虚拟专用网络的制作方法

本专利申请要求2016年9月2日提交的题为“virtualprivatenetwork(虚拟专用网络)”的美国临时申请序列第62/383,042号的优先权权益，该申请通过引用整体结合于此。

本文描述的实施例一般涉及计算机联网，且更具体地涉及虚拟专用网络。

背景技术：

计算机联网涉及广泛的技术，这些技术允许从一个设备到另一设备的通信。这些技术不仅包括连接硬件，还包括将来自硬件的信号转换为机器可用信息的协议和格式。随着参与网络的设备数量的增加，用于联网的硬件和软件标准变得非常重要。此类标准可包括3gpp系列蜂窝标准或ieee802系列标准，诸如802.11,802.15.1等。这些标准中的一些提供网络内连接。例如，第一连接可将设备连接到网络组件(诸如，交换机或路由器)，而第二连接将此网络组件链接到目的地设备或另一网络组件。如本文所使用的，此第二连接被称为回程(backhaul)，其提供与服务设备的网络端点的连通性。

附图说明

在附图中(这些附图不一定是按比例绘制的)，相同的数字可描述不同视图中的类似的组件。具有不同的字母后缀的相同的数字可表示类似组件的不同实例。附图一般通过示例的方式而不是限制的方式来图示在本文档中所讨论的各实施例。

图1是根据实施例的用于虚拟专用网络的系统的示例的框图。

图2例示出根据实施例的用于建立虚拟专用网络的通信的示例。

图3例示出根据实施例的云和物联网(iot)网状网络拓扑的示例。

图4例示出根据实施例的用于实现虚拟专用网络的方法的示例。

图5例示出根据实施例的用于主机实现虚拟专用网络的方法的示例。

图6例示出根据实施例的用于设备实现虚拟专用网络的方法的示例。

图7是例示出可在其上实现一个或多个实施例的机器的示例的框图。

具体实施方式

随着无线电资源变得更加受约束，本地化网络端点(诸如，微蜂窝或访问点ap)可以提供比集中式无线技术(诸如，蜂窝部署中常见的无线技术)更好的无线电利用。这些本地化网络端点中的许多已由私人或公司而非中央电信公司拥有和运营。虽然使用这些已安装的端点降低了电信成本，但是在经由这些端点获得通用访问以及保护提供端点的那些设备上存在问题。

为了允许私有端点提供通用连接访问，这些端点主机可被扩展成允许私有运营商成为访问提供者(例如，移动虚拟网络运营商(mvno))。扩展可包括将信标扩展成包括访问参数，包括服务的市场费率或接受准则。除标准附连信息传递(例如，设备标识、组标识等)之外，设备(例如，站(sta)或用户设备(ue))的附连(例如，连接、登陆(onboarding)等)还可被扩展成促进主机与设备之间的协商。协商附连可包括成本项和报酬程序(例如，资源、金钱的交易等)以及隐私或优先权协议。在设备附连成功之后，主机可通过主机的回程在设备与网络目的地之间实现虚拟专用网络。以这种方式，设备可与任何端点主机协商以获得与网络资源的安全且私有的连接(例如，在因特网上)，同时主机运营商对照设备活动接收报酬和保护。

通过实现本文讨论的端点增强，人们将能够使用其他人的设备来操作虚拟网络，例如在汽车、家庭、办公室中等等。设备与主机之间或者设备与回程之间的连通性可通过不同的无线电访问技术(诸如，ieee802.11、ieee802.15.1或3gpp标准系列)，或其他网络技术(例如，有线连接)。在示例中，可形成关联或组以协商来自不同主机的通话时间(airtime)，根据协商的费率将其资产(例如，传送的数据)推送到不同的运营商。这种技术允许对区域中的主机的高效使用——例如，未充分利用的主机应该更便宜并因此获得更多新的传输请求——同时还提供对过度使用的客观测量并且内置有安装更多端点主机的动机(例如，当成本变高时，可推动人们投入资金来安装另一主机)。例如，这将使私人房屋所有者、汽车所有者、或企业所有者能够在不使用的情况下转售其部分容量。这将使用户能够根据可用频谱容量以及可用费率和可用的最佳费率来自动选择不同的运营商。例如，一组汽车可通过ieee802.11和一个汽车(例如，主机)在蜂窝无线电上与回程进行交谈以在汽车之间创建网状网络，该业务被聚合并在蜂窝回程上被推送。该汽车组可用于具有第二汽车的组，该第二汽车也具有蜂窝回程。稍后，第二回程上的费率可能更便宜，允许第二汽车提供更便宜的主机费率。此时，剩余汽车可断开与第一汽车的连接并使用第二汽车的回程。附连协商还可包括能力解析。例如，对于诸如视频流送之类的大型通信，第一回程可能便宜但不可靠。因此，当设备接收到流送视频的请求、执行大型软件更新等时，附连协商将重视吞吐量的可靠性或者可靠性而不仅仅是成本。

本文描述的系统和技术导致更高的频谱效率、增加设备对网络的访问、维持主机运营商与设备用户之间的操作隔离、并且还激励开放或安装网络端点主机以进行一般访问。这些特征的组合呈现出胜于当今世界的私有和隔离端点安装的飞跃。

图1是根据实施例的用于虚拟专用网络的系统100的示例的框图。系统100包括设备105和主机130a-130c。主机130被连接到回程135，诸如蜂窝回程135b和135c或者网状回程135a。主机130和回程135提供对诸如因特网之类的网络140的访问。

设备105包括用于实现本文描述的虚拟专用网络的组件。以诸如下文参考图6所描述的计算机硬件(例如，电路系统)之类的计算机硬件来实现组件中的所有元件。组件包括接收器110，接收器110被布置成获得多个主机信标。在示例中，每个信标与回程135相对应。因此，如果主机130c具有第二回程以及回程135c，则主机130c可传送两个信标，每个回程一个。在示例中，单个信标包括多个回程标识。在示例中，信标包括端点性能数据结构。性能数据结构对于回程135可以是唯一的。在示例中，性能数据结构包括关于多个回程135的信息，通过标识(id)或性能度量中的至少一个来区分它们。

性能数据结构提供提供度量，可基于这些度量来做出加入给定主机130的决策。因此，性能数据结构包括用于保存此数据的一个或多个字段。在示例中，字段可包括一种连接。例如，字段指示该连接是设备105与主机130之间的ieee802.115千兆赫(ghz)连接。在示例中，其中连接类型包括所接收信号强度或协议(例如，ieee802.11或ieee802.15.1)中的至少一个。在示例中，连接指示回程135类型，诸如无线(例如，ieee802.xx、3gpp、卫星等)或硬连线(例如，电缆、以太网、帧中继、光纤等)。在示例中，字段指示带宽。在示例中，字段指示等待时间。在示例中，字段指示使用回程的用户的数量(例如，拥塞、资源利用等)。在示例中，字段指示回程的成本。在示例中，成本是货币。在示例中，成本是在资源方面的(例如，提供的带宽与所使用带宽的比率)。

在示例中，字段指示物理层特性。物理层特性是频率、信道宽度或多输入多输出(mimo)配置中的至少一个。在示例中，字段指示服务质量(qos)。如本文所使用的，qos是指示执行承诺的度量。例如，qos可指示由底层硬件保证的带宽或等待时间。在示例中，qos是优先级要约，根据该优先级要约，较高优先级业务将取代较低优先级业务。因此，虽然没有提供绝对资源保证，但是底层硬件确保所有可用资源(包括专用于较低优先级传输的资源)将可用于较高优先级传输。

在示例中，字段指示应用支持。在示例中，应用支持是语音呼叫支持、音乐支持或视频支持中的至少一个的指示。在示例中，应用支持是虚拟专用网络(vpn)支持的指示。此vpn支持在设备与网络端点(诸如，工作场所网络)之间提供加密隧道。这与主机130一般可执行的以便将设备105业务与其他设备的业务或主机的操作隔离的划分不同。

解码器115从多个主机信标提取端点性能数据结构集。主机130被布置为将端点性能数据结构添加到它们的信标。一旦解码了这些数据结构，其中包含的字段可被用于各种目的，包括确定要附连哪个主机130。

过滤器120被布置为基于端点性能数据结构集的成员的字段集对该端点性能数据结构集进行排序。此排序基于用户偏好来执行。例如，这些偏好可使性能优先于成本，或者在性能不是问题时强调成本节省，诸如在周期性地报告健康数据时。通常，排序在字段的层次上操作，例如首先标识具有最高带宽的主机130。当若干主机130具有相同的带宽(例如，在彼此的误差余量内；余量是可配置的)时，则对下一字段(诸如，等待时间或成本)进行排序。以这种方式，对从其接收信标的所有主机130进行定序。在示例中，定序可在每级排序丢弃主机130。在示例中，为字段指派权重(例如，乘数)。该字段中存在的度量标准与权重进行组合。在每个字段被加权时，主机分数被创建。主机分数随后可被定序以执行排序。在示例中，字段优先级排序与字段加权的组合可包括对经顺序排序的字段组的加权。

在示例中，为了基于该端点性能数据结构集的成员的字段集对端点性能数据结构集进行排序，过滤器120通过优先级映射对字段顺序地排序。在示例中，优先级映射包括字段的排名，过滤器120首先将具有较高排名的字段排序。在示例中，优先级映射包括用于至少一个字段的阈值，该阈值指定将考虑的字段值的范围。因此，范围之外的字段被分配相似的max或min值并且将进行相应地排序(例如，高于阈值的两个不同的值在此字段上将被排序成就像它们具有相同的max值一样)。在示例中，范围被定义为单个值和方向。此处，方向是以下的至少一个：大于、大于或等于、小于、或者小于或等于。

过滤器120基于已接收的端点性能数据结构中的字段来管理给定主机130的期望。因此，例如，排序可消除不支持语音数据的主机130，或者将低成本主机130的优先级排定为高于较高定价主机130。以这种方式，设备105可避免诸如拥塞(例如，使用给定主机的回程135的设备太多)或回程135收费昂贵之类的问题。

收发器125被布置成协商进入用于以下主机的回程135：该主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。当数据结构位于经排序集的端部时，在给定可用度量的情况下，它是最佳选择。协商是设备105与所选主机130之间的交换，该交换用于确定设备105是否将满足主机的预期。在示例中，收发器125将接收器110用于接收目的。

在示例中，为了协商进入回程，收发器125被布置为附连到主机。此附连是一种形式的临时网络进入，其使得常规网络进入程序被遵循以根据底层连接协议建立物理(phy)或介质访问(mac)通信。临时的含义在于，设备105此时仅与主机130通信，因为对回程135的访问尚未被准许。

在附连之后，收发器125被布置为使得资源的要约被传送到主机130。在示例中，资源是设备105的物理资源。此易换(barter)系统可在协作设备网状网络中提供可靠的交换条件。此处的目的可提供一种可靠的机制，以通过该机制来衡量利用并且绕过拥塞进行路由，而不是为主机运营商提供报酬。在示例中，资源是货币。

在示例中，为了协商进入回程135，可执行以下交易：用资源交换对回程的访问135。在示例中，交换发生在设备105经由主机130访问的远程供应商机器145处。在此示例中，设备105与主机130之间的临时连接被扩展以允许到远程供应商机器145的回程135连接，诸如由信用卡公司操作的连接。一旦交易完成，主机130就启用经由回程135到网络140的更一般的连接。

在示例中，设备105提供的要约被主机130拒绝。拒绝可能源于要约不足以满足用于主机130的端点性能数据结构中指示的条件。在示例中，主机130的操作条件可能已在发送端点性能数据结构的信标与设备105所作出的资源要约之间改变。例如，当另一设备的带宽使用增加时，或者如果另一设备已附连到主机130，则可能发生这种情况。在这些示例中，接收器110被布置为获得对要约的拒绝。收发器125随后响应于该拒绝来使资源的反要约被传送到主机130。反要约的参数可由用户配置，但不由用户实现。例如，用户可指定针对特定水平的带宽和等待时间的最大和最小投标价格。收发器125最初可能已尝试了此货币范围的下界并且已被拒绝。收发器125随后可基于诸如对数函数之类的函数来选择新的要约，通过该函数，对要约的初始改变较大，而随着要约的继续，改变减小。在示例中，协商时钟限制了要约和反要约交换的超时或数量。这便于以及时的方式选择主机130。

如上所述，设备105和主机130的安全性可以是诸如开放访问框架方面的问题。为了解决此问题，在示例中，接收器110和收发器125通过与主机130交换用于回程会话的安全凭证来协商进入回程。在示例中，安全凭证包括公钥证书。在示例中，为了交换安全凭证，经由主机130建立与权限机构150的接口。在示例中，安全凭证包括在协商之前与远程权限机构150协商的使用令牌。此处，主机130使用使用令牌来与远程权限机构150验证设备105。这些安全交换可通过以某种方式验证设备105而使主机受益。示例可包括验证：设备105是受信任的(例如，无病毒、与竞争公司无关等)，或者设备具有对主机130或主机130所属的组的订阅。

可通过将设备业务与主机130隔离来进一步扩展设备105与主机130之间的安全性。当设备105被用于从事非法或其他不期望活动时，这可以减轻例如主机责任。为了建立这种隔离，在示例中，收发器125被布置为经由主机130和回程135在设备105与目的地之间建立虚拟网络隧道，并经由虚拟网络隧道将数据传送到目的地。此类虚拟网络使主机130具有预防能力(inoculate)，因为主机130不能监听经由隧道传递的数据。因此，该益处也对设备105生效，防止了恶意主机运营商窃取数据。

上述系统可解决当用户或设备所有者想要转售或以其他方式向未知设备提供其wan访问时存在的技术困难。示例可包括：线缆订户或线缆提供者(例如，客体或唯一的ssid)可被转租以提供服务；用于公共环境(例如，餐馆、酒吧、图书馆等)中的非蜂窝设备(例如，平板、音乐播放器等)的wan服务；为设备/用户提供wan服务的下一代汽车等。

通常，主机130(例如，wan提供者)广播连接信息，诸如：连接类型(例如，3g、4g、5g等)；数据速度；链接上的用户计数；服务成本；是否允许vpn(例如，y/n)；当前操作频率(例如，2.4/5ghz)；设备的mimo特性；应用支持功能(例如，语音呼叫、音乐、视频等)；所保证的qos等。客户端(例如，设备105)基于上述参数对可见网络进行优先级排序，并选择服务并通过授权或订阅来进行订阅。主机130在验证订阅或授权之后允许分组路由。设备105可在未许可和经许可的无线路径上建立vpn或其他安全连接。

如上所述，设备105实现用于主机选择的排序和选择程序。例如，设备可首先基于设备105处的所接收信号，移除具有坏信号或不期望信号的主机130。其次，设备105可基于qos、等待时间、带宽或其他特性的目标值来对主机130进行优先级排序。一旦选取了主机130，设备105就可向主机130发送命令以发起连接。

针对设备操作的用户体验可能是本系统启用的这种动态服务提供者的挑战。使用令牌技术可通过允许设备105被权限机构150预授权来减少摩擦(friction)。本技术可包括由设备105和主机130执行的以下操作。

首先，设备105可生成(例如，获取)一次性使用令牌并将其安全地传送到主机130。此时不使用(或由主机130提供)更宽的网络(例如，因特网)连通性。

其次，主机130向设备105提供有限的连通性以与权限机构150交换证书。

第三，设备105使用证书对令牌加密并将经加密令牌安全地传送到主机130。

第四，主机130完成交易并为设备105启用回程135。

在此交换中，主机130被布置为支持多个设备(例如，订户)，并且还可以在“未连接”与“已连接”的状态之间移动设备。在下面的使用中，设备105执行动态绑定以经由主机130和回程135获取对网络140的访问。

首先，设备105对其可行的主机集130进行投标。

其次，主机130可对投标作出积极或消极的反应，或者给出替代的要约。

第三，设备105可接受投标并向所有其他主机130发送rejectpermanent(永久拒绝)或在接受之后停止响应，从而导致其他主机130上的超时。

第四，主机130跟踪关于带宽需求的度量。主机130可能在连接之前或连接期间触发浪涌模式(surgemode)。可迫使设备105接受浪涌状况(例如，费率)或将其移动到替代网络。

图2例示出根据实施例的用于建立虚拟专用网络的通信200的示例。通信200例示出网络进入程序，通过该网络进入程序，例如蜂窝服务的用户可通过诸如ieee802.11、ieee802.15.1之类的非蜂窝技术向其他用户提供广域网(wan)访问。

可通过将回程的属性广告给wan来提供wan访问。在示例中，广告采用信标的形式。在示例中，通过未许可带技术(例如，ieee802.11、ieee802.15.1等)来执行广告。在示例中，属性包括诸如应用支持、带宽、等待时间和成本之类的度量。

主机监视其当前提供回程服务的能力。此能力可通过回程定价或使用(例如，带宽上限、当日时间定价或可用度变化等)以及当前使用(例如，由主机的主要用户或使用开放端点的其他设备)来确定。在示例中，能力上的变化导致价格的变化。因此，当可用度低时，价格上涨。主机运营商可围绕此确定配置多个参数，诸如函数(指数、线性等)、时间参数(例如，更高的晚上和周末定价)等。用于主持开放端点的能力的因素被封装到端点性能数据结构中并经由信标(消息205)进行广播。

当设备进入主机的信标范围时(例如，当设备接收到信标时)，设备对信标进行解码以确定主机正在提供什么类型的端点。在来自传统无线网络进入的经修改附连程序中，设备利用投标(消息210)来附连。投标是一种数据结构，包括资源响应并且可能包括用于交易或以其他方式记录资源从设备运营商到主机运营商的传递的方式。如上所述，投标可能低于或甚至高于信标中要求的投标。

在设备可用的主机不止一个的示例中，投标可能反映出这种丰富程度。例如，根据合适主机的数量，投标可以更低。此外，可基于对可用主机的能力进行排序并联系具有更高排序排名的主机来选择进行投标的主机。通常，设备基于能力或成本对来自主机的wan回程提供进行优先级排定。

在主机接收到投标后，主机将确定是否继续附连程序。如果主机决定不继续，则附连失败，设备离开以寻找另一主机。然而，如果投标被接受，则连同进一步的附连指令(例如，要使用的安全设备、设备id等)通知设备(消息215)。设备随后利用接受完成附连(消息220)。在示例中，用于服务的计费交易通过对等或基于云的交易机制来完成。在示例中，主机不提供用于设备到回程的路由或桥接，直到针对服务的交易完成。

图3是与iot设备302的网状网络通信的云计算网络或云300的图，该网状网络可以被称为雾320，其在云300的边缘处操作。为了简化该图，没有对每个iot设备302进行标记。

可以将雾320认为是大规模地互连的网络，其中数个iot设备302例如通过无线电链路322与彼此进行通信。其可以使用由开放连接基金会(openconnectivityfoundation^tm，ocf)在2015年12月23日发布的开放互连联盟(openinterconnectconsortium，oic)标准规范3.0来被执行。该标准允许设备发现彼此并建立通信以用于互连。还可以使用其他互连协议(包括例如优化链路状态路由(olsr)协议或移动自组织网络更佳方案(betterapproachtomobilead-hocnetworking,b.a.t.m.a.n.)等)。

尽管在本示例中展示三种类型的iot设备302：网关324、数据聚合器326、以及传感器328，但可以使用iot设备302和功能的任何组合。网关324可以是提供云300与雾320之间的通信的边缘设备，并且还可以为从传感器328获得的数据(诸如，运动数据、流数据、温度数据等)提供后端处理功能。数据聚合器326可以从任何数量的传感器328收集数据，并执行后端处理功能以用于分析。结果、原始数据或这两者可以通过网关324传递到云300。传感器328可以是完整的iot设备302，例如，能够既收集数据又处理数据。在一些情况下，传感器328在功能上可能更受限制，例如，收集数据并允许数据聚合器326或网关324处理该数据。

来自任何iot设备302的通信可以沿iot设备302中的任一者之间的最方便的路径被传递以到达网关324。在这些网络中，互连的数目提供了大量冗余，这允许即使在损失数个iot设备302的情况下也维持通信。此外，网状网络的使用可以允许使用功率非常低或位于距基础结构一定距离的iot设备302，因为连接到另一个iot设备302的范围可能比连接到网关324的范围小得多。

可将这些iot设备302的雾320呈现给云300中的设备(诸如服务器304)以作为位于云300的边缘的单个设备(例如，雾320设备)。在该示例中，来自雾320设备的警报可以在不被识别为来自雾320内的特定iot设备302的情况下被发送。

在一些示例中，可以使用命令性编程风格来配置iot设备302，例如，每个iot设备302具有特定功能和通信伙伴。然而，形成雾320设备的iot设备302可以以说明性编程风格配置，允许iot设备302重新配置它们的操作和通信，诸如响应于条件、查询和设备故障来确定所需的资源。作为示例，来自位于服务器304处的用户关于由iot设备302监测的装备子集的操作的查询可以导致雾320设备选择回答该查询所需的iot设备302，诸如，特定的传感器328。随后，在由雾320设备继续发送到服务器304以回答该查询之前，可以通过传感器328、数据聚合器326或网关324的任何组合来聚合并分析来自这些传感器328的数据。在该示例中，雾320中的iot设备302可以基于查询选择使用的传感器328，诸如添加来自流量传感器或温度传感器的数据。此外，如果iot设备302中的一些不可操作，则雾320设备中的其他iot设备302可以提供类似的数据(如果可得的话)。

图4例示出根据实施例的用于实现虚拟专用网络的方法400的示例。方法400的所有操作由诸如以上或以下所描述的计算机硬件(例如，电路系统)来执行。

在操作405处，主机从设备接收用于访问的请求。主机评估所请求的数据的类型。数据类型可包括语音数据、一般数据、视频数据等。

在操作410处，在所请求的数据类型已知之后，主机创建规则集。在示例中，规则集被具体化在端点性能数据结构中。规则集建立了设备可获得对主机的回程的访问的参数。规则集由上游提供者(例如，蜂窝或线缆服务)提供给主机。

在操作415处，主机对照主机可用的其他规则集(如果有的话)评估规则集。在示例中，设备评估侧重于评估具体化在规则集中的数据费率计划。此评估可基于当日时间、星期几、假期或位置而变化。此变化表明在某些时间或位置条件下的预期服务将花费更多或更少，并且对可用服务的评估可基于这些条件而变化。

在操作420处，将用于进入的参数推送到设备。正是这些参数构成了开放访问协商的主机侧。

在操作425处，为了促进与主机的协商，设备可以收集度量以确定替代wan访问路径的使用和可用。

在操作430处，来自操作425的对设备可见的使用数据被用于修改与主机的协商实践。例如，如果存在过剩的容量，则设备可提供低于原本情形的投标。

图5例示出根据实施例的用于主机实现虚拟专用网络的方法500的示例。方法500的所有操作由诸如以上或以下所描述的计算机硬件(例如，电路系统)来执行。

在操作505处，主机从设备(例如，客户端)接收数据分类。数据分类可包括以下中的一个或多个：数据类型(例如，视频、聊天、流送等)、qos指定、网络目的地等。

在操作510处，主机生成针对与数据分类相对应的信道的情境相关约束。此处使用的信道是可专用于特定目的(诸如，处理设备的数据)的逻辑资源集合。信道可以是特定的回程、回程的部分(例如，可用带宽的子集)、无线资源(例如，特定频带或子带)、或可用资源的其他子集。

情境相关约束是设备必须满足以便获得对信道的访问的可观察且可强制的条件。此类约束的示例是设备用来与主机安全通信的安全机制。另一示例可包括设备可交易以访问信道的可用资源，诸如钱。约束是情境相关的，因为其可基于时间、主机的当前资源利用、数据分类、或甚至设备的类型或所有权而改变。因此，在高峰时段期间，访问信道的费率可能高于非高峰时段。类似地，视频流送可能比一般数据访问便宜。这种灵活的约束系统允许最有效地使用端点资源，因为需求中的资源将更加昂贵，导致设备寻找其他提供者并且平衡(eveningout)负载。

在操作515处，将情境相关约束传送到客户端设备。此传输可特定于最初提供数据分类的设备。在示例中，将传输提供给请求访问的任何客户端。在示例中，传输是广播，该广播可由任何客户端使用而不关心未决的访问请求。在示例中，传输在信标中。信标常常被用于无线技术，诸如ieee802.11，用于宣告主机并提供附连信息，诸如定时、可用频率等。这些信标机制可被扩展成包括约束。通过在信标中包括约束，可避免至少一个请求响应传输周期，从而提高有用工作的频谱效率。

设备可使用约束来评估可用主机，选择具有比其他主机好的约束条件的主机。如上所述，这种资源市场将导致高效的无线电和端点资源利用。一旦客户端找到期望的主机，客户端将附连到主机并协商访问主机回程。一旦完成，设备将能够访问网络。

在操作520处，主机可周期性地请求来自客户端的使用分析。这些使用分析为主机提供客户端设备人口统计信息，允许主机更好地估计资源可用度、资源限制以及影响情境相关约束生成的其他因素。在传输之前，客户端可使用户分析进行匿名化，以保护客户端设备免于泄露用户的个人数据，同时仍然通知主机。

在操作525处，主机用所接收的使用分析来更新其情境。情境可以是正在进行的计数或对各种度量的估计，诸如运行平均值。在示例中，对情境的分析贡献是老化的，使得较旧的分析度量对情境值的影响小于更新的当前度量。以这种方式，无需用户干预即可解决客户端资源使用随时间的缓慢变化。因此，情境注意到场景中朝向视频流送的趋势，而即时消息中的短暂峰值将不会在很大程度上影响情境，所有这些都没有用户干预。

图6例示出根据实施例的用于设备实现虚拟专用网络的方法600的示例。方法400的所有操作由诸如以上或以下所描述的计算机硬件(例如，电路系统)来执行。

在操作605处，获得多个主机信标。此处，每个信标与回程相对应。因此，单个主机可具有针对主机提供的多个回程中的每一个的不同信标。信标还各自包括端点性能数据结构。

在操作610处，从多个主机信标提取(例如，解码)端点性能数据结构集。

在操作615处，基于端点性能数据结构集的成员的字段集对该端点性能数据结构集进行排序。在示例中，字段集包括以下中的至少一个：连接类型、带宽、等待时间、使用回程的用户的数量、回程成本、物理层特性、qos或应用支持。在示例中，物理层特性是以下中的至少一个：频率、信道宽度或多输入多输出(mimo)配置。在示例中，连接类型包括所接收信号强度或协议中的至少一个。在示例中，应用支持是以下中的至少一个的指示：语音呼叫支持、音乐支持、视频支持、或虚拟专用网络(vpn)支持。

在示例中，基于端点性能数据结构集的成员的字段集对端点性能数据结构集进行排序包括通过优先级映射对字段顺序地排序。这里，优先级映射包括字段的排名。在排序期间，首先将具有较高排名的字段进行排序。在示例中，优先级排名包括至少一个字段的阈值。阈值指定将考虑的字段值的范围。在示例中，范围被定义为单个值和方向，其中该方向是大于、大于或等于、小于、或者小于或等于中的至少一个。

在操作620处，协商进入用于以下主机的回程：该主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。在示例中，协商包括附连到主机，以及使资源的提供被传送到主机。在示例中，方法600被扩展为还包括获得对要约的拒绝，并且响应于拒绝而使资源的反要约被传送到主机。在示例中，资源是货币。在示例中，资源是设备的物理资源。在示例中，协商进入回程包括执行以下交易：用资源交换对回程的访问。在示例中，交换发生在经由主机访问的远程供应商机器处。

在示例中，协商进入回程包括与主机交换用于回程会话的安全凭证。在示例中，安全凭证包括公钥证书。在示例中，交换安全凭证包括经由主机与权限机构接口连接。在示例中。此处，安全凭证包括在协商之前与远程权限机构协商的使用令牌。主机随后使用此使用令牌来与远程权限机构验证该设备。

方法600可任选地扩展为包括经由主机和回程在设备与目的地之间建立虚拟网络隧道。在建立此隧道之后，方法600包括经由虚拟网络隧道将数据传送到目的地。

图7例示出本文中所讨论的技术(例如，方法)中的任何一者或多者可在其上执行的示例机器700的框图。在替代实施例中，机器700可作为独立设备或可被连接(例如，联网)至其他机器来操作。在联网的部署中，机器700可在服务器-客户端网络环境中的服务器、客户端或其两者的能力内操作。在示例中，机器700可充当对等(p2p)(或其他分布式)网络环境中的对等机器。机器700可以是个人计算机(pc)、平板pc、机顶盒(stb)、个人数字助理(pda)、移动电话、web设备、网络路由器、交换机或桥、或者能够执行指定由该机器执行的动作的指令(顺序的或以其他方式)的任何机器。此外，虽然只图示出单个机器，但是术语“机器”也应当认为包括单独或联合地执行一组(或多组)指令以便执行本文所讨论的方法中的任何一种或多种方法的机器的任意集合，诸如云计算、软件即服务(saas)和其他计算机集群配置。

如本文中所描述的示例可包括逻辑或数个组件或机制，或者可由逻辑或数个组件或机制操作。电路系统是在有形实体中实现的电路的集合，其包括硬件(例如，简单电路、门、逻辑等)。电路系统成员随着时间的推移以及底层的硬件变化可以是灵活的。电路系统包括在操作时可单独地或组合地执行所指定操作的成员。在示例中，电路系统的硬件可被永久地设计为执行特定操作(例如，硬连线式)。在示例中，电路系统的硬件可包括可变连接的物理组件(例如，执行单元、晶体管、简单电路等)，包括物理上被修改(例如，对不变聚集粒子的磁性、电气、可移动地布置等)以对特定操作的指令进行编码的计算机可读介质。在连接物理组件时，硬件组成部分的底层电气性质改变，例如从绝缘体改变为导体，反之亦然。这些指令使嵌入式硬件(例如，执行单元或加载机构)能够经由可变连接在硬件中创建电路系统的成员以在操作时执行特定操作的部分。相应地，当设备正在操作时，计算机可读介质通信地耦合至电路系统成员的其他组件。在示例中，物理组件中的任一个可在多于一个电路系统的多于一个成员中使用。例如，在操作下，执行单元可在一个时刻在第一电路系统的第一电路中被使用，并且在不同的时间被第一电路系统中的第二电路或被第二电路系统中的第三电路重新使用。

机器(例如，计算机系统)700可包括硬件处理器702(例如，中央处理单元(cpu)、图形处理单元(gpu)、硬件处理器核或者其任何组合)、主存储器704以及静态存储器706，这些组件中的一些或全部可经由互链路(例如，总线)708彼此通信。机器700还可包括显示单元710、字母数字输入设备712(例如，键盘)以及用户界面(ui)导航设备714(例如，鼠标)。在示例中，显示单元710、输入设备712以及ui导航设备714可以是触摸屏显示器。机器700可另外包括存储设备(例如，驱动单元)716、信号生成设备718(例如，扬声器)、网络接口设备720以及一个或多个传感器721(诸如，全球定位系统(gps)传感器、罗盘、加速度计或其他传感器)。机器700可包括连通或者控制一个或多个外围设备(例如，打印机、读卡器等)的输出控制器728，诸如串行(例如，通用串行总线(usb))、并行、或者其他有线或无线(例如，红外(ir)、近场通信(nfc)等)连接。

存储设备716可包括在其上存储一组或者多组数据结构或指令724(例如，软件)的机器可读介质722，该数据结构或指令724由本文中所描述的技术或功能中的任何一者或多者体现或利用。指令724还可在由机器700对其的执行期间完全地或至少部分地驻留在主存储器704内、在静态存储器706内、或者在硬件处理器702内。在示例中，硬件处理器702、主存储器704、静态存储器706或存储设备716的其中一者或任何组合都可以构成机器可读介质。

尽管机器可读介质722被图示为单个介质，但是术语“机器可读介质”可包括被配置成用于存储一个或多个指令724的单个介质或多个介质(例如，集中式或分布式数据库、和/或相关联的高速缓存和服务器)。

术语“机器可读介质”包括能够存储、编码或携带供机器700执行并且使机器700执行本公开的任何一项或多项技术的指令，或者能够存储、编码或携带此类指令所使用的或与此类指令相关联的数据结构的任何介质。非限制性的机器可读介质示例可包括固态存储器以及光和磁介质。在示例中，大容量机器可读介质包括具有多个颗粒的机器可读介质，这些颗粒具有不变(例如，静止)质量。相应地，大容量机器可读介质不是瞬态传播信号。大容量机器可读介质的具体示例可包括：非易失性存储器，诸如半导体存储器设备(例如，电可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom))以及闪存设备；磁盘，诸如内部硬盘和可移动盘；磁光盘；以及cd-rom和dvd-rom盘。

指令724可利用数个传输协议(例如，帧中继、因特网协议(ip)、传输控制协议(tcp)、用户数据报协议(udp)、超文本传输协议(http)等)中的任何一个经由网络接口设备720使用传输介质通过通信网络726被进一步传送或接收。示例通信网络可包括局域网(lan)、广域网(wan)、分组数据网络(例如，因特网)、移动电话网络(例如，蜂窝网络)、普通老式电话(pots)网络、以及无线数据网络(例如，称为的电气与电子工程师协会(ieee)802.11标准族、称为的ieee802.16标准族)、ieee802.15.4标准族、对等(p2p)网络等等。在示例中，网络接口设备720可包括用于连接到通信网络726的一个或多个物理插口(jack)(例如，以太网、共轴、或电话插口)或者一根或多根天线。在示例中，网络接口设备720可包括使用单输入多输出(simo)、多输入多输出(mimo)，或多输入单输出(miso)技术中的至少一种无线地通信的多根天线。术语“传输介质”应当包括任何无形的介质，所述任何无形的介质能够存储、编码或携带由机器700执行的指令，并且“传输介质”包括数字或模拟通信信号或者用于促进此类软件的通信的其他无形的介质。

附加注释和示例：

示例1是一种用于虚拟专用网络的设备的组件，该组件包括：接收器，用于获得多个主机信标，每个信标与回程相对应并且包括端点性能数据结构；解码器，用于从多个主机信标提取端点性能数据结构集；以及过滤器，用于基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序。

在示例2中，示例1的主题包括收发器，用于协商进入用于以下主机的回程：主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。

在示例3中，示例2的主题包括，其中协商进入回程包括收发器用于：附连到主机；以及使资源的要约被传送到主机。

在示例4中，示例3的主题包括，其中收发器用于获得对要约的拒绝，并且其中收发器用于响应于拒绝而使资源的反要约被传送到主机。

示例5中，示例3-4的主题包括，其中资源是货币。

在示例6中，示例5的主题包括，其中协商进入回程包括执行以下交易：用资源交换对回程的访问。

在示例7中，示例6的主题包括，其中交换发生在设备经由主机访问的远程供应商机器处。

示例8中，示例3-7的主题包括，其中资源是设备的物理资源。

在示例9中，示例2-8的主题包括，其中协商进入回程包括接收器和收发器与主机交换用于回程会话的安全凭证。

在示例10中，示例9的主题包括，其中安全凭证包括公钥证书。

在示例11中，示例9-10的主题包括，其中交换安全凭证包括经由主机与权限机构以接口连接。

在示例12中，示例9-11的主题包括，其中安全凭证包括在协商之前与远程权限机构协商的使用令牌，使用令牌被主机用于与远程权限机构验证设备。

在示例13中，示例1-12的主题包括，其中字段集包括以下中的至少一个：连接类型、带宽、等待时间、使用回程的用户的数量、回程成本、物理层特性、服务质量(qos)、或应用支持。

在示例14中，示例13的主题包括，其中物理层特性是以下中的至少一个：频率、信道宽度、或多输入多输出(mimo)配置。

在示例15中，示例13-14的主题包括，其中连接类型包括所接收信号强度或协议中的至少一个。

在示例16中，示例13-15的主题包括，其中应用支持是以下中的至少一个的指示：语音呼叫支持、音乐支持、视频支持、或虚拟专用网络(vpn)支持。

在示例17中，示例2-16的主题包括，其中收发器还用于：经由主机和回程在设备与目的地之间建立虚拟网络隧道；并经由虚拟网络隧道将数据传送到目的地。

在示例18中，示例1-17的主题包括，其中基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序包括过滤器用于通过优先级映射来对字段顺序地排序，优先级映射包括对字段的排名，具有较高排名的字段被首先排序。

在示例19中，示例18的主题包括，其中优先级映射包括用于至少一个字段的阈值，阈值指定将考虑的字段的值的范围。

在示例20中，示例19的主题包括，其中范围被定义为单个值和方向，其中方向是大于、大于或等于、小于、或者小于或等于中的至少一个。

示例21是一种用于虚拟专用网络的主机的组件，该组件包括：第一收发器,用于：传送包括端点性能数据结构的信标；从设备接收初步附连，包括对端点性能数据结构中的条件字段的响应；从设备接收结论消息；在接收到结论消息后，从设备接受数据；第二收发器，用于经由回程来传达来自设备的数据；以及计数器，用于：比较对条件字段中的值的响应；批准用于对条件字段中的值做出响应的设备的连接，该批准发起结论消息；以及响应于回程活动来改变条件字段。

在示例22中，示例21的主题包括，其中信标包括遗留数据集和扩展，并且其中端点性能数据结构是扩展。

示例23是一种用于虚拟专用网络的设备的方法，该方法包括：获得多个主机信标，每个信标与回程相对应并且包括端点性能数据结构；从多个主机信标提取端点性能数据结构集；基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序；以及协商进入用于以下主机的回程：主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。

在示例24中，示例23的主题包括，其中协商进入回程包括：附连到主机；以及使资源的要约被传送到主机。

在示例25中，示例24的主题包括，获得对要约的拒绝，以及响应于拒绝而使资源的反要约被传送到主机。

示例26中，示例24-25的主题包括，其中资源是货币。

在示例27中，示例26的主题包括，其中协商进入回程包括执行以下交易：用资源交换对回程的访问。

在示例28中，示例27的主题包括，其中交换发生在经由主机访问的远程供应商机器处。

示例29中，示例24-28的主题包括，其中资源是设备的物理资源。

在示例30中，示例23-29的主题包括，其中协商进入回程包括与主机交换用于回程会话的安全凭证。

在示例31中，示例30的主题包括，其中安全凭证包括公钥证书。

在示例32中，示例30-31的主题包括，其中交换安全凭证包括经由主机与权限机构以接口连接。

在示例33中，示例30-32的主题包括，其中安全凭证包括在协商之前与远程权限机构协商的使用令牌，使用令牌被主机用于与远程权限机构验证设备。

在示例34中，示例23-33的主题包括，其中字段集包括以下中的至少一个：连接类型、带宽、等待时间、使用回程的用户的数量、回程成本、物理层特性、服务质量(qos)、或应用支持。

在示例35中，示例34的主题包括，其中物理层特性是以下中的至少一个：频率、信道宽度、或多输入多输出(mimo)配置。

在示例36中，示例34-35的主题包括，其中连接类型包括所接收信号强度或协议中的至少一个。

在示例37中，示例34-36的主题包括，其中应用支持是以下中的至少一个的指示：语音呼叫支持、音乐支持、视频支持、或虚拟专用网络(vpn)支持。

在示例38中，示例23-37的主题包括，经由主机和回程在设备与目的地之间建立虚拟网络隧道；以及经由虚拟网络隧道将数据传送到目的地。

在示例39中，示例23-38的主题包括，其中基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序包括通过优先级映射来对字段顺序地排序，优先级映射包括对字段的排名，具有较高排名的字段被首先排序。

在示例40中，示例39的主题包括，其中优先级映射包括用于至少一个字段的阈值，阈值指定将考虑的字段的值的范围。

在示例41中，示例40的主题包括，其中范围被定义为单个值和方向，其中方向是大于、大于或等于、小于、或者小于或等于中的至少一个。

在示例42包括至少一个机器可读介质，其包括指令，指令在被处理电路系统执行时，使处理电路系统执行示例23-41中的任一方法。

在示例43是一种系统，系统包括用于执行示例23-41中的任一方法的装置。

示例44是一种用于虚拟专用网络的设备的系统，该系统包括：用于获得多个主机信标的装置，每个信标与回程相对应并且包括端点性能数据结构；用于从多个主机信标提取端点性能数据结构集的装置；用于基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序的装置；以及用于协商进入用于以下主机的回程的装置，主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。

在示例45中，示例44的主题包括，其中用于协商进入回程的装置包括：用于附连到主机的装置；以及用于使资源的要约被传送到主机的装置。

在示例46中，示例45的主题包括，用于获得对要约的拒绝的装置，以及用于响应于拒绝而使资源的反要约被传送到主机的装置。

示例47中，示例45-46的主题包括，其中资源是货币。

在示例48中，示例47的主题包括，其中用于协商进入回程的装置包括用于执行以下交易的装置：用资源交换对回程的访问。

在示例49中，示例48的主题包括，其中交换发生在经由主机访问的远程供应商机器处。

示例50中，示例45-49的主题包括，其中资源是设备的物理资源。

在示例51中，示例44-50的主题包括，其中用于协商进入回程的装置包括用于与主机交换用于回程会话的安全凭证的装置。

在示例52中，示例51的主题包括，其中安全凭证包括公钥证书。

在示例53中，示例51-52的主题包括，其中用于交换安全凭证的装置包括经由主机与权限机构以接口连接。

在示例54中，示例51-53的主题包括，其中安全凭证包括在协商之前与远程权限机构协商的使用令牌，使用令牌被主机用于与远程权限机构验证设备。

在示例55中，示例44-54的主题包括，其中字段集包括以下中的至少一个：连接类型、带宽、等待时间、使用回程的用户的数量、回程成本、物理层特性、服务质量(qos)、或应用支持。

在示例56中，示例55的主题包括，其中物理层特性是以下中的至少一个：频率、信道宽度、或多输入多输出(mimo)配置。

在示例57中，示例55-56的主题包括，其中连接类型包括所接收信号强度或协议中的至少一个。

在示例58中，示例55-57的主题包括，其中应用支持是以下中的至少一个的指示：语音呼叫支持、音乐支持、视频支持、或虚拟专用网络(vpn)支持。

在示例59中，示例44-58的主题包括，用于经由主机和回程在设备与目的地之间建立虚拟网络隧道的装置；以及用于经由虚拟网络隧道将数据传送到目的地的装置。

在示例60中，示例44-59的主题包括，其中用于基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序的装置包括通过优先级映射来对字段顺序地排序，优先级映射包括对字段的排名，具有较高排名的字段被首先排序。

在示例61中，示例60的主题包括，其中优先级映射包括用于至少一个字段的阈值，阈值指定将考虑的字段的值的范围。

在示例62中，示例61的主题包括，其中范围被定义为单个值和方向，其中方向是大于、大于或等于、小于、或者小于或等于中的至少一个。

示例63是包括用于虚拟专用网络的至少一种机器可读介质，该指令在被机器执行时，使机器执行包括以下步骤的操作：获得多个主机信标，每个信标与回程相对应并且包括端点性能数据结构；从多个主机信标提取端点性能数据结构集；基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序；以及协商进入用于以下主机的回程：主机与经排序端点性能数据结构集的端部处的端点性能数据结构相对应。

在示例64中，示例63的主题包括，其中协商进入回程包括：附连到主机；以及使资源的要约被传送到主机。

示例65中，示例64的主题包括，其中操作进一步包括：获得对要约的拒绝；以及响应于拒绝而使资源的反要约被传送到主机。

示例66中，示例64-65的主题包括，其中资源是货币。

在示例67中，示例66的主题包括，其中协商进入回程包括执行以下交易：用资源交换对回程的访问。

在示例68中，示例67的主题包括，其中交换发生在经由主机访问的远程供应商机器处。

示例69中，示例64-68的主题包括，其中资源是设备的物理资源。

在示例70中，示例63-69的主题包括，其中协商进入回程包括与主机交换用于回程会话的安全凭证。

在示例71中，示例70的主题包括，其中安全凭证包括公钥证书。

在示例72中，示例70-71的主题包括，其中交换安全凭证包括经由主机与权限机构以接口连接。

在示例73中，示例70-72的主题包括，其中安全凭证包括在协商之前与远程权限机构协商的使用令牌，使用令牌被主机用于与远程权限机构验证设备。

在示例74中，示例63-73的主题包括，其中字段集包括以下中的至少一个：连接类型、带宽、等待时间、使用回程的用户的数量、回程成本、物理层特性、服务质量(qos)、或应用支持。

在示例75中，示例74的主题包括，其中物理层特性是以下中的至少一个：频率、信道宽度、或多输入多输出(mimo)配置。

在示例76中，示例74-75的主题包括，其中连接类型包括所接收信号强度或协议中的至少一个。

在示例77中，示例74-76的主题包括，其中应用支持是以下中的至少一个的指示：语音呼叫支持、音乐支持、视频支持、或虚拟专用网络(vpn)支持。

示例78中，示例63-77的主题包括，其中操作进一步包括：经由主机和回程在设备与目的地之间建立虚拟网络隧道；并经由虚拟网络隧道将数据传送到目的地。

在示例79中，示例63-78的主题包括，其中基于端点性能数据结构集的成员的字段集来对端点性能数据结构集进行排序包括通过优先级映射来对字段顺序地排序，优先级映射包括对字段的排名，具有较高排名的字段被首先排序。

在示例80中，示例79的主题包括，其中优先级映射包括用于至少一个字段的阈值，阈值指定将考虑的字段的值的范围。

在示例81中，示例80的主题包括，其中范围被定义为单个值和方向，其中方向是大于、大于或等于、小于、或者小于或等于中的至少一个。

示例82是至少一种机器可读介质，其包括指令，指令在被处理器电路系统执行时，使得处理器电路系统执行操作以便实现示例1-81中的任一示例。

示例83是一种设备，包括用于实现示例1-81中的任一示例的装置。

示例84是一种系统，用于实现示例1-81中的任一示例。

示例85是一种方法，用于实现示例1-81中的任一示例。

以上具体实施方式包括对附图的引用，附图形成具体实施方式的部分。附图通过例示方式示出可被实施的具体实施例。这些实施例在本文中也被称为“示例”。此类示例可包括除所示出或所描述的那些元件以外的元件。然而，本申请发明人还构想了其中只提供所示出或所描述的那些元素的示例。另外，本申请发明人还构想了相对于特定示例(或者其一个或多个方面)或者相对于本文中所示出或所描述的其他示例(或者其一个或多个方面)使用所示出或所描述的那些元素(或者其一个或多个方面)的组合或排列的示例。

本文档中所涉及的所有公开、专利和专利文档通过引用整体结合于此，如通过引用单独地结合。在本文档和通过引用所结合的那些文档之间的不一致的用法的情况下，在结合的(多个)引用中的用法应当被认为是对本文档的用法的补充；对于不可调和的不一致，以本文档中的用法为准。

在此文档中，如在专利文档中常见的那样，使用术语“一(a或an)”以包括一个或多于一个，这独立于“至少一个”或“一个或多个”的任何其他实例或用法。在此文档中，使用术语“或”来指非排他性的或，使得除非另外指示，否则“a或b”包括“a但非b”、“b但非a”、以及“a和b”。在所附权利要求书中，术语“包括(including)”和“其中(inwhich)”被用作相应的术语“包括(comprising)”和“其中(wherein)”的普通英语等价词。此外，在所附权利要求书中，术语“包括”和“包含”是开放式的，也就是说，在权利要求中除此类术语之后列举的那些元件之外的元件的系统、设备、制品或过程仍被视为落在那项权利要求的范围内。此外，在所附权利要求书中，术语“第一”、“第二”、“第三”等仅用作标记，而不旨在对它们的对象施加数值要求。

以上描述旨在是说明性的，而非限制性的。例如，上述示例(或者其一个或多个方面)可相互组合使用。诸如由本领域普通技术人员在仔细阅读以上描述之后实施的其他实施例也可以被使用。摘要用于允许读者快速地确认本技术公开的性质，并且提交此摘要需理解：它不用于解释或限制权利要求书的范围或含义。而且，在以上具体实施方式中，各种特征可共同成组以使本公开流畅。但这不应被解释为意指未要求保护的所公开特征对任何权利要求而言都是必要的。相反，发明性主题可在于少于特定的所公开实施例的所有特征。因此，所附权利要求在此被结合到具体实施方式中，其中每项权利要求独立成为单独实施例。各实施例的范围应当参考所附权利要求连同这些权利要求赋予的等效方案的全部范围而确定。