用于提供QoS優(yōu)先化數(shù)據(jù)業(yè)務(wù)的方法
【專利摘要】提供一種用于使用數(shù)據(jù)分組的安全封裝、通過網(wǎng)絡(luò)經(jīng)由VPN客戶端(200)和VPN服務(wù)器(500)在發(fā)送裝置(10,80)和接收裝置(80,10)之間傳送數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的方法,該方法包括下列步驟:確定所述數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的服務(wù)質(zhì)量QoS參數(shù);基于所確定服務(wù)質(zhì)量為數(shù)據(jù)分組選擇連接VPN客戶端(200)和VPN服務(wù)器(500)的第一隧道(91)或者連接VPN客戶端)200)和VPN服務(wù)器(500)的第二隧道(92)。
【專利說明】用于提供QoS優(yōu)先化數(shù)據(jù)業(yè)務(wù)的方法
【背景技術(shù)】
[0001]移動(dòng)頻譜是共享和稀有資源。這導(dǎo)致?lián)砣麪顩r,其以較高等待時(shí)間使最終用戶業(yè)務(wù)受損。對(duì)于一些服務(wù),這不是可接受的,并且甚至存在從例如服務(wù)提供商或企業(yè)為所選服務(wù)業(yè)務(wù)的優(yōu)先化付費(fèi)、以便避免擁塞的不利影響的意愿。
[0002]在移動(dòng)通信網(wǎng)絡(luò)中,已知的是將與特定服務(wù)相關(guān)的網(wǎng)絡(luò)業(yè)務(wù)定向到具有某個(gè)服務(wù)質(zhì)量(Q0S)的承載。在這點(diǎn)上,承載被認(rèn)為是例如容量、延遲和/或誤碼率等的所定義特性的信息傳輸上下文或通路。通常,多個(gè)承載將在移動(dòng)通信網(wǎng)絡(luò)的網(wǎng)關(guān)與例如移動(dòng)電話或者其它類型的移動(dòng)終端等的用戶設(shè)備之間來建立。承載可攜帶沿從網(wǎng)絡(luò)到用戶設(shè)備的方向的下行鏈路(DL)數(shù)據(jù)業(yè)務(wù),并且可攜帶沿從用戶設(shè)備到網(wǎng)絡(luò)的上行鏈路(UL)方向的數(shù)據(jù)業(yè)務(wù)。在網(wǎng)關(guān)中以及在用戶設(shè)備中,包括多個(gè)IP分組(IP: “因特網(wǎng)協(xié)議”)的數(shù)據(jù)業(yè)務(wù)能夠使用IP 5元組分組濾波器來濾波,由此將IP數(shù)據(jù)分組定向到預(yù)期承載。
[0003]具體來說,期望將與特定服務(wù)、例如移動(dòng)TV相關(guān)的數(shù)據(jù)業(yè)務(wù)定向到提供某個(gè)QoS的承載。為此,DL數(shù)據(jù)業(yè)務(wù)可經(jīng)過分組檢查,以便識(shí)別與特定服務(wù)相關(guān)的數(shù)據(jù)分組。當(dāng)檢測(cè)到預(yù)定義服務(wù)的數(shù)據(jù)分組時(shí),這可向策略控制器發(fā)信號(hào)通知。策略控制器則可生成對(duì)應(yīng)分組濾波器,并且向網(wǎng)關(guān)發(fā)信號(hào)通知關(guān)于這些分組濾波器。網(wǎng)關(guān)則使用所接收分組濾波器將數(shù)據(jù)分組路由到預(yù)期承載。承載通常具有由網(wǎng)絡(luò)運(yùn)營商對(duì)特定服務(wù)來選擇的QoS類。在這個(gè)過程中,還可存在送往用戶設(shè)備的信令,例如以用于建立承載,并且指示送往用戶設(shè)備的UL分組濾波器,其應(yīng)當(dāng)用來將UL數(shù)據(jù)業(yè)務(wù)路由到承載上。
[0004]因此,為了實(shí)現(xiàn)這個(gè)優(yōu)先化,采用分組檢查技術(shù),或者淺/報(bào)頭檢查和/或深層分組檢查。這是完全合理的方式,只要有可能執(zhí)行必要的分組檢查。
[0005]但是,當(dāng)業(yè)務(wù)經(jīng)過VPN封裝(例如使用IPSec或SSL)時(shí),如企業(yè)業(yè)務(wù)通常的那樣,這個(gè)分組檢查不是可能的,因?yàn)榉?wù)相關(guān)數(shù)據(jù)采用封裝、常常加密的分組來隱藏。這通過圖1示出,其示出VPN業(yè)務(wù)能夠在一個(gè)承載上傳輸,因?yàn)閂PN分組按照使分組檢查是不可能的方式來封裝。
[0006]圖1中,也可能是應(yīng)用或網(wǎng)頁10的客戶端10愿意與公共Web服務(wù)器80或企業(yè)服務(wù)器60交換數(shù)據(jù)。對(duì)于VPN封裝,提供VPN客戶端20,其經(jīng)由業(yè)務(wù)檢測(cè)器映射器30將數(shù)據(jù)傳送給VPN服務(wù)器50。提供網(wǎng)絡(luò)域中的業(yè)務(wù)檢測(cè)器/映射器40。在VPN服務(wù)器側(cè),還提供防火墻70。隧道在VPN客戶端與VPN服務(wù)器之間生成。業(yè)務(wù)映射器30或業(yè)務(wù)映射器40都不能檢查封裝分組。
[0007]這是對(duì)隧穿業(yè)務(wù)的所有種類的QoS存在的一種類型的問題。因此,許多路由器具有處理它的特征(在有限程度上),例如Cisco將它稱作預(yù)分類。通過這種方式,分組在封裝之前經(jīng)過檢查,以及結(jié)果被“記住”,使得能夠?qū)Τ鼍炙泶┓纸M應(yīng)用例如QoS策略。
[0008]但是,這類方案的問題在于,它們是完全局部的(在路由器之內(nèi)),并且例如對(duì)組織邊界不起作用。另外,它們不是具體針對(duì)客戶端VPN,而是通常在VPN用作網(wǎng)絡(luò)建立(站點(diǎn)對(duì)站點(diǎn))的部分時(shí)應(yīng)用。
【發(fā)明內(nèi)容】
[0009]為了通過傳輸數(shù)據(jù)分組實(shí)現(xiàn)使用封裝來提供網(wǎng)絡(luò)、例如VPN(虛擬專用網(wǎng)絡(luò))中的數(shù)據(jù)分組的優(yōu)先化數(shù)據(jù)業(yè)務(wù),指定一種機(jī)制,以用于在進(jìn)行安全封裝之前選擇和區(qū)分屬于優(yōu)先化服務(wù)的數(shù)據(jù)業(yè)務(wù)。
[0010]按照第一方面,提供一種用于通過VPN客戶端和VPN服務(wù)器在發(fā)送裝置與接收器裝置之間傳送數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的方法,其中數(shù)據(jù)使用數(shù)據(jù)分組的安全封裝通過網(wǎng)絡(luò)來傳送。按照一個(gè)步驟,確定數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的服務(wù)質(zhì)量(QoS)參數(shù),以及基于所確定服務(wù)質(zhì)量,或者對(duì)數(shù)據(jù)分組選擇第一隧道以連接VPN客戶端和VPN服務(wù)器或者選擇第二隧道以連接VPN客戶端和VPN服務(wù)器。根據(jù)所需服務(wù)質(zhì)量,數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組能夠經(jīng)過第一隧道或第二隧道來發(fā)送,兩個(gè)隧道均連接VPN客戶端和VPN服務(wù)器。
[0011]有可能的是,第一和第二隧道的選擇由VPN或VPN服務(wù)器來執(zhí)行。在這個(gè)實(shí)施例中,服務(wù)質(zhì)量的確定以及根據(jù)所確定服務(wù)質(zhì)量的第一或第二隧道的選擇在VPN客戶端或VPN服務(wù)器中進(jìn)行。
[0012]第一隧道可提供與第二隧道不同的服務(wù)質(zhì)量,作為舉例,一個(gè)隧道可提供比另一隧道更好的服務(wù)類、例如更高的吞吐量。
[0013]還有可能的是,將單個(gè)IP地址指配給虛擬接口,其中數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組在VPN客戶端從發(fā)送裝置來接收。單個(gè)IP地址是在VPN客戶端的隧道端點(diǎn)。這能夠意味著,單個(gè)IP地址對(duì)于經(jīng)過第一或第二隧道所傳送的數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組是相同的,并且它對(duì)應(yīng)于隧穿數(shù)據(jù)分組的內(nèi)IP報(bào)頭的源地址。在這個(gè)實(shí)施例中,數(shù)據(jù)沿上行鏈路方向從客戶端傳送給服務(wù)器。對(duì)于下行鏈路方向,單個(gè)IP地址對(duì)于經(jīng)過第一或第二隧道所傳送的數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組也是相同的,并且對(duì)應(yīng)于隧穿數(shù)據(jù)分組的內(nèi)IP報(bào)頭的目標(biāo)地址。在隧穿數(shù)據(jù)分組中,內(nèi)IP地址包含通常源和目標(biāo)地址,而在隧道入口,添加外IP報(bào)頭,其包含隧道端點(diǎn)的IP地址。在上述實(shí)施例中,連接VPN客戶端和VPN服務(wù)器的兩個(gè)隧道在VPN客戶端側(cè)具有單個(gè)IP地址。在VPN服務(wù)器側(cè),兩個(gè)隧道也可具有單個(gè)IP地址。為了區(qū)分不同的隧道,兩個(gè)隧道可在VPN服務(wù)器側(cè)具有不同端口號(hào)。但是,它們也可具有相同端口號(hào),并且隧道可以僅在使用包含到隧道報(bào)頭中的標(biāo)識(shí)符方面有所不同。除了外和內(nèi)報(bào)頭之外,隧道報(bào)頭也包含在隧穿分組中。
[0014]兩個(gè)隧道能夠由VPN客戶端來請(qǐng)求,并且單個(gè)IP地址由VPN服務(wù)器指配給VPN客戶端的兩個(gè)隧道。
[0015]在另一個(gè)實(shí)施例中,連接VPN服務(wù)器和VPN客戶端的第一或第二隧道的選擇能夠在業(yè)務(wù)映射單元中執(zhí)行,業(yè)務(wù)映射單元然后向VPN客戶端或VPN服務(wù)器傳送與所選第一或第二隧道有關(guān)的信息。這個(gè)業(yè)務(wù)映射單元是高級(jí)業(yè)務(wù)映射單元,其能夠在VPN客戶端或VPN服務(wù)器處的封裝之前檢查數(shù)據(jù)分組。
[0016]在這個(gè)實(shí)施例中,有可能的是,將兩個(gè)IP地址指配給VPN客戶端。根據(jù)所確定的QoS參數(shù),將數(shù)據(jù)分組發(fā)送給VPN客戶端的第一虛擬接口,或者將它們發(fā)送給VPN客戶端的第二虛擬接口。一個(gè)IP地址則與VPN客戶端的隧道的每個(gè)關(guān)聯(lián)。
[0017]數(shù)據(jù)業(yè)務(wù)包含源和目標(biāo)IP地址。有可能的是,當(dāng)確定QoS參數(shù)時(shí),源IP地址在映射單元中根據(jù)所確定QoS參數(shù)來轉(zhuǎn)化成第一 IP地址或第二 IP地址,其中數(shù)據(jù)分組然后發(fā)送給VPN服務(wù)器。在將數(shù)據(jù)分組傳送給VPN客戶端時(shí)并且在確定QoS參數(shù)時(shí),目標(biāo)IP地址能夠根據(jù)所確定QoS參數(shù)來轉(zhuǎn)化成第一 IP地址或第二 IP地址。在這個(gè)實(shí)施例中,業(yè)務(wù)映射單元在確定了 QoS參數(shù)之后,選擇在VPN客戶端或VPN服務(wù)器的第一隧道或第二隧道來傳送數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組。在這個(gè)實(shí)施例中,兩個(gè)隧道在VPN客戶端側(cè)和在VPN服務(wù)器側(cè)可具有兩個(gè)不同IP地址。
[0018]在隧道出口,所傳送IP地址可在VPN服務(wù)器的業(yè)務(wù)映射單元又轉(zhuǎn)化成源地址,或者在VPN客戶端的業(yè)務(wù)映射單元又轉(zhuǎn)化成目標(biāo)地址。
[0019]優(yōu)選地,QoS參數(shù)在第一層來確定,其中將具有所確定QoS參數(shù)的數(shù)據(jù)業(yè)務(wù)提供給位于協(xié)議棧的第一層下面的第二層。在第二層中,數(shù)據(jù)分組映射到第一或第二隧道,以及數(shù)據(jù)然后在第三層中傳送。第三層能夠處于協(xié)議棧的第二層下面。
[0020]本發(fā)明還涉及虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn),其配置成通過網(wǎng)絡(luò)、經(jīng)由另一個(gè)虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)在發(fā)送裝置與接收裝置之間傳送數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組,其中數(shù)據(jù)分組在通過網(wǎng)絡(luò)發(fā)送時(shí)使用兩個(gè)VPN節(jié)點(diǎn)之間的安全封裝。虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)包括質(zhì)量確定模塊,其配置成確定數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的QoS參數(shù)。此外,提供一種隧道模塊,其配置成建立將虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)與另一虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)連接的第一隧道,并且配置成建立將虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)與另一虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)連接的第二隧道。此外,提供一種控制模塊,其配置成基于所確定服務(wù)質(zhì)量、在數(shù)據(jù)業(yè)務(wù)之前選擇第一隧道或第二隧道。在這個(gè)實(shí)施例中,QoS參數(shù)在作為VPN客戶端或VPN服務(wù)器的虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)中確定。
[0021 ] 本發(fā)明還涉及一種包括VPN客戶端和VPN服務(wù)器的系統(tǒng),其中VPN客戶端和VPN服務(wù)器配置成使用VPN客戶端與VPN服務(wù)器之間的數(shù)據(jù)分組的安裝封裝,通過網(wǎng)絡(luò)、經(jīng)由VPN客戶端和VPN服務(wù)器在發(fā)送裝置與接收裝置之間傳送數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組。該系統(tǒng)包括質(zhì)量確定模塊,其配置成確定數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的QoS參數(shù)。此外,提供一種隧道模塊,其配置成建立將VPN客戶端與VPN服務(wù)器連接的第一隧道,以及建立將VPN客戶端與VPN服務(wù)器連接的第二隧道。控制模塊配置成基于所確定服務(wù)質(zhì)量來選擇數(shù)據(jù)業(yè)務(wù)的第一隧道或第二隧道。隧道模塊能夠按照如下方式來配置:使得它按照使得兩個(gè)隧道在VPN客戶端具有單個(gè)IP地址的方式來建立第一隧道和第二隧道。系統(tǒng)的上述組件、即質(zhì)量確定模塊、隧道模塊和控制模塊可設(shè)置在VPN客戶端、VPN服務(wù)器或者VPN客戶端和VPN服務(wù)器。
[0022]另外,隧道模塊能夠按照使得第一隧道和第二隧道在VPN服務(wù)器也具有單個(gè)IP地址的方式來配置。在這個(gè)實(shí)施例中,兩個(gè)隧道可在VPN服務(wù)器具有不同端口號(hào)。但是,它們也可具有相同端口號(hào)。在這個(gè)示例中,它們使用附加標(biāo)識(shí)符(其能夠在隧道報(bào)頭中提供)來區(qū)分。
[0023]按照本發(fā)明的另一方面,提供包括質(zhì)量確定模塊的業(yè)務(wù)映射單元,其中質(zhì)量確定模塊配置成確定使用VPN客戶端與VPN服務(wù)器之間的數(shù)據(jù)分組的安全封裝、經(jīng)由VPN客戶端和VPN服務(wù)器在發(fā)送裝置與接收裝置之間所傳送的數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的QoS參數(shù)。業(yè)務(wù)映射單元的控制模塊配置成基于所確定服務(wù)質(zhì)量來為數(shù)據(jù)業(yè)務(wù)選擇VPN客戶端的、關(guān)聯(lián)將VPN客戶端與VPN服務(wù)器連接的第一隧道的第一 IP地址或者與VPN客戶端的第一 IP地址不同的、關(guān)聯(lián)將VPN客戶端與VPN服務(wù)器連接的第二隧道的第二 IP地址。業(yè)務(wù)映射單元的發(fā)射器則配置成基于控制模塊的選擇將數(shù)據(jù)業(yè)務(wù)傳送給VPN客戶端或服務(wù)器的第一或第二 IP地址。在這個(gè)實(shí)施例中,業(yè)務(wù)映射單元負(fù)責(zé)服務(wù)質(zhì)量的確定,并且業(yè)務(wù)映射單元通過將業(yè)務(wù)傳送給VPN服務(wù)器或VPN客戶端的第一或第二 IP地址,來選擇VPN客戶端或VPN服務(wù)器的第一或第二隧道。
[0024]業(yè)務(wù)映射單元還可包括地址轉(zhuǎn)化單元,其配置成轉(zhuǎn)化數(shù)據(jù)業(yè)務(wù)的報(bào)頭中的源和/或目標(biāo)IP地址。地址轉(zhuǎn)化單元能夠配置成在數(shù)據(jù)分組被發(fā)送給VPN服務(wù)器時(shí),根據(jù)所確定QoS參數(shù)將源IP地址轉(zhuǎn)化成第一 IP地址或第二 IP地址。當(dāng)數(shù)據(jù)分組被發(fā)送給VPN客戶端時(shí),地址轉(zhuǎn)化單元能夠根據(jù)所確定QoS參數(shù)將目標(biāo)IP地址轉(zhuǎn)化成第一 IP地址或第二 IP地址。
[0025]業(yè)務(wù)映射單元能夠按照如下方式來配置:使得它在VPN客戶端或VPN服務(wù)器處執(zhí)行數(shù)據(jù)分組的安全封裝之前確定QoS參數(shù)。
[0026]本發(fā)明還提供如上所述的業(yè)務(wù)映射單元以及VPN客戶端。
[0027]大體上,本公開提出一種用于在傳輸所述數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的同時(shí)使用安全封裝、通過網(wǎng)絡(luò)在發(fā)送裝置(例如上行鏈路方向的客戶端裝置和下行鏈路方向的應(yīng)用服務(wù)器)與接收裝置(例如上行鏈路方向的應(yīng)用服務(wù)器和下行鏈路方向的客戶端裝置)之間提供QoS優(yōu)先化數(shù)據(jù)業(yè)務(wù)的方法。所接收的數(shù)據(jù)業(yè)務(wù)在第一層通過對(duì)QoS類進(jìn)行判定來區(qū)分和分類。隨后所述的分類數(shù)據(jù)業(yè)務(wù)被提供給位于協(xié)議棧中的第一層下面的第二層,其方式使得產(chǎn)生于分類數(shù)據(jù)業(yè)務(wù)的單獨(dú)數(shù)據(jù)分組適合映射到對(duì)應(yīng)數(shù)據(jù)分組隧道部件,其中數(shù)據(jù)分組隧道部件適合區(qū)分所識(shí)別的QoS類。隨后,執(zhí)行數(shù)據(jù)分組的安全封裝,以及將數(shù)據(jù)分組提供給第三層,以用于將所述數(shù)據(jù)分組發(fā)送到網(wǎng)絡(luò)中。(圖6)
數(shù)據(jù)分組隧道部件可按照任何適當(dāng)和優(yōu)選方式來實(shí)現(xiàn)。在一個(gè)實(shí)施例中,提出建立用于數(shù)據(jù)分組的傳輸?shù)闹辽賰蓚€(gè)隧道。要指出,隧道通常在通信點(diǎn)之間來建立并且唯一地識(shí)另O。在一個(gè)實(shí)施例中,提出建立至少兩個(gè)IP隧道,其中IP隧道通過唯一 IP地址來指定。通常,隧道由客戶端主動(dòng)地或者由于來自網(wǎng)絡(luò)側(cè)的請(qǐng)求而建立。
[0028]在另一實(shí)施例中,提出將不同標(biāo)記方案用于標(biāo)記屬于優(yōu)先化數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組并且通過經(jīng)由一個(gè)隧道發(fā)送數(shù)據(jù)分組。
[0029]第一協(xié)議層可以是接收數(shù)據(jù)業(yè)務(wù)的任何協(xié)議層。數(shù)據(jù)業(yè)務(wù)可組織為IP數(shù)據(jù)分組。第二協(xié)議層可以是提供作為數(shù)據(jù)分組的數(shù)據(jù)業(yè)務(wù)并且執(zhí)行安全封裝的任何協(xié)議層,因此示例是SSL或IPSec中的封裝。
[0030]在一實(shí)施例中,電信系統(tǒng)的發(fā)送裝置能夠適合該方法。在這種情況下,裝置包括:接收器,用于從第一協(xié)議層接收數(shù)據(jù)業(yè)務(wù);高級(jí)業(yè)務(wù)映射器(分組檢查器),用于區(qū)分?jǐn)?shù)據(jù)業(yè)務(wù),并且用于通過對(duì)于對(duì)應(yīng)QoS類進(jìn)行判定來分類數(shù)據(jù)業(yè)務(wù);在位于協(xié)議棧中的第一層下面的第二層的處理單元,配置成將產(chǎn)生于分類數(shù)據(jù)業(yè)務(wù)的單獨(dú)數(shù)據(jù)分組映射到對(duì)應(yīng)數(shù)據(jù)分組隧道部件,其中數(shù)據(jù)分組隧道部件適合區(qū)分QoS類;封裝單元,用于數(shù)據(jù)分組的安全封裝;以及發(fā)送器,用于將數(shù)據(jù)分組提供給第三方,以用于將所述數(shù)據(jù)分組發(fā)送到網(wǎng)絡(luò)中。(圖7)
在一個(gè)實(shí)施例中,提出在提供上行鏈路時(shí),發(fā)送裝置是移動(dòng)裝置。在另一實(shí)施例中,提出在將要實(shí)現(xiàn)下行鏈路時(shí),該裝置是服務(wù)器。
[0031]在一個(gè)實(shí)施例中,在位于協(xié)議棧中的第一層下面的第二協(xié)議層、設(shè)置成將產(chǎn)生于優(yōu)先化數(shù)據(jù)業(yè)務(wù)的單獨(dú)數(shù)據(jù)分組映射到對(duì)應(yīng)數(shù)據(jù)分組傳輸部件的處理單元是VPN客戶端/服務(wù)器。
[0032]在另一實(shí)施例中,提供一種用于在傳輸所述數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的同時(shí)使用安全封裝、通過網(wǎng)絡(luò)在發(fā)送裝置與接收裝置之間提供QoS優(yōu)先化數(shù)據(jù)業(yè)務(wù)的方法。所述方法具有下列步驟:從網(wǎng)絡(luò)接收在第三層的數(shù)據(jù)分組隧道部件所接收的數(shù)據(jù)分組,將數(shù)據(jù)分組提供給第二層以用于去除封裝;將數(shù)據(jù)分組提供給第一層;對(duì)第一層執(zhí)行不同QoS類的區(qū)分;通過將不同QoS類映射到應(yīng)用目的地來將數(shù)據(jù)業(yè)務(wù)提供給應(yīng)用目的地。
[0033]在另一實(shí)施例中,提供一種接收裝置,其適合在傳輸所述數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的同時(shí)使用安全封裝、通過網(wǎng)絡(luò)在客戶端裝置與應(yīng)用服務(wù)器之間提供QoS優(yōu)先化數(shù)據(jù)業(yè)務(wù)。所述裝置包括:在第三層的接收器,適合從網(wǎng)絡(luò)接收在數(shù)據(jù)分組隧道部件所接收的數(shù)據(jù)分組;第一處理器,適合去除第二層中的數(shù)據(jù)分組的封裝;第二處理器,適合區(qū)分不同QoS類,并且將不同QoS類映射到應(yīng)用目的地。
[0034]在一個(gè)實(shí)施例中,提出在提供上行鏈路時(shí),接收裝置是移動(dòng)裝置。在另一實(shí)施例中,提出在將要實(shí)現(xiàn)下行鏈路時(shí),該裝置是服務(wù)器。
[0035]此外,提出一種具有與接收裝置進(jìn)行通信的發(fā)送裝置的系統(tǒng),其中通信可在上行鏈路或者在下行鏈路方向執(zhí)行。發(fā)送裝置適合執(zhí)行如上所述的方法,以及發(fā)送裝置執(zhí)行如上所述的相應(yīng)方法。
[0036]上述發(fā)送和接收裝置(以及電信系統(tǒng)的其它組件)能夠由耦合到非暫時(shí)計(jì)算機(jī)可讀介質(zhì)的至少一個(gè)微處理器來實(shí)現(xiàn)。非暫時(shí)計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)可讀指令,其在由至少一個(gè)微處理器運(yùn)行時(shí)實(shí)現(xiàn)本文所述的方法。
【專利附圖】
【附圖說明】
[0037]將參照附圖更詳細(xì)地描述本發(fā)明。這些附圖包括
圖1示出如本領(lǐng)域已知的示意圖,其中數(shù)據(jù)分組經(jīng)由VPN客戶端和VPN服務(wù)器、使用安全封裝來傳送,
圖2是結(jié)合本發(fā)明的特征的系統(tǒng)的示意圖,其中數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組根據(jù)所確定QoS參數(shù)通過第一隧道或第二隧道來傳送,
圖3示出一實(shí)施例,其中VPN客戶端或VPN服務(wù)器確定服務(wù)質(zhì)量并且選擇第一隧道或第二隧道,
圖4示出另一個(gè)實(shí)施例,其中QoS參數(shù)在業(yè)務(wù)映射單元來確定,然后業(yè)務(wù)映射單元選擇VPN客戶端或VPN服務(wù)器的第一隧道或第二隧道,
圖5示出當(dāng)業(yè)務(wù)映射單元確定哪一個(gè)隧道將要在VPN服務(wù)器使用時(shí)送往VPN客戶端的下行鏈路業(yè)務(wù)的一實(shí)施例,
圖6示出按照本發(fā)明的一實(shí)施例的流程圖,
圖7示出按照本發(fā)明的一實(shí)施例的流程圖,
圖8是本發(fā)明的VPN節(jié)點(diǎn)的示意圖,
圖9是本發(fā)明的業(yè)務(wù)映射單元的示意圖,
圖10是包括在VPN節(jié)點(diǎn)中執(zhí)行與服務(wù)質(zhì)量有關(guān)的選擇時(shí)、在VPN節(jié)點(diǎn)中執(zhí)行的主要步驟的流程圖,
圖11示出包括在業(yè)務(wù)映射單元確定服務(wù)質(zhì)量中執(zhí)行的主要步驟的流程圖,
圖12是一實(shí)施例中的數(shù)據(jù)業(yè)務(wù)的示意圖,其中VPN確定將要使用哪一個(gè)隧道,以及圖13示出一實(shí)施例,其中業(yè)務(wù)映射單元確定將要使用哪一個(gè)隧道。
【具體實(shí)施方式】
[0038]解決此問題的簡單化方式是令客戶端為優(yōu)先級(jí)與非優(yōu)先級(jí)業(yè)務(wù)發(fā)起兩個(gè)單獨(dú)VPN隧道。但是,這引起一種狀況,其中將兩個(gè)單獨(dú)IP地址指配給客戶端,并且應(yīng)用必須配備有根據(jù)是否應(yīng)用優(yōu)先級(jí)來判定要使用哪一個(gè)地址的智能。這是非常不合需要的,因?yàn)檫@應(yīng)當(dāng)保持為盡可能對(duì)應(yīng)用是透明的(并且從企業(yè)角度來看不是合乎需要的)。
[0039]在下文中,根據(jù)VPN系統(tǒng)來描述實(shí)施例的詳細(xì)示例。但是,要理解,這個(gè)描述能夠一般化到符合如基本概念下所述的一般特征的其它系統(tǒng)。在下文中示出這類一般化的一些示例。因此,可考慮使用特定封裝的任何網(wǎng)絡(luò)。
[0040]基本概念通過圖2示出,并且由兩個(gè)關(guān)鍵組件組成:
(至少)兩個(gè)單獨(dú)隧道、備選地對(duì)分組的不同標(biāo)記方案的使用使得有可能令低級(jí)業(yè)務(wù)映射(分組檢查器)為不同隧道指配不同的QoS處理。這要求專用VPN客戶端和服務(wù)器。
[0041]基于服務(wù)知識(shí)的高級(jí)業(yè)務(wù)映射器(分組檢查器)將業(yè)務(wù)映射到不同類,并且將這個(gè)分類傳遞給VPN客戶端/服務(wù)器,其方式使得單獨(dú)分組能夠映射到不同隧道/標(biāo)記方案。
[0042]如圖2所示,提出App/web客戶端10將數(shù)據(jù)業(yè)務(wù)發(fā)送給高級(jí)業(yè)務(wù)映射器300,以用于基于服務(wù)的知識(shí)將數(shù)據(jù)業(yè)務(wù)分類到對(duì)應(yīng)優(yōu)先化類。高級(jí)映射器300可按照符合分類業(yè)務(wù)的公認(rèn)方法的不同方式來實(shí)現(xiàn)。它例如可實(shí)現(xiàn)為應(yīng)用級(jí)代理,其中具有應(yīng)用的內(nèi)建知識(shí)。備選地,它可能是深層分組檢查實(shí)體,其編程有檢測(cè)被判定為將要優(yōu)先化的某些應(yīng)用流程的規(guī)則。這個(gè)分組檢查甚至可能簡單到依靠分組報(bào)頭檢查(眾所周知的IP目的地、端口號(hào)等)。在下一個(gè)步驟,將數(shù)據(jù)業(yè)務(wù)提供給VPN客戶端200,其適合將產(chǎn)生于所接收的優(yōu)先化數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組映射到對(duì)應(yīng)傳輸部件。在下一個(gè)步驟,單獨(dú)傳輸部件的數(shù)據(jù)分組在低級(jí)業(yè)務(wù)映射器300中映射到對(duì)應(yīng)優(yōu)先級(jí)承載。這例如可能是在3GPP中所定義的、例如由GGSN/PDN Gff和PCRF實(shí)體所實(shí)現(xiàn)的機(jī)制。要獲得更多信息,參見例如3GPP規(guī)范23.207、29.211和 29.212。
[0043]從VPN客戶端200,分組經(jīng)由第一隧道91或者第二隧道92來傳送給VPN服務(wù)器500,其中將數(shù)據(jù)傳送給高級(jí)業(yè)務(wù)映射器600。例如服務(wù)器60、防火墻70和公共服務(wù)器80等的其它組件對(duì)應(yīng)于圖1所示的組件。
[0044]對(duì)不同VPN技術(shù)的適用性
存在不同的VPN技術(shù),包括IPSec和SSL VPN0這里所提供的思路能夠適用于兩者,即使技術(shù)細(xì)節(jié)可能有所不同。
[0045]隧穿/標(biāo)記
應(yīng)用VPN客戶端/服務(wù)器的一種方式是例如建立從客戶端到VPN服務(wù)器的(至少)兩個(gè)獨(dú)立隧道,并且這些然后有選擇地用于優(yōu)先化與非優(yōu)先化業(yè)務(wù)。這兩個(gè)隧道的差別在于例如通過使用不同IP地址和/或端口號(hào)來識(shí)別隧道的端點(diǎn)。
[0046]示例實(shí)現(xiàn)1:客戶端建立到服務(wù)器的SSL連接。它能夠例如使用dns (例如“gow.somedomain.com”的查找)來尋找(服務(wù)器的)IP端口。這個(gè)SSL連接能夠用來認(rèn)證客戶端(例如當(dāng)前用于SSL VPN的任何機(jī)制),以向用戶提供入口以及其它交換(例如應(yīng)用網(wǎng)關(guān))。這個(gè)用戶(或客戶端)判定將這個(gè)SSL連接用于VPN隧穿,并且發(fā)起促進(jìn)隧穿的某些過程,以交換IP地址等(通過SSL的隧穿當(dāng)今專有地實(shí)現(xiàn))。一旦建立這個(gè)(第一)隧道,客戶端發(fā)起(主動(dòng)地或者如HL映射器所觸發(fā))將要用于(例如優(yōu)先化數(shù)據(jù)的)隧穿的第二 SSL連接。優(yōu)選地?zé)o需最終用戶交互(應(yīng)當(dāng)對(duì)最終用戶是透明的)而建立到第二 IP地址(例如使用“gw2.somedomain.com”的DNS查找來尋找)的這個(gè)SSL連接。通過這個(gè)SSL連接的隧穿的建立可與第一個(gè)相似,但是新IP地址的分配可能省略。
[0047]示例實(shí)現(xiàn)2:第一 SSL VPN和隧道按照與前一示例相似的方式來建立。但是,在這種情況下,客戶端和服務(wù)器協(xié)商使第二隧道通過端口號(hào)而不是IP地址來識(shí)別。它可能通過使用服務(wù)器側(cè)的不同端口(與用于SSL的標(biāo)準(zhǔn)端口 443不同)進(jìn)行,或者通過使用客戶端側(cè)的不同端口進(jìn)行。
[0048]另一個(gè)變化使用單個(gè)隧道繼續(xù)進(jìn)行,但是改為例如使用DiffServCondePoin(DSCP)(其由低級(jí)業(yè)務(wù)映射器使用)來標(biāo)記出局分組。
[0049]示例實(shí)現(xiàn)3:第一 SSL VPN隧道按照與對(duì)于I相似的方式來建立??蛻舳撕头?wù)器協(xié)調(diào)使用DifTServ標(biāo)記來標(biāo)記應(yīng)該優(yōu)先化的分組。備選地,這通過實(shí)現(xiàn)(沒有協(xié)商)來預(yù)先確定。
[0050]能夠?qū)鏘PSec情況設(shè)計(jì)類似解決方案。
[0051]功能分布的不同模型基于具有與專用VPN客戶端/服務(wù)器進(jìn)行交互的高級(jí)映射器的這個(gè)模型,有可能按照不同方式來劃分功能性,如以下所述。這些只是具有相應(yīng)優(yōu)點(diǎn)的本發(fā)明的兩種不同變體。
[0052]VPN客戶端和服務(wù)器中心模型
在一個(gè)實(shí)施例中,提出分別在VPN客戶端或者在VPN服務(wù)器中提供更大智能。
[0053]在現(xiàn)有技術(shù)中,VPN客戶端僅建立單個(gè)隧道。客戶端對(duì)服務(wù)器交互的正常行為將一個(gè)IP地址關(guān)聯(lián)到并且指配給請(qǐng)求隧道的客戶端(使客戶端在邏輯上成為服務(wù)器內(nèi)里的子網(wǎng)的一部分)。因此,使具有至少兩個(gè)IP地址的至少兩個(gè)隧道指配給客戶端并且是客戶端IP棧可見的在實(shí)際上不是合乎需要的。
[0054]避免這個(gè)困境的一種方式是采用客戶端和服務(wù)器行為,使得只有單IP地址提供給上層(IP棧),即使實(shí)際上建立和使用兩個(gè)單獨(dú)隧道。
[0055]因此,按照一個(gè)實(shí)施例,提出將所接收的數(shù)據(jù)業(yè)務(wù)分類到對(duì)應(yīng)QoS類。在通過使用應(yīng)用的知識(shí)或者通過進(jìn)行分組檢查來區(qū)分?jǐn)?shù)據(jù)業(yè)務(wù)之后,進(jìn)行分類。為了分類數(shù)據(jù)業(yè)務(wù),在這個(gè)模型中提出按照QoS類的HL分組映射器中標(biāo)記數(shù)據(jù)分組。因此,在這個(gè)實(shí)施例中,分類包括按照QoS類來標(biāo)記數(shù)據(jù)分組。為了標(biāo)記數(shù)據(jù)分組,可使用任何適當(dāng)和優(yōu)選方法。例如,數(shù)據(jù)分組可在數(shù)據(jù)分組的報(bào)頭中標(biāo)記。在另一步驟中,所分類和標(biāo)記的業(yè)務(wù)將映射到對(duì)應(yīng)隧道。因此,所標(biāo)記的數(shù)據(jù)分組分別提供給第二層、VPN客戶端200或者VPN服務(wù)器500。哪一個(gè)隧道要在VPN客戶端/服務(wù)器中用于出局分組基于入局分組的標(biāo)記。這通過圖3示出。圖3示出VPN客戶端,其從高級(jí)映射器接收所標(biāo)記數(shù)據(jù)分組,選擇數(shù)據(jù)分組,并且將其發(fā)送給對(duì)應(yīng)隧道。在另一個(gè)實(shí)施例中,提出將不同標(biāo)記的數(shù)據(jù)分組發(fā)送給一個(gè)隧道。在這個(gè)示例中,數(shù)據(jù)分組隧道部件是一個(gè)隧道,其按照所選標(biāo)記來區(qū)分所識(shí)別QoS類。在一個(gè)示例中,提出通過發(fā)送數(shù)據(jù)分組來保持標(biāo)記,或者在另一個(gè)示例中,數(shù)據(jù)分組的標(biāo)記可在封裝數(shù)據(jù)分組之前執(zhí)行。
[0056]在接收側(cè),在服務(wù)器側(cè)的上行鏈路通信的情況下,VPN服務(wù)器接收數(shù)據(jù)分組,對(duì)它進(jìn)行拆封(去除任何附加標(biāo)記),以及將分組轉(zhuǎn)發(fā)到HL映射器(若需要的話)并且向前轉(zhuǎn)發(fā)到目標(biāo)應(yīng)用。
[0057]數(shù)據(jù)分組可在一個(gè)隧道或者在至少兩個(gè)隧道上接收,這取決于數(shù)據(jù)分組隧道部件的實(shí)現(xiàn)。此外,提出將數(shù)據(jù)分組提供給HL映射器,其是在第一層提供用于區(qū)分不同QoS類并且用于通過將不同QoS類映射到應(yīng)用目的地來將數(shù)據(jù)業(yè)務(wù)提供給應(yīng)用目的地的一實(shí)施例。在這個(gè)模型中,提出接收側(cè)具有關(guān)于所使用標(biāo)記到映射到如接收器側(cè)所使用的IP地址的知識(shí)。
[0058]此外,要指出,在服務(wù)器側(cè)執(zhí)行優(yōu)先化數(shù)據(jù)的提供并且接收裝置是客戶端裝置是地,所述模型也起作用。
[0059]這個(gè)模型的優(yōu)點(diǎn)在于,高級(jí)映射器對(duì)代理能力具有小許多的相關(guān)性,并且可(可能)實(shí)現(xiàn)為深層分組檢查實(shí)體。
[0060]在圖3所示的實(shí)施例中,由VPN服務(wù)器為客戶端指配單個(gè)IP地址。單個(gè)IP地址從VPN客戶端向上指配給單個(gè)虛擬接口。在圖3的實(shí)施例中,如上所述,VPN客戶端或VPN服務(wù)器必須確定哪一個(gè)隧道要發(fā)送分組。圖12中,示出圖3所公開實(shí)施例的更詳細(xì)視圖。把來自客戶端裝置10的數(shù)據(jù)分組傳送給圖12所示的應(yīng)用服務(wù)器16。如上所述,數(shù)據(jù)分組來自業(yè)務(wù)映射單元300,其中引入與業(yè)務(wù)的優(yōu)先化有關(guān)的標(biāo)記,分組經(jīng)過客戶端裝置的IP棧11來傳送。虛擬接口 210是分組到達(dá)VPN客戶端的接口。到達(dá)分組是在VPN客戶端200添加外報(bào)頭之前的原始分組。客戶端的內(nèi)報(bào)頭具有源地址,其是虛擬接口的IP地址,在這里為編號(hào)17.17.17.17。數(shù)據(jù)分組的目的地是具有IP地址21.21.21.21的應(yīng)用服務(wù)器。因此,如圖12所示,內(nèi)報(bào)頭包括這兩個(gè)IP地址。在VPN客戶端200,添加外報(bào)頭,在這里是作為源的物理接口的IP地址以及在VPN服務(wù)器的物理接口 IP地址。對(duì)于沿從應(yīng)用服務(wù)器到客戶端的另一方面的傳輸,交換IP地址,如在圖12的下部能夠看到,其中示出從服務(wù)器60到客戶端裝置的傳輸。客戶端裝置10包含物理接口 12,以及服務(wù)器包含物理接口 25與IP棧15的物理接口 25,上層映射器600在服務(wù)器側(cè)示出。
[0061]在圖12所示的實(shí)施例中,僅示出將VPN服務(wù)器連接到VPN客戶端的單個(gè)隧道。但是,這只是為了清楚起見,當(dāng)提供兩個(gè)隧道時(shí),另一隧道、即未選擇隧道在圖12中未示出。在VPN客戶端中進(jìn)行關(guān)于要使用哪一個(gè)隧道的判定的實(shí)施例中,單個(gè)IP地址用于VPN客戶端側(cè)的兩個(gè)隧道。在服務(wù)器側(cè),也有可能使用單個(gè)IP地址。在這個(gè)實(shí)施例中,兩個(gè)隧道則可使用端口號(hào)或者使用圖9中未示出、但是還存在于各隧穿分組的附加隧道報(bào)頭中的標(biāo)識(shí)符來區(qū)分。在圖3和12所示的實(shí)施例中,隧道的報(bào)頭在IP 5元組中有所不同。在服務(wù)器側(cè)的兩個(gè)隧道具有不同IP地址或者不同端口號(hào)或者隧道報(bào)頭中包含的不同標(biāo)記。
[0062]高級(jí)映射器中心模型
一備選方式/實(shí)施例能夠允許使用兩個(gè)單獨(dú)隧道,其中兩者均獲得對(duì)其指配的IP地址。它可能是優(yōu)選的,以便使對(duì)VPN客戶端的影響為最小。在這種情況下,更大智能提升到高級(jí)映射器功能。
[0063]在這種情況下,高級(jí)映射器(客戶端)能夠指示VPN客戶端請(qǐng)求具有所指配的兩個(gè)單獨(dú)IP地址的兩個(gè)隧道。高級(jí)映射器則能夠確保這對(duì)應(yīng)用是充分透明的,但是兩者均用于基礎(chǔ)通信。
[0064]首先,HL通過使用應(yīng)用的知識(shí)或者通過進(jìn)行分組檢查,來區(qū)分?jǐn)?shù)據(jù)業(yè)務(wù)。在下一個(gè)步驟,將執(zhí)行所區(qū)分?jǐn)?shù)據(jù)分組的分類。按照高級(jí)映射器中心模式方式,分類基于向數(shù)據(jù)分組指配與對(duì)應(yīng)隧道相關(guān)的對(duì)應(yīng)IP地址。提出執(zhí)行地址轉(zhuǎn)化。因此,HL映射器將確保分組使用不同源IP地址(在從客戶端朝服務(wù)器發(fā)送時(shí))或目標(biāo)地址(在從服務(wù)器發(fā)送給客戶端時(shí))來向下發(fā)送。這些地址由VPN層(客戶端或服務(wù)器,取決于方向)用來將分組映射到正確隧道(各隧道具有與其關(guān)聯(lián)的IP地址),其然后在LL映射器中使分組經(jīng)過優(yōu)先化或者沒有優(yōu)先化。
[0065]因此,提出HL高映射器在客戶端和服務(wù)器兩端執(zhí)行地址轉(zhuǎn)化,使得地址從端對(duì)端角度來看似乎未改變。
[0066]圖4示出VPN客戶端,其從具有新IP地址的高級(jí)映射器300接收數(shù)據(jù)分組,并且將其發(fā)送給具有對(duì)應(yīng)IP地址的對(duì)應(yīng)隧道。在服務(wù)器側(cè),VPN服務(wù)器接收數(shù)據(jù)分組,對(duì)其進(jìn)行解封,以及將分組轉(zhuǎn)發(fā)到HL映射器(若需要的話)并且向前轉(zhuǎn)發(fā)到目標(biāo)應(yīng)用。本文中進(jìn)行對(duì)于將指配給隧道的IP地址轉(zhuǎn)化成指配給客戶端的IP地址,使得僅向目的地顯示一個(gè)IP地址。
[0067]另一個(gè)備選方案是簡單地將兩個(gè)地址用于網(wǎng)絡(luò)綁定連接,S卩,作為代理進(jìn)行操作。如果應(yīng)用具有這種性質(zhì)以使得通信的網(wǎng)絡(luò)側(cè)端點(diǎn)無需看到實(shí)際客戶端IP地址(作為入局分組的源IP),則如果在HL映射器功能在與網(wǎng)絡(luò)側(cè)端點(diǎn)進(jìn)行通信時(shí)使用這些地址作為源IP,它在實(shí)際上是個(gè)問題。(由網(wǎng)絡(luò)側(cè)端點(diǎn)所接收的優(yōu)先化和非優(yōu)先化流具有不同的源IP。)存在關(guān)于可如何實(shí)現(xiàn)代理的任何數(shù)量的方法。在一個(gè)實(shí)施例中,它可以是HTTP代理,其中HL映射器(充當(dāng)代理)通過TCP從應(yīng)用客戶端接收HTTP請(qǐng)求,并且發(fā)出相同HTTP請(qǐng)求,但是在另一側(cè)使用不同TCP連接和不同源IP (朝HTTP服務(wù)器)。
[0068]下面按照?qǐng)D4和圖5更詳細(xì)地提供HL映射器中心解決方案。
[0069]圖4示出用于從客戶端200向服務(wù)器500發(fā)送數(shù)據(jù)業(yè)務(wù)的上行鏈路方向。因此,客戶端側(cè)的應(yīng)用僅知道用于執(zhí)行VPN網(wǎng)絡(luò)中的通信的一個(gè)地址,即,地址A。將數(shù)據(jù)業(yè)務(wù)提供給HL映射器300,其通過對(duì)QoS類進(jìn)行判定來分類數(shù)據(jù)業(yè)務(wù)。HL映射器先驗(yàn)地向VPN客戶端200請(qǐng)求建立不同QoS類的至少兩個(gè)隧道。VPN客戶端在建立隧道時(shí)向HL映射器300提供對(duì)應(yīng)IP地址。因此,在這個(gè)實(shí)施例中,分類步驟包括HL映射器在對(duì)QoS類進(jìn)行判定時(shí)可改變?cè)碔P地址,同時(shí)將所分類數(shù)據(jù)業(yè)務(wù)指配給對(duì)應(yīng)隧道。因此,所分類數(shù)據(jù)分組攜帶新IP地址,并且轉(zhuǎn)發(fā)到VPN客戶端200,其例如在VPN中執(zhí)行數(shù)據(jù)分組的安全封裝,并且按照其優(yōu)先級(jí)、通過所建立隧道來發(fā)送數(shù)據(jù)。按照?qǐng)D4,數(shù)據(jù)使用A地址通過隧道或者使用B地址使用隧道B來發(fā)送。因此,在這個(gè)實(shí)施例中,數(shù)據(jù)分組隧道部件是兩個(gè)不同隧道A和B,其適合區(qū)分所識(shí)別QoS類A和B。
[0070]在接收器側(cè)、因而在服務(wù)器接收安全封裝數(shù)據(jù)分組時(shí),首先在下一個(gè)步驟去除安全封裝,通過檢查所使用IP地址來執(zhí)行不同Q0S類的區(qū)分。此外,通過在HL映射器300中將所接收數(shù)據(jù)分組轉(zhuǎn)化為一個(gè)IP地址,來執(zhí)行不同QoS類映射到應(yīng)用目的地,或者在HL映射器作為代理進(jìn)行操控的情況下,將兩個(gè)地址提供給應(yīng)用。
[0071]圖5示出用于從服務(wù)器500向客戶端200發(fā)送數(shù)據(jù)業(yè)務(wù)的下行鏈路方向。因此,服務(wù)器側(cè)的應(yīng)用可在HL映射器300為代理的情況下向一個(gè)地址A或者向兩個(gè)地址A和B進(jìn)行發(fā)送。將數(shù)據(jù)業(yè)務(wù)提供給HL映射器,其通過對(duì)QoS類進(jìn)行判定來檢查和分類數(shù)據(jù)業(yè)務(wù)。
[0072]因此,HL映射器在對(duì)QoS類進(jìn)行判定時(shí)可改變目標(biāo)IP地址,同時(shí)將所分類QoS數(shù)據(jù)業(yè)務(wù)指配給對(duì)應(yīng)隧道。
[0073]如果來自應(yīng)用服務(wù)器的分組直接使用B地址來發(fā)送,則HL映射器將數(shù)據(jù)映射到具有B地址的隧道。因此,將所分類數(shù)據(jù)分組轉(zhuǎn)發(fā)到VPN服務(wù)器,其例如在VPN中執(zhí)行數(shù)據(jù)分組的安全封裝,并且按照其優(yōu)先級(jí)、通過所建立隧道將數(shù)據(jù)發(fā)送到客戶端。按照?qǐng)D5,數(shù)據(jù)使用A地址通過隧道或者使用B地址使用隧道B來發(fā)送。在客戶端側(cè)接收數(shù)據(jù)分組時(shí),所接收數(shù)據(jù)分組中的地址在HL映射器中轉(zhuǎn)化成一個(gè)IP地址,并且轉(zhuǎn)發(fā)到應(yīng)用客戶端。
[0074]圖13中,示出圖4和圖5所示的實(shí)施例的更詳細(xì)視圖。在這個(gè)實(shí)施例中,上層映射器300必須確保分組經(jīng)過正確的虛擬接口、即接口 220或者230發(fā)送給VPN客戶端200。如圖13所示,以兩個(gè)不同IP地址來展示兩個(gè)虛擬接口。業(yè)務(wù)映射單元300通知基礎(chǔ)IP棧關(guān)于要采取哪一個(gè)IP地址,或者IP??蓪?duì)其進(jìn)行確定。但是,一般來說,上層映射器能夠控制兩個(gè)IP地址的哪一個(gè)用作隧穿分組的源,因此業(yè)務(wù)映射單元300控制選擇兩個(gè)隧道的哪一個(gè)。如同圖12的實(shí)施例中一樣,僅不出所選隧道,未選擇隧道在圖13中未不出。IP地址的每個(gè)與隧道關(guān)聯(lián)。但是,如圖13所示,客戶端裝置將具有一個(gè)IP地址,在本例中為與物理接口(其用于外報(bào)頭中)關(guān)聯(lián)的IP地址12.13.14.15,并且它將具有與各隧道接口關(guān)聯(lián)的一個(gè)地址。如能夠看到,它們是內(nèi)報(bào)頭的源地址。在VPN服務(wù)器,可使用端接兩個(gè)隧道但使用不同端口的一個(gè)IP地址,或者有可能也在VPN服務(wù)器使用兩個(gè)IP地址,各隧道一個(gè)。VPN服務(wù)器還充當(dāng)客戶端的路由器/網(wǎng)關(guān)。將要路由到客戶端的任何分組、即虛擬隧道接口的地址將首先路由到服務(wù)器,其然后將封裝分組,并且將目標(biāo)地址設(shè)置為客戶端的物理地址。
[0075]又參照?qǐng)D13中的客戶端,上層映射器300將必須向IP棧指示哪一個(gè)IP地址應(yīng)當(dāng)用作源。
[0076]映射的控制
高級(jí)映射器是實(shí)際上控制如何映射業(yè)務(wù)的映射器。因此,可需要某種策略控制。在網(wǎng)絡(luò)側(cè),它可能連接到策略控制器等。對(duì)于客戶端側(cè),策略需要使用某個(gè)協(xié)議向HL映射器發(fā)信號(hào)通知。這可能與對(duì)于LL映射器(其中例如可使用正常3GPP機(jī)制)是不同的。這不(可能)是完全適合此目的的任何標(biāo)準(zhǔn)化協(xié)議,因此它可能是某種專有解決方案、例如使用S0AP/XML的某種交換。
[0077]實(shí)現(xiàn)備選方案。
[0078]低級(jí)映射器基本上是處理承載映射、策略控制、承載觸發(fā)等的現(xiàn)有機(jī)制的再使用。在移動(dòng)情形中,核心低級(jí)映射器能力由例如GGSN/TON GW連同PCRF來實(shí)現(xiàn)。在本發(fā)明的上下文中,例如建立PCRF和GGSN/TON網(wǎng)關(guān),以映射在專用承載上的優(yōu)先化隧道以及通過缺省承載的非優(yōu)先化隧道所發(fā)送的業(yè)務(wù)(例如使用2ry PDP上下文過程來建立)。
[0079]PCRF和GGSN/TON GW可采用執(zhí)行分組檢查的外部實(shí)體(例如智能管道控制器)來補(bǔ)充,其在檢測(cè)優(yōu)先化隧道觸發(fā)PCRF (使用Rx)來建立專用承載。備選地,它能夠觸發(fā)PCRF來修改缺省承載。外部分組檢查器和GGSN均基于預(yù)先配置知識(shí)、或者眾所周知的IP地址、端口或者DiffServ CodePoint來識(shí)別通過優(yōu)先化隧道所發(fā)送的分組。
[0080]高級(jí)映射器功能可內(nèi)建到應(yīng)用(客戶端或服務(wù)器)中,或者它可作為代理功能來部署。這適用于網(wǎng)絡(luò)側(cè)和客戶端側(cè)。對(duì)于客戶端側(cè),它例如可與操作系統(tǒng)進(jìn)行交互,以提供虛擬網(wǎng)絡(luò)接口,以便確保所有網(wǎng)絡(luò)定向業(yè)務(wù)由HL映射器來截取和處理。在網(wǎng)絡(luò)側(cè),它可能作為透明裝置/代理來部署(例如使用基于策略的路由選擇),或者它可由HL映射器客戶端直接尋址,例如,客戶端將分組發(fā)送給服務(wù)器(其然后自動(dòng)接收它們)的IP地址,其作為代理進(jìn)行操作,并且進(jìn)行DNS查找(基于應(yīng)用級(jí)信息,例如HTTP請(qǐng)求報(bào)頭),以尋找最終IP端點(diǎn)。
[0081]高級(jí)映射器也可與VPN客戶端和服務(wù)器集成,從而使必要交互是內(nèi)部的。備選地,可分離它們,并且必要API和分組標(biāo)記使用組網(wǎng)技術(shù)來實(shí)現(xiàn)。
[0082]低級(jí)映射器不需要與VPN服務(wù)器/客戶端或高級(jí)映射器并存,只要必要信息在分組中是可用的,從而允許到QoS級(jí)的映射(S卩,IP地址、端口、DSCP字段)。
[0083]圖6中,示出在VPN客戶端或VPN服務(wù)器中執(zhí)行關(guān)于要使用哪一個(gè)隧道的判定時(shí)的主要步驟。在步驟S61,接收數(shù)據(jù)業(yè)務(wù),以及在步驟S62,區(qū)分?jǐn)?shù)據(jù)業(yè)務(wù)。在下一個(gè)步驟S63,通過確定QoS參數(shù),即通過對(duì)QoS類進(jìn)行判定,來分類數(shù)據(jù)業(yè)務(wù)。在下一個(gè)步驟S64,所分類數(shù)據(jù)分組映射到隧道部件,其能夠區(qū)分所識(shí)別QoS類。在步驟S65,所分類數(shù)據(jù)分組基于所確定服務(wù)質(zhì)量來映射到兩個(gè)隧道之一。在步驟S66,封裝數(shù)據(jù)供傳輸。
[0084]圖7中,示出對(duì)應(yīng)接收側(cè)。在VPN客戶端或者VPN服務(wù)器,在步驟S71從網(wǎng)絡(luò)接收數(shù)據(jù)分組。在步驟S72,去除封裝,以及在步驟S73,區(qū)分不同QoS類。在步驟S74,不同QoS類映射到應(yīng)用目的地,以及在步驟S75,將數(shù)據(jù)提供給應(yīng)用目的地。
[0085]圖10中,示出流程圖,概述在VPN服務(wù)器或VPN客戶端中執(zhí)行隧道的選擇時(shí),在VPN客戶端或VPN服務(wù)器中執(zhí)行的步驟。該方法開始于步驟S110。在步驟S11,確定QoS參數(shù)。QoS參數(shù)可例如使用區(qū)分服務(wù)端點(diǎn)(DSCP)中包含的信息來確定。VPN節(jié)點(diǎn)然后選擇對(duì)所需QoS參數(shù)或服務(wù)類所確定的第一或第二隧道,并且在S113經(jīng)過第一或第二隧道來傳送數(shù)據(jù)。該方法在步驟S114結(jié)束。
[0086]圖11中,示出流程圖,其包括由業(yè)務(wù)映射單元所執(zhí)行的主要步驟,其中業(yè)務(wù)映射單元確定所需服務(wù)質(zhì)量,并且將分組傳送給VPN節(jié)點(diǎn)中的對(duì)應(yīng)IP地址。該方法開始于步驟S120。在下一個(gè)步驟S121,確定QoS參數(shù),尤其如以上更詳細(xì)描述。在下一個(gè)步驟,將數(shù)據(jù)分組傳送給VPN節(jié)點(diǎn)的對(duì)應(yīng)IP地址,因?yàn)槊總€(gè)IP地理與隧道關(guān)聯(lián)(步驟S122)。該方法在步驟S123結(jié)束。
[0087]圖8中,示出VPN節(jié)點(diǎn)的示意圖,其中VPN節(jié)點(diǎn)確定所需服務(wù)質(zhì)量,并且選擇對(duì)應(yīng)隧道。在所示示例中,它是VPN客戶端200。但是,應(yīng)當(dāng)理解,相同組件也可包含在VPN服務(wù)器中。VPN客戶端包括QoS確定模塊210,其確定數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)分組的QoS參數(shù)或類。提供隧道模塊220或隧道部件,其配置成建立到另一 VPN節(jié)點(diǎn)的兩個(gè)不同隧道。提供控制模塊230以操作VPN節(jié)點(diǎn)。示意示出輸入/輸出單元240,其用于與圖2、圖5和圖12-13所示的其它組件的數(shù)據(jù)交換。
[0088]圖9中,示出業(yè)務(wù)映射單元300。業(yè)務(wù)映射單元包括質(zhì)量確定模塊310,提供控制模塊320以操作業(yè)務(wù)映射單元??商峁┑刂忿D(zhuǎn)化單元340,以執(zhí)行地址轉(zhuǎn)化,如結(jié)合圖4和圖5或圖13所述。提供輸入/輸出單元330,以用于與上述其它組件的通信。
[0089]應(yīng)當(dāng)理解,業(yè)務(wù)映射單元和VPN節(jié)點(diǎn)均能夠包括附加功能和組件。僅為了清楚起見,示出功能組件,其是了解本發(fā)明所必需的。所示的組件可通過軟件或硬件或者通過軟件或硬件的組合來結(jié)合。
[0090]發(fā)明的優(yōu)點(diǎn)
-一般優(yōu)點(diǎn)在于,它使優(yōu)先化對(duì)于VPN業(yè)務(wù)是可能的。
[0091]-與例如基于路由器的預(yù)分類相比的優(yōu)點(diǎn)在于,它在功能布置方面更為靈活,并且它對(duì)普通客戶端VPN連接起作用。
[0092]-高級(jí)映射器控制方式的優(yōu)點(diǎn)在于,它使VPN客戶端/服務(wù)器影響為最小,從而使它更易于在例如正常SSL或IPSec客戶端上構(gòu)建。
[0093]-VPN客戶端和服務(wù)器中心解決方案的優(yōu)點(diǎn)在于,HL映射器可實(shí)現(xiàn)為DPI功能,與代理功能相反。
【權(quán)利要求】
1.一種用于使用數(shù)據(jù)分組的安全封裝、通過網(wǎng)絡(luò)經(jīng)由VPN客戶端(200)和VPN服務(wù)器(500)在發(fā)送裝置(10,80)與接收裝置(80,10)之間傳送數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的方法,所述方法包括下列步驟: -確定所述數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的服務(wù)質(zhì)量QoS參數(shù), -基于所確定服務(wù)質(zhì)量為所述數(shù)據(jù)分組選擇連接所述VPN客戶端(200)和所述VPN服務(wù)器(500)的第一隧道(91)或者連接所述VPN客戶端(200)和所述VPN服務(wù)器(500)的第二隧道(92)。
2.如權(quán)利要求1所述的方法,其中,所述第一或第二隧道的選擇由所述VPN客戶端(200)或服務(wù)器(500)來執(zhí)行。
3.如權(quán)利要求1或2所述的方法,其中,將單個(gè)IP地址指配給虛擬接口,其中數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組在所述VPN客戶端從所述發(fā)送裝置來接收。
4.如權(quán)利要求3所述的方法,其中,所述單個(gè)IP地址對(duì)于經(jīng)過所述第一或第二隧道所傳送的數(shù)據(jù)業(yè)務(wù)的所有數(shù)據(jù)分組是相同的,并且對(duì)應(yīng)于所述隧穿數(shù)據(jù)分組的內(nèi)IP報(bào)頭的源地址。
5.如權(quán)利要求3所述的方法,其中,所述單個(gè)IP地址對(duì)于經(jīng)過所述第一或第二隧道所傳送的數(shù)據(jù)業(yè)務(wù)的所有數(shù)據(jù)分組是相同的,并且對(duì)應(yīng)于所述隧穿數(shù)據(jù)分組的內(nèi)IP報(bào)頭的目標(biāo)地址。
6.如以上權(quán)利要求中的任一項(xiàng)所述的方法,其中,所述兩個(gè)隧道由所述VPN客戶端來請(qǐng)求,所述單個(gè)IP地址由所述VPN服務(wù)器指配給所述VPN客戶端的所述隧道。
7.如權(quán)利要求1所述的方法,其中,所述第一或第二隧道的選擇在業(yè)務(wù)映射單元(300,600)中執(zhí)行,業(yè)務(wù)映射單元(300,600)向所述VPN客戶端(200)或VPN服務(wù)器(500)傳送與所述所選第一或第二隧道有關(guān)的信息。
8.如權(quán)利要求7所述的方法,其中,所述數(shù)據(jù)分組根據(jù)所述所確定QoS參數(shù)來發(fā)送給所述VPN的第一虛擬接口的第一 IP地址或者發(fā)送給所述VPN客戶端的第二虛擬接口的第二IP地址,一個(gè)IP地址與所述隧道的每個(gè)關(guān)聯(lián)。
9.如權(quán)利要求8所述的方法,其中,所述數(shù)據(jù)業(yè)務(wù)包含源和目標(biāo)IP地址,其中當(dāng)確定所述QoS參數(shù)時(shí),所述源IP地址根據(jù)在向所述VPN服務(wù)器發(fā)送所述數(shù)據(jù)分組時(shí)的所確定QoS參數(shù)來轉(zhuǎn)化成所述第一 IP地址或者所述第二 IP地址。
10.如權(quán)利要求8所述的方法,其中,所述數(shù)據(jù)業(yè)務(wù)包含源和目標(biāo)IP地址,其中當(dāng)確定所述QoS參數(shù)時(shí),所述目標(biāo)IP地址根據(jù)在向所述VPN客戶端發(fā)送所述數(shù)據(jù)分組時(shí)的所確定QoS參數(shù)來轉(zhuǎn)化成所述第一 IP地址或者所述第二 IP地址。
11.如權(quán)利要求9或10所述的方法,其中,當(dāng)所述數(shù)據(jù)業(yè)務(wù)根據(jù)所述所確定QoS參數(shù)經(jīng)過了所述第一或第二隧道時(shí),所轉(zhuǎn)化IP地址在所述VPN服務(wù)器的業(yè)務(wù)映射單元又轉(zhuǎn)化成所述源地址,或者在所述VPN客戶端的所述業(yè)務(wù)映射單元又轉(zhuǎn)化成所述目標(biāo)地址。
12.如以上權(quán)利要求中的任一項(xiàng)所述的方法,其中,所述QoS參數(shù)在第一層中確定,其中將具有所述所確定QoS參數(shù)的所述數(shù)據(jù)業(yè)務(wù)提供給位于協(xié)議棧中的所述第一層下面的第二層,其中所述數(shù)據(jù)分組映射到所述第一或第二隧道,其中所述數(shù)據(jù)分組在第三層中傳送。
13.—種配置成使用數(shù)據(jù)分組的安全封裝、通過網(wǎng)絡(luò)經(jīng)由另一個(gè)虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(500)在發(fā)送裝置(10,80)與接收裝置(80,10)之間傳送數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(200),所述虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(200)包括: -質(zhì)量確定模塊(210),配置成確定所述數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的服務(wù)質(zhì)量(QoS)參數(shù), -隧道模塊(220),配置成建立將所述虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(200)與所述另一虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(500)連接的第一隧道(91),并且配置成建立將所述虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(200)與所述另一虛擬專用網(wǎng)絡(luò)節(jié)點(diǎn)(500)連接的第二隧道(92), -控制模塊(230),配置成基于所確定服務(wù)質(zhì)量來選擇所述數(shù)據(jù)業(yè)務(wù)的所述第一隧道或者所述第二隧道。
14.一種包括VPN客戶端200和VPN服務(wù)器500的系統(tǒng),配置成使用數(shù)據(jù)分組的安全封裝、通過網(wǎng)絡(luò)經(jīng)由所述VPN客戶端和所述VPN服務(wù)器(500)在發(fā)送裝置(10,80)與接收裝置(80,10)之間傳送數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組,所述系統(tǒng)包括: -質(zhì)量確定模塊(210),配置成確定所述數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的服務(wù)質(zhì)量(QoS)參數(shù), -隧道模塊(220),配置成建立將所述VPN客戶端(200)與所述VPN服務(wù)器(500)連接的第一隧道(91),并且配置成建立將所述VPN客戶端(200)與所述VPN服務(wù)器(500)連接的第二隧道(92), -控制模塊(230),配置成基于所確定服務(wù)質(zhì)量來選擇所述數(shù)據(jù)業(yè)務(wù)的所述第一隧道或者所述第二隧道, 其中所述隧道模塊配置成按照使得所述兩個(gè)隧道在所述VPN客戶端具有單個(gè)IP地址的方式來建立所述第一隧道和所述第二隧道。
15.如權(quán)利要求14所述的系統(tǒng),其中,其中所述隧道模塊配置成按照使得所述兩個(gè)隧道在所述VPN服務(wù)器具有單個(gè)IP地址的方式來建立所述第一隧道和所述第二隧道。
16.一種業(yè)務(wù)映射單元(300,600),包括: -質(zhì)量確定模塊(310),配置成確定使用數(shù)據(jù)分組的安全封裝、經(jīng)由VPN客戶端(200)和VPN服務(wù)器(500)在發(fā)送裝置(10,80)與接收裝置(80,10)之間所傳送的數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的服務(wù)質(zhì)量參數(shù); -控制模塊(320),配置成基于所確定QoS參數(shù)為所述數(shù)據(jù)業(yè)務(wù)選擇所述PVN客戶端的、關(guān)聯(lián)將所述VPN客戶端(200)與所述VPN服務(wù)器(500)連接的第一隧道的第一 IP地址或者VPN客戶端的、關(guān)聯(lián)將所述VPN客戶端與所述VPN服務(wù)器連接的第二隧道的第二 IP地址; -發(fā)射器(330),配置成基于所述控制模塊的選擇將數(shù)據(jù)業(yè)務(wù)傳送給所述第一或第二IP地址。
17.如權(quán)利要求16所述的業(yè)務(wù)映射單元(300),還包括地址轉(zhuǎn)化單元(340),其配置成轉(zhuǎn)化所述數(shù)據(jù)業(yè)務(wù)的報(bào)頭中的源和/或目標(biāo)IP地址,其中所述地址轉(zhuǎn)化單元(340)配置成根據(jù)向所述VPN服務(wù)器發(fā)送所述數(shù)據(jù)分組時(shí)的所確定QoS參數(shù)將所述源IP地址轉(zhuǎn)化成所述第一 IP地址或者所述第二 IP地址。
18.如權(quán)利要求16或17所述的業(yè)務(wù)映射單元,還包括地址轉(zhuǎn)化單元(340),其配置成轉(zhuǎn)化所述數(shù)據(jù)業(yè)務(wù)的報(bào)頭中的源和/或目標(biāo)IP地址,其中所述地址轉(zhuǎn)化單元配置成根據(jù)向所述VPN客戶端發(fā)送所述數(shù)據(jù)分組時(shí)的所確定QoS參數(shù)將所述目標(biāo)IP地址轉(zhuǎn)化成所述第一 IP地址或者所述第二 IP地址。
19.如權(quán)利要求16至18中的任一項(xiàng)所述的業(yè)務(wù)映射單元,其中,所述質(zhì)量確定模塊(310)配置成在所述VPN客戶端或VPN服務(wù)器執(zhí)行所述數(shù)據(jù)分組的安全封裝之前確定所述QoS參數(shù)。
20.—種包括業(yè)務(wù)映射單元(300)和VPN客戶端(200)的系統(tǒng),所述業(yè)務(wù)映射單元包括: -質(zhì)量確定模塊(310),配置成確定使用數(shù)據(jù)分組的安全封裝、經(jīng)由VPN客戶端(200)和VPN服務(wù)器(500)在發(fā)送裝置(10,80)與接收裝置(80,10)之間所傳送的數(shù)據(jù)業(yè)務(wù)的所述數(shù)據(jù)分組的服務(wù)質(zhì)量參數(shù); -控制模塊(320),配置成基于所確定QoS參數(shù)為所述數(shù)據(jù)業(yè)務(wù)選擇所述PVN客戶端的、關(guān)聯(lián)將所述VPN客戶端(200)與所述VPN服務(wù)器(500)連接的第一隧道的第一 IP地址或者VPN客戶端的、關(guān)聯(lián)將所述VPN客戶端與所述VPN服務(wù)器連接的第二隧道的第二 IP地址; -發(fā)射器(330),配置成基于所述控制模塊的選擇將數(shù)據(jù)業(yè)務(wù)傳送給所述VPN客戶端的所述第一或第二 IP地址,其中所述VPN客戶端包含第一虛擬接口,其中所述業(yè)務(wù)映射單元所傳送的所述數(shù)據(jù)分組在對(duì)其指配所述第一 IP地址的所述VPN客戶端來接收,所述VPN客戶端包含第二虛擬接口,其中所述數(shù)據(jù)分組在對(duì)其指配所述第二 IP地址的所述VPN客戶端來接收。
【文檔編號(hào)】H04L12/46GK104170329SQ201380014424
【公開日】2014年11月26日 申請(qǐng)日期:2013年3月13日 優(yōu)先權(quán)日:2012年3月14日
【發(fā)明者】H.巴西利爾 申請(qǐng)人:瑞典愛立信有限公司