CN102752220B - 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 - Google Patents
识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 Download PDFInfo
- Publication number
- CN102752220B CN102752220B CN201210250261.XA CN201210250261A CN102752220B CN 102752220 B CN102752220 B CN 102752220B CN 201210250261 A CN201210250261 A CN 201210250261A CN 102752220 B CN102752220 B CN 102752220B
- Authority
- CN
- China
- Prior art keywords
- sslvpn
- data flow
- service
- qos type
- iad
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种识别SSL?VPN数据流的服务质量QoS业务类型的方法及设备,其中,该方法包括:在监测到接收的数据流为SSL?VPN数据流之后,接入网关判断SSL?VPN数据流是否满足预设的QoS业务类型请求条件;若满足QoS业务类型请求条件,则接入网关向SSL?VPN数据流要转发到的SSL?VPN网关发送请求消息,其中,请求消息用于请求SSL?VPN数据流的QoS业务类型;接入网关从接收到的SSL?VPN网关针对请求消息返回的响应消息中,获取SSL?VPN数据流的QoS业务类型。本申请可以使得接入网关能够识别出接收到的SSL?VPN数据流的QoS业务类型。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种识别SSLVPN数据流的服务质量QoS业务类型的方法及设备。
背景技术
SSL(SecureSocketLayer,安全套接层)VPN(VirtualPrivateNetwork,虚拟私有网)是一种采用SSL协议来实现远程接入的新型VPN技术,它以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP协议)为基础。SSLVPN采用标准的SSL协议对传输中的数据包进行加密,从而在应用层保护了数据的安全性,广泛应用于基于Web(网页)的远程安全接入,为用户远程访问公司内部网络提供了安全保证。
典型的SSLVPN网络的组网架构如图1所示。SSLVPN网关位于企业网的边缘,介于企业网内的服务器与远程接入用户之间,控制二者的通信。管理员在SSLVPN网关上创建企业网内服务器对应的资源;之后,远程接入用户访问企业网内的服务器时,首先与SSLVPN网关建立HTTPS连接,选择需要访问的资源,由SSLVPN网关将访问请求转发给企业网内的服务器,从而达到保护企业网内的服务器的目的。
目前,随着SSLVPN应用的逐渐加温,越来越多的企业开始采纳SSLVPN的网络架构,来解决企业的远程访问需求。如图2所示,企业在总部部署SSLVPN网关,各个分支机构的局域网中的SSL客户端通过接入网关与总部的SSLVPN网关建立SSLVPN安全连接,然后通过SSLVPN网关的代理访问总部的内部服务器。具体的,SSL客户端首先对访问内部服务器的报文进行加密,然后发送给SSLVPN网关,SSLVPN网关对加密报文进行解密后发送给内部服务器;内部服务器发送给SSL客户端的报文的处理流程同上。
但是在上述组网中,接入网关只能够对SSL客户端与SSLVPN网关之间的SSLVPN数据流进行转发,由于SSLVPN数据流是加密的,从而接入网关无法识别出SSLVPN数据流的QoS(QualityofService,服务质量)业务类型,并根据其QoS业务类型进行相应的QoS处理。
发明内容
有鉴于此,本申请提供了一种识别SSLVPN数据流的服务质量QoS业务类型的方法及设备,以使得接入网关能够识别出接收到的SSLVPN数据流的QoS业务类型。
本申请的技术方案包括:
一方面,提供了一种识别SSLVPN数据流的QoS业务类型的方法,该方法用于包括接入网关和SSLVPN网关的SSLVPN网络中,该方法包括:在监测到接收的数据流为SSLVPN数据流之后,接入网关判断SSLVPN数据流是否满足预设的QoS业务类型请求条件;若满足QoS业务类型请求条件,则接入网关向SSLVPN数据流要转发到的SSLVPN网关发送请求消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型;接入网关从接收到的SSLVPN网关针对请求消息返回的响应消息中,获取SSLVPN数据流的QoS业务类型。
另一方面,还提供了一种识别SSLVPN数据流的QoS业务类型的方法,该方法用于包括接入网关和SSLVPN网关的SSLVPN网络中,该方法包括:SSLVPN网关接收接入网关发来的请求消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型;SSLVPN网关确定与SSLVPN数据流对应的解密后数据流;SSLVPN网关识别解密后数据流的QoS业务类型,并向接入网关返回响应消息,以便接入网关从响应消息中获取该识别出的QoS业务类型,作为SSLVPN数据流的QoS业务类型。
又一方面,还提供了一种路由转发设备,该设备用于包括接入网关和SSLVPN网关的SSLVPN网络中的接入网关,该设备包括:监测模块,用于监测接收到的数据流是否为SSLVPN数据流;判断模块,用于在监测模块监测到接收的数据流为SSLVPN数据流时,判断SSLVPN数据流是否满足预设的QoS业务类型请求条件;收发模块,用于在判断模块判断出SSLVPN数据流满足QoS业务类型请求条件时,向SSLVPN数据流要转发到的SSLVPN网关发送请求消息,以及,接收SSLVPN网关针对请求消息返回的响应消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型;获取模块,用于从响应消息中获取SSLVPN数据流的QoS业务类型。
又一方面,还提供了一种路由转发设备,该设备用于包括接入网关和SSLVPN网关的SSLVPN网络中的SSLVPN网关,该设备包括:收发模块,用于接收接入网关发来的请求消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型,以及,向接入网关返回响应消息,以便接入网关从响应消息中获取识别模块识别出的QoS业务类型,作为SSLVPN数据流的QoS业务类型;确定模块,用于确定与SSLVPN数据流对应的解密后数据流;识别模块,用于识别确定模块确定出的解密后数据流的QoS业务类型。
本申请中,接入网关在接收到SSLVPN数据流之后,可以向该SSLVPN数据流要转发到的SSLVPN网关发送请求消息,以请求该SSLVPN数据流的QoS业务类型,该SSLVPN网关在接收到该请求消息之后,会将QoS业务类型携带在响应消息中返回给接入网关,从而,接入网关能够识别得到该SSLVPN数据流的QoS业务类型,进而可以根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
附图说明
图1是现有技术中SSLVPN网络的组网架构示意图;
图2是现有技术中企业总部和分支机构采用SSLVPN组网的网络架构示意图;
图3是本申请实施例一SSLVPN网络中接入网关识别SSLVPN数据流的QoS业务类型方法的流程图;
图4是本申请实施例二SSLVPN网络中SSLVPN网关识别SSLVPN数据流的QoS业务类型方法的流程图;
图5是本申请实施例三接入网关的具体操作流程图;
图6是本申请实施例三SSLVPN网关的具体操作流程图;
图7是本申请实施例三请求消息和响应消息的报文格式示意图;
图8是如图7所示的报文格式中Data部分的格式示意图;
图9是本申请实施例四应用于接入网关的路由转发设备的结构示意图;
图10是本申请实施例四应用于SSLVPN网关的路由转发设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本申请进一步详细说明。
现有技术中,接入网关只能够对SSL客户端与SSLVPN网关之间的SSLVPN数据流进行转发,由于SSLVPN数据流是加密的,从而接入网关无法识别出SSLVPN数据流的QoS业务类型,并根据其QoS业务类型进行相应的QoS处理。针对现有技术存在的上述问题,本申请以下实施例中,接入网关在判断出接收到的SSLVPN数据流满足预先设置的QoS业务类型请求条件之后,会向该SSLVPN数据流要转发到的SSLVPN网关请求该SSLVPN数据流的QoS业务类型,并进而获得该SSLVPN数据流的QoS业务类型,这样,接入网关能够识别出接收到的SSLVPN数据流的QoS业务类型,从而能够根据其QoS业务类型对SSLVPN数据流进行相应的QoS处理,本申请中,SSLVPN数据流的QoS业务类型是指依据SSLVPN数据流所承载的加密数据流类型所确定的QoS业务类型。
实施例一
在如图2所示的SSLVPN组网中,为了使得各分支机构的接入网关能够识别SSLVPN数据流的QoS业务类型,接入网关侧的处理流程如图3所示,包括以下步骤:
步骤S302,接入网关监测到接收的数据流为SSLVPN数据流;
接入网关设备监控自身转发的数据流的信息,通过数据流的信息来判断该数据流是否为SSLVPN数据流。
步骤S304,接入网关判断该SSLVPN数据流是否满足预设的QoS业务类型请求条件,若满足,则进入步骤S306,若不满足,则进入步骤S308;
QoS业务类型请求条件在实际应用中可以根据实际需求进行预先设置,例如,QoS业务类型请求条件可以为SSLVPN数据流的持续时间超过预设的时间阈值,或者SSLVPN数据流的数量超过预设的数量阈值(或者为SSL数据流中的报文的总数量超过预设的报文数量阈值),或者这两个条件的结合,还可以为其他的判定条件,本申请对此不做限定。
步骤S306,接入网关向该SSLVPN数据流要转发到的SSLVPN网关发送请求消息,用于请求该SSLVPN数据流的QoS业务类型;
具体的,向该SSLVPN数据流的目的地址所指示的SSLVPN网关设备发送请求消息,以请求该SSLVPN数据流的QoS业务类型。QoS业务类型包括:视频、语音、HTTP(HyperTextTransferProtocol,超文本传输协议)、和FTP(FileTransferProtocol,文件传输协议)等。
步骤S308,按照现有技术的流程对该SSLVPN数据流进行转发处理,跳出本流程;
现有技术的流程一般是:将SSLVPN数据流做转发处理,如果在转发过程中需要对SSLVPN数据流进行QoS处理时,由于未获得SSLVPN数据流所承载的加密数据流类型故不能获得对应的QoS业务类型,所以只能根据报文的IP(InternetProtocol,因特网协议)头或者TCP(TransmissionControlProtocol,传输控制协议)头中的非加密字段对SSLVPN数据流做QoS分类识别和队列调度,不进行深层次的QoS识别处理。
步骤S310,接入网关从接收到的SSLVPN网关针对请求消息返回的响应消息中,获取该SSLVPN数据流的QoS业务类型,以便根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
本申请实施例中,接入网关在判断出接收到的SSLVPN数据流满足预先设置的QoS业务类型请求条件之后,会向该SSLVPN数据流要转发到的SSLVPN网关请求该SSLVPN数据流的QoS业务类型,并进而获得该SSLVPN数据流的QoS业务类型,这样,接入网关能够识别出接收到的SSLVPN数据流的QoS业务类型,从而能够根据其QoS业务类型对SSLVPN数据流进行相应的QoS处理。
实施例二
在如图2所示的SSLVPN组网中,为了使得各分支机构的接入网关能够识别SSLVPN数据流的QoS业务类型,总部的SSLVPN网关的处理流程如图4所示,包括以下步骤:
步骤S402,SSLVPN网关接收接入网关发来的请求消息(即实施例一中描述的用于请求SSLVPN数据流的QoS业务类型的请求消息);
该请求消息中可以携带有所请求的SSLVPN数据流的信息。
步骤S404,SSLVPN网关确定与该请求消息所请求的SSLVPN数据流对应的解密后数据流;
为了确定与所请求的SSLVPN数据流相对应的解密后数据流(解密后数据流即为所请求的SSLVPN数据流经解密后的数据流),SSLVPN网关可以在本地维护一张数据流信息对应表,该表可以采用已经建立好的其他信息表,也可以新建立一张表。该数据流信息对应表中记录了SSLVPN数据流与解密后数据流的信息之间的对应关系。这样,通过在该数据流信息对应表中,查找与请求消息中携带的SSLVPN数据流的信息相对应的解密后数据流信息,即可确定出与该SSLVPN数据流对应的解密后数据流。
步骤S406,SSLVPN网关识别在步骤S404中确定出的解密后数据流的QoS业务类型,并将识别出的QoS业务类型携带在响应消息中,发送给接入网关,以便接入网关从该响应消息中获取到所要请求的SSLVPN数据流的QoS业务类型,并根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
SSLVPN网关可以通过自身中的业务模块对解密后数据流进行分析得出该解密后数据流的QoS业务类型,然后将该QoS业务类型携带在响应消息中回复给接入网关,接入网关就可以根据SSLVPN网关返回的QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
实施例三
在实际应用中,如图5所示,接入网关可以按照以下流程进行操作:
步骤S502,接收数据流;
步骤S504,实时地监测接收到的数据流的信息,可以根据报文的五元组信息(源IP、目的IP、源端口、目的端口、和协议号)定义一条数据流,根据接收到的数据流的协议类型和目的端口,判断该数据流是否为SSLVPN数据流,如果判断出该数据流不是SSLVPN数据流,则进入步骤S506,如果判断出该数据流是SSLVPN数据流,则进入步骤S508;
上述步骤S502~S504对应于实施例一中的步骤S302。
步骤S506,按照现有技术的流程对数据流进行转发处理,跳出本流程;
该步骤S506对应于实施例一中的步骤S308。
步骤S508,由于只需要对要转发到SSLVPN网关的SSLVPN数据流进行QoS业务类型的识别,因此,可以在接入网关本地预先定义SSLVPN网关的地址,通过判断SSLVPN数据流的目的地址是否在本地预先定义的SSLVPN网关地址的范围内,来判断该SSLVPN数据流是否需要识别QoS业务类型,若不在SSLVPN网关地址的范围内,则确定该SSLVPN数据流不需要识别QoS业务类型,则进入步骤S506,若该SSLVPN数据流的目的地址在SSLVPN网关地址的范围内,则确定该SSLVPN数据流需要识别QoS业务类型,进入步骤S510;
步骤S510,统计该SSLVPN数据流持续的时间或者统计该SSLVPN数据流的总量;
步骤S512,判断该SSLVPN数据流持续的时间或者总量是否超过预设的阀值,若未超过,则进入步骤S506,若超过了,则进入步骤S514;
该步骤S508~S512对应于实施例一中的步骤S304。
步骤S514,将用于请求该SSLVPN数据流的QoS业务类型的请求消息发送给该数据流要转发到的SSLVPN网关,该请求消息中携带有该SSLVPN数据流的原始的五元组信息A和经过NAT(NetworkAddressTranslation,网络地址转换)处理后的五元组信息B(如果接入网关没有开启NAT功能,则A=B),该数据流要转发到的SSLVPN网关的地址可以从该数据流的目的地址获得;
本实施例中,五元组信息A和五元组信息B即为该SSLVPN数据流的信息。该步骤S514对应于实施例一中的步骤S306。
那么,接入网关在接收到SSLVPN网关回复的响应消息之后,会先判断该响应消息中是否包含有QoS业务类型,如果包含,则从该响应消息中获取到QoS业务类型,并根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理(对应于实施例一中的步骤S310);如果不包含,则仍然按照普通的SSLVPN数据流的处理流程处理该数据流,具体的,当接入网关最终没有识别获取到SSLVPN数据流对应的QoS业务类型,或者已经向SSLVPN网关发送了请求消息,但还没有得到回复(即没有接收到对应的响应消息)时,接入网关可以将该SSLVPN数据流放入默认队列或者预先为普通SSLVPN数据流定义的队列,之后会按照现有技术的流程对队列中的SSLVPN数据流进行转发处理。此处,现有技术的流程可以参见实施例一中的步骤S308,这里不再赘述。
相应地,如图6所示,SSLVPN网关为了配合接入网关识别出SSLVPN数据流的QoS业务类型,可以按照以下流程进行操作:
步骤S602,SSLVPN网关接收接入网关发来的请求消息;该步骤对应于实施例二中的步骤S402;
步骤S604,根据请求消息中包含的五元组信息B,从本地的数据流信息对应表中查找与五元组信息B对应的经过SSLVPN网关解密后的数据流的信息;
步骤S606,判断是否查找到解密后数据流的信息,若查找到了,则进入步骤S608,若数据流信息对应表中没有记录与五元组信息B对应的解密后数据流的信息,从而没有查找到与五元组信息B对应的解密后数据流的信息,则进入步骤S614;
步骤S608,假设查找到的解密后数据流的信息指示为解密后数据流C,从而,确定了与该SSLVPN数据流对应的解密后数据流为数据流C,SSLVPN网关通过现有的数据流识别技术,如:根据ACL定义的报文信息,报文中包含的特征码信息,报文长度信息等,识别解密后数据流C的QoS业务类型;
步骤S610,判断是否识别出了解密后数据流C的QoS业务类型,若识别出了,则进入步骤S612,若无法识别出,则进入步骤S614;
步骤S612,将识别出的QoS业务类型的标识填入响应消息中,并进入步骤S616;
QoS业务类型可以通过数字来标识,以避免SSLVPN数据流的信息泄露。这样,就需要预先在接入网关和SSLVPN网关中约定好各种QoS业务类型及其对应的数字标识,使接入网关可以正确解析SSLVPN网关填入的QoS业务类型。
步骤S614,将响应消息中QoS业务类型填为空值或者特定值,用于指示无法识别该SSLVPN数据流的QoS业务类型;
步骤S616,向接入网关回复响应消息。
步骤S604~S612对应于实施例二中的步骤S404~S406。
在实际应用中,请求消息和响应消息的报文格式可以采用如图7所示的格式,显然,也可以根据具体实现情况进行调整。
图7中,各个字符表示的含义解释如下:
OP:表示操作的类型,OP=1表示请求消息,OP=2表示响应消息;长度为1字节(octet);
ID:表示报文标识,用来匹配请求和响应消息的对应关系;请求消息中的ID为随机生成,而响应消息中的ID必须与其对应的请求消息中的ID一致;长度为2字节;
Count:表示请求或者响应消息中数据的个数;长度为1字节;
Data:表示负荷数据,其数据格式如图8所示。
图8中,各个字符表示的含义解释如下:
Index:表示SSLVPN数据流的索引,每个SSLVPN数据流的索引唯一;长度为4字节;
A:表示SSLVPN数据流经NAT转换前的五元组信息,由源IP、目的IP、协议号、源端口、和目的端口串接而成;长度为13个字节;
B:表示SSLVPN数据流经NAT转换后的五元组信息,由源IP、目的IP、协议号、源端口、和目的端口串接而成;长度为13个字节;
QoS:表示SSLVPN数据流的QoS业务类型的标识,请求消息中此值为全0,响应消息中由SSLVPN网关填入该SSLVPN数据流的QoS业务类型,如果无法识别出该SSLVPN数据流的QoS业务类型,则填全0或特定值;长度为2字节;
请求消息和响应消息在传输时,可以通过已有的IPSec(IP安全)/SSLVPN技术进行保护传输,在不泄露保密信息的情况下,上述消息也可以直接通过TCP/UDP(UserDatagramProtocol,用户数据报协议)协议传输,本申请对此不做限定。
实施例四
对应于实施例一中的方法,本申请实施例提供了一种应用于SSLVPN网络中的接入网关的路由转发设备,SSLVPN网络中包含有接入网关和SSLVPN网关,该接入网关能够在SSLVPN网关的配合下,识别得到SSLVPN数据流的QoS业务类型。如图9所示,该用于接入网关的路由转发设备10包括:监测模块102、判断模块104、收发模块106和获取模块108,其中:
监测模块102,用于监测收发模块106接收到的数据流是否为SSLVPN数据流;具体的监测方式可以参见实施例三,这里不再赘述。
判断模块104,用于在监测模块102监测到接收的数据流为SSLVPN数据流时,判断该SSLVPN数据流是否满足预设的QoS业务类型请求条件,其中,该QoS业务类型请求条件可以为SSLVPN数据流的持续时间超过预设的时间阈值、或者SSLVPN数据流的数量超过预设的数量阈值、或两者的结合,也可以是其他的条件。
收发模块106,用于在判断模块104判断出该SSLVPN数据流满足QoS业务类型请求条件时,向该SSLVPN数据流要转发到的SSLVPN网关(即该数据流的目的地址所指示的SSLVPN数据流)发送请求消息,以及,接收该SSLVPN网关针对该请求消息返回的响应消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型;
获取模块108,用于从收发模块106接收到的该响应消息中获取该SSLVPN数据流的QoS业务类型,以便该路由转发设备10能够根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
在实际应用中,判断模块104还可以在监测模块102监测到收发模块106接收的数据流为SSLVPN数据流之后,在判断该SSLVPN数据流是否满足预设的QoS业务类型请求条件之前,先判断该SSLVPN数据流的目的地址是否在预设的SSLVPN网关地址范围内,以确定该SSLVPN数据流是否需要识别QoS业务类型,若在范围内,则确定该SSLVPN数据流需要识别QoS业务类型,然后执行判断该SSLVPN数据流是否满足QoS业务类型请求条件的步骤;若不在范围内,则确定该SSLVPN数据流不需要识别QoS业务类型,该路由转发设备会按照现有处理流程处理该数据流。
本实施例还提供了一种应用于SSLVPN网络中的SSLVPN网关的路由转发设备,该SSLVPN网络中包含有接入网关和SSLVPN网关,该SSLVPN网关可以配合接入网关,使得接入网关能够识别出SSLVPN数据流的QoS业务类型。如图10所示,该用于SSLVPN网关的路由转发设备20包括:收发模块202、确定模块204和识别模块206,其中:
收发模块202,用于接收接入网关(如图9所示)发来的请求消息,其中,请求消息用于请求SSLVPN数据流的QoS业务类型,以及,向接入网关返回响应消息,以便接入网关从该响应消息中获取识别模块206识别出的QoS业务类型,作为该SSLVPN数据流的QoS业务类型;
确定模块204,用于确定与该SSLVPN数据流对应的解密后数据流;
识别模块206,用于识别确定模块204确定出的解密后数据流的QoS业务类型。
在实际应用中,接入网关发来的请求消息中会携带有所请求的SSLVPN数据流的信息,则,确定模块204通过在数据流信息对应表中,查找与SSLVPN数据流的信息对应的解密后数据流信息,来确定与该SSLVPN数据流对应的解密后数据流,其中,数据流信息对应表中记录了SSLVPN数据流与解密后数据流的信息之间的对应关系。
综上,本申请以上实施例可以达到以下技术效果:
本申请上述实施例中,接入网关在接收到SSLVPN数据流(为加密的数据流)之后,可以向该SSLVPN数据流要转发到的SSLVPN网关发送请求消息,以请求该SSLVPN数据流的QoS业务类型,SSLVPN网关在接收到该请求消息之后,会查找与该SSLVPN数据流相对应的解密后数据流,并识别该解密后数据流的QoS业务类型,然后将该QoS业务类型携带在响应消息中返回给接入网关,从而,接入网关能够识别得到该SSLVPN数据流的QoS业务类型,进而可以根据该QoS业务类型对该SSLVPN数据流进行相应的QoS处理。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种识别安全套接层SSL虚拟私有网VPN数据流的服务质量QoS业务类型的方法,用于包括接入网关和SSLVPN网关的SSLVPN网络中,其特征在于,包括:
在监测到接收的数据流为SSLVPN数据流之后,所述接入网关判断所述SSLVPN数据流是否满足预设的QoS业务类型请求条件;
若满足所述QoS业务类型请求条件,则所述接入网关向所述SSLVPN数据流要转发到的SSLVPN网关发送请求消息,其中,所述请求消息用于请求所述SSLVPN数据流的QoS业务类型;
所述接入网关从接收到的所述SSLVPN网关针对所述请求消息返回的响应消息中,获取所述SSLVPN数据流的QoS业务类型。
2.根据权利要求1所述的方法,其特征在于,所述QoS业务类型请求条件包括以下至少之一:SSLVPN数据流的持续时间超过预设的时间阈值,SSLVPN数据流的总量超过预设的数量阈值。
3.根据权利要求1或2所述的方法,其特征在于,在监测到接收的数据流为SSLVPN数据流之后,在判断所述SSLVPN数据流是否满足预设的QoS业务类型请求条件之前,还包括:
所述接入网关判断出所述SSLVPN数据流的目的地址在预设的SSLVPN网关地址范围内,以确定所述SSLVPN数据流需要识别QoS业务类型。
4.根据权利要求1所述的方法,其特征在于,所述接入网关开启了网络地址转换NAT,所述请求消息中包含有:所述SSLVPN数据流的原始的五元组信息和经过NAT后的五元组信息。
5.一种识别安全套接层SSL虚拟私有网VPN数据流的服务质量QoS业务类型的方法,用于包括接入网关和SSLVPN网关的SSLVPN网络中,其特征在于,包括:
所述SSLVPN网关接收所述接入网关发来的请求消息,其中,所述请求消息用于请求SSLVPN数据流的QoS业务类型;
所述SSLVPN网关确定与所述SSLVPN数据流对应的解密后数据流;
所述SSLVPN网关识别所述解密后数据流的QoS业务类型,并向所述接入网关返回响应消息,以便所述接入网关从所述响应消息中获取识别出的QoS业务类型,作为所述SSLVPN数据流的QoS业务类型。
6.根据权利要求5所述的方法,其特征在于,所述请求消息中携带有所述SSLVPN数据流的信息,则,所述SSLVPN网关确定与所述SSLVPN数据流对应的解密后数据流包括:
所述SSLVPN网关在数据流信息对应表中,查找与所述SSLVPN数据流的信息对应的解密后数据流信息,其中,所述数据流信息对应表中记录了SSLVPN数据流的信息与解密后数据流的信息之间的对应关系。
7.一种路由转发设备,用于包括接入网关和安全套接层SSL虚拟私有网VPN网关的SSLVPN网络中的接入网关,其特征在于,包括:
监测模块,用于监测接收到的数据流是否为SSLVPN数据流;
判断模块,用于在所述监测模块监测到接收的数据流为SSLVPN数据流时,判断所述SSLVPN数据流是否满足预设的服务质量QoS业务类型请求条件;
收发模块,用于在所述判断模块判断出所述SSLVPN数据流满足所述QoS业务类型请求条件时,向所述SSLVPN数据流要转发到的SSLVPN网关发送请求消息,以及,接收所述SSLVPN网关针对所述请求消息返回的响应消息,其中,所述请求消息用于请求所述SSLVPN数据流的QoS业务类型;
获取模块,用于从所述响应消息中获取所述SSLVPN数据流的QoS业务类型。
8.根据权利要求7所述的路由转发设备,其特征在于,所述QoS业务类型请求条件包括以下至少之一:SSLVPN数据流的持续时间超过预设的时间阈值,SSLVPN数据流的总量超过预设的数量阈值。
9.根据权利要求7或8所述的路由转发设备,其特征在于,所述判断模块还用于在所述监测模块监测到接收的数据流为SSLVPN数据流时,在判断所述SSLVPN数据流是否满足预设的QoS业务类型请求条件之前,先判断出所述SSLVPN数据流的目的地址在预设的SSLVPN网关地址范围内,以确定所述SSLVPN数据流需要识别QoS业务类型。
10.一种路由转发设备,用于包括接入网关和安全套接层SSL虚拟私有网VPN网关的SSLVPN网络中的SSLVPN网关,其特征在于,包括:
收发模块,用于接收所述接入网关发来的请求消息,其中,所述请求消息用于请求SSLVPN数据流的服务质量QoS业务类型,以及,向所述接入网关返回响应消息,以便所述接入网关从所述响应消息中获取识别模块识别出的QoS业务类型,作为所述SSLVPN数据流的QoS业务类型;
确定模块,用于确定与所述SSLVPN数据流对应的解密后数据流;
所述识别模块,用于识别所述确定模块确定出的所述解密后数据流的QoS业务类型。
11.根据权利要求10所述的路由转发设备,其特征在于,所述请求消息中携带有所述SSLVPN数据流的信息,则,所述确定模块用于通过在数据流信息对应表中,查找与所述SSLVPN数据流的信息对应的解密后数据流信息,来确定与所述SSLVPN数据流对应的解密后数据流,其中,所述数据流信息对应表中记录了SSLVPN数据流的信息与解密后数据流的信息之间的对应关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210250261.XA CN102752220B (zh) | 2012-07-19 | 2012-07-19 | 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210250261.XA CN102752220B (zh) | 2012-07-19 | 2012-07-19 | 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752220A CN102752220A (zh) | 2012-10-24 |
| CN102752220B true CN102752220B (zh) | 2016-04-06 |
Family
ID=47032124
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210250261.XA Active CN102752220B (zh) | 2012-07-19 | 2012-07-19 | 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752220B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360247B (zh) * | 2014-01-20 | 2019-02-26 | 华为技术有限公司 | 处理业务的方法和网络设备 |
| CN105610665B (zh) * | 2015-07-29 | 2019-06-18 | 哈尔滨工业大学(威海) | 一种适用于移动设备的vpn协议 |
| CN107154917B (zh) * | 2016-03-03 | 2020-06-02 | 华为技术有限公司 | 数据传输方法及服务器 |
| CN105897512B (zh) * | 2016-05-10 | 2019-09-10 | 国网冀北电力有限公司信息通信分公司 | 一种虚拟专用网络vpn的监测方法及系统 |
| CN107425995A (zh) * | 2016-05-24 | 2017-12-01 | 中兴通讯股份有限公司 | 双向测量控制方法、发送业务设备及接收业务设备 |
| CN107786448B (zh) * | 2016-08-30 | 2021-11-19 | 华为技术有限公司 | 建立业务流的转发路径的方法和装置 |
| US10757161B2 (en) * | 2017-01-09 | 2020-08-25 | Citrix Systems, Inc. | Learning technique for QoS based classification and prioritization of SAAS applications |
| CN108401262A (zh) * | 2018-02-06 | 2018-08-14 | 武汉斗鱼网络科技有限公司 | 一种终端应用通信数据获取与分析的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101267319A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种下发策略计费控制规则的方法 |
| CN101414940A (zh) * | 2007-10-16 | 2009-04-22 | 华为技术有限公司 | 以太网业务的建立方法、网元设备和网络系统 |
| CN101500277A (zh) * | 2008-02-03 | 2009-08-05 | 华为技术有限公司 | 一种接入网获取QoS信息的方法、设备和系统 |
| CN101730174A (zh) * | 2009-05-08 | 2010-06-09 | 中兴通讯股份有限公司 | 演进的分组系统中实现跨系统切换的方法及系统 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
-
2012
- 2012-07-19 CN CN201210250261.XA patent/CN102752220B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414940A (zh) * | 2007-10-16 | 2009-04-22 | 华为技术有限公司 | 以太网业务的建立方法、网元设备和网络系统 |
| CN101500277A (zh) * | 2008-02-03 | 2009-08-05 | 华为技术有限公司 | 一种接入网获取QoS信息的方法、设备和系统 |
| CN101267319A (zh) * | 2008-04-30 | 2008-09-17 | 中兴通讯股份有限公司 | 一种下发策略计费控制规则的方法 |
| CN101730174A (zh) * | 2009-05-08 | 2010-06-09 | 中兴通讯股份有限公司 | 演进的分组系统中实现跨系统切换的方法及系统 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752220A (zh) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102752220B (zh) | 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备 | |
| US9294450B2 (en) | Selectively performing man in the middle decryption | |
| EP2001165B1 (en) | Method and system for measuring network performance | |
| US9813447B2 (en) | Device and related method for establishing network policy based on applications | |
| US9256636B2 (en) | Device and related method for application identification | |
| US20160191568A1 (en) | System and related method for network monitoring and control based on applications | |
| US20160044106A1 (en) | Device and related method for dynamic traffic mirroring | |
| KR20150020530A (ko) | 다중 터널 가상 사설 네트워크 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| EP2974355B1 (en) | A device and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| EP4262148B1 (en) | Network security with server name indication | |
| Budiyanto et al. | Comparative Analysis of VPN Protocols at Layer 2 Focusing on Voice over Internet Protocol | |
| CN106161561A (zh) | 一种实现区分服务的方法、装置及负载均衡服务器 | |
| Carvajal et al. | Detecting unprotected SIP-based Voice over IP traffic | |
| US20160112488A1 (en) | Providing Information of Data Streams | |
| US11689444B2 (en) | Edge networking devices and systems for identifying a software application | |
| US11968237B2 (en) | IPsec load balancing in a session-aware load balanced cluster (SLBC) network device | |
| CN106506718B (zh) | 基于多重NAT纯IPv6网络的IVI过渡方法及网络系统 | |
| Ruban et al. | The method of hidden terminal transmission of network attack signatures | |
| Radmand et al. | The impact of security on VoIP call quality | |
| Kheddar et al. | Implementation of steganographic method based on IPv4 identification field over NS-3 | |
| Steinberger et al. | Exchanging security events of flow-based intrusion detection systems at internet scale | |
| CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| Chaudhary et al. | Demystifying video traffic from IoT (spy) camera using undecrypted network traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |