用于安全网络通信的系统和方法与流程
本公开涉及安全网络通信的领域,更具体地,涉及用于广域网(wan)内的高效并且安全的通信的方法和系统。
背景技术
为了接入广域网(wan),一系列的网络路由器和交换机(本文中统称为“网络设备”)被用于把用户计算设备和主机计算设备连接到wan。wan可连接在多个远程位置处的设备并通过因特网通信。保护这些位置之间的通信是高度优先的;然而,在许多情况下,这可能是昂贵和/或耗费时间的。随着新的计算机网络安全技术的发展,这些技术中的许多技术需要专用硬件。这种专用硬件可能无法与现有系统合作,需要计算机网络运营商移除不与专用硬件交互的可能必需的硬件。
技术实现要素:
在一个方面,提供一种用于安全网络通信的系统。所述系统包括与第三方设备和外部设备通信的执行交换机(enforcementswitch),和与所述第三方设备和多个接入设备通信的多个核心设备。所述执行交换机被配置成从所述外部设备接收安全帧。所述安全帧包括一个或多个安全特征。所述安全帧去往所述多个接入设备中的一个或多个接入设备。所述执行交换机还被配置成基于所述安全帧通过除去所述一个或多个安全特征来生成常规帧,并把所述常规帧传送给所述第三方设备,以便通过所述多个核心设备中的至少一个核心设备路由到所述多个接入设备中的所述一个或多个接入设备。
在再一个方面,提供一种执行交换机。所述执行交换机与第三方设备和外部设备通信。所述执行交换机被配置成从所述外部设备接收安全帧。所述安全帧包括一个或多个安全特征。所述安全帧去往多个接入设备中的一个或多个接入设备。所述执行交换机还被配置成基于所述安全帧通过除去所述一个或多个安全特征来生成常规帧,并把所述常规帧传送给所述第三方设备,以便路由到所述多个接入设备中的所述一个或多个接入设备。
在另一个方面,提供一种计算机实现的用于安全网络通信的方法。所述方法是在与第三方设备和外部设备通信的执行交换机上实现的。所述方法包括从所述外部设备接收安全帧。所述安全帧包括一个或多个安全特征。所述安全帧去往多个接入设备中的一个或多个接入设备。所述方法还包括基于所述安全帧通过除去所述一个或多个安全特征来生成常规帧,并把所述常规帧传送给所述第三方设备,以便通过所述多个核心设备中的至少一个核心设备路由到所述多个接入设备中的所述一个或多个接入设备。
附图说明
图1-5表示本文中所述的方法和系统的示例实施例。
图1是图解说明示例多位置广域网(wan)的示意图。
图2是图解说明图1中所示的wan的分层视图的示意图。
图3图解说明用于在图1和2中所示的wan内,高效并且安全地通信的网络组件的示例配置。
图4图解说明按照本公开的一个实施例,图2中所示的客户端系统的示例配置。
图5是利用图3中所示的网络配置,在图1和2中所示的wan内高效并且安全地通信的处理的流程图。
具体实施方式
下面的详细说明以示例性而不是限制性的方式示出本公开的实施例。所述说明清晰地使本领域的技术人员能够实现和使用本公开,并且描述了在广域网(wan)内高效并且安全地通信的系统和方法的本公开的一些实施例、修改、变化、替代和使用,包括目前认为的实现本公开的最佳方式。
在示例实施例中,wan与远程位置通信。在一个例子中,远程位置可能是其中wan支持多个位置的中央服务器系统。在另一个例子中,所述远程位置是wan支持的不同位置。在示例实施例中,wan路由器与所述远程位置关联。在示例实施例中,wan路由器接收来自远程位置的计算机设备的分组,以便传送给wan。wan路由器把经编码的分组(也被称为安全帧)传送给作为wan的一部分的编码器/解码器。在一些实施例中,编码器/解码器也被称为执行交换机。
在示例实施例中,经编码的分组是已经被编码以包括安全信息(也被称为安全特征)的经修改的分组。在该实施例中,分组基于利用传输协议的传输帧。为了改善传输帧的安全性,分组被修改以包括安全信息,诸如嵌入在分组的报头中的安全组标签信息之类。在一些实施例中,安全信息被配置成由wan的设备分析,以确保分组未被篡改。例如,经编码的分组可以是具有已被修改以包括安全信息的报头的802.1q以太网帧。由于报头已被修改,诸如通过添加额外的数据字节之类,因此通常的802.1q设备不能正确地处理该802.1q帧。
在示例实施例中,分组被编码成与和wan关联的一个或多个安全策略一致。在一些实施例中,所述一个或多个安全策略由一个或多个核心层设备管理。
然而,在示例实施例中,诸如wan优化器之类的第三方设备是wan的一部分。wan优化器不被配置成能够处理经编码的分组。wan优化器只被配置成处理基本分组。编码器/解码器接收来自wan路由器的经编码的分组。编码器/解码器从所述分组的报头中除去安全信息并把该分组改造成正常分组。编码器/解码器把所述正常分组传送给wan优化器。wan优化器处理所述正常分组,并把经处理的分组传送给一个或多个核心设备(也被称为核心交换机)。
核心设备接收经处理的分组。在示例实施例中,核心设备把经处理的分组重新编码成处理后的经编码的分组。经处理的经编码的分组通过核心设备、分发设备和接入设备的网络被路由到分组的预定目的地。
例如,wan路由器把经编码的802.1q分组传送给编码器/解码器。在这个例子中,经编码的802.1q分组在其报头中包含表示安全组标签信息的多个额外字节。编码器/解码器接收经编码的802.1q分组,并从报头中除去所述额外字节,从而创建基本802.1q分组。编码器/解码器把所述基本802.1q分组传送给wan优化器。wan优化器处理所述基本802.1q分组,并把经处理的802.1q分组传送给核心设备中的一个或多个。核心设备对经处理的802.1q分组重新编码,重新编码的处理后的802.1q分组随后被路由到适当的目的地。
记载在本文中的方法和系统可利用计算机编程或工程技术,包括计算机软件、固件、硬件、或者任何组合或子集来实现。如上所述,现有系统的至少一个技术问题在于在不要求训练有素的人员配置设备的情况下,需要用于持续地配置网络设备的系统。记载在本文中的系统和方法解决了该技术问题。记载在本文中的系统和处理的技术效果是通过进行下述步骤中的至少一个步骤实现的:(a)形成包括多个接入设备、执行交换机和第三方设备的广域网(wan),其中所述第三方设备是wan优化器并且不能处理安全帧,并且其中外部设备在wan之外;(b)从所述外部设备接收安全帧,其中所述安全帧包括一个或多个安全特征,并且其中所述安全帧去往所述多个接入设备中的一个或多个接入设备;(c)基于所述安全帧生成常规帧,其中所述常规帧是通过除去所述一个或多个安全特征而生成的;(d)把所述常规帧传送给所述第三方设备,以便通过多个核心设备中的至少一个路由到所述多个接入设备中的所述一个或多个接入设备;(e)从第三方设备接收常规帧;(f)基于安全策略确定安全帧的一个或多个安全特征;(g)基于常规帧和所述一个或多个安全特征生成安全帧;(h)把安全帧传送给所述多个接入设备中的一个或多个接入设备;和(i)通过一个或多个核心设备和一个或多个分发设备,把安全帧路由到一个或多个接入设备。由此产生的技术效果是配置包含第三方设备的安全网络,而不需要现有网络的昂贵并且费时的重组和再造。
在一个实施例中,提供一种计算机程序,所述程序实施在计算机可读介质上。在示例实施例中,系统是在单个计算机系统上执行的,而不需要与服务器计算机的连接。在进一步的示例实施例中,系统运行在
在一个实施例中,提供一种计算机程序,并且所述程序实施在计算机可读介质上,并借助客户端用户接口前端利用结构化查询语言(sql)以便进行管理,并且借助web界面以便进行标准用户输入和报告。在再一个实施例中,系统启用web并运行在业务实体内联网上。在又一个实施例中,系统由在业务实体的防火墙之外的具有授权访问权限的个人通过因特网完全访问。在另一个实施例中,系统运行在
如这里所使用的,以单数形式记载并且在其前面加有“一”或“一个”的元件或步骤应被理解为不排除复数元件或步骤,除非明确地记载了这种排除。此外,本公开的对“示例实施例”或“一个实施例”的引用并不旨在被解释成排除也包含所记载的特征的附加实施例的存在。
这里使用的术语“数据库”可能指的是数据体、关系数据库管理系统、或者这两者。数据库可包括任何数据集合,包括层次数据库、关系数据库、平面文件数据库、对象关系数据库、面向对象的数据库、和存储在计算机系统中的任何其他结构化记录或数据集合。上面的例子仅仅是举例,并且因此不旨在以任何方式限制术语“数据库”的定义和/或含义。rdbms的例子包括(但不限于包括)
本文中使用的术语“处理器”可能指的是中央处理单元、微处理器、微控制器、精简指令集电路(risc)、专用集成电路(asic)、逻辑电路、和能够执行记载在本文中说明的功能的任何其他电路或处理器。
本文中使用的术语“软件”和“固件”是可互换的,并且包括存储在存储器中(包括ram存储器、rom存储器、eprom存储器、eeprom存储器和非易失性ram(nvram)存储器),以便由处理器执行的任何计算机程序。上述存储器类型只是例子,并且因此不是对可用于存储计算机程序的存储器的类型的限制。
图1是图解说明示例的多位置广域网(wan)100的示意图。wan包括中央服务器系统102与在多个位置106、108、110和112处的计算机114之间的连接。中央服务器系统102通过网络104与在多个位置106、108、110和112处的计算机114通信。在示例实施例中,网络104是广域网,诸如因特网之类。在其他实施例中,网络104是公司网络、支付处理网络、家庭网络、或者其中计算机相互通信的任何其他广域网。
多个位置106、108、110和112中的每个位置通过网络设备116与网络通信。网络设备116的例子包括(但不限于)路由器、线缆调制解调器、调制解调器、集线器和网络交换机。网络设备116把来自网络的网络流量路由到在各个位置106、108、110和112处的计算机114,反之亦然。不同的网络设备116可能是不同的类型并且具有不同的能力。在不同位置106、108、110和112处的网络设备116可能具有到网络104的不同连接类型,因此以不同的速度和/或带宽提供与网络104的通信。为了正确并高效地与网络104通信,各个网络设备116需要被正确配置。
在示例实施例中,位置a106在地理上与位置b108不同的市中。位置a106在地理上与位置c110不同的州或省中。并且位置a106在地理上与位置d112不同的国家中。在其他实施例中,一个或多个位置106、108、110和112可能在同一城市内,或者甚至在同一建筑物内。
中央服务器系统102与在各个位置106、108、110和112处的计算机114通信。在示例实施例中,中央服务器系统102包括诸如图2中所示的数据库220之类的数据库,所述数据库包括在每个位置106、108、110和112处的每个网络设备116的配置和能力。依据该信息,中央服务器系统102能够有效地配置其与每个网络设备116的通信和消息流量,从而达到可能的最大效率地使用各个网络设备116的能力。
图2是图解说明图1中所示的wan100的分层视图的示意图200。在示例实施例中,wan100包括被分成3层,核心层、分发层和接入层的多个设备。在一些实施例中,wan100只包括核心层和接入层。
核心层被视为wan100的主干。核心层关注分组传送的速度,并被配置成确保分组的可靠传送和递送。核心层包括多个核心层设备202(也被称为核心交换机)。核心层设备202的例子包括(但不限于)高端交换机、高速线缆(诸如光纤之类)、复用器、高速wan交换机、专用分支交换机(pbx)、和高速企业wan路由器。
分发层管理局域网(lan)层面的分组传送。分发层确保分组在子网和虚拟lan(vlan)之间被正确路由。分发层包括多个分发层设备204,也被称为分发交换机。分发层设备204的例子包括(但不限于)基于lan的路由器、3层交换机、过滤器(诸如防火墙之类)、桥接器、虚拟专用网络(vpn)接入路由器和桥路器。
接入层把诸如工作站之类的客户端节点连接到网络。接入层确保分组被递送给最终用户计算机。接入层包括多个接入层设备206,也被称为接入交换机。示例的接入层设备206包括(但不限于)桌上型计算机、膝上型计算机、个人数字助手(pda)、蜂窝电话机、智能电话机、平板电脑、平板手机、web服务器、ftp服务器、以及电子邮件服务器、转发器、集线器、数据库服务器和交换机。
在示例实施例中,wan100还包括wan优化器208。wan优化器208(也被称为wan加速器)被配置成使跨越wan100的数据流动的效率达到最大。在示例实施例中,wan优化器208被配置成提高访问关键应用和信息的速度。wan优化器208利用下述技术中的一种或多种技术来实现该目标:通过按需要分配带宽并排列优先级的流量整形;通过减少为了远程备份、复制和灾难恢复而必须跨wan100发送的数据的数据去重复;缩小数据的大小以限制带宽使用的数据压缩;在本地服务器上数据缓存常用数据以便更快地访问;监视网络以检测非必要流量;创建并执行关于下载和因特网使用的规则;和通过把多个协议捆绑成单个协议的协议欺骗(spoofing)。在示例实施例中,wan优化器208可利用一些或全部的上述技术。
图3图解说明用于在图1和2中所示的wan100内,高效并且安全地通信的网络组件的示例配置300。
在示例实施例中,wan100与远程位置302通信。在一个例子中,远程位置302可以是中央服务器系统102(图1中所示)。在另一个例子中,远程位置302是位置a106、位置b108、位置c110和位置d112(都示于图1中)之一。在示例实施例中,wan路由器306与远程位置302关联。在示例实施例中,wan路由器306从远程位置302接收分组304,以便传送给wan100。wan路由器306把经编码的分组308(也被称为安全帧)传送给作为wan100的一部分的编码器/解码器310。在一些实施例中,编码器/解码器310也被称为执行交换机。
在示例实施例中,经编码的分组308是已被编码以包括安全信息(也被称为安全特征)的经修改的分组。在该实施例中,所述分组基于使用传输协议的传输帧。为了改善传输帧的安全性,所述分组被修改以包括安全信息,诸如嵌入分组的报头中的安全组标签信息。在一些实施例中,安全信息被配置成由wan100的设备分析,以确定或确保该分组在网络上是允许的。如果编码器/解码器310确定所述分组是不被允许的,那么所述分组将被阻止进入网络,而如果编码器/解码器310确定所述分组是允许的,那么所述分组将被允许进入网络。例如,例如,经编码的分组308可以是具有已被修改以包括安全信息的报头的802.1q以太网帧。由于报头已被修改,诸如通过添加额外的数据字节之类,因此通常的802.1q设备不能正确地处理该802.1q帧。
在示例实施例中,分组被编码成与和wan100关联的一个或多个安全策略一致。编码器/解码器310可基于安全策略来分析分组。在一些实施例中,所述一个或多个安全策略由一个或多个核心层设备202(图2中所示)管理。
然而,在示例实施例中,第三方设备,诸如与wan优化器208(图2中所示)类似的wan优化器314是wan100的一部分。wan优化器314不被配置成处理经编码的分组308。wan优化器314只被配置成处理基本分组。编码器/解码器310从wan路由器304接收经编码的分组308。编码器/解码器310在考虑到一个或多个安全策略的情况下分析经编码的分组308,并且如果经编码的分组308符合安全策略,那么处理经编码的分组308。不符合安全策略的分组被丢弃,而不是如以下步骤中所述地被处理。编码器/解码器310从分组的报头中除去安全信息,并把分组改造成正常分组312。编码器/解码器310把正常分组312传送给wan优化器314。wan优化器314处理正常分组312,并把经处理的分组316传送给一个或多个核心设备318。在示例实施例中,核心设备318类似于核心层设备302。在一些实施例中,编码器/解码器310在通信中
核心设备318接收经处理的分组316。在示例实施例中,核心设备318把经处理的分组316重新编码成处理后的经编码的分组320。处理后的经编码的分组320通过核心设备318、分发设备322和接入设备324的网络,被路由到该分组的目的地。
例如,wan路由器306把经编码的802.1q分组308传送给编码器/解码器310。在本例中,经编码的802.1q分组308在其报头中包含表示安全组标签信息的多个额外字节。编码器/解码器310接收经编码的802.1q分组308,然后从报头中除去所述额外字节,从而创建基本802.1q分组312。编码器/解码器310把基本802.1q分组312传送给wan优化器314。wan优化器314处理基本802.1q分组312,并把经处理的802.1q分组316传送给一个或多个核心设备318。核心设备318对经处理的802.1q分组316重新编码,重新编码的经处理的802.1q分组随后被路由到适当的目的地。
图4图解说明按照本公开的一个实施例,图2中所示的客户端系统的示例配置。用户计算机设备402由用户401操作。用户计算机设备402可包括(但不限于)接入层设备206(图2中所示)。用户计算机设备402包括用于执行指令的处理器405。在一些实施例中,可执行指令被存储在存储区410中。处理器405可包括一个或多个处理单元(例如,在多核配置中)。存储区410是使诸如可执行指令和/或事务(transaction)数据之类的信息可被存储和检索的任何设备。存储区410可包括一个或多个计算机可读介质。
用户计算机设备402还包括用于向用户401呈现信息的至少一个媒体输出组件415。媒体输出组件415是能够向用户401传达信息的任意组件。在一些实施例中,媒体输出组件415包括诸如视频适配器和/或音频适配器之类的输出适配器(未图示)。输出适配器操作上耦接到处理器405,并且操作上可耦接到诸如显示设备(例如,阴极射线管(crt)、液晶显示器(lcd)、发光二极管(led)显示器、或“电子墨水”显示器)或音频输出设备(例如,扬声器或头戴式耳机)之类的输出设备。在一些实施例中,媒体输出组件415被配置成向用户401呈现图形用户界面(例如,web浏览器和/或客户端应用)。图形用户界面可包括例如用于从远程位置检索数据的实用程序。在一些实施例中,用户计算机设备402包括用于接收来自用户401的输入的输入设备320。用户401可利用输入设备420选择和/或输入(但不限于此)对配置问卷的一个或多个回答。输入设备420可包括例如键盘、指示设备、鼠标、触针笔、触敏面板(例如,触控板或触摸屏)、陀螺仪、加速度计、位置检测器、生物计量输入设备、和/或音频输入设备。诸如触摸屏之类的单一组件可以起媒体输出组件415的输出设备和输入设备420两者的作用。
用户计算机设备402还可包括通信地耦接到远程设备(诸如另外的接入层设备206、分发层设备204、核心层设备202(都示于图2中)、和中央服务器系统102(图1中所示))的通信接口425。通信接口425可包括例如有线或无线网络适配器和/或供移动电信网络之用的无线数据收发器。
存储在存储区410中的是例如用于经由媒体输出组件415向用户401提供用户界面,并且可选地,接收并处理来自输入设备420的输入的计算机可读指令。除了别的可能性以外,用户界面可包括web浏览器和/或客户端应用。web浏览器使诸如用户401之类的用户能够显示一般嵌入在网页或网站上的媒体和其他信息并与之交互。客户端应用允许用户401与例如远程位置交互。例如,指令可以由云服务存储,并且指令的执行输出被发送给媒体输出组件415。
图5是利用网络配置300(图3中所示),在wan100(图1和2中所示)内高效并且安全地通信的处理的流程图。在示例实施例中,处理500由编码器/解码器310(图3中所示)进行。
在示例实施例中,编码器/解码器310从远程设备,诸如wan路由器306(图3中所示)接收505安全帧308(图3中所示)。安全帧308包括一个或多个安全特征,诸如集成到安全帧的报头中的安全信息。安全帧去往也被称为接入设备的多个接入设备324(图3中所示)中的一个或多个接入设备。
在示例实施例中,编码器/解码器310通过除去一个或多个安全特征(也被称为安全信息),来基于安全帧308生成510常规帧312。编码器/解码器310把常规帧312传送515给诸如wan优化器314(图3中所示)之类的第三方设备,以便通过多个核心设备318(图3中所示)中的至少一个路由到多个接入设备324中的一个或多个接入设备。
在一些实施例中,核心设备318被配置成从第三方设备接收常规帧312。核心设备318随后基于常规帧312生成安全帧320(图3中所示)。核心设备318随后把安全帧320传送给多个接入设备322中的一个或多个接入设备。在一些另外的实施例中,核心设备318还被配置成基于安全策略,确定针对安全帧320的一个或多个安全特征。在一些实施例中,核心设备318存储安全策略。在其他实施例中,核心设备318从单独的设备(诸如单独的服务器之类)访问安全策略。
在一些实施例中,编码器/解码器310也存储和/或访问安全策略。在向wan优化器314进行传送之前,编码器/解码器310分析安全帧308的安全特征,以确保分组的安全性。
上面详细说明了本公开的各个方面,清楚的是各种修改和变化都是可能的,而不脱离在附加权利要求书中限定的本公开的各个方面的范围。由于在上述结构、产品和方法中可以作出各种变化,而不脱离本公开的各个方面的范围,因此包含在上面的说明中并在附图中所示的所有事项都应被解释成示例性的而不是限制性的。
尽管关于各个具体实施例说明了本公开,不过本领域的技术人员将认识到在权利要求书的范围和精神内可以有修改地实践本公开。
这里使用的术语“非暂态计算机可读介质”旨在表示利用任何方法或技术实现的,用于诸如计算机可读指令、数据结构、程序模块和子模块、或者任何设备中的其他数据之类的信息的短期和长期存储的任何有形的基于计算机的设备。因此,记载在本文中的方法可被编码成实施在有形的、非暂态计算机可读介质,包括(但不限于)存储设备和/或存储器设备中的可执行指令。当由处理器执行时,这类指令使处理器进行记载在本文中的方法的至少一部分。此外,本文中使用的术语“非暂态计算机可读介质”包括所有有形的计算机可读介质,包括(但不限于)非暂态计算机存储设备(包括(但不限于)易失性和非易失性介质),以及可拆卸和不可拆卸介质(诸如固件、物理和虚拟存储装置、cd-rom、dvd之类),和任何其他数字源(诸如网络或因特网之类),以及待开发的数字装置,唯一的例外是暂态的传播信号。
本书面说明利用例子来公开实施例,包括最佳方式,并且使本领域的技术人员能够实践实施例,包括制作和使用任意设备或系统和进行任何所包含的方法。本公开的专利保护范围由权利要求书限定,并且可以包括本领域的技术人员想到的其他例子。这样的其他例子旨在包含在权利要求书的范围之内,如果它们具有与权利要求书的文字语言没有区别的结构要素的话,或者如果它们包括与权利要求书的文字语言存在不重要的局部差异的等同结构要素的话。
- 还没有人留言评论。精彩留言会获得点赞!