN隧道(以作为针对使用VPN初始化阶段的替代或补充)。
现在参照图7,在步骤701处,VPN客户端319接收包括来自软件应用(例如软件应用1101,1102,...110m)的应用数据的应用分组(或“应用消息”,或者更加宽泛地说是“应用数据块”)。
在步骤703处,VPN客户端319对应用分组进行分析以便确定其至少一项特性。这一分析可以包括分析应用分组报头,以便作为非限制性实例确定例如应用协议、源端口(“Sport”)、目的地地址(“Daddr”)、目的地端口(“Dport”)、所请求的QoS水平以及消息重要性之类的信息。所述分析可以可选地包括检查应用分组中的应用数据和/或消息内容(即“深度分组检查”)。基于分析结果,VPN客户端319应用客户端VPN策略(例如客户端VPN策略327)以便将应用分组指派到VPN隧道。客户端VPN策略327中的标准可以包括通过所述分析确定的任何应用分组属性,其中包括而不限于前面所列出的属性。仍然在步骤703处,VPN客户端319基于所应用的客户端VPN策略327将应用分组选择性地指派到VPN隧道(例如多条VPN隧道3320,3321,...332i)。正如前面参照图6所讨论的那样,所指派的VPN隧道可以是已经建立的VPN隧道,或者可以例如在步骤703处按照需要建立。
步骤705是判定方框。如果应用分组被指派到默认VPN隧道(例如默认VPN隧道3320),则流程继续到方框707。否则,如果应用分组被指派到替换VPN隧道(例如其中一条替换VPN隧道3321,...332i),则流程继续到方框709。
在步骤707处,VPN客户端319利用与默认VPN隧道相关联的加密密钥和加密协议(例如来自表3的“密钥1”)对应用分组进行加密,以便创建已加密VPN有效载荷(例如VPN有效载荷211)。
在步骤711处,VPN客户端319将VPN有效载荷封装在传输分组(或“传输数据报”,或者更加宽泛地说是“传输数据块”)中。所述传输分组的结构可以与传输数据块200相同或类似。传输分组包括与默认VPN隧道相关联的隧道指示符。举例来说,可以通过在如前面所讨论的传输分组报头(例如UDP/TCP报头215)中将源(客户端)端口设定到等于隧道端口k0来设定对应于默认VPN隧道3320的隧道指示符。
在步骤709处,VPN客户端319利用与所指派的替换VPN隧道相关联的加密密钥和加密协议(例如来自表3的“密钥2”或“密钥3”)对应用分组进行加密,以便创建已加密VPN有效载荷(例如VPN有效载荷211)。
在步骤713处,VPN客户端319按照类似于步骤711中的方式将VPN有效载荷封装在传输分组中,其不同之处在于所述传输分组包括与所指派的替换VPN隧道相关联的隧道指示符。举例来说,可以通过在如前面所讨论的传输分组报头(例如UDP/TCP报头215)中将源(客户端)端口设定到等于隧道端口k1来设定对应于替换VPN隧道3321的隧道指示符。在步骤711或713处的封装之后,VPN客户端319将传输分组传送到传输网络303。
在步骤715处,传输网络303接收来自VPN客户端319的传输分组。在步骤717处,传输网络303分析所接收到的传输分组。这一分析可以包括分析传输分组报头,以便确定例如传输协议、源地址、源端口、目的地地址以及目的地端口之类的信息。在步骤719处,基于步骤717的分析结果,传输网络303应用QoS策略(例如QoS策略325)以便将传输分组指派到QoS载体1301,1302,...130n。
在步骤721处,传输网络303随后利用所指派的QoS载体和相应的服务水平通过传输网络303路由传输分组。在步骤723处,传输网络303中的分组应对处理完成。本领域技术人员将认识到,随着将传输分组路由通过传输网络303,可以在传输网络303的各个节点(例如网关321和/或网关323)中多次实施步骤715-723。
在步骤725处,VPN服务器341接收来自传输网络303的传输分组。在步骤727处,VPN服务器341分析所接收到的传输分组。这一分析可以包括分析传输分组报头,以便确定其中(例如UDP/TCP报头215中的源或目的地端口中)的隧道指示符。传输分组分析根据位于传输分组中的隧道指示符识别出与传输分组相关联的VPN隧道。换句话说,VPN服务器341确定传输分组对应于默认VPN隧道3320还是替换VPN隧道3321,...332i。仍然在步骤727处,VPN服务器341确定对应于所识别出的VPN隧道的至少一个加密密钥和/或加密协议。举例来说,步骤727可以包括从类似于存储在VPN服务器341中的表3的数据结构取回VPN隧道信息。
在步骤729处,VPN服务器341解密传输分组中的VPN有效载荷。VPN服务器341可以利用在步骤727处确定的加密密钥和加密协议来实施所述解密。
在步骤731处,VPN服务器341分析通过解密VPN有效载荷而获得的已解密应用分组。这一分析可以包括分析应用分组报头(例如来自图2的UDP/TCP报头203、IP报头205和/或VPN报头207)。基于所述分析的结果,VPN服务器341确定所接收到的应用分组是否包括VPN协议数据单元(“PDU”)。VPN PDU是意图由VPN端点处理的与VPN有关的消息。举例来说,VPN PDU可以指示VPN端点改变加密协议和/或密码(cryptographic),或者更新VPN策略(例如客户端VPN策略327或服务器VPN策略329)。步骤731是判定方框。如果确定应用分组包括VPN PDU,则流程继续到步骤733,其中在本地处理VPNPDU。否则流程继续到步骤735。
在步骤735处,VPN服务器341确定适当的接收方应用服务器(例如应用服务器1501,1502,...150o),这例如可以基于应用分组的(例如IP报头205中的)目的地地址来确定。VPN服务器341随后将应用分组经由专用网络305转发到适当的应用服务器。在步骤737处,VPN服务器341中的分组应对处理完成。适当的应用服务器接收到应用分组,并且可以生成针对所述应用分组的响应以供传送回到VPN客户端319。
现在参照图8,在步骤801处,VPN服务器341经由专用网络305从应用服务器(例如应用服务器1501,1502,...150o)接收包括应用数据的应用分组(或“应用消息”,或者更加宽泛地说是“应用数据块”)。
在步骤803处,VPN服务器341对应用分组进行分析以便确定其至少一项特性。这一分析可以包括分析应用分组报头,以便确定例如应用协议、源端口、目的地地址、目的地端口、所请求的QoS水平、消息重要性之类的信息。所述分析可以可选地包括检查应用分组中的应用数据和/或消息内容(即“深度分组检查”)。基于这一分析的结果,VPN服务器341从多项服务器VPN策略(例如服务器VPN策略329)当中选择一项服务器VPN策略。举例来说,VPN服务器341可以被配置成选择与通过应用分组的目的地地址确定的VPN客户端319相关联的服务器VPN策略。
在步骤805处,VPN服务器341应用所选择的服务器VPN策略以便将应用分组指派到VPN隧道。服务器VPN策略329中的标准可以包括通过所述分析确定的任何应用分组属性,其中包括而不限于前面所列出的属性。VPN服务器341基于所应用的服务器VPN策略329将应用分组选择性地指派到VPN隧道(例如多条VPN隧道3320,3321,...332i)。正如前面参照图6所讨论的那样,所指派的VPN隧道可以是已经建立的VPN隧道,或者其可以例如在步骤803处被“即时”建立。
步骤807是判定方框。如果应用分组被指派到默认VPN隧道(例如默认VPN隧道3320),则流程继续到方框809。否则,如果应用分组被指派到替换VPN隧道(例如其中一条替换VPN隧道3321,...332i),则流程继续到方框811。
在步骤809处,VPN服务器341利用与默认VPN隧道相关联的加密密钥和加密协议(例如来自表3的“密钥1”)对应用分组进行加密,以便创建已加密VPN有效载荷(例如VPN有效载荷211)。
在步骤813处,VPN服务器341将VPN有效载荷封装在传输分组(或“传输数据报”,或者更加宽泛地说是“传输数据块”)中。所述传输分组的结构可以与传输数据块200相同或类似。传输分组包括与默认VPN隧道相关联的隧道指示符。举例来说,可以通过在如前面所讨论的传输分组报头(例如UDP/TCP报头215)中将目的地(客户端)端口设定到等于隧道端口k0来设定对应于默认VPN隧道3320的隧道指示符。
在步骤811处,VPN服务器341利用与所指派的替换VPN隧道相关联的加密密钥和加密协议(例如来自表3的“密钥2”或“密钥3”)对应用分组进行加密,以便创建已加密VPN有效载荷(例如VPN有效载荷211)。
在步骤815处,VPN服务器341按照类似于步骤811中的方式将VPN有效载荷封装在传输分组中,其不同之处在于所述传输分组包括与所指派的替换VPN隧道相关联的隧道指示符。举例来说,可以通过在如前面所讨论的传输分组报头(例如UDP/TCP报头215)中将目的地(客户端)端口设定到等于隧道端口k1来设定对应于替换VPN隧道3321的隧道指示符。在步骤813或815处的封装之后,VPN服务器341将传输分组传送到传输网络303。
在步骤817处,传输网络303接收来自VPN服务器341的传输分组。在步骤819处,传输网络303分析所接收到的传输分组。这一分析可以包括分析传输分组报头,以便确定例如传输协议、源地址、源端口、目的地地址以及目的地端口之类的信息。在步骤821处,基于步骤819的分析结果,传输网络303应用QoS策略(例如QoS策略325)以便将传输分组指派到QoS载体3301,3302,...330n。
在步骤823处,传输网络303利用所指派的QoS载体和相应的服务水平通过传输网络303路由传输分组。在步骤825处,传输网络303中的分组应对处理完成。本领域技术人员将认识到,随着将传输分组路由通过传输网络303,可以在传输网络303的各个节点(例如网关321和/或网关323)中多次实施步骤817-825。
在步骤827处,VPN客户端319接收来自传输网络303的传输分组。在步骤829处,VPN客户端319分析所接收到的传输分组。这一分析可以包括分析传输分组报头,以便确定其中(例如UDP/TCP报头215中的源或目的地端口中)的隧道指示符。基于这一分析的结果,VPN客户端319基于所述隧道指示符确定与传输分组相关联的VPN隧道。换句话说,VPN客户端319确定传输分组对应于默认VPN隧道3320还是替换VPN隧道3321,...332i。随后从单独的数据结构(比如类似于表3的表)取回对应于所识别出的VPN隧道的信息,其中包括至少一个加密密钥和/或加密协议。
在步骤831处,VPN客户端319解密传输分组中的VPN有效载荷。VPN客户端319可以利用在步骤829处确定的加密密钥和加密协议来实施所述解密。
在步骤833处,VPN客户端319分析通过解密VPN有效载荷而获得的已解密应用分组。这一分析可以包括分析应用分组报头(例如来自图2的UDP/TCP报头203、IP报头205和/或VPN报头207)。基于所述分析的结果,VPN客户端319确定所接收到的应用分组是否包括VPN PDU。步骤833是判定方框。如果确定应用分组包括VPN PDU,则流程继续到步骤835,其中在本地处理VPN PDU。否则流程继续到步骤837。
在步骤837处,VPN客户端319确定适当的接收方软件应用(例如软件应用1101,1102,...110m),这例如可以基于应用分组的(例如UDP/TCP报头203中的)目的地端口来确定。VPN客户端319随后将应用分组转发到适当的软件应用。在步骤839处,VPN客户端319中的分组应对处理完成。
本领域技术人员将认识到针对图7-8中所示出的示例性实施例的各种修改,并且前面已经讨论了许多示例性修改。
虽然关于一种或更多种实现方式说明并描述了本发明,但是在阅读并理解本说明书和附图之后,本领域技术人员将认识到等效的改动和修改。此外,虽然可能关于几种实现方式当中的仅仅一种公开了本发明的特定特征,但是正如对于任何给定或特定应用可能希望并且有利的那样,所述特征可以与其他实现方式的一项或更多项其他特征相组合。
这里所使用的术语仅仅是为了描述特定实施例,而不意图限制本发明。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数形式。此外,对于在说明书和/或权利要求书中使用的术语“包含”、“具有”、“带有”等等,这样的术语与术语“包括”类似地都意图是包含性的。
除非另行定义,否则这里所使用的所有术语(包括技术和科学术语)具有与本发明所属领域内的技术人员通常所理解的相同含义。还应当理解的是,比如在通常使用的字典中定义的那些术语应当被解释成具有与其在相关领域内的含义相一致的含义,并且除非明确地如此定义,否则不应当按照理想化或者过于正式的意义来解释。
Claims (11)
1.一种用于控制提供多个服务质量(“QoS”)载体的传输网络中的虚拟专用网络(“VPN”)中的QoS的方法,所述方法包括:
通过所述传输网络在第一VPN端点与第二VPN端点之间建立多条VPN隧道,所述多条VPN隧道至少包括与第一QoS载体相关联的默认VPN隧道以及与第二QoS载体相关联的替换VPN隧道;以及
在所述第一VPN端点处实施以下步骤:
接收包括应用数据的第一数据块;
分析所述第一数据块以确定其至少一项特性;
基于所述分析对所述第一数据块应用VPN策略;
基于所述应用步骤将所述第一数据块选择性地指派到所述默认VPN隧道和所述替换VPN隧道的其中之一;以及
将所述第一数据块封装在传输数据块中,所述传输数据块包括至少一个指示符,其规定是否将由所述传输网络利用所述第一QoS载体或所述第二QoS载体传送所述传输数据块,其中所述指示符是根据所述指派步骤确定的。
2.根据权利要求1的方法,还包括:
在所述封装之后,经由所述指示符所规定的所述第一和所述第二QoS载体的其中之一通过所述传输网络传送所述传输数据块。
3.根据权利要求1的方法,还包括:
在所述封装之前,利用加密密钥和加密协议对所述第一数据块进行加密;以及
根据所述指派步骤选择所述加密密钥和所述加密协议的至少其中之一。
4.根据权利要求1的方法,其中,所述第一数据块的所述至少一项特性包括从由以下各项构成的组当中选择的至少一项:应用标识符,应用类型,应用协议,源地址,源端口,目的地地址,目的地端口,以及所请求的QoS水平。
5.根据权利要求1的方法,其中,所述至少一个指示符包括位于所述传输数据块的报头中的端口号。
6.根据权利要求1的方法,还包括:
将所述第一VPN端点实施为远程主机计算设备中的VPN客户端;并且
其中,所述应用数据是从执行在所述远程主机计算设备中的软件应用接收的。
7.根据权利要求1的方法,还包括:
将所述第一VPN端点实施为VPN服务器;
将所述第二VPN端点实施为VPN客户端;并且
其中,所述应用数据是从经由专用计算机网络与所述VPN服务器通信的应用服务器接收的。
8.根据权利要求7的方法,还包括:
基于所述第一数据块的所述至少一项特性从多项VPN策略当中选择所述VPN策略;并且
其中,所述至少一项特性包括与所述VPN客户端相关联的目的地地址。
9.根据权利要求1的方法,还包括:
将所述第一VPN端点实施为VPN服务器;
将所述第二VPN端点实施为VPN客户端;
在所述传输网络处配置所述VPN策略;
将所述VPN策略从所述传输网络提供到所述VPN服务器;以及
将所述VPN策略从所述VPN服务器提供到所述VPN客户端。
10.根据权利要求1的方法,还包括利用在TCP/IP协议栈的第4层提供的传输层安全(“TLS”)协议通过所述默认VPN隧道和所述替换VPN隧道进行通信。
11.根据权利要求1的方法,还包括:
在所述第一VPN端点处实施以下步骤:
从所述第二VPN端点接收传输数据块,所述传输数据块包括VPN有效载荷以及规定所述默认VPN隧道和所述替换VPN隧道的其中之一的至少一个指示符;
分析所述传输数据块以确定所述指示符;
基于所述指示符选择加密密钥和加密协议的至少其中之一;以及
利用根据所述选择的加密密钥和加密协议解密所述VPN有效载荷。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/477,185 | 2012-05-22 | ||
US13/477,185 US9300570B2 (en) | 2012-05-22 | 2012-05-22 | Multi-tunnel virtual private network |
PCT/US2013/041579 WO2013176983A1 (en) | 2012-05-22 | 2013-05-17 | Multi-tunnel virtual private network |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104272674A true CN104272674A (zh) | 2015-01-07 |
CN104272674B CN104272674B (zh) | 2017-08-08 |
Family
ID=48537018
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380022939.1A Expired - Fee Related CN104272674B (zh) | 2012-05-22 | 2013-05-17 | 多隧道虚拟专用网络 |
Country Status (9)
Country | Link |
---|---|
US (1) | US9300570B2 (zh) |
EP (1) | EP2853070B1 (zh) |
KR (1) | KR101680955B1 (zh) |
CN (1) | CN104272674B (zh) |
AU (1) | AU2013266624B2 (zh) |
BR (1) | BR112014028767A2 (zh) |
CA (1) | CA2870048C (zh) |
MX (1) | MX341161B (zh) |
WO (1) | WO2013176983A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106797335A (zh) * | 2016-11-29 | 2017-05-31 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
CN108370377A (zh) * | 2015-12-11 | 2018-08-03 | 微软技术许可有限责任公司 | 虚拟专用网络聚合 |
CN109246138A (zh) * | 2018-10-23 | 2019-01-18 | 深信服科技股份有限公司 | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 |
CN110612776A (zh) * | 2017-05-09 | 2019-12-24 | 华为技术有限公司 | 一种数据处理方法及终端设备、网络设备 |
CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN111711534A (zh) * | 2020-05-27 | 2020-09-25 | 新浪网技术(中国)有限公司 | 网络服务质量分析方法、装置、系统、设备和存储介质 |
CN111869168A (zh) * | 2017-11-20 | 2020-10-30 | 马科网络(新西兰)有限公司 | 用于传送数据的方法和系统 |
Families Citing this family (63)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US8898459B2 (en) * | 2011-08-31 | 2014-11-25 | At&T Intellectual Property I, L.P. | Policy configuration for mobile device applications |
US8918841B2 (en) | 2011-08-31 | 2014-12-23 | At&T Intellectual Property I, L.P. | Hardware interface access control for mobile applications |
US20140040979A1 (en) | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
US9043480B2 (en) | 2011-10-11 | 2015-05-26 | Citrix Systems, Inc. | Policy-based application management |
US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
US9053340B2 (en) | 2012-10-12 | 2015-06-09 | Citrix Systems, Inc. | Enterprise application store for an orchestration framework for connected devices |
US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US20140109171A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
WO2014062804A1 (en) | 2012-10-16 | 2014-04-24 | Citrix Systems, Inc. | Application wrapping for application management framework |
US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
US9930066B2 (en) * | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
US9036470B2 (en) * | 2013-03-11 | 2015-05-19 | Dell Products L.P. | System and method for virtual private application networks |
US9820316B2 (en) * | 2013-03-15 | 2017-11-14 | Aerohive Networks, Inc. | Preventing asymmetric routing using network tunneling |
US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
US8850049B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities for a managed browser |
US8910264B2 (en) | 2013-03-29 | 2014-12-09 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US8813179B1 (en) | 2013-03-29 | 2014-08-19 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
CN104243302B (zh) | 2013-06-20 | 2018-03-16 | 华为技术有限公司 | 业务路由报文处理方法、装置及网络系统 |
US10270809B2 (en) * | 2013-12-02 | 2019-04-23 | Akamai Technologies, Inc. | Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security |
US9473394B1 (en) | 2014-01-10 | 2016-10-18 | Juniper Networks, Inc. | Proactive flow table for virtual networks |
US10542452B2 (en) | 2014-06-10 | 2020-01-21 | Apple Inc. | Enhancing quality of service for high priority services |
FR3022421A1 (fr) * | 2014-06-11 | 2015-12-18 | Gdf Suez | Procede de gestion d'un canal de communication virtuel prive entre un terminal et un serveur |
US10440123B2 (en) * | 2014-06-13 | 2019-10-08 | Abb Schweiz Ag | Method and system for secure bidirection communication for industrial devices |
US10747888B2 (en) | 2014-06-30 | 2020-08-18 | Nicira, Inc. | Method and apparatus for differently encrypting data messages for different logical networks |
US10178008B2 (en) * | 2014-11-14 | 2019-01-08 | Bigleaf Networks, Inc. | Circuit-aware load balancing with dynamic quality of service |
US9871660B2 (en) * | 2014-12-23 | 2018-01-16 | Banco De Mexico | Method for certifying and authentifying security documents based on a measure of the relative variations of the different processes involved in its manufacture |
US9716692B2 (en) * | 2015-01-01 | 2017-07-25 | Bank Of America Corporation | Technology-agnostic application for high confidence exchange of data between an enterprise and third parties |
US20220360566A1 (en) * | 2015-07-31 | 2022-11-10 | Nicira, Inc. | Distributed tunneling for vpn |
US9860279B2 (en) | 2015-08-28 | 2018-01-02 | Nicira, Inc. | Defining network rules based on remote device management attributes |
IL243344A0 (en) * | 2015-12-24 | 2016-04-21 | Asaf Shabtai | Secure multi-channel vpn system |
KR101837064B1 (ko) | 2016-05-20 | 2018-03-12 | 한국전자통신연구원 | 보안 통신 장치 및 방법 |
US10230543B2 (en) | 2016-07-20 | 2019-03-12 | Cisco Technology, Inc. | Reducing data transmissions in a virtual private network |
US10798073B2 (en) | 2016-08-26 | 2020-10-06 | Nicira, Inc. | Secure key management protocol for distributed network encryption |
US10447591B2 (en) | 2016-08-30 | 2019-10-15 | Oracle International Corporation | Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address |
WO2018160853A1 (en) * | 2017-03-01 | 2018-09-07 | Intel IP Corporation | Reliable delivery and encryption on 1905.1 networks |
US10673813B2 (en) * | 2018-02-01 | 2020-06-02 | National Chiao Tung University | Method for NAT traversal in VPN |
US11348586B2 (en) * | 2018-06-21 | 2022-05-31 | Dell Products L.P. | Systems and methods for extending and enhancing voice assistant and/or telecommunication software functions to a remote endpoint device |
US11831512B2 (en) | 2019-09-04 | 2023-11-28 | Nec Corporation | Setting system with traffic control rule and traffic control system |
US20220247719A1 (en) * | 2019-09-24 | 2022-08-04 | Pribit Technology, Inc. | Network Access Control System And Method Therefor |
CN111147344B (zh) * | 2019-12-16 | 2021-12-24 | 武汉思为同飞网络技术股份有限公司 | 一种虚拟专用网络实现方法、装置、设备及介质 |
US11582066B2 (en) * | 2019-12-19 | 2023-02-14 | Cisco Technology, Inc. | Techniques for extending a cellular quality of service bearer through an enterprise fabric |
US11159489B2 (en) * | 2020-01-29 | 2021-10-26 | Dell Products L.P. | Multi-link VPN link selection system |
US11936522B2 (en) * | 2020-10-14 | 2024-03-19 | Connectify, Inc. | Selecting and operating an optimal virtual private network among multiple virtual private networks |
US20220321545A1 (en) * | 2021-03-30 | 2022-10-06 | Certes Networks, Inc. | Cryptographic Micro-Segmentation Using IKEv2 |
US11477176B1 (en) | 2021-05-27 | 2022-10-18 | Microsoft Technology Licensing, Llc | Throughput for a single VPN connection using multiple processing cores |
US20220385637A1 (en) * | 2021-05-27 | 2022-12-01 | Microsoft Technology Licensing, Llc | Selecting a vpn connection using negotiated cryptographic algorithms to improve throughput |
US20220393967A1 (en) * | 2021-06-07 | 2022-12-08 | Vmware, Inc. | Load balancing of vpn traffic over multiple uplinks |
WO2023128181A1 (ko) * | 2021-12-27 | 2023-07-06 | 삼성전자주식회사 | 스플릿 터널링 방법 및 장치 |
US11863514B2 (en) | 2022-01-14 | 2024-01-02 | Vmware, Inc. | Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs |
US20230254285A1 (en) * | 2022-02-07 | 2023-08-10 | Caci, Inc. - Federal | Systems and methods for detecting and attacking a vpn |
US11956213B2 (en) | 2022-05-18 | 2024-04-09 | VMware LLC | Using firewall policies to map data messages to secure tunnels |
WO2024038314A1 (en) * | 2022-08-15 | 2024-02-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for application traffic flows |
Family Cites Families (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6339595B1 (en) * | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
US6862622B2 (en) * | 1998-07-10 | 2005-03-01 | Van Drebbel Mariner Llc | Transmission control protocol/internet protocol (TCP/IP) packet-centric wireless point to multi-point (PTMP) transmission system architecture |
US6590885B1 (en) * | 1998-07-10 | 2003-07-08 | Malibu Networks, Inc. | IP-flow characterization in a wireless point to multi-point (PTMP) transmission system |
KR100689366B1 (ko) * | 1998-09-14 | 2007-05-17 | 삼성전자주식회사 | 이동통신시스템의 통신장치 및 방법 |
US6606663B1 (en) * | 1998-09-29 | 2003-08-12 | Openwave Systems Inc. | Method and apparatus for caching credentials in proxy servers for wireless user agents |
US6912232B1 (en) * | 1998-10-19 | 2005-06-28 | At&T Corp. | Virtual private network |
US6493349B1 (en) * | 1998-11-13 | 2002-12-10 | Nortel Networks Limited | Extended internet protocol virtual private network architectures |
US7600007B1 (en) * | 1999-05-24 | 2009-10-06 | Computer Associates Think, Inc. | Method and apparatus for event correlation in service level management (SLM) |
US6675225B1 (en) * | 1999-08-26 | 2004-01-06 | International Business Machines Corporation | Method and system for algorithm-based address-evading network snoop avoider |
US7478161B2 (en) * | 1999-11-30 | 2009-01-13 | Microsoft Corporation | Network quality of service for qualitative applications |
JP2001237876A (ja) * | 2000-02-21 | 2001-08-31 | Nec Corp | Ip仮想プライベート網の構築方法及びip仮想プライベート網 |
US7085854B2 (en) * | 2000-04-12 | 2006-08-01 | Corente, Inc. | Methods and systems for enabling communication between a processor and a network operations center |
US7190698B2 (en) * | 2000-04-13 | 2007-03-13 | Operax Ab | Network optimisation method |
WO2001080033A2 (en) * | 2000-04-17 | 2001-10-25 | Circadence Corporation | System and method for implementing application -independent functionality within a network infrastructure |
US6993026B1 (en) * | 2000-08-31 | 2006-01-31 | Verizon Communications Inc. | Methods, apparatus and data structures for preserving address and service level information in a virtual private network |
US7315554B2 (en) * | 2000-08-31 | 2008-01-01 | Verizon Communications Inc. | Simple peering in a transport network employing novel edge devices |
US7027394B2 (en) * | 2000-09-22 | 2006-04-11 | Narad Networks, Inc. | Broadband system with traffic policing and transmission scheduling |
US20020042875A1 (en) | 2000-10-11 | 2002-04-11 | Jayant Shukla | Method and apparatus for end-to-end secure data communication |
JP4183379B2 (ja) * | 2000-11-27 | 2008-11-19 | 富士通株式会社 | ネットワーク及びエッジルータ |
US20050088977A1 (en) * | 2000-12-14 | 2005-04-28 | Nortel Networks Limited | Dynamic virtual private network (VPN) tunnel quality of service (QoS) treatment |
US7225259B2 (en) * | 2001-02-21 | 2007-05-29 | Nokia Inc. | Service tunnel over a connectionless network |
IL141855A0 (en) * | 2001-03-07 | 2002-03-10 | Onetiercommunications Inc | A method and apparatus for providing an improved quality of service for data transfer over the internet |
EP1331766A1 (en) * | 2001-12-20 | 2003-07-30 | Alcatel | A telecommunications system employing virtual service network architecture |
US20030172264A1 (en) * | 2002-01-28 | 2003-09-11 | Hughes Electronics | Method and system for providing security in performance enhanced network |
DE60313306T2 (de) * | 2002-03-18 | 2007-07-19 | Nortel Networks Ltd., St. Laurent | Ressourcenzuteilung mit hilfe eines automatischen erkennungsverfahrens für providerkontrollierte schicht-2 und schicht-3 virtuelle private netzwerke |
WO2003098880A1 (fr) * | 2002-05-20 | 2003-11-27 | Fujitsu Limited | Dispositif de retransmission de reseau, procede de retransmission de reseau et programme de retransmission de reseau |
US7130270B2 (en) * | 2002-07-26 | 2006-10-31 | International Business Machines Corporation | Method and apparatus for varying bandwidth provided to virtual channels in a virtual path |
US7076569B1 (en) * | 2002-10-18 | 2006-07-11 | Advanced Micro Devices, Inc. | Embedded channel adapter having transport layer configured for prioritizing selection of work descriptors based on respective virtual lane priorities |
US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US7673048B1 (en) * | 2003-02-24 | 2010-03-02 | Cisco Technology, Inc. | Methods and apparatus for establishing a computerized device tunnel connection |
US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
US20050015511A1 (en) * | 2003-07-02 | 2005-01-20 | Nec Laboratories America, Inc. | Accelerated large data distribution in overlay networks |
CN1617508B (zh) * | 2003-11-13 | 2010-04-14 | 华为技术有限公司 | 一种服务质量策略转换设备及方法 |
US8146148B2 (en) * | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US7603463B2 (en) * | 2003-12-12 | 2009-10-13 | Nortel Networks Limited | Method and apparatus for allocating processing capacity of system processing units in an extranet gateway |
CN100384172C (zh) * | 2004-01-20 | 2008-04-23 | 华为技术有限公司 | 基于网络的虚拟专用网中保证服务质量的系统及其方法 |
BRPI0513195A (pt) * | 2004-07-09 | 2008-04-29 | Matsushita Electric Ind Co Ltd | sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos |
US20060146825A1 (en) * | 2004-12-30 | 2006-07-06 | Padcom, Inc. | Network based quality of service |
US7440407B2 (en) * | 2005-02-07 | 2008-10-21 | At&T Corp. | Method and apparatus for centralized monitoring and analysis of virtual private networks |
CN1905517A (zh) * | 2005-07-30 | 2007-01-31 | 华为技术有限公司 | 在ngn网络中为媒体流选择转发路径的控制系统及方法 |
US7801030B1 (en) * | 2005-09-16 | 2010-09-21 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed spoke-to-spoke sites |
US8260922B1 (en) * | 2005-09-16 | 2012-09-04 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed sites |
US7805602B1 (en) * | 2005-11-10 | 2010-09-28 | Cisco Technology, Inc. | Prioritized call admission control for internet key exchange |
CN1866868B (zh) * | 2006-01-18 | 2010-10-06 | 华为技术有限公司 | 一种多协议标签交换网络流量管理系统、方法及设备 |
DE502006001025D1 (de) * | 2006-02-23 | 2008-08-14 | Swisscom Mobile Ag | Anpassung von virtuellen und physikalischen Netzwerkschnittstellen |
US7545753B2 (en) * | 2006-04-28 | 2009-06-09 | Nokia Corporation | System, method and computer program product for providing quality of service during remote access to a plug-and-play network |
US7835275B1 (en) * | 2006-09-08 | 2010-11-16 | Sprint Communications Company L.P. | Dynamic assignment of quality of service (QoS) to an active session in an ipsec tunnel |
US7649848B1 (en) | 2006-09-08 | 2010-01-19 | Sprint Communications Company L.P. | Ability to apply different levels of quality of service (QoS) to different sessions in an IPsec tunnel |
US8199755B2 (en) * | 2006-09-22 | 2012-06-12 | Rockstar Bidco Llp | Method and apparatus establishing forwarding state using path state advertisements |
US7649881B2 (en) * | 2006-12-14 | 2010-01-19 | Nortel Networks Limited | Pinning the route of IP bearer flows in a next generation network |
US8132247B2 (en) * | 2007-08-03 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for authorizing a client in an SSL VPN session failover environment |
WO2009093299A1 (ja) | 2008-01-21 | 2009-07-30 | Fujitsu Limited | パケット処理装置およびパケット処理プログラム |
CN101237376A (zh) * | 2008-01-24 | 2008-08-06 | 华为技术有限公司 | 一种虚拟专用网的标签获取方法和自主系统边界路由设备 |
US7852849B2 (en) * | 2008-03-04 | 2010-12-14 | Bridgewater Systems Corp. | Providing dynamic quality of service for virtual private networks |
WO2009149732A1 (en) | 2008-06-13 | 2009-12-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Network traffic transfer between a radio base station node and a gateway node |
WO2010068698A2 (en) * | 2008-12-09 | 2010-06-17 | Glue Networks, Inc. | System and method for providing virtual private networks |
US8850521B2 (en) | 2009-08-04 | 2014-09-30 | Cisco Technology, Inc. | Providing differentiated network services and priorities to VPN routers/clients |
US8498300B2 (en) * | 2010-03-31 | 2013-07-30 | Brocade Communications Systems, Inc. | Ingress and egress switch which determines services related to an incoming packet |
US8982888B2 (en) * | 2010-10-18 | 2015-03-17 | Motorola Solutions, Inc. | Service data flow detection in a conforming 3GPP access network having a packet modification function |
US8861438B2 (en) * | 2011-11-15 | 2014-10-14 | Motorola Solutions, Inc. | Preserving user-differentiated quality of service for mobile virtual private network communications made using a shared connection point |
-
2012
- 2012-05-22 US US13/477,185 patent/US9300570B2/en active Active
-
2013
- 2013-05-17 KR KR1020147029155A patent/KR101680955B1/ko active IP Right Grant
- 2013-05-17 AU AU2013266624A patent/AU2013266624B2/en active Active
- 2013-05-17 CA CA2870048A patent/CA2870048C/en active Active
- 2013-05-17 WO PCT/US2013/041579 patent/WO2013176983A1/en active Application Filing
- 2013-05-17 EP EP13725875.2A patent/EP2853070B1/en active Active
- 2013-05-17 BR BR112014028767A patent/BR112014028767A2/pt not_active IP Right Cessation
- 2013-05-17 MX MX2014014147A patent/MX341161B/es active IP Right Grant
- 2013-05-17 CN CN201380022939.1A patent/CN104272674B/zh not_active Expired - Fee Related
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108370377A (zh) * | 2015-12-11 | 2018-08-03 | 微软技术许可有限责任公司 | 虚拟专用网络聚合 |
CN108370377B (zh) * | 2015-12-11 | 2020-10-02 | 微软技术许可有限责任公司 | 在计算机系统处实施的方法、计算系统和存储介质 |
CN106797335A (zh) * | 2016-11-29 | 2017-05-31 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
CN110612776A (zh) * | 2017-05-09 | 2019-12-24 | 华为技术有限公司 | 一种数据处理方法及终端设备、网络设备 |
CN110612776B (zh) * | 2017-05-09 | 2021-06-04 | 华为技术有限公司 | 一种数据处理方法及终端设备、网络设备 |
US11190978B2 (en) | 2017-05-09 | 2021-11-30 | Huawei Technologies Co., Ltd. | Data processing method, terminal device, and network device |
CN111869168A (zh) * | 2017-11-20 | 2020-10-30 | 马科网络(新西兰)有限公司 | 用于传送数据的方法和系统 |
CN109246138A (zh) * | 2018-10-23 | 2019-01-18 | 深信服科技股份有限公司 | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 |
CN110677426A (zh) * | 2019-09-30 | 2020-01-10 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN110677426B (zh) * | 2019-09-30 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、装置、存储介质及vpn设备 |
CN111711534A (zh) * | 2020-05-27 | 2020-09-25 | 新浪网技术(中国)有限公司 | 网络服务质量分析方法、装置、系统、设备和存储介质 |
CN111711534B (zh) * | 2020-05-27 | 2023-05-05 | 新浪技术(中国)有限公司 | 网络服务质量分析方法、装置、系统、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
KR20150020530A (ko) | 2015-02-26 |
EP2853070B1 (en) | 2016-03-09 |
BR112014028767A2 (pt) | 2017-06-27 |
EP2853070A1 (en) | 2015-04-01 |
CA2870048A1 (en) | 2013-11-28 |
CA2870048C (en) | 2016-10-04 |
KR101680955B1 (ko) | 2016-11-29 |
WO2013176983A1 (en) | 2013-11-28 |
CN104272674B (zh) | 2017-08-08 |
AU2013266624A1 (en) | 2014-09-25 |
US20130318345A1 (en) | 2013-11-28 |
MX2014014147A (es) | 2015-02-04 |
AU2013266624B2 (en) | 2016-08-11 |
US9300570B2 (en) | 2016-03-29 |
MX341161B (es) | 2016-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104272674A (zh) | 多隧道虚拟专用网络 | |
US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
US9100370B2 (en) | Strong SSL proxy authentication with forced SSL renegotiation against a target server | |
US10992709B2 (en) | Efficient use of IPsec tunnels in multi-path environment | |
CN102801695B (zh) | 虚拟专用网通信设备及其数据包传输方法 | |
US7000120B1 (en) | Scheme for determining transport level information in the presence of IP security encryption | |
CN106506354B (zh) | 一种报文传输方法和装置 | |
CN111385259B (zh) | 一种数据传输方法、装置、相关设备及存储介质 | |
CN102761494A (zh) | 一种ike协商处理方法及装置 | |
US9137216B2 (en) | Session layer data security | |
CN106209401B (zh) | 一种传输方法及装置 | |
JP2016508682A (ja) | ドメインにまたがるvpnトラフィックのqosによる区別のための方法および配置構成 | |
CN102088438A (zh) | 一种解决IPSec Client地址冲突的方法及IPSec Client | |
CN105635076B (zh) | 一种媒体传输方法和设备 | |
CN110662218B (zh) | 数据摆渡装置及其方法 | |
CN111683093A (zh) | 基于IPv6网络的动态隐蔽通信方法 | |
Jiang | New ip networking for network 2030 | |
WO2023040782A1 (zh) | 处理报文的方法、系统、设备和存储介质 | |
CN115865845A (zh) | 一种基于SegmentRouting实现的跨Region虚拟网络通信的方法 | |
CN107454116A (zh) | 单隧道模式下IPsec ESP协议的优化方法及装置 | |
US11153276B1 (en) | Secure data routing and randomization | |
JP6075871B2 (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム | |
EP4154490A1 (en) | Network traffic management | |
Rani | Enhancing Security of Network Applications | |
Rao et al. | Virtual Private Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170808 |
|
CF01 | Termination of patent right due to non-payment of annual fee |