CN107534643A - 在ip vpn与传输层vpn之间转换移动业务 - Google Patents
在ip vpn与传输层vpn之间转换移动业务 Download PDFInfo
- Publication number
- CN107534643A CN107534643A CN201680023287.7A CN201680023287A CN107534643A CN 107534643 A CN107534643 A CN 107534643A CN 201680023287 A CN201680023287 A CN 201680023287A CN 107534643 A CN107534643 A CN 107534643A
- Authority
- CN
- China
- Prior art keywords
- packet
- identifier
- destination
- tunnel
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2535—Multiple local networks, e.g. resolving potential IP address conflicts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1045—Proxies, e.g. for session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Abstract
本文中描述的技术在包括IP和传输的不同类型的VPN协议之间转换移动业务。在实施例中,与服务器相关联的安全代理接收与设备上的客户端app 相关联的分组,分组包括源标识符和目的地标识符。安全代理重新指派隧道标识符作为源并且重新指派节点标识符作为目的地,然后存储隧道标识符、源标识符和目的地标识符的相互关系。安全代理将分组转发到安全代理内部的节点,并且基于相互关系来确定目的地标识符。节点然后将分组转发到目的地。这允许多个设备使用相同的源标识符,例如相同的IP地址。在一些实施例中,在分组的处理之前建立安全连接和/或设备和服务器被相互认证。
Description
对其它申请的交叉引用
本申请要求2015年3月20日提交的题为CONVERTING MOBILE TRAFFIC BETWEEN IP VPNAND TRANSPORT LEVEL VPN的美国临时专利申请号62/136,242的优先权,出于所有目的将所述美国临时专利申请通过引用结合于本文中。
背景技术
虚拟专用网络(VPN)是允许通过公共网络与专用网络的安全通信的机制。例如,VPN允许用户在离开办公室时访问公司内联网。VPN通过创建隧道来在公共网络上扩展专用网络,所述隧道是通过任何数目的网络分离的一对节点之间的虚拟的点对点链路。常规地,VPN被实现在或者因特网层或者传输层处。诸如Windows®和Android®之类的一些操作系统支持IP VPN(因特网层),而诸如iOS®之类的其它操作系统支持TCP VPN(传输层)。支持使用不同类型的VPN协议的设备是具有挑战性的。例如,公司内联网可能仅适应因特网层VPN并且不能够支持传输层VPN,或者反之亦然。
附图说明
在以下详细描述和附图中公开本发明的各种实施例。
图1是图示了用于建立虚拟专用网络(VPN)的系统的实施例的框图。
图2A是图示了用于在不同类型的VPN之间转换移动业务的系统的实施例的框图。
图2B是图示了用于在不同类型的VPN之间转换移动业务的系统的实施例的框图。
图3是图示了建立VPN并且使用VPN进行通信的方法的流程图。
图4A是图示了用于在不同类型的VPN之间转换移动业务的方法的实施例的流程图。
图4B是图示了用于在不同类型的VPN之间转换移动业务的方法的实施例的流程图。
图5是图示了用于在不同类型的VPN之间转换移动业务的方法的实施例的流程图。
具体实施方式
本发明可以以众多方式实现,包括作为过程;装置;系统;合成物质;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其它形式可以称为技术。一般地,所公开的过程的步骤的次序可以在本发明的范围内更改。除非以其它方式陈述,否则诸如处理器或存储器之类的描述为被配置成执行任务的组件可以实现为在给定时间处临时被配置成执行该任务的一般组件或被制造成执行该任务的特定组件。如本文中使用的,术语“处理器”指的是被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下面提供本发明的一个或多个实施例的详细描述连同图示本发明的原理的随附各图。结合这样的实施例来描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包含众多替代、修改和等同。在以下描述中阐述众多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践本发明。出于清楚的目的,没有详细描述与本发明相关的技术领域中已知的技术资料,使得没有不必要地使本发明模糊。
常规的VPN通过在远程设备与专用网络之间建立安全隧道来提供远程设备与专用网络之间的安全通信,使得远程设备能够跨(一个或多个)共享或公共网络发送和接收数据。认证隧道端点并且在端点之间分发网络配置参数。例如,远程设备上的VPN客户端经由诸如动态主机配置协议(DHCP)之类的协议向VPN服务器请求其IP地址。专用网络向远程设备分发其IP地址。然后建立VPN连接,并且经由隧道的通信尽管在不受信任的公共网络上但安全。VPN连接实际上将设备视为插入到专用网络中的节点。
一个类型的VPN在IP层处操作。例如,因特网协议安全(IPsec)VPN是VPN客户端使用诸如因特网密钥交换(IKE)之类的控制协议、诸如IPsec之类的隧道传送协议以及路由协议与远程VPN服务器通信的VPN类型。分组可以包括具有IP加密信息的报头(通过VPN添加报头)和净荷。接收VPN服务器可以使用IP报头和加密信息验证源并且将分组路由到适当的目的地。OSI模型中的每层将向分组添加报头,这可能是代价高的。为了使用IP层VPN,雇主典型地需要安装厂商供应的VPN客户端。IT管理员典型地需要确保每个远程主机被正确地配置并且没有恶意软件,因为IPsec隧道使主机加入到公司网络,其将主机带到公司网络的安全周界内部。
另一类型的VPN操作在传输层(还称为“TCP VPN”)处。例如,安全套接字层(SSL)VPN是使用SSL协议(包括TLS等)对端点之间的业务进行加密的VPN类型。SSL VPN典型地不要求远程设备处的专门软件的安装。代之以,远程设备可以使用Web浏览器及其本机隧道传送协议连接到公司网络,其中加密通过由Web应用发送的HTTP消息提供。SSL VPN不要求安装IPsec VPN客户端,从而允许“无客户端”访问,这减少客户端管理成本并且适应多样的用户和设备。
然而,常规的VPN不支持IP VPN和SSL VPN二者。两个端点需要使用相同类型的VPN协议(IP或TCP)以便建立隧道。
本公开的技术转换在IP VPN和TCP VPN下操作的IP移动业务。例如,可以在包括IPsec、SSL等的不同类型的协议内部使用VPN发送和接收IP分组。本文中描述的技术是可扩展的且高效的,在多种系统和处理器以及多种类型的VPN客户端中找到应用,所述系统和处理器包括利用代理架构支持HTTP和TCP隧道传送的网关,所述VPN客户端包括对分组编码和解码的插件(例如Windows®)和文件描述符系统(例如Android®)。在一些实施例中,在插件架构中,插件对分组进行封装和解封装以提供隧道传送。插件接收需要被隧道传送的IP分组,对分组进行封装并且经由隧道连接向公司网络输出经封装的分组。在反方向上,插件从公司网络接收分组,对分组进行解封装,并且向客户端设备的IP栈输出经解封装的分组。在文件描述符架构中,从文件描述符读取获得用于隧道传送到专用网络的分组,并且向文件描述符写入向客户端操作系统转发来自专用网络的分组。
图1是图示了提供对网络的安全移动访问的系统100的实施例的框图。系统包括设备110、安全代理120以及企业移动管理服务器(EMM)130。系统提供远程设备110与网络170之间的安全通信。在各种实施例中,经由隧道140将来自客户端app 114的移动业务路由至网络170。安全代理可以在诸如IP VPN和TCP VPN之类的不同VPN协议之间转换移动业务。
设备110包括移动设备管理(MDM)代理器(agent)112、客户端app 114和隧道插件116。(MDM)代理器112可以包括移动设备110的本机MDM客户端和/或移动操作系统(例如iOS®、Android®)的功能和第三方MDM客户端、代理器和/或app中的一个或二者,例如由第三方移动性管理提供商(诸如Mobile Iron有限公司)提供的第三方MDM客户端、代理器和/或app。
在图1中示出的示例中,客户端app 114安装在远程设备110上并且被配置成用于访问网络170。网络170的示例包括但不限于专用网络、内联网、局域网(LAN)和公司网络。在各种实施例中,网络可以由以下中的一个或多个访问:浏览器,例如本机Web浏览器或第三方浏览器;本机客户端app ;与(一个或多个)网络相关联的第三方客户端app ,例如由服务提供的一个;以及不是通过网络提供但是可以用于和/或被配置成访问网络的第三方客户端app 。
在图1中示出的示例中,隧道插件116安装在设备110上。在各种实施例中,隧道插件116可以被配置成建立到在安全代理服务器或其它服务器系统120上运行的(未示出的)隧道服务器的安全隧道140。隧道插件116可以将与客户端app 114相关联的业务选择性地引导至网络170中的一个或多个目的地。在图1中示出的示例中,目的地是服务器172。
在一些实施例中,EMM服务器130是虚拟服务平台。EMM可以被配置成将移动设备110配置成由EMM服务器130和相关联的元件(诸如安全代理120)管理。诸如通过使得将相关联的MDM代理器112安装在设备上和/或通过配置移动设备110的本机MDM功能,EMM服务器130可以被配置成经由MDM代理器112建立对移动设备110的MDM控制。在各种实施例中,可以将客户端app 114带到通过EMM服务器130和/或MDM代理器112的管理下。例如,可以提供配置简档或其它配置数据以确保经由隧道插件116和/或在隧道插件116的监督下发送与客户端app 114相关联的连接请求和/或其它业务。
安全代理120被配置成执行在本文中描述的技术以在不同类型的VPN之间转换移动业务并且提供远程设备110与网络170之间的安全通信,其中VPN协议可以具有各种类型(IP、传输等)。安全代理可以实现为管理、加密和保护移动设备与后端系统之间的业务的内嵌(in-line)网关。
在操作中,在远程设备110与网络170之间建立安全通信。远程设备110请求对网络170的访问。远程设备的安全性、配置和/或其它姿势(posture)可以通过参考EMM服务器130来确定,例如以确定远程设备当前是否具有访问网络的许可。例如,许可可以在移动设备110的用户例如经由EMM服务器130登记设备时建立,并且可以基于策略而在给定时间处撤销,诸如在检测到设备110未经授权的配置和/或状态时。根据认证,建立隧道140。在各种实施例中,可以至少部分地基于供应给隧道插件116的证书而建立安全隧道140,所述证书例如由EMM服务器130提供给隧道插件116的证书。
初始化安全代理120,如本文中进一步描述的。隧道插件116选择性地引导与客户端app 114相关联的业务。例如,隧道插件116可以被配置成经由隧道140转发被客户端app114定址到网络170的业务。可以将业务定址到与安全代理服务器120相关联的节点。安全代理120可以终止与网络170和/或服务器172相关联的TCP连接并且根据本文中描述的技术将分组路由至网络170中的目的地节点。
在一些实施例中,客户端app 114可以将所有业务定址到网络170中的目的地,并且移动或其它操作系统(例如Android®、Microsoft Windows®)可以被(例如通过MDM服务器或其它MDM管理机构)配置成仅经由诸如隧道140之类的隧道直接向网络170发送所选app业务和来自相同app的其它业务。
图2A是图示了提供对网络的安全移动访问的系统200的实施例的框图。在各种实施例中,系统提供(专用)网络270与远程设备210之间的安全通信路径。
在所示示例中,系统包括设备210、安全代理220和EMM 230。系统提供远程设备210与网络270之间的安全通信。在各种实施例中,经由隧道240将来自客户端app 214的移动业务路由至网络270。各种实施例中的路由使得移动业务能够在诸如IP VPN和TCP VPN之类的不同VPN协议之间转换。
设备210包括MDM代理212、客户端app 214和隧道插件116。(MDM)代理器212可以包括移动设备210的本机MDM客户端和/或移动操作系统(例如iOS®、Android®)的功能和第三方MDM客户端、代理器和/或app中的一个或二者,例如由第三方移动性管理提供商(诸如Mobile Iron有限公司)提供的第三方MDM客户端、代理器和/或app。
在图2A中示出的示例中,客户端app 214安装在远程设备210上并且被配置成用于访问网络270。网络270的示例包括但不限于专用网络、内联网、局域网(LAN)和公司网络。在各种实施例中,网络可以由以下中的一个或多个访问:本机客户端app ;与(一个或多个)网络相关联的第三方客户端app ,例如由服务提供的一个;以及不是由网络提供但是可以用于和/或被配置成访问网络的第三方客户端app 。尽管未示出,但是远程设备210可以包括多个客户端app 。
在图2A中示出的示例中,隧道插件216安装在设备210上。在各种实施例中,隧道插件216可以被配置成建立到在安全代理服务器或其它服务器系统220上运行的(未示出的)隧道服务器的安全隧道240。隧道插件216可以将与客户端app 214相关联的业务选择性地引导到网络270中的一个或多个目的地。在图2A中示出的示例中,目的地是服务器272。
可以在远程设备和网络的(例如基于证书的)相互认证之后建立隧道240。在各种实施例中,隧道是适应IP业务的HTTPS隧道。
EMM服务器230可以是虚拟服务平台。EMM可以被配置成将移动设备210配置成由EMM服务器230和相关联的元件(诸如安全代理220)管理。诸如通过使得相关联的MDM代理器212安装在设备上和/或通过配置移动设备210的本机MDM功能,EMM服务器230可以被配置成经由MDM代理器212建立对移动设备210的MDM控制。在各种实施例中,可以将客户端app 214带到通过EMM服务器230和/或MDM代理器212的管理下。例如,可以提供配置简档或其它配置数据以确保经由隧道插件216和/或在隧道插件216的监督下发送与客户端app 214相关联的连接请求和/或其它业务。
安全代理220包括监听器(listener)222、正向网络地址转变(FNAT)模块224、反向网络地址转变(RNAT)模块226、存储器228、监听器236、IP栈234和隧道处置器238。在各种实施例中,安全代理220包括网络隧道接口(TUN,例如Linux内核提供的“TUN”接口)232,其在各种实施例中使得IP业务能够被访问。安全代理220被配置成执行本文中描述的技术以在不同类型的VPN之间转换移动业务并且提供远程设备210与网络270之间的安全通信,其中VPN协议可以具有各种类型(IP、传输等)。安全代理可以实现为管理、加密和保护移动设备与后端系统之间的业务的内置网关。安全代理可以利用代理架构支持HTTP和TCP隧道传送。
监听器222通过隧道240从远程设备210接收业务。使用TCP的示例,监听器可以是HTTPS端口,诸如:443。在图2A的示例中,为监听器222指派地址“SENTRYIP”,其指示例如它是安全代理的IP地址,所述安全代理诸如由Mobile Iron有限公司销售的SENTRY代理服务器。
FNAT 224通过修改所接收的IP分组报头中的网络地址信息来将IP地址空间映射到另一地址空间中。FNAT可以用于隐藏整个IP地址空间,诸如在诸如公共地址空间之类的另一空间中的单个IP地址背后的专用网络IP地址。FNAT可以通过转变表实现,使得使用存储在转变表中的规则(或状态)将反向通信映射到起源IP地址。在指派针对所接收的分组的映射规则时,可以将转变表存储在存储器228中,如本文中进一步描述的。RNAT 226可以执行与FNAT互补的操作以执行IP地址的反向查找。在各种实施例中,FNAT被用在正向数据路径中并且RNAT被用在反向数据路径中。
存储器228存储分组的源和目的地的身份。例如,存储器可以存储包含源和目的地IP地址和对应端口的转变表。记忆装置228可以通过任何类型的存储器来实现。记忆装置可以包括例如一个或多个随机存取存储器(RAM)和/或一个或多个只读存储器(ROM)。如本领域中公知的,存储器可以用作通用存储区、临时(例如便笺式)存储器和/或高速缓冲存储器。存储器还可以用于存储输入数据和经处理的数据。存储器可以包括任何合适的计算机可读存储介质,其取决于例如数据访问需要是双向的还是单向的。例如,安全代理220的组件还可以直接且非常快速地检索频繁需要的数据并且将其存储在存储器中包括的高速缓冲存储器中。
TUN 232是与栈234协作以便以有序方式处理所接收的分组的接口。在各种实施例中,TUN通过诸如Linux® TUN之类的虚拟网络内核设备来实现。TUN可以根据创建Linux®TUN接口并且为TUN指派IP地址的初始化脚本来设立。IP地址的指派将TUN配置为返回业务的默认目的地设备,从而允许返回分组甚至在请求远程设备共享与其它设备相同的IP地址的情况下被返回到请求远程设备,如本文中进一步描述的。在图2A的示例中,向TUN 232指派地址“TUNIFIP”。
在各种实施例中,Linux® TUN接口的使用使得安全代理220能够终止诸如远程设备210之类的设备向诸如服务器272之类的服务器请求建立的TCP连接。由远程设备210发送至服务器272的业务被在安全代理220处接收,如本文中公开的,并且通过代表远程设备210的安全代理220经由安全(例如TLS)连接而发送至服务器272。可以将在相同连接上接收的来自服务器272的返回业务路由回到远程设备210,如本文中描述的。
进一步参照图2A,在各种实施例中,监听器236从存储器228和IP栈234接收数据。例如,监听器236从高速缓存接收NAT转变状态并且从IP栈接收数据。使用TCP的示例,监听器可以是:接收离开Linux®栈的项的11111端口。
栈234对分组进行存储和排序并且监视用于TCP连接的担保递送。在各种实施例中,栈处置IP数据报的分片和重组。栈可以保护app免于各种网络层攻击。与TUN 232协作,栈以有序方式处理分组。在各种实施例中,栈是Linux® IP栈。
隧道处置器238与网络270对接。在图2A的示例中,隧道处置器238通信地耦合到服务器272。在各种实施例中,隧道处置器是接收分组并且向服务器输出分组的TCP/UDP代理。诸如安全机制、标记、分块(blocking)、经由代理的转发以及记录帧之类的其它服务可以由隧道处置器执行。以此方式,传输层VPN可以针对IP层VPN执行。
网络270包括服务器272。在图2A的示例中,为服务器272指派地址“SRVIP”。
系统200被示出具有用于向所示组件指派的IP地址的示例标签。DEVTUNIP是在建立隧道240时指派给远程设备210的IP地址。从电话上的app去往网络的业务将此用作源IP地址。在各种实施例中,连接到哨兵(sentry)的多个设备使用相同的IP地址。这是有利的,因为这简化了路由和TUN接口管理。例如,如果存在功率损失,则可以为所有设备重新指派相同的地址而不是查找每个单独的地址。作为另一示例,为了水平扩展,可以向经负载均衡的轮询添加任何数目的代理而不处置跨代理的状态共享。在存储于存储器228中的转变表中区分设备,如本文中进一步描述的。
DEVIP是由远程设备用于诸如WiFi®或蜂窝网络之类的无线连接的IP地址。向哨兵指派SENTRYIP。例如,地址可以指向安全代理在何处在端口:443(222)上监听所有数据业务。向虚拟隧道接口指派TUNIFIP。该接口和DEVTUNIP可以在相同的子网中,例如相同类C或/24子网。通过位于相同的子网中,TUN变成用于相同子网中的设备的默认网关以用于源自服务器的返回业务。向电话中的app正在尝试访问的应用服务器指派SRVIP。这些IP地址中的一些可以对外部设备可见(“外部IP”)而其它IP地址可以仅内部地可见(“内部IP”)。IP地址的性质可以是如下:
| 外部IP | 内部IP |
| DEVIP | DEVTUNIP |
| SENTRYIP | TUNIFIP |
| SRVIP |
表1。
在操作中,初始化安全代理,包括:(i)创建虚拟接口,其可由句柄访问以拦截和重定向业务,以及(ii)建立隧道。在图2A中示出的示例中,在初始化时创建TUN接口232以从FNAT接收输出并且输出到栈234。在隧道插件236与监听器222之间建立隧道240。(表示为虚线双头箭头的)隧道中的安全连接可以在客户端app 214与服务器272之间传导业务。
在各种实施例中,安全代理220如下管理应用业务流。由监听器222接收分组。对分组执行FNAT,其:(i)将源地址(客户端app 的IP地址)转变成一般设备IP地址,并且(ii)将目的地地址(SRVIP)转变成对监听器236而言可识别的回送IP地址。转变被存储在存储器228中。由FNAT 224向TUN接口232输出分组。TUN接口使用回送地址将分组转发到栈234。栈将分组转发到监听器236。在接收到分组时,监听器通过参考存储器228来确定分组的原始目的地地址(图2A中示出的示例中的SRVIP)。然后可以将分组转发到注入附加服务的传输隧道处置器238(例如TCP或UDP)。隧道处置器然后将分组发送到网络270,在所述网络270处分组可以由服务器272读取和处理,其中它可以被网络270读取和处理。以此方式,在远程设备210与网络270中的服务器272之间进行安全通信。安全代理使得远程设备210和网络270能够使用不同类型的VPN协议(例如IP层或TCP层)并且仍旧能够以安全的方式彼此通信。
在各种实施例中,安全代理220在与图2A中示出的方向相反的方向上如下管理应用业务流。由隧道处置器238接收返回分组。隧道处置器238将分组转发到监听器236,所述隧道处置器238可以注入附加的服务,所述监听器236将分组转发到栈234。栈和TUN 232协作以便以有序的方式处理分组。当分组冒泡到栈的底部并且到达RNAT 226时,分组具有与(用于监听器236的)回送IP地址对应的源地址和目的地地址DEVTUNPOOLIP。对分组执行RNAT,其:(i)将目的地地址转变成客户端app 的IP地址DEVTUNIP,并且(ii)将源地址(回送IP地址)转变成SRVIP。该相互关系(correlation)从存储器228确定。分组由RNAT 226输出到监听器222。监听器222然后经由隧道240将分组转发到客户端app 214。以此方式,在网络270与远程设备210之间进行安全通信。
图2B是图示了提供对网络的安全移动访问的系统250的实施例的框图。系统250的组件如图2A中示出的系统220的那些组件一样起作用,除非被另外描述。
系统250包括多个远程设备210.1、210.2。每个远程设备包括隧道插件216.1、216.2。每个隧道插件可以通过相应隧道240.1、240.2与安全代理200的监听器222通信。在所示示例中,系统包括多个TUN 232.1、232.2。TUN 232.1对应于设备210.1,并且TUN 232.2对应于设备210.2。多个TUN接口可以扩展到相对大数目的隧道传送连接。在64K个连接可用于DEVTUNIP:端口 => DEVTUNPOOLIP1:11111(其中端口是16位值)的示例中,添加更多池IP使连接池扩大。多个TUN接口可以增加代理内的并行处理(例如一个CPU核或线程可以专用于处置来自一个TUN接口的业务)以改进性能。在替代实施例中,TUN接口可以服务于多个客户端设备。这是因为FNAT和RNAT具有足够的状态对业务进行多路复用和多路分用。
在各种实施例中,与隧道240.1相关联的地址(DEVTUNPOOLIP1)在与TUN 232.1的IP地址(TUNIFIP1)相同的子网中。与隧道240.2相关联的地址(DEVTUNPOOLIP2)在与TUN232.2的IP地址(TUNIFIP2)相同的子网中。以此方式,对应于设备的TUN将会将业务重定向到适当的设备。远程设备210.1和210.2可以具有相同的IP地址(在所示示例中的DEVTUNIP)。在表2中总结了用于系统250的组件的地址。
| 远程设备210.1 | 远程设备210.2 | |
| 公共网络(例如WiFi®/蜂窝)上的IP地址 | DEVIP1 | DEVIP2 |
| 在VPN被连接时指派给隧道设备的IP地址 | DEVTUNIP | DEVTUNIP |
| 从池指派的IP地址 | DEVTUNPOOLIP1 | DEVTUNPOOLIP2 |
在各种实施例中,安全代理220可以提供对驻留在两个或更多分离网络(诸如公司或其它企业网络)上的服务器的访问。在各种实施例中,诸如安全代理220之类的多个安全代理可以被部署并且可以用于提供对诸如网络270之类的一个或多个内部网络的安全访问。
图3是图示了用于在不同类型的VPN之间转换移动业务的方法300的实施例的流程图。方法300可以由诸如在图1中示出的安全代理120或在图2A和2B中示出的安全代理220之类的安全代理执行。方法可以在认证设备时发起,从而给予设备建立与服务器的VPN连接的许可。
在302中,方法300初始化安全代理。初始化包括设立虚拟网络内核设备,诸如TUN。例如,TUN可以是在IP层分组上操作的Linux® TUN。可以根据创建Linux® TUN接口并且向TUN指派IP地址(例如图2A中示出的“TUNIFIP”)的初始化脚本来设立TUN。IP地址到TUN的指派将TUN配置为针对返回业务的默认目的地设备,从而允许返回分组被返回到请求设备(例如设备上的客户端app )。在一些实施例中,可以指派TUN的IP地址(TUNIFIP)和客户端app的IP地址(DEVTUNIP)使得它们在相同子网中。如果地址在相同子网中,则通过子网的业务将被对应的TUN接口拦截,使得返回业务将返回到对应的客户端app 。
在304中,该方法建立连接。连接可以通过安全隧道建立。例如,安全代理可以通过执行DNS解析来将远程设备连接到网络。使用图2A的示例,设备210上的app 214尝试连接到服务器272(例如“server.example.com”)。连接的尝试将伴随着通过隧道240到哨兵的DCS解析请求。当该方法接收到请求时,它解析代表app的名称并且向设备返回IP地址(SRVIP)。
在已经建立连接的实施例中,可以在306处开始处理分组。在306中,该方法经由已建立的连接接收分组。例如,与服务器通信的应用通过隧道传送作为分组的数据。在各种实施例中,当设备从文件句柄(例如文件描述符)读取和写入到文件句柄(例如文件描述符)时传送分组。从文件句柄的读取和到文件句柄的写入允许设备访问虚拟接口(例如图2A中示出的TUN 232)。分组由虚拟接口处置,如本文中进一步描述的。
在308中,该方法对分组重定址。对分组重定址将分组重定向并且包括跟踪在维持所接收的分组的次序的栈中的数据流中接收的分组的次序。例如,栈是Linux®栈。作为另一示例,栈是由安全代理实现的(专有)TCP栈。内置于用户空间中的TCP可以维持数据流中的分组的次序。通过对分组重定址,分组不被直接从设备传送至服务器,而是代之以由安全代理处置。在本文中例如关于图4A和4B进一步描述重定址。
在312中,存储地址转变。存储转变促进返回业务到正确的设备目的地的重定向。使用图2A的示例,地址转变被存储在存储器228中。在314中,该方法向服务器转发分组。使用图2A的示例,向服务器272转发分组。
图4A是图示了用于在不同类型的VPN之间转换移动业务的方法400的实施例的流程图。方法400可以被作为诸如图3的方法300之类的另一方法的部分来执行。例如,方法400可以被作为方法300的步骤308的部分来执行。方法400可以由诸如在图1中示出的安全代理120和在图2A和2B中示出的220之类的安全代理来执行。
在402中,该方法接收分组。分组可以包括关于其源和目的地的信息。使用在图2A中示出的系统200的示例,分组的源是客户端app 214(地址DEVTUNIP)并且目的地是服务器272(地址SRVIP)。返回到图4A,如所示,所接收的分组具有源地址DEVTUNIP和目的地地址SRVIP。该方法然后利用FNAT处理分组。
在404中,该方法基于FNAT修改分组。如所示,将源地址改变成DEVTUNPOOLIP并且将目的地地址改变成LOOPBACKIP。还可以更新对应的端口。例如,LOOPBACKIP对应于端口:11111。通过改变地址,在转发至目的地服务器之前在安全代理内将分组重定向以用于附加的处理。
在406中,所接收的分组被经由文件句柄(FNAT)注入到TUN接口中并且弹出到栈。换言之,在服务器侧上,安全代理是代理,并且在设备侧上,安全代理是监听器。根据常规的套接字处理,分组的次序将由栈维持。
在408中,该方法查找目的地IP和端口。该信息可以用于向其目的地递送分组。如图4A中所示,查找的结果是源地址DEVTUNIP和目的地地址SRVIP。
使用图2B的示例,经由隧道240.1接收来自客户端214.1的分组。分组传递至FNAT224并且源地址被改变成标识隧道240.1的地址(例如DEVTUNIP)并且目的地地址被改变成标识监听器236的地址(LOOPBACKIP :11111)。该信息存储在存储器228中。然后向TUN接口232.1发送分组。TUN接口和栈234协作以便以适当的次序处理分组。当分组冒泡到栈的顶部时,它由于目的地地址LOOPBACKIP而去往监听器236。监听器236从存储器228查找分组的服务器目的地。监听器然后将目的地地址更新为SRVIP并且向隧道处置器238转发分组。隧道处置器可以向分组应用其它功能,然后将分组转发到服务器272。
图4B是图示了用于在不同类型的VPN之间转换移动业务的方法450的实施例的流程图。该方法可以被作为诸如图4A的方法400之类的另一方法的部分来执行。例如,方法450可以被作为方法400的步骤404的部分来执行。方法450允许相同的IP地址用于多个设备。在一些实施例中,维持IP地址池(例如128个地址)和对应的端口。在454中,新的流的分配包括向新的流指派这些地址之一(例如DEVTUNPOOLIP,池_端口)。可以向多个设备(例如所有设备)指派相同的DEVTUNIP,这简化了路由和TUN接口管理。例如,如果存在功率损失,则向所有设备重新指派相同的地址而不是查找每个单独的地址。作为另一示例,对于水平扩展,可以向经负载均衡的轮询添加任何数目的代理而不处置跨代理的状态共享。方法450可以由诸如图2A中示出的安全代理220之类的安全代理来执行。
在452中,FNAT确定是否已经存在连接(例如之前已经建立连接)。FNAT通过查找存储器中的连接来做出该确定。如果可以在查找表中发现连接,则连接存在。如果连接存在,则该方法可以使用现有流地址(458)。如果连接不存在,则该方法可以分配新的流(454)。新连接的分配包括向对应于连接的源指派地址。在各种实施例中,从IP地址和端口的池选择地址。在456中,利用密钥和数据向存储器添加新连接。
将示例密钥指派为DEVIP,端口;DEVTUNIP,端口(其中端口是对应于IP地址的端口)。将正向流数据指派为DEVIP,端口;DEVTUNIP,端口;DEVNTUNPOOLIP,池_端口;以及SRVIP,端口。将反向流密钥指派为DEVTUNPOOLIP,池_端口。
使用图2B的示例,假定对应于隧道240.1和240.2中的每个的连接尚不存在。当从客户端214.1接收到分组时,对应于隧道240.1的流被分配和指派地址DEVTUNPOOLIP1和对应的端口。地址和端口存储在存储器228中。如果接收到来自客户端214.1的另一分组,则将确定连接存在并且使用DEVTUNPOOLIP1。另一方面,如果经由240.2接收到来自客户端app214.2的分组,则该方法确定连接尚不存在。该方法向隧道240.2分配新的连接并且向该新的流指派DEVTUNPOOLIP2。在实施例中,多个TUN服务使例如处于一对一关系中的连接增加。在替代实施例中,相同的TUN可以服务于多个连接。地址和端口存储在存储器228中。
图5是图示了用于在不同类型的VPN之间转换移动业务的方法500的实施例的流程图。方法500是如何将来自VPN服务器的业务定向到远程设备上的VPN客户端的示例,例如到针对图4A描述的业务的反向通信。方法500可以通过诸如图1中示出的安全代理120之类的安全代理执行。
在502中,该方法接收分组。分组可以由安全代理中的隧道处置器接收。隧道处置器可以向监听器转发分组。监听器然后向栈转发分组(504)。如本文中描述的,栈可以是IP栈。可以根据常规的套接字处置技术来发送分组。
在506中,当分组到达栈的底部时,为分组确定目的地设备地址。在各种实施例中,使用RNAT确定目的地设备地址。RNAT提供允许将分组路由至适当的隧道以传送至目的地设备上的预期客户端app的目的地设备。该方法然后向设备发送分组(512)。
使用图2A的示例,由隧道处置器238接收来自服务器272的分组。隧道处置器可以向分组应用其它功能,然后向监听器236转发分组。监听器接口向栈234转发分组。栈和TUN232协作以便以适当的次序处理分组。当分组到达栈的底部并且碰着TUN接口时,RNAT拾取分组并且确定设备目的地。RNAT为了原始设备目的地地址和池而咨询存储器228。目的地地址被更新为DEVTUNIP。然后经由隧道240向客户端app 214传送分组。
分组可以被如下编码。在每层处,添加报头。常规地,分组包括使用在报头中用来指示分组包括控制数据还是净荷数据的位。根据本公开的技术,可以保存报头中的这些位。将控制信息编码在报头中,而不是使用位来显式地发信号通知分组的性质。即,报头可以过载以指示分组包括控制数据还是净荷数据,这避免专用于发信号通知分组包括控制数据还是净荷数据的附加位。即,报头中的现有IP编码指示分组是控制数据还是净荷数据。对分组编码的该技术有利地减少开销。
在一些实施例中,本文中描述的方法在特定类型的数据分组上执行,例如数据分组而不是控制分组。为了确定是否在特定分组上执行本文中描述的方法,当接收到SSL流时,安全代理确定SSL流是数据还是控制。如果SSL流是数据,则执行本文中描述的方法。否则,如果SSL流不是数据,则不执行本文中描述的方法。
在一个方面中,当安全代理服务器经历功能丢失(例如停电、服务器瘫痪)时,使用本文中公开的技术,可以快速地重新指派IP地址,因为单个(或几个)地址用于多个设备。每个设备不需要具有唯一的IP地址。常规地,功能丢失典型地导致IP地址的重新初始化和重新指派,这可能是缓慢且低效的。
在常规系统中,由于服务器之间的共享状态,扩展、冗余和失效变得复杂。本文中描述的技术是“无状态的”并且是可容易扩展的,因为不要求层2状态共享和失效转移。换言之,代理是应用层的并且因此安全连接和web应用一样可扩展(比常规的VPN技术更加可扩展)。
本文中描述的技术不要求在客户端站点处部署大的、复杂的设备,诸如常规的VPN服务器。代之以,本文中描述的技术在更高层(应用层)处实现并且可以使用可用硬件和软件,诸如Linux®栈,其在应用栈中完全可用。本文中描述的技术提供应用层灵活性并且相比于常规VPN更易于开发(例如调试)。
尽管出于理解的清楚的目的以一些细节描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而非限制性的。
Claims (21)
1.一种提供对服务器的安全访问的方法,包括:
通过安全代理接收与设备上的客户端app 相关联的分组,分组包括针对分组的源的源标识符和针对分组的目的地的目的地标识符,目的地是服务器;
重新指派隧道标识符作为分组的源并且重新指派节点标识符作为分组的目的地,节点标识符与安全代理内部的节点相关联;
存储隧道标识符、源标识符和目的地标识符的相互关系;
将分组转发到安全代理内部的节点;
使用相互关系来确定目的地标识符;以及
使用节点将分组转发到目的地。
2.权利要求1的方法,其中重新指派包括移除分组与源标识符和目的地标识符的关联。
3.权利要求1的方法,其中重新指派使用网络地址转变器来执行以将目的地标识符转变成隧道标识符。
4.权利要求1的方法,其中存储包括高速缓存相互关系。
5.权利要求1的方法,其中转发使用虚拟隧道接口来执行。
6.权利要求1的方法,其中连接到服务器的至少两个设备使用源标识符。
7.权利要求1的方法,其中隧道标识符选自地址池。
8.权利要求1的方法,进一步包括:
接收与客户端app 相关联的后续分组;
其中重新指派包括将隧道标识符用作后续分组的源。
9.权利要求1的方法,进一步包括:
接收与另一客户端app 相关联的分组;
确定是否已建立与另一客户端app 相关联的连接;以及
如果尚未建立连接,建立连接并且指派第二隧道标识符作为与另一客户端app 相关联的分组的源;
其中第二隧道标识符不同于指派给第一客户端app 的隧道标识符。
10.权利要求1的方法,其中源标识符是设备地址并且目的地标识符是服务器地址。
11.权利要求1的方法,其中隧道标识符与连接相关联,分组被通过所述连接接收。
12.权利要求1的方法,其中节点标识符与回送地址相关联并且节点包括端口。
13.权利要求1的方法,进一步包括:
接收建立连接的请求,分组可通过所述连接接收,所述请求与设备上的客户端app 相关联;
在安全代理中创建虚拟隧道接口;以及
使用在设备与安全代理之间的安全隧道来建立连接。
14.权利要求13的方法,其中虚拟隧道接口的地址在与隧道标识符相同的子网中。
15.权利要求13的方法,其中与安全隧道相关联的信息用于确定请求客户端app 被授权从设备访问服务器并且从与服务器相关联的身份提供者获得要由客户端app 用于认证服务器的安全令牌。
16.权利要求1的方法,进一步包括:
通过安全代理中的端口接收与服务器相关联的返回分组;
基于在其上接收返回分组的端口和所存储的相互关系来确定返回隧道标识符;
基于返回隧道标识符使用网络地址转变器来确定返回目的地标识符;以及
将返回分组转发到客户端app 。
17.一种用于提供对服务器的安全访问的系统,包括:
通信接口,其被配置成接收与设备上的客户端app 相关联的分组,分组包括针对分组的源的源标识符和针对分组的目的地的目的地标识符,目的地是服务器;以及
处理器,其耦合到通信接口并且被配置成:
重新指派隧道标识符作为分组的源并且重新指派节点标识符作为分组的目的地,节点标识符与处理器内部的节点相关联;
存储隧道标识符、源标识符和目的地标识符的相互关系;
将分组转发到处理器内部的节点;
使用相互关系来确定目的地标识符;以及
使用节点将分组转发到目的地。
18.权利要求17的系统,其中虚拟隧道接口在与隧道标识符相同的子网中。
19.权利要求17的系统,其中多个虚拟隧道接口对应于多个设备,并且所述多个设备中的至少两个使用源标识符。
20.一种用于提供对服务器的安全访问的计算机程序产品,计算机程序产品体现在非瞬时计算机可读存储介质中并且包括用于以下各项的计算机指令:
通过安全代理接收与设备上的客户端app 相关联的分组,分组包括针对分组的源的源标识符和针对分组的目的地的目的地标识符,目的地是服务器;
重新指派隧道标识符作为分组的源并且重新指派节点标识符作为分组的目的地,节点标识符与安全代理内部的节点相关联;
存储隧道标识符、源标识符和目的地标识符的相互关系;
将分组转发到安全代理内部的节点;
使用相互关系来确定目的地标识符;以及
使用节点将分组转发到目的地。
21.权利要求20的计算机程序产品,其中连接到目的地的至少两个设备使用源标识符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562136242P | 2015-03-20 | 2015-03-20 | |
| US62/136242 | 2015-03-20 | ||
| PCT/US2016/022954 WO2016153935A1 (en) | 2015-03-20 | 2016-03-17 | Converting mobile traffic between ip vpn and transport level vpn |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107534643A true CN107534643A (zh) | 2018-01-02 |
| CN107534643B CN107534643B (zh) | 2021-03-09 |
Family
ID=56924064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680023287.7A Active CN107534643B (zh) | 2015-03-20 | 2016-03-17 | 在ip vpn与传输层vpn之间转换移动业务的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10193865B2 (zh) |
| EP (1) | EP3272090A4 (zh) |
| CN (1) | CN107534643B (zh) |
| WO (1) | WO2016153935A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024921A (zh) * | 2021-10-14 | 2022-02-08 | 济南浪潮数据技术有限公司 | 一种隧道协同方法、装置、设备及可读存储介质 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10523636B2 (en) | 2016-02-04 | 2019-12-31 | Airwatch Llc | Enterprise mobility management and network micro-segmentation |
| US10187356B2 (en) * | 2016-11-22 | 2019-01-22 | Citrix Systems, Inc. | Connectivity between cloud-hosted systems and on-premises enterprise resources |
| US11190492B2 (en) * | 2017-12-01 | 2021-11-30 | Twingate, Inc. | Local interception of traffic to a remote forward proxy |
| US10742595B2 (en) * | 2018-04-20 | 2020-08-11 | Pulse Secure, Llc | Fully qualified domain name-based traffic control for virtual private network access control |
| US20210219137A1 (en) * | 2018-09-24 | 2021-07-15 | Nokia Technologies Oy | Security management between edge proxy and internetwork exchange node in a communication system |
| US11283763B2 (en) | 2018-12-28 | 2022-03-22 | Mcafee, Llc | On-device dynamic safe browsing |
| US11362999B2 (en) * | 2019-03-29 | 2022-06-14 | Mcafee, Llc | Client-only virtual private network |
| US11405237B2 (en) | 2019-03-29 | 2022-08-02 | Mcafee, Llc | Unencrypted client-only virtual private network |
| US11297038B1 (en) | 2021-07-03 | 2022-04-05 | Oversec, Uab | Rotating internet protocol addresses in a virtual private network |
| CN114448670B (zh) * | 2021-12-27 | 2023-06-23 | 天翼云科技有限公司 | 一种数据传输方法、装置及电子设备 |
| US11895091B1 (en) * | 2023-02-03 | 2024-02-06 | Dice Corporation | Scalable router interface communication paths |
| US11863534B1 (en) | 2023-02-03 | 2024-01-02 | Dice Corporation | Scalable router interface initiation |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008924A1 (en) * | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| WO2010069058A1 (en) * | 2008-12-17 | 2010-06-24 | Nortel Networks Limited | Secure remote access public communication environment |
| US8259571B1 (en) * | 2010-03-26 | 2012-09-04 | Zscaler, Inc. | Handling overlapping IP addresses in multi-tenant architecture |
| CN103069784A (zh) * | 2010-08-17 | 2013-04-24 | 瑞典爱立信有限公司 | 处理已经在隧道上发送的网络业务的技术 |
| US20130103834A1 (en) * | 2011-10-21 | 2013-04-25 | Blue Coat Systems, Inc. | Multi-Tenant NATting for Segregating Traffic Through a Cloud Service |
| US20130133043A1 (en) * | 2011-04-27 | 2013-05-23 | International Business Machines Corporation | Authentication in virtual private networks |
| US8458786B1 (en) * | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
| US20150052599A1 (en) * | 2013-08-15 | 2015-02-19 | Mocana Corporation | Gateway device for terminating a large volume of vpn connections |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6615357B1 (en) * | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
| US7489659B2 (en) | 2002-01-29 | 2009-02-10 | Koninklijke Philips Electronics N.V. | Method and system for connecting mobile client devices to the internet |
| US20050000004A1 (en) * | 2003-07-01 | 2005-01-06 | Yun Danny K. | Integrated toilet and air deodorizer |
| US8095876B1 (en) * | 2005-11-18 | 2012-01-10 | Google Inc. | Identifying a primary version of a document |
| US8296437B2 (en) * | 2005-12-29 | 2012-10-23 | Logmein, Inc. | Server-mediated setup and maintenance of peer-to-peer client computer communications |
| US8910272B2 (en) * | 2008-02-28 | 2014-12-09 | Hob Gmbh & Co. Kg | Computer communication system for communication via public networks |
| US9270559B2 (en) * | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US9917849B2 (en) * | 2013-05-01 | 2018-03-13 | Fortinet, Inc. | Security system for physical or virtual environments |
| US9888042B2 (en) * | 2013-05-21 | 2018-02-06 | Citrix Systems, Inc. | Systems and methods for multipath transmission control protocol connection management |
| WO2015145209A1 (en) * | 2014-03-27 | 2015-10-01 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a vpn gateway |
| US20160226815A1 (en) * | 2015-01-30 | 2016-08-04 | Huawei Technologies Co., Ltd. | System and method for communicating in an ssl vpn |
-
2016
- 2016-03-17 EP EP16769376.1A patent/EP3272090A4/en not_active Withdrawn
- 2016-03-17 CN CN201680023287.7A patent/CN107534643B/zh active Active
- 2016-03-17 WO PCT/US2016/022954 patent/WO2016153935A1/en active Application Filing
- 2016-03-17 US US15/073,328 patent/US10193865B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070008924A1 (en) * | 2004-01-15 | 2007-01-11 | Padraig Moran | Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks |
| WO2010069058A1 (en) * | 2008-12-17 | 2010-06-24 | Nortel Networks Limited | Secure remote access public communication environment |
| US8259571B1 (en) * | 2010-03-26 | 2012-09-04 | Zscaler, Inc. | Handling overlapping IP addresses in multi-tenant architecture |
| US8458786B1 (en) * | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| CN103069784A (zh) * | 2010-08-17 | 2013-04-24 | 瑞典爱立信有限公司 | 处理已经在隧道上发送的网络业务的技术 |
| US20130133043A1 (en) * | 2011-04-27 | 2013-05-23 | International Business Machines Corporation | Authentication in virtual private networks |
| US20130103834A1 (en) * | 2011-10-21 | 2013-04-25 | Blue Coat Systems, Inc. | Multi-Tenant NATting for Segregating Traffic Through a Cloud Service |
| US20150052599A1 (en) * | 2013-08-15 | 2015-02-19 | Mocana Corporation | Gateway device for terminating a large volume of vpn connections |
| CN104023022A (zh) * | 2014-06-13 | 2014-09-03 | 杭州华三通信技术有限公司 | 一种IPSec SA的获取方法和装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114024921A (zh) * | 2021-10-14 | 2022-02-08 | 济南浪潮数据技术有限公司 | 一种隧道协同方法、装置、设备及可读存储介质 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
| CN114915492B (zh) * | 2022-06-21 | 2024-03-05 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160277359A1 (en) | 2016-09-22 |
| EP3272090A1 (en) | 2018-01-24 |
| CN107534643B (zh) | 2021-03-09 |
| WO2016153935A1 (en) | 2016-09-29 |
| US10193865B2 (en) | 2019-01-29 |
| EP3272090A4 (en) | 2018-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534643A (zh) | 在ip vpn与传输层vpn之间转换移动业务 | |
| JP6452181B2 (ja) | 負荷平衡化インターネット・プロトコル・セキュリティ・トンネル | |
| CN102377629B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| US11909712B2 (en) | Network address translation for virtual machines | |
| US8407366B2 (en) | Interconnecting members of a virtual network | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| CN102790808B (zh) | 一种域名解析方法和系统、一种客户端 | |
| US11882199B2 (en) | Virtual private network (VPN) whose traffic is intelligently routed | |
| US20190297161A1 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN1332552A (zh) | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 | |
| Phung et al. | The OpenLISP control plane architecture | |
| CN115189920A (zh) | 跨网络域通信方法和相关装置 | |
| CN102437966A (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
| CN101309270B (zh) | 实施因特网安全协议的方法、系统、网关及网络节点 | |
| CN102447626A (zh) | 具有策略驱动路由的主干网 | |
| US9419921B1 (en) | Network address translation for virtual machines | |
| CN109246016A (zh) | 跨vxlan的报文处理方法和装置 | |
| JP6990647B2 (ja) | ReNAT通信環境を提供するシステム及び方法 | |
| WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol | |
| CN110875884B (zh) | 一种流量迁移系统、一种数据处理方法及装置 | |
| WO2016082363A1 (zh) | 用户数据管理方法及装置 | |
| JP4996514B2 (ja) | ネットワークシステム及び電文の転送方法 | |
| CN103856416B (zh) | 网络接入方法、设备和系统 | |
| CN112751816B (zh) | 一种隧道建立方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |