专利名称::一种在安全套接层虚拟专网保证服务质量的方法及装置的制作方法
技术领域:
:本发明涉及网络安全领域,特别是涉及一种在安全套接层虚拟专网保证服务质量的方法及装置。
背景技术:
:随着网络技术的不断进步,网络安全问题已经成为大家最为关心和重视的问题,安全套才妄层虚拟专网(SSLVPN:SecuritySocketLayerVirtualPrivateNetwork)作为一种安全的远程网络访问技术,在近两年内越来越受到企业用户的青睐。SSLVPN解决方案指的是使用者利用浏览器内建的SSL封包处理功能,通过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的SSL对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSLVPN解决方案可保证企业进行安全的全局i方问。SSLVPN实现的两个关键技术是隧道技术和加密技术。隧道技术指原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,形成一条从A到B的通信隧道。加密技术是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。应用SSLVPN技术发送应用数据的过程为在发送端对应用数据进行加密,在应用数据前加入SSL头,然后4巴力o密后的应用数据传送给接收端,所述加密后的应用数据格式如表1所示,接收端对接收到的加密数据进行相应的解密和散列处理,得到应用数据。<table>tableseeoriginaldocumentpage4</column></row><table>通过上述隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是,由于广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送,而在流量低谷时又造成大量的网络带宽空闲。现有一种被称为服务质量(QoS:QualityofService)的网络安全机制,可以用来解决网络延迟和阻塞等问题的一种技术。但是,现有技术还不能实现在SSLVPN中支持QoS策略,解决网络阻塞问题。
发明内容有鉴于此,本发明实施例提供一种在安全套接层虚拟专网保证服务质量的方法及装置,实现带宽合理分配,使得各类数据能够被合理地先后发送,预防网络阻塞的发生。本发明实施例提供了一种在安全套接层虚拟专网中保证服务质量的方法,该方法包括识别应用数据类型,才艮据所述应用数据类型的相关信息对所述应用数据进行优先级划分;按照所述划分的优先级发送所述应用数据。本发明实施例还提供了一种在安全套接层虚拟专网中保证服务质量的装置,该装置包括优先级划分单元,用于识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分;发送单元,用于按照所述划分的优先级发送所述应用数据。本发明实施例所提供的在安全套接层虚拟专网中保证服务质量的方法,通过识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分,按照所述划分的优先级发送所述应用数据。根据识别得到的应用数据类型的相关信息,实现对SSLVPN隧道下运行的加密数据的区分,通过对应用数据进行优先级划分,按照优先级对不同类型的应用数据分配带宽资源,使得各类数据能够被合理地先后发送,预防网络阻塞的发生,保证SSLVPN中的QoS。图1为本发明实施例的应用环境示意图2为本发明一实施例提供的在安全套接层虚拟专网中保证服务质量的方法流程图3为本发明另一实施例提供的在安全套接层虚拟专网中保证服务质量的方法流程图4为本发明实施例提供的在安全套接层虚拟专网中保证服务质量的装置图5为本发明实施例所提供的优先级划分单元结构图;图6为本发明实施例所提供的发送单元结构图7为本发明另一实施例所提供的在安全套接层虚拟专网保证服务质量的装置图8为本发明另一实施例所提供的优先级划分单元结构图;图9为本发明另一实施例所提供的发送单元结构图。具体实施例方式下面结合附图对本发明实施例所提供的在安全套接层虚拟专网中保证服务质量的方法进行详细描述。参见图1,为本发明实施例的应用环境示意图。如图l所示要在A地内网和B地内网之间进行数据交互。其中,A地内网包括服务器组A、A地用户Al、在A地出差的B地用户Bl、网关A;B地内网包括服务器组B、B地用户B2、在B地出差的A地用户A2、网关B。在网关A和网关B之间有大量设备需要进行应用数据交互,这些数据在传输时均采用SSL加密方式。在网络流量高峰期时,为了使各类数据能够被合理的先后传送,需要在图示SSL隧道的勤出上保证QoS功能。本发明实施例提供了一种在安全套接层虚拟专网保证服务质量的方法。由于SSLVPN是运行于应用层的网关设备,所以本发明实施例所提供的方法也是基于应用层的。本方法可以用在至少两个网关之间的数据交互中。参见图2,为本发明一实施例所提供的在安全套接层虚拟专网中保证服务质量的方法流程图。该方法包括以下步骤步骤201:识别应用数据类型,根据识别到的应用数据类型,按照应用数据的重要性和实时性,在应用数据前添加对应的级别标识;在网络中,所有应用都会在应用数据上留下可以用来识别源应用的标识,比如,协议类型、源IP地址或者资源类型等。其中,应用it据类型的识别通常可通过SSLVPN设备来识别;在SSLVPN网络中,设备能够自动识别出应用数据的源应用类别,根据设备识别到的源应用类别,判断应用数据是由哪种应用产生的。由于不同应用产生的应用数据的重要性不同,这些应用数据传送时的实时性和稳定性的要求也有所不同。根据不同应用产生的应用数据的重要性在应用6数据前添加级别标识。比如有些核心应用数据对实时性要求很高,将此类型应用数据标注为最高级别,表示需要进行优先传送,以避免此类应用数据受网络阻塞的影响;而有些应用数据相对而言并不是那么重要,可以将此类应用数据标注为较低级别,表示可以暂緩发送。见表2所示IP头TCP头SSL头级别标识应用数据步骤202:根据应用数据前添加的所述级别标识,确定所述应用数据的不同优先级;级别较高的数据,优先级较高;级别较低的数据,优先级较低。步骤203:按照所述优先级依次发送应用数据。根据应用数据的优先级,将应用数据放入与所述优先级对应等级的队列中;再按照各队列的优先级顺序发送应用数据。将优先级最高的应用数据放入最高等级队列中,设定此队列的传送等级为第一优先级,将此队列中的应用数据最先发送将优先级较高的应用数据放入较高等级队列中,设定此队列的传送等级为第二优先级,在第一优先级队列中的应用数据发送完毕后,再发送第二优先级队列中的应用数据。依次类推,依次发送第三、第四......优先级队列中的应用数据。将优先级最低的应用数据放入最低等级队列中,设定此队列的传送等级为最低。对传送等级较低的队列中的应用数据暂緩发送,等高级别队列中应用数据发送完毕后再依次发送。在实施例所提供的方法中,根据识别得到的应用数据类型,按照应用数据的重要性和实时性,在应用数据前添加级别标识,直接根据级别标识对应用数据进行优先级划分,再将应用数据依次发送。当SSLVPN网络中设备较多时,需要发送的应用数据很多,可能很难直接根据识别到的应用数据类型区分应用数据的重要级别,因此,本发明另一实施例提供了一种先对应用数据进行分类,再对各相同类别应用数据进行优先级划分的方法,也可以很好的实现上述发明目的。参见图3,为本发明另一实施例所提供的在安全套接层虚拟专网中保证服务质量方法流程图。该方法包括以下步骤步骤301:识别应用数据类型,在应用数据前添加类型标识;在网络中,所有应用都会在应用数据上留下可以用来识别源应用的标识,比如,协议类型、源IP地址或资源类型等。其中,应用数据类型的识别通常可通过SSLVPN设备来识别;在SSLVPN网络中,设备能够自动识别出应用数据的源应用类别,才艮据设备识別到的源应用类别,在应用数据前添加类型标识,见表2所示,用于判断应用数据是由哪种应用产生的。<table>tableseeoriginaldocumentpage8</column></row><table>步骤302:获取上述添加的类型标识,对应用数据进行分类;获取添加在应用数据前的类型标识,对应用数据进行分类,将相同类型的应用数据放在一起。设备自动识别到的应用数据的源应用类型有很多,因此类型标识中可以包含4艮多种源应用类型信息,选择一种信息,对应用数据进^f亍分类。例如可以根据获取到的类型标识中所包含的协议类型信息、源IP和目的IP地址信息或资源类型信息进行分类。步骤303:对所述分类后得到的各类别应用数据确定不同优先级;根据应用数据的重要性,相同类别的应用数据间存在发送优先级的差异,比如,有些核心应用数据需要及时传送,将此类型应用数据标注为最高优先级,优先传送,可以避免此类应用数据受网络阻塞的影响,而有些应用数据相对而言并不是那么重要,可以暂緩发送。因此,需要针对各类别中的应用数据的重要性确定应用数据的优先级。以步骤302所述的三种分类方式举例说明确定优先级的方法(1)协议类型有些协议非常占用带宽,很容易导致业务延迟,因此对此协议类型的应用数据可以暂緩处理;相对而言,有些协议则不会占用太大带宽,可以优先处理该协议类型的应用数据。(2)源IP和目的IP地址可以是主机IP地址,也可以是一个网li的IP地址。大多时候服务器是专门针对单一应用而配置的,通过分析应用数据的源IP地址可以识别该应用数据是由哪些设备产生的,如电子邮件服务器等。在这些应用数据中,有些应用数据对实时性要求很高,有些应用数据对可靠性要求很高,也有些应用数据非常重要,要求立即传送。可以据此对应用数据进行优先级划分,确定哪些设备产生的应用数据需要优先传送,哪些应用数据可以暂緩传送。(3)资源类型大多SSLVPN设备都支持资源的分类,根据资源的类别对应用数据可以进行不同的处理。因此也可以根据资源类型对应用数据进行优先级划分。步骤304:按照所述优先级将应用数据依次发送。根据应用数据的优先级,将应用数据放入与所述优先级对应等级的队列中;再按照各队列的优先级顺序发送应用数据。将优先级最高的应用数据放入最高等级队列中,设定此队列的传送等级为第一优先级,将此队列中的应用数据最先发送将优先级较高的应用数据放入较高等级队列中,设定此队列的传送等级为第二优先级,在第一优先级队列中的应用数据发送完毕后,再发送第二优先级队列中的应用数据。依次类推,依次发送第三、第四......优先级队列中的应用数据。将优先级最低的应用数据放入最低等级队列中,设定此队列的传送等级为最低。对传送等级较低的队列中的应用数据暂緩发送,等高级别队列中数据发送完毕后再依次发送。通过本发明实施例所提供的方法,可以保证在广域网流量高峰期时,关键数据的及时、准确发送,保证了SSLVPN中的QoS。本发明实施例还提供了一种在安全套接层虚拟专网保证服务质量的装置。参见图4,为本发明一实施例所提供的在安全套接层虚拟专网保证服务质量的装置图。该装置包括优先级划分单元401和发送单元402,其中,优先级划分单元401,用于识别应用数据类型,根据识别到的应用数据类型,按照应用数据的重要性和实时性,在应用数据前添加对应的级别标识,对应用数据进行优先级划分。发送单元402,用于按照所述优先级依次发送所述应用数据。参见图5所示,为本发明一实施例所提供的优先级划分单元结构图。优先级划分单元包括识别子单元501、添加标识子单元502和优先级确定子单元503,其中,识别子单元501,用于识别应用婆:据类型。在网络中,所有应用都会在应用数据上留下可以用来识別源应用的标识,比如,协议类型、源服务器地址或源端口地址等。在SSLVPN网络中,设备能够自动识别出应用数据的源应用类别。因此识别子单元501用于识别应用数据的类型;其中,应用数据类型的识别通常可通过SSLVPN设备来识别;添加标识子单元502,用于根据识别到的应用数据类型,按照应用数据的重要性和实时性,在应用数据前添加级别标识。优先级确定子单元503,用于根据添加的级别标识,确定应用数据的不同优先级。参见图6所示,为本发明一实施例所提供的发送单元结构图。发送单元包括排队子单元601和顺序发送子单元602,其中,排队子单元601,用于根据应用数据的优先级,将应用数据放入与所述优先级对应等级的队列中。将优先级最高的应用数据放入最高等级队列中,设定此队列的传送等级为第一优先级。将优先级较高的应用数据放入较高等级队列中,设定此队列的传送等级为第二优先级。依次类推,设定第三、第四......优先级队列。将优先级最低的应用数据放入最低等级队列中,设定此队列的传送等级为最低。顺序发送子单元602,用于按照各队列的优先级顺序发送应用数据。将第一优先级队列中的应用数据最先发送,在第一优先级队列中的应用数据发送完毕后,再发送第二优先级队列中的应用数据。依次类推,发送第三、第四......优先级队列中的应用数据。对传送等级较低的队列中的应用数据暂緩发送,等高级别队列中数据发送完毕后再依次发送。参见图7,为本发明另一实施例所提供的在安全套接层虚拟专网保证服务质量的装置图。该装置包括优先级划分单元701和发送单元702,其中,优先级划分单元701,用于识别应用数据类型,在应用数据前添加类型标识,根据类型标识,对应用数据进行分类,并对分类后的应用数据分别进行优先级划分;发送单元702,用于按照所述优先级依次发送所述应用数据。参见图8所示,为本发明另一实施例所提供的优先级划分单元结构图。优先级划分单元包括识别子单元801、添加标识子单元802、分类子单元803和优先级确定子单元804,其中识别子单元801,用于识别应用数据类型。在网络中,所有应用都会在应用数据上留下可以用来识别源应用的标识,比如,协议类型、源服务器地址或源端口地址等。在SSLVPN网络中,设备能够自动识别出应用数据的源应用类别。因此识别子单元801用于识别应用数据的类型。其中,应用数据类型的识别通常可通过SSLVPN设备来识别。添加标识子单元802,用于在应用数据前添加对应的类型标识。分类子单元803,用于根据获取到的所述类型标识,对应用数据分类。设备自动识别到的应用数据的源应用类型有很多,因此类型标识中可以包含很多种源应用类型信息,选择一种信息,对应用数据进行分类。例如分类单元803可以根据获取到的类型标识中所包含的协议类型信息、源IP和目的IP地址信息或资源类型信息进行分类。优先级确定子单元804,用于对所述分类后得到的各类别应用数据确定优先级。参见图9所示,为本发明另一实施例所提供的发送单元结构图。发送单元包括排队子单元901和顺序发送子单元902,其中,排队子单元901,用于根据应用数据的优先级,将应用数据放入与所述优先级对应等级的队列中。将优先级最高的应用数据放入最高等级队列中,设定此队列的传送等级为第一优先级。将优先级较高的应用数据放入较高等级队列中,设定此队列的传送等级为第二优先级。依次类推,设定第三、第四......优先级队列。将优先级最低的应用数据放入最低等级队列中,设定此队列的传送等级为最低。顺序发送子单元902,用于按照各队列的优先级顺序发送应用数据。将第一优先级队列中的应用数据最先发送,在第一优先级队列中的应用数据发送完毕后,再发送第二优先级队列中的应用数据。依次类推,发送第三、第四......优先级队列中的应用数据。对传送等级较低的队列中的应用凝:据暂緩发送,等高级别队列中数据发送完毕后再依次发送。综上所述,本发明实施例所提供的在安全套接层虚拟专网中保证服务质量的方法,通过识别应用数据类型,才艮据所述应用数据类型的相关信息对所述应用数据进行优先级划分;按照所述划分的优先级依次发送所述应用数据。通过这种方法,在广域网流量高峰期时,按照优先级分配带宽资源,使得各类数据能够被合理地先后发送,预防网络阻塞的发生,保证SSLVPN中的QoS。是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分;按照所述划分的优先级发送所述应用数据。以上对本发明实施例所提供的一种在安全套接层虚拟专网保证服务质量的方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。1权利要求1、一种在安全套接层虚拟专网中保证服务质量的方法,其特征在于,该方法包括识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分;按照所述划分的优先级发送所述应用数据。2、根据权利要求1所述的方法,其特征在于,所述根据所述应用数据类型的相关信息对所述应用数据进行优先级划分包括根据所述应用数据类型,在所述应用数据前添加级别标识;才艮据所述级别标识,确定所述应用凄t据的优先级。3、根据权利要求1所述的方法,其特征在于,所述根据所述应用数据类型的相关信息对所述应用W居进行优先级划分包括根据所述应用数据类型,在所述应用数据前添加类型标识;获取所述类型标识,对所述应用数据分类;确定分类后得到的各类别应用数据的优先级。4、根据权利要求3所述的方法,其特征在于,所述对所述应用数据分类包括根据获取到的所述类型标识中包含的协议类型信息、源IP和目的IP地址信息或资源类型信息,对所述应用数据分类。5、根据权利要求1-4任意一项所述的方法,其特征在于,所述按照所述划分的优先级发送所述应用数据包括将应用数据放入与所述划分的优先级对应等级的队列中;按照各队列的优先级顺序发送应用数据。6、一种在安全套接层虚拟专网中保证服务质量的装置,其特征在于,该装置包括优先级划分单元,用于识别应用数据类型,才艮据所述应用数据类型的相关信息对所述应用数据进行优先级划分;发送单元,用于按照所述划分的优先级发送所述应用数据。7、根据权利要求6所述的装置,其特征在于,所述优先级划分单元包括识别子单元,用于识别应用数据类型;添加标识子单元,用于根据所述应用数据类型,在所述应用数据前添加级别标识;优先级确定子单元,用于才艮据所述级别标识,确定所述应用lt据的优先级。8、根据权利要求6所述的装置,其特征在于,所述优先级划分单元包括识别子单元,用于识别应用数据类型;添加标识子单元,用于根据所述应用数据类型,在所述应用数据前添加类型标识;分类子单元,用于根据所述类型标识,对所述应用数据分类;优先级确定子单元,用于确定分类后得到的各类别应用数据的优先级。9、才艮据权利要求8所述的装置,其特征在于,所述分类子单元用于根据类型标识中包含的协议类型信息、源IP和目的IP地址信息或资源类型信息,对所述应用数据分类。10、根据权利要求6-9任意一项所述的装置,其特征在于,所述发送单元包括排队子单元,用于将应用数据放入与所述划分的优先级对应等级的队列中;顺序发送子单元,用于按照各队列的优先级顺序发送应用数据。全文摘要本发明公开了一种在安全套接层虚拟专网中保证服务质量机制的方法及装置,本发明提供的方法包括识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分;按照所述划分的优先级发送所述应用数据。本发明提供的装置包括优先级划分单元,用于识别应用数据类型,根据所述应用数据类型的相关信息对所述应用数据进行优先级划分;发送单元,用于按照所述划分的优先级发送所述应用数据。采用本发明提供的方法和装置,可以实现带宽合理分配,使得各类数据能够被合理地先后发送,预防网络阻塞的发生。文档编号H04L12/46GK101309195SQ200810126939公开日2008年11月19日申请日期2008年6月18日优先权日2008年6月18日发明者李正国,李滨江,实陈,正陈申请人:华为技术有限公司