TWI549452B - 用於對虛擬私人網路之特定應用程式存取之系統及方法 - Google Patents
用於對虛擬私人網路之特定應用程式存取之系統及方法 Download PDFInfo
- Publication number
- TWI549452B TWI549452B TW103119808A TW103119808A TWI549452B TW I549452 B TWI549452 B TW I549452B TW 103119808 A TW103119808 A TW 103119808A TW 103119808 A TW103119808 A TW 103119808A TW I549452 B TWI549452 B TW I549452B
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- network
- data
- private network
- electronic device
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本揭露內容一般來說是關於電子器件、網路方法及網路裝置,更詳細地說是關於虛擬私人網路。
虛擬私人網路(「VPN」)為使用者提供公共電信基礎設施內之安全且限制性私人網路,諸如網際網路。VPN可允許主機電腦跨共用及/或公共網路發送及接收資料,好像主機電腦為私人網路之整體部分(其具有私人網路之所有功能性、安全性及管理原則)一樣。
跨網際網路之VPN連接在技術上為站點之間的廣域網路(「WAN」)鏈路。更具體言之,可使用虛擬點對點連接經由專用連接、加密或其任何組合建立VPN。從使用者的角度講,以與自私人網路獲取之資源相同的方式存取擴展網路資源。為防止私人資訊洩漏,VPN通常僅允許經授權之遠端存取且使用加密技術。例如,VPN使用共用之公共基礎設施運行,同時經由安全程序及隧道協定維護隱私。因此,藉由在發送端處加密資料及在接收端處解密該資料,此等隧道協定經由「隧道」發送資料,未正確加密之資料無法「進入」該「隧道」。額外安全等級不僅可加密資料,亦可加密發送端與接收網路位址。
100‧‧‧系統
105‧‧‧電子器件
110‧‧‧虛擬私人網路
115‧‧‧VPN伺服器
120‧‧‧處理器
125‧‧‧VPN隧道
130‧‧‧記憶體
135‧‧‧規則
140‧‧‧應用程式
145‧‧‧網路程式庫
150‧‧‧VPN代理程式
160‧‧‧協力廠商外掛程式
210‧‧‧習知資料封包結構
211‧‧‧IP標頭
212‧‧‧UDP標頭
213‧‧‧另一IP標頭
214‧‧‧TCP標頭
215‧‧‧應用程式資料
220‧‧‧例示性資料封包結構
221‧‧‧IP標頭
222‧‧‧TCP標頭
223‧‧‧TLS標頭
224‧‧‧應用程式資料
300‧‧‧方法
310‧‧‧步驟
320‧‧‧步驟
330‧‧‧步驟
340‧‧‧步驟
345‧‧‧步驟
350‧‧‧步驟
360‧‧‧步驟
370‧‧‧步驟
380‧‧‧步驟
390‧‧‧步驟
圖1展示使用對虛擬私人網路(「VPN」)之特定應用程式存取之例示性系統。
圖2展示與用於對VPN之路由表存取之資料封包結構相比用於對VPN之特定應用程式存取之例示性資料封包結構。
圖3展示使用對VPN之特定應用程式存取之例示性方法。
本文中描述使用對虛擬私人網路(「VPN」)之特定應用程式存取之系統及方法。方法可包含自器件上執行之應用程式接收使網路資料流流向私人網路之請求,比較關聯於應用程式之識別資訊與儲存於器件之記憶體上之一組規則,其中該組規則識別該應用程式待授權以存取私人網路之條件,及在識別資訊滿足應用程式存取私人網路之條件後即建立用於網路資料流之連接。
本文中進一步描述一種系統,其包含:儲存複數個規則之記憶體;及處理器,該處理器自器件上執行之應用程式接收使網路資料流流向私人網路之請求,比較關聯於應用程式之識別資訊與儲存於器件上之一組規則,其中該組規則識別該應用程式待授權以存取私人網路之條件,及在識別資訊滿足應用程式存取私人網路之條件後即建立用於網路資料流之連接。
本文中進一步描述其上儲存有可執行程式之非暫時性電腦可讀儲存媒體,其中該程式指示處理器執行以下步驟:自器件上執行之應用程式接收使網路資料流流向私人網路之請求,比較關聯於應用程式之識別資訊與儲存於器件記憶體上之一組規則,其中該組規則識別該應用程式待授權以存取私人網路之條件,及在識別資訊滿足應用程式存取私人網路之條件後即建立用於網路資料流之連接。
例示性實施例可參照以下描述及所附圖式進一步理解,其中類似元件以相同參考數字進行指代。例示性實施例展示使用對VPN之特定應用程式存取之系統及方法。換言之,與過去之方法相反,本文中描述之例示性實施例可允許VPN在應用程式層級處在器件上建立一組規則。
習知VPN使用隧道協定,其中一個網路協定(例如,遞送協定)囊封不同有效負載協定。例如,使用隧道傳輸,系統可經由不相容遞送網路攜載有效負載,或經由不受信任網路提供安全路徑。隧道傳輸通常與分層協定模型形成對比,該模型諸如,開放系統互連(「OSI」)或傳輸控制協定/網際網路協定(「TCP/IP」)之模型。遞送協定可在該模型內以高於有效負載協定之層級或相同層級運行。
使用IP層方法隧道傳輸IP封包之習知方法,其中IP路由表用於決定將隧道傳輸哪些封包。根據此習知方法,應用程式將資料寫入至通訊端,TCP/IP堆疊將資料封包化於IP封包中,及將IP封包路由至隧道。應注意,按照此方法,並無應用程式智慧嵌入進程中。換言之,所有應用程式存取相同IP路由表。任何應用程式可經由IP層VPN潛在地路由,且僅基於應用程式試圖存取之IP位址而受限。
在一些習知系統中,存取限制係針對器件(例如,VPN存取限於註冊為VPN使用者之某些器件)。為提供特定實例,X公司可維持VPN由其員工使用。X公司可分發運算器件(例如,桌上型電腦、膝上型電腦、平板電腦、筆記型電腦、智慧型電話等等)至員工。此等器件可為已向VPN註冊之器件,允許員工存取X公司之VPN。然而,在當今世界,辦公形態轉變為自帶器件辦公(「BYOD」)模式(例如,人們想擁有他們自己的器件,在無法存取雇主分發之器件時存取VPN,等等)。當VPN存取受器件限制時,由於使用者個人器件並非向X公司VPN註冊之器件,因此BYOD模式不起作用。
因此,本文中描述之例示性實施例可有利於此BYOD私人網路企業。此情形是因為與控制各個試圖存取之器件相反,企業可輕鬆控制哪些應用程式可存取VPN之事實。此外,特定應用程式存取系統及方法可使企業能夠執行訊務檢測,因為對於檢查而言,實際應用程式資料流係易於存取的。除此之外,習知檢測將要求企業執行傳統封包檢
測。
儘管一項例示性實施例描述特定應用程式VPN(其中特定應用程式經授權使用VPN隧道),但額外實施例可以任何數量之程序或程序之組合為特點,以允許存取VPN。例如,另一實施例可為應用程式層VPN,其中應用程式資料流經隧道傳輸至VPN。此外,本文中描述之例示性應用程式規則在實施中並未受限於應用層VPN之授權。換言之,本文中描述之例示性應用程式規則亦可經實施以授權特定應用程式使用IP層VPN。
根據本文中描述之系統及方法,例示性實施例可提供對VPN之特定應用程式存取。因此,當應用程式產生網路物件時,程式庫可將應用程式與一組規則進行匹配,該組規則指定允許哪些應用程式使用VPN隧道。若應用程式匹配此等規則中之一者,則與進入TCP/IP堆疊相反,網路資料流然後可經由VPN隧道導引。此特定應用程式VPN存取並未受特定器件限制且允許經授權VPN使用者使用任何器件存取VPN。應注意,VPN隧道可於授權使用者後建立。一旦建立,對隧道之存取隨後可受限於與規則匹配之應用程式。
本文中描述之例示性系統及方法提供對哪些應用程式已存取私人網路的控制。此存取之實施可經由應用程式VPN規則達成。另外,此等系統及方法可自與規則匹配之應用程式消除資料洩漏。因此,不與規則匹配之應用程式可免於經由VPN隧道發送資料。
應注意,儘管例示性實施例可為對私人電腦之基於應用的存取,但額外實施例不受此類方案之限制。例如,亦可使用存取私人網路之基於帳戶匹配系統。舉例而言,帳戶可包括使用者器件之郵件、聯繫人及/或行事曆帳戶。例示性基於帳戶之存取系統將於下文更詳細地描述。
不管藉由例示性實施例實施之匹配系統的類型為何(例如,基於
應用、基於帳戶等等),應注意實施例中之該組規則可藉由控制VPN之實體處的管理者產生。
圖1展示用於對VPN 110之特定應用程式存取之例示性系統100,該VPN用於執行任何數量之應用程式之器件105。例示性系統100可包括電子器件105,該電子器件具有處理器120及記憶體130,諸如非暫時性電腦可讀儲存媒體。器件105可為以下器件,諸如桌上型電腦、膝上型電腦、平板電腦、筆記型電腦、智慧型電話等等。系統100可允許應用程式140基於儲存於記憶體130內之一組規則135存取VPN 110中之VPN伺服器115,其中規則135指定哪些特定應用程式已存取VPN 110。
根據例示性實施例,器件105之應用程式140可與網路程式庫145連接。當應用程式140諸如經由TCP連接物件產生新資料流時,處理器120可使用程式庫145將應用程式140與該組規則135匹配。若應用程式140匹配已儲存規則135中之一者,則處理器120可經由VPN隧道125引導網路資料流,與進入TCP/IP堆疊相反。換言之,在被傳達至VPN 110之前,各個應用程式資料封包可遍歷網路堆疊(例如,TCP/IP堆疊)僅一次。
另外,網路流資料可自通訊端層導引至使用者空間中執行之VPN代理程式150進程。此外,VPN代理程式150進程可將網路資料傳遞至協力廠商外掛程式160,該協力廠商外掛程式經由隧道連接將資料隧道傳輸至VPN 110。應注意,儘管例示性系統100包括將資料隧道傳輸至VPN 110之協力廠商外掛程式160,但替代性實施例可包括用於將網路流資料隧道傳輸至VPN 110之第一方及/或整合資料傳輸組件。
由於網路資料可能在導引至VPN代理程式150之前並未遍歷TCP/IP堆疊,所以資料將不封包化且於VPN代理程式150中運行之協力廠商外掛程式160可能已存取與應用程式140所寫入之格式相同或相
似格式之網路資料流。當協力廠商外掛程式160自VPN隧道125接收資料時,處理器120可將資料寫回至通訊端之接收緩衝器。因此,接著可藉由處理器120通知應用程式140資料可用且其可自通訊端讀取資料。如上所述,網路資料可能僅需遍歷TCP/IP堆疊一次。舉例而言,網路資料可在協力廠商外掛程式160處理後到達TCP/IP堆疊,因此封包可經由網際網路路由。
根據系統100之例示性實施例,該組規則135可包括用於允許應用程式140存取VPN 110之任何數量的鑑認程序。例如,規則135可視情況使用唯一識別應用程式140之簽名識別符,識別應用程式140簽字方之指定要求,允許網域之清單,或唯一識別應用程式及/或帳戶之任何其他規則。因此,應用程式140之簽名識別符及指定要求可與呼叫應用程式之簽名匹配。若簽名識別符與指定要求匹配,且規則135中存在網域,則應用程式140試圖存取之私人網路中主機之主機名稱可與網域之清單尾碼匹配。若主機與名稱中任一者匹配,或若規則135中不存在網域,則應用程式140滿足規則135。
根據系統100之額外實施例,該組規則135可包括用於授權應用程式140存取VPN 110之基於帳戶之存取程序。例如,應用程式140可修改為使用識別帳戶之字串「標記」網路資料流,基於該帳戶建立網路存取。例示性帳戶可包括郵件帳戶、聯繫人清單、行事曆帳戶等等。識別帳戶之字串然後可與規則135中之帳戶識別符清單匹配。另外,亦可使用「萬用字元」帳戶,其中各個帳戶識別符與萬用字元帳戶匹配。因此,若存在與帳戶識別符之一者之匹配,或存在萬用字元帳戶,則帳戶滿足規則135。
雖然未展示於圖1中,但器件105亦可包括一或多個網路介面。網路介面除其他功能外可實施器件105中網路堆疊之較低層(例如,實體層與資料鏈路層,及/或以上之部分)。網路介面可為或包括組件,
諸如,收發器、處理器及/或特定目的DSP電路,及/或類比信號處理電路,用以實施有線/無線通信。器件105可包括一或多個網路介面,該等網路介面使用技術進行通信,該等技術諸如但不限於:乙太網路、WiFi(IEEE 802.11a/b/g/n/ac及/或其他IEEE 802.11技術)、蜂巢式技術(包括但不限於LTE、LTE-A、UMTS、CDMA2000及/或GSM-EDGE),及/或其他有線/無線通信技術。在器件105包括無線網路介面之例子中,器件105亦可包括耦接至無線網路介面之天線(亦未展示於圖1中)。每當本文件中描述器件105將資料傳達至VPN伺服器115/自VPN伺服器115傳達資料及/或經由VPN隧道125傳達資料時,此資料傳達可使用網路介面之一或多者進行。
圖2展示與用於對VPN之路由表存取之習知資料封包結構210相比用於對VPN之特定應用程式存取之例示性資料封包結構220。
如習知資料封包結構210說明,結構210包括具有源IP位址及目的地IP位址之IP標頭211、具有源埠及目的地埠之使用者資料報文協定(「UDP」)標頭212、另一IP標頭213、具有源埠及目的地埠之TCP標頭214,及應用程式資料215之有效負載。熟習此項技術者將瞭解UDP標頭212及TCP標頭213兩者位於IP套件之TCP/IP堆疊(例如,傳輸層)中。
與習知資料封包結構210相反,例示性結構220包括IP標頭221、TCP標頭222、傳輸層安全性(「TLS」)標頭223,及應用程式資料有效負載224。如上所述,此例示性網路資料流可經由VPN隧道引導,與進入TCP/IP堆疊相反。因此,例示性結構220可能不需要傳輸層部分之UDP標頭及IP標頭。
如上所述,對VPN之特定應用程式存取之例示性結構220允許網路內之改良訊務檢測。具體言之,因為資料並未包裹於IP/UDP層中,所以更易監視訊務。與習知資料封包結構210的傳統封包檢測相
反,在一些例子中,本文中描述之例示性系統及方法允許對實際應用程式資料流之檢測。應注意,在VPN代理程式150進程或VPN伺服器115內執行之任何篩選軟體可接收包裹於IP或TCP標頭中之應用程式資料,同時不包括IP UDP標頭。在封包被遞送至篩選系統之前,IP及UDP標頭將由TCP/IP堆疊剝離。因此,篩選系統將自TCP/IP堆疊接收部分封包,篩選器將接收習知資料封包結構210的IP標頭213、TCP標頭214及應用程式資料215。或者,針對例示性結構220,篩選器將接收應用程式資料224。
圖3展示使用對VPN 110之特定應用程式存取之例示性方法300。具體言之,方法300為網路資料流之綜述,包括應用程式140起動、設置VPN隧道125,並在應用程式140與VPN 110之VPN伺服器115之間傳達資料。方法300執行之步驟將參照上文參照圖1所述之例示性系統100及其組件進行描述。另外,應注意,方法300之每一步驟可藉由AppTunnel架構執行,該架構包括VPN代理程式150及可為系統100之實體硬體處理組件的處理器120。
在步驟310中,處理器120可自應用程式140接收一查詢,從而經由VPN通道115經由VPN 110與目的地主機連接。例如,此查詢可為網路上存取特定識別字串之網域名稱系統(「DNS」)查詢(例如,HTTP請求)。
在步驟320中,處理器120可自應用程式140產生網路物件,諸如TCP連接物件。網路物件可用於在應用程式140與例示性VPN 110之間建立新的網路資料流。
在步驟330中,處理器120可使網路物件與儲存於系統100之記憶體130中之該組規則135匹配。例如,處理器120可獲得應用程式140之進程識別符(「PID/ID」)及用於應用程式140之目的地主機。因此,處理器120可於規則135內進行查找應用程式140之PID/IP及目標主
機。
在步驟340中,處理器120可決定應用程式140是否滿足規則135。若隧道規則135指定網路資料流可經隧道傳輸至VPN 110,則方法300可推進到步驟350。然而,若應用程式140不滿足規則135,在步驟345中可拒絕應用程式140存取VPN 110。
在步驟350中,處理器120可決定應用程式140是否藉由名稱指定目的地主機。若應用程式140指定目的地,則方法300可推進至步驟360。然而,若應用程式140並未命名主機目的地,則應用程式140可繞過DNS解析,且方法可推進至步驟370。
在步驟360中,處理器120發送主機名稱至VPN代理程式150之協力廠商外掛程式160用以解析,且協力廠商外掛程式160可解析主機名稱及發送結果至處理器120。熟習此項技術者將瞭解主機名稱解析允許順利映射主機名稱至IP位址,其中主機名稱為指派至IP節點之別名以將其識別為TCP/IP主機。
在步驟370中,處理器120可開啟核心程式至VPN伺服器115之導流通訊端(divert socket)。例如,處理器120可開啟至目的地主機之通訊端且TCP連接物件可設置指示網路流資料應隧道傳輸至VPN伺服器115的通訊端選項。與使TCP連接物件設置通訊端選項相反,處理器120可替代地設置通訊端篩選器中的規則,其指示特定PID/ID及主機組合應被允許經由VPN伺服器110隧道傳輸。
在步驟380中,處理器120可使用VPN伺服器115建立網路資料流。換言之,在自通訊端上之應用程式140接收資料後,核心程式中之通訊端篩選器即可發送資料至協力廠商外掛程式160用以隧道傳輸。
在步驟390中,處理器120可經由VPN隧道125在VPN 110與應用程式140之間傳達資料。當協力廠商外掛程式160自通向應用程式140
之隧道接收資料時,協力廠商外掛程式160可發送資料至核心程式中之通訊端篩選器。通訊端篩選器可將資料定位於通訊端之接收緩衝器中,且應用程式140然後可自通訊端讀取資料。
應注意,簽名識別符、指定要求、帳戶識別及主機名稱匹配僅為任何數量之規則之實例,該等規則可用於唯一識別應用程式及/或用於VPN存取之其他特性。因此,用於識別應用程式之替代規則可於方法300期間執行。
上述例示性實施例提供對無需使用TCP/IP層之私人網路之特定應用程式存取。具體言之,起源於某些應用程式之網路資料可經由VPN隧道路由,而所有其他訊務可於VPN外路由。應注意,在一些例子中,特定應用程式路由可允許核心程式之通訊端映射至將其開啟之應用程式的應用程式識別符。
如上所述,可基於用於VPN存取之一組規則對應用程式識別符執行查找。若查找滿足規則,可獲得網路介面且路由通訊端選項設置於通訊端上。因此,由通訊端產生之所有訊務可路由至指定的網路介面。
上述例示性實施例可以任何數量之實施程序實施以確保僅滿足該組規則之應用程式可允許使用例示性VPN。例如,在「白名單」程序中(其中特定應用程式可路由至VPN 110),在規則135中可藉由不裝設至VPN隧道125之任何路由來達成實施。存取VPN 110則可受白名單中之一組應用程式限制。或者,在「黑名單」程序中,特定應用程式可不路由至VPN 110,實施可確保此等應用程式使用之通訊端不經由VPN隧道125路由。換言之,即使經由通訊端選項明確劃定範圍,此等黑名單應用程式亦可不侷限於VPN介面。
另一實施之實施例可增強訊務篩選(例如,封包篩選器)以支援基於應用程式識別符之規則。另外,此實施例亦可作為用於應用程式防
火牆之替代實施。
熟習此項技術者將顯而易見,在不脫離本發明之精神或範疇之情況下,可在本發明中進行各種修改。因此,倘若本發明之修改及變化在所附申請專利範圍及其等效物之範疇內,則本發明意欲涵蓋本發明之該等修改及變化。
300‧‧‧方法
310‧‧‧步驟
320‧‧‧步驟
330‧‧‧步驟
340‧‧‧步驟
345‧‧‧步驟
350‧‧‧步驟
360‧‧‧步驟
370‧‧‧步驟
380‧‧‧步驟
390‧‧‧步驟
Claims (20)
- 一種網路方法,其包含:於包括一處理器、一記憶體及一網路介面之一電子器件處:藉由在該電子器件上執行之一應用程式產生使一網路資料流流向一私人網路之一請求;比較與該應用程式關聯之識別資訊與儲存於該記憶體上之一組規則,其中該組規則識別該應用程式可被授權以存取該私人網路之條件;及在該識別資訊滿足該應用程式存取該私人網路之該等條件後即建立用於該網路資料流之一連接,其中該網路資料流被導引至一虛擬私人網路(VPN)隧道且繞過一傳輸控制協定/網際網路協定(TCP/IP)堆疊。
- 如請求項1之網路方法,其進一步包含:經由該連接在該私人網路與該應用程式之間傳達應用程式資料。
- 如請求項1之網路方法,其進一步包含:自該應用程式接收一目的地主機名稱;提供該目的地主機名稱至一資料傳輸組件;及在該資料傳輸組件處基於該組規則解析該目的地主機名稱。
- 如請求項1之網路方法,其中該組規則包括識別允許存取該私人網路之該應用程式的一簽名識別符及識別允許存取該私人網路之該應用程式的一指定要求中之一者。
- 如請求項1之網路方法,其進一步包含:開啟一導流通訊端使應用程式資料於該應用程式至該電子器件之一資料傳輸組件之間流動,其中該資料傳輸組件將該網路 資料流直接導引至該私人網路。
- 如請求項5之網路方法,其中該導流通訊端涉及一通訊端篩選器,該通訊端篩選器使網路流資料定位於該應用程式可存取之一接收緩衝器中。
- 如請求項1之網路方法,其中該連接涉及設定一通訊端選項之一TCP連接物件,該通訊端選項指示該網路流資料將經由該連接隧道傳輸。
- 如請求項2之網路方法,其中在被傳達至該私人網路之前,該應用程式資料之每一封包遍歷一網路堆疊僅一次。
- 一種電子器件,其包含:一記憶體,其儲存複數個規則;及一處理器,其耦接至該記憶體且經組態以執行包括以下各者之動作:自該電子器件上執行之一應用程式接收使一網路資料流流向一私人網路之一請求;比較與該應用程式關聯之識別資訊與儲存於該電子器件上之該複數個規則中之一組規則,其中該組規則識別該應用程式可被授權以存取該私人網路之條件;及在該識別資訊滿足該應用程式存取該私人網路之該等條件後即建立用於該網路資料流之一連接,其中該網路資料流被導引至一虛擬私人網路(VPN)隧道且繞過一傳輸控制協定/網際網路協定(TCP/IP)堆疊。
- 如請求項9之電子器件,其中該處理器進一步經組態以執行:經由該連接在該私人網路與該應用程式之間傳達應用程式資料。
- 如請求項9之電子器件,其中該處理器進一步經組態以執行: 自該應用程式接收一目的地主機名稱;提供該目的地主機名稱至一資料傳輸組件;及在該資料傳輸組件處基於該組規則解析該目的地主機名稱。
- 如請求項9之電子器件,其中該組規則包括識別允許存取該私人網路之該應用程式的一簽名識別符及識別允許存取該私人網路之該應用程式的一指定要求中之一者。
- 如請求項9之電子器件,其中該處理器進一步經組態以執行:開啟一導流通訊端使應用程式資料於該應用程式至該器件之一資料傳輸組件之間流動,其中該資料傳輸組件將該網路資料流直接導引至該私人網路,及其中該導流通訊端包括一通訊端篩選器,該通訊端篩選器使網路流資料定位於該應用程式可存取之一接收緩衝器中。
- 如請求項9之電子器件,其中該連接為設定一通訊端選項之一TCP連接物件,該通訊端選項指示網路流資料將經由該連接隧道傳輸。
- 如請求項10之電子器件,其中在被傳達至該私人網路之前,該應用程式資料之每一封包遍歷一網路堆疊僅一次。
- 一種其上儲存有一可執行程式之非暫時性電腦可讀儲存媒體,其中該可執行程式指示一處理器執行包括以下各者之動作:自一電子器件上執行之一應用程式接收使一網路資料流流向一私人網路之一請求;比較與該應用程式關聯之識別資訊與儲存於該電子器件上之一組規則,其中該組規則識別該應用程式可被授權以存取該私人網路之條件;及在該識別資訊滿足該應用程式存取該私人網路之該等條件後即建立用於該網路資料流之一連接,其中該網路資料流被導引 至一虛擬私人網路(VPN)隧道且繞過一傳輸控制協定/網際網路協定(TCP/IP)堆疊。
- 如請求項16之電腦可讀儲存媒體,其中該等動作進一步包括:經由該連接在該私人網路與該應用程式之間傳達應用程式資料。
- 如請求項16之電腦可讀儲存媒體,其中該等動作進一步包括:自該應用程式接收一目的地主機名稱;提供該目的地主機名稱至一資料傳輸組件;及在該資料傳輸組件處基於該組規則解析該目的地主機名稱。
- 如請求項16之電腦可讀儲存媒體,其中該處理器進一步開啟一導流通訊端使應用程式資料於該應用程式至該電子器件之一資料傳輸組件之間流動,其中該資料傳輸組件將該網路資料流直接導引至該私人網路。
- 如請求項17之電腦可讀儲存媒體,其中在被傳達至該私人網路之前,該應用程式資料之每一封包遍歷一網路堆疊僅一次。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/911,789 US9143481B2 (en) | 2013-06-06 | 2013-06-06 | Systems and methods for application-specific access to virtual private networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201511508A TW201511508A (zh) | 2015-03-16 |
| TWI549452B true TWI549452B (zh) | 2016-09-11 |
Family
ID=51063820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103119808A TWI549452B (zh) | 2013-06-06 | 2014-06-06 | 用於對虛擬私人網路之特定應用程式存取之系統及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (3) | US9143481B2 (zh) |
| TW (1) | TWI549452B (zh) |
| WO (1) | WO2014197371A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140310606A1 (en) * | 2013-04-11 | 2014-10-16 | Xiaomi Inc. | Method and device for providing plugin in contact list |
| US20150095469A1 (en) * | 2013-09-30 | 2015-04-02 | Electronics And Telecommunications Research Institute | Identifier-based communication method using application program interface |
| CN105049431B (zh) * | 2015-06-30 | 2019-02-15 | 深信服科技股份有限公司 | 数据访问控制方法和装置 |
| US9762571B2 (en) * | 2015-10-19 | 2017-09-12 | Team Internet Ag | Securing connections to unsecure internet resources |
| US10404761B2 (en) | 2016-02-04 | 2019-09-03 | Airwatch, Llc | Segregating VPN traffic based on the originating application |
| US10713360B2 (en) * | 2016-02-19 | 2020-07-14 | Secureworks Corp. | System and method for detecting and monitoring network communication |
| CN107294800B (zh) * | 2016-04-11 | 2021-02-26 | 深圳平安通信科技有限公司 | 基于移动操作系统的网络数据访问控制方法及系统 |
| US10003670B2 (en) * | 2016-06-17 | 2018-06-19 | Airwatch Llc | Remote provisioning and enrollment of enterprise devices with on-premises domain controllers |
| US11599890B1 (en) * | 2016-12-22 | 2023-03-07 | Wells Fargo Bank, N.A. | Holistic fraud cocoon |
| CN107018063A (zh) | 2017-01-19 | 2017-08-04 | 阿里巴巴集团控股有限公司 | 基于应用的数据交互方法及装置 |
| US11283694B2 (en) * | 2017-07-20 | 2022-03-22 | Movius Interactive Corportion | System and method providing usage analytics for a mobile device |
| CN109547397B (zh) * | 2017-09-22 | 2021-09-28 | 台众电脑股份有限公司 | 网络安全管理系统 |
| TWI660605B (zh) * | 2017-09-22 | 2019-05-21 | 台眾電腦股份有限公司 | 網路安全管理系統 |
| US10992579B2 (en) * | 2019-07-19 | 2021-04-27 | Vmware, Inc. | Per-application split-tunneled proxy |
| US11190480B2 (en) | 2019-07-19 | 2021-11-30 | Vmware, Inc. | Transparently proxying connections based on hostnames |
| US11057340B2 (en) | 2019-07-19 | 2021-07-06 | Vmware, Inc. | Per-application split-tunneled UDP proxy |
| US11329883B2 (en) * | 2020-03-12 | 2022-05-10 | Fortinet, Inc. | Dynamic establishment of application-specific network tunnels between network devices by an SDWAN controller |
| US11652825B2 (en) * | 2021-08-09 | 2023-05-16 | International Business Machines Corporation | Packet authentication in a VXLAN system |
| US20230388272A1 (en) * | 2022-05-31 | 2023-11-30 | Microsoft Technology Licensing, Llc | Multiple Virtual Private Network Active Connection Management |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1298853A1 (en) * | 2000-06-16 | 2003-04-02 | Fujitsu Limited | Communication device including vpn accomodation function |
| US20040049294A1 (en) * | 1999-09-23 | 2004-03-11 | Agile Software Corporation | Method and apparatus for providing controlled access to software objects and associated documents |
| US20040088537A1 (en) * | 2002-10-31 | 2004-05-06 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| EP1494429A2 (en) * | 2003-06-30 | 2005-01-05 | Nokia Corporation | Method for implementing secure corporate communication |
| US7062642B1 (en) * | 2000-05-20 | 2006-06-13 | Ciena Corporation | Policy based provisioning of network device resources |
| US20060236370A1 (en) * | 2004-02-26 | 2006-10-19 | Packetmotion, Inc. | Network security policy enforcement using application session information and object attributes |
| US20070234418A1 (en) * | 2006-03-30 | 2007-10-04 | Samsung Electronics Co., Ltd. | Method and apparatus of remote access message differentiation in VPN endpoint routers |
| TW200915891A (en) * | 2007-06-12 | 2009-04-01 | Nec Corp | Communication apparatus and communication method |
| US20100281527A1 (en) * | 2004-02-26 | 2010-11-04 | PacketMotion, Inc., a California Corporation | Monitoring network traffic by using a monitor device |
| TW201218791A (en) * | 2010-08-31 | 2012-05-01 | Research In Motion Ltd | Network access |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
| US6636898B1 (en) | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
| US6789118B1 (en) * | 1999-02-23 | 2004-09-07 | Alcatel | Multi-service network switch with policy based routing |
| US20020010866A1 (en) * | 1999-12-16 | 2002-01-24 | Mccullough David J. | Method and apparatus for improving peer-to-peer bandwidth between remote networks by combining multiple connections which use arbitrary data paths |
| US20030217126A1 (en) | 2002-05-14 | 2003-11-20 | Polcha Andrew J. | System and method for automatically configuring remote computer |
| US7231664B2 (en) * | 2002-09-04 | 2007-06-12 | Secure Computing Corporation | System and method for transmitting and receiving secure data in a virtual private group |
| WO2004063843A2 (en) | 2003-01-15 | 2004-07-29 | Matsushita Electric Industrial Co., Ltd. | PEER-TO-PEER (P2P) CONNECTION DESPITE NETWORK ADDRESS TRANSLATOR (NATs) AT BOTH ENDS |
| US7478427B2 (en) | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| US7797752B1 (en) * | 2003-12-17 | 2010-09-14 | Vimal Vaidya | Method and apparatus to secure a computing environment |
| US8065418B1 (en) | 2004-02-02 | 2011-11-22 | Apple Inc. | NAT traversal for media conferencing |
| US8127045B2 (en) | 2004-09-13 | 2012-02-28 | Apple Inc. | Dynamically configurable connection on demand |
| US8166538B2 (en) | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
| US9942271B2 (en) | 2005-12-29 | 2018-04-10 | Nextlabs, Inc. | Information management system with two or more interactive enforcement points |
| US8495181B2 (en) | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
| US8869262B2 (en) | 2006-08-03 | 2014-10-21 | Citrix Systems, Inc. | Systems and methods for application based interception of SSL/VPN traffic |
| US8095786B1 (en) | 2006-11-09 | 2012-01-10 | Juniper Networks, Inc. | Application-specific network-layer virtual private network connections |
| US8316427B2 (en) * | 2007-03-09 | 2012-11-20 | International Business Machines Corporation | Enhanced personal firewall for dynamic computing environments |
| US8208900B2 (en) | 2008-03-04 | 2012-06-26 | Apple Inc. | Secure device configuration profiles |
| US8726007B2 (en) * | 2009-03-31 | 2014-05-13 | Novell, Inc. | Techniques for packet processing with removal of IP layer routing dependencies |
| US8966110B2 (en) * | 2009-09-14 | 2015-02-24 | International Business Machines Corporation | Dynamic bandwidth throttling |
| US9154426B2 (en) | 2011-10-31 | 2015-10-06 | Apple Inc. | Low-latency hole punching |
| US8990901B2 (en) * | 2012-05-05 | 2015-03-24 | Citrix Systems, Inc. | Systems and methods for network filtering in VPN |
| EP3364629B1 (en) * | 2012-10-15 | 2020-01-29 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US9380111B2 (en) * | 2012-10-17 | 2016-06-28 | Verizon Patent And Licensing Inc. | Feature peer network with scalable state information |
| US9210128B2 (en) * | 2012-10-25 | 2015-12-08 | Check Point Software Technologies Ltd. | Filtering of applications for access to an enterprise network |
| US9584523B2 (en) * | 2012-10-30 | 2017-02-28 | Hewlett Packard Enterprise Development Lp | Virtual private network access control |
| US9948675B2 (en) * | 2013-04-04 | 2018-04-17 | The Mitre Corporation | Identity-based internet protocol networking |
-
2013
- 2013-06-06 US US13/911,789 patent/US9143481B2/en active Active
-
2014
- 2014-03-31 US US14/231,209 patent/US20140366120A1/en not_active Abandoned
- 2014-06-02 WO PCT/US2014/040507 patent/WO2014197371A1/en active Application Filing
- 2014-06-06 TW TW103119808A patent/TWI549452B/zh active
-
2015
- 2015-08-17 US US14/827,953 patent/US10348686B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040049294A1 (en) * | 1999-09-23 | 2004-03-11 | Agile Software Corporation | Method and apparatus for providing controlled access to software objects and associated documents |
| US7062642B1 (en) * | 2000-05-20 | 2006-06-13 | Ciena Corporation | Policy based provisioning of network device resources |
| EP1298853A1 (en) * | 2000-06-16 | 2003-04-02 | Fujitsu Limited | Communication device including vpn accomodation function |
| US20040088537A1 (en) * | 2002-10-31 | 2004-05-06 | Microsoft Corporation | Method and apparatus for traversing a translation device with a security protocol |
| EP1494429A2 (en) * | 2003-06-30 | 2005-01-05 | Nokia Corporation | Method for implementing secure corporate communication |
| US20060236370A1 (en) * | 2004-02-26 | 2006-10-19 | Packetmotion, Inc. | Network security policy enforcement using application session information and object attributes |
| US20100281527A1 (en) * | 2004-02-26 | 2010-11-04 | PacketMotion, Inc., a California Corporation | Monitoring network traffic by using a monitor device |
| US20070234418A1 (en) * | 2006-03-30 | 2007-10-04 | Samsung Electronics Co., Ltd. | Method and apparatus of remote access message differentiation in VPN endpoint routers |
| TW200915891A (en) * | 2007-06-12 | 2009-04-01 | Nec Corp | Communication apparatus and communication method |
| TW201218791A (en) * | 2010-08-31 | 2012-05-01 | Research In Motion Ltd | Network access |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140366120A1 (en) | 2014-12-11 |
| US9143481B2 (en) | 2015-09-22 |
| US20140366081A1 (en) | 2014-12-11 |
| US10348686B2 (en) | 2019-07-09 |
| US20150358293A1 (en) | 2015-12-10 |
| WO2014197371A1 (en) | 2014-12-11 |
| TW201511508A (zh) | 2015-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
| US20200389437A1 (en) | Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter | |
| CA2912608C (en) | Selectively performing man in the middle decryption | |
| US9985799B2 (en) | Collaborative software-defined networking (SDN) based virtual private network (VPN) | |
| US10523636B2 (en) | Enterprise mobility management and network micro-segmentation | |
| US11700239B2 (en) | Split tunneling based on content type to exclude certain network traffic from a tunnel | |
| JP2016530814A (ja) | 大量のvpn接続を遮断するためのゲートウェイデバイス | |
| JP2008507929A (ja) | プライベートネットワークへの遠隔アクセスを安全にする方法およびシステム | |
| US20150188888A1 (en) | Virtual private network gateway and method of secure communication therefor | |
| CN103023898A (zh) | 一种访问vpn服务端内网资源的方法及装置 | |
| JP5270692B2 (ja) | セキュリティ実施ポイントへのセキュリティ・アソシエーション情報の選択的ロードのための方法、装置、およびコンピュータ・プログラム | |
| US11088996B1 (en) | Secure network protocol and transit system to protect communications deliverability and attribution | |
| US11689581B2 (en) | Segregating VPN traffic based on the originating application | |
| US20140123269A1 (en) | Filtering of applications for access to an enterprise network | |
| CN108989342B (zh) | 一种数据传输的方法及装置 | |
| AU2015301504B2 (en) | End point secured network | |
| US20210136106A1 (en) | Ssl/tls spoofing using tags | |
| US10079812B1 (en) | Secure content storage by customer-premises equipment | |
| EP3253004B1 (en) | Communication control device, communication control method, and communication control program | |
| Lu | Novel method for transferring access control list rules to synchronize security protection in a locator/identifier separation protocol environment with cross‐segment host mobility | |
| CN114268499A (zh) | 数据传输方法、装置、系统、设备和存储介质 | |
| WO2022219551A1 (en) | Computer-implemented methods and systems for establishing and/or controlling network connectivity |