专利名称:安全数据连接请求的重定向的制作方法
安全数据连接请求的重定向
背景技术:
如今客户机设备与安全网络之间的远程连接是常见的。例如,身处公司办公室外部的携带客户机设备(如,膝上型计算机)的员工可与公司网络建立远程连接以访问受保护的文件与数据。大的系统一般具有多于一个的进入安全网络的入口点。对于特定客户机,取决于诸如该客户机的位置等不同的参数,一个入口点可能相对于另一个入口点更为合适。例如, 当一个安全网络具有多个入口点时,特定的入口点可能相对于另一个入口点更适合于特定的客户机。在这样的情况下,如果客户机被配置成经由不合适的入口点连接到该安全网络, 可能需要手动地将该客户机配置为经由更合适的入口点连接到该安全网络。当该客户机接着移动到另一个位置的时候,不同的入口点可能变得更合适,则需要再次手动地配置该客户机。
发明内容
公开了标识安全数据网络中的目标组的安全数据连接请求的处理方法。该目标组可能是目标服务器、客户机计算机或者其他计算设备。按照该方法,客户机经由第一网关试图启动与目标服务器的安全数据连接。该第一网关应用逻辑以确定是否有客户机应该使用来连接到目标服务器的备选网关(如,第二网关)。该第二网关可以是相比第一网关,对客户机更合适的入口点。当确定了该第二网关是更合适的或者优选的入口点时,第一网关将客户机重定向以启动向第二网关的连接请求。每一次客户机试图连接到目标服务器时,可自动地发生对于客户机连接请求是否应该从第一网关重定向到第二网关的判定。一旦被重定向,客户机可经由第二网关建立到目标服务器的连接。提供本概述以便以简化形式介绍在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
图1是系统的特定实施例的图,该系统支持具有经由网关的客户机连接重定向的安全数据连接;图2是系统的另一个特定实施例的框图,该系统支持具有使用重定向判定服务的客户机重定向的安全数据连接;图3是目标服务器的特定实施例的框图,其中客户机可经由图1或图2系统中的网关访问该目标服务器;图4是系统的特定实施例的图,该系统支持具有经由VPN入口点的客户机重定向的安全数据连接;图5是处理安全数据连接请求的方法的特定实施例的流程图;图6是处理安全数据连接请求的方法的另一个特定实施例的流程图7是处理安全数据连接请求的方法的另一个特定实施例的流程图;图8是处理安全数据连接请求的方法的另一个特定实施例的流程图;和图9是可操作地支持如图1-8中所示的计算机实现的方法、计算机程序产品以及计算机系统组件的各实施例的计算环境的框图。
具体实施例方式在特定实施例中,公开了一种方法,其包括从第一网关处接收来自客户机设备的第一安全数据连接请求。该第一安全数据连接请求标识了目标服务器。该方法包括从第一网关发送重定向消息给客户机设备,指示该客户机设备发送第二安全数据连接请求给备选网关(如,第二网关),从而该客户机设备经由该第二网关启动向目标服务器的安全数据连接。在另一个特定实施例,公开了含有服务器的系统,其中使用安全数据连接的客户机经由网关可访问该服务器。该系统包括多个网关。每个网关能从客户机设备处接收安全数据连接请求。每个网关还能与至少一个其他网关通信。每个网关能发送重定向消息给客户机设备,指示该客户机设备向不同的网关发送安全数据连接请求。每个网关还能促进客户机设备与目标服务器之间或直接或经由不同网关进行的安全数据连接。在另一个特定实施例中,公开了一种计算可读介质。该计算机可读介质包括指令, 当由计算机执行该指令时,导致该计算机从第一网关处接收来自客户机设备的第一超文本传输协议安全(HTTPQ连接请求。该第一 HTTPS连接请求标识了目标服务器。该计算机可读介质还包括指令,当由计算机执行该指令时,导致该计算机从第一网关发送HTTP重定向消息给客户机设备,指示该客户机设备发送第二 HTTPS连接请求给第二网关。该HTTP重定向消息指定了第二网关的地址,从而经由该第二网关启动该客户机设备与目标服务器之间的连接。在特定实施例中,该第一网关是虚拟专用网络(VPN)网关,且第二网关是VPN网关。 还可使用其他使用HTTPS传输机制的连接技术。图1是系统100的特定实施例的图,该系统支持具有经由网关的客户机连接重定向的安全数据连接。该系统100包括驻留在诸如防火墙保护的数据网络之内的安全数据网络104中的目标服务器102。该系统包括多个网关。在图示实施例中,多个网关包括第一网关120和第二网关130。第一网关120和第二网关130是为说明目的而示出的代表性网关。客户机设备,诸如客户机计算机110、客户机移动设备111和客户机自助服务终端 (kisok) 112可向多个网关中的任何一个发送标识目标服务器102的安全数据连接请求。例如,为请求到目标服务器102的安全数据连接,客户机计算机110向第一网关 120发送第一安全数据连接请求140。该第一安全数据连接请求140标识了目标服务器102。 例如,该第一安全数据连接请求140可通过指定与目标服务器102相关的IP地址来标识目标服务器102。第一网关120含有处理逻辑122,其含有重定向判定逻辑124。一旦在第一网关120处接收到第一安全数据连接请求140,该重定向判定逻辑IM确定要指示第一客户机计算机110尝试经由第二网关130的安全数据连接。例如,可确定第二网关130相比第一网关120对客户机计算机110而言更优选,因为第二网关130位于距客户机计算机110更近之处,或者因为该第二网关130不如第一网关120那样忙碌。因此,第一网关130向客户机计算机110发送重定向消息142。该重定向消息142含有引导客户机计算机110向第二网关130发送第二安全数据连接请求144的指令。一旦接收到该重定向消息142,客户机计算机110向第二网关130发送第二安全数据连接请求144。该第二网关130含有处理逻辑 132,其建立客户机计算机110和目标服务器102之间经由第二网关130的安全数据连接。 应该注意的是图1的实施例,其中客户机计算机110在一次重定向之后连接到目标服务器 102,这是说明性的而不是限制性的。在特定实施例中,在连接到目标服务器102之前,客户机计算机110可被引导多于一次。可使用安全协议传送安全数据连接请求,诸如第一安全数据连接请求140和第二安全数据连接请求144。安全协议的示例包括超文本传输协议安全(HTTPS)和安全套接字隧道协议(SSTP)。还可使用另一个传输机制,诸如因特网协议第6版(IPv6-HTTPS)。不需要使用同样的安全协议传送第一安全数据连接请求140和第二安全数据连接请求144。例如,可在HTTPS上传送第一安全数据连接请求140,在SSTP上传送第二安全数据连接请求 144。可在诸如超文本传输协议(HTTP)之类的未加密协议上传输重定向消息,诸如来自第一网关120的重定向消息142。可使用安全网络框架来建立客户机设备与目标服务器102之间的安全数据连接。 说明性的安全网络框架实现是虚拟专用网络(VPN)。可使用VPN的各种实现,诸如基于安全套接字层的VPN(SSL-VPN)、基于因特网协议安全(IPkc)的VPN、开放的VPN(OpenVPN)和基于点对点隧道协议的VPN(PPTP-VPN)。重定向消息142和第二安全数据连接请求144 二者均可被自动地发送或接收,也就是说,不需要客户机计算机110处的任何用户动作。这样,不需要客户机计算设备110的手动重新配置去将安全数据连接请求发送给第二网关130,而不是第一网关120。因此可以理解的是图1的系统提供了客户机设备安全数据连接请求从一个网关到另一网关的自动重定向,无需客户机设备手动重新配置,藉此减少了客户机设备用于建立安全数据连接的所需要的时间与精力。还要注意的是尽管图1的系统示出了与安全数据网络中的目标服务器的安全数据连接,图1的系统还可支持在安全数据网络之外的客户机计算机和安全数据网络内的客户机计算机之间的安全对等数据连接。进一步,应该注意的是尽管图1的系统示出与位于安全数据网络中的一个位置, 也就是与安全数据网络104中的目标服务器102的安全数据连接,但还可使用图1的系统来建立与安全数据网络中多于一个的目标计算设备的安全数据连接。例如,如上所述的,在客户机计算机110已经经由第二网关130建立了与目标服务器102的第一安全数据连接之后,在保持第一安全数据连接的情况下,客户机计算机110可试图建立与安全数据网络104 中的第二目标服务器(未示出)建立第二安全数据连接。在这个示例中,客户机计算机110 可试图经由第二网关130建立第二安全数据连接,该第二网关130可将客户机计算机110 重定向到第一网关120,则客户机计算机110可经由该第一网关120建立到第二目标服务器的第二安全数据连接。在特定实施例中,第二网关130可将客户机计算机110重定向到第一网关120以实现负载平衡或为了其它目的。因此可以理解的是图1的系统支持在同一个客户机计算机与在同一个安全数据网络中的一个或多个目标设备之间建立多个安全数据连接。图2是系统200的另一个特定实施例的框图,该系统支持具有使用重定向判定服务的客户机重定向的安全数据连接。在特定实施例中,图2的系统可包括很多与参照图1所述的相同或类似的特征。相应地,为简化关于图2的描述,在图1所示系统与图2所示系统中可能是相同或类似的特征被给予了相同的参考标号。图2的系统200包括能向多个网关发送安全数据连接请求的客户机设备210。 例如,在图2所示实施例中,多个网关包括第一网关120和第二网关130。每个网关能与至少一个其他网关通信。例如,在图2中,第一网关120和第二网关130能进行网关间 (inter-gateway)通信M0。每个网关还能与重定向判定服务270通信。客户机设备210包括客户机连接属性220和HTTP连接指令230。在特定实施例中, 该客户机连接属性220和HTTP连接指令230可位于客户机设备的存储器上。在另一个特定实施例中,客户机设备210可以是诸如图1中的客户机计算机110的计算机,诸如图1中的移动设备111的移动设备或者诸如图1中的客户机自助终端设备112的自助终端设备。 客户机连接属性可包括客户机210的客户机标识符(ID) 221、客户机设备210的位置222、 客户机设备210的优先级别223、与该客户机设备210相关的一个或多个服务质量指示符 224以及与该客户机210相关的一个或多个动态评估的属性225,以及其他可选的。客户机连接属性220还可包括最后使用以建立安全数据连接的网关的地址226、随机网关地址227 和分配给客户机设备210的默认网关地址228。在特定实施例中,客户机连接属性220可包括为客户机设备210所连接过的每一个本地网络而最后使用的网关226。也就是,客户机连接属性220可包括为客户机已访问的每一个网络而最后使用的网关226。例如,当客户机设备210是已经从家庭网络、咖啡店网络和机场网络连接至安全数据网络的移动设备,客户机连接属性220可包括为家庭网络、咖啡店网络和机场网络中的每一个最后使用的网关 226。可使用客户机连接属性220来确定向何处发送安全数据连接请求,诸如图1的第一安全数据连接请求140和图1的第二安全数据连接请求144。例如,客户机设备210可向包括在客户机连接属性220中的网关地址中的一个发送安全数据请求。还可在安全数据连接请求中包括有一个或多个客户机连接属性220,诸如图1的第一安全数据连接请求140和图1 的安全数据连接请求144。还可在重定向消息中包括有一个或多个客户机连接属性220,诸如图1的重定向消息142。客户机ID221可包括与客户机设备210相关的唯一标识符或设备昵称。客户机 ID221还可包括与关联于客户机设备210的一个或多个用户相关的标识信息。位置信息222 可包括客户机设备210的IP地址、有关客户机设备210的地理位置的信息和其他关于客户机设备210的路由信息。与客户机设备210相关的服务质量指示符2M可包括与客户机设备210的性能相关的一个或多个性能度量,诸如处理等待时间和数据吞吐量。与客户机设备210相关的动态评估的属性225可包括与客户机相关的一个或多个属性,该一个或多个属性可随时间变化并可在它们每次被客户机设备210使用时被重新评估。动态评估的属性 225包括在安全数据网络中客户机设备可连接到的可用的网关的列表和不可用的网关的列表。重定向判定服务270可能位于特定网关上、位于目标服务器上,诸如图1的目标服务器102、位于可经由安全连接访问网关的网络服务器上、或者位于安全数据网络104内的任何服务器上。重定向判定服务270可包括用于一个或多个服务器的服务器连接属性250, 可包括用于多个网关中的每一个的网关连接属性260。服务器连接属性250可包括目标服务器位置信息251、有关目标服务器102上所提供的服务252的信息、有关目标服务器102的一个或多个服务质量指示符253,和有关目标服务器102的一个或多个动态评估的属性 254。目标服务器位置信息251可包括目标服务器102的IP地址、有关目标服务器102 的地理位置的信息,和其他关于目标服务器102的路由信息。与目标服务器102相关的服务质量指示符253可包括与目标服务器102的性能相关的一个或多个性能度量,诸如处理等待时间和数据吞吐量。与目标服务器102相关的动态评估的属性2M可包括与目标服务器102相关的一个或多个属性,该一个或多个属性可随时间变化并可在它们每次被重定向判定服务270使用时被重新评估。动态评估的属性254的示例包括安全数据网络内可用于促进与目标服务器102的连接的网关,和不可用于促进与目标服务器102的连接的网关。对于特定的网关,诸如第一网关120或第二网关130,用于特定网关的网关连接属性260可包括特定网关的网关位置信息沈1、特定网关的连接计数沈2、与该特定网关相关的一个或多个服务质量指示符263,和与该特定网关相关的一个或多个动态评估的属性 264。特定网关的网关位置信息261可包括网关的IP地址、与网关的地理位置相关的信息,和与网关相关的其他路由信息。特定网关的连接计数262可包括该网关所支持的并发连接的全部数量或该网关所支持的唯一客户机设备的全部数量。例如,如果在特定时间该特定网关促进五个安全数据连接,那么该特定网关此时的连接计数262是五。与特定网关相关的服务质量指示符263可包括与特定网关的性能相关的一个或多个性能度量,诸如处理等待时间和数据吞吐量。与特定网关相关的动态评估的属性264可包括与特定网关相关的一个或多个属性,该一个或多个属性可随时间变化并可在它们每次被重定向判定服务 270使用时被重新评估。动态评估的属性264的一个示例是特定网关的状态,诸如该网关是否暂时地掉线。在操作中,客户机设备210向第一网关120发送第一安全数据连接请求140。该第一安全数据连接请求140可标识目标服务器102。可在客户机设备210处基于客户机连接属性220来选择接收该第一安全数据连接请求140的网关,客户机连接属性220诸如最后使用的网关地址226、随机网关地址227或默认网关地址228。如上所述,第一网关120能与第二网关130进行网关间通信M0,并能与重定向判定服务270通信。第一网关120使用这些通信选项中的一个或全部来确定是否重定向客户机设备210。在图2的实施例中,一旦接收到第一安全数据连接请求140,第一网关120与重定向判定服务270通信。第一网关120向重定向判定服务270发送重定向请求对2。然后重定向判定服务270向第一网关120送回重定向应答M4。重定向判定服务270可基于服务器连接属性250、网关链接属性沈0或其组合中的至少一个而确定客户机设备210应该被重定向到备选网关(如,第二网关130)。在特定实施例中,当第一安全数据连接请求140 中包括有一个或多个客户机连接属性220时,重定向判定服务270也可使用所包括的一个或多个客户机连接属性220来选择将客户机设备210重定向到哪一个网关。在图2的示例中,重定向判定服务270将指定客户机设备210应该被重定向的重定向应答244发送给第二网关130。可选地,如果重定向判定服务270确定客户机设备210不应该被重定向,则重定向应答可指定不需要客户机设备210的重定向。一旦接收到重定向应答对4,第一网关120向客户机设备210发送重定向消息142。该重定向消息142含有引导客户机设备210向第二网关130发送第二安全数据连接请求144的指令。响应于接收该重定向消息142,客户机设备210向第二网关130发送标识目标服务器102的第二安全数据连接请求144。该第二网关130建立客户机设备210和目标服务器102之间经由第二网关130的安全数据连接。一旦经由第二网关130建立了连接,客户机设备210可任选地在客户机连接属性中将第二网关130的地址存储为最后使用的网关地址226。然后客户机设备210可向由最后使用的网关地址2 指定的网关发送后续的安全数据连接请求。将理解的是在图2的系统的特定实施例中,确定客户机设备210应该被重定向到哪里的责任并不被限制于特定位置。而是,重定向判定服务270可位于不同位置。可理解的是,通过在决定将客户机连接请求重定向到哪里的时候使用服务器连接属性250和网关连接属性沈0,重定向判定服务270可实行从网关到安全网络的连接负载平衡。还可理解的是,在图2的系统的特定实施例中,可不使用重定向判定服务270,如,基于网关间通信270 而做出重定向判定。例如,如果在网关间通信240过程中,由第二网关130通知第一网关 120 第二网关130是对客户机设备210而言更为合适的网关,则第一网关120可在不与重定向判定服务270通信的情况下发送重定向消息142引导客户机设备210向第二网关130 发送安全数据连接请求。例如,第一网关120在网关间通信MO的过程中可确定当前比第二网关130支持了更多数量的连接,则第一网关120可基于这个确定而引导客户机设备210 向第二网关130发送安全数据连接请求。因此可以理解的是图2的系统提供客户机设备数据连接请求从一个网关到另一网关的自动重定向,无需客户机设备手动重新配置,藉此减少了客户机设备的用户用于建立安全数据连接所需的时间与精力。图3是目标系统的特定实施例的框图300,目标系统诸如是服务器、客户机、或客户机可经由图1或图2系统中的网关访问的另一个计算设备。在图示实施例中目标系统是服务器,目标服务器102容许对在目标服务器102上运行的应用310和服务320的访问。在特定实施例中,在目标服务器102上运行的服务320之一是重定向判定服务270。重定向判定服务270包括与目标服务器102相关的服务器连接属性250以及每个能在客户机设备和目标服务器102之间连接安全数据连接的网关的一个或多个网关连接属性。服务器连接属性250可包括目标服务器102的位置251、在目标服务器102上所提供的服务252、有关目标服务器102的一个或多个服务质量指示符253,和有关目标服务器 102的一个或多个动态评估的属性254。可在目标服务器102上测得一个或多个服务器连接属性250。例如,目标服务器102可包括处理逻辑以周期性地评估并更新一个或多个服务器连接属性250。重定向判定服务270还包括能在客户机设备和目标服务器102之间连接安全数据连接的每个网关的网关连接属性260。对每一个特定网关,网关连接参数260可包括特定网关的位置沈1、网关与目标服务器102之间的连接的数量沈5、特定网关与目标服务器之间的往返处理时间沈6,以及与特定网关相关的一个或多个动态评估的属性264。可在目标服务器102上测得一个或多个网关连接属性260。从网关到目标服务器102的连接沈5的数量可包括由该网关支持的连接到该目标服务器102的并发连接的全部数量或由该网关支持的连接到该目标服务器102的唯一客户机设备的全部数量。例如,如果在特定时间该特定网关促进与该目标服务器102的五个安全数据连接,那么该网关与目标服务器102之间此时的连接数量265是五。特定网关与该目标服务器102之间的往返处理时间266可包括消息从目标服务器102行进到该网关然后返回到目标服务器102所使用的时间。重定向判定服务270可基于以下中至少一个来标识重定向客户机设备到哪个网关服务器连接属性250、网关连接属性沈0、或者其组合。重定向判定服务270还可基于对两个不同网关的网关连接属性260的比较而标识出重定向客户机设备到哪个网关。以举例的方式,而非限制,这样的比较包括比较两个网关与目标服务器102之间的连接数量沈5, 以及比较两个网关的往返处理时间沈6,该两个网关诸如是图1和图2中的第一网关120和第二网关130。可理解的是图3的目标服务器102提供使所有必要的重定向信息,诸如服务器连接属性250和网关连接属性沈0,定位在一个地方的能力。相应地,与图3的目标服务器102 相连的网关并不需要每一个都含有其自己的重定向判定逻辑。这简化了位于每个网关上的处理逻辑,并避免了在每个网关上复制必要的重定向信息。如之前所述,然而,在另一个实施例中重定向判定服务270可位于目标服务器102之外。例如,重定向判定服务可位于每个网关上。还可理解的是,在客户机需要特定应用或服务(诸如由目标服务器102所提供的应用310或服务320中的一个)的时候,目标服务器102可为客户机提供供其连接至的单个位置。例如,目标服务器102可提供诸如文档共享应用和数据库应用这样的应用和诸如e-mail服务和打印服务这样的服务。图4是系统400的特定实施例的图,该系统支持具有经由VPN入口点的客户机重定向的安全数据连接。该系统400包括驻留在诸如防火墙保护的公司网之类的安全数据网络404中的目标服务器102。多个虚拟专用网络(VPN)入口点,包括第一 VPN入口点420和第二 VPN入口点430,也位于安全数据网络404内。客户机设备,诸如客户机计算机110,可发送标识目标服务器102的HTTPS连接请求到多个VPN入口点中的任何一个。VPN入口点,诸如第一 VPN入口点420和第二 VPN入口点430,能向所连接的客户机设备提供多个支持服务和功能。以举例的方式,而非限制,这样的支持服务和功能包括支持对数据网络中的特定服务器的多个连接、单点登录(single sign-on)功能、为每一个连接到VPN入口点的客户机设备或用户定制的门户页面、文件上传及下载限制、文件修改限制和应用访问限制。应该注意的是尽管图4的实施例示出VPN入口点,这不应该被认为是限制。而是,可将图4的系统400用于将HTTPS作为传输机制的任何网络情形中。为请求安全连接,客户机计算机110向第一 VPN入口点420发送标识目标服务器 102的第一 HTTPS连接请求440。第一 VPN入口点420包括逻辑处理422,包括重定向判定逻辑424。一旦接收到第一 HTTPS连接请求440,重定向判定逻辑似4确定应该指示客户机计算机110尝试经由第二 VPN入口点430进行安全连接。第一 VPN入口点420向客户机计算机110发送HTTP重定向消息442。该HTTP重定向消息442含有引导客户机计算机110 向第二 VPN入口点430发送第二 HTTPS连接请求444的指令。一旦接收到HTTP重定向消息442,客户机计算机110向第二 VPN入口点430发送第二 HTTPS连接请求444。该第二 VPN入口点430含有处理逻辑432,其建立客户机计算机110和目标服务器102之间经由第二 VPN入口点430的安全数据连接。
在特定实施例中,客户机计算机110可不在第一 HTTPS连接请求440中标识目标服务器402,而是选择仅指示客户机计算机110期望与安全数据网络404之间的连接。在这个实施例中,尽管在第一 HTTPS连接请求440中没有标识目标服务器,第一 VPN入口点420 可发出指定第二网关430的HTTP重定向消息442。随后,作为HTTP重定向消息442的结果,当客户机计算机110尝试与目标服务器402通信时,客户机计算机110将知道经由第二网关130来尝试进行这样的通信。可理解的时,图4的特定实施例提供从公司网络的一个VPN入口点到另一个的自动重定向,而不需要手动地重新配置客户机设备,藉此减少了建立VPN连接所需的时间与精力。这样,公司可使用图4中示出的特定实施例来向其员工提供经由合适的VPN入口点建立与其公司网络之间的VPN连接的能力,而不需要其员工在其每一个独立的客户机设备上手动地重新配置VPN软件。进一步,可理解的是,可使用图4中示出的特定实施例来帮助确保公司网络外的每个所连接的客户机设备与公司网络内每一个服务器之间的有效连接, 得到网络延迟的减少和与网络应用与服务有关的等待时间的减少。在特定实施例中,客户机设备具有可从中选择的多个预先配置好的VPN连接选项,可使用图4的系统经由HTTP重定向消息来通知客户机设备,哪一个所预先配置好的VPN连接选项将提供与公司网络的有效连接。图5是处理安全数据连接请求的方法的特定实施例的流程图。该方法包括,在 510,在第一网关处接收到来自第一客户机设备的第一安全数据连接请求。例如,可在图1 的第一网关120处接收来自图1的客户机计算机110的第一安全数据连接请求140。该安全数据连接请求标识了目标服务器。例如,该安全数据连接请求可标识图1的目标服务器 102。该方法还包括,在520,从第一网关向客户机设备发送重定向消息,指示客户机设备向第二网关发送第二安全数据连接请求。例如,可从图1的第一网关120将图1的重定向消息142发送给图1的客户机计算机110,指示图1的客户机计算机110将图1的第二安全数据连接请求144发送给图1的第二网关130。客户机设备启动经由第二网关的与目标服务器的安全数据连接。例如,图1的客户机计算机110可经由图1的第二网关130启动与图 1的目标服务器102的安全数据连接。图6是处理安全数据连接请求的方法600的另一个特定实施例的流程图。该方法包括,在610,在第一网关处接收来自客户机设备的安全数据连接请求。该安全数据连接请求在安全协议上执行,诸如安全套接字隧道协议(SSTP)。例如,来自图1的客户机计算机 110到图1的目标服务器102的安全数据连接请求,在SSTP上执行,可在图1的第一网关 120处被接收到。该方法还包括,在620,在第一网关和第二网关之间通信,以确定是否应该将重定向消息发送给客户机设备。例如,第二网关可包括图1的第二网关130。该方法还包括,在630,确定是否重定向该客户机设备。在640,如果客户机设备不需要重定向,促进 (facilitate)经由第一网关的在客户机设备与目标服务器之间的安全数据连接。在650, 如果要重定向客户机设备,将指定第二网关的重定向消息发送给客户机设备。接着,在660, 在第二网关660接收到从客户机设备到目标服务器的在SSTP上执行的第二安全数据连接请求。例如,来自图1的客户机计算机110到图1的目标服务器102的第二安全数据连接请求,可在图1的第二网关130处被接收到。在670,然后促进经由第二网关的客户机设备与目标服务器之间的连接。例如,可促进经由图1的第二网关130的图1的客户机计算机110与图1的目标服务器102之间的安全数据连接。可理解的是,图6的方法提供了客户机设备从安全数据网络的一个网关到安全数据网络的另一个网关的自动重定向,不需要对客户机设备的手动重定向,藉此减少了建立安全数据连接所需要的客户机设备用户的时间与精力。图7是处理安全数据连接请求的方法700的另一个特定实施例的流程图。该方法包括,在710,在第一网关处接收来自客户机设备的安全数据连接请求。该安全数据连接请求在安全协议上执行,诸如安全套接字隧道协议(SSTP)。例如,在SSTP上执行的,从图1的客户机计算机110到图1的目标服务器102的安全数据连接请求,可在图1的第一网关120 处被接收到。该方法还包括,在720,从第一网关发送请求到重定向判定服务,和在730,在第一网关处接收来自重定向判定服务的应答。例如,该重定向判定服务可包括图2的重定向判定服务270。该方法还包括,在740,确定是否重定向该客户机设备。在750,如果客户机设备不需要重定向,促进(facilitate)经由第一网关的在客户机设备与目标服务器之间的安全数据连接。在760,如果应该重定向客户机设备,将指定第二网关的重定向消息发送给客户机设备。接着,在770,在第二网关接收到从客户机设备到目标服务器的第二安全数据连接请求。例如,在SSTP上执行的,从图1的客户机计算机到图1的目标服务器102 的第二安全数据连接请求,可在图1的第二网关130处被接收到。在780,然后促进经由第二网关的客户机设备与目标服务器之间的连接。例如,可促进经由图1的第二网关130的图1的客户机计算机110与图1的目标服务器102之间的安全数据连接。图8是处理安全数据连接请求的方法800的另一个特定实施例的流程图。该方法 800包括,在810,在第一 VPN网关接收到在HTTPS上的对目标服务器的连接请求。该HTTPS 可以是IPV6-HTTPS或者IPV4-HTTPS。例如,可在第一 VPN入口点420处接收到对图4的目标服务器102的连接请求。进行到820,从第一 VPN入口点发送HTTP重定向消息给客户机设备。该重定向消息指定第二 VPN网关(诸如图4的第二 VPN入口点430)的地址。前进至830,在第二 VPN入口点接收到对目标服务器的第二连接请求。该第二连接请求还是在HTTPS上执行,其可以是IPv6-HTTPS或IPv4_HTTPS。在840,建立经由第二 VPN网关的与目标服务器的VPN连接。图8的方法通过将HTTPS连接请求发送给VPN网关,提供了试图连接到网关服务器的客户机设备的自动HTTP重定向。如此,重定向消息可方便地在HTTP上发送,而仍保持在HTTPS上发送的安全数据连接请求的安全性。可在HTTP上传输重定向消息是由于重定向消息包括VPN网关的地址或其他公开消息。反之,安全数据连接请求可需要增强的安全性,因为它们可能包括隐私数据,诸如客户机位置及密码信息。图9示出了包括可用于支持根据本发明的计算机实现的方法、计算机程序产品以及系统组件的各实施例的计算系统910的计算环境900的框图。计算系统910能经由网络 902与客户机计算机通信,诸如图1的客户机计算机110。计算设备910 —般包括至少一个处理器920和系统存储器930。取决于计算系统的配置和类型,系统存储器930可以是易失性的(诸如随机存取存储器,即“RAM”)、非易失性的(诸如只读存储器(即“ROM)、闪存以及即使在未被提供电源时也保持存储的数据的类似存储器设备),或两者的某种组合。系统存储器930通常包括操作系统932、一个或多个应用程序平台934、一个或多个应用程序936和程序数据938。在特定实施例中,将图2的重定向判定服务270实现为处理器可执行指令,该处理器可执行指令被存储为应用936之一,并还可包括对程序数据938的访问。该计算系统910还可具有附加特征或功能。例如,计算系统910还可包括可移动和/或不可移动的附加数据存储设备,诸如磁盘、光盘、磁带,以及标准大小或小型闪存卡。 在图9中通过可移动存储器940和不可移动存储器950示出这样的附加存储。计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序组件或其他数据之类的信息的任何方法或技术实现的易失性和/或非易失性存储以及可移动和/或不可移动介质。系统存储器930,可移动存储940和不可移动存储950都是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、R0M、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、紧致盘(CD)、数字多功能盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其他磁性存储设备、或可用于存储信息且可由计算系统910访问的任何其它介质。任何这样的计算机存储介质都可以是该计算系统910的一部分。计算系统910还含有容许该计算系统与其他计算设备970通信的一个或多个通信连接960,诸如一个或多个计算系统或服务器。例如,该计算系统910可在安全数据网络上与其他计算设备970进行通信。在特定实施例中,安全数据网络可包括图1的安全数据网络104。该计算系统910可包括图1的第一网关120,其他计算设备970可包括图1的目标服务器102、图1的第二网关130或者其他网关。参考图1-4描述的其他组件可作为计算系统910而实现,诸如图1和图2的目标服务器102。该一个或多个通信连接960是通信介质的示例。作为示例而非限制,通信介质可包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、射频、红外线和其他无线介质。然而,可以理解,并非所有图9所示的或以其他方式在先前段落中描述的组件或设备都必须支持如此处所描述的每一个特定实施例或各实施例。对此处描述的实施例的说明旨在提供对各种实施例的结构的大致理解。这些说明并非旨在用作对使用此处描述的结构或方法的装置和系统的所有元件和特征的完整描述。 许多其他实施例对本领域的技术人员在审阅本公开之后是显而易见的。可从本公开中使用和导出其他实施例,以使可作出结构和逻辑替换和改变而不背离本公开的范围。因此,本公开和各附图被认为是说明性的而非限制性的。本领域的技术人员将进一步理解,结合此处公开的实施例所描述的各种说明性逻辑块、配置、模块、电路、以及算法步骤,可作为电子硬件、计算机软件或两者的组合来实现。 为清楚地示出硬件和软件的该互换性,已按照功能一般地描述了各种说明性组件、块、配置、模块、电路、或步骤。这种功能被实现为硬件或软件取决于在总体系统上所施加的具体应用和设计限制。技术人员可针对每种具体应用以不同方式来实现所描述的功能集,但这种设计决策不应被解释为致使脱离本公开的范围。结合此处公开的各实施例所描述的方法的各个步骤可直接用硬件、由处理器执行的软件模块、或两者的组合来实现。软件模块可驻留在诸如随机存取存储器(RAM)、闪存、只读存储器(ROM)、寄存器、硬盘、可移动盘、⑶-ROM、或本领域内已知的任何其他形式的存储介质等计算机可读介质中。示例性的存储介质耦合到处理器,使得处理器可从存储介质上读取信息,并向存储介质写入信息。在替换方案中,存储介质可集成到处理器或处理器并且存储介质可作为分立组件驻留在计算设备或计算机系统中。
尽管已在此示出和描述了具体实施例,但应当理解,可为所示的具体实施例替换被设计成实现相同或相似目的的任何后续安排。本公开旨在覆盖各种实施例的任何和所有后续改变和变体。提供本公开的摘要的同时要明白,将不用它来解释或限制权利要求的范围或含义。另外,在前面的详细描述中,可出于将本公开连成一个整体的目的而将各种特征组合在一起或描述在单个实施例中。本公开将不被解释为反映所要求保护的实施例要求比每个权利要求中明确陈述的更多特征的意图。相反,如以下权利要求反映的,发明性主题可涉及少于所公开的实施例的的任何一个的所有特征。提供所公开的实施例的先前描述,以使本领域的技术人员能够作出或使用所公开的实施例。对这些实施例的各种修改对于本领域的技术人员将是显而易见的,并且此处定义的普适原理可被应用于其他实施例而不会脱离本公开的范围。因而,本公开不是旨在限于此处示出的各种实施例,而是按照与如由所附权利要求书定义的原理和新颖特征相一致的尽可能最宽范围。
权利要求
1.一种方法,包括在第一网关(120)处接收(510)来自客户机设备(110)的第一安全数据连接请求 (140),所述第一安全数据连接请求(140)标识了目标服务器(10 ;和从第一网关(120)发送(520)重定向消息(14 给所述客户机设备(110),指示所述客户机设备(110)发送第二安全数据连接请求(144)给第二网关(130),从而所述客户机设备 (110)经由所述第二网关(130)启动到所述目标服务器(102)的安全数据连接。
2.如权利要求1所述的方法,其特征在于,所述第一安全数据连接请求和第二安全数据连接请求中的至少一个在超文本传输协议安全(HTTPS)连接上执行。
3.如权利要求2所述的方法,其特征在于,所述HTTPS连接是IPv6-HTTPS连接和 IPv4-HTTPS连接中的一个。
4.如权利要求1所述的方法,其特征在于,所述安全数据连接是基于安全套接字层的 VPN(SSL-VPN)连接。
5.如权利要求1所述的方法,其特征在于,所述第一安全数据连接请求和第二安全数据连接请求中的至少一个在安全套接字隧道协议(SSTP)连接上执行。
6.如权利要求1所述的方法,其特征在于,所述客户机设备是以下各项之一计算机、 自助终端设备、移动设备,其中所述客户机设备存储了第二网关的地址。
7.如权利要求1所述的方法,其特征在于,所述重定向消息是HTTP重定向消息。
8.如权利要求1所述的方法,其特征在于,所述第二网关是基于至少一个连接属性从多个网关中选出的,其中所述至少一个连接属性包括以下各项中的至少一项所述客户机设备的位置、所述目标服务器的位置、所述客户机设备的唯一标识符、所述客户机设备所请求的服务类型、所述客户机设备的优先权等级、服务质量指示符和动态评估的属性。
9.如权利要求1所述的方法,其特征在于,所述第一网关向重定向判定服务发送请求, 并在发送所述重定向消息之前从所述重定向判定服务处接收应答,其中该应答指定了第二网关。
10.如权利要求9所述的方法,其特征在于,所述重定向判定服务在目标服务器上运行,并基于在目标服务器处测得的连接属性标识所述第二网关。
11.如权利要求10所述的方法,其特征在于,所述连接属性与以下至少一项相关在第一网关和目标服务器之间的第一当前连接计数、在第二网关和目标服务器之间的第二当前连接计数、在目标服务器和第一网关之间的第一往返处理时间、和在目标服务器和第二网关之间的第二往返处理时间。
12.如权利要求1所述的方法,其特征在于,所述第一网关是以下各项之一随机选出的网关、所述客户机设备最后使用过的网关,和分配给所述客户机设备的默认网关。
13.一种系统,包括可由客户机设备(Iio)使用经由网关的安全数据连接而访问到的服务器(102);多个网关(120,130),其中所述多个网关中的每一个网关能接收来自所述客户机设备(110)的安全数据连接请求(140);与所述多个网关(120,130)中的至少一个其他网关进行通信;向所述客户机设备(110)发送重定向消息(142),指示所述客户机设备(110)向不同的网关发送第二安全数据连接请求(144);和促进所述客户机设备(110)和目标服务器(10 之间经由所述不同的网关的安全数据连接。
14.如权利要求13所述的系统,其特征在于,所述多个网关中的每一个是到所述服务器位于其中的防火墙保护的数据网络的虚拟专用网络入口点。
15.如权利要求14所述的系统,其特征在于,每一个所述虚拟专用网络入口点还能提供以下至少一项对到所述服务器的多个连接的支持、单点登录功能、所述客户机设备的定制门户界面、文件上传限制、文件下载限制、文件修改限制、和应用访问限制。
全文摘要
公开了处理安全数据连接请求的方法、系统和计算机可读介质。特定方法在第一网关处接收来自客户机的标识所要连接至的服务器的安全数据连接请求。第一网关发送重定向消息给客户机,指示客户机尝试经由第二网关的备选连接。客户机发送安全数据连接请求给第二网关,且第二网关促进客户机与服务器之间的安全数据连接。
文档编号H04L12/28GK102334311SQ201080009747
公开日2012年1月25日 申请日期2010年2月5日 优先权日2009年2月26日
发明者B·M·舒尔茨, N·A·文卡塔拉玛亚, N·奈斯 申请人:微软公司